1. Tashkilotlarning axborot tizimi. Axborot tizimiga bo’layotgan tahdidlar
Turli manbalarda „axborot xavfsizligi“ tushunchasi
Download 160.78 Kb.
|
Tashkilot M222
Turli manbalarda „axborot xavfsizligi“ tushunchasi[tahrir | manbasini tahrirlash]
Quyida turli manbalardan olingan „axborot xavfsizligi“ atamasining taʼriflari keltirilgan: Axborotning maxfiyligi, yaxlitligi va mavjudligini saqlash. Eslatma: Haqiqiylik, javobgarlik, rad etmaslik (inglizcha: non-repudiation) va ishonchlilik kabi boshqa xususiyatlar ham bu qatorga kiritilishi mumkin . Maxfiylik, yaxlitlik va mavjudlikni taʼminlash maqsadida axborot va axborot tizimlarini ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish yoki yoʻq qilishdan himoya qilish . Korxonada axborotni ruxsatsiz foydalanuvchilarga oshkor qilishdan (maxfiylik), noqonuniy oʻzgartirishdan (yaxlitlik) va zarur boʻlganda mavjud boʻlmasligidan (mavjudligi) himoya qilishni taʼminlash . Tashkilotning intellektual mulkini himoya qilish jarayoni. Xatarlarni boshqarish fanlaridan biri, uning vazifasi biznes uchun axborot tavakkalchiligi xarajatlarini boshqarishdir . Axborot risklari tegishli nazorat va boshqaruv choralari bilan muvozanatlanganligiga asosli ishonch. Axborotni himoya qilish, axborotni shaxslarga ruxsatsiz oshkor qilish xavfini minimallashtirish . Axborotni qayerda joylashgan boʻlishidan qatʼiy nazar (tashkilot perimetri ichida ham, tashqarisida ham) tahdidlardan himoya qilish uchun turli xil xavfsizlik mexanizmlari (texnik, tashkiliy, insonga yoʻnaltirilgan, huquqiy)ni ishlab chiqish va amalga oshirishga qaratilgan koʻp tarmoqli tadqiqot va kasbiy faoliyat sohasi va shunga mos ravishda axborot yaratiladigan, qayta ishlanadigan, saqlanadigan, uzatiladigan va yoʻq qilinadigan axborot tizimlari. Xavfsizlik maqsadlari roʻyxati maxfiylik, yaxlitlik, mavjudlik, maxfiylik, haqiqiylik va asoslilik, rad etmaslik, javobgarlik va tekshiriluvchanlikni oʻz ichiga olishi mumkin . Davlat xavfsizligi uchun mas’ul boʻlgan davlat organlari tomonidan paydo boʻladigan, taʼsir etuvchi tahdidlar va ushbu tahdidlarga qarshi kurashning muvaffaqiyati oʻrtasidagi muvozanat jarayoni. Asosiy tamoyillar[tahrir | manbasini tahrirlash] 1975-yilda Jerri Zalser va Maykl Shreder oʻzlarining „Kompyuter tizimlarida axborot xavfsizligi“[44] nomli maqolasida birinchi boʻlib xavfsizlikni buzishni uchta asosiy toifaga ajratishni taklif qilishgan. Bular ma’lumotlarni ruxsatsiz oshkor qilish (inglizcha: unauthorized information release), ma’lumotni ruxsatsiz oʻzgartirish (inglizcha: Unauthorized information modification) va ma’lumotlarga kirishni ruxsatsiz rad etish (inglizcha: Unauthorized denial of use). Keyinchalik, bu toifalar quyidagi qisqa nomlar va standartlashtirilgan ta’riflarni olgan: Confidentiality ing. „maxfiylik“ - ruxsatsiz shaxslar, sub’ektlar yoki jarayonlar uchun kirish mumkin boʻlmagan yoki yopiq boʻlgan ma’lumotlarning xususiyati; Integrity ing. „yaxlitlik“ - aktivlarning toʻgʻriligi va toʻliqligini saqlash xususiyat; Availability ing. „mavjudlik“ - bu huquqqa ega boʻlgan vakolatli sub’ektning iltimosiga binoan mavjud boʻlishi va foydalanishga tayyor boʻlishi kerak boʻlgan ma’lumotlar mulki. Axborot xavfsizligining ushbu uchta asosiy tamoyillari birgalikda CIA triadasi deb ataladi. 1992-yilda IHTT (Iqtisodiy hamkorlik va taraqqiyot tashkiloti) oʻzining xabardorlik, mas’uliyat, qarshilik, axloq, demokratiya, xavflarni baholash, xavfsizlikni loyihalash va amalga oshirish, xavfsizlikni boshqarish, qayta koʻrib chiqish kabi toʻqqiz tamoyildan iborat axborot xavfsizligi modelini nashr etdi. 1996-yilda IHTTning 1992-yildagi nashriga asoslanib, Amerika Milliy Standartlar va Texnologiyalar Instituti (NIST) kompyuter xavfsizligi haqida quyidagi sakkiz tamoyilni targʻib qilgan. Unga koʻra axborot xavfsizligi: „tashkilot missiyasini qoʻllab-quvvatlaydi“, „sogʻlom menejmentning ajralmas qismidir“, „xarajat jihatidan samarali boʻlishi kerak“, „har tomonlama va kompleks yondashuvni talab qiladi“, „ijtimoiy omillar bilan cheklangan“, „vaqti-vaqti bilan koʻrib chiqilishi talab etiladi“, „kompyuter xavfsizligi boʻyicha majburiyatlar va mas’uliyatlar aniq ifodalangan boʻlishi lozim“ va „tizim egalari oʻz tashkilotidan tashqari xavfsizlik uchun javobgardir“. Ushbu modelga asoslanib, 2004-yilda NIST 33 ta axborot xavfsizligi muhandisligi dizayn tamoyillarini nashr etgan. Ularning har biri uchun amaliy koʻrsatmalar va tavsiyalar ishlab chiqilgan boʻlib, ular doimiy ravishda nazorat qilinadi va yangilanadi . 1998-yilda Donn Parker klassik Markaziy razvedka boshqarmasi triadasini egalik yoki nazorat (inglizcha: Possession or Control), haqiqiylik (inglizcha: Authenticity) va foydalilik (inglizcha: Utility) kabi yana uch jihat bilan toʻldirdi. Parker geksadi (ing. hexad – ,,oltita elementdan iborat guruh”) deb ataluvchi ushbu modelning afzalliklari, axborot xavfsizligi mutaxassislari oʻrtasida muhokama mavzusi hisoblanadi [50]. 2009-yilda AQSh Mudofaa vazirligi tizim sezgirligi (inglizcha: System Susceptibility), zaiflikning mavjudligi (inglizcha: Access to the Flaw) va zaiflikdan foydalanish qobiliyati (inglizcha: Capability to Exploit the Flaw)[51][52][53] kabi „Kompyuter xavfsizligining uchta asosiy prinsipi“ni nashr ettirdi. 2011-yilda The Open Group xalqaro konsorsiumi O-ISM3[en] CIA klassik triadasi tarkibiy qismlarining kontseptual ta’rifidan voz kechib, ularning operatsion ta’rifi foydasiga axborot xavfsizligini boshqarish standartini nashr etdi. O-ISM3ga koʻra, har bir tashkilot uchun triadaning u yoki bu komponentiga mos keluvchi ustuvor xavfsizlik maqsadlari (maxfiylik), uzoq muddatli xavfsizlik maqsadlari (yaxlitlik), axborot sifati maqsadlari (yaxlitlik), kirishni boshqarish maqsadlari (mavjudligi) va texnik xavfsizlik maqsadlari kabi besh toifadan biriga tegishli xavfsizlik maqsadlarining individual toʻplamini aniqlash mumkin. Yuqorida aytib oʻtilgan barcha axborot xavfsizligi modellari ichida CIA klassik triadasi keng tarqalgan boʻlib, hali hanuz xalqaro professional hamjamiyatda tan olinadi. U milliy[1] va xalqaro standartlarda mustahkamlangan va CISSP va CISM kabi axborot xavfsizligi boʻyicha asosiy ta’lim va sertifikatlashtirish dasturlariga kiritilgan. Ba’zi rus mualliflari undan „KYAM (konfidensiallik, yaxlitlik, mavjudlik) triadasi“ kuzatuv kalkasi sifatida foydalanadilar. „KYAM triadasi“ Adabiyotda uning barcha uch komponenti: konfidensiallik, yaxlitlik va mavjudlik sinonimik ravishda printsiplar, xavfsizlik atributlari, xususiyatlar, asosiy jihatlar, axborot mezonlari, tanqidiy xarakteristikalar yoki asosiy tarkibiy elementlar deb ataladi. Ayni paytda, professional hamjamiyatda Markaziy razvedka boshqarmasi CIA triadasining tez rivojlanayotgan texnologiyalar va biznes talablariga qanchalik mos kelishi haqida munozaralar davom etmoqda. Ushbu muhokamalar natijasida xavfsizlik va shaxsiy daxlsizlik oʻrtasidagi munosabatlarni oʻrnatish, qoʻshimcha tamoyillarni qabul qilish zarurligi toʻgʻrisida tavsiyalar berildi [5]. Ulardan ayrimlari allaqachon Xalqaro standartlashtirish tashkiloti (ISO) standartlariga kiritilgan: haqqoniylik (inglizcha: authenticity) – ob’ekt yoki resursning e’lon qilingan bilan bir xilligini kafolatlaydigan xususiyat; javobgarlik[en] (inglizcha: accountability) – sub’ektning oʻz harakatlari va qarorlari uchun javobgarligi; rad etishning imkonsizligi (inglizcha: non-repudiation) — sodir boʻlgan voqea yoki harakatni va ularning sub’ektlarini ushbu hodisa yoki harakatni va u bilan bogʻliq boʻlgan sub’ektlarni shubha ostiga qoʻymaslik uchun tasdiqlash qobiliyati; ishonchlilik (inglizcha: reliability) – bu moʻljallangan xatti-harakatlar va natijalarga muvofiqlik xususiyatidir. ] Axborotning maxfiyligiga minimal zarur xabardorlik (inglizcha: need-to-know) tamoyiliga asoslanib, unga eng kam imtiyozlar bilan ruxsat berish orqali erishiladi. Boshqacha qilib aytganda, vakolatli shaxs faqat yuqorida aytib o‘tilgan shaxsiy daxlsizlikka qarshi jinoyatlar, masalan, shaxsni o‘g‘irlash, shaxsiy hayotning buzilishi kabi o‘z xizmat vazifalarini bajarishi uchun zarur bo‘lgan ma’lumotlarga ega bo‘lishi talab etiladi. Maxfiylikni ta’minlashning eng muhim chora-tadbirlaridan biri ma’lumotlarni qat’iy maxfiy yoki ommaviy, shuningdek, ichki foydalanish uchun mo‘ljallangan ma’lumotlarni tasniflash imkonini beradi. Axborotni shifrlash konfidensiallikni ta’minlash vositalaridan birining tipik namunasidir . Tashkilotda operatsiyalarni aniq amalga oshirish yoki to‘g‘ri qarorlarni qabul qilish faqat fayllar, ma’lumotlar bazalari yoki tizimlarda saqlanadigan yoki kompyuter tarmoqlari orqali uzatiladigan ishonchli ma’lumotlar asosidagina mumkin. Boshqacha qilib aytganda, ma’lumot dastlabki holatiga nisbatan qasddan, ruxsatsiz yoki tasodifiy o‘zgarishlardan, shuningdek saqlash, uzatish yoki qayta ishlash jarayonida har qanday buzilishlardan himoyalangan bo‘lishi lozim. Biroq, uning yaxlitligiga kompyuter viruslari va mantiqiy bombalar, dasturlash xatolari va zararli kod o‘zgarishlari, ma’lumotlarni soxtalashtirish, ruxsatsiz kirish, orqa eshiklar va boshqalar tahdid solmoqda. Qasddan qilingan harakatlarga qo‘shimcha ravishda, ko‘p hollarda nozik ma’lumotlarga ruxsatsiz o‘zgartirishlar texnik nosozliklar nazorat yoki professional tayyorgarlikning etishmasligi tufayli inson xatosidan kelib chiqadi. Masalan, yaxlitlikning buzilishi fayllarni tasodifiy o‘chirish, noto‘g‘ri qiymatlarni kiritish, sozlamalarni o‘zgartirish, oddiy foydalanuvchilar va tizim ma’murlari tomonidan noto‘g‘ri buyruqlarni bajarish kabi xatolarga olib keladi[56][57]. Axborotning yaxlitligini himoya qilish uchun axborot va uni qayta ishlash tizimlaridagi o‘zgarishlarni nazorat qilish va boshqarish bo‘yicha turli xil choralarni qo‘llash lozim. Bunday chora-tadbirlarning odatiy misoli faqat o‘z xizmat vazifalarini bajarish uchun bunday ruxsatga muhtoj bo‘lganlarni o‘zgartirish huquqiga ega bo‘lgan shaxslar doirasini cheklashdir. Shu bilan birga, hokimiyatlarning bo‘linishi tamoyiliga rioya qilish kerak. Unga ko‘ra ma’lumotlar yoki axborot tizimiga bir shaxs tomonidan o‘zgartirishlar kiritiladi, boshqa shaxs esa ularni tasdiqlaydi yoki rad etadi. Bundan tashqari, axborot tizimlarining hayotiy siklidagi har qanday o‘zgarishlar izchil bo‘lishi, axborot yaxlitligini ta’minlash uchun sinovdan o‘tkazilishi va tizimga faqat to‘g‘ri tuzilgan tranzaksiyalar orqali kiritilishi lozim. Dasturiy ta’minotni yangilash xavfsiz tarzda amalga oshirilishi kerak. O‘zgarishlarga olib keladigan har qanday harakatlar jurnalga yozilishi talab etiladi [56][57]. Ushbu prinsipga ko‘ra, ma’lumotlar kerak bo‘lganda vakolatli shaxslarga taqdim etilishi lozim. Axborot tizimlarining mavjudligiga ta’sir qiluvchi asosiy omillar bu DoS-hujumlar (xizmatni rad etish Denial of Servicedan Andoza:Tr ), to‘lov dasturi hujumlari va sabotaj. Bundan tashqari, nazorat yoki kasbiy tayyorgarlikning yetishmasligi tufayli tasodifan yuzaga keladigan inson xatolari foydalanish imkoniyatiga xavf soluvchi tahdidlar manbai hisoblanadi va quyidagi oqibatlarni yuzaga keltiradi: ma’lumotlar bazalaridagi fayllar yoki yozuvlarning tasodifiy o‘chirilishi, noto‘g‘ri tizim sozlamalari; ruxsat etilgan quvvatdan oshib ketishi yoki uskunalar resurslarining etishmasligi, shuningdek, aloqa tarmoqlarining ishdan chiqishi natijasida xizmat ko‘rsatishni rad etish; apparat yoki dasturiy ta’minotni yangilashning muvaffaqiyatsizligi; elektr ta’minotidagi uzilishlar tufayli tizimlarning yopilishi. Tabiiy ofatlar: zilzilalar, tornadolar, bo‘ronlar, yong‘inlar, toshqinlar va boshqalar ham foydalanish imkoniyatini buzishda muhim rol o‘ynaydi. Barcha holatlarda oxirgi foydalanuvchi o‘z faoliyati uchun zarur bo‘lgan ma’lumotlarga kirish huquqini yo‘qotib, majburiy ishlamay qoladi. Tizimning foydalanuvchi uchun muhimligi va uning butun tashkilotning omon qolishi uchun ahamiyati ishlamay qolish vaqtining ta’sirini aniqlaydi. Noto‘g‘ri xavfsizlik choralari zararli dasturlar, ma’lumotlarni yo‘q qilish, bosqinchilik yoki DoS hujumlari xavfini oshiradi. Bunday hodisalar tizimlarni oddiy foydalanuvchilar uchun imkonsiz holga keltirishi mumkin [58]. Download 160.78 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling