“Ўзбектелеком” акциядорлик компаниясида ахборот хавфсизлигини таъминлашга қаратилган ишларини
Download 158 Kb.
|
урганиш маълумотномаси
- Bu sahifa navigatsiya:
- “ахборот хавфсизлигига жавобгар” шахслар сифатида ўтган йиллар давомида ахборот ва киберхавфсизлиги бўйича етарли билим ва малакаларга эга бўлмаган ходимларга юклатилиб келинган.
- Telegram мессенжери орқали конфиденциал маълумотларни юбориш ва қабул қилиш
- Windows XP , Windows 7 ва Windows 8
3 та заифлик (1 та юқори ва 2 та ўрта) аниқланганлиги қайд этилган.
Бироқ, ушбу заифликларни бартараф этилиши юзасидан амалга оширилган ишлар тўғрисида маълумот тақдим этилмади. Шунингдек, жорий йилнинг 3 май соат 15:25 ҳолатига Вазирлар Кенгашининг расмий веб-сайти ишчи ҳолатида эмаслиги маълум бўлди. Вазирлар Кенгашининг тузилмасига кўра ахборот ва киберхавфсизлиги бўлинмаси мавжуд эмас. Вазирлар Кенгашида ахборот хавфсизлигини таъминлаш ва қўллаб-қувватлаш Қорақалпоғистон Республикаси Вазирлар Кенгаши ҳузуридаги “Ахборот-коммуникация технологияларини ривожлантириш маркази” ДУК томонидан амалга оширилиб келинмоқда. Хусусан, Вазирлар Кенгаши Раиси томонидан 2018 йил 6 августда тасдиқланган ва Қорақалпоғистон Республикаси Нукус шаҳар Давлат хизматлари маркази томонидан 2018 йил 1 августда 48125-сон билан рўйхатга олинган “Қорақалпоғистон Республикаси Вазирлар Кенгаши ҳузуридаги “Ахборот-коммуникация технологияларини ривожлантириш маркази” ДУК Устави”нинг 2.2-банди 4-хатбошида “маҳаллий давлат ҳокимияти органларининг ахборотлаштириш объектларида ахборот хавфсизлигига таҳдидларни ўз вақтида аниқлаш ва уларга қарши курашиш, ахборот хавфсизлиги талабларига риоя этилиши устидан назорат ва мониторингни амалга ошириш бўйича ташкилий-техник чораларни амалга ошириш” вазифаси белгилаб берилган бўлиб, бироқ унинг ижроси таъминланмаган. Вазирлар Кенгашида ахборот хавфсизлигини таъминлашда алоҳида аутсорсинг ташкилоти жалб этилмаган. Вазирлар Кенгаши Ишлар бошқармасининг 2021 йил 23 июлдаги 100-сон буйруғи билан Саноатни ривожлантириш, капитал қурилиш ва коммуникация масалалари бўйича секретариат бошлиғи И. Сдиковга Вазирлар Кенгаши “ахборот хавфсизлигига жавобгар” вазифаси қўшимча юклатилган. Ушбу буйруқда бундан буён юқорида кўрсатилган жавобгар лавозимидан бўшатилганида ёки бошқа лавозимга бошқа лавозимга ўзгарган тақдирда ўрнига тайинланган ходим тайинланган кундан бошлаб жавобгар этиб белгилансин деб кўрсатилган. Лекин “ахборот хавфсизлигига жавобгар” шахслар сифатида ўтган йиллар давомида ахборот ва киберхавфсизлиги бўйича етарли билим ва малакаларга эга бўлмаган ходимларга юклатилиб келинган. Ўзбекистон Республикаси Президентининг 2020 йил 5 октябрдаги ПФ-6079-сонли Фармонининг 15-бандига асосан Вазирлар Кенгашининг 2020 йил 21 октябрдаги 214-б-сонли фармойиши билан Вазирлар Кенгашининг Саноатни ривожлантириш, капитал қурилиш, коммуникациялар ва коммунал хўжалаги масалалари бўйича ўринбосарига рақамлаштириш (Chief Digital Officer) ваколати юклатилган. Вазирлар Кенгашида ходимлар ахборот хавфсизлиги бўйича малакасини оширмаган. Ўзбекистон Республикаси Вазирлар Маҳкамасининг 2016 йил 12 августдаги 262-сонли “Электрон ҳукуматнинг идоралараро маълумотлар узатиш тармоғини ташкил этиш чора-тадбирлари тўғрисида”ги қарорига асосан Вазирлар Кенгаши идоралараро маълумотлар узатиш тармоғига уланмаган. Вазирлар Кенгашида қуйидаги ахборот тизимларидан фойдаланилмоқда: - “App.ijro.uz” – электрон ҳужжат айланиш тизими; - “mf.ijro.uz” – ички ҳужжатлар алмашинуви тизими; - “Е-xat”- ҳимояланган электрон почта; - “E-qaror.gov.uz – маҳаллий ижро этувчи ҳокимият органлари томонидан қабул қилинадиган қарорларни ишлаб чиқиш, келишиш ва рўйхатдан ўтказишнинг ягона электрон тизими; - “ijro.gov.uz” – ижро интизомини назорат қилишнинг ягона тизими, юқори ташкилотлардан келиб тушган норматив ҳуқуқий ҳужжатларни ижросини мониторинг қилиш; - “project.gov.uz” – нормати-ҳуқуқий ҳужжатлар лойиҳасини ишлаб чиқиш ва келишишнинг ягона электрон тизими; - “E-stat” – статистик хисоботларини тақдим этиш тизими; - “Ўз-АСБО” – бухгалтерия томонидан молия ва пул-ўтказмаларига боғлиқ хисоботларни юритиш ва Молия вазирлигига тақдим этиш тизими; - “soliq.uz” – солиқ ҳисоботларини жўнатиш тизими. Вазирлар Кенгашида жами 116 та ишчи компьютерлар мавжуд бўлиб, ундан Windows 7 (23 та), Windows 10 (64) ҳамда Windows 11 (29 та) операцион тизимлари ташкил этади. Фойдаланилаётган операцион тизимларнинг лицензияси мавжуд эмас. Шу билан бирга, Windows 7 операцион тизимнинг техник қўллаб қувватлаш хизмати Microsoft компанияси томонидан ҳозирги кунда тўхтатилган. Вазирлар Кенгашида DLP ва IDS/IPS-тизимлари мавжуд эмас. Вазирлар Кенгаши ва ҳудудий тизим ташкилотлари ўртасида корпоратив тармоқ мавжуд эмас. Вазирлар Кенгашида фойдаланилаётган ишчи компьютерларда лицензияга эга бўлмаган ESET NOD32 антивирус дастурлари ўрнатилган. Вазирлар Кенгаши биноси ичи ва унинг ҳудудида жами 32 та Hikvision русумидаги видеокузатув камералари ҳамда 1 та Hikvision NVR (6 TB) қурилмалари билан жиҳозланган. Бинога кириш/чиқиш йўлини назорат қилиш Вазирлар Кенгаши ва Қорақалпоғистон Республикаси Қўриқлаш бошқармаси билан 2023 йил 18 январдаги 22-сонли шартнома ва 2023 йил 12 апрелдаги 1-сонли қўшимча келишувга асосан амалга оширилади. Шу билан бирга, ташриф буюрувчиларни келиб/кетишини рўйхатга олиш журнали, кириш йўлини назорат қилиш видеокузатуви, сигнализация тизимлари ўрнатилган, кириш/чиқишда турникетлар ўрнатилган, бироқ ишлатилмаяпти. Вазирлар Кенгаши ва “Ўзбектелеком” АК Қорақалпоғистон Республикаси филиали билан 2023 йил 31 январдаги 14-2656/28600-сонли “Телекоммуникация хизматлари кўрсатилиши тўғрисида абонент шартномаси”га асосан Интернет хизматидан (20Mbit/sec) фойдаланиш ташкил этилган. Вазирлар Кенгашида “Ўзбектелеком” АК маршуртизатори орқали Интернет узатилиши таъминланган бўлиб, лиценцияга эга бўлмаган “Kerio Control” дастурий воситаси орқали (фақат DHCP-сервер функцияси) амалга оширилади. Шунингдек, “Ўзбектелеком” АК маршуртизатори орқали Вазирлар Кенгашининг катта йиғилишлар залига ва Вазирлар Кенгашининг Раиси хонасига алоҳида Интернет тармоғига уланиш ташкил этилган. Ушбу уланишлар ҳимояланганлиги хусусида маълумот тақдим этилмади. Ўзбекистон Республикаси Президенти ҳузуридаги Хавфсизлик кенгашининг 2022 йил март ойидаги топшириғига биноан 2022 йил 12-13 май кунлари Қорақалпоғистон Республикаси Вазирлар Кенгаши ахборот ва киберхавфсизлик таъминланганлиги ҳолати юзасидан ўтказилган ўрганиш натижаси бўйича аниқланган камчиликларни бартараф этиш бўйича Вазирлар Кенгашининг 2022 йилнинг 31 майдаги 01-09/7-05/592-сонли 14 та банддан иборат чора-тадбир режаси ишлаб чиқилган. Бироқ 2023 йил 2-3 май кунлари ўтказилган ўрганишда ушбу чора-тадбирлар режасидаги 14 та банддан 1 таси бажарилган, 2 таси қисман бажарилганлиги ва 11 таси бажарилмаганлиги, хусусан жиддий нуқсонлар бартараф этилмаганлиги маълум бўлди. Ўзбекистон Республикаси Президентининг 2020 йил 15 июндаги ПФ-6007-сонли Фармони ва ПҚ-4751-сонли Қарори билан белгиланган Ягона оператор орқали Интернет тармоғига уланиш ижроси таъминланмаган. Ўрганиш давомида танлов асосида бир қатор ишчи компьютерлар ўрганилганда уларда Ўзбекистон Республикаси Вазирлар Маҳкамасининг 2015 йил 21 октябрдаги 295-сонли “Ўзбекистон Республикасида ахборотлаштириш объектларида конфиденциал ахборотни хавфсизлигини ташкил этиш ва таъминлаш тартиби бўйича низомни тасдиқлаш тўғрисида”ги қарори ҳамда Ўзбекистон Республикаси Вазирлар Маҳкамасининг 2006 йил 5 декабрдаги “Махфий бўлмаган, тарқатилиши чекланган маълумотларни ўз ичига олган ҳужжат, жилд ва нашрларни ҳисобга олиш, муомала қилиш ва сақлаш тўғрисида”ги Йўриқномаси талабларининг бажарилиши таъминланмаган. Хусусан, мазкур меъёрий-ҳуқуқий ҳужжатлар талабларига зид равишда конфиденциал маълумотлар ва “ХДФУ” белгили ҳужжатлар Интернет тармоғига уланган ишчи компьютерлар хотирасида сақланиб келаётганлиги аниқланди. Таъкидлаш жоизки, Ташкилий-кадрлар гуруҳ раҳбари Рысназаров Рахат Узақбергенович тасарруфидаги Интернет тармоғига уланган ишчи компьютерида Вазирлар Кенгаши раҳбарияти ва ходимларининг шахсга доир маълумотлари сақланаётганлиги ҳамда Умумий бўлим бошлиғи Нураддинов Мухиддин Касимович томонидан сервери Ўзбекистон Республикасидан ташқарида жойлашган Telegram мессенжери орқали конфиденциал маълумотларни юбориш ва қабул қилиш ҳолатлари аниқланди. Бундан ташқари, К.О. Казакбаев тасарруфида бўлган Интернет тармоғига уланган ва махсус текширув ўтказилмаган ишчи компьютерида “Махфий” грифга эга бўлган 2 та ҳужжат лойиҳалари (электрон файл) сақланиб келаётганлиги аниқланиб, ушбу ҳолат юзасидан Ўзбекистон Республикаси ДХХ Қорақалпоғистон Республикаси бўйича бошқармасининг масъул ходимига хабар берилди. Шунингдек, (“ХДФУ” белгили) ҳужжатлар рўйхатга олинмаган электрон нусхалари ва конфиденциал, шу жумладан шахсга доир маълумотлар ишчи компьютерларда ва Вазирлар Кенгаши локал тармоғида 192.168.1.3 IP-манзилида жойлашган файл-серверида сақланиши аниқланди. Шу билан бирга, конфиденциал (“ХДФУ” белгили) ҳужжатлар билан ишлаш, уларни рўйхатга олиш, сақлаш ҳамда электрон нусхасини яратиш талабларининг бажарилиши таъминланмаганлиги маълум бўлди. Вазирлар Кенгаши фойдаланувчиларнинг ишчи компьютерларида лицензияга эга бўлмаган ESET Antivirus дастурий таъминоти ўрнатилган, антивирус базалари ўз вақтида янгиланиб борилиши автоматик тарзда амалга оширилган, айрим ходимлар ишчи компьютерларида антивирус базалари янгиланмайди ва корпуслари рухсатсиз очилиши ҳамда уларнинг аппарат қисмига ўзгартиришлар киритилишини олдини олиш мақсадида мухрланмаган. Фойдаланувчилар пароллари ахборот хавфсизлиги сиёсатининг 6-иловаси “Пароль ҳимояси бўйича Йўриқнома” талабларига мос келмайди. Вазирлар Кенгашининг локал тармоғини дастлабки қисқа муддатли ўрганиш жараёнида фойдаланувчиларнинг ишчи компьютерларида ишлаб чиқарувчи томонидан қўллаб қувватланиши тўхтатилган маънан эскирган Windows XP, Windows 7 ва Windows 8 операцион тизимлари ўрнатилган ва уларда жиддий заифликлар мавжуд (заифликлар коди CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148). Бундан ташқари Вазирлар Кенгашида симсиз нуқталар (Wi-Fi) мавжуд бўлиб ишчи компьютерлар (ноутбук, моноблок) уш бу нуқталарга уланган. Бир неча нуқталар (мисол учун, ZTE2 да “19511971”) пароллари содда ва рақамлардан иборат. Вазирлар Кенгаши сервер хонаси O’z DSt 2875:2014 “Ахборот технологияси. Датамарказларга қўйиладиган талаблар. Инфратузилма ва ахборот хавфсизлигини таъминлаш” давлат стандарти талабларига мослигини текширилганда қуйидагилар аниқланди: сервер хонасини кириш эшиги қулфланмайдиган тунука қопламали эшик билан жиҳозланган; ички томонидан осма қулфли панжара ўрнатилган; сервер хонасига киришга рухсат этилган ходимлар рўйхати мавжуд эмас; сервер хонасида тутунли сигнализация тизимлари ўрнатилмаган; сервер хонасида қўриқлаш сигнализациялари ўрнатилмаган; сервер хонасида ҳароратни меъёрида бўлишини таъминлаш учун бир дона маиший кондиционер ўрнатилган; сервер хонасида бир дона ўт учириш воситаси мавжуд; сервер хонаси кузатув камералари билан жихозланмаган; серверларда резерв нусхалар олиш ва резерв нусхаларни алоҳида сақлаш тизими ташкил қилинмаган; сервер қурилмаларини узлуксиз ишлашини таъминлаш учун узлуксиз электр таъминот манбаи ва дизел генератор билан таъминланмаган; сервер қурилмалари учун алоҳида шкаф мавжуд эмас; серверларда анитивирус дастурий таъминоти ва киберҳужумларни аниқлаш ва бартараф этиш тизими (IDS/IPS) ҳамда тармоқлараро экрани ўрнатилмаган. “Сервер хонасига ташриф буюрувчиларни қайд этиш журнали” ва “Сервер хонасига техника воситаларини олиб кириш ва чиқишини қайд этиш дафтар”лари мавжуд бўлиб, рақамланган, тикилган ва рўйхатга олинган, бироқ тўғри тўлдирилмаган ва ўз вақтида юритилмайди. Ахборотлаштириш объекти икки энергокириш билан таъминланган. Вазирлар Кенгашида ахборот хавфсизлиги таъминланганлиги юзасидан ахборот хавфсизлиги ички аудити ўтказилмаган. Ахборот хавфсизлиги ва жамоат тартибини таъминлашга кўмаклашиш маркази томонидан 2018 йилда Вазирлар Кенгаши ахборот хавфсизлиги бўйича ташқи аудит ўтказилган ва тегишли ҳисобот тақдим этилган. Ушбу ҳисоботда ахборот хавфсизлигини таъминлаш бўйича бир қатор тавсиялар берилган. Ўрганиш кунида ушбу тавсияларнинг бажарилганлиги бўйича маълумот тақдим этилмади. Download 158 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling