|
Axborot texnologiyalari markazi va uning tarkibiy bo‘linmalarida axborot xavfsizligi siyosati (bundan buyon matnda-Markaz) tomonidan taqdim etiladi. Axborot xavfsizligi siyosatini amalga oshirish jarayonida unga o‘zgartirish va qo‘shimchalar kiritish mumkin.
Himoya ob’ektlari
Tashkilot axborot xavfsizligining asosiy ob’ektlari:
- xodimlar, kirish vakolati cheklangan axborot resurslari (13-ilova), shu jumladan, hujjat va axborot fayllari ko‘rinishida taqdim etilgan oshkor ma’lumotlari;
- dasturiy ta’minot resurslari – operatsion tizim va qo‘shimcha dasturiy ta’minot, ishlab chiquvchi vositalar va yordamchi dasturlar, server ilovalari va boshqalar;
- moddiy resurslar – kompyuter, aloqa apparatlari, axborot kommunikatsiya vositalari va binolar.
AX taxdidlarining modellari
Axborot xavfsizligining zarur darajasini aniqlash uchun xavf-xatarni tahlil qilish va baholashni amalga oshirish kerak. Xavf-xatar xavfsizlikga tahdid bo‘lgandagi keltiriladigan zarar darajasi va ehtimoli orqali aniqlanadi.
Instiut axborot resurslari uchun eng xavfli (muhim) tahdidlar:
- tarmoqning qisman yoki to‘liq ishdan chiqishi, uning apparatini, dasturiy ta’minotini va axborot resurslarini yo‘qotishga olib keladigan xatti-harakatlar (uskunalarga zarar yetkazish, muhim ma’lumotlarni o‘z ichiga olgan fayllarni o‘chirish yoki o‘zgartirish);
- uskunalarni noto‘g‘ri o‘chirish yoki elektr ta’minoti tizimlarining ishlash rejimlarini o‘zgartirish, sovutish, video nazorati va boshqalar;
- axborot vositalarining zararlanishi yoki qasddan ishchi xolatdan chiqarilishi;
- hisobga olinmagan dasturlarni noqonuniy o‘rnatish (o‘yin, treninglar, xodimning o‘z vazifalarini bajarishi uchun talab etilmagan boshqa dasturlar);
- tarmoq zararlanishi yoki shaxsiy kompyuterning zararli dasturlari.
Xavf-hatarni tahlil qilish - mavjud xatarni aniqlash va ularning darajasini baholashdan iborat (ularga miqdoriy baho berish).
Boshqa tashkilotlarga ma’lumotlardan foydalanishga vakolat berishda nazorat o‘rnatilmaganligi axborot xavfsizligining buzilish xavfiga olib keladi.
Axborotni qayta ishlash vositalariga boshqa tashkilotlarning vakolatlarini boshqarish uchun administratorlik rolini o‘rnatish kerak. Masalan, agar maxfiy axborotni taqdim etishning alohida zarurati bo‘lsa, uni oshkor qilmaslik to‘g‘risida bitim tuzilishi zarur.
Boshqa tashkilotlarning vakolatlarini boshqarish vositasi turli xil tashqi tashkilotlar bilan tuzilgan kelishuvlarni tasniflaydi, masalan:
1) internet provayderlari, telefon xizmatlari, operatsion va texnik xizmat ko‘rsatish va qo‘llab-quvvatlash xizmatlari kabi xizmat ko‘rsatuvchi provayderlar;
2) boshqariladigan xavfsizlik xizmatlari;
3) apparat va dasturiy ta’minotni qo‘llab-quvvatlaydigan xodimlar;
4) vaqtinchalik xodimlar, jalb qilingan shaxslar va boshqalar.
Ushbu bitimlar boshqa tashkilotlar bilan bog‘liq xavfsizlik tahdidlarini sezilarli darajada kamaytirishi mumkin.
AX huquqbuzarlarining turlari
Axborot xavfsizligini ta’minlash tizimida quyidagi huquqbuzarlik turlari bo‘lishi mumkin (shaxslar toifalari, motivatsiya, malakalar, maxsus vositalarning mavjudligi va boshqalarni hisobga olgan holda):
- etiborsiz foydalanuvchi – etiborsizligi oqibatida tizim AXga zarar yetkazuvchi (noto‘g‘ri ma’lumotlar kiritish, axborot bilan ishlash uchun qoidalarni buzish, maqsadsiz harakat qilish);
- havaskor (lyubitel) - bu AXning ro‘yxatdan o‘tgan foydalanuvchisi bo‘lib, aniq maqsadsiz, g‘arazli niyatsiz yoki o‘zini ko‘rsatish uchun xavfsizlik tizimini buzishga uringan xodim. Ximoyalash tizimini bartaraf etish va taqiqlangan faoliyatni amalga oshirish uchun resurslarga kirishda qo‘shimcha vakolatlar olish uchun turli usullardan, himoya tizimini yaratishdagi kamchiliklar va boshqa foydalanuvchilar vakolatidan foydalanishi mumkin. Bundan tashqari u qo‘shimcha nostandart asboblar va texnologik dasturiy vositalar, mustaqil ravishda ishlab chiqilgan dastur yoki qo‘shimcha standart texnik vositalardan foydalanishga urinishi mumkin;
- ichki g‘arazli shaxs - manfaatdor, qasddan harakat qiladigan xamda vazirlik xodimi bo‘lmagan shaxslar bilan kelishilgan holda ishlashi mumkin bo‘lgan xodim. U xavfsizlik tizimini buzish usullari va vositalarini barcha turlaridan, jumladan, vositachilik usullaridan, passiv vositalardan (ma’lumotlarni tutib olish texnik vositalar), faol ta’sir qilish usullari va vositalarni qo‘llashi mumkin (texnik vositalarni modifikatsiya qilish, ma’lumotlar uzatish kanallariga ulanish, dasturiy paketlarni kiritish va maxsus asbob-uskanalardan foydalanish);
- tashqi tajovuzlar – bu manfaatdorlikdan, qasddan yoki qiziqishdan harakat qiladigan begona shaxs. U xavfsizlik tizimini buzish usullari va vositalarini barcha turlaridan foydalanishi mumkin.
Ichki huquqbuzar shaxs quyidagi toifadagi xodimlardan biri bo‘lishi mumkin:
- axborot tizimida ro‘yxatdan o‘tgan foydalanuvchilar;
- ro‘yxatdan o‘tmagan, lekin bino va inshootga kirish huquqiga ega xodimlar;
- axborot tizimi uskunalariga texnik xizmat ko‘rsatuvchilar;
- dasturiy ta’minotni ishlab chiqish va joriy qilish bilan shug‘ullanuvchilar.
Tashqi huquqbuzar bo‘lgan shaxslarning toifalari:
- vazirlikning ishdan bo‘shagan xodimlari;
- texnik qo‘llab-quvvatlash masalalari bo‘yicha hamkorlik qiluvchi tashkilotlar vakillari;
- tashrif buyuruvchilar (uskunalar, dasturiy ta’minot va boshqa xizmatlarni yetkazib beradigan firmalarning vakillari va boshqalar);
- tashqi telekommunikatsiya tarmoqlaridan ATga tasodifan yoki qasddan kirgan shaxslar (xakerlar).
Foydalanuvchilar va xizmat ko‘rsatuvchilar ruxsatsiz harakatlar amalga oshirish uchun keng imkoniyatlarga ega shaxslardir, chunki ular axborot resurslaridan foydalanish va axborotni qayta ishlash texnologiyasini yaxshi bilishadi. Ushbu shaxslarning xatti-harakatlari amaldagi qoidalar va yo‘riqnomaning buzilishi bilan bog‘liq.
Tizim boshqaruvchilari - ATdagi ARlariga deyarli cheksiz vakolatga ega bo‘lgan shaxslar. Ushbu toifa foydalanuvchilarning soni minimal bo‘lishi va ularning harakati qattiq nazorat ostida bo‘lishi kerak. Ishdan bo‘shatilgan shu toifa xodimlari o‘zlarining g‘arazli maqsadlariga erishish uchun ish texnologiyalari, himoya choralari va foydalanish huquqlari haqidagi bilimlaridan foydalanishlari mumkin. Bu ularni boshqa tashqi tahdid manbalaridan ajratib turadi.
Professional xakerlar axborotni qayta ishlashda ishlatiladigan dasturiy ta’minotning zaif tomonlari haqida eng yuqori texnik tajriba va bilimlarga ega. Ular ishlaydigan yoki ishdan bo‘shatilgan xodimlar bilan muloqot qilishda eng katta xavfni keltirib chiqaradilar.
Qurilma yoki axborot tizimini ishlab chiqish, yetkazib berish, ta’mirlash va texnik xizmat ko‘rsatish bilan shug‘ullanadigan tashkilotlar tashqi xavfni anglatadi, chunki ular vaqti-vaqti bilan axborot resurslariga bevosita kirish imkoniyatiga ega. Potensial buzg‘unchilarning
xatti-xarakatlari to‘g‘risida quyidagi cheklashlar va taxminlar qabul qilinadi:
- qoidabuzar o‘zning ruxsatsiz harakatlarini xodimlardan yashiradi;
- tizimga ruxsatsiz kirish foydalanuvchi va xizmat ko‘rsatuvchi xodimlarning xatolari, shuningdek, axborotni qayta ishlash, saqlash va uzatish bo‘yicha qabul qilingan texnologiyalarning kamchiliklari tufayli kelib chiqishi mumkin;
- potensial buzg‘unchi o‘zining faoliyatida axborot tizimiga ta’sir etuvchi xar qanday mavjud vositalar, xodimlarga pora berish va boshqa usullardan foydalanishi mumkin.
Axborot xavfsizligi choralari
Do'stlaringiz bilan baham: |
