Axborot xavfsizligi (ba’zan InfoSec deb ataladi) tashkilotlarning axborotni himoya qilish uchun foydalanadigan vositalar va jarayonlarini qamrab oladi. Bunga ruxsatsiz shaxslarning biznes yoki shaxsiy maʼlumotlarga kirishiga toʻsqinlik qiluvchi siyosiy sozlamalari kiradi. InfoSec – tarmoq va infratuzilma xavfsizligidan tortib, sinov va auditgacha bo’lgan keng doiradagi sohalarni qamrab oluvchi o’sib borayotgan va rivojlanayotgan sohadir.
Axborot xavfsizligi maxfiy ma’lumotlarni ruxsatsiz harakatlardan, jumladan, tekshirish, o’zgartirish, yozib olish va har qanday buzilish yoki yo’q qilishdan himoya qiladi. Maqsad – mijoz hisobi tafsilotlari, moliyaviy ma’lumotlar yoki intellektual mulk kabi muhim ma’lumotlarning xavfsizligi va maxfiyligini ta’minlash hisoblanadi.
Xavfsizlik hodisalarining oqibatlari shaxsiy ma’lumotlarni o’g’irlash, ma’lumotlarni buzish va ma’lumotlarni o’chirishni o’z ichiga oladi. Hujumlar ish jarayonlarini buzishi va kompaniya obro’siga putur yetkazishi, shuningdek, sezilarli miqdordagi xarajatlarga olib kelishi mumkin.
Tashkilotlar xavfsizlik choralari uchun mablag’ ajratishlari va ular fishing , zararli dasturlar , viruslar, zararli insayderlar va to’lov dasturlari kabi hujumlarni aniqlash, javob berish hamda faol ravishda oldini olishga tayyor bo’lishlarini ta’minlashi kerak .
Axborot xavfsizligining 3 ta tamoyili nimalardan iborat?
Axborot xavfsizligining asosiy qoidalari maxfiylik, yaxlitlik va mavjudlikdir. Axborot xavfsizligi dasturining har bir elementi ushbu tamoyillardan birini yoki bir nechtasini amalga oshirish uchun ishlab chiqilishi kerak. Ular birgalikda Markaziy razvedka boshqarmasi triadasi deb ataladi.
Maxfiylik
Maxfiylik choralari ma’lumotlarning ruxsatsiz oshkor etilishining oldini olish uchun mo’ljallangan. Maxfiylik tamoyilining maqsadi shaxsiy ma’lumotlarning maxfiyligini ta’minlash va ular faqat unga ega bo’lgan yoki o’zlarining tashkiliy funksiyalarini bajarishi uchun kerak bo’lgan shaxslarga ko’rinadigan va ochiq bo’lishini ta’minlashdir.
Yaxlitlik
Yaxlitlik ma’lumotlarga ruxsat etilmagan o’zgarishlardan (qo’shimchalar, o’chirishlar, o’zgartirishlar va boshqalar) himoya qilishni o’z ichiga oladi. Yaxlitlik tamoyili ma’lumotlarning to’g’ri va ishonchli bo’lishini hamda tasodifiy yoki zararli shaklda noto’g’ri o’zgartirilmasligini ta’minlaydi.
Mavjudligi
Mavjudlik – tizimning dasturiy ta’minot tizimlari va ma’lumotlarini foydalanuvchiga kerak bo’lganda (yoki ma’lum bir vaqtda) to’liq foydalanish imkoniyatini himoya qilishdir. Mavjudlikning maqsadi texnologik infratuzilmani, ilovalarni va ma’lumotlarni tashkiliy jarayon yoki tashkilot mijozlari uchun zarur bo’lganda mavjud qilishdir.
Axborot xavfsizligi va kiberxavfsizlik
Axborot xavfsizligi kiberxavfsizlikdan ko’lami va maqsadi jihatidan farq qiladi. Bu ikki atama ko’pincha bir-birining o’rnida ishlatiladi, ammo aniqrog’i, kiberxavfsizlik axborot xavfsizligining kichik ko’rinishidir. Axborot xavfsizligi – bu jismoniy xavfsizlik, endpoint (so’nggi nuqta) xavfsizligi, ma’lumotlarni shifrlash va tarmoq xavfsizligi kabi ko’plab sohalarni qamrab oluvchi keng soha sanaladi. Shuningdek, bu ma’lumotni tabiiy ofatlar va serverdagi nosozliklar kabi tahdidlardan himoya qiluvchi axborot kafolati bilan chambarchas bog’liq bo’ladi.
Kiberxavfsizlik, birinchi navbatda, texnologiya bilan bog’liq tahdidlarga, ularning oldini olish yoki yumshatishga yordam beradigan amaliyotlar va vositalar bilan shug’ullanadi. Boshqa tegishli kategoriya – bu ma’lumotlar xavfsizligi bo’lib, u tashkilot ma’lumotlarini ruxsat berilmagan shaxslarning tasodifiy yoki zararli ta’siridan himoya qilishga qaratilgan bo’ladi.
Axborot xavfsizligi siyosati
Axborot xavfsizligi siyosati (ISP) – bu IT (Axborot texnologiyalari) aktivlaridan foydalanishda shaxslarga rahbarlik qiluvchi qoidalar to’plamidir. Kompaniyalar xodimlar va boshqa foydalanuvchilarning xavfsizlik protokollari va protseduralariga rioya qilishlarini ta’minlash uchun axborot xavfsizligi siyosatini yaratishi mumkin. Xavfsizlik siyosati faqat vakolatli foydalanuvchilarning maxfiy tizimlar va ma’lumotlarga kirishini ta’minlash uchun mo’ljallanganbo’ladi.
Samarali xavfsizlik siyosatini yaratish va rioya etilishini ta’minlash choralarini ko’rish xavfsizlik tahdidlarining oldini olish va kamaytirish yo’lidagi muhim qadamdir. Siyosatingiz haqiqatan ham samarali boʻlishi uchun uni kompaniyadagi oʻzgarishlar, yangi tahdidlar, oldingi qoidabuzarliklardan olingan xulosalar hamda xavfsizlik tizimlari va vositalariga kiritilgan oʻzgarishlar asosida tez-tez yangilab turing.
Axborot xavfsizligi strategiyangizni amaliy va oqilona tarzda shakllantiring. Tashkilot ichidagi turli bo’limlarning ehtiyojlari va dolzarbligini qondirish uchun bo’limlar yoki shaxslarga muayyan vaziyatlarda qoidalardan chetga chiqishga imkon beradigan tasdiqlash jarayoni bilan istisnolar tizimini qo’llash kerak.
Axborot xavfsizligining asosiy tahdidlari nimalardan iborat?
Axborot xavfsizligi tahdidlarining yuzlab toifalari va millionlab ma’lum tahdid vektorlari mavjud. Quyida biz zamonaviy korxonalarda xavfsizlik guruhlari uchun ustuvor bo’lgan ba’zi asosiy tahdidlarni ko’rib chiqamiz.
Xavfsiz yoki zaif himoyalangan tizimlar
Tezlik va texnologik rivojlanish ko’pincha xavfsizlik choralarida murosaga olib keladi. Boshqa hollarda, tizimlar xavfsizlikni hisobga olmagan holda ishlab chiqilgan bo’lishi mumkin va ular tashkilotda eski tizim sifatida ishlaydi. Tashkilotlar ushbu zaif himoyalangan tizimlarni aniqlashlari va ularni himoya qilish yoki tuzatish, foydalanishdan chiqarish yoki izolyatsiya qilish orqali tahdidni kamaytirishlari kerak.
Ijtimoiy tarmoqlarga hujumlar
Ko’pchilikning ijtimoiy tarmoqlarda akkauntlari bor, ular ko’pincha o’zlari haqida juda ko’p ma’lumot almashishadi. Hujumchilar to’g’ridan-to’g’ri ijtimoiy media orqali hujumlarni amalga oshirishi mumkin, masalan, ijtimoiy media xabarlari orqali zararli dasturlarni tarqatish yoki bilvosita, ushbu saytlardan olingan ma’lumotlardan foydalanuvchi va tashkilotning zaifliklarini tahlil qilish va ulardan hujumni loyihalash uchun foydalanishlari mumkin.
Ijtimoiy muhandislik (Social Engineering)
Ijtimoiy muhandislik tajovuzkorlarning elektron pochta va xabarlarni jo’natishini o’z ichiga oladi, bu foydalanuvchilarni ularning xavfsizligiga putur yetkazadigan yoki shaxsiy ma’lumotlarni oshkor qilishi mumkin bo’lgan harakatlarni amalga oshirishga undaydi. Hujumchilar qiziqish, shoshilinchlik yoki qo’rquv kabi psixologik triggerlar yordamida foydalanuvchilarni manipulyatsiya qiladi.
Ijtimoiy muhandislik xabari manbasi ishonchli ko‘rinayotgani sababli, odamlar o‘z qurilmasiga zararli dasturlarni o‘rnatuvchi havolani bosishi yoki shaxsiy ma’lumotlar, hisobga olish ma’lumotlari yohud moliyaviy ma’lumotlarni taqdim etishlari mumkin.
Tashkilotlar foydalanuvchilarni uning xavf-xatarlaridan xabardor qilish va shubhali ijtimoiy muhandislik xabarlarini aniqlash hamda oldini olishga o’rgatish orqali ijtimoiy muhandislikni yumshata oladi. Bundan tashqari, texnologik tizimlar ijtimoiy muhandislikni manbada blokirovka qilish yoki foydalanuvchilarning noma’lum havolalarni bosish yoki noma’lum qo’shimchalarni yuklab olish kabi xavfli harakatlarni amalga oshirishiga yo’l qo’ymaslik uchun ishlatilishi mumkin.
Endpoint(Oxirgi nuqtalar)da zararli dastur
Tashkiliy foydalanuvchilar turli xil so’nggi nuqta qurilmalari, jumladan, ish stoli kompyuterlari, shaxsiy kompyuterlar, planshetlar va mobil telefonlar bilan ishlaydi, ularning aksariyati xususiy mulk bo’lib, tashkilot nazorati ostida emas va ularning barchasi muntazam ravishda Internetga ulanadi.
An’anaviy antivirus dasturlari zararli dasturlarning barcha zamonaviy shakllarini blokirovka qilish uchun yetarli emas va so’nggi nuqtalarni aniqlash hamda javob berish (EDR) kabi yanada ilg’or yondashuvlar ishlab chiqilmoqda.
Shifrlashning yetishmasligi
Shifrlash jarayonlari ma’lumotlarni faqat maxfiy kalitlari bo’lgan foydalanuvchilar tomonidan dekodlanishi uchun kodlaydi. Uskuna yo’qolishi, o’g’irlanishi yoki tashkilot tizimlari tajovuzkorlar tomonidan buzilgan taqdirda ma’lumotlar yo’qolishi va buzilishining oldini olishda juda samaralidir.
Afsuski, ushbu chora ko’pincha uning murakkabligi va to’g’ri amalga oshirish bilan bog’liq huquqiy majburiyatlarning yo’qligi tufayli e’tibordan chetda qolmoqda. Tashkilotlar saqlash qurilmalarini sotib olish yoki shifrlashni qo’llab-quvvatlaydigan bulut xizmatlaridan foydalanish va maxsus xavfsizlik vositalaridan foydalanish orqali shifrlashni tobora ko’proq qabul qilmoqda.
Xavfsizlikning noto’g’ri konfiguratsiyasi
Zamonaviy tashkilotlar juda ko’p texnologik platformalar va vositalardan, xususan, veb-ilovalar, ma’lumotlar bazalari va dasturiy ta’minot sifatida xizmat ko’rsatish (SaaS) ilovalari yoki Amazon Web Services kabi provayderlarning infratuzilmalari(IaaS)dan foydalanadilar.
Korxona darajasidagi platformalar va bulut xizmatlari xavfsizlik xususiyatlariga ega, ammo ular tashkilot tomonidan sozlanishi kerak. Ehtiyotsizlik yoki inson xatosi tufayli xavfsizlik noto’g’ri konfiguratsiyasi xavfsizlik buzilishiga olib kelishi mumkin. Yana bir muammo – bu “konfiguratsiya o’zgarishi”, bu yerda to’g’ri xavfsizlik konfiguratsiyasi tezda eskirib ketishi va tizimni IT yoki xavfsizlik xodimlari bilmagan holda zaif holga keltirishi mumkin bo’ladi.
Tashkilotlar tizimlarni doimiy ravishda kuzatib boradigan, konfiguratsiya bo’shliqlarini aniqlaydigan va tizimlarni zaiflashtiradigan konfiguratsiya muammolarini ogohlantiradigan yoki hatto avtomatik ravishda tuzatadigan texnologik platformalar yordamida xavfsizlik noto’g’ri konfiguratsiyasini yumshata oladi.
Faol va passiv hujumlar
Axborot xavfsizligi tashkilotlarni zararli hujumlardan himoya qilish uchun mo’ljallangan. Hujumlarning ikkita asosiy turi mavjud: faol va passiv. Faol hujumlarning oldini olish qiyinroq deb hisoblanadi va asosiy e’tibor ularni aniqlash, yumshatish va ularni tiklashga qaratiladi. Kuchli xavfsizlik choralari bilan passiv hujumlarning oldini olish esa osonroq bo’ladi.
Faol hujumlar | Passiv hujumlar |
Xabarlarni, aloqalarni yoki ma’lumotlarni o’zgartiradi | Ma’lumotlar yoki tizimlarga hech qanday o’zgartirish kiritmaydi |
Maxfiy ma’lumotlarning mavjudligi va yaxlitligiga tahdid soladi | Maxfiy ma’lumotlarning maxfiyligiga tahdid solidi |
Tashkiliy tizimlarning shikastlanishiga olib kelishi mumkin | Tashkiliy tizimlarga bevosita zarar yetkazmaydi |
Jabrlanuvchilar odatda hujum haqida bilishadi | Jabrlanuvchilar odatda hujum haqida bilishmaydi |
Axborot xavfsizligi va ma’lumotlarni himoya qilish qonunlari
Dunyo bo’ylab ma’lumotlarni himoya qilish qoidalari shaxsiy ma’lumotlarning maxfiyligini oshirishga qaratilgan va tashkilotlarning mijozlar ma’lumotlarini to’plash, saqlash va ulardan foydalanish usullariga cheklovlar qo’yadi. Ma’lumotlar maxfiyligi shaxsiy identifikatsiya qilinadigan ma’lumotlarga (PII) qaratilgan bo’lib, birinchi navbatda ma’lumotlar qanday saqlanishi va ishlatilishi bilan bog’liq. PII to’g’ridan-to’g’ri foydalanuvchi bilan bog’lanishi mumkin bo’lgan har qanday ma’lumotlarni o’z ichiga oladi, masalan, ism, ID raqami, tug’ilgan sanasi, jismoniy manzili yoki telefon raqami kabilar. Shuningdek, u ijtimoiy media postlari, profil rasmlari va IP manzillari kabi artefaktlarni ham o’z ichiga olishi mumkin.
Yevropa Ittifoqida (EI) ma’lumotlarni himoya qilish qonunlari: GDPR
Yevropa Ittifoqidagi eng mashhur maxfiylik qonuni Ma’lumotlarni himoya qilish bo’yicha umumiy reglamentdir (GDPR). Ushbu qoida Yevropa Ittifoqi fuqarolari bilan bog’liq ma’lumotlarni to’plash, ishlatish, saqlash, xavfsizligi va uzatishni o’z ichiga oladi.
GDPR, kompaniyaning o’zi Yevropa Ittifoqi ichida yoki undan tashqarida joylashganligidan qat’i nazar, Yevropa Ittifoqi fuqarolari bilan biznes yuritadigan har qanday tashkilot uchun amal qiladi. Ko’rsatmalarni buzish global savdoning 4 foizi yoki 20 million yevro miqdorida jarimaga olib kelishi mumkin.
GDPRning asosiy maqsadlari quyidagilardan iborat:
- Shaxsiy ma’lumotlarning maxfiyligini asosiy inson huquqi sifatida belgilash;
- Maxfiylik mezonlari talablarini amalga oshirish;
- Maxfiylik qoidalari qanday qo’llanilishini standartlashtirish.
GDPR quyidagi ma’lumotlar turlarini himoya qilishni o’z ichiga oladi:
- Ism, ID raqami, tug’ilgan sanasi yoki manzili kabi shaxsiy ma’lumotlar;
- IP-manzil, cookie-fayllar, joylashuv va boshqalar kabi veb-ma’lumotlar;
- Tashxis va prognozni o’z ichiga olgan sog’liqni saqlash ma’lumotlari;
- Biometrik ma’lumotlar, jumladan ovozli ma’lumotlar, DNK va barmoq izlari;
- Shaxsiy aloqalar;
- Rasmlar va videolar;
- Madaniy, ijtimoiy yoki iqtisodiy ma’lumotlar;
AQShda ma’lumotlarni himoya qilish qonunlari:
Ba’zi qoidalar joriy qilinganiga qaramay, hozirda Qo’shma Shtatlarda umuman ma’lumotlar maxfiyligini tartibga soluvchi federal qonunlar mavjud emas . Biroq ba’zi qoidalar ma’lumotlarning ma’lum turlarini yoki ulardan foydalanishni himoya qiladi. Bularga quyidagilar kiradi:
- Federal Savdo Komissiyasi to’g’risidagi qonun – tashkilotlarga maxfiylik siyosati bo’yicha iste’molchilarni aldashni, mijozlar maxfiyligini yetarli darajada himoya qilmaslikni va noto’g’ri reklamani taqiqlaydi.
- Bolalarning onlayn maxfiyligini himoya qilish to’g’risidagi qonun – voyaga yetmaganlar bilan bog’liq ma’lumotlarni to’plashni tartibga soladi.
- Sog’liqni saqlash sug’urtasi portativligi va buxgalteriya hisobi qonuni (HIPAA) – sog’liqni saqlash ma’lumotlarini saqlash, maxfiylik va foydalanishni tartibga soladi.
- Gramm Leach Bliley Act (GLBA) – moliyaviy institutlar va banklar tomonidan to’plangan va saqlanadigan shaxsiy ma’lumotlarni tartibga soladi.
- Adolatli kredit hisoboti to’g’risidagi qonun – kredit yozuvlari va ma’lumotlarini to’plash, ulardan foydalanish va ulardan foydalanishni tartibga soladi.
Bundan tashqari, Federal Savdo Komissiyasi (FTC) foydalanuvchilarni ma’lumotlar xavfsizligi va maxfiylik kabi soxta yoki adolatsiz operatsiyalardan himoya qilish uchun javobgardir. FTC qoidalarni qabul qilishi, qonunlarni qo’llashi, buzilishlarni jazolashi va tashkilotdagi firibgarlik yoki shubhali buzilishlarni tekshirishi mumkin.
Federal ko’rsatmalarga qo’shimcha ravishda, AQShning 25 ta shtati ma’lumotlarni tartibga solish uchun turli qonunlarni qabul qilganlar. Eng mashhur misol – Kaliforniyadagi iste’molchilarning shaxsiy hayoti to’g’risidagi qonun (CCPA). Qonun 2020-yil yanvar oyida kuchga kirdi va Kaliforniya aholisini himoya qiladi, shu jumladan, shaxsiy ma’lumotlarga kirish, shaxsiy ma’lumotlarni o’chirishni talab qilish va ma’lumotlarni yig’ish yoki qayta sotishdan voz kechish kabilar.
Imperva bilan axborot xavfsizligiga erishing
Imperva barcha o’lchamdagi tashkilotlarga axborot xavfsizligi dasturlarini amalga oshirishda yordam beradi va maxfiy ma’lumotlar hamda aktivlarni himoya qiladi.
Imperva ilova xavfsizligi
Imperva veb-saytlar va ilovalar mavjud, oson kirish mumkin va xavfsiz ekanligiga ishonch hosil qilish uchun ko’p qatlamli himoyani ta’minlaydi. Imperva ilovalari xavfsizligi yechimi quyidagilarni o’z ichiga oladi:
- DDoS himoyasi – barcha holatlarda ish vaqtini saqlash. Sizning veb-saytingizga va tarmoq infratuzilmangizga kirishni oldini olish uchun har qanday turdagi DDoS hujumining oldini olish.
- CDN — ishlab chiquvchilar uchun moʻljallangan CDN yordamida veb-sayt ish faoliyatini yaxshilash va tarmoqli kengligi xarajatlarini kamaytirish. API va dinamik veb-saytlarni tezlashtirganda statik resurslarni chetida keshlash.
- WAF – bulutga asoslangan yechim qonuniy trafikka ruxsat beradi va yomon trafikni oldini oladi va ilovalarni himoya qiladi. Gateway WAF tarmog’ingiz ichidagi ilovalar va APIlarni xavfsiz saqlaydi.
- Bot boshqaruvi – anomaliyalarni aniqlash uchun bot trafigini tahlil qiladi, yomon bot xatti-harakatlarini aniqlaydi va foydalanuvchi trafigiga ta’sir qilmaydigan sinov mexanizmlari orqali uni tasdiqlaydi.
- Hisobni egallab olishdan himoya qilish – foydalanuvchilarning hisoblarini zararli maqsadlarda egallab olishga urinishlarni aniqlash va ulardan himoya qilish uchun maqsadli aniqlash jarayonidan foydalanadi.
- RASP – ilovalaringizni ma’lum va nol kunlik hujumlardan himoya qiladi. Imzo yoki o’rganish rejimisiz tez va aniq himoya.
- Hujumlar tahlili – barcha mudofaa qatlamlari bo’ylab amaliy razvedka yordamida samarali va aniq xavfsizlik tahdidlarini yumshatish hamda ularga javob berishdir.
Foydalanilgan manba: https://www.imperva.com/learn/data-security/information-security-infosec/
Eng ko’p o’qilgan maqolalar