2022
Mavzu: Axborot Xavfsizligini Ta’minlash usullari
Reja:
Kirish.
Axborot xavfsizligiga bo’ladigan tahdidlar, hujumlar va zaifliklar.
Xavfsizlik Modellari.
Axborotni Kriptografik himoyalash.
Xulosa.
Foydalanilgan Adabiyotlar.
KIRISH
Axborot xavfsizligiga bo’lishi mumkin bo’lgan tahdidlarni tahlillash yaratilayotgan himoyalash tizimiga qo’yiladigan talablarning to’liq to’plamini aniqlash maqsadida amalga oshiriladi. Odatda “tahdid” deganda (umumiy ma’noda) kimningdir manfaatlariga zarar yetkazuvchi hodisa (ta’sir, jarayon yoki voqea) tushuniladi. “Axborot tizimiga tahdid” deganda esa axborot tizimining xavfsizligiga bevosita va bilvosita zarar yetkazuvchi ta’sir imkoni tushuniladi.
Zamonaviy axborot tizimida saqlanuvchi va ishlanuvchi axborot juda ko’p omillarning ta’siriga duchor bo’lishi sababli tahdidlarning to’liq to’plamini tavsiflash masalasini formallashtirish mumkin emas. Shuning uchun tahdidlarning to’liq ro’yxatini emas, balki tahdidlar sinfining ro’yxatini aniqlash maqasadga muvofiq hisoblanadi.
Axborot tizimiga bo’lishi mumkin bo’lgan tahdidlarni tasniflashni ularning quyidagi alomatlari bo’yicha amalga oshirish mumkin:
“Paydo bo’lish tabiati” bo’yicha quyidagilar farqlanadi:
axborottizimigaobyektivfizikjarayonlaryokitabiiyhodisalarta’siridapaydobo’luvchi “tabiiytahdidlar” ;
insonfaoliyatisababbo’luvchiaxborottizimiga“sun’iytahdidlar”.
Namoyonbo’lishiningatayinligidarajasibo’yichaquyidagilarfarqlanadi:
xodimningxatosiyokiloqaydligitufaylipaydobo’luvchitahdidlar, masalan, himoyavositasidannoto’g’rifoydalanish; xatolima’lumotlarnikiritishva h.;
atayinqil;ingan harakat natijasidapaydobo’luvchitahdidlar, masalan, niyatibuzuqlarningharakati.
Tahdidlarningbevositamanbaibo’yichaquyidagilarfarqlanadi:
“Tabiiymuhit” masalan, tabiiyofat, magnitbo’roniva h.;
“Inson” masalan, xodimningyollanilishi, konfidensialma’lumotlarningoshkoretilishiva h.;
“ruxsatetilmagandasturiy-apparat vositalari” masalan, kompyuterningbuzg’unchifunksiyaliviruslaribilanzaharlanishi.
Tahdidlarmanbainingholatibo’yichaquyidagilarfarqlanadi;
“nazoratlanuvchiaxborottizimizonasidantashqarisidagimanba” masalan, aloqakanalibo’yichauzatiluvchima’lumotlarni, qurulmalarnielektromagnit, akustikvaboshqanurlanishlariniushlabqolish;
“nazoratlanuvchiaxborottizimichegarasidagimanba” masalan, yashirinchaeshitishqurilmalaridanfoydalanib, yozuvlarni, axboroteltivchilarnio’g’irlashva h.;
“bevositaaxborottizimidagimanba” masalan, axborottizimiresurslaridannoto’g’rifoydalanish.
Axborottizimifaolliginingdarajasigabog’liqligibo’yichaquyidagilarfarqlanadi:
“axborottizimifaolligigabog’liqbo’lmagantahdidlar” masalan, axborotkriptohimoyasinigfoshetilishi;
“faqatma’lumotlarniishlashjarayonidagitahdidlar” masalan, dasturiyviruslarniyaratishvatarqatishtahdidi.
Axborottizimigata’sirdarajasibo’yichaquyidagilarfarqlanadi:
“passivtahdidlar” ushbutahdidlaramalgaoshirilganidaaxborottizimivastrukturasivamazmunidahechnarsao’zgarmaydi, masalan, maxfiyma’lumotlarninusxalashtahdidi;
“aktivtahdidlar” ushbutahdidlaramalgaoshirilgandaaxborottizimivastrukturasivamazmunigao’zgarishlarkiritiladi, masalan, troyanotivaviruslarningkiritilishi.
Foydalanuvchilarningyokidasturlarningaxborottizimiresurslaridanfoydalanishbosqichlaribo’yichaquyidagilarfarqlanadi:
“axborottizimiresurslaridanfoydalanishbosqichidanamoyonbo’luvchitahdidlar” masalan, axborottizimidanruxsatsizfoydalanishtahdidlari;
“axborottizimiresurslaridanfoydalanishgaberilganidankeyingitahdidlar” masalan, axborottizimiresurslaridanruxsatsizyokinoto’g’rifoydalanishtahdidlari.
Axborottizimiresurslaridanfoydalanishusullaribo’yichafarqlanadi:
“axborotresurslaridanfoydalanishnigstandartyo’liniishlatadigantahdidlar” masalan, parollargavafoydalanishnichegaralashningboshqarekvizitlariganoqonuniyegabo’lib, ro’yxatgaolinganfoydlanuvchisifatidaniqoblanishtahdidi;
“axborotresurslaridanfoydalanishningyashirinyokinostandartyo’liniishlatadigantahdidlar” masalan, operatsiontizimninghujjatlanmaganimkoniyatlariniishlatib, axborottizimiresurslaridanfoydalanishtahdidi.
Axborottizimidasaqlanadiganvaishlanadiganaxborotningjoriyjoylanishjoyibo’yichaquyidagilarfarqlanadi:
“tashqixotiraqurilmalaridagiaxborotdanfoydlanishtahdidi” masalan, qattiqdiskdanmaxfiyaxborotniruxsatsiznusxalash;
“asosiyxotiraaxborotidanfoydalanishtahdidi” masalan, asosiyxotiraningqoldiqaxborotinio’qish;
“aloqakanallaridaaylanuvchiaxborotdanfoydalanishtahdidi” masalan, aloqakanaliganoqonuniyulanib, yolg’onxabarlarnikiritishyokiuztilayotganxabarlarnimodifikatsiyalash;
“terminaldayokiprinterdaaksettirilganaxborotdanfoydalanishtahdidi” masalan, aksettirilganaxborotniyashirincha video-kamerayordamidayozibolish.
Yuqoridaqaydetilganidek, axborottizimigaxavflita’sirlartasodifiylarigavaatayinlilarigabo’linadi. Axborottiziminiloyihalash, yaratishvaekspluatatsiyaqilishtajribasiningtahliliko’rsatadiki, axborottiziminingbarchaishlashbosqichlaridaturlitasodifiyta’sirlarbo’ladi.
Axborottiziminingekspluatatsiyadatasodifiyta’sirsabablariquyidagilarbo’lishimumkin:
Tabiiyofatvaelektrta’minotininguzilishisababliavariyaholatlari;
Apparaturaningishdanchiqishi;
Dasturiyta’minotdagixatoliklar;
Xizmatchixodimvafoydalanuvchilarfaoliyatidagixatoliklar;
Tashqimuhitta’sirisabablialoqakanalidagixalaqitberishlar.
Dasturiyta’minotdagixatoliklarengko’puchraydi. Chunki, serverlar, ishchistansiyalar, marshrutizatorlarvahokazolarningdasturiyta’minotiinsontomonidanyoziladivademak, ulardadeyarlidoimoxatoliklarmavjud. Dasturiyta’minotqanchamurakkabbo’lsa, undagixatoliklarvazaifliklarnianiqlashshunchalikko’pbo’ladi. Ularningaksariyatihechqandayxavftug’dirmaydi, ba’zilariesaniyatibuzuqlarningserverninazoratlashi, serverningishdanchiqishi, resurslardanruxsatsizfoydalanishkabijiddiyoqibatlargasababbo’lishimumkin. Odatdabundayxatoliklardasturiyta’minotishlabchiqaruvchilartomonidanmuntazamtaqdimetiluvchiyangilanishpaketiyordamidabartarafetiladi. Bundaypaketlarningo’zvaqtidao’rnatilishiaxborotxavfsizliginingzaruriyshartihisoblanadi.
Atayinqilinadigantahdidlarniyatibuzuqningmqasadgayo’naltirilganharaktlaribilanbog’liq. Niyati buzuq sifatidatashkilotxodimini, qatnovchini, yollangankishiniva h. ko’rsatishmumkin. Avvalotashkilot, xodimningniyati buzuq bilantushunganholdahamkorlikqilishigae’tiborberishilozim. Bundayhamkorlikkaundovchisabablarquyidagilar:
Tashkilotxodimningrahbariyatgaqasdlikqilishmaqsadida;
Niyati buzuq qarashlarninghaqqoniyligigaishonganholda;
Xodimningtashkilotrahbariyatiningnoqonuniyfaoliyatyuritilayotganligigaishonganholda ;
Yolg’onharakatlar, ta’magirlik, shantaj, xarakterningsalbiyjihatlaridanfoydalanish, zo’rlashyo’libilanhamkorlikkaundashva h.
Zaifliklartashkilotaktivlaribilanassotsiyatsiyalanganhimoyaningkuchsizliklariniifodalaydi. Ushbukuchsizliklarnomaqbulmojarolargasababbo’luvchibittayokibirnechatahdidlartomonidanfoydlanishmumkin. Zaifliknio’zizararyetkazmaydi, balkiaktivlargazararyetkazishgaimkonberuvchisharoityokisharoitlarto’plamihisoblanadi.
Boshqachaaytganda, zaiflik – tahdidlarnimuvoffaqiyatliamalgaoshirilishigaimkonberuvchi har qandayomillar. Shu sabablizaifliklarnibaholashuchunmavjudxavfsizlikmexanizmlariniidentifikatsiyalashvaularningsamaradorliginiifodalashyokibaholashzarur.
Aktivlargazararyetkazaoluvchimojarolargasababbo’lishuchuntahdidlarvazaifliklarorasidagibog’liqliknianiqlashzarur.
2.Xavfsizliksiyosatidegandaaxborotningishlashjarayoniniqat’iybelgilovchiumumiytartibvaqoidalarmajmuitushuniladiki, ularningbajarilishima’lumtahdidlarto’plamidanhimoyalanishnita’minlaydivatizimxavfsizliginingzaruriy (ba’zidayetarli) shartinitashkiletadi. Xavfsizliksiyosatining formal ifodasixavfsizliksiyosatiningmodeli deb ataldi.
Himoyalanganaxborottizimlariniishlabchiqruvchilarxavfsizlikmodelidanquyidagihollardafoydalanishadi:
Ishlabchiqariladigantizimxavfsizligisiyosatining formal spetsifikatsiyasini (tafsilotniro’yxatini) tuzish;
Himoyavositalariniamalgaoshirishmexanizmlarinibelgilovchihimoyalangantizimarxitekturasiningbazaviyprinsiplarinitanlashvaasoslash;
Tizimxavfsizligini etalon model sifatidatahlillashjarayonida;
Xavfsizliksiyosatigaamalqilishning formal isbotiyo’libilanishlabchiqariladigantizimxususiyatlarinitasdiqlash;
Iste’molchilarxavfsizlikningformal modellarinituzishyo’libilanishlabchiqaruvchilargao’zlariningtalablarinianiqvaziddiyatlibo’lmaganshakldayetkazishhamdahimoyalangantizimlarningo’zlariningehtiyojlarigamosliginibaholashimkoniyatigaegabo’ladilar.
Kvalifikatsiya (malaka) bo’yichaekspertlarhimoyalangantizimlardaxavfsizliksiyosatiningamalgaoshirilishadekvatliginitahlillashmobaynidaxavfsizlikmodelidan etalon sifatidafoydalanadilar.
Xavfsizlikmodeliquyidagibazaviytasavvurlargaasoslangan.
Tizimo’zaroharakatdagisubyektlarvaobyektlarmajmuasidaniborat. Obyektlarniintuitivravishdaaxborotlikonteynerlarko’rinishidatasavvuretishmumkin, subyektlarniesaobyektlargaturliusullarbilanta’siretuvchibajariluvchidasturlar deb hisoblashmumkin. Tizimnibundaytasavvuretishdaaxborotniishlashxavfsizligi, xavfsizliksiyosatinishakllantiruvchiqoidalarvacheklashlarto’plamigamosholdasubyektlarningobyektlardanfoydalanishniboshqarishmasalasiniyechishorqalita’minlanadi. Agar subyektlarxavfsizliksiyosatiqoidalarinibuzishimkoniyatigaegabo’lmasalar, tizimxavfsizhisoblanadi. Ta’kidlashlozimki, “obyekt” va “subyekt” tushunchalariningtavsifiturlimodellardajiddiyfarqlanishimumkin.
Tizimdagibarchao’zaroharakatlarsubyektlarvaobyektlarorasidama’lumxildagimunosabatlarnio’rnatishorqalimodellashtiriladi.
Barchaamallaro’zaro harakat monitoriyordamidanazoratlanadivaxavfsizliksiyosatiqoidalarigamuvofiq man etiladiyokiruxsatberiladi.
Xavfsizliksiyosatiqoidalariko’rinishidaberiladi, buqoidalargamosholdasubyektlarvaobyektlarorasidabarchao’zaroharakatlaramalgaoshirilishishart. Ushbuqoidalarnibuzulishigaolibkeluvchio’zaroharakatlarfoydalanishninazoratlovchivositalaryordamidato’sibqo’yiladivaamalgaoshirilishimumkinemas.
Subyektlar, obyektlarvaularorasidagimunosabatlar (o’rnatilgano’zaroharakat) to’plamitizim “holatini” belgilaydi. Tizimning har birholatimodeldataklifetilganxavfsizlikmezonigamuvofiq, xavfsizyokitahlikalibo’ladi.
Xavfsizlikmodeliningasosiyelementi – xavfsizholatidagitizimbarchao’rnatilganqoidavacheklashlargarioyaqilinganidatahlikaliholatgao’tishmumkinemasligitasdig’ining (teoremasining) isboti.
Foydalanishniboshqarishningmandatlimodeliko’pginamamlakatlarningdavlatvahukumatmuassasalaridaqabulqilinganmaxfiyhujjatalmashishqoidalarigaasoslangan.
Bella-LaPadulasiyosatiningasosiymazmuniamaliyhayotdanolinganbo’lib, himoyalanuvchiaxborotniishlashdaqatnashuvchilargavabuaxborotmavjudbo’lganhujjatlargaxavfsizliksathinominiolganmaxsusbelgi, masalan, “maxfiy” “mutlaqomaxfiy” va h. kabilarnitayinlashdaniborat. Xavfsizlikningbarchasathlario’rnatilganustunlikmunosabatiasosidatartiblanadi, masalan, “mutlaqomaxfiy” sathi “maxfiy” sathidanyuqoriyokiundanustunturadi. Foydalanishninazoratlasho’zaroharakatdagitomonlarningxavfsizliksathlarigabog’liqholdaquyidagi 2 ta oddiyqoidaasosidaamalgaoshiriladi:
Vakolatlishaxs (subyekt) faqatxavfsizliksathio’ziningxavfsizliksathidanyuqoribo’lmaganhujjatlardanaxborotnio’qishgahaqli.
Vakolatlishaxs (subyekt) xavfsizliksathio’ziningxavfsizliksathidanoastbo’lmaganhujjatlargaaxborotkiritishgahaqli.
Birinchiqoidayuqorishaxssathlaritomonidanishlanadiganaxborotdan past sathshaxslaritomonidanfoydalanishdanhimoyalanishnita’minlaydi.
Ikkinchiqoida (juda muhim qoida) axborotningsirqibchiqishini (bilibyokibilmasdan) bartarafetadi.
Shundayqilib, diskretsionmodellardafoydalanishniboshqarishfoydalanuvchilargama’lumobyektlarustidama’lumamallarnibajarishvakolatiniberishyo’libilanamalgaoshirilsa, mandatlimodellarfoydalanishnixufiyaholda – tizimningbarchasubyektvaobyektlarigaxavfsizliksathlarinibelgilashyordamidaboshqaradi.
Ushbuxavfsizliksathlarisubyektlarvaobyektlarorasidagijoizo’zaroharakatlarnianiqlaydi. Demak, foydalanishnimandatliboshqarishbirxilxavfsizliksathiberilgansubyektlarvaobyektlarnifaqrlamaydivaularningo’zaroharakatigacheklashlarmavjudemas. Shu sababli, foydalanishniboshqarishmoslanuvchanlikni talab qilganid, mandatli model qandaydirdiskretsion model bilanbirgalikdaqo’llaniladi. Bundadiskretsion model birsathdagisubyektvaobyektlarorasidagio’zaroharakatninazoratlashdavamandatlimodelnikuchaytiruvchiqo’shimchacheklashlarnio’rnatishdaishlatiladi.
Rollimodelixavfsizliksiyosatiningmutlaqoo’zgachaxilihisoblanadiki, busiyosatdiskretsionmodelgaxosfoydalanishniboshqarishdagimoslanuvchanlikbilanmandatlimodelgaxosfoydalanishninazoratlashqoidalariningqat’iyligiorasidagimurosagaasoslangan.
Rollimodelda “subyekt” tushunchasi “foydalanuvchi” va “rol” tushunchalaribilanalmashtiriladi. Foydalanuvchi – tizimbilanishlovchivama’lumxizmatvazifalarinibajaruvchiodam. Rol – tizimidafaolishtiroketuvchiabstrakttushunchabo’lib, u bilanma’lumfaoliyatniamalgaoshirishuchunzarurvakolatlariningchegaralangan, mantiqiybog’liqto’plamibog’langan.
Rolsiyosatikengtarqalgan, chunkibusiyosatboshqaqat’iyvarasmiysiyosatlardanfarqlio’laroq real hayotgajudayaqin. Haqiqatdantizimdaishlovchifoydalanuvchilarshaxsiyismidan harakat qilmay, ma’lumxizmatvazifalariniamalgaoshiradi, ya’nio’zlariningshaxsibilanbog’liqbo’lmaganqandaydirrollarnibajaradi.
Xavfsizlik standartlarining asosiy maqsadi axborot texnologiyalari mahsulotlarini ishlab chiqaruvchilar, iste’molchilar va kvalifikatsiyalash bo’yicha ekspertlari orasida o’zaro aloqani yaratish hisoblanadi.
“Ishlab chiqaruvchilar” uchun satandartlar, axborot mahsulotlarining imkoniyatlarini taqqoslash uchun zarur. Undan tashqari standartlar axborot mahsulotlari xususiyatlarini obyektiv baholash mexanizmi hisoblanuvchi, sertifikatsiyalash muolajalari uchun zarur.
“Iste’molchilar” ehtiyojlariga muvofiq axborot mahsulotini asosli tanlashga imkon beruvchi usulga manfaatdordurlar. Buning uchun ularga xavfsizlikni baholash shkalasi zarur.
Axborot texnologiyalari mahsulotlarini kvalifikatsiyalash bo’yicha ekspertlar standartlarni ularga axborot texnologiyalari mahsulotlari tomonidan ta’minlanuvchi xavfsizlik darajasini baholashga imkon beruvchi instrument sifatida qabul qiladilar.
ISO/IEC 27001:2005 – “Axborot texnologiyalari. Xavfsizlikni ta’minlash metodlari. Axborot xavfsizligini boshqarish tizimlari.Talablari”. Ushbu standart axborot xavfsizligini boshqarish tizimini (AXBT) ishlab chiqish, joriy etish, uning ishlashi, monitoring, tahlili, unga xizmat ko’rsatish va uni takomillashtirish modeli va talablaridan iborat. AXBT joriy etilishi tashkilotning strategic qarori bo’lib qolishi kerak. AXBT ni ishlab chiqish va joriy etishda xavfsizlikning ehtiyojlari, maqsadlari, foydalaniladigan jarayonlari, tashkilotning ko’lami va strukturasi hisobga olinishi kerak. AXBT va uning yordamchi tizimlari vaqt o’tishi bilan o’zgaradi degan taxmin bor. Shuningdek, AXBT ni kengaytirish masshtablari tashkilotning ehtiyojlariga bog’liq bo’ladi, masalan, oddiy vaziyat AXBT uchun oddiy yechimni talab qiladi. Muvofiqlikni baholash uchun ushbu standartdan ichki va tashqi tomonlar foydalanishi mumkin.
Jarayonli yondashuv. Ushbu standart tashkilot AXBTni ishlab chiqish, joriy etish, uning ishlashi, monitoring, tahlili, unga xizmat ko’rsatish va uni takomillashtirishda jarayonli yondashuvning qo’llanilishiga yo’naltirilgan.
Tashkilot muvoffaqiyatli ishlashi uchun faoliyatning ko’p sonli o’zaro bog’liq turlarini aniqlash va ularni boshqarishni amalga oshirishi kerak. Aktivlardan foydalanuvchi va kirishlarni chiqishlarga o’zgartirish maqsadida boshqariladigan faoliyatning barcha turlariga jarayonlar sifatida qarash mumkin. Ko’pincha bir jarayonning chiqishi keying jarayonning bevosita kirishini hosil qiladi.
Tashkilotda jarayonlar tizimini identifikatsiyalash va ularning o’zaro harakati bilan bir qatorda jarayonlar tizimidan foydalanish, shuningdek, jarayonlarni boshqarish jarayonli yondashuv deb hisoblanishi mumkin. Umumjahon standartlarini inobatga olgan holda aytish kerakki nafaqat O’zbekiston balki butun dunyoda hozirgi kunda ishlatilayotgan va amal qilinadigan standartlar haqida qisqacha ma’lumot berib o’taman va bular asnosida milliy xavfsizlik tizimimiz qonunlari haqida ham qisqacha so’zlar:
O’zDStISO/IEC 27005:2013 – “Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari. Axborot xavfsizligi risklarini boshqarish’.
O’zDStISO/IEC 27006:2013 – “Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari. Axborot xavfsizligini boshqarish tizimlarining auditi va ularni sertifikatlashtirish organlariga qo’yiladigan talablar”. Shular jumlasidan hozirgi kunda zarur bo’lgan shart va sharoitlarni yaratish va ularni takomillashtirish to’g’risida juda ko’plab qaror va qonunlar shartnoma va kelishuvlar imzolanib kelinmoqda zeo mana shu bo’layotgan yengilliklar kelajak avlod uchun ularning yetuk, barkamol inson bo’lishi uchun xizmat qiladi degan umid bilan yaratiladi. Shunga ishonib aytamanki albatta yoshlar bu kabi berilayotgan e’tiroflarni oqlaydi.
Foydalanilgan Adabiyotlar Ro’yxati:
S.K.G’aniyev, M.M.Karimov, K.A.Tashev.
“Axborot xavfsizligi”
“Fan va texnologiya” nashriyoti, 2017.
O’zbekiston Respublikasi Prezidentining “Istedod” jamg’armasi
“Axborot xavfsizligi: Muammo va Yechimlar”
“O’zbekiston yozuvchilar uyushmasi Adabiyot jamg’armasi”
Nashriyoti, 2004.
Do'stlaringiz bilan baham: |