Научная статья на тему 'KORXONA VA TASHKILOTLARDA AXBOROT XAVFSIZLIGI RISKLARINI BAHOLASH USULLARINI TAHLILI'

KORXONA VA TASHKILOTLARDA AXBOROT XAVFSIZLIGI RISKLARINI BAHOLASH USULLARINI TAHLILI Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
178
30
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
axborot risklari / risklarni tahlil qilish usullari / risklarni boshqarish / axborot xavfsizligi / CORAS / OCTAVE / matritsa tahlili / information risks / risk analysis methods / risk management / information security / CORAS / OCTAVE / matrix analysis

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Mirzayev Jamshid Boymurodovich

Maqolada korxona, tashkilotlarda turli axborot texnologiyalaridan foydalanishda axborot xavfsizligi risklariga alohida e'tibor qaratilgan. Axborot xavfsizligida risklarni zudlik bilan aniqlash, tahlil qilish va keyinchalik kamaytirish, yo‘q qilish yoki tuzatish maqsadida baholashni talab qiladi. Ko‘rib chiqilgan usullar korxonaning axborot xavfsizligining joriy holati darajasini baholash, mumkin bo‘lgan yo‘qotishlarni kamaytirish va aniqlangan tahdidlardan himoya qilish usullaridan foydalanish imkonini beradi.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ANALYSIS OF INFORMATION SECURITY RISKS ASSESSMENT METHODS IN ENTERPRISES AND ORGANIZATIONS

The article focuses on information security risks in the use of various information technologies in enterprises and organizations. Risks in information security require immediate identification, analysis, and assessment with a view to their subsequent reduction, elimination, or correction. The considered methods allow to assess the level of the current state of information security of the enterprise, to reduce possible losses and to use methods of protection against identified threats.

Текст научной работы на тему «KORXONA VA TASHKILOTLARDA AXBOROT XAVFSIZLIGI RISKLARINI BAHOLASH USULLARINI TAHLILI»

Muhammad al-Xorazmiy nomidagi TATU Farg'ona filiali "Al-Farg'oniy avlodlari" elektron ilmiy jurnali ISSN 2181-4252 Tom: 1 | Son: 2 | 2024-yil

"Descendants of Al-Farghani" electronic scientific journal of Fergana branch of TATU named after Muhammad al-Khorazmi. ISSN 2181-4252 Vol: 1 | Iss: 2 | 2024 year

Электронный научный журнал "Потомки Аль-Фаргани" Ферганского филиала ТАТУ имени Мухаммада аль-Хоразми ISSN 2181-4252 Том: 1 | Выпуск: 2 | 2024 год

KORXONA VA TASHKILOTLARDA AXBOROT XAVFSIZLIGI RISKLARINI BAHOLASH

USULLARINI TAHLILI

Mirzayev Jamshid Boymurodovich,

Muhammad al-Xorazmiy nomidagi, TATU Farg'ona filiali katta o'qituvchisi E-mail: [email protected]

Annotasiya. Maqolada korxona, tashkilotlarda turli axborot texnologiyalaridan foydalanishda axborot xavfsizligi risklariga alohida e'tibor qaratilgan. Axborot xavfsizligida risklarni zudlik bilan aniqlash, tahlil qilish va keyinchalik kamaytirish, yo'q qilish yoki tuz atish maqsadida baholashni talab qiladi. Ko'rib chiqilgan usullar korxonaning axborot xavfsizligining joriy holati darajasini baholash, mumkin bo'lgan yo'qotishlarni kamaytirish va aniqlangan tahdidlardan himoya qilish usullaridan foydalanish imkonini beradi.

IKalit so'zlar: axborot risklari, risklarni tahlil qilish usullari, risklarni boshqarish, axborot xavfsizligi, CORAS, OCTAVE, matritsa tahlili

Kirish. Bizga ma'lumki 21 asr boshlariga kelib axborotlar inson hayotining barcha jabhalarida muhim rol o'ynay boshladi. Jamiyat rivojlanishi uchun nafaqat moddiy, instrumental va boshqa resurslar, balki axborot ham zarur bo'lib qoldi. Hozirgi davrda butun dunyo bo'ylab axborot oqimlarining tez o'sishi bilan kuzatilmoqda. Chunki rivojlanishning zamonaviy bosqichiga o'tishda texnologik innovatsiyalarning ortib borayotgan sur'atlari, ma'lumotlar hajmi, ishlab chiqarish, amalga oshirish va tarqatish sezilarli darajada oshishi kerak. Axborot hajmining eng katta o'sishi sanoat, savdo, ta'lim, bank-moliya kabi tashkilotlarda kuzatilmoqda. Axborot eng qimmatli resurs turiga aylanmoqda, uning umumiy qiymati yaqin kelajakda moddiy mahsulotlarning umumiy tannarxidan oshib ketishi kutilmoqda.

Iqtisodiyot, axborot texnologiyalari va rivojlanayotgan axborot xizmatlari bozorida sodir bo'lgan ushbu o'zgarishlarni hisobga olgan holda, diqqat bilan o'rganishni talab qiladi. Chunki qimmatli va muhim ma'lumotlarga ega bo'lish, ulardan foydalanish va uzatish tufayli bir qator korxona, tashkilot hatto davlatlar iqtisodiyotga katta zarar yetkazishi mumkin bo'lgan xavflar paydo bo'lishi mumkin. Har bir korxona, tashkilotda ishlab chiqarish sirlari, noyob innovatsiyalar to'g'risidagi ma'lumotlar, intellektual mulk, mijozlar, hamkorlar, xodimlarning ma'lumotlar bazasi mavjud bo'lib, ular butun ishlab

chiqarish jarayoni asoslanadi va agar bu ma'lumotlar raqobatchilar yoki boshqa yomon niyatli shaxslar qo'liga tushib qolsa, tashkilotning iqtisodi va faoliyatiga jiddiy tahdid soladi. Tarmoq texnologiyalari va mobil qurilmalarning keng qo'llanilishi tufayli qimmatli ma'lumotlarni himoya qilish muammosi har qachongidan ham keskin bo'liq qolmoqda. Korxona va tashkilotlarning asosiy vazifalaridan biri sifatida axborot maxfiyligini himoya qilish, ta'minlash, axborot xavfini kamaytirish va xakerlik hujumlarining oldini olish masalasi doim dolzarb muammolardan hisoblanadi.

Adabiyotlar tahlili va metodologiyasi.

Yuqoridagilardan kelib chiqib hozirgi kunda shu sohada izlanayotgan o'zbek olimlaridan S.K.Ganiyev, A.A.Ganiyev va Z.T.Xudoyqulovlar kiberxafsizlik soxasida, F.M.Muxtarov, M.M.Turdimatov va D.X.Tojimatovlar xavf-xatarlarni keltirib chiqaruvchi omillar, ularni aniqlash usullari, muammo va yechimlari, axborotni himoyalashda chetlab o'tishning mumkin bo'lgan ehtimollik xolatini baholash usullari soxasida izlanishlar olib bormoqdalar.[1,4] Rus olimlaridan N.G.Miloslavskaya, M.Yu.Senatorov, A.I.Tolstoy, A.I.Sokolovlar axborot xavfsizligi risklarini boshqarish soxasida amaliy qo'llanmalar yaratishgan.[5,7]

Axborot xavfsizligi risklarini baholash usullarini tahlili.

181

Muhammad al-Xorazmiy nomidagi TATU Farg'ona filiali "Al-Farg'oniy avlodlari" elektron ilmiy jurnali ISSN 2181-4252 Tom: 1 | Son: 2 | 2024-yil

"Descendants of Al-Farghani" electronic scientific journal of Fergana branch of TATU named after Muhammad al-Khorazmi. ISSN 2181-4252 Vol: 1 | Iss: 2 | 2024 year

Электронный научный журнал "Потомки Аль-Фаргани" Ферганского филиала ТАТУ имени Мухаммада аль-Хоразми ISSN 2181-4252 Том: 1 | Выпуск: 2 | 2024 год

CORAS usuli Evropaning Information Society Technologies dasturi doirasida ishlab chiqilgan. CORAS usuli risklarnini tahlil qilishning ba'zi usullarini moslashtirish, optimallashtirish va birlashtirishdan iborat. Ushbu usul UML (Unified Modeling Language) modelidan foydalanadi. [6]

Coras usuliga ko'ra, axborot xatarlarini tahlil qilish bo'yicha ishlar quyidagi jarayonlardan iborat:

• tahlilchi tomonidan bo'lajak vazifaning to'liq va bosqichma-bosqich tavsifi;

• tahlil qilish uchun taqdim etilgan hujjatlarning to'g'riligi va tafsilotlarini tekshirish;

• risklarni aniqlash bo'yicha tadbirlarni amalga oshirish;

• axborot xavfsizligiga tahdidlarning yuzaga kelishi ehtimoli va oqibatlarini baholash;

• qabul qilinadigan xatarlarni va keyingi kamaytirish yoki yo'q qilish uchun baholash uchun taqdim etilishi kerak bo'lgan risklarni ta'kidlash;

• tahdidlarni bartaraf etish.[7]

oktavE usuli (Operationally Critical Threat, Asset and Vulnerability Evaluation) axborot egasini muhim axborot aktivlari va ular bilan bog'liq risklarni aniqlash bo'yicha faoliyatga jalb qilishning katta darajasini ta'minlaydi.

OCTAVE usuli bo'yicha axborot xavfsizligi riskini baholash uch bosqichdan iborat:

• Birinchi bosqichda tashkiliy jihatlar baholanadi. Ushbu bosqichda tahlil guruhi zararni va keyinchalik riskni baholash mezonlarini aniqlashi kerak. Shuningdek, ushbu bosqichda eng muhim tashkiliy resurslar aniqlanadi va korxonada axborot xavfsizlikni saqlash va himoya qilish amaliyoti va tajribasining bugungi holati baholanadi.

• Ikkinchi bosqichda korxonaning axborot infratuzilmasini har tomonlama tahlil qilish amalga oshiriladi. Ushbu infratuzilmadan foydalanish uchun mas'ul bo'lgan bo'limlar va xodimlar o'rtasida xavfsizlik masalalari

qanchalik tez va izchil hal qilinishiga katta e'tibor qaratilmoqda.

• Uchinchi bosqich xavfsizlik taktikasini ishlab chiqish va axborotni himoya qilish va xavflarni kamaytirish rejasini tuzish bilan tavsiflanadi. Xavflarni aniqlash va tahlil qilish jarayonida tahdidlarning yuzaga kelishi mumkin bo'lgan zarar baholanadi, tahdidlarni baholashning ehtimollik mezonlari belgilanadi, shuningdek tahdidlarni amalga oshirish ehtimoli baholanadi.[5]

Xavfsizlik kafolati strategiyasini va risklarni kamaytirish rejasini shakllantirish jarayonida quyidagi harakatlar amalga oshiriladi:

• joriy xavfsizlik strategiyasini tavsiflash,

• risklarni kamaytirish uchun yondashuvlarni tanlash;

• risklarni kamaytirish rejasini tuzish,

• joriy xavfsizlik strategiyasiga o'zgartirishlar kiritish;

• xavfsizlikni ta'minlash bo'yicha ishning istiqbolli yo'nalishlarini aniqlash.

Matritsa usuli aktivlarni, zaifliklarni, tahdidlarni va boshqaruvlarni bog'laydi va tashkilot aktivlariga mos keladigan turli xil boshqaruv vositalarining ahamiyatini aniqlaydi. Tashkilotning aktivlari deganda moddiy va nomoddiy bo'lishi mumkin bo'lgan nuqtai nazardan muhim bo'lgan obyektlar tushuniladi.[6]

Matritsa metodologiyasi uchta alohida matritsani o'z ichiga oladi: tahdid matritsasi, zaiflik matritsasi va nazorat matritsasi. Ushbu matritsalardan foydalanib, ma'lumotlar xavf tahlili uchun yig'iladi.

Barcha matritsalar o'zaro bog'langan. Zaifliklar matritsasi aktivlar va zaifliklar o'rtasidagi munosabatni, tahdidlar matritsasi zaifliklar va tahdidlar o'rtasidagi munosabatlarni va nazorat matritsasi tahdidlar va boshqaruv elementlari o'rtasidagi munosabatlarni o'z ichiga oladi. Matritsaning har bir katakchasidagi qiymat satr va ustun elementi o'rtasidagi munosabat qiymatini ko'rsatadi.

Dastlabki tahlil jarayoni aktivlar, zaifliklar, tahdidlar va boshqaruvlar ro'yxatini yaratadi.

182

Muhammad al-Xorazmiy nomidagi TATU Farg'ona filiali "Al-Farg'oniy avlodlari" elektron ilmiy jurnali ISSN 2181-4252 Tom: 1 | Son: 2 | 2024-yil

"Descendants of Al-Farghani" electronic scientific journal of Fergana branch of TATU named after Muhammad al-Khorazmi. ISSN 2181-4252 Vol: 1 | Iss: 2 | 2024 year

Электронный научный журнал "Потомки Аль-Фаргани" Ферганского филиала ТАТУ имени Мухаммада аль-Хоразми ISSN 2181-4252 Том: 1 | Выпуск: 2 | 2024 год

Matritsalar matritsa ustun elementi va satr elementi o'rtasidagi munosabat haqidagi ma'lumotlarni qo'shish orqali to'ldiriladi. Zaiflik matritsasi ma'lumotlari keyinchalik tahdid matritsasiga o'tkaziladi. Keyin xuddi shu printsipdan foydalanib, tahdid matritsasi ma'lumotlari nazorat matritsasiga kiritiladi.

Uch matritsa usuliga misol sifatida "n" aktivlar bo'lsin, aktivning nisbiy qiymati "aj (j=1, n)". Shuningdek, "Cij" "Vi" zaifligining "aj" aktiviga ta'siri bo'lsin. Keyin "Vi" zaifligining tashkilot aktivlariga jami ta'siri quyidagi formula bo'yicha hisoblanadi: Vi = I^-1)Vij*Cj (2)

"V" zaifliklariga ta'sir qiluvchi "p" tahdidlari bo'lsin va "dki" - "Vi" zaifligining "Tk" tahdidining ta'sir potentsiali bo'lsin. Keyin "Tk" tahdidining nisbiy yig'indisi quyidagi formula bilan aniqlanadi:

Tk = Zjti) dki * Vi (3)

"p" tahdidlarini kamaytira oladigan "q" boshqaruvlari bo'lsin va "elk" "Z0" boshqaruvining "Tk" tahdidiga ta'siri bo'lsin. Keyin "Z0" boshqaruv elementlarining nisbiy ta'siri quyidagi formula bilan aniqlanadi:

Z0=ïh)e0i*Tl (4)

Ushbu usulning asosiy afzalliklaridan biri shundaki, u deyarli har qanday tashkilotda qo'llanilishi mumkin. Metodologiyada tahlil qilish uchun yangi ma'lumotlar paydo bo'lishi bilan takomillashtirilishi mumkin bo'lgan juda qulay matritsa shablonlari mavjud.

Biroq, risklarni boshqarishning har qanday usulini amalga oshirish to'g'risida qaror qabul qilishdan oldin, u korporatsiyaning barcha ehtiyojlarini, uning parametrlarini to'liq inobatga olganligiga, shuningdek, eng yaxshi jahon amaliyoti tajribasiga javob berishiga va uning batafsil tavsifiga ega ekanligiga ishonch hosil qilish kerak. Olingan natijalar.

Adabiyotlarda "axborot risklari"ga iqtisodiy nuqtai nazardan yondashgan holda "korxonaning axborot texnologiyalaridan foydalanishi natijasida axborot yo'qotishi yoki zarar yetish xavfini anglatadi"-deb ta'rif beradi . Boshqacha qilib aytganda, axborot risklari elektron tashuvchilar va boshqa aloqa

vositalaridan foydalangan holda ma'lumotlarni hosil qilish, uzatish, saqlash va ulardan foydalanish bilan bog'liq.[1]

Axborot risklarining tasnifi

Barcha axborot risklarini bir nechta mezonlarga ko'ra turli guruhlarga bo'lish mumkin:

1. Manbasiga ko'ra ichki va tashqi;

2. Tabiatiga ko'ra - qasddan va tasodifan;

3. Turiga ko'ra - bevosita va bilvosita;

4. Natijaga ko'ra- axborotni ishonchliligi, dolzarbligi, to'liqligi, maxfiyligini buzilishi;

5. Ta'sir mexanizmi bo'yicha: tabiiy ofatlar, baxtsiz hodisalar, xodimlar xatolari va boshqa axborot risklariga bo'linadi.

Axborot xavfi riskini hisoblashda quyidagi omillar hisobga olinadi:

1. Resurs qiymati - Asset Value (AV). Bu qiymat ma'lum bir axborot resursining qiymatini aks ettiradi. Riskni sifatli baholashda resurs narxi odatda 1 dan 3 gacha bo'lgan darajaga ega bo'lib, bu yerda 1 - resursning minimal qiymati, 2 -resursning o'rtacha qiymati va 3 - maksimal qiymatdir.

2. Resursning tahdiddan liimoyalanisli darajasi

- Exposure Factor (EF) hisoblanadi. Ushbu parametr har qanday resurs ko'rib chiqilayotgan tahdidga nisbatan qanchalik zaif ekanligini ko'rsatadi. Masalan, bank tashkilotini hisobga olgan holda, avtomatlashtirilgan bank tizimining bir xil serveri eng arzonligi bilan ajralib turadi. Shuning uchun hujumlar uning uchun maksimal tahdiddir. Xatarlarni sifatli baholashda ushbu qiymat 1 dan 3 gacha bo'lgan oraliqda joylashgan bo'lib, bu yerda 1-eng past darajasi, 2-o'rtacha , 3-zaiflikning eng yuqori darajasi;

3. Tahdid ehtimolini baholash - Annual Rate of Occurrence (ARO) ma'lum bir tahdidning ma'lum vaqt oralig'ida yuzaga kelish ehtimolini ko'rsatadi va shuningdek, 1 dan 3 gacha (past, o'rta, yuqori) qiymatlarni olishi mumkin.

Eksperimental ma'lumotlarga asoslanib, belgilangan vaqt oralig'ida ma'lum bir tahdidning ta'siri tufayli kutilayotgan yo'qotishlarni baholash shakllantiriladi -Annual Loss Exposure (ALE), bu

183

Muhammad al-Xorazmiy nomidagi TATU Farg'ona filiali "Al-Farg'oniy avlodlari" elektron ilmiy jurnali ISSN 2181-4252 Tom: 1 | Son: 2 | 2024-yil

"Descendants of Al-Farghani" electronic scientific journal of Fergana branch of TATU named after Muhammad al-Khorazmi. ISSN 2181-4252 Vol: 1 | Iss: 2 | 2024 year

Электронный научный журнал "Потомки Аль-Фаргани" Ферганского филиала ТАТУ имени Мухаммада аль-Хоразми ISSN 2181-4252 Том: 1 | Выпуск: 2 | 2024 год

xavf hajmini tavsiflaydi va formuladan foydalanib hisoblanadi:

ALE = (AV x EF x ARO). (1)

Risklarni dastlabki baholashdan so'ng, hisob-kitoblar natijasida olingan qiymatlar past, o'rta va yuqori darajadagi axborot risklarni aniqlash uchun muhimlik darajalariga ko'ra tartiblanishi kerak.

Shundan so'ng, risklar darajalar bo'yicha taqsimlanadi, so'ngra birinchi navbatda e'tibor talab qiladigan risklar aniqlanadi.

Shunday qilib, risklarni boshqarish yuqori va o'rta risklar qiymatlarini past axborot risklari qiymatlariga kamaytirishdan iborat bo'lib, bunda ularni qabul qilish mumkin bo'ladi. Risk darajasini pasaytirishga formulaning bir yoki bir nechta tarkibiy qismlarini (AV, EF, ARO) ma'lum chora-tadbirlar yordamida kamaytirish orqali erishish mumkin.[6]

Bozor iqtisodiyotiga o'tish va iqtisodiy rivojlanishni prognozlashning ahamiyati ortib borishi bilan axborotning roli sezilarli darajada oshdi. Axborot kompaniyaning muvaffaqiyatli ishlashi, uning raqobatbardoshligi va normal rivojlanishining kalitiga aylandi. Shu bilan birga axborotdan keng foydalanish risklarning yangi turi - axborot risklarini yuzaga keltirdi, bu esa kompaniyalarning rivojlanishi va faoliyatiga jiddiy tahdid solishi mumkin.[2] Xulosa.

-Ko'rinib turibdiki, risk darajasini baholash oralig'i ularning sifat qiymatini hisoblash asosida aniqlanadi. Shunday qilib, agar hisoblangan riskning qiymatlari 1 dan 18 gacha bo'lsa, past risklar- 1 dan 7 gacha, o'rtacha risk- 8 dan 13 gacha, yuqori - 14 dan 18 gacha baholanadi.

Shu sababli, axborot risklari keyinchalik kamaytirish, yo'q qilish yoki tuzatish maqsadida darhol aniqlash, tahlil qilish va baholashni talab qiladi. Shuni esda tutish kerakki, bunday riskni bartaraf etish uchun axborot xavfsizlik siyosatini ishlab chiqish zarur. Shuning uchun ham axborot xavfsizligini ta'minlash bo'yicha ishlar kompleks yondoshish kerak.

-Axborot risklarini boshqarish - bu mahalliy va xorijiy kompaniyalar, ayniqsa maxfiy ma'lumotlar, yashirin ma'lumotlar yoki shunchaki katta hajmdagi ma'lumotlar bilan ishlaydigan kompaniyalar

faoliyatidagi subyektiv, murakkab va juda muhim j arayondir.

Shu bilan birga, mumkin bo'lgan axborot risklarini hisoblash va tahlil qilishning ko'plab tizimlari va usullari allaqachon ishlab chiqilgan bo'lib, ular biznesni ular to'g'risida tezda xabardor qilish va keyinchalik bozorning asosiy talablariga -kompaniyaning iqtisodiy faoliyatining uzluksizligi va xavfsizligiga rioya qilish imkonini beradi.

Foydalangan adabiyotlar

1. S.K.Ganiyev, A.A.G aniyev, Z.T.Xudoyqulov. Kiberxafsizlik asoslari: o'quv qo'llanma, -T.: "Nihol print" OK, 2021. - 224 b.

2. Muxtarov, F. (2023). Xavf-xatarlarni keltirib chiqaruvchi omillar, xavf-xatarlarni aniqlash usullari, muammo va yechim. Потомки Аль-Фаргани, 1(3), 5-9. извлечено от https://al-fargoniy.uz/index.php/journal/article/view/70

3. Tojimatov, D. (2023). Использование возможностей искусственного интеллекта в прогнозировании киберугроз и защите от рисков: Тожиматов Д.Х. Старший преподаватель, ТУИТ Ферганский филиал. Потомки Аль-Фаргани, 1(2), 41-44. извлечено от https://al-fargoniy.uz/index.php/journal/article/view/39

4. Xursanoy, S., & Turdimatov, M. (2023). Axborotni himoyalashda chetlab o'tishning mumkin bo'lgan ehtimollik xolatini baholash usullari . Потомки Аль-Фаргани, 1(4), 189-193. извлечено от https://al-fargoniy.uz/index.php/j ournal/arti cl e/vi ew/174

5. Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление рисками информационной безопасности. Учебное пособие для вузов. - М.: Горячая линия-Телеком, 2013. -130 с.

6. Киселева И.А., Искаджян С.О. Информационные риски: методы оценки и анализа // ИТпортал, 2017. №2.

7. Константиновна Баранова . Методики анализа и оценки рисков информационной безопасности елена . Образовательные ресурсы и технологии. 2015

8. Калашников А.О. Управление информационными рисками организационных систем: общая постановка задачи // Информация и безопасность. 2016. Т. 19. № 1. С. 36-45.

184

i Надоели баннеры? Вы всегда можете отключить рекламу.