CC BY
303AXBOROT XAVFSIZLIGI XAVFINI BAHOLASH
Abdumuxtor Maxammad o'g'li Umarov
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
Farg'ona filiali
ANNOTATSIYA
Axborot xavfsizligi xavfini baholash korxonalarni boshqarish amaliyotining muhim qismi bo'lib, xavflarni qabul qilish mezonlari va tashkilotga tegishli maqsadlarga nisbatan xavflarni aniqlash, miqdor va ustuvorliklarni aniqlashga yordam beradi. Xatarlarni boshqarish - axborot tizimiga ta'sir qilish qobiliyatiga ega bo'lgan xavfsizlik xavflarini kamaytirish uchun axborot tizimining resurslariga salbiy ta'sir ko'rsatishi mumkin bo'lgan hodisalarni aniqlash, boshqarish va bartaraf etish yoki kamaytirishdan iborat jarayon, himoya vositalarining maqbul narxini hisobga olgan holda, xavf tahlili, "xarajat samaradorligi" parametrini tahlil qilish va xavfsizlik quyi tizimini tanlash, qurish va sinovdan o'tkazish, shuningdek, xavfsizlikning barcha jihatlarini o'rganish.
Kalit so'zlar: axborot xavflarini boshqarish; xavfsizlik xavfini baholash; xavflarni tasniflash; OKTAVE; CRAMM; RiskWatch
INFORMATION SECURITY RISK ASSESSMENT ABSTRACT
Information security risk assessment is an important part of enterprises' management practices that helps to identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization. Risk management refers to a process that consists of identification, management, and elimination or reduction of the likelihood of events that can negatively affect the resources of the information system to reduce security risks that potentially have the ability to affect the information system, subject to an acceptable cost of protection means that contain a risk analysis, analysis of the "cost-effectiveness" parameter, and selection, construction, and testing of the security subsystem, as well as the study of all aspects of security.
Keywords: information risk management; security risk assessment; risk classification; OCTAVE; CRAMM; RiskWatch
KIRISH
Vaqt o'tishi bilan axborot tizimlarining murakkabligi ortib bormoqda va shuning uchun har qanday tashkilot uchun axborot xavfsizligi masalalari tobora muhim ahamiyat kasb etmoqda. Shu nuqtai nazardan, axborot xavfsizligiga kompleks yondashuvning zarur komponenti sifatida axborot xavfsizligi xavflarini tahlil qilish va baholashga
alohida e'tibor qaratilmoqda. Axborot xavfsizligi xavflarining odatiy tahlili (va tegishli baholash) tizimning axborot xavfsizligi auditi yoki loyihalash bosqichida amalga oshiriladi. Axborot xavfsizligi auditining asosiy vazifasi axborot texnologiyalari tarkibiy qismlariga, shuningdek, umuman axborot tizimlari arxitekturasiga qo'llaniladigan boshqaruv mexanizmlarining qobiliyati va samaradorligini baholashdan iborat.
ADABIYOTLAR TAHLILI VA METODOLOGIYA
Axborot xavfsizligi auditi axborotni qayta ishlash tizimining samaradorligini baholash, foydalaniladigan texnologiyalar xavfsizligini baholash, qayta ishlash jarayoni va avtomatlashtirilgan tizimni boshqarish kabi ko'plab vazifalarni o'z ichiga oladi. Axborot xavfsizligi auditining umumiy maqsadi tashkilot aktivlarining maxfiyligi, yaxlitligi va mavjudligini ta'minlashdan iborat. Axborot xavfsizligi xavflarni baholash ham axborot xavfsizligi auditining ajralmas qismi hisoblanadi.
Baholash natijalariga ko'ra, axborot xavfsizligi xavflarini baholash metodologiyalari miqdoriy yoki sifat jihatidan bo'lishi mumkin. Miqdoriy metodologiyaning algoritmining chiqishi xavfning raqamli qiymati hisoblanadi. Baholash uchun kiritilgan ma'lumotlar odatda axborot xavfsizligi tizimidagi noxush yoki kutilmagan hodisalar to'g'risida ma'lumot to'plash uchun ishlatiladi, bu esa axborotni himoya qilishga xavf tug'dirishi mumkin (axborot xavfsizligi intsidentlari). Biroq, yetarli statistik ma'lumotlarning tez-tez yetishmasligi natijalarning aniqligi va dolzarbligining pasayishiga olib keladi.
Sifatli usullar ko'proq tarqalgan, chunki ular haddan tashqari soddalashtirilgan shkalalardan foydalanadilar, ular odatda uch darajadagi xavfni (past, o'rta, yuqori) baholashni o'z ichiga oladi.
1. Axborot xavfsizligi xavfi tushunchasi. Xavf, kengroq ma'noda, ma'lum yo'qotishlarga olib keladigan hodisaning ehtimoli (masalan, jismoniy shikastlanish, mulkni yo'qotish, tashkilotga zarar etkazish va boshqalar). Axborot xavfsizligi xavfi -bu aktiv yoki aktivlar guruhining zaifliklaridan tashkilotga zarar yetkazish uchun o'ziga xos tahdid sifatida foydalanishning potensial ehtimoli.
Xavfning asosiy belgilari nomuvofiqlik, muqobillik va noaniqlikdir . Axborot xavflarining tasnifi 1-rasmda ko'rsatilgan va besh guruxga bo'lingan .
Xatarlarni baholash spektrining chegaralarini tavsiflash uchun uchta qo'shimcha atama kerak. Xavfdagi nomuvofiqlik, agar subyektiv baholash obyektiv ravishda mavjud bo'lgan xavfli harakatlarni etarli darajada va ishonchli baholamasa va tavsiflamasa paydo bo'ladi. Alternativlik - bu ikki yoki undan ortiq mumkin bo'lgan yechimlar yoki harakatlardan tanlash zarurati. Agar tanlov bo'lmasa, unda xavfli vaziyatlar va natijada, xavf yo'q. Noaniqlik - bu qaror shartlari to'g'risidagi ma'lumotlarning to'liq yoki noto'g'riligi. Xavfning mavjudligi o'z-o'zidan qaror qabul qilinmagan yoki qarorning oqibatlari to'g'risida yetarli ma'lumotga ega bo'lmagan
taqdirdagina mumkin. Bu xususiyatlar xavfni baholash jarayonida jiddiy qiyinchiliklarga olib kelishi mumkin.
1-rasm. Axborot xavflarining tasnifi
Xatarlarni tahlil qilish xavflarni baholash jarayoni va xavflarni kamaytirish yoki ular bilan bog'liq salbiy ta'sirlarni kamaytirishning potensial usullarini o'z ichiga oladi. Xatarlarni tahlil qilish kontseptsiyasi axborot bilan bog'liq aktivlar bilan bog'liq emas, chunki u odatda ikkita asosiy xususiyatga qaratiladi: hodisaning ehtimoli va tashkilotga ta'siri. Axborot xavfsizligi kontekstida ta'sir ma'lumotlar yoki boshqa aktivlarning maxfiyligi, yaxlitligi yoki mavjudligini yo'qotishning mumkin bo'lgan oqibatlarini hisobga olgan holda, axborot xavfsizligini buzish natijasida tashkilotga yetkazilishi mumkin bo'lgan zararni ifodalaydi. Ehtimollik mavjud tahdidlar va zaifliklarni, shuningdek, axborot xavfsizligini boshqarish bo'yicha amalga oshirilgan chora-tadbirlarni hisobga olgan holda bunday buzilish ehtimolini hisoblaydi. Zarar darajasi pul parametri va tannarxning ekvivalenti bo'lib, xarajatda taklif qilingan metodologiya bo'yicha hisoblanishi mumkin.
NATIJALAR
Hodisaning tahdid darajasi va potentsial ta'sirini baholash uchun turli vositalar va usullardan foydalangan holda mavjud axborot xavfsizligi jarayonlarini tahlil qilish amalga oshiriladi. Ushbu tahlil natijalariga ko'ra, darhol qo'shimcha himoya choralarini talab qiladigan xavfli tahdidlar sifatida qabul qilinishi kerak bo'lgan eng yuqori xavflar ta'kidlangan.
2. Xavflarni tahlil qilishning sifat va miqdoriy yondashuvlari. Axborot xavfsizligi xavfini tahlil qilish ikki turga bo'linadi: sifat va miqdor. Sifatli tahlil xavf omillari, sohalari va turlarini aniqlaydi va u o'z ma'lumotlarini yaratish uchun odatda odamlarning o'zaro ta'siridan, masalan, seminarlar yoki suhbatlar orqali foydalanadi.
Ma'lumotlar yig'ilgandan so'ng, xavf menejeri tahlili miqdoriy emas, balki sifat jihatidan qo'llaniladi. Jarayon raqamli modelni qanoatlantirmasa ham, u ko'pincha o'rganilayotgan xavflar bilan bog'liq murakkablikni tarjima qilish va ahamiyatsiz bo'lgan ma'lumotlar qismlari o'rtasidagi munosabatlarni o'rnatish qobiliyati uchun ishlatiladi.
Sifatli tahlilning har xil turlari, masalan, o'tkazilgan suhbatlar yoki seminarlar davomida muhokama qilingan mavzularning stenogrammalarini ko'rib chiqish va qandaydir tematik tahlildan foydalanish mumkin. Bu, masalan, ishlatilgan nutqni tahlil qilishga asoslangan bo'lishi mumkin, chunki til atrof-muhit va xavflar konteksti haqida tafsilotlarni yoritishi mumkin.
Sifatli tahlilning har xil turlarini o'tkazish mumkin. Ko'p vaqt talab qiluvchi, ammo qulay yondashuv bu o'tkazilgan suhbatlar stenogrammalariga yoki seminarlar davomida muhokama qilingan mavzularga tematik tahlilni qo'llashdir. Bu, masalan, qo'llanilgan nutqni tahlil qilishga asoslanishi mumkin, chunki inson tili atrof-muhit va xavf-xatarlar konteksti haqidagi aniq tafsilotlarni ajratib ko'rsatishi mumkin. O'z ma'lumotlarini hisobga olgan holda, xavflarni sifatli baholash biznes sohalaridagi o'zaro munosabatlarni ko'rib chiqishning samarali usuli hisoblanadi va shuning uchun nafaqat texnik jihatlarni, balki odamlar va jarayonlardan kelib chiqadigan muammolarni ham baholash imkoniyatiga ega bo'ladi.
Sifatli xavfni baholash uchun asosiy e'tibor voqeaning statistik ehtimolligiga emas, balki sodir bo'lish ehtimoliga qaratiladi. Ushbu ehtimolliklar tahdidlar va zaifliklarni tahlil qilish, so'ngra ta'sir qilishi mumkin bo'lgan (ta'sir) aktiv yoki aktivlar uchun sifat yoki miqdoriy qiymatni yaratish natijasida olinadi:
Xavf = Tahdid x Zaiflik * Ta'sir
Bu erda Tahdid * Zaiflik ehtimoli. Sifatli xavflarni baholash metodologiyasiga misollardan biri OWASP (Open Web Ap- plication Security Project) xavflarni baholash metodologiyasi. O'z tahlilidan so'ng, OWASP 2-a rasmda keltirilganga o'xshash xulosa hosil qiladi, bunda ta'sir va ehtimollik sifat jihatidan past, o'rta yoki yuqori sifatida baholanadi. Yana bir metodologiya - bu SWOT matritsasi deb ham ataladigan SWOT (Strengths, Weaknesses, Opportunities, and Threats) tahlili bo'lib, u ichki omillarni (kuchli va zaif tomonlarini), shuningdek tashqi omillarni, jumladan, imkoniyatlar va tahdidlarni aniqlash va baholash uchun mo'ljallangan mahsulot, loyiha yoki biznes. SWOT 2-b rasmda keltirilganga o'xshash 2 * 2 matritsa hosil qiladi. Matritsada ko'rinib turganidek, tahlilning asosiy maqsadi aniqlangan xususiyatlarning tashqi/ichki joylashuvi va ularning tashkilotga salbiy/ijobiy ta'siri. Ikki o'zgaruvchining kombinatsiyasini hisobga olgan holda, tegishli xususiyat kuch, zaiflik, imkoniyat yoki tahdid sifatida tasniflanadi va tegishli sohaga mos ravishda qo'shiladi.
Overall Risk Severity
HIGH Medium High Critical
MEDIUM Low Medium High
1 LOW Nate Low Medium
LOW MEDIUM HIGH
Likelihood
Positive
Negative
Strengths Weaknesses
SWOT Matrix
Opportunities Threats
(a) (b>
2-rasm. Xavflarni baholash matritsasi: (a) OWASP xavflarni baholash
metodologiyasi; (b) SWOT matritsasi
3. Axborot xavfsizligi xavfini baholashning mavjud usullarini tahlil qilish. Axborot xavfsizligi xavfini baholash muammosini hal qilish uchun ishlab chiqilgan usullar bo'yicha ko'plab dasturiy paketlar yaratilgan bo'lib, ular hozirda korxonalar va auditorlar tomonidan qo'llaniladi. IT xavfsizligi xavfini baholash uchun ishlatilishi mumkin bo'lgan 30 dan ortiq metodologiya va tizimlar mavjud. Xatarlarni tahlil qilishning butun spektrini to'liq tahlil qilish bu ish doirasidan tashqarida, joriy foydalanish tendentsiyalari asosida sezilarli qamrovni ta'minlash uchun biz byudjet qarorini o'z ichiga olgan metodologiyalarga e'tibor qaratgan holda korxonalar tomonidan eng ko'p qo'llaniladigan kichik to'plamga e'tibor qaratamiz. Natijada, biz ISO/IEC 27001:2005, ISO/IEC 15408:2006 (Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari), COBIT kabi audit, IT boshqaruvi va sertifikatiashtirish uchun mo'ljallangan tizimlarni hisobga olmaymiz. (ISACA) va NIST SP-800 standarti, ularning asosiy maqsadlari audit, IT boshqaruvi va sertifikatlashtirishdir. Ushbu bo'lim eng muhimlarini ta'kidlaydi.
Markaziy kompyuter va telekommunikatsiya agentligi (CCTA) xavflarni tahlil qilish va boshqarish usuli (CRAMM) xavflarni boshqarishning eng keng tarqalgan alternativalaridan biridir. Ushbu usul yordamida xavflarni tahlil qilish resurslar, tahdidlar va resurslarning zaifliklariga tayinlangan taxminlar asosida xavf darajasini aniqlash va hisoblashni o'z ichiga oladi.
4. Mavjud usullarning kamchiliklari va mumkin bo'lgan yechimlar. Mavjud xavflarni baholash metodologiyalari asosan qo'llaniladigan xavflarni baholash shkalalarida farqlanadi: miqdoriy yoki sifat. Miqdoriy metodologiya algoritmining chiqishi xavfning son qiymati hisoblanadi. Kutilmagan hodisalar va tahdidlar haqidagi ma'lumotlar odatda baholash uchun kirish sifatida ishlatiladi. Biroq, etarli statistik ma'lumotlarning tez-tez yetishmasligi natijalarning adekvatligining pasayishiga olib keladi. Sifatli usullar keng tarqalgan, ammo ular haddan tashqari soddalashtirilgan shkalalardan foydalanadilar, ular odatda xavfni baholashning uchta darajasini (past, o'rta, yuqori) o'z ichiga oladi. Mutaxassislar bilan suhbat va aqlli usullardan foydalangan holda o'tkazilgan baholash hali ham yetarli emas. Bundan tashqari, bunday natijalarni qayta ishlatish mumkin emas.
MUHOKAMA
Yuqoridagi kamchiliklar bilan bog'liq holda, mutaxassislar tahdid landshaftining doimiy o'zgarishiga moslasha oladigan, noto'g'ri va ahamiyatsiz ekspert baholashlarini istisno qiladigan va oldingi baholashlardan qayta foydalanishga imkon beradigan yuqori sifatli natija beradigan texnikani faol ravishda qidirmoqdalar. Ushbu sohadagi eng istiqbolli usul sun'iy neyron tarmog'i (ANN) yondashuvi bo'lib, u ko'p vaqt va intellektual resurslarni talab qilsa-da, mavjud usullarning muammolarini, xususan, moslashuvchanlik va moslashuvchanlik bilan bog'liq muammolarni hal qiladi. Bundan tashqari, ANN o'z-o'zini o'rganish kabi aqlli xususiyatlarga ega va shu bilan muammoni hal qilishning eng yaxshi yo'lini to'plash orqali topish mumkin.
Baholashning bunday yondashuvi yangi bo'lib, xavflarni baholashning odatiy, keng qo'llaniladigan usulining kamchiliklari tufayli mavjud muammolarni faqat tahdidlar, yo'qotishlar va zaifliklar darajasini ekspert baholashiga asoslangan holda hal qilishi mumkin.
Xavflarni baholash jarayonini soddalashtiradigan va tezlashtiradigan yana bir yondashuv ontologiyaga asoslangan modellashtirishdan foydalanishdir. Ushbu yondashuv xavfni tahlil qilish paytida aniqlangan semantik elementlardan foydalanadi va ob'ekt yoki jarayon tasvirlangandan so'ng ma'lumotlarni ko'paytirishning oson usulini ta'minlaydi. Xavf omillari turli rasmiylashtirish tillari (Web Ontology Language, natural language, UML) yordamida tavsiflanishi va tuzilishi mumkin. Ushbu modellashtirish usulining afzalligi shundaki, model kompaniya tomonidan keyingi xavflarni baholash mashqlarida qayta ishlatilishi yoki yangi dasturga moslashtirilishi mumkin. Bu so'rov natijalarini qayta ishlatish bilan bog'liq ba'zi usullar muammosini hal qilishi mumkin.
XULOSA
Axborot xavfini baholash kontseptsiyasi ta'rifidan tashqari, kirish jarayonning kamchiliklari va tafsilotlarini ta'kidlab, xavfni sifat va miqdoriy baholash usullari haqida tushuncha beradi. Mutaxassis ishining individual bosqichlarini avtomatlashtirishga imkon beruvchi bir qator dasturiy paketlar yaratilgan, ammo ular ta'kidlanganidek, asosan bir qator matematik hisob-kitoblarni yoki hisobotlarni yoki boshqa hujjatlarni shakllantirishni ta'minlaydi va texnik xavfni avtomatlashtirishga qodir emas. Kamchiliklari tufayli ham sifat, ham miqdoriy usullar to'liq bo'lmagan, sub'ektiv, shu jumladan tasodifiylik elementi va yangilanishi yoki qayta ishlatilishi qiyin deb hisoblanadi.
REFERENCES
1. Khusanova, M. K. (2021). ANALYSIS OF DISCRETE CONVOLUTION IN THE MATLAB PROGRAM. Scientific progress, 2(4), 1023-1028.
2. Abdurakhmonova, M., Karimova, G., & Karimova, M. (2021). ROLE OF ETHICAL CULTURE IN PREVENTING VIOLENCE AMONG SPUPILS. HnmepNayKa, (11-2), 50-51.
3. Pulatov, G., Ganiev, S., & Karimova, G. POSSIBILITIES OF INFORMATION TECHNOLOGIES IN ENSURING THE QUALITY OF EDUCATION.
4. Abdullaev, S. S., & Pulatov, G. G. (2016). SECURITY USE CASE AND SECURITY MISUSE CASE. In Современные научно-практические решения и подходы (pp. 41-44).
5. Djalilov, M. L., Abdullaev, S. S., & Pulatov, G. G. (2016). FLUCTUATIONS IN TWO-LAYER PLATE UNDER THE INFLUENCE OF SHOCK LOADS. In Современные научно-практические решения и подходы (pp. 30-33).
6. Пулатов, Г. Г., & Мадалиева, Г. А. (2018). ИССЛЕДОВАНИЕ СВОЙСТВ КАУСТИК ПРИ ПОМОЩИ MAPLETS. In ИННОВАЦИОННОЕ РАЗВИТИЕ НА УКИ И ОБРАЗОВАНИЯ (pp. 30-32).
7. Пулатов, Г. Г., & Хакимова, К. А. (2018). ТИПОВЫЕ ПРОБЛЕМЫ ДИСТАНЦИОННОГО ОБРАЗОВАНИЯ. In ИННОВАЦИОННОЕ РАЗВИТИЕ НА УКИ И ОБРАЗОВАНИЯ (pp. 33-35).
8. Latipdjanovich, D. M., Shavkatjonovich, A. S., & Gofurjonovich, P. G. IMPROVE THE STRENGTH OF HMAC BASED ONE TIME PASSWORDS USING SHA3 IN HMAC. НАУЧНО-ПРАКТИЧЕСКИЕ РЕШЕНИЯ И ПОДХОДЫ, 2016, 34.
9. Karimov A., Muxammadjonov X. INFORMATION TECHNOLOGIES: INFORMATION EDUCATION AND INFORMATICS //Экономика и социум. -2020. - №. 8. - С. 40-43.
10. Latipdjanovich, D. M., Shavkatjonovich, A. S., & Gofurjonovich, P. G. IMPROVE THE STRENGTH OF HMAC BASED ONE TIME PASSWORDS USING SHA3 IN HMAC. НАУЧНО-ПРАКТИЧЕСКИЕ РЕШЕНИЯ И ПОДХОДЫ, 2016, 34.
11. Pulatov G. G. SIMSIZ TARMOQNI UZAYTIRISH MUAMMOLARI VA YECHIMLARI.
12. Каримова, Г., Акбарова, М., Акрамжонов, К., & Йулдашева, Г. (2021). ЖАМИЯТ ИЖТИМОИЙ ТАРАККИЁТИДА ИННОВАЦИОН ТЕХНОЛОГИЯЛАРНИНГ АДАМИЯТИ. Интернаука, (10-3), 42-43.
13. Usmanov, N., Ganiev, B. S., & Karimova, G. Y. (2021). The Philosophical Basis For The Formation Of Spiritual Maturity Among Young People. Oriental Journal of Social Sciences, 33-37.
14. Bozarov, D. M., & Karimova, G. Y. (2021). ROLE OF THE SELF-ORGANIZATION MODEL IN COMPLEX SOCIAL SYSTEMS. Oriental Journal of Social Sciences, 1-9.
15. Karimov, U. U., & Karimova, G. Y. (2021). THE IMPORTANCE OF INNOVATIVE TECHNOLOGIES IN ACHIEVING EDUCATIONAL EFFECTIVENESS. Журнал естественных наук, 7(1).
16. Каримов, У., & Каримова, Г. (2021). АХБОРОТ О^ИМИ ВА АХБОРОТ МАДАНИЯТИНИНГ ШАКЛЛАНИШ ТЕНДЕНЦИЯЛАРИ. Scientific progress, 2(3), 743-750.
17. Каримов, У. К. Г. К. ИЛМ-ФАН ВА ТАЪЛИМ СОДАСИДАГИ АХБОРОТЛАШУВ.
18. Каримов, У. У. (2017). РОЛЬ СРЕДСТВ МАССОВОЙ ИНФОРМАЦИИ В ПРОЦЕССЕ ГЛОБАЛИЗАЦИИ. In Перспективные информационные технологии (ПИТ 2017) (pp. 1189-1192).
19. Raximov, D. S. (2021). DIVERSIFIKATSIYA HUDUDLAR SANOATNI MUVOZANATLI STRATEGIK RIVOJLANTIRISh YO'NALIShLARI. Oriental renaissance: Innovative, educational, natural and social sciences, 1(3), 199-207.
20. Рахимов, Д. Ш. (2021). САНОАТ ЩТИСОДИЁТИДА МАХДЛЛИЙЛАШТИРИЛАЁТГАН МАДСУЛОТЛАРНИ ДИВЕРСИКАЦИЯЛАШ ОМИЛИ СИФАТИДА. Scientific progress, 1(6), 505-511.
21. Karimov, U., & Abdurakhmon, A. (2017). INNOVATIVE INFORMATION TECHNOLOGY IN EDUCATION. Форум молодых ученых, (5), 9-12.
22. Suyumov, J. Y. (2021). KOMPYUTER IMITATSION MODELLARI ASOSIDA FAOL OQITISH TEXNOLOGIYASINING NAZARIY ASOSLARI. Scientific progress, 2(3), 459-466.
