Toshkent Davlat Moliya Instituti
Download 33.96 Kb.
|
iakt-muhammadiyeva
|
O’zbekiston Respublikasi Oliy va O’rta Maxsus Ta’lim Vazirligi Toshkent Davlat Moliya Instituti Moliya va moliyaviy texnologiyalar fakulteti MMT-73 guruh talabasining “Iqtisodda informatsion-kommunikatsion texnologiyalar” fanidan MUSTAQIL ISH Mavzu:Axborot xavfsizligini ta’minlash usullari Bajardi:Muhammadiyeva X
Axborot xavfsizligi tushunchasi haqida ma’lumot va asosiy ta’riflar Bugungi jadallik bilan rivojlanib kelayotgan dunyoda axborot xavfsizligi eng birinchi o’rinda e’tibor qaratilishi kerak bo’lgan jihatlardan biri hisoblanadi. Siz oilangiz yoki faoliyatingizga aloqador har qanday shaxsiy ma’lumot bugungi kunda g’araz niyatli kishilar qo’liga tushsajuda kuchli qurolga aylanishi mumkin. Ijtimoiy tarmoqlar va televideniyada internet orqali shaxsiy ma’lumotlarni tarqalishiga yoki o’g’irlanishiga jinoyatlar ko’p yoritilmoqda.Tafsilotlarga e’tibor bersangiz , bir qarashda ahamiyatsiz deb bilingan kichik ma’lumotlar kishilarga ma’naviy, ruhiy, va moddiy zarar yetkazyapti. Ko’ngilsizliklarning oldini olish uchun har bir kishi o’zi uchun shaxsiy va oilaviy axborot xavfsizligi haqida umumiy ma’lumotga ega bo’lishi kerak. Internet texnologiyalarining hozirgi rivojlanish davrida esa axborot xavfsizligi nafaqat kattalar, balki bolalar ham mukammal o’rgatilishi kerak bo’lgan soha hisoblanadi. Buni bilish uchun eng avvalo axborot xavfsizligi nima? degan savolga javob topishimiz kerak. Axborot xavfsizligi (inglizcha: Information Security, shuningdek, inglizcha: InfoSec) — axborotni ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish yoki yoʻq qilishning oldini olish amaliyotidir. Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan qatʼiy nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini taʼminlashning asosiy maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va mavjudligini muvozanatli, qoʻllashning maqsadga muvofiqligini hisobga olgan holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya qilishdir. Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid manbalari, zaifliklar, potensial taʼsirlar va mavjud xavflarni boshqarish imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni boshqarish jarayoni orqali erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash bilan birga olib boriladi. Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar texnik axborot xavfsizligi choralari, yuridik javobgarlik, shuningdek, foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida asosiy metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy hamkorlik asosida ish olib boradi Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash, saqlash va uzatishni tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir koʻrsatadi. Biroq, tashkilotda agar doimiy takomillashtirish madaniyati toʻgʻri shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni joriy etish yuzaki taʼsir koʻrsatishi mumkin. Umumiy ma’lumot: Axborot xavfsizligining markazida axborotni himoya qilish faoliyati — uning maxfiyligi, mavjudligi va yaxlitligini taʼminlash, shuningdek, tanqidiy vaziyatda har qanday murosaga yoʻl qoʻymaslik masalasi yotadi. Bunday holatlarga tabiiy, texnogen va ijtimoiy ofatlar, kompyuterning ishdan chiqishi, jismoniy oʻgʻirlik va boshqalar kiradi. Dunyodagi aksariyat tashkilotlarning ish jarayonlari hanuz qogʻoz asosidagi xujjatlarga asoslangan boʻlib, tegishli axborot xavfsizligi choralarini talab qilsa-da, korxonalarda raqamli texnologiyalarni joriy etish boʻyicha tashabbuslar soni barqaror oʻsib bormoqda. Bu esa axborotni himoya qilish uchun axborot texnologiyalari (IT) xavfsizligi boʻyicha mutaxassislarni jalb qilishni talab qiladi. Ushbu mutaxassislar axborot xavfsizligi texnologiyasini (koʻp hollarda kompyuter tizimlarining bir turini) taʼminlaydi. Bu kontekstda kompyuter nafaqat maishiy shaxsiy kompyuterni, balki har qanday murakkablik va maqsadli raqamli qurilmalar, yaʼni elektron kalkulyatorlar va maishiy texnika kabi ibtidoiy va izolyatsiya qilinganlardan tortib, sanoat boshqaruv tizimlari va kompyuter tarmoqlari orqali ulangan superkompyuterlargacha boʻlgan raqamli qurilmalarni anglatadi. Yirik korxona va tashkilotlar oʻz bizneslari uchun axborotning hayotiy ahamiyati va qiymati tufayli, qoida tariqasida, oʻz xodimlariga axborot xavfsizligi boʻyicha mutaxassislarni yollaydilar. Ularning vazifasi barcha texnologiyalarni maxfiy maʼlumotlarni oʻgʻirlash yoki tashkilotning ichki tizimlarini nazorat qilishga qaratilgan zararli kiberhujumlardan himoya qilishdir.Axborot xavfsizligi bandlik sohasi sifatida soʻnggi yillarda sezilarli darajada rivojlandi va oʻsdi. U tarmoq va tegishli infratuzilma xavfsizligi, dasturiy taʼminot va maʼlumotlar bazasini himoya qilish, axborot tizimlari auditi, biznesning uzluksizligini rejalashtirish, elektron yozuvlarni aniqlash va kompyuter kriminalistikasi kabi koʻplab professional ixtisosliklarni yaratdi. Axborot xavfsizligi boʻyicha mutaxassislar mehnat bozorida yuksak barqaror bandlikka va yuqori talabga ega. Bir qator tashkilotlar (ISC)² tomonidan olib borilgan keng koʻlamli tadqiqotlar natijasida maʼlum boʻlishicha, 2017-yilda axborot xavfsizligi sohasi rahbarlarining 66 % oʻz boʻlimlarida ishchi kuchining keskin yetishmasligini tan olishgan va 2022-yilga kelib bu sohada mutaxassislarning tanqisligi darajasi butun dunyoda 1 800 000 kishini tashkil etishini taxmin qilgan . Asosiy taʼriflar Himoya qilinadigan axborot — normativ-huquqiy hujjatlar talablariga yoki axborot egasi tomonidan belgilangan talablarga muvofiq muhofaza qilinishi kerak boʻlgan axborotdir. Axborot egasi — axborotni mustaqil ravishda yaratgan qonun yoki shartnoma asosida har qanday belgilar bilan aniqlangan maʼlumotlarga kirishga ruxsat berish yoki cheklash huquqini olgan shaxs. Axborot egalari quyidagilar boʻlishi mumkin: davlat, yuridik shaxs, jismoniy shaxslar guruhi, alohida jismoniy shaxs. Axborot xavfsizligi — axborot xavfsizligi holati, bunda uning maxfiyligi, yaxlitligi va mavjudligi taʼminlanadi. Axborot xavfsizligini tashkil etish — axborot xavfsizligiga tahdidlarni aniqlash, axborotni himoya qilish boʻyicha chora-tadbirlarni rejalashtirish, amalga oshirish va axborotni muhofaza qilish holatini kuzatishga qaratilgan harakatlar majmui. Axborot xavfsizligi tizimi — axborot xavfsizligi talablariga muvofiq tashkil etilgan va faoliyat yurituvchi organlar va (yoki) ijrochilar, ular tomonidan qoʻllaniladigan axborotni muhofaza qilish texnologiyalari, shuningdek axborotni muhofaza qilish ob’ektlari majmui. Tashkilotning axborot xavfsizligi siyosati — bu tashkilot faoliyatini tartibga soluvchi hujjatlashtirilgan axborot xavfsizligi siyosatlari, protseduralari, amaliyotlari yoki yoʻriqnomalari toʻplami. Turli manbalarda „axborot xavfsizligi“ tushunchasi Quyida turli manbalardan olingan „axborot xavfsizligi“ atamasining taʼriflari keltirilgan: Axborotning maxfiyligi, yaxlitligi va mavjudligini saqlash. Eslatma: Haqiqiylik, javobgarlik, rad etmaslik (inglizcha: non-repudiation) va ishonchlilik kabi boshqa xususiyatlar ham bu qatorga kiritilishi mumkin. Maxfiylik, yaxlitlik va mavjudlikni taʼminlash maqsadida axborot va axborot tizimlarini ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish yoki yoʻq qilishdan himoya qilish. Korxonada axborotni ruxsatsiz foydalanuvchilarga oshkor qilishdan (maxfiylik), noqonuniy oʻzgartirishdan (yaxlitlik) va zarur boʻlganda mavjud boʻlmasligidan (mavjudligi) himoya qilishni taʼminlash. Tashkilotning intellektual mulkini himoya qilish jarayoni. Xatarlarni boshqarish fanlaridan biri, uning vazifasi biznes uchun axborot tavakkalchiligi xarajatlarini boshqarishdir. Axborot risklari tegishli nazorat va boshqaruv choralari bilan muvozanatlanganligiga asosli ishonch. Axborotni himoya qilish, axborotni shaxslarga ruxsatsiz oshkor qilish xavfini minimallashtirish. Axborotni qayerda joylashgan boʻlishidan qatʼiy nazar (tashkilot perimetri ichida ham, tashqarisida ham) tahdidlardan himoya qilish uchun turli xil xavfsizlik mexanizmlari (texnik, tashkiliy, insonga yoʻnaltirilgan, huquqiy)ni ishlab chiqish va amalga oshirishga qaratilgan koʻp tarmoqli tadqiqot va kasbiy faoliyat sohasi va shunga mos ravishda axborot yaratiladigan, qayta ishlanadigan, saqlanadigan, uzatiladigan va yoʻq qilinadigan axborot tizimlari. Xavfsizlik maqsadlari roʻyxati maxfiylik, yaxlitlik, mavjudlik, maxfiylik, haqiqiylik va asoslilik, rad etmaslik, javobgarlik va tekshiriluvchanlikni oʻz ichiga olishi mumkin. Davlat xavfsizligi uchun mas’ul boʻlgan davlat organlari tomonidan paydo boʻladigan, taʼsir etuvchi tahdidlar va ushbu tahdidlarga qarshi kurashning muvaffaqiyati oʻrtasidagi muvozanat jarayoni. 1975-yilda Jerri Zalser va Maykl Shreder oʻzlarining „Kompyuter tizimlarida axborot xavfsizligi“ nomli maqolasida birinchi boʻlib xavfsizlikni buzishni uchta asosiy toifaga ajratishni taklif qilishgan. Bular ma’lumotlarni ruxsatsiz oshkor qilish (inglizcha: unauthorized information release), ma’lumotni ruxsatsiz oʻzgartirish (inglizcha: Unauthorized information modification) va ma’lumotlarga kirishni ruxsatsiz rad etish (inglizcha: Unauthorized denial of use). Keyinchalik, bu toifalar quyidagi qisqa nomlar va standartlashtirilgan ta’riflarni olgan: Confidentiality ing. „maxfiylik“ - ruxsatsiz shaxslar, sub’ektlar yoki jarayonlar uchun kirish mumkin boʻlmagan yoki yopiq boʻlgan ma’lumotlarning xususiyati; Integrity ing. „yaxlitlik“ - aktivlarning toʻgʻriligi va toʻliqligini saqlash xususiyati; Availability ing. „mavjudlik“ - bu huquqqa ega boʻlgan vakolatli sub’ektning iltimosiga binoan mavjud boʻlishi va foydalanishga tayyor boʻlishi kerak boʻlgan ma’lumotlar mulki.Axborot xavfsizligining ushbu uchta asosiy tamoyillari birgalikda CIA triadasi deb ataladi. Axborot xavfsizligiga tahdidlar va bu kabi tahdidlardan qutulish uchun xavfsizlik choralari Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin. 2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“ (inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot zanjirlari va tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan. „Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun darknet bozorida jinoiy xizmatlar paketini yangi paydo boʻlgan kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik hujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy hodisaga aylantiradi. Koʻpgina tashkilotlar Internet mahsulotlarini faol tatbiq qilmoqdalar. Bu qurilmalar koʻpincha xavfsizlik talablarisiz ishlab chiqilganligi bois, kiberhujumlar uchun qoʻshimcha imkoniyatlar yaratadi. Bundan tashqari, internet xizmatlarining jadal rivojlanishi va murakkablashuvi uning shaffofligini pasaytiradi, bu esa noaniq belgilangan huquqiy qoidalar va shartlar bilan birgalikda tashkilotlarga qurilmalar tomonidan toʻplangan mijozlarning shaxsiy maʼlumotlaridan oʻz ixtiyoriga koʻra, ular bilmagan holda foydalanish imkonini beradi. Bundan tashqari, tashkilotlarning oʻzlari IoT qurilmalari tomonidan toʻplangan maʼlumotlarning qaysi biri tashqariga uzatilishini kuzatishi mushkul masaladir. Taʼminot zanjirlariga tahdid shundaki, tashkilotlar oʻzlarining yetkazib beruvchilari bilan turli xil qimmatli va nozik maʼlumotlarni almashishadi, natijada ular ustidan bevosita nazorat yoʻqoladi. Shunday qilib, ushbu maʼlumotlarning maxfiyligi, yaxlitligi yoki mavjudligini buzish xavfi sezilarli darajada oshadi. Bugungi kunda regulyatorlarning tobora koʻpayib borayotgan yangi talablari tashkilotlarning hayotiy axborot aktivlarini boshqarishni sezilarli darajada murakkablashtirmoqda. Masalan, 2018-yilda Evropa Ittifoqida qabul qilingan „Umumiy maʼlumotlarni himoya qilish qoidalari“ (inglizcha: General Data Protection Regulation, GDPR) har qanday tashkilotdan istalgan vaqtda oʻz faoliyati yoki taʼminot zanjirining istalgan qismida joylashtirilgan shaxsiy maʼlumotlarning mazmuni, ularni qayta ishlash usullari, saqlanish va himoyalanish tartibi va qanday maqsadlar uchun xizmat qilishini koʻrsatishni talab qiladi. Bundan tashqari, ushbu maʼlumot nafaqat vakolatli organlar tomonidan tekshirish paytida, balki ushbu maʼlumotlar egasining birinchi talabiga binoan ham taqdim etilishi lozim. Bunday muvofiqlikka rioya qilish muhim byudjet mablagʻlari va resurslarini tashkilotning boshqa axborot xavfsizligi vazifalaridan chetlashtirishni talab qiladi. Shaxsiy maʼlumotlarni qayta ishlashni soddalashtirish uzoq muddatli istiqbolda axborot xavfsizligini yaxshilashni nazarda tutsa ham, qisqa muddatda tashkilotning xatarlari sezilarli darajada oshadi. Aksariyat odamlar u yoki bu tarzda axborot xavfsizligi tahdidlariga duchor boʻlishadi. Masalan, ular zararli dasturlar (viruslar va kompyuter qurti, troya oti(kompyuter virusi) va firibgarlik dasturlari), fishing yoki identifikatorni oʻgʻirlash qurboni boʻlishadi. Fishing (inglizcha: Phishing) — maxfiy maʼlumotlarni (masalan, hisob, parol yoki kredit karta maʼlumotlari) olishga qaratilgan firibgarlik harakatlaridir. Odatda, ular internet foydalanuvchisini har qanday tashkilotning (bank, internet-doʻkon, ijtimoiy tarmoq va h.k.) asl veb-saytidan ajratib boʻlmaydigan soxta veb-saytga jalb qilishga harakat qiladilar. Qoida tariqasida, bunday urinishlar tashkilot nomidan soxta veb-saytlarga havolalarni oʻz ichiga olgan soxta elektron pochta xabarlarini ommaviy yuborish orqali amalga oshiriladi. Foydalanuvchi brauzerda bunday havolani ochib, oʻz hisob maʼlumotlarini kiritib firibgarlarning oʻljasiga aylanadi. 1964-yilda ingliz tiliga Andoza:Tr kiritilgan boʻlib, unda kimningdir shaxsiy maʼlumotlari (masalan, koʻpincha fishing yoʻli bilan olingan ism, bank hisobi yoki kredit karta raqami) firibgarlik va boshqa jinoyatlarni sodir etishda foydalaniladi. Jinoyatchilar nomidan noqonuniy moliyaviy imtiyozlar, qarz olgan yoki boshqa jinoyatlarni sodir etgan shaxs koʻpincha ayblanuvchining oʻzi boʻlib qoladi va bu uning uchun jiddiy moliyaviy va huquqiy oqibatlarga olib kelishi mumkin. Axborot xavfsizligi shaxsiy hayotga bevosita taʼsir qiladi va bu holat turli madaniyatlarda turlicha taʼriflanishi mumkin. Hukumatlar, harbiylar, korporatsiyalar, moliya institutlari, tibbiyot muassasalari va xususiy korxonalar oʻz xodimlari, mijozlari, mahsulotlari, tadqiqotlari va moliyaviy natijalari haqida doimiy ravishda katta miqdordagi maxfiy maʼlumotlarni toʻplaydi. Agar bunday maʼlumotlar raqobatchilar yoki kiberjinoyatchilar qoʻliga tushib qolsa, bu tashkilot va uning mijozlari uchun keng qamrovli huquqiy oqibatlarga, tuzatib boʻlmas moliyaviy va ayanchli yoʻqotishlarga olib kelishi mumkin. Biznes nuqtai nazaridan, axborot xavfsizligi xarajatlarga nisbatan muvozanatli boʻlishi kerak. Gordon-Lob[en] iqtisodiy modeli bu muammoni hal qilishning matematik apparatni tavsiflaydi. Unga koʻra axborot xavfsizligi tahdidlari yoki axborot xavflariga qarshi kurashishning asosiy usullari quyidagilardan iborat: kamaytirish — zaifliklarni bartaraf etish va tahdidlarning oldini olish uchun xavfsizlik va qarshi choralarni amalga oshirish; uzatish — tahdidlarni amalga oshirish bilan bogʻliq xarajatlarni uchinchi shaxslar: sugʻurta yoki autsorsing kompaniyalariga oʻtkazish; qabul qilish — xavfsizlik choralarini amalga oshirish xarajatlari tahdidni amalga oshirishdan mumkin boʻlgan zarardan oshib ketgan taqdirda moliyaviy zaxiralarni shakllantirish; voz kechish — haddan tashqari xavfli faoliyatdan voz kechish. Qanday himoyalanish kerak? Qog’ov va boshqa internetga aloqador bo’lmagan vositalarda saqlanadigan axborotni ishonchli joyda saqlash kerak. Bunday ma’lumotlar keraksiz bo’lib qolgan vaziyatda albatta axborotni uni saqlovchi vosita bilan birga jismoniy yo’q qilish maqsadga muvofiq. Qaysidir maxfiy xujjat kerak bo’lmay qolsa, uni chiqindiga butunligicha tashlab yubormang. Disk yoki fleshkada maxfiy ma’lumotingizdan qutulmoqchi bo’lsangiz, shunchaki axborotni o’chirish bilan cheklanmang. Albatta axborotni uni tashuvchi vosita bilan birgalikda qayta tiklab bo’lmas holatga keltirib, keyin tashlab yuborish tavsiya etiladi. Har qanday katta parchalarda yirtilgan qog’ozni birlashtirish, har qanday disk yoki fleshkadan o’chirilgan ma’lumotni ma’lum texnologiyalar asosida tiklash mumkinligini unutmang. Internetdagi axborot xavfsizligi esa juda katta mavzu. Bugungi kunda deyarli hammaning hayotiga kompyuterlar, smart telefonlar, onlayn bank kartalari va boshqa vositalar orqali kirib kelgan internet texnologiyalariga bog’liq axborot xavfsizligini ko’p uchraydigan muammolar jihatidan bo’lib ko’rib chiqamiz. Parol va tasdiqlash kodlari xavfsizligi Internetda foydalanishingiz mumkin bo’lgan xizmatlarning deyarli barchasida shaxsiy parolingiz bo’lishi talab etiladi. Bunda tizimlar sizni xavfsiz parol tanlashga majbur qilishadi. Juda oddiy va xavfli bo’lgan parollarni ishlatishingizga shunchaki yo’l qo’yilmaydi. Internetdan yaxshi xabardor foydalanuvchilar biladiki, kamida 8 ta belgidan iborat bo’lgan, katta harf, belgi va raqamlar uyg’unligida tuzilgan parollar «xavfsiz» sifatida baholanadi. Albatta, parolni bundan ham mustahkamroq qilib yaxshiroq axborot xavfsizligiga erishishingiz mumkin. Internetda parol generatorlari ko’p. Strong Password Generator kabi xizmatlardan foydalanib ishonchli va mustahkam parol tanlashingiz mumkin. Albatta, generatsiya qilingan parollarni eslab qolish juda qiyin. Shu sababli Google Password Manager kabi parollarni saqlash/boshqarish tizimlaridan foydalanishingizni tavsiya qilaman. Bunday xizmatlardan foydalanishda esa barcha tuxumlarni bitta savatda saqlash xavfi ham paydo bo’ladi. Parol boshqaruv xizmatiga kiradigan parolni bilgan kishi unda saqlanayotgan barcha parollarga egalik qilishi mumkin 😀 Buning oldini olish esa ikki qadamli tasdiqlash (2FV) vositalaridan foydalanish orqali bo’lishi mumkin. Parol qanchalik qiyin bo’lishining o’zi axborotingizni xavfsiz qilib qo’ymaydi. Bitta parolni bir nechta saytlar vxizmatlarda ishlatishingiz uni ancha mo’rt qilib qo’yadi. Sizning parolingiz har qancha uzun, chalkash va xavfsiz bo’lmasin, u o’nta saytda bir xil shaklda ishlatilsa va ularning bittasida parolingizni buza olishsa, demak sizning qolgan to’qqizta saytingizga ham shu parol bilan bemalol kirish mumkin bo’ladi. Internetda ishlatiladigan parollarni hazil tariqasida kishining ich kiyimiga o’xshatishadi: ich kiyimning egasi faqat bitta bo’lishi kerak, uni hech kim ko’rmasligi kerak va albatta tez-tez almashtirib (yangilab) turish kerak. SMS tasdiqlash kodlari parollardan keyingi o’rinda eng muhim xavfsizlik vositasi hisoblanadi. O’zbekistonda eng ko’p ishlatilayotgan va afsuski ko’plab kishilarning bilimsizligi oqibatida eng ko’p muammo keltirib chiqarayotgan SMS tasdiqlash bu to’lov tizimlaridagi pul o’tkazmalar bilan bog’liq SMS tasdiqlash bo’lib turibdi. Internetdagi qasidir xizmat muhim ahamiyatga (odatda pul yoki boshqa moddiy/jismoniy ta’sirga) ega bo’lgan harakatingizni tasdiqlash uchun sizning telefon raqamingizga SMS kod yuboradi. SMS xabarda ko’pincha «iltimos, bu kodni hech kimga bermang», mazmundagi ko’rsatma bo’lishiga qaramasdan ba’zilar kodni uchinchi shaxslarga beradi va kartasidan, hisobidan pul mablag’larini yo’qotadi. Shunday ekan, parollardan tashqari SMS tasdiqlash kodlarini ham xavfsiz saqlash juda muhim! Enkripsiya bilan bog’liq holatlar Ma’lumotlarni internet orqali uzatishda foydalaniladigan eng zamonaviy xavfsizlik vositasi – enkripsiya. Bunda foydalanuvchi tomonidan yuborish uchun kiritilgan ma’lumot foydalanuvchi qurilmasining o’zida enkripsiya qilinadi (inson o’qishi/ko’rishi/eshitishi mumkin bo’lgan shakldan faqat mashina o’qiy olishi mumkin bo’lgan shaklda o’tkaziladi). Enkripsiya qilingan ma’lumot tarmoqda xavfsiz shaklda yetkazilib, qabul qiluvchi server yoki boshqa qurilmada qayta shakllantiriladi (dekripsiya qilinadi). Shu tariqa ikki tomon ma’lumotni xavfsiz shaklda bir-biriga uzatishi mumkin. Sizning axborot xavfsizligingizda kim bilandir onlayn suhbatingizni uchinchi shaxslar bilmasligi juda muhim hisoblanadi. Saytlar orqali ma’lumot almashganingizda brauzerning SSL sertifikat haqida ma’lumot beruvchi qismiga e’tiborli bo’ling. Odatda zamonaviy brauzerlar enkripsiyasi yo’q, SSL sertifikati eskirgan yoki mavjud bo’lmagan saytlardan foydalanuvchilarni yaxshi ogohlantiradi. “Axborot xavfsizligi” tushunchasining qamrovi (tatbiq etilishi). Axborot xavfsizligi tavsifiga tizimli yondashish axborot xavfsizligining quyidagi tarkibiy qismlarini ajratib ko‘rsatishni taklif qiladi: Qonunchilik, normativ-huquqiy va ilmiy asos. AT xavfsizligini ta’minlovchi organlarning (bo‘linmalarning) tuzilishi va vazifalari. Tashkiliy, texnik va rejimli choralar va usullar (Axborot xavfsizligi siyosati). Axborot xavfsizligini ta’minlashning dasturiy-apparat usullari va vositalari. Quyida ushbu bo‘limda axborot xavfsizligining har bir komponenti batafsil ko‘rib chiqiladi. Har qanday ob’ektning axborot xavfsizligini amalga oshirishdan maqsad ushbu ob’ekt uchun axborot xavfsizligi tizimini (ISIS) qurishdir. ATga texnik xizmat ko‘rsatish tizimini qurish va samarali ishlashi uchun quyidagilar zarur: berilgan himoya ob’ektiga xos axborot xavfsizligi talablarini aniqlash; milliy va xalqaro qonunchilik talablarini hisobga olish; shunga o‘xshash AT Ta’minot tizimini yaratish uchun o‘rnatilgan amaliyotlardan (standartlar, metodologiyalardan) foydalanish; AT ta’minot tizimini joriy etish va qo‘llab-quvvatlash uchun mas’ul bo‘linmalarni aniqlash; bo‘limlar o‘rtasida ATga texnik xizmat ko‘rsatish tizimi talablarini amalga oshirishda mas’ul sohalarini taqsimlash; axborot xavfsizligi tavakkalchiligini boshqarish asosida muhofaza qilinadigan obyektning axborot xavfsizligi siyosatini tashkil etuvchi umumiy qoidalarni, texnik va tashkiliy talablarni belgilash; tegishli dasturiy, texnik, muhandislik va axborotni himoya qilishning boshqa usullari va vositalarini joriy etish orqali axborot xavfsizligi siyosati talablarini amalga oshirish; Axborot xavfsizligini boshqarish (nazorat) tizimini (AXBT) joriy etish; AXBTdan foydalangan holda, AXBT samaradorligini muntazam monitoringini tashkil etish va zarur hollarda AXBT va AXBTni ko‘rib chiqish va moslashtirish. Ishning oxirgi bosqichidan ko‘rinib turibdiki, ATga texnik xizmat ko‘rsatish tizimini joriy etish jarayoni uzluksiz va siklik ravishda (har bir qayta ko‘rib chiqilgandan so‘ng) birinchi bosqichga qaytadi va qolganlarini ketma-ket takrorlaydi. Axborotni muhofaza qilish va doimiy yangilanib turadigan axborot tizimining yangi talablariga javob berish vazifalarini samarali bajarish uchun ATga texnik xizmat ko‘rsatish tizimi shunday sozlanadi. Shunday ekan, o’ylaymanki har bir inson uchun axborot xavfsizligi tarixi haqida ham bilish juda qiziqarli bo’lardi va bu haqida ham qisqacha ma’lumot berib o’tmoqchiman. Tarixi Axborotning muximlik darajasi qadim zamonlardan ma’lum. SHuning uchun xam qadimda axborotni himoyalash uchun turli xil usullar qo’llanilgan. Ulardan biri – sirli yozuvdir. Undagi xabarni xabar yuborilgan manzil egasidan boshqa shaxs o’qiy olmagan. Asrlar davomida bu san’at – sirli yozuv jamiyatning yuqori tabaqalari, davlatning elchixona rezidentsiyalari va razvedka missiyalaridan tashqariga chiqmagan. Faqat bir necha o’n yil oldin hamma narsa tubdan o’zgardi, ya’ni axborot o’z qiymatiga ega bo’ldi va keng tarqaladigan mahsulotga aylandi. Uni endilikda ishlab chiqaradilar, saqlaydilar, uzatishadi, sotadilar va sotib oladilar. Bulardan tashqari uni o’g’irlaydilar, buzib talqin etadilar va soxtalashtiradilar. SHunday qilib, axborotni himoyalash zaruriyati tug’iladi. Axborotni qayta ishlash sanoatining paydo bo’lishi axborotni himoyalash sanoatining paydo bo’lishiga olib keladi.o’tmoqchiman. Ilk aloqa vositalarining paydo boʻlishi bilan diplomatlar va harbiy rahbarlar maxfiy yozishmalarni himoya qilish mexanizmlarini va uni soxtalashtirishga urinishlarni aniqlash usullarini ishlab chiqish zarurligini anglaganlar. Masalan, eramizdan avvalgi 50-yillarda Yuliy Tsezar tomonidan ixtiro qilingan shifrlash usuli uning maxfiy xabarlarini begonalar tomonidan oʻqilishiga yoʻl qoʻymaslik uchun ishlab chiqilgan. Maxfiy xabarlar shunday belgilanganki, ular himoyalangan va faqat ishonchli shaxslar tomonidan qoʻriqlanadigan, xavfsiz xonalarda maxsus qutilarda saqlangan. Pochta xizmatining rivojlanishi natijasida xatlarni qabul qilish, parolini ochish, oʻqish va qayta muhrlash ishlarini bajarish uchun davlat tashkilotlari paydo boʻla boshlagan. Shu tariqa, Angliyada bu kabi maqsadlar uchun 1653-yilda „Maxfiy idora“ (inglizcha: Secret Office) tashkil etilgan. Rossiyada xatlarni nazorat qilish Pyotr I davrida yoʻlga qoʻyilib, 1690-yildan boshlab chet elga yuboriladigan barcha xatlar Smolenskda nazorat qilingan. XVIII asr oʻrtalarida qabul qiluvchida hech qanday shubha uygʻotmasligi uchun deyarli barcha xorijiy diplomatlarning yozishmalarini yashirin ravishda „qora kabinetlar“da nusxalash amaliyoti tizimli xususiyatga ega boʻlgan. Ochilgandan soʻng, xabarning kriptotahlilini oʻtkazish talab qilingan va buning uchun oʻz davrining taniqli matematiklari „qora kabinetlar“ faoliyatiga jalb qilingan. Bu borada eng ajoyib natijalarga Kristian Goldbax erishgan. U olti oylik faoliyati davomida Prussiya va Fransiya vazirlarining 61 ta xatini ochishga muvaffaq boʻlgan. Hatto baʼzi holatlarda, xat muvaffaqiyatli shifrlangandan soʻng, uning mazmuni oʻrtadagi odamning hujumi natijasida almashtirilgan. 19-asr boshlarida Rossiyada Aleksandr I hokimiyatga kelishi bilan barcha kriptografik faoliyat Tashqi ishlar vazirligi idorasiga oʻtkazilgan. 1803-yildan boshlab taniqli rus olimi Pavel Lvovich Shilling ushbu boʻlim xizmatiga jalb qilingan. Kanslerning eng muhim yutuqlaridan biri 1812-yilgi Vatan urushi paytida Napoleon I ning buyruqlari va yozishmalarini dekodlash boʻlgan. XIX asrning oʻrtalarida maxfiy maʼlumotlarning yanada murakkab tasniflash tizimlari paydo boʻladi, bu esa hukumatlarga axborotni sezgirligiga qarab boshqarish imkonini beradi. Masalan, Britaniya hukumati 1889-yilda „Davlat sirlari toʻgʻrisida“gi qonunni chop etishi bilan bunday tasnifni maʼlum darajada qonuniylashtirgan. Birinchi jahon urushi davrida barcha urushayotgan davlatlar tomonidan maʼlumotlarni uzatishda koʻp darajali tasniflash va shifrlash tizimlari qoʻllanilgan. Bu esa oʻz navbatida shifrlash va kriptoanaliz boʻlimlarining paydo boʻlishi va intensiv ishlatilishiga yordam bergan. Shunday qilib, 1914-yil oxiriga kelib, Britaniya Admiralligi boʻlimlaridan biri — „40-xona“ tashkil topgan va u Buyuk Britaniyada yetakchi kriptografiya organiga aylantirilgan. 1914-yil 26-avgustda nemis yengil kreyseri „Magdeburg“ Finlyandiya koʻrfazining ogʻzida Odensholm oroli yaqinidagi qoyalarga qoʻndirilgan. Ushbu orol oʻsha davrda Rossiya imperiyasiga tegishli boʻlgan. Nemislar barcha maxfiy hujjatlarni yoʻq qilib, ushbu kemani portlatishadi. Biroq rossiyalik gʻavvoslar suv ostini tekshirib, signallar kitobining ikki nusxasini topadilar va ulardan biri inglizlarga topshiriladi. Tez orada yordamchi kemalar, shuningdek, tashqi dengiz kemalari va unga hamroh boʻlgan dushman kemalari oʻrtasidagi aloqa kodlari kitobini olgan inglizlar nemis dengiz kodlarini ochishga muvaffaq boʻladi. Kodni buzish dushmanning ushlangan radio xabarlarini oʻqish imkonini beradi. 1914-yil noyabr oyining oxiridan boshlab „40-xona“ deyarli barcha buyruq va buyruqlarni uzatuvchi nemis flotining radiogrammalarini muntazam ravishda shifrlashni boshlaydi. Ular birinchi marta 1914-yil 16-dekabrda nemis flotining Britaniya qirgʻoqlariga borishi paytida ushbu shifrni ochishdan foydalanishgan. Urushlararo davrda shifrlash tizimlari tobora murakkablashgan. Shu bois, maxfiy xabarlarni shifrlash uchun maxsus mashinalar qoʻllanila boshlangan. Ularning eng mashhuri 1920-yillarda nemis muhandislari tomonidan yaratilgan „Enigma“dir. 1932-yilda Polsha razvedka shifrlash byurosi „Enigma“ shifrini teskari muhandislik orqali buzishga muvaffaq boʻlgan. Ikkinchi Jahon urushi davrida Gitlerga qarshi koalitsiya mamlakatlari oʻrtasida almashilgan maʼlumotlar hajmi milliy tasniflash tizimlari va nazorat qilish hamda boshqarish tartiblarini rasmiy muvofiqlashtirishni talab qilgan. Murakkab seyflar va omborlarning paydo boʻlishini inobatga olgan holda, hujjatlarni kim boshqarishi mumkinligini (odatda askarlar emas, balki ofitserlar) va ular qayerda saqlanishi kerakligini belgilab beruvchi maxfiylik yorliqlari toʻplami ishlab chiqilgan boʻlib, ular faqat hujjatlarni boshqaruvchilar uchun ochiq boʻlgan. Urushayotgan tomonlar maxfiy hujjatlarni kafolatli yoʻq qilish tartiblarini ishlab chiqganlar. Baʼzan bunday tartiblarning buzilishi butun urush davomida muhim razvedka yutuqlariga olib kelgan. Masalan, Germaniyaning U-570 suv osti kemasi ekipaji inglizlar tomonidan qoʻlga kiritilgan koʻplab maxfiy hujjatlarni yoʻq qila olmagan[31]. Axborot xavfsizligi vositalaridan foydalanishning yorqin misoli yuqorida aytib oʻtilgan „Enigma“ boʻlib, uning murakkab versiyasi 1938-yilda paydo boʻlgan va Vermaxt va fashistlar Germaniyasining boshqa xizmatlari tomonidan keng qoʻllanilgan. Buyuk Britaniyada „Enigma“ yordamida shifrlangan raqib xabarlarining kriptotahlili Alan Turing boshchiligidagi guruh tomonidan muvaffaqiyatli amalga oshirilgan. Ular tomonidan ishlab chiqilgan „Turing Bombe“ (ing.dan — „Tyuring bombasi“) Gitlerga qarshi koalitsiyaga katta yordam koʻrsatgan va baʼzida Ittifoqchilarning gʻalabasida hal qiluvchi rolni bajargan. Amerika Qoʻshma Shtatlarida Tinch okeani operatsiyalari teatrida radio aloqalarini shifrlash uchun signalchilarni Qoʻshma Shtatlardan tashqarida hech kim bilmaydigan navaxo hindu qabilasidan yollashadi. Yaponlar hech qachon maʼlumotni himoya qilishning bu ekzotik usulining kalitini topa olmaganlar. 1930-yillardan boshlab SSSRda mamlakatning yuqori hokimiyat organlari(shu jumladan Oliy qoʻmondonlik shtab-kvartirasi)ning telefon suhbatlarini tinglanishidan himoya qilish maqsadida yuqori chastotali signallarning ovozli modulyatsiyasi va ularning keyingi skrablanishiga asoslangan maxsus aloqa qoʻllanilgan. Biroq, kriptografik himoyaning yoʻqligi spektrometr yordamida tutilgan signaldagi xabarlarni qayta tiklashga imkon bergan. XXI asrning 2-yarmi va XX asr boshlari telekommunikatsiya, kompyuter texnikasi va dasturiy taʼminot hamda maʼlumotlarni shifrlashning jadal rivojlanganligi bilan ajralib turgan. Ixcham, kuchli va arzon hisoblash uskunalarining paydo boʻlishi elektron maʼlumotlarni qayta ishlashni kichik biznes va uy foydalanuvchilari uchun qulay qildi. Kompyuterlarning Internetga ulanishi osonlashdi, bu esa electron biznesning jadal rivojlanishiga olib keldi. Bularning barchasi kiberjinoyatlarning kuchayishi va xalqaro terrorizmning koʻplab holatlari bilan birgalikda kompyuterlar va ular saqlaydigan, qayta ishlanadigan va uzatadigan maʼlumotlarni himoya qilishning yaxshiroq usullariga ehtiyoj tugʻdirdi. Buning natijasida „Kompyuter xavfsizligi“ va „Axborot xavfsizligi texnikasi“ kabi ilmiy fanlar hamda axborot tizimlarining xavfsizligi va ishonchliligini taʼminlashning umumiy maqsadlarini koʻzlagan koʻplab professional tashkilotlar paydo boʻldi. Korxonaning axborot xavfsizligi haqida ma’lumot Korxona axborot xavfsizligi – bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil:
Axborot xavfsizligini baholashning maqsadlari: 1.axborot aktivlarining qiymatini aniqlash; 2.ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga tahdidlarni aniqlash; 3.tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash; 4.tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash; 5.mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o‘zgarishlarni taklif qilish; 6.xavfsizlik loyihasini yaratish uchun asos yaratish. Baholashning beshta asosiy turi: 1.Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy muvofiqlik siyosatlari uchun tekshiriladi. 2.Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot infratuzilmasi baholanadi, xavf zonalari aniqlanadi. 3.Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash uchun butun tashkilot tahlil qilinadi. 4.Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi. 5.Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati o‘rganiladi. Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim: -Xavfsizlik siyosati; -axborot siyosati; -zaxira siyosati va protseduralari; -ishchining ma’lumotnomasi yoki ko‘rsatmalari; -ishchilarni yollash va ishdan bo‘shatish tartibi; -dasturiy ta’minotni ishlab chiqish metodologiyasi; -dasturiy ta’minotni o‘zgartirish metodologiyasi; -telekommunikatsiya siyosati; -tarmoq diagrammalari. Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining tegishliligi, qonuniyligi, to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq bo‘lishi kerak. Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini belgilaydigan siyosat va tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo‘lmasa, tashkilot samarali UPS dasturini ishlab chiqadigan va amalga oshiradigan reja ham bo‘lmaydi. Axborot xavfsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim: -Axborot siyosati. Maxfiy ma’lumotlarni va ularni qayta ishlash, saqlash, uzatish va yo‘q qilish usullarini oshkor qiladi. -Xavfsizlik siyosati. Turli xil kompyuter tizimlari uchun texnik boshqaruvni belgilaydi. -Foydalanish siyosati. Kompyuter tizimlaridan foydalanish bo‘yicha kompaniya siyosatini ta’minlaydi. -Zaxira siyosati. Kompyuter tizimlarining zaxira nusxasini yaratish uchun talablarni belgilaydi. -Hisobni boshqarish tartib-qoidalari. Foydalanuvchilar qo‘shilgan yoki o‘chirilganda bajarilishi kerak bo‘lgan amallarni belgilaydi. Favqulodda vaziyatlar rejasi. Tabiiy ofatlar yoki inson tomonidan sodir etilgan hodisalardan keyin kompaniya jihozlarini tiklash bo‘yicha harakatlarni ta’minlaydi. Xavfsizlik siyosatini amalga oshirish texnik vositalar va to‘g‘ridan-to‘g‘ri nazorat qilish vositalarini amalga oshirishdan, shuningdek, xavfsizlik xodimlarini tanlashdan iborat. Xavfsizlik bo‘limi doirasidan tashqarida tizimlar konfiguratsiyasiga o‘zgartirishlar kiritish talab qilinishi mumkin, shuning uchun tizim va tarmoq ma’murlari xavfsizlik dasturini amalga oshirish ishlarida ishtirok etishlari kerak. Har qanday yangi xavfsizlik tizimlaridan foydalanganda malakali xodimlar mavjud bo‘lishi kerak. Tashkilot o‘z xodimlarining ishtirokisiz maxfiy ma’lumotlarning himoyasini ta’minlay olmaydi. Vakolatli kasbiy qayta tayyorlash bu xodimlarni zarur ma’lumotlar bilan ta’minlash mexanizmi hisoblanadi. Xodimlar xavfsizlik masalalari nima uchun juda muhim ekanligini bilishlari va maxfiy ma’lumotlarni aniqlash va himoya qilish uchun o‘qitilishi kerak. Audit axborot xavfsizligini joriy etish jarayonining oxirgi bosqichidir. U tashkilot ichidagi axborot xavfsizligi holatini, tegishli siyosat va tartiblarni yaratishni, texnik nazoratni faollashtirishni va xodimlarni tayyorlashni belgilaydi. Xulosa qilib aytadigan bo’lsam, Xalqimiz ba’zan juda sodda va ishonuvchan. Bu soddalikni internet axborot xavfsizligi kechira olmaydi. Afsuski internetdagi shaxsiy ma’lumotlar xavfsizligidan yaxshi xabardor bo’lmaslik, zamonaviy bilimlarni o’zlashtirishga jiddiy qaramaslik oqibatida ayanchli hodisalar uchrab turibdi.Texnologiyalar rivojlangan sari axborotni o’g’irlash usullari ham zamonaviylashib, juda katta kuchga ega bo’lib bormoqda. Axborotni o’g’irlash yoki unga zarar yetkazish bugungi kunda shu darajaga chiqqanki, hatto ba’zi holatlarda sizning parolingiz, SMS tasdiqlash kodingiz ham talab qilinmagan holatda ma’lumotlaringizni yo’qotishingiz mumkin. Masalan, siz ishonib o’rnatgan dastur/o’yin qaysidir rasmingizni sizning soddalingizngizdan foydalanib ko’chirib olishi mumkin. Qaysidir suhbatdoshingiz sizni aldab u yoki bu turdagi ma’lumotingizni so’rab olishi mumkin. Siz kutmagan, bilmagan usullar bilan shaxsiy axborot muhitingizga zarar yetkazishlari hech gap emas. Bunga ko’pincha juda oddiy xatolar, juda keng tarqalgan qoidalarga bilimsizlik tufayli amal qilmaslik sabab bo’lishi mumkin. Oddiy xatoliklarga yo’l qo’ymaslik uchun telefoningizni doim bloklanishda saqlang, begona kimsalarga telefoningizni ochiq holatda topshirmang, ish kompyuteringizda bolalaringizning o’ynashiga yo’l qo’ymang, ish va shaxsiy masalalar uchun ishlatiladigan Google akkauntlaringizni bitta qurilmada saqlamang (yoki ehtiyotkorlik bilan saqlang). Yuqoridagilar axborot xavfsizligi bo’yicha juda qisqa va eng ko’p tarqalgan tavsiyalardan ba’zilari edi. Internetda shaxsiy ma’lumotlaringizning saqlanishi va uzatilishiga e’tiborli bo’ling. Foydalanilgan adabiyotlar: 1.https//uz.m.wikipedia.org/wiki/Axborot-xavfsizligi 2.https://azamat.uz 3.https://elib.buxdu.uz Download 33.96 Kb. Do'stlaringiz bilan baham: 
|