Kiberxavfsizlik bo'yicha O'zbekiston Respubliksasida ishlab chiqilgan qonunlar va qarorlar, farmoyishlar

Ushbu fan xavfsizlik printsiplari, muhim xavfsizlik nazorati va kiberxavfsizlikning eng yaxshi amaliyotlarini o'z ichiga olgan xavfsizlik asoslarini tushuntiradi. Talabalar, shuningdek, sanoat standartlari va asosiy boshqaruv elementlariga javob beradigan tizimni boshqarish, yuqori darajadagi xatarlarni, zaifliklarni va namunaviy tizimning hujum vektorlarini baholash uchun ishlatiladigan maxsus xavfsizlik texnikasini baholaydilar va har xil turdagi kompyuterlarning xavfsizligini o'rnatish va saqlash usullarini tushuntiradilar.

Kiberxavfsizlikda odamlar tomonidan amalga tajribalar va ilmiy tadqiqotlarni ko’p ko’rishimiz mumkun. Bir nechta misollarni keltirsak: -Microsoft research : xizmatlari uchun xavfsizlikning asosiy yutuqlari, shu jumladan o'n millionlab zararli Hotmail hisob qaydnomalarini aniqlash algoritmlari. -Davlat va xususiy tadqiqotchilar Xavfsizligi yaxshilangan Linuxni yaratdilar . -Google-dagi tadqiqotlar Chrome brauzer xavfsizligi va YouTube video barmoq izlari kabi mahsulotlarni yaxshilashga yordam beradi. -Symantic research labs kompaniyasi kompaniya uchun yangi algoritmlar, ish tezligini oshirish va mahsulotlarni taqdim etdi. -Kiberxavfsizlik - bu amaliy fan . Ya'ni, ushbu sohadagi odamlar foydali dasturlarni yaratish uchun ko'pincha ma'lum bo'lgan faktlar va ilmiy kashfiyotlarni qo'llashadi, ko'pincha texnologiya ko'rinishida. Ilm-fanning boshqa shakllariga tabiatshunoslik (masalan, biologiya), rasmiy fan (masalan, statistika) va ijtimoiy fan (masalan, iqtisod) kiradi. Kiberxavfsizlik birbiriga mos keladi va unga iqtisodiyot, sotsiologiya va kriminologiya kabi ijtimoiy fanlar bilan aloqalar ta'sir qiladi.

Kiberxavfsizlik sohasiga kirish uchun zarur bo'lgan ko'nikmalarni ta'minlaydigan yoki oshiradigan turli xil texnologiyalar guruhiga ta'sir qilish. Siz chuqurlikdagi mudofaaning eng yaxshi amaliyotlarini kompyuter tizimlarini xavfsizligini ta'minlash, kelajakdagi tarmoq xavfsizligini tahlil qilish va takomillashtirish uchun xavfsizlik hodisalari natijalaridan foydalanish va tarmoqning zaif tomonlarini aniqlash uchun ichki tizimlarni qidirishda qo'llaysiz. Bundan tashqari, dasturning umumiy zaifliklarini bartaraf etish va dam olish paytida va tranzit paytida ma'lumotlarni himoya qilish uchun asosiy shifrlash texnikasini ta'minlash uchun qanday qilib yumshatishni tavsiya qilishni o'rganasiz.

Kiberxavfsizlik xavfini baholash bu xavfni aniqlash, tahlil qilish va baholash jarayonidir. Bu siz tanlagan kiber xavfsizlik nazorati tashkilotingiz duch keladigan xavflarga mos kelishini ta'minlashga yordam beradi O'zingizning kiber xavfsizligingiz to'g'risida xabardor qilish uchun xavfni baholamasdan, siz vaqt, kuch va resurslarni sarflashingiz mumkin. Vujudga kelishi mumkin bo'lgan yoki sizning tashkilotingizga ta'sir qilmaydigan voqealardan himoya qilish choralarini amalga oshirishning ahamiyati yo'q.

Yangi texnologiyalar, elektron xizmatlar bizning kundalik hayotimizning ajralmas qismiga aylandi. Jamiyat kundan-kun axborot-kommunikatsiya texnologiyalariga tobora ko'proq qaram bo'lib borayotganligini hisobga olib, ushbu texnologiyalarni himoya qilish va ulardan foydalanish milliy manfaatlar uchun hal qiluvchi ahamiyatga ega va juda muhim mavzuga aylanmoqda. Bugungi kunda axborot jamiyatini rivojlantirishning zaruriy sharti bu kiberxavfsizlikdir, uni xavfsizlikning texnik va qonunchilikgacha bo'lgan deyarli cheksiz ro'yxati va ularni hal qilish yo'li bilan ta'minlash mumkin.

Zamonaviy sharoitda, kiberxavfsizlik masalalari alohida kompyuter vositasida axborot xavfsizligi darajasidan har bir davlatning axborot va milliy xavfsizligining ajralmas qismi sifatida yagona kiberhavfsizlik tizimini yaratish darajasigacha boradi. Shu sababli, har bir tashkilot uchun kiberxavfsizlikni ta’minlash maqsadida mazkur soha bilan shug’ullanuvchi xodimlar jalb qilinmoqda va xodimlarni kiberxavfsizlikka oid bilimlar bilan doimiy tanishtirib boorish uchun qator seminartreyning mashg’ulotlari tashkil etilmoqda. Oliy ta’lim muassasalarida ham kiberxavfsizlikni fan sifatida o’tilishi buning yaqqol misolidir.

Respublikamizda axborot texnologiyalarining rivojlanishi bilan bir qatorda xо‘jalik va davlat boshqaruvi organlarida axboorot xavfsizligini, xususan, kompyuter bilan bog’liq bo’lgan xavfsizlik muammolarini bartaraf etish yo’nalishida alohida e’tibor qaratilmoqda. 2017-2021 yillarda О‘zbekiston Respublikasini yanada rivojlantirish bо‘yicha Harakatlar strategiyasida vazifalar belgilab olindi, shular qatorida «...axborot xavfsizligini ta’minlash va axborotni himoya qilish tizimini takomillashtirish, axborot sohasidagi tahdidlarga о‘z vaqtida va munosib qarshilik kо‘rsatish» va kiber jinoyatchilikni fosh etish masalalariga alohida e’tibor qaratilgan. Bundan tashqari, “Ilm, ma’rifat va raqamli iqtisodiyotni rivojlantirish yili"da amalga oshirishga oid Davlat dasturi to‘g‘risida”gi O‘zbekiston Prezidenti Farmonida “2020 yil 1 sentyabrga qadar kiberxavfsizlikka doir milliy 4 strategiya va qonun loyihasi ishlab chiqish” vazifalari belgilangan. Bu vazifalarni amalga oshirishda kiberxavfsizlik sohasiga oid o’quv qo’llanmalarini ishlab chiqish ham e’tibor berish kerak bo’lgan muhim jihatlardan hisoblanadi. Mazkur о‘quv qо‘llanma kiberxavfsizlik sohasida dastlabki qadamlarini qo’yayotgan tinglovchilar uchun mo’ljallangan bo’lib, unda kiberxavfsizlikning asosiy tushunchalari, kiberhujumlardan himoyalanishning nazariy asoslari keltirilgan.

Qо‘llanmaning birinchi bоbida kiberxavfsizlik asoslari fanining vazifalari va asosiy tushunchalari, uning qо‘llanilish sohasi hamda kiberxavfsizlikda inson omili masalalari kо‘rib chiqilgan. Kiberxavfsizlikning bilim sohalari, kiberxavfsizlikning fan sohasining tuzulishi, kiberxavfsizlik va axborot xavfsizlik tushunchalari o’rtasidagi farqlar misollar asosida keltirilgan. Ikkinchi bоbda axborotning kriptografik himoyasi doirasida uning asosiy tushunchalari, simmetrik kriptotizimlar, ochiq kalitli kriptotizimlar, ma’lumotlarni yaxlitligini ta’minlash usullari, disklarni va fayllarni shifrlash hamda ma’lumotlarni xavfsiz o’chirish usullari kо‘rib chiqilgan. Qо‘llanmaning uchinchi bоbi foydalanishlarni nazoratlashga bag’shlangan bo’lib, autentifikatsiya usullari, ma’lumotlarni fizik va mantiqiy boshqarish usullari keltirilgan.

Amalda keng qo’llanilgan parolga asoslangan autentifikatsiya usulini matematik tahlili va amalda foydalanish uchun parollarni tanlash bo’yicha tavsiyalar keltirilgan. Tо‘rtinchi bоb tarmoq xavfsizligiga bag‘ishlangan bo’lib, unda tarmoqda mavjud bo’lgan xavfsizlik muammolari va ularni bartaraf etishda tarmoqlararo ekran va virtual himoyalangan tarmoq vositalarida foydalanish tartibi keltirilgan. Bundan tashqari simsiz tarmoqlarda ham xavfsizlik muammolari va ularni oldini olish tartibi keltirilgan. Beshinchi bоbda tizimning foydalanuvchanlik xususiyati va uning tizim uchun muhimligi, ma’lumotlarning zaxira nusxalash usullari va ma’lumotlarni qayta tiklash usullari haqida ma’lumotlar keltirilgan.

Tizim foydalanuvchanligi uchun 5 auditlash muolajasi muhim hisoblangani bois, Windows OT uchun hodisalarni qayd qilish tartibi bilan yaqindan tanishib chiqiladi. Oltinchi bоb dasturiy vositalar xavfsizligiga bag’ishlangan bo’lib, dasturlardagi xavfsizlik muammolari va ularni oldini olishga qaratilgan fundamental printsiplar keltirilgan. Vazifasi tizimga ziyon etkazish uchun yaratilgan zararli dasturiy vositalar, ularning tahlili va zamonaviy antivirus dasturiy vositalari haqida batafsil ma’lumotlar keltirilgan. Yettinchi bob axborot xavfsizligi siyosati va risklarni boshqarish masalalarida bag’ishlangan hamda unda tizimlar arxitekturasi, axborot xavfsizligi siyosatini amalga oshirish tartibi va risklarni boshqarish haqida ma’lumotlar keltirilgan. Sakkizinchi bobda kiberjinoyatchilik, kiberhuquq va kiberetika masalalariga to’xtalib o’tilgan va unda kiberjinoyatchilik uchun tayinlangan jazo turlari haqida ma’lumotlar keltirilgan.

“Kiberxavfsizlik” va “axborot xavfsizligi” atamalaridan, tez-tez o’rnilari almashingan holatda, foydalaniladi. Ba’zilar kiberxavfsizlikni axborot xavfsizligi, axborot texnologiyalari xavfsizligi va (axborot) risklarni boshqarish tushunchalariga sinonim sifatida foydalanadilar. Ayrimlar esa, xususan, hukumat sohasidagilar kiberxavfsizlikka kompyuter jinoyatchiligi va muhim infratuzilmalar himoyasini o’z ichiga olgan milliy xavfsizlik bilan bog’liq bo’lgan texnik tushuncha sifatida qaraydilar. Turli soha xodimlari tomonidan o’z maqsadlariga moslashtirish holatlari mavjud bo’lsada, axborot xavfsizligi va kiberxavfsizlik tushunchalari orasida ba’zi muhim farqlar mavjud. Axborot xavfsizligi sohasi axborotning ifodalanishidan qat’iy nazar – qog’oz ko’rinishdagi, elektron va insonlar fikrlashida, og’zaki va vizual aloqada intelektual huquqlarini himoyalash bilan shug’ullanadi. Kiberxavfsizlik esa elektron shakldagi axborotni (barcha holatlardagi, tarmoqdan to qurilmagacha bo’lgan, o’zaro birga ishlovchi tizimlarda saqlanayotgan, uzatilayotgan va ishlanayotgan axborotni) himoyalash bilan shug’ullanadi. Bundan tashqari, hukumatlar tomonidan moliyalashtirilgan hujumlar va rivojlangan doimiy tahidlar (Advanced persistent threats, APT) ham aynan kiberxavfsizlikka tegishlidir. Qisqacha aytganda, kiberxavfsizlikni axborot xavfsizligining bir yo’nalishi deb tushunish uni to’g’ri anglashga yordam beradi

Ideal shifrlar uchun shifrmatndan kalitsiz ochiq matnni tiklashning imkoni bo’lmasligi zarur. Bu shart, hattoki hujumchilar uchun ham o’rinli. Hujumchi algoritm (shifrlash algoritmi) haqidagi barcha ma’lumotlarni bilgan taqdirda ham kalitsiz ochiq matnni tiklashning imkoniga ega bo’lmasligi zarur. Ushbu qo’yilgan maqsad amalda bundan farqli bo’lishi mumkin. Kriptografiyaning fundamental nazariyasiga ko’ra kriptotizimning ichki ishlash prinsipi hujumchiga to’liq oshkor bo’lishi mumkin. Hujumchiga faqat kriptotizimda foydalanilgan kalit noma’lum bo’lishi zarur. Bu ta’limot Kerkxofs prinsipi deb ataladi. Xo’sh, Kerkxofs prinsipining asosiy mohiyati nimada? Agar hujumchi kriptotizimni qanday ishlashini bilmasa, uning kriptotizimga hujum qilishi yanada qiyinlashadi. U holda, nima uchun xujumchining ishi osonlashtirilmoqda? Kriptotizim xavfsizligi uchun sir tutilgan loyihalashga ishonishning bir nechta muammolari mavjud. Birinchidan, “sir tutilgan” kriptotizimlarning tafsilotlari kamdan-kam hollarda uzoq vaqt sirligicha qoladi. Dasturiy ta’minotdan algoritmni tiklash uchun teskari muhandislik usullaridan foydalanish mumkin va ular orqali 18 hattoki qurilmalarda yozilgan algoritmlarni qayta tiklash (aniqlash) mumkin. Bundan tashqari yana bir muhim jihat shundaki, uzoq vaqt sir tutilgan kriptotizim ommaga oshkor bo’lishi xavfsiz emasligi isbotlangan. Sir tutilgan kriptotizimlar kichik doiradagi foydalanuvchilar (mutaxassislar) tomonidan ishlab chiqilgani va testlanganligi bois, ko’p sonli foydalanuvchilar (ommaga oshkor etilganida) tomonidan testlanishi natijasida uning xavfsiz emasligi ko’p hollarda aniqlangan

Odatda kriptografiyada ma’lumotlarni shifrlashda (deshifrlashda) ikki turdagi akslantirishlardan foydalaniladi. Ulardan biri o’rniga qo’yish (substitution) akslantirishi, ikkinchisi o’rin almashish (permutation) akslantirishi. O’rniga qo’yish akslantirishi. Ushbu akslantirish sodda va zamonaviy simmetrik kriptografik algoritmlarning asosi hisoblanadi. O’rniga qo’yish akslantirishida, ochiq matn belgilari bir alfavitdan olinib, unga mos shifrmatn boshqa bir alfavitdan olinadi. Sodda ko’rinishda olingan o’rniga qo’yish akslantirishi asosida shifrlash uchun olingan matn quyida keltirilgan. Ushbu sodda shifrlash usuli Sezar nomi bilan mashhur. Masalan, agar ochiq matn “HELLO” ga teng bo’lsa, unga mos holda shifrmatn “KHOOR” ga teng bo’ladi. Mazkur holda shifrmatn alifbosi ochiq matn alifbosidan 3 taga surish natijasida hosil qilingan va shuning uchun shifrlash kalitini 3 ga teng deb qarash mumkin. Deshifrlash jarayonida esa shifrmatn simvollari shifrmatn alifbosidan olinib, unga mos ochiq matn alifbosidagi simvolga almashtiriladi. Masalan, shifrmatn “ILUVW” ga teng bo’lsa, unga mos ochiq matn “FIRST” ga teng bo’ladi.