S. K. Ganiyev, M. M. Karimov, K. A. Tashev

II BOB. AXBOROT XAVFSIZLIGIGA BO‘LADIGAN
 
TAHDIDLAR, HUJUMLAR VA ZAIFLIKLAR
2.1. Axborot xavfsizligiga tahdidlar va ularning tahlili
Axborot  xavfsizligiga  boMishi  mumkin  bo‘lgan  tahdidlarni 
tahlillash  yaratilayotgan  himoyalash  tizimiga  qo‘yiladigan  talab- 
larning  to‘liq  to‘plamini  aniqlash  maqsadida  amalga  oshiriladi. 
Odatda 
tahdid
  deganda  (umumiy  ma’noda)  kimningdir  manfaat- 
lariga zarar yetkazuvchi hodisa (ta’sir, jarayon yoki voqea) tushuni- 
ladi. 
Axborot  tizimiga  tahdid
 deganda  esa  axborot tizimining  xavf­
sizligiga  bevosita  yoki  bilvosita  zarar  yetkazuvchi  ta’sir  imkoni 
tushuniladi.
Zamonaviy axborot tizimida  saqlanuvchi va ishlanuvchi  axbo­
rot juda ko‘p omillaming ta’siriga duchor bo‘lishi  sababli tahdidlar- 
ning to‘liq to‘plamini tavsiflash masalasini formallashtirish mumkin 
emas.  Shuning uchun tahdidlaming to‘liq ro‘yxatini emas, balki tah­
didlar sinfming ro‘yxatini aniqlash maqsadga muvofiq hisoblanadi.
Axborot  tizimiga  bo‘lishi  mumkin  bo‘lgan  tahdidlarni  tasnif- 
lashni  ularning  quyidagi  alomatlari  bo‘yicha  amalga  oshirish 
mumkin:
1. 
Paydo bo ‘lish tabiati bo ‘yicha
 quyidagilar farqlanadi:
-  axborot  tizimiga  obyektiv  fizik  jarayonlar  yoki  tabiiy 
hodisalar ta’sirida paydo bo‘luvchi 
tabiiy tahdidlar,
-  inson  faoliyati  sabab  bo‘luvchi  axborot  tizimiga 
sun 'iy
 
tahdidlar.
2. 
Namoyon  bo ‘lishining  atayinligi  darajasi  bo ‘yicha
  quyida­
gilar farqlanadi:
- 
xodimning  xatosi  yoki  loqaydligi  tufayli  paydo  bo ‘luvchi
 
tahdidlar,
  masalan,  himoya vositasidan noto‘g‘ri  foydalanish; xatoli 
ma’lumotlami kiritish va h.;
- 
atayin  qilingan  harakat natijasida paydo  bo luvchi  tahdid~
 
lar,
  masalan, niyati buzuqlaming harakati.
22

3. 
Tahdidlarning  bevosita  manbai  bo'yicha
  quyidagilar 
farqlanadi:
- 
tabiiy muhit,
  masalan tabiiy ofat, magnit bo‘roni va h.;
- 
inson,
  masalan  xodimning  yollanishi,  konfidensial  ma’lu- 
motlaming oshkor etilishi va h.;
- 
ruxsat  etilmagan  dasturiy-apparat  vositalar,
  masalan, 
kompyuteming buzg‘unchi funksiyali viruslar bilan zaharlanishi.
4. 
Tahdidlar  manbaining  holati  bo'yicha
  quyidagilar  farq­
lanadi:
- 
nazoratlanuvchi  axborot  tizimi  zonasidan  tashqarisidagi
 
manba,
  masalan,  aloqa  kanali  bo‘yicha  uzatiluvchi  ma’lumotlami, 
qurilmalaming  elektromagnit,  akustik  va  boshqa  nurlanishlarini 
ushlab qolish;
- 
nazoratlanuvchi axborot tizimi chegarasidagi manba,
  masa­
lan,  yashirincha  eshitish  qurilmalaridan  foydalanish,  yozuvlami, 
axborot eltuvchilarni o‘g‘rilash va h.
- 
bevosita  axborot tizimidagi manba,
  masalan,  axborot tizimi 
resurslaridan noto‘g‘ri foydalanish.
5. 
Axborot  tizimi faolligining  darajasiga  bog'liqligi  bo'yicha
 
quyidagilar farqlanadi:
- 
axborot  tizimi  faolligiga  bog'liq  bo'lmagan  tahdidlar,
 
masalan axborot kriptohimoyasining fosh etilishi;
- 
faqat  m a’lumotlarni  ishlash jarayonidagi  tahdidlar,
  masa­
lan, dasturiy viruslami yaratish va tarqatish tahdidi.
6. 
Axborot  tizimiga  ta ’sir  darajasi  bo ‘yicha
  quyidagilar 
farqlanadi:
- 
passiv tahdidlar,
 ushbu tahdidlar amalga oshirilganida axbo­
rot  tizimi  strukturasi  va  mazmunida  hech  narsa  o‘zgarmaydi, 
masalan, maxfiy ma’lumotlami nusxalash tahdidi;
- 
aktiv  tahdidlar,
  ushbu  tahdidlar  amalga  oshirilganida 
axborot  tizimi  va  strukturasi  va  mazmuniga  o‘zgarishlar  kiritiladi, 
masalan troyan oti va viruslaming kiritilishi.
7. 
Foydalanuvchilarning  yoki  dasturlarning  axborot  tizimi
 
resurslaridan  foydalanish  bosqichlari  bo'yicha
  quyidagilar  farq­
lanadi:
23

- 
axborot  tizimi  resurslaridan foydalanish  bosqichida  namo-
 
yon  b o ‘luvchi  tahdidlar,
  masalan,  axborot  tizimidan  ruxsatsiz 
foydalanish tahdidlari;
- 
axborot  tizimi  resurslaridan  foydalanishga  ruxsat  beril-
 
ganidan  keyingi  tahdidlar,
  masalan,  axborot  tizimi  resurslaridan 
ruxsatsiz yoki noto‘g‘ri foydalanish tahdidlari.
8. 
Axborot  tizimi  resurslaridan foydalanish  usullari  b o ‘yicha
 
quyidagilar farqlanadi:
- 
axborot  resurslaridan foydalanishning standart yo ‘lini  ish-
 
latadigan  tahdidlar,
  masalan,  parollarga  va  foydalanishni  chega- 
ralashning  boshqa  rekvizitlariga  noqonuniy  ega  bo‘lib,  ro‘yxatga 
olingan foydalanuvchi sifatida niqoblanish tahdidi;
- 
axborot  resurslaridan foydalanishning yashirin  nostandart
 
у  о ‘lini ishlatadigan  tahdidlar,
 masalan,  operatsion tizimning hujjat- 
lanmagan  imkoniyatlarini  ishlatib,  axborot  tizimi  resurslaridan 
foydalanish tahdidi.
9. 
Axborot tizimida saqlanadigan va ishlanadigan axborotning
 
joriy joylanish joyi bo ‘yicha
 quyidagilar farqlanadi:
- 
tashqi  xotira  qurilmalaridagi  axborotdan foydalanish  tah­
didi,
 masalan, qattiq diskdan maxfiy axborotni ruxsatsiz nusxalash;
- 
asosiy  xotira  axborotidan  foydalanish  tahdidi,
  masalan, 
asosiy xotiraning qoldiq axborotini o ‘qish;
- 
aloqa  kanallarida  aylanuvchi  axborotdan foydalanish  tah­
didi,
  masalan,  aloqa  kanaliga  noqonuniy ulanib,  yolg‘on  xabarlami 
kiritish yoki uzatilayotgan xabarlami modifikatsiyalash;
- 
terminalda yoki printerda  aks  ettirilgan  axborotdan foyda­
lanish  tahdidi,
  masalan,  aks  ettirilgan  axborotni yashirincha  video- 
kamera yordamida yozib olish.
Yuqorida  qayd  etilganidek,  axborot  tizimiga  xavfli  ta’sirlar 
tasodifiylariga yoki  atayinlariga bo'linadi.  Axborot  tizimini  loyiha- 
lash,  yaratish  va  ekspluatatsiya  qilish  tajribasining  tahlili  ko‘rsa- 
tadiki,  axborot axborot tizimining barcha ishlash bosqichlarida turli 
tasodifiy ta’sirlar ostida bo‘ladi.
Axborot tizimining ekspluatatsiyasida 
tasodifiy ta ’sir
 sabablari 
quyidagilar boiishi mumkin:
-  tabiiy  ofat  va  elektr  ta’minotining  uzilishi  sababli  avariya 
holatlari;
24

-  apparaturaning ishdan chiqishi;
-  dasturiy ta’minotdagi xatoliklar;
-  xizmatchi 
xodim 
va 
foydalanuvchilar 
faoliyatidagi 
xatoliklar;
-  tashqi muhit ta’siri sababli aloqa kanalidagi xalallar.
Dasturiy  ta’minotdagi  xatoliklar  eng  ko‘p  uchraydi.  Chunki,
serverlar, ishchi stansiyalar, marshrutizatorlar va hokazolaming das­
turiy  ta’minoti  inson  tarafidan  yoziladi  va  demak,  ularda  deyarli 
doimo xatoliklar mavjud.  Dasturiy ta’minot qancha murakkab bo‘l- 
sa,  undagi  xatoliklami  va  zaifliklarni  aniqlash  ehtimolligi  shuncha 
katta  bo‘ladi.  Ulaming  aksariyati  hech  qanday  xavf tug‘dirmaydi, 
ba’zilari  esa  niyati  buzuqning  serverni  nazoratlashi,  serveming 
ishdan  chiqishi,  resurslardan  ruxsatsiz  foydalanish  kabi  jiddiy 
oqibatlarga  sabab  bo‘lishi  mumkin.  Odatda  bunday  xatoliklar 
dasturiy ta’minot ishlab chiqaruvchilar tomonidan muntazam taqdim 
etiluvchi  yangilash  paketi  yordamida  bartaraf  etiladi.  Bunday 
paketlaming o‘z vaqtida  o‘rnatilishi  axborot xavfsizligining zaruriy 
sharti hisoblanadi.
Atayin  qilinadigan  tahdidlar
  niyati  buzuqning  maqsadga  yo‘- 
naltirilgan  harakatlari  bilan bog‘liq.  Niyati  buzuq  sifatida  tashkilot 
xodimini,  qatnovchini,  yollangan  kishini  va  h.  ko‘rsatish  mumkin. 
Avvalo  tashkilot,  xodimining  niyati  buzuq  bilan  tushungan  holda 
hamkorlik  qilishiga  e’tibor  berishi  lozim.  Bunday  hamkorlikka 
undovchi sabablar quyidagilar:
-  tashkilot xodimining rahbariyatga qasdlik qilish maqsadida;
-  niyati buzuq qarashlaming haqqoniyligiga ishongan holda;
-  xodimning  tashkilot  rahbariyatining  noqonuniy  faoliyat 
yuritilayotganligiga ishongan holda;
-  yolg‘on harakatlar,  ta’magirlik,  shantaj, xarakteming 
sal- 
biy jihatlaridan foydalanish, zo‘rlash yo‘li bilan hamkorlikka undash 
va h.
25

Download 7,8 Mb.

Do'stlaringiz bilan baham: