Samarqand davlat universiteti sh. Q. Yuldashev, D. Q. Usmanova, L. N. Xalikova

134 
balki maxfiylik qiymatini tushuntirish. ma'lumotlar va uni himoya 
qilishning umumiy manfaatlari. 
Tashkiliy vositalar 
Korporativ axborot xavfsizligini tashkiliy himoya qilish, odatda 
yuqori boshqaruv vakolati tomonidan qo'llab-quvvatlanmasa, jimgina 
e'tiborsiz qoldiriladigan yoki tajovuzni keltirib chiqaradigan qoidalar va 
siyosatlarni amalga oshirishdan boshlanadi. Ba'zida aynan shunday 
namoyishlar shuni ko'rsatadiki, maxfiy ma'lumotlar tahdid ostida, 
menejment yoki yuqori darajadagi xodimlardan kimdir ulardan o'z 
maqsadlari uchun foydalanadi va imtiyozlardan voz kechmoqchi 
emas. Ushbu muammoni hal qilish bosqichidagi birinchi qadam bu 
yagona 
axloqiy 
qadriyatlarni 
yaratishdir, 
uning 
doirasida 
korporatsiyaning har bir xodimi ma'lumotlar xavfsizligi va me'yoriy 
hujjatlarning 
barcha 
talablariga 
muvofiqligi 
uchun 
shaxsan 
javobgarligini his qilishi kerak bo`ladi. 
Yirik konsalting kompaniyalari hisobotlarida ta'kidlanganidek, 
korporativ axborot xavfsizligiga tahdidlar haqiqati to'g'risidagi savol 
Rossiya ishbilarmon doiralarida hali ham jiddiy ko'tarilmagan. Kiber 
tahdidlarga duch kelgan biznesning bir qismi allaqachon DLP va SIEM 
tizimlarini o'rnatgan , sog'liqni saqlash tarmog'ining auditidan o'tgan va 
tahdidlarni kuzatish va kiberxavfsizlik hodisalariga javob berish tizimiga 
ega. Boshqalar, eskicha usulda, hal qilish kerak bo'lgan yagona masala - 
bu xodimlarning Internetdan foydalanishini cheklash va kamdan-kam 
hollarda 
kompyuterga 
USB 
kiritish 
usullarini 
blokirovka 
qiladilar. Oddiy antivirus va Windows xavfsizlik devori, ba'zida hatto 
litsenziyalanmagan ham, hamma narsa uchun javobgardir. Natijada 
mijozlar ma'lumotlar bazalarini va shaxsiy ma'lumotlarini o'g'irlash 
ommaviy ravishda, darknet tarmog'idagi qora bozorda paydo bo'ladi.
Ba'zi kompaniyalar shaxsiy ma'lumotlar operatorlariga talablar 
qo'yadigan regulyatorlar tomonidan ma'lumotlarni himoya qilishni talab 
qilmoqda. 
Ushbu talablar orasida: 
-
sinov va sertifikatlashdan o'tgan va ma'lumotlarni himoya 
qilishning zarur darajasini kafolatlaydigan axborotni muhofaza 
qilishning texnik vositalaridan va dasturiy ta'minotidan 
foydalanish; 
-
axborot infratuzilmasi holatining qonunlar va qonunosti 
hujjatlariga muvofiqligi; 

135 
-
muhim dasturiy ta'minotni o'z vaqtida yangilash strategiyasini 
ishlab chiqish; 
-
axborot xavfsizligi bilan bog'liq hodisalarga javob berish 
mexanizmining mavjudligi; 
-
sertifikatlangan antivirus himoyasi yordamida viruslarga qarshi 
kurashish; 
-
ma'lumotlarni shifrlash; 
PDni ishlovchi IS bilan ishlashning barcha jihatlarini tartibga 
soluvchi hujjatlar to'plamini qabul qilish. 
Ammo regulyatorlarning talablarini bajarish uchun ham xodimlar 
tushunishlari kerakki, agar ular tomonidan mijozlar talablari natijasida 
jarimalar, pul yo'qotishlariga olib keladigan xavf tug'dirsa, ular o'zlarini 
xavf nuqtai nazaridan rag'batlantiruvchi nafaqalar to'lash va ularning ish 
joylarini saqlab qolish. Xodimlarni xavf modellari va ularga javob 
berishning asosiy usullari bilan tanishtirib, treninglar o'tkazish kerak. IS 
talablarini qondirish uchun kompaniya qoidalarini ishlab chiqish zarurati 
tavakkalchilik modeli talablari va regulyatorlarning ishi bilan yuzaga 
keladi. 
Umumiy tahdid modeli 
Har qanday tashkilotda ishbilarmonlarga ishga qabul qilishda 
tanishadigan korporativ hujjatlar to'plamiga biznes tahdidi modeli 
kiritilishi kerak.
Xodimlar tushunishi uchun xavf tuzilishi quyidagicha bo'lishi kerak: 
1. Biznesga tahdidlar. Agar bu obro'ga tahdid bo'lsa - qora piar, 
ommaviy axborot vositalarida noqonuniy nashrlar, ma'lumotlar 
tarqalishi va ma'lumotlar tarqalishi oqibatida kelib chiqadigan bo'lsa, 
ular xodimlarga ham ta'sir qiladi, chunki rezyumelarida salbiy obro'ga 
ega kompaniya tufayli ular ish topishda qiyinchiliklarga duch 
kelishadi. Agar bu sarmoyalarga tahdid bo'lsa - qarorlar noto'g'ri yoki 
noto'g'ri ma'lumotlar asosida qabul qilinadi va ular samarasiz bo'lsa, 
unda bu xatarlar xodimlarning bonuslariga ta'sir qiladi.
2. Shaxsiy va maxfiy ma'lumotlar kabi ma'lumotlarni tahdid 
qilish . Axborotni qasddan tarqatish jinoiy javobgarlikka olib kelishi 
mumkin va kompaniya faoliyatini to'xtatib qo'yish va ishdan mahrum 
bo'lish bilan tahdid qiladi.
3. Xodimlarga tahdidlar. Xodimlarni brakonerlik qilish yoki 
ularga ma'lumot berganliklari uchun ularga pul kompensatsiyasini taklif 
qilishdan tashqari, raqobatchilar kurashning yanada og'ir usullaridan 
foydalanishlari mumkin, masalan, mobil qurilmalar - axborot 

136 
tashuvchilarning ochiq o'g'irlanishi. Mobil qurilmalarda ma'lumotlarni 
topish xavfini yo'q qilish ushbu tahdidlarni kamaytiradi.
4. Kompaniyaning IP-manziliga tahdidlar dasturlarning ishlamay 
qolishiga, serverning mavjud emasligiga olib keladi, biznesning to'xtab 
qolishiga va yo'qotishlarga olib keladi, bu nafaqat elektron pochtadan 
foydalanishda beparvoligini tan olgan va zararli dasturlarning ishini 
tasodifan boshlaganlarning, balki barcha xodimlarning ish haqiga ta'sir 
qiladi.
5. Moliyaviy tahdidlar. Hisobotlarni qasddan buzib yuborish 
Federal Soliq xizmati tomonidan jarimalarni keltirib chiqaradi va 
tajovuzkorlarga kompaniya mablag'larini o'g'irlash imkoniyatini beradi, 
shuningdek, nima uchun axborot xavfsizligi qoidalariga rioya qilish 
birinchi navbatda xodimlarning o'zlari uchun zarurligini tushuntiradi, bu 
eng yuqori profilaktika chorasi axborot xavfsizligi. Ular ish ta'riflarida 
va mehnat shartnomalarida aks etgan maxfiy ma'lumotlarni oshkor 
qilmaslik talablari bilan qo'llab-quvvatlanishi kerak. Bu, agar kerak 
bo'lsa, qonunbuzarni javobgarlikka tortishga imkon beradi.
Dasturiy ta'minot va apparat vositalari 
Tushuntirish ishlaridan tashqari, korporativ axborot xavfsizligining 
texnik 
jihati 
ham 
xuddi 
shunday 
puxta 
ishlab 
chiqilishi 
kerak. Regulyatorlar ikkita asosiy hujjatni tayyorlashni tavsiya qiladi - 
IS strategiyasi va Xatarlar modeli, unda quyidagilar aks ettirilgan: 
-
tahdidlarning turi va taxminiy tajovuzkorning tasviri; 
-
tizim arxitekturasi, uning asosiy birliklari va elementlari; 
-
muhofaza qilish obyektlari; 
-
axborotning maxfiyligi darajalarining tasnifi; 
-
imtiyozlarni qabul qilish va tayinlashni farqlash qoidalari; 
-
dasturiy ta'minotga talablar va uni yangilash; 
-
apparat va dasturiy ta'minotga talablar. 
Keyinchalik axborot xavfsizligi dasturini amalga oshirish bosqichi 
keladi. Insiderlik xatarlaridan himoyani yaratish uchun quyidagi axborot 
xavfsizligi elementlari amalga oshiriladi: 
Kirish nazorati tizimi. U jismoniy darajada bo'lishi kerak, bunga 
huquqi bo'lmagan shaxslarning serverlari va ish stantsiyalariga kirishni 
cheklash va server xonasiga qilingan barcha tashriflarni jurnalga yozib 
qo'yish. Dastur darajasida u turli darajadagi xodimlar uchun turli xil 
maxfiylik darajasidagi ma'lumotlarga ega bo'lishni ajratib turadi; 
-
autentifikatsiya tizimi, ruxsatsiz kirishning ikki omilli xavfi 
kamayadi; 

137 
-
elektron pochtani filtrlash, spam, viruslardan va fishingdan 
himoya qilish;
-
ishonchli yuklab olish imkoniyatlari; 
-
ma'lumotlarni qochqinlardan boshqarish. Vazifa DLP tizimini 
o'rnatish orqali hal qilinadi. 
Tashqi tahdidlardan himoya qilish uchun quyidagi echimlardan 
foydalaniladi: 
-
virusga qarshi himoya vositalari; 
-
xavfsizlik devorlari (xavfsizlik devorlari); 
-
bosqindan himoya qilish vositalari; 
-
brauzerlar va tarmoqning zaif tomonlarini kuzatish uchun 
boshqa vositalar; 
-
kriptografik ma'lumotlarni himoya qilish vositalari. 
Axborotni tashqi kanallar, trafikni shifrlash va xavfsiz 
ma'lumotlarni uzatish protokollari orqali uzatishda VPN texnologiyalari 
qo'llaniladi. Texnik qurilmalardan routerlar ishlatiladi. Xodimlarning 
harakatlarini kuzatish va ularning malakasini oshirishga asoslangan 
profilaktika choralari tizimining kompleks qo'llanilishi apparat va 
dasturiy ta'minot bilan birgalikda kompaniyaning axborot xavfsizligi 
darajasini 
sezilarli 
darajada 
oshirishi 
mumkin.


Download 4,19 Mb.

Do'stlaringiz bilan baham: