Axborot xavfni tahlil qilish usullari
10.05.2008
Rukn: Tanlovga yuborilgan maqolalar.
Muallif: O'razov To'lqin.

Hozirgi kunda dunyoda Axborot Kommunikatsiya texnologiyalari, ma’lumotlarni uzatish tarmoqlarining rivojlanishi, shu bilan birga, axborot tizimlarining globallashuvi va axborot integratsiyalashuvi jarayoni yuqori sur’atlarda rivojlanmoqda. Ushbu jarayonlarning rivojlanishi axborot xavfsizligini yuqori darajada ta’minlashni talab qiladi. MUTda axborot xavfsizligi (AX)ni ta’minlash uchun birinchi navbatda axborot xavfsizligi xavflarini tahlil qilishimiz kerak.

Ushbu maqolada axborot xavfsizligi xavflarini tahlil qilsh usullarini ko’rib chiqamiz.

MUTda AXni ta’minlashda xavfsizligi ta’minlanayotgan resurni qiymatini bilishimiz zarur. Resurni qiymati uning butunligiga, maxfiyligiga bo’ladigan buzilishlar to’plami bilan aniqlanadi. Resurni qiymatini baholash – har xil resurs kategoriyalari uchun bo’lishi mumkin bo’lgan zararlarni hajmi bilan aniqlanadi. Zararlar quyidagilar:
• ma’lumotlar yashirilgan, o’zgartirilgan, o’chirilgan yoki foydalanishni ruxsatsiz qilinganligi;
• qurilmalarning buzilishi yoki shikastlanishi;.
• dasturiy ta’minotni butunligini buzilishi natijasida kelib chiqishi mumkin.
MUTda AXni ta’minlash usullarini tanlash uchun, xavfni tahlil qilishga quyidagi vazifalar qo’yiladi[1]:
1. Axborot tizimi resursini tahlil qilish, axborot resursini, dasturiy va texnik vositalarini ishga tushirish;
2. Biznes jarayonlarda va tizimlar yechimlarida vazifalar guruhini tahlil qilish;
3. Axborot tizimi resursini norasmiy modelini qurish, bu axborotli, dasturli va texnik resurslar o’rtasida axborot almashinuvi, ular orasidagi o’zaro ta’sirlar orqali aniqlanadi;
4. Dasturiy va texnik vositalar yordamida axborot resurslarini kritik baholash;
5. Resurslarni, ularni o’zaro aloqadorlklarini kritik jihatdan aniqlash;
6. Tahdid ehtimolligini axborot tizimi resurslari va zaifliklari, bu tahdidni ro’y berishini aniqlanishi bilan o’zaro munosabatlarini aniqlash;
7. Tahdid ehtimolligini baholash, zaiflikni va zararlarni hajmini aniqlash;
8. Quyidagi uchlik uchun xavf xajmini aniqlash: tahdid-resurslar-zaifliklar.
MUTda xavfni tahlil qilishni quyidagi usullarini ko’rib chiqamiz[2].

Asosiy usul. Kam mehnat talabligi bilan ajralib turuvchi xavfni tahlil qilish usulidir. Bu usul korxonaning axborot resurslari katta bo’lmaganda ishlatiladi. Asosiy usul korxonada AX tizimi mavjudligini tekshiradi va quyidagi asosiy vazifalar orqali amalga oshiriladi:
— AX vositalarini mavjudligini tekshirish;
— AX vosialarini aniqlash usullarini ko’rib chiqish;
— AX vositalari tengligini tahlil qilish;
— AX talablari tengligini tahlil qilish.

Ushbu usulning afzallik tomoni axborot xavfsizligini boshqarish tizimi (AXBT) vositalari asosida xavfni tahlil qilishga, resurslardan minimal sarf-xarajat ketishidir. Kamchilik tomoni shundan iboratki resursda axborotni yuqori himoya vositasiga talab darajasi o’sha resurs uchun doimiy oshishida bilinadi. Shu bilan birga korxonaning himoyalanadigan axborot resurslari katta bo’ladigan bo’lsa ushbu usul bo’layotgan xavfni tahlil qila olmaydi. Agar barcha tizimda AXni faqat minimal talabi ta’minlanib, xavfni tahlil qilishning ushbu usuli qo’llanilsa tizim yetarlicha ishlab turishi mumkin va iqtisodiy tejamli bo’ladi, boshqacha qilib aytganda ushbu usul ishlasa AXBT vositalarini qanoatlantiradi.

Ekspertli usul. Bu usulda MUTda norasmiy, pragmatik xavfni tahlil qilish amalga oshiriladi va bu ko’p resurslarda qo’llanilmaydi. Bu usul yetarlicha kamchiliklarga (potensial subyektivlik, rasmiy maxsus qurilmalarning yo’qligi, kuzatishdagi qiyinchiliklar va boshq.) egaligi tufayli strukturali va tartibli amalga oshirilmaydi. Shuning uchun aksariyat hollarda xavfni tahlil qilish uchun ushbu usuldan foydalanish samara bermaydi.

Jadvalli usul. Hozirgi kunda MUTda xavfni tahlil qilishning jadvalli usulidan foydalaniladi. Bu usulda korxonaning fizik resurslarini baholashni sonli ko’rsatkichlarini aniqlash nuqtai nazaridan ishga qobiliyatli resurslar qayta tiklanadi yoki almashtiriladi. Resurslarni baholashda mavjud dasturiy vositalar yordamida ularni qayta tiklash yoki almashtirishga ketadigan sarf-xarajatlar aniqlanadi. Umumiy holda ko’riladigan bo’lsa, qabul qilingan dasturiy ta’minot resurslarni maxfiyligiga yoki butunligiga quyiladigan maxsus talablarga ega bo’ladi. Masalan: dasturiy ta’minot yuqori qiymatga ega bo’lishi kerak, axborot resurslarini qiymatini ifoda etishda bu resurslarni baholash o’tkazilishi kerak. Jadvalli usulda salbiy ta’sirlarni keltirib chiqaradigan omillar va ko’rsatilgan zaif joylarda tahdidlarni ro’y berish ehtimolligi tasvirlanadi. Quyida jadvalli usulda xavfni tahlil qilish namunasi keltirilgan.

pic

1-bosqichda oldindan aniqlangan jadval bo’yicha salbiy ta’sirlar tahlil qilinadi. Masalan, har bir resurs uchun xavflilik ko’rsatkichi aniqlanadi ya’ni 1 dan 5 gacha (b qator).
2-bosqichda oldindan berilgan jadval bo’yicha har bir tahdidni ro’y berish ehtimolligi aniqlanadi, u ham 1 dan 5 gacha bo’ladi (с qator).
3-bosqichda b va с qatorlar ko’paytirilib xavf ko’rsatkichi hisoblanadi. Ushbu usuldan foydalanishda xavf ko’rsatkichi aniq tashkil qilish asosida amalga oshiriladi.
4-bosqichda xavfni keltirib chiqaradigan omillar bo’yicha tartiblanadi.
Ushbu jarayon tahdidlarni salbiy ta’sirlar hamda ularni ro’y berish ehtimolligi bo’yicha tartiblashga va taqqoslashga imkon beradi.

Detalli usul (mufassal, to’laroq usul). Ushbu usul aniq tashkil qilingan barcha tizimlar uchun boshlang’ich ma’lumotlarni tartibli tahlil qilish , xavfsizlikni buzish xavflarini baholash va himoya vositalarini tanlash asosida aniqlanadi. Detalli tahlil qilishda mavjud xavflar quyidagi qarashlar asosida tekshiriladi.
— AXni ta’minlash vositalarini to’g’ri ishlashini baholash;
— AXni ta’minlash vositalaridan foydalanishni unumdorligi va yashovchanligini tavsiflash;
— MUTga uyushtirilayotgan tahdidlardan himoyalanishni baholash.

Ushbu usulning afzallik tomoni boshlang’ich ma’lumotlarni va talablarni atroflicha tahlil qilishga, har bir tizim uchun AXBT vositalarini muhimlik talablarini farqlashga ruxsat berishidir. Bundan tashqari detalli tahlil qilish AXBTni modernizatsiyalashni va kuzatishni yengillashtirishga yordam beradi. Kamchilik tomoni resurslarni sig’imiga qarab amalga oshirilishi va natijada uni amaliyotga tatbiq qilish qimmatga tushishidir. Bu usulni amalga oshirishga ko’p vaqt va harakat talab qilinadi.

Detalli tahlil qilish quyidagi (1-rasm) sxema asosida olib boriladi.

pic

1-rasm: Detalli usulda xavfni tahlil qlish sxemasi.

Birlashgan usul – bir qancha uyg’unlashgan kuchli usullarni o’zida namoyon qiladi. Hozirda ushbu usul quyidagicha xavfni tahlil qilish strategiyasini taklif etadi: tizimga bo’layotgan xavf yuqori darajada bo’lsa detalli usul qo’llaniladi, boshqa tizim uchun asosiy usul qo’llaniladi. Shunday kombinatsiyada AXBTni loyihalashtirishga ketadigan vaqt va urinishlar orasida muvozanatni ta’minlash zarur, bir tomondan kritik tizim uchun axborotni himoyalanishini ta’minlash muhim, boshqa tomondan tashkilotni ishlab turishi bilan ishlab turishini yashovchanligi bog’lanadi. Xavfni tahlil qilishning birlashgan strategiyasi har bir tizimda himoyalash darajasi talablari diapazoni bilan obyektni axborotlashtirish tashkil qilinadi va ushbu struktura uchun axborotni himoyalash vositalari loyihalashtiriladi. Bu strategiyaning afzalligi xavfni tahlil qilishning asosiy va detalli usullari yordamida qurilishidir. Ushbu usulning asosiy g’oyasi quyidagilardan iborat:
• birinchi navbatda xavfni darajasi bo’yicha tizimlarni sinflarga ajratish asosida mavjud xavf qiymatlarini aniqlash;
• tizim uchun xavfni darajasi eng yuqori bo’lsa detalli usul qo’llanilishi;
• qolgan barcha tizimlarda asosiy usulni qabul qilish.
Xulosa qilib shuni aytish mumkinki, MUTda AXni ta’minlashda xavfni tahlil qilish usullarini to’gri tanlash asosiy o’rin tutadi, ya’ni resurs qiymatiga qarab xavfni tahlil qilish usuli tanlanadi.

Adabiyotlar:
1. Управление информационными рисками. Экономически оправданная безопасность/ Петренко С.А., Симонов С.В. — М.: Компания Айти. ДМК Пресс.2005.
2. Обеспечение информационной безопасности сетей передачи данных и автоматизированных систем /Адылова З.Т и др. – Ташкент:2004.

Muallif: O’razov To’lqin Erkinovich TATU talabasi

Танловга тақдим этиладиган материалларга талаблар [url=http://uz.infocom.uz/more.php?id=231_0_1_20_M]http://uz.infocom.uz/more.php?id=231_0_1_20_M[/url]

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq