S. K. Ganiyev, M. M. Karimov, ica. Tashev

Kadr resurslarining xavfsizligi (ISOdEC 27002:2005,8-

Download 1,64 Mb.

bet	12/267
Sana	28.09.2021
Hajmi	1,64 Mb.
	#187525

1 ... 8 9 10 11 12 13 14 15 ... 267

Bog'liq
AXBOROT Хавфсизлиги new

1. Kadr resurslarining xavfsizligi (ISOdEC 27002:2005,8-

bo‘lim)

Zaiflik	Zaiflikdan foydalanuvchi tahdid
Xavfsizlikni yetarlicha o‘rga- tilmasligi.	Texnik madadlash xodimining xatosi.
Xavfsizlik masalalaridan bexa- barligi.	Foydalanuvchilar xatosi.
Monitoring mexanizmlarining mavjud emasligi.	Dasturiy ta’minotdan ruxsatsiz foydalanish.

Telekommunikatsiya va xabar- larni uzatish vositalaridan kor- rekt (to‘g‘ri) foydalanish bo‘yi- cha siyosatning mavjud ernasligi.	Tarmoq uskunasidan ruxsatsiz foydalanish.
Ishdan bo‘shatilganda foydalanish huquqi bekor qilinmaydi.	Ruxsatsiz foydalanish.
Ishdan bo'shatilganda resurslarni qaytarishni kafolatlovchi muo- laia mavjud emas.	0‘g‘rilik.
Asossiz yoki norozi xodim.	Axborotni ishlovchi vositalar- ning suiiste’mol qilinishi.
Begona xodimning yoki ishdan keyin ishlovchi xodimning nazoratsiz ishlashi.	0‘g‘rilik.

2. Fizik xavfsizlik va atrof-muhit xavfsizligi (ISO/LEC 27002:2005, 9-bo‘Iim)
Zaiflik	Zaiflikdan foydalanuvchi tahdid
Binodan, xonalardan, ofislardan adekvat bo'lmagan yoki e’tibor- siz fizik nazoratlash mexianizm- laridan foydalanish.	Atayin zarar yetkazish.
Binom, eshiklami va derazalarni fizik himoyalashning yo‘qligi.	0‘g‘rilik.
Suv toshishiga duchor zonada joylanishi.	Cho‘kish.
Himoyalanmagan saqlash.	0‘g‘rilik.
Axborotni saqlash vositalarining nomuvofiq o‘rnatilishi/nomuno- sib olib yurilishi.	Olib yurilishi jarayonida xatolik.
Uskunani davriy almashtirish sxemasining yo'qligi.	Axborotni saqlash vositalarining eskirishi.
Uskunaning namlikka, changlik- ka va ifloslanishga duchor bo‘- lishi.	Chang bosishi.
Uskunaning harorat o‘zgarishiga	Harorat rejimining buzilishi.

duchor bo‘lishi.
Uskunaning kuchlanish o‘zga- rishiga duchor bo‘lishi.	Elektr manbaining fluktuatsiyasi.
Beqaror elektr manbai.	Elektr manbaining fluktuatsiyasi.

3. Kommunikasiyalarni va amallarni boshqarish (ISO/OEC 27002:2005,10-bo‘lim)
Zaiflik	Zaiflikdan foydalanuvchi tahdid
Murakkab foydalanuvchi inter- feysi.	Xodim xatosi.
Axborotni saqlash vositalarini tegishlicha tozalamasdan o‘tka- zish yoki ulardan takroran foyda- lanish.	Axborotdan ruxsatsiz foyda- lanish.
0‘zgarishlaming adekvat bo‘l- magan nazorati.	Xavfsizlik tizimining to‘xtab qolishi.
Tarmoqni adekvat bo‘lmagan boshqarish.	Trafikning ortiqcha yuklanishi.
Zaxirali nusxalash muolajalari- ning yo‘qligi.	Axborotning yo‘qolishi.
Xabaming jo‘natilganligi yoki olinganligi xususidagi isbotning yo‘qligi.	Javobgarlikdan bosh tortish.
Zarar keltiruvchi koddan himo- yalashda ishlatiluvchi dasturiy ta’minotning yangilanmasligi.	Vims infeksiyasi.
Vazifalaming taqsimlanmagan- ligi.	Tizimni suiiste’mol qilish (taso- difiy yoki atayin).
Test va ishchi uskunaning ajratilmaganligi.	Harakatdagi tizimni ruxsatsiz modifikatsiyalash.
Naz;oratsiz nusxalash.	0‘g‘rilik.
Umumfoydalanuvchi tarmoqlar- ga himoyalanmagan ulanishlar.	Dasturiy ta’minotdan avtorizat- siyalanmagan foydalanuvchilar- ning foydalanishi.

4. Foydalanish nazorati (ISCMEC 27002:2005, 11-bo‘Iim)
Zaiflik	Zaiflikdan foydalanuvchi tahdid
Tarmoqdarda foydalanishni no- to‘g‘ri cheklash.	Tarmoqqa ruxsatsiz ulanish.
Toza stollar va toza ekranlar siyosatining yo'qligi.	Axborotning yo‘qolishi yoki shikastlanishi.
Foydalanuvchilarning autentifi- katsiyasi kabi identifikatsiya va autentifikatsiya mexanizmlari- ning yo'qligi.	Begona foydalanish identifika- torini o‘zlashtirish.
Mobil kompyuter uskuna himo- yasining yo'qligi.	Axborotdan ruxsatsiz foydalanish.
Ishchi stansiya aloqani uzganida tizimdar chiqaolmasligi.	Avtorizatsiyalanmagan foydalanuvchilar tomonidan dasturiy ta’minotning ishlatilishi
Dasturiy ta’minotni testlashning nomuvofiq xajmda o'tkazilishi yoki yo'qligi.	Avtorizatsiyalanmagan foydalanuvchilar tomonidan dasturiy ta’minotning ishlatilishi.
Foydalanuvchilarning foydalanish huquqlari nazoratining va tahlilining yo'qligi.	Tashkilotni tark etgan yoki ish joyini o'zgartirgan foydalanuvchilar tomonidan foydalanish.
Parollarni yomon boshqarish (osongim aniqlanadigan parol lar, tez-tez almashtirmaslik va h.).	Begona foydalanish identifikato- rini o‘zlashtirish.
Tizim utilitalaridan nazoratsiz foydalanish.	Tizim yoki ilovani nazoratlash mexanizmlariga rioya qilmaslik.

5. Axboi ot tizimlariga erishish (xarid qilish), ishlab chiqish va kuzatish (ISOflEC 27002:2005,12-bo‘Iim)
Zaiflik	Zaiflikdan foydalanuvchi tahdid
Kritpografik kalitlarni nomuvofiq himoyalash.	Axborotning oshkor etilishi.
Kriptografiyadan foydalanish so- hasidagi mukammal bo'lmagan siyosat.	Qonunlarning yoki me’yoriy asoslarning buzilishi.

Kiruvchi yoki chiquvchi ma’- lumotlar nazoratining yo‘qligi.	Xatolik.
Ishlanadigan ma’lumotlarning tekshirilmasligi.	Axborotning buzilishi.
Dastnriy ta’minotni testlashning yo‘qligi yoki yetarlicha hajmda bajarilmasligi.	Avtorizatsiyalanmagan foydala- nuvchilarning dasturiy ta’mi- notdan foydalanishi.
Yomon hujjatlangan dasturiy ta’minot.	Texnik madadlovchi xodimning xatosi.
Ishlab chiqaruvchilar uchun tu- shunarsiz: yoki to‘liq boMmagan spetsifikatsiyalar.	Dasturiy ta’minotning adashishi.
Dasturiy ta'minotning nazoratsiz yuklanishi va ishlatilishi.	Zarar yetkazuvchi dasturiy ta’- minot.
Korporativ ilovalarda shartli te- kin yoki tekin dasturiy ta’mi- notdan nazoratsiz foydalanish.	Huquqiy javobgarlik.
Dasturiy ta’minotdagi ma’lum nuqsonlar.	Dasturiy ta’minotdan avloriza- tsiyalanmagan foydalanuvchilar- ning foydalanishi
Test ma lumotlarini noto‘g‘ri tanlash.	Shaxsiy ma’lumotlardan ruxsat- siz foydalanish.

Nazorat savollari:

Axborot xavfsizligida zaiflik tushunchasi
Kadr resurslarining xavfsizligi jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.
Fizik xavfsizlik va atrof-rnuhit xavfsizligi jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.
Kommunikatsiyalarni va amallarni boshqarish jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.
Foydalanishlami nazoratlash jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.
Axborot kommunikatsiya tizimlarini xarid qilish, ishlab chiqish va kuzatish jihatidan kelib chiqadigan zaifliklarni tavsiflab bering.

Axborotning mahflyligini, yaxlitligini va foydalanuvchanligini buzish usullari

Barcha hujumlar Internet ishlashi prinsiplarining qandaydir chegaralangan soniga asoslanganligi sababli masofadan bo‘ladigan namunaviy hujumlarni ajratish va ularga qarshi qandaydir kompleks choralami tavsiya etish mumkin. Bu choralar, haqiqatan, tarmoq xavfsizligim ta’minlaydi.

Internet protokollarining mukammal emasligi sababli tarmoq- dagi axborotga masofadan bo‘ladigan asosiy namunaviy hujumlar quyidagilar:

tarmoq trafigini tahlillash,

-tarmoqning yolg‘on obyektini kiritish;

yolg'on marshrutni kiritish;
xizmat qilishdan voz kechishga undaydigan hujumlar.

Tarmoq trafigini tahlillash. Serverdan Internet tarmog‘i

bazaviy protokollari FTP (Fayllarni uzatish protokoli) va TELNET (Virtual terminal protokoli) bo‘yicha foydalanish uchun foydala- nuvchi identifikatsiya va autentifikatsiya muolajalarini o‘tishi lozim. Foydalanuvchini identifikatsiyalashda axborot sifatida uning identi- fikatori (ismi) ishlatilsa, autentifikatsiyalash uchun parol ishlatiladi. FTP va TELNET protokollarining xususiyati shundaki, foydaluv- chilaming paroli va identifikatori tarmoq orqali ochiq, shifrlan- magan ko‘rinishda uzatiladi. Demak, Internet xostlaridan foydalanish uchun foydalanuvchining ismi va parolini bilish kifoya.

Axborot almashinuvida Intemetning masofadagi ikkita- uzeli almashinuv axborotini paketlarga ajratadi. Paketlar aloqa kanallari orqali uzatiladi va shu paytda ushlab qolinishi mumkin.

FTP va TELNET protokollarining tahlili ko‘rsatadiki, TELNET parolni simvollarga ajratadi va parolning har bir simvolini trios paketga joylashtirib, bittalab uzatadi, FTP esa, aksincha, parolni butunlayicha bitta paketda uzatadi. Parollar shifrlanmaganligi sababli paketlarning maxsus skaner-dasturlari yordamida foydalanuvchining ismi va paroli bo‘lgan paketni ajratib olish mumkin. Shu sababli, hozirda ommaviy tus olgan ICQ (Bir lahzali almashish xizmati) dasturi ham ishonchli emas. ICQning protokollari va axbo-

rotlami saqlash, uzatish formatlari ma’lum va demak, uning trafigi ushlab qolinishi va ochilishi mumkin.

Asosiy muammo almashinuv protokolida. Bazaviy tatbiqiy prokollaming TCP/IP oilasi ancha oldin (60-yillarning oxiri va 80- yillarning boshi) ishlab chiqilgan va shundan beri umuman o'zgar- tirilmagan. 0‘tgan davr mobaynida taqsimlangan tarmoq xavf- sizligini ta’minlashga yondashish jiddiy o‘zgardi. Tarmoq ulanish- larini himoyalashga va trafikni shifrlashga imkon beruvchi axborot almashinuvining turli protokollari ishlab chiqildi. Ammo bu proto- kollar eskilarining o‘mini olmadi (SSL bundan istisno) va standart maqomiga ega boTmadi. Bu protokollaming standart boTishi uchun esa tarmoqdan foydalanuvchilaming barchasi ularga o‘tishlari lo- zim. Ammo, Internetda tarmoqni markazlashgan boshqarish boima- ganligi sababli, bu jarayon yana ko‘p yillar davom etishi mumkin.

Download 1,64 Mb.

Do'stlaringiz bilan baham:

1 ... 8 9 10 11 12 13 14 15 ... 267