Ma’lumotlarni uzatish tarmoqlarida axborot xavfsizligini ta’minlashni tahlil qilishning ahamiyati
10.05.2008
Rukn: Tanlovga yuborilgan maqolalar.
Muallif: O'razov To'lqin.

Axborot va Kommunikatsiya texnologiyalari, Ma’lumotlarni uzatish tarmoqlari(MUT)ning rivojlanishi hozirgi kunda bizlarga ko’pgina qulayliklar va yangiliklarni taqdim etmoqda. Lekin shu bilan birga MUTdan foydalanish hajmining ortishi uni xavfsizligini ta’minlash borasida qiyinchiliklarni yuzaga keltirmoqda. MUTda axborot xavfsizligini ta’minlashning asosiy masalalaridan biri bu axborot xavfsizligini tahlil qilish masalasidir.

Ushbu maqola axborot xavfsizligini tahlil qilish masalalariga bag’ishlandi.
MUTga uyushtirilayotgan tahdidlar quyidagi ko’rinishlarda bo’lishi mumkin:
• axborotga qarshi qoidalar to’plami;
• viruslarni joriy qilish (qo’llash), axborot tizimlarida tahdid soluvchi (buzuvchi)larni me’yoriy harakatda bo’lishi;
• axborotni himoyalashni kriptografik va boshqa usullariga ta’sir ko’rsatishi;
• texnik kanallarda axborotni yo’qolishi;
• aloqa tarmoqlarida axborotni tutib qolinishi.
MUTga uyushtirilayotgan tahdidlarni qanaqa ahamiyatga ega ekanligini aniqlash uchun ularni turi va toifasi bo’yicha bo’lib chiqamiz. Tahdid turlari:
• mantiqiy obyekt bo’yicha yashirish (maskirovkalash);
• ma’lumotlarni o’zgartirilishi yoki buzilishi (marshrutlarda);
• ma’lumotlarni tutib qolinishi;
• firibgarlik maqsadida soxta trafiklarni o’rnatish.
Tahdid toifalari:
• boshqariladigan tahdid-axborotni ma’lum bir bosib o’tgan yo’li (marshrutlari) bo’yicha paydo bo’ladi;
• tashqi tahdid-ma’lumotlarni signalizatsiyalashda yoki axborotni notug’ri marshrutlardan o’tishi va trafiklarni noqonuniy tahlil qilishda ro’y beradi;
• ichki tahdid-ulash maydonlarida va ulash oxirlarida sodir bo’ladi;
• butun tizimga bo’layotgan tahdid;
• MUT tizimlari va xizmatlarini rejalashtirishdagi maxfiy xatolar.
Yuqorida keltirilgan tahdidlarni oldini olish uchun MUTda xavfni tahlil qilish jarayoni o’tkaziladi.

Xavfni tahlil qilishdan maqsad – bo’layotgan xavfni baholash, tahdidni bartaraf etish , MUTdagi zaif joylarni aniqlash, axborot tizimini himoyalanganligini yetarli darajasini ta’minlash va axborot xavfsizligini ta’minlashning qonun qoidalarini ishlab chiqishdan iboratdir[1].

Xavfni tahlil qilish jarayoni quyidagi bosqichlardan iborat:
— himoya o’lchovi va obyektni tasvirlash;
— resurslarni identifikatsiyalash (tenglashtirish) va ularni sonli ko’rsatkichlarini tahlil qilish;
— axborot xavfsizligida tahdidlarni tahlil qilish;
— MUTning zaif tomonlarini tahlil qilish;
— axborot xavfsizligini ta’minlashdagi mavjud va gumon vositalarni tahlil qilish;
— xavfni tahlil qilish.
Xavfni tahlil qilish- axborot xavfsizligi xavflarini, MUTning zaif joylarini , yuzaga kelishi mumkin bo’lgan zararlarni aniqlash jarayonidir.
Quyidagi (1-rasm)da xavfni tahlil qilish sxemasi keltirilgan[2].

pic
1-rasm. Xavfni tahlil qilish sxemasi
Xavfni tahlil qilish jarayoni ko’rilayotgan zararlarni sifat va son jihatdan baholashni talab
qiladi. Buning uchun xavfni darajalarini hisoblashimiz kerak.. Xavfni darajalarini hisoblashda 3 ta ko’rsatmaga amal qilamiz:
• axborotni narhiga;
• tahdid darajasiga;
• zaiflik darajasiga.
Axborotni narhi — zararlarni hajmi, xabarni to’laligi va maxfiyligini buzilishi orqali aniqlanadi. So’ngra bo’lishi mumkin bo’lgan xavfni darajasi aniqlanadi va unga qarshi choralar rejasi tuzilib axborot xavfsizligi ta’minlanadi. So’ngi bosqichda bo’lishi mumkin bo’lgan tahdidlardan saqlanish uchun MUTning zaif joylari muhofaza qilinadi. Mana shu ko’rsatmalardan kelib chiqqan holda MUTda axborot xavfsizligini ta’minlashning har tomonlama tekshirilgan va muvofiqlashtirilgan himoya vositalari yaratiladi[3].

Hozirda xavfni tahlil qilishning turli xil variantlari mavjuddir, ya’ni ular quydagilar: asosiy va to’liq variantlar.

Asosiy variant — kam mehnat talabligi bilan ajralib turadi. Bu usul agar korxonaning himoyalanadigan axborot resurslari kam bo’lsa ishlatiladi. Shuning uchun bu variantda xavfni tahlil qilishning soddalashtirilgan usuli ishlatiladi. Soddalashtirilgan usulda bo’layotgan xavf tekshiriladi va axborot xavfsizligini minimal yoki asosiy darajasi ta’minlanadi. Masalan, MUTda foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash, ma’lumotlarni ehtiyotdan nusxalash, antivirus nazorat vositalaridan foydalanish va boshqalar. Bu usulning kamchiligi shundaki bunda axborot xavfsizligi tahdidlari ehtimolligi baholanmaydi. Agar korxonaning axborot resursi kattaroq bo’ladigan bo’lsa u holda axborot xavfsizligini ta’minlashning asosiy varianti yetarli bo’lmay qoladi. Shunung uchun xavfni tahlil qilishning to’liq variantidan foydalaniladi. To’liq variantning asosiy variantdan farqi shundaki, bu variantda axborotni narhi baholanadi, bo’lishi mumkin bo’lgan xavflar tavsiflanadi va axborot xavfsizligi tahdidlari ehtimolligi baholanadi. Shu bilan birga bu variantda axborot resursini qiymati aniqlanadi, zaiflik baholanadi va axborot xavfsizligi xavflariga qarshi choralar tanlanadi.

Axborot xavfsizligini ta’minlash rejimiga quyidagi talablar qo’yiladi:
• minimal talab — axborot xavfsizligini ta’minlashning asosiy varianti bilan mos keladi. Minimal talab sifatida xavf ehtimolligi, viruslar, ruxsatsiz erkin foydalanishlar (НСД) tasniflanadi;
• yuqori talab — axborot resursiga bo’layotgan xavflar yomon natijalarga olib kelsa axborot xavfsizligini asosiy varianti yetarli bo’lmay qoladi. Shuning uchun axborot xavfsizligini ta’minlashga qo’shimcha talablar qo’yiladi. Bular:
— axborot resursini qiymatini aniqlash;
— axborot tizimini tekshirish uchun bo’layotgan xavflarni ro’yxatini tuzish;
— tahdidning ehtimolligini baholash;
— axborot resursini zaif joylarini aniqlash.
Yuqoridagi ma’lumotlardan xulosa qilib shuni aytish mumkinki MUTdagi axborot xavfsizligini ta’minlashni xavfni tahlil qilishning ahamiyati asosiy o’tinda turadi. Ya’ni xavfni tahlil qilmasdan turib uning xavfsizligini ta’minlay olmaymiz.

Foydalanilgan adabiyotlar.
1. Р.Х.Джураев, Б.Ю.Шомаксудов . Об анализе рисков информационной безопасности в сетях передачи данных/ Infocom.UZ №4.2007
2. Петренко С.А, Симонов С.В /Управление информационными рисками. Экономичиские оправдания безопасность-М:Компания АйТи.ДМК Пресс.2005
3. Д.В.Костров. Методика анализа рисков информационной безопасности
Вестник связи. №12,2005

Muallif: O’razov To’lqin Erkinovich TATU talabasi

Танловга тақдим этиладиган материалларга талаблар [url=http://uz.infocom.uz/more.php?id=231_0_1_20_M]http://uz.infocom.uz/more.php?id=231_0_1_20_M[/url]

pic

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq