Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al xorazmiy nomidagi


Download 244.7 Kb.
Pdf ko'rish
bet3/3
Sana04.02.2023
Hajmi244.7 Kb.
#1166535
1   2   3
Bog'liq
Aziz Mustaqil ish

Veb-sayt 
xavfsizligini 
skanerlash[tahrir | manbasini 
tahrirlash]
Veb-sayt zaifliklarini skanerlash veb-saytni tekshiradi, zararli dasturlarni 
aniqlaydi, eskirgan dasturiy taʼminotni koʻrsatishi va saytning buzilishi 
xavfini kamaytirish uchun maʼlum xavfsizlik muammolari haqida xabar 
berishi mumkin.
Tarmoqni 
ajratish[tahrir | manbasini 
tahrirlash]
Tarmoqni kichikroq tarmoqlar toʻplami sifatida tuzish va ular orasidagi 
trafik oqimini qonuniy ekanligi maʼlum boʻlganiga cheklash, yuqumli 
zararli dasturlarning kengroq tarmoq boʻylab oʻzini koʻpaytirish 
qobiliyatiga toʻsqinlik qilishi mumkin. Software Defined Networking 
bunday boshqaruv vositalarini amalga oshirish usullarini taqdim etadi.
„Air gap“ izolyatsiyasi yoki „parallel tarmoq“[tahrir | manbasini 
tahrirlash]
Oxirgi chora sifatida kompyuterlar zararli dasturlardan himoyalanishi 
mumkin va zararlangan kompyuterlarning ishonchli maʼlumotlarni 
tarqatish xavfi „havo boʻshligʻi“ (yaʼni ularni boshqa barcha 
tarmoqlardan butunlay uzib qoʻyish) va kirish va kirish ustidan 
yaxshilangan boshqaruvni qoʻllash orqali sezilarli darajada kamayishi 
mumkin. dasturiy taʼminot va maʼlumotlarning tashqi dunyodan chiqishi. 
Biroq, zararli dasturiy taʼminot baʼzi holatlarda havo boʻshligʻini kesib 
oʻtishi mumkin, chunki havo boʻshligʻi boʻlgan tarmoqqa dasturiy 
taʼminotni kiritish zarurati tufayli va ulardagi aktivlarning mavjudligi 


yoki yaxlitligiga zarar etkazishi mumkin. Stuxnet maqsadli muhitga USB 
drayv orqali kiritilgan zararli dasturlarga misol boʻlib, maʼlumotlarni 
oʻchirishga hojat qoldirmasdan atrof-muhitda qoʻllab-quvvatlanadigan 
jarayonlarga 
zarar 
etkazadi.
AirHopper[51], BitWhisper[52], GSMem[53], 
va Fansmitter[54] tadqiqotchilar tomonidan taqdim etilgan texnikalar 
boʻlib, ular himoyalanmagan kompyuterlarda elektromagnit, termal va 
akustik emissiyalar yordamida maʼlumotlarni chiqarishi mumkin. 
Himoyalashni baholashda analitik ishlarning farqlari O„zbekiston 
kompaniyalari Avtomatlashtirish xizmati (CIO) va Axborot xavfsizligi 
(CISO) direktorlarining ko„pchiligiga, ehtimol: "Kompaniyalarning 
axborot aktivlarini himoya qilish darajasini qanday baholash va 
korporativ axborotni rivojlantirish istiqbollarini aniqlash kerak?" Keling, 
ushbu dolzarb savolga javob topishga harakat qilaylik. Zamonaviy 
axborot texnologiyalarining rivojlanish sur'ati O„zbekiston faoliyat 
ko„rsatadigan hujjatlarni tartibga soluvchi tavsiya etilgan va me'yoriy-
huquqiy bazani ishlab chiqish tezligini sezilarli darajada tezlashtiradi. Shu 
sababli, kompaniyaning axborot aktivlarini himoya qilish darajasini 
baholash bo„yicha savolni hal qilish, albatta, tanlov mezonlari va himoya 
ko„rsatkichlari muammosi bilan, shuningdek korporativ axborotni 
himoya qilish tizimining samaradorligi bilan bog„liq. Xatarlarni 
boshqarish, korporativ axborotni muhofaza qilish tizimlarini loyihalash 
va qo„llab-quvvatlashning zamonaviy usullari kompaniyaning uzoq 
muddatli strategik rivojlanishi uchun bir qator vazifalarni hal qilishga 
imkon berishi kerak. Avvalo, kompaniyaning axborot xavfsizligini 
huquqiy, tashkiliy, boshqaruv, texnologik va texnik darajalaridagi 
xatarlarni aniqlashni talab qiladigan hozirgi darajadagi axborot 
xavfsizligini miqdoriy baholang. Ikkinchisi
- kompaniyaning axborot aktivlarini tegishli darajada himoya qilish 
darajasiga erishish uchun korporativ xavfsizlik tizimini takomillashtirish 
bo„yicha kompleks rejani ishlab chiqish va amalga oshirish. Buning 
uchun kerak:
- xatarlarni tahlil qilish texnologiyasi asosida xavfsizlikni 
ta'minlashga moliyaviy investitsiyalarni hisoblashni asoslash va 
hisoblash, xavfsizlikni ta'minlash xarajatlarini yuzaga kelishi mumkin 
bo„lgan zarar va uni tiklash ehtimoli bilan taqqoslash;


 - zaif manbalarga hujum qilishdan oldin eng xavfli zaifliklarni 
birinchi blokirovkasini aniqlash va amalga oshirish;
- kompaniyaning axborot xavfsizligini ta'minlash bo„yicha 
bo„linmalar va shaxslarning o„zaro aloqalari uchun funksional 
munosabatlarni va javobgarlik zonasini aniqlash, zarur tashkiliy va tartibli 
hujjatlar to„plamini yaratish;
- axborot texnologiyalari rivojlanishining hozirgi darajasi va 
tendensiyalarini 
hisobga 
olgan 
holda zarur bo„lgan himoya 
komplekslarini amalga oshirish bo„yicha tashkilot xizmatlari, loyiha 
nazorat organlari bilan kelishish va kelishish;
- tashkilot ishining o„zgaruvchan sharoitlariga, tashkiliy va tartibli 
hujjatlarning muntazam ishlab chiqilishiga, texnologik jarayonlarning 
modifikatsiyasiga va modernizatsiyalashga muvofiq birlashtirilgan 
himoya kompleksini qo„llab-quvvatlash. Nomlangan vazifani hal qilish 
turli darajadagi pozitsiyalar oldida yangi keng imkoniyatlarni ochib 
beradi. Bu yuqori darajadagi menejerlarga kompaniyaning axborot 
xavfsizligining hozirgi darajasini obyektiv va mustaqil ravishda 
baholashda, xavfsizlik bo„yicha yagona konseptsiyaning shakllanishini 
ta'minlashda, ehtiyojni hisoblashda, kelishishda va asoslashda yordam 
beradi. Qabul qilingan baholashlar asosida bo„limlar va xizmatlarning 
rahbarlari zarur tashkiliy choralarni (axborot xavfsizligi xizmati tarkibi va 
tuzilishi, tijorat sirlari to„g„risidagi pozitsiya, rasmiy ko„rsatmalar 
to„plami va lavozim ta'riflari) ishlab chiqishlari va asoslashlari mumkin. 
O„rta darajadagi menejerlar axborotni muhofaza qilish vositalarini 
tanlashi, shuningdek o„z ishlarida axborot xavfsizligining miqdoriy 
ko„rsatkichlarini, xavfsizlikni baholash va xavfsizlikni boshqarish 
usullarini moslashtirishlari va ishlatishlari mumkin. Axborot xavfsizligi 
sohasida tahliliy ishlar quyidagi yo„nalishlarda olib borilishi mumkin:
1) "Kompaniyalar va axborot xavfsizligining quyi tizimlari axborot 
tizimlarini (AT) huquqiy, uslubiy, tashkiliy-boshqaruv, texnologik va 
texnik darajalarda kompleks tahlil qilish. Xatarlarni tahlil qilish";
2) "AT-kompaniyani uslubiy, tashkiliy va boshqaruv, texnologik
umumiy texnik va dasturiy ta'minot va qo„llab-quvvatlash bo„yicha 
kompleks tavsiyalar ishlab chiqish";
3) "AT-kompaniyaning tashkiliy va texnologik tahlili";
4) "Qarorlar va loyihalarni ekspertizadan o„tkazish"; 77


5) "Hujjatlar aylanishini tahlil qilish va tashkiliy hujjatlarning 
standart to„plamlarini yetkazib berish bo„yicha ishlar";
6) "Himoya rejasining amaliy bajarilishini qo„llab-quvvatlovchi 
ishlar";
7) "Mutaxassislarning malakasini oshirish va qayta tayyorlash". 
Keling, ularning har birini qisqacha ko„rib chiqamiz. Axborot xavfsizligi 
holatini tadqiq qilish va baholash AT va kompaniyaning axborot 
xavfsizligi quyi tizimlari ularni O„zbekiston Prezidenti Davlat texnika 
qo„mitasi hujjatlarini tartibga soluvchi hujjatlarning standart talablariga 
O„zbekiston Prezidenti talablariga muvofiqligini baholashni ta'minlaydi. 
Birinchi yo„nalishga, shuningdek, xatarlarni tahlil qilish, instrumental 
tadqiqotlar (kompyuter tarmog„i infratuzilmasi elementlari va 
zaifliklarning mavjudligi to„g„risida korporativ axborot tizimlarini 
o„rganish, Internet tadqiqotlari) asosida olib boriladigan ishlar kiradi. 
Ushbu murakkab ish, shuningdek, o„z navbatida ajralib turadigan va 
mustaqil yo„nalish sifatida hujjat aylanmasini tahlil qilishni o„z ichiga 
oladi. Tavsiyalarga axborot xavfsizligining umumiy xavfsizligi 
masalalari (axborot xavfsizligi kontseptsiyasini ishlab chiqish, korporativ 
siyosatni ishlab chiqish, tashkiliy, boshqaruv, texnologik, huquqiy, 
huquqiy himoya) kiradi. Shuningdek, tavsiya yanada aniqroq bo„lishi va 
bitta kompaniyaning faoliyatiga taalluqli bo„lishi mumkin (axborotni reja 
bilan muhofaza qilish, tahlil qilish va yaratish bo„yicha qo„shimcha ishlar 
uslubiy, tashkiliy, boshqaruv, texnologik, normativ. Qarorlar va 
loyihalarni to„g„ri ekspertizadan o„tkazish butun axborot xavfsizligi 
tizimining ishlashini ta'minlashda muhim rol o„ynaydi va ekspert-hujjat 
usuli bilan axborot xavfsizligini ta'minlash talablariga javob berishi 
kerak. Kichik tizim loyihalarini ekspertizadan o„tkazish - ekspert-hujjat 
usuli bilan xavfsizlik talablari. Hujjatlar aylanishini tahlil qilish va 
tashkiliy hujjatlarning standart to„plamlarini yetkazib berish bo„yicha 
ishlar, qoida tariqasida, ikkita yo„nalishni o„z ichiga oladi:
✓ "maxfiylik" toifasidagi kompaniyalarning hujjat aylanmasini 
axborot xavfsizligi konseptsiyasi talablariga, tijorat sirlari to„g„risidagi 
pozitsiyaga javoban kompaniyaning ichki ma'lumotlarini maxfiyligini 
ta'minlashga javoban tahlil qilish;
✓ tashkiliy-huquqiy darajada AX kompaniyasining korporativ 
siyosati tavsiyalariga muvofiq standart tashkiliy va me'yoriy hujjatlar 


to„plamini yetkazib berish. Axborot xavfsizligi rejasining amaliy 
bajarilishini ta'minlovchi ishlar, xususan, quyidagilar:
✓ korporativ tarmoqni har tomonlama tahliliy o„rganish natijalari 
asosida kompaniyada o„rnatilgan AXni himoya qilish vositalarini 
modernizatsiya qilish bo„yicha texnik loyihani ishlab chiqish;
✓ kompaniyalarni attestatsiyadan o„tkazishga tayyorlash 
(O„zbekiston Prezidentining talablari bo„yicha Davlat Texnik 
Komissiyasining talablariga muvofiq, shuningdek buyurtmachini 
axborotlashtirish obyektlarini attestatsiyadan o„tkazish uchun, 
shuningdek Xalqaro xavfsizlik standartlari, Xalqaro munosabatlar 
xalqaro standartlari talablariga javoban)
✓ xavfsizlik siyosati qismi sifatida cheklangan ma'lumotlar 
kengaytirilgan ro„yxatini ishlab chiqish;
✓ tashkiliy-boshqaruv va huquqiy darajada AX kompaniyasining 
korporativ siyosatining tavsiyalariga muvofiq tashkiliy-me'yoriy hujjatlar 
to„plamini ishlab chiqish;
✓ AX kompaniyasining korporativ siyosatining tashkiliy-huquqiy 
darajadagi tavsiyalariga muvofiq standart tashkiliy va me'yoriy hujjatlar 
to„plamini yetkazib berish. Kompaniyaning axborot xavfsizligi darajasi 
ko„p jihatdan mutaxassislarning malakasiga bog„liq. Kadrlar malakasini 
oshirish va ularni qayta tayyorlash uchun axborot xavfsizligi 
texnologiyalari, axborot xavfsizligi texnologiyalaridan foydalanish 
bo„yicha treninglar o„tkazish, xodimlarni iqtisodiy xavfsizlik asoslariga 
o„rgatish tavsiya etiladi. Bu muhim rol o„ynaydi va kompaniyaning 
axborot xavfsizligini har yili qayta baholash. 
Tashkiliy xavfsizlik siyosatini shakllantirish Axborot xavfsizligi 
tizimiga yechimlar taklif qilishdan oldin xavfsizlik siyosatini ishlab 
chiqish zarur. Tashkiliy xavfsizlik siyosati foydalanuvchilarga kirish 
huquqini taqdim etish va ulardan foydalanish tartibini, shuningdek 
xavfsizlik masalalarida foydalanuvchilarning xattiharakatlari uchun 
javobgarligini talablarini tavsiflaydi. Axborot xavfsizligi tizimi (IBS) 
xavfsizlik siyosati siyosatini amalga oshirishni ishonchli qo„llab-
quvvatlasa, aksincha, samarali bo„ladi. Tashkiliy xavfsizlik siyosatini 
qurish bosqichlari - bu qiymatning tuzilishini avtomatlashtirish obyektini 
tavsiflash va xatarlarni tahlil qilish va ushbu avtomatizatsiya obyektining 
resurslariga kirishning ushbu turidan foydalanishning har qanday jarayoni 
uchun qoidalarni belgilashga hissa qo„shadi. Tashkiliy xavfsizlik siyosati 


buyurtmachi tomonidan kelishilgan va tasdiqlangan alohida hujjat 
shaklida rasmiylashtiriladi.
Avvalo, maqsadni belgilovchi omillarni yoki mezonlarni egallash 
orqali ifoda etilgan obyektni qurish tizimining umumiy maqsadini batafsil 
tavsiflash kerak. Omillar kombinatsiyasi tizimga qo„yiladigan talablarni 
aniqlash uchun asos bo„lib xizmat qiladi (muqobil tanlov). Xavfsizlik 
omillari, o„z navbatida, huquqiy, texnologik, texnik va tashkiliy jihatdan 
bo„linishi mumkin. Kafolatni muhofaza qilish bo„yicha talablar SIB 
obyektining xavfsizlik xususiyatlarini baholash orqali ifodalanadi. 
Xavfsizlik funktsiyasining kuchini baholash alohida himoya mexanizmi 
darajasida amalga oshiriladi va uning natijalari aniqlangan tahdidga 
qarshi xavfsizlik funktsiyasining nisbiy qobiliyatini aniqlashga imkon 
beradi. Hujumning ma'lum potentsialidan oshib, himoya funksiyasining 
kuchi, masalan, "asosiy", "o„rta", "yuqori" toifalari bilan belgilanadi. 
Ta'sir salohiyati hujumchini rag„batlantirish imkoniyatlari, manbalari va 
motivlarini o„rganish orqali aniqlanadi. Axborot xavfsizligi tizimiga 
qo„yiladigan talablar ro„yxati, eskiz loyihasi, himoya rejasi (bundan 
keyin - texnik hujjatlar, TD) obyektning axborot xavfsizligi uchun 
talablar to„plamini o„z ichiga oladi, ular so„rov tarkibiga murojaat qilishi 
mumkin, deyiladi bayonotda. Umuman olganda, televizorni rivojlantirish 
quyidagilarni o„z ichiga oladi:
-himoya funksiyalarini aniqlashtirish;
-SIB qurilishining me'moriy tamoyillarini tanlash;
-SIBning mantiqiy tuzilishini ishlab chiqish (interfeyslarning 
batafsil tavsifi);
-SIB xavfsizligini ta'minlash funksiyalari talablariga aniqlik kiritish;
-tuzilgan talablarga muvofiq testlar usullari va dasturlarini ishlab 
chiqish. Erishilgan muhofazani baholash bosqichida axborot muhiti 
xavfsizligi kafolati choralarini baholash amalga oshiriladi. Kafolat 
o„lchovi tavsiya etilgan faoliyatni amalga oshirgandan so„ng obyektning 
axborot muhitiga ishonib topshirilishi mumkin bo„lgan baholashga 
asoslanadi. Ushbu uslubning asosiy qoidalari kafolat darajasi xavfsizlikni 
baholash samaradorligidan kelib chiqadi deb taxmin qiladi. Baholarning 
o„sishi quyidagilarni nazarda tutadi:
- baholash jarayonida ishtirok etadigan ob'ektning axborot muhiti 
elementlarining muhim soni;


- xavfsizlik tizimlarini loyihalashda loyiha turlarini kengaytirish va 
ishlash tafsilotlarini tavsiflash;
- aniqligi aniq bo„lmagan zaifliklarni aniqlashga yoki ularning 
mavjud bo„lish ehtimolini kamaytirishga qaratilgan ko„plab qidiruv 
vositalari va usullarini qo„llashda qo„llaniladigan qat'iylik. Xulosa. 
Umuman aytganda, yuqorida keltirilgan metodologiya kompaniyaning 
axborot aktivlarini himoya qilishning hozirgi darajasini baholash yoki 
yuqori baholash, shuningdek, axborot xavfsizligini ta'minlash bo„yicha 
tavsiyalar ishlab chiqish imkonini beradi. Xususan, korporativ tarmoq 
barqarorligini oshirish orqali kompaniyaning potentsial yo„qotishlarini 
kamaytirish, kompaniya xavfsizligi kontseptsiyasi va siyosatini ishlab 
chiqish. Shuningdek, ko„rib chiqilgan metodologiya kompaniyaning 
maxfiy ma'lumotlarini himoya qilish, ochiq aloqa kanallari orqali 
uzatiladigan, 
kompaniya 
ma'lumotlarini 
qasddan 
buzilishdan 
(buzilishdan), ruxsatsiz nusxalashdan, ruxsatsiz kirishdan himoya qilish 
rejalarini taklif qilish imkonini beradi. 

Download 244.7 Kb.

Do'stlaringiz bilan baham:
1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling