S. K. Ganiyev, M. M. Karimov, ica. Tashev


Kadr resurslarining xavfsizligi (ISOdEC 27002:2005,8-



Download 1.64 Mb.
bet12/267
Sana28.09.2021
Hajmi1.64 Mb.
1   ...   8   9   10   11   12   13   14   15   ...   267
1. Kadr resurslarining xavfsizligi (ISOdEC 27002:2005,8-

bo‘lim)

Zaiflik

Zaiflikdan foydalanuvchi tahdid

Xavfsizlikni yetarlicha o‘rga- tilmasligi.

Texnik madadlash xodimining xatosi.

Xavfsizlik masalalaridan bexa- barligi.

Foydalanuvchilar xatosi.

Monitoring mexanizmlarining mavjud emasligi.

Dasturiy ta’minotdan ruxsatsiz foydalanish.








Telekommunikatsiya va xabar- larni uzatish vositalaridan kor- rekt (to‘g‘ri) foydalanish bo‘yi- cha siyosatning mavjud ernasligi.

Tarmoq uskunasidan ruxsatsiz foydalanish.

Ishdan bo‘shatilganda foydala­nish huquqi bekor qilinmaydi.

Ruxsatsiz foydalanish.

Ishdan bo'shatilganda resurslarni qaytarishni kafolatlovchi muo- laia mavjud emas.

0‘g‘rilik.

Asossiz yoki norozi xodim.

Axborotni ishlovchi vositalar- ning suiiste’mol qilinishi.

Begona xodimning yoki ishdan keyin ishlovchi xodimning nazoratsiz ishlashi.

0‘g‘rilik.








2. Fizik xavfsizlik va atrof-muhit xavfsizligi (ISO/LEC 27002:2005, 9-bo‘Iim)

Zaiflik

Zaiflikdan foydalanuvchi tahdid

Binodan, xonalardan, ofislardan adekvat bo'lmagan yoki e’tibor- siz fizik nazoratlash mexianizm- laridan foydalanish.

Atayin zarar yetkazish.

Binom, eshiklami va derazalarni fizik himoyalashning yo‘qligi.

0‘g‘rilik.

Suv toshishiga duchor zonada joylanishi.

Cho‘kish.

Himoyalanmagan saqlash.

0‘g‘rilik.

Axborotni saqlash vositalarining nomuvofiq o‘rnatilishi/nomuno- sib olib yurilishi.

Olib yurilishi jarayonida xatolik.

Uskunani davriy almashtirish sxemasining yo'qligi.

Axborotni saqlash vositalarining eskirishi.

Uskunaning namlikka, changlik- ka va ifloslanishga duchor bo‘- lishi.

Chang bosishi.

Uskunaning harorat o‘zgarishiga

Harorat rejimining buzilishi.








duchor bo‘lishi.




Uskunaning kuchlanish o‘zga- rishiga duchor bo‘lishi.

Elektr manbaining fluktuatsiyasi.

Beqaror elektr manbai.

Elektr manbaining fluktuatsiyasi.








3. Kommunikasiyalarni va amallarni boshqarish (ISO/OEC 27002:2005,10-bo‘lim)

Zaiflik

Zaiflikdan foydalanuvchi tahdid

Murakkab foydalanuvchi inter- feysi.

Xodim xatosi.

Axborotni saqlash vositalarini tegishlicha tozalamasdan o‘tka- zish yoki ulardan takroran foyda- lanish.

Axborotdan ruxsatsiz foyda- lanish.

0‘zgarishlaming adekvat bo‘l- magan nazorati.

Xavfsizlik tizimining to‘xtab qolishi.

Tarmoqni adekvat bo‘lmagan boshqarish.

Trafikning ortiqcha yuklanishi.

Zaxirali nusxalash muolajalari- ning yo‘qligi.

Axborotning yo‘qolishi.

Xabaming jo‘natilganligi yoki olinganligi xususidagi isbotning yo‘qligi.

Javobgarlikdan bosh tortish.

Zarar keltiruvchi koddan himo- yalashda ishlatiluvchi dasturiy ta’minotning yangilanmasligi.

Vims infeksiyasi.

Vazifalaming taqsimlanmagan- ligi.

Tizimni suiiste’mol qilish (taso- difiy yoki atayin).

Test va ishchi uskunaning ajratilmaganligi.

Harakatdagi tizimni ruxsatsiz modifikatsiyalash.

Naz;oratsiz nusxalash.

0‘g‘rilik.

Umumfoydalanuvchi tarmoqlar- ga himoyalanmagan ulanishlar.

Dasturiy ta’minotdan avtorizat- siyalanmagan foydalanuvchilar- ning foydalanishi.








4. Foydalanish nazorati (ISCMEC 27002:2005, 11-bo‘Iim)

Zaiflik

Zaiflikdan foydalanuvchi tahdid

Tarmoqdarda foydalanishni no- to‘g‘ri cheklash.

Tarmoqqa ruxsatsiz ulanish.

Toza stollar va toza ekranlar siyosatining yo'qligi.

Axborotning yo‘qolishi yoki shikastlanishi.

Foydalanuvchilarning autentifi- katsiyasi kabi identifikatsiya va autentifikatsiya mexanizmlari- ning yo'qligi.

Begona foydalanish identifika- torini o‘zlashtirish.

Mobil kompyuter uskuna himo- yasining yo'qligi.

Axborotdan ruxsatsiz foyda­lanish.

Ishchi stansiya aloqani uzganida tizimdar chiqaolmasligi.

Avtorizatsiyalanmagan foydalanuvchilar tomonidan das­turiy ta’minotning ishlatilishi

Dasturiy ta’minotni testlashning nomuvofiq xajmda o'tkazilishi yoki yo'qligi.

Avtorizatsiyalanmagan foydalanuvchilar tomonidan das­turiy ta’minotning ishlatilishi.

Foydalanuvchilarning foydala­nish huquqlari nazoratining va tahlilining yo'qligi.

Tashkilotni tark etgan yoki ish joyini o'zgartirgan foydalanuv­chilar tomonidan foydalanish.

Parollarni yomon boshqarish (osongim aniqlanadigan parol lar, tez-tez almashtirmaslik va h.).

Begona foydalanish identifikato- rini o‘zlashtirish.

Tizim utilitalaridan nazoratsiz foydalanish.

Tizim yoki ilovani nazoratlash mexanizmlariga rioya qilmaslik.








5. Axboi ot tizimlariga erishish (xarid qilish), ishlab chiqish va kuzatish (ISOflEC 27002:2005,12-bo‘Iim)

Zaiflik

Zaiflikdan foydalanuvchi tahdid

Kritpografik kalitlarni nomuvo­fiq himoyalash.

Axborotning oshkor etilishi.

Kriptografiyadan foydalanish so- hasidagi mukammal bo'lmagan siyosat.

Qonunlarning yoki me’yoriy asoslarning buzilishi.








Kiruvchi yoki chiquvchi ma’- lumotlar nazoratining yo‘qligi.

Xatolik.

Ishlanadigan ma’lumotlarning tekshirilmasligi.

Axborotning buzilishi.

Dastnriy ta’minotni testlashning yo‘qligi yoki yetarlicha hajmda bajarilmasligi.

Avtorizatsiyalanmagan foydala- nuvchilarning dasturiy ta’mi- notdan foydalanishi.

Yomon hujjatlangan dasturiy ta’minot.

Texnik madadlovchi xodimning xatosi.

Ishlab chiqaruvchilar uchun tu- shunarsiz: yoki to‘liq boMmagan spetsifikatsiyalar.

Dasturiy ta’minotning adashishi.

Dasturiy ta'minotning nazoratsiz yuklanishi va ishlatilishi.

Zarar yetkazuvchi dasturiy ta’- minot.

Korporativ ilovalarda shartli te- kin yoki tekin dasturiy ta’mi- notdan nazoratsiz foydalanish.

Huquqiy javobgarlik.

Dasturiy ta’minotdagi ma’lum nuqsonlar.

Dasturiy ta’minotdan avloriza- tsiyalanmagan foydalanuvchilar- ning foydalanishi

Test ma lumotlarini noto‘g‘ri tanlash.

Shaxsiy ma’lumotlardan ruxsat- siz foydalanish.





Nazorat savollari:



  1. Axborot xavfsizligida zaiflik tushunchasi

  2. Kadr resurslarining xavfsizligi jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

  3. Fizik xavfsizlik va atrof-rnuhit xavfsizligi jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

  4. Kommunikatsiyalarni va amallarni boshqarish jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

  5. Foydalanishlami nazoratlash jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

  6. Axborot kommunikatsiya tizimlarini xarid qilish, ishlab chiqish va kuzatish jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

  1. Axborotning mahflyligini, yaxlitligini va foydalanuvchanligini buzish usullari

Barcha hujumlar Internet ishlashi prinsiplarining qandaydir chegaralangan soniga asoslanganligi sababli masofadan bo‘ladigan namunaviy hujumlarni ajratish va ularga qarshi qandaydir kompleks choralami tavsiya etish mumkin. Bu choralar, haqiqatan, tarmoq xavfsizligim ta’minlaydi.

Internet protokollarining mukammal emasligi sababli tarmoq- dagi axborotga masofadan bo‘ladigan asosiy namunaviy hujumlar quyidagilar:



  • tarmoq trafigini tahlillash,

-tarmoqning yolg‘on obyektini kiritish;

  • yolg'on marshrutni kiritish;

  • xizmat qilishdan voz kechishga undaydigan hujumlar.

Tarmoq trafigini tahlillash. Serverdan Internet tarmog‘i

bazaviy protokollari FTP (Fayllarni uzatish protokoli) va TELNET (Virtual terminal protokoli) bo‘yicha foydalanish uchun foydala- nuvchi identifikatsiya va autentifikatsiya muolajalarini o‘tishi lozim. Foydalanuvchini identifikatsiyalashda axborot sifatida uning identi- fikatori (ismi) ishlatilsa, autentifikatsiyalash uchun parol ishlatiladi. FTP va TELNET protokollarining xususiyati shundaki, foydaluv- chilaming paroli va identifikatori tarmoq orqali ochiq, shifrlan- magan ko‘rinishda uzatiladi. Demak, Internet xostlaridan foyda­lanish uchun foydalanuvchining ismi va parolini bilish kifoya.

Axborot almashinuvida Intemetning masofadagi ikkita- uzeli almashinuv axborotini paketlarga ajratadi. Paketlar aloqa kanallari orqali uzatiladi va shu paytda ushlab qolinishi mumkin.

FTP va TELNET protokollarining tahlili ko‘rsatadiki, TELNET parolni simvollarga ajratadi va parolning har bir simvolini trios paketga joylashtirib, bittalab uzatadi, FTP esa, aksincha, parol­ni butunlayicha bitta paketda uzatadi. Parollar shifrlanmaganligi sababli paketlarning maxsus skaner-dasturlari yordamida foydala­nuvchining ismi va paroli bo‘lgan paketni ajratib olish mumkin. Shu sababli, hozirda ommaviy tus olgan ICQ (Bir lahzali almashish xizmati) dasturi ham ishonchli emas. ICQning protokollari va axbo-

rotlami saqlash, uzatish formatlari ma’lum va demak, uning trafigi ushlab qolinishi va ochilishi mumkin.

Asosiy muammo almashinuv protokolida. Bazaviy tatbiqiy prokollaming TCP/IP oilasi ancha oldin (60-yillarning oxiri va 80- yillarning boshi) ishlab chiqilgan va shundan beri umuman o'zgar- tirilmagan. 0‘tgan davr mobaynida taqsimlangan tarmoq xavf- sizligini ta’minlashga yondashish jiddiy o‘zgardi. Tarmoq ulanish- larini himoyalashga va trafikni shifrlashga imkon beruvchi axborot almashinuvining turli protokollari ishlab chiqildi. Ammo bu proto- kollar eskilarining o‘mini olmadi (SSL bundan istisno) va standart maqomiga ega boTmadi. Bu protokollaming standart boTishi uchun esa tarmoqdan foydalanuvchilaming barchasi ularga o‘tishlari lo- zim. Ammo, Internetda tarmoqni markazlashgan boshqarish boima- ganligi sababli, bu jarayon yana ko‘p yillar davom etishi mumkin.




Download 1.64 Mb.

Do'stlaringiz bilan baham:
1   ...   8   9   10   11   12   13   14   15   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2020
ma'muriyatiga murojaat qiling

    Bosh sahifa
davlat universiteti
ta’lim vazirligi
maxsus ta’lim
O’zbekiston respublikasi
zbekiston respublikasi
axborot texnologiyalari
o’rta maxsus
guruh talabasi
nomidagi toshkent
davlat pedagogika
texnologiyalari universiteti
xorazmiy nomidagi
toshkent axborot
pedagogika instituti
haqida tushuncha
rivojlantirish vazirligi
toshkent davlat
Toshkent davlat
vazirligi toshkent
tashkil etish
matematika fakulteti
ta’limi vazirligi
samarqand davlat
kommunikatsiyalarini rivojlantirish
bilan ishlash
pedagogika universiteti
vazirligi muhammad
fanining predmeti
Darsning maqsadi
o’rta ta’lim
navoiy nomidagi
haqida umumiy
Ishdan maqsad
moliya instituti
fizika matematika
nomidagi samarqand
sinflar uchun
fanlar fakulteti
Nizomiy nomidagi
maxsus ta'lim
Ўзбекистон республикаси
ta'lim vazirligi
universiteti fizika
umumiy o’rta
Referat mavzu
respublikasi axborot
таълим вазирлиги
Alisher navoiy
махсус таълим
Toshkent axborot
Buxoro davlat