Axborot xavfsizligi
Vikipediya, ochiq ensiklopediya
Axborot xavfsizligi (inglizcha: Information Security, shuningdek, inglizcha: InfoSec) — axborotni
ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish, tadqiq qilish, yozib olish yoki yoʻq
qilishning oldini olish amaliyotidir. Ushbu universal kontseptsiya maʼlumotlar qanday shaklda boʻlishidan
qatʼiy nazar (masalan, elektron yoki, jismoniy) amal qiladi. Axborot xavfsizligini taʼminlashning asosiy
maqsadi maʼlumotlarning konfidensialligi, yaxlitligi va mavjudligini muvozanatli,[1] qoʻllashning maqsadga
muvofiqligini hisobga olgan holda va tashkilot faoliyatiga hech qanday zarar yetkazmasdan himoya
qilishdir[2]. Bunga, birinchi navbatda, asosiy vositalar va nomoddiy aktivlar, tahdid manbalari, zaifliklar,
potensial taʼsirlar va mavjud xavflarni boshqarish imkoniyatlarini aniqlaydigan koʻp bosqichli xavflarni
boshqarish jarayoni orqali erishiladi. Bu jarayon xavflarni boshqarish rejasining samaradorligini baholash
bilan birga olib boriladi[3].
Ushbu faoliyatni standartlashtirish maqsadida ilmiy va kasbiy hamjamiyatlar texnik axborot xavfsizligi
choralari, yuridik javobgarlik, shuningdek, foydalanuvchi va maʼmurlarni tayyorlash standartlari sohasida
asosiy metodologiya, siyosat va tarmoq standartlarini ishlab chiqishga qaratilgan doimiy hamkorlik asosida
ish olib boradi. Ushbu standartlashtirishga asosan maʼlumotlarga kirish, qayta ishlash, saqlash va uzatishni
tartibga soluvchi keng koʻlamli qonunlar va qoidalar taʼsir koʻrsatadi. Biroq, tashkilotda agar doimiy
takomillashtirish madaniyati toʻgʻri shakllantirilmagan boʻlsa, har qanday standartlar va metodologiyalarni
joriy etish yuzaki taʼsir koʻrsatishi mumkin [4].
Umumiy maʼlumot
Axborot xavfsizligining markazida axborotni himoya qilish faoliyati — uning maxfiyligi, mavjudligi va
yaxlitligini taʼminlash, shuningdek, tanqidiy vaziyatda har qanday murosaga yoʻl qoʻymaslik masalasi
yotadi [5]. Bunday holatlarga tabiiy, texnogen va ijtimoiy ofatlar, kompyuterning ishdan chiqishi, jismoniy
oʻgʻirlik va boshqalar kiradi. Dunyodagi aksariyat tashkilotlarning ish jarayonlari hanuz qogʻoz asosidagi
xujjatlarga asoslangan[6], boʻlib, tegishli axborot xavfsizligi choralarini talab qilsa-da, korxonalarda raqamli
texnologiyalarni joriy etish boʻyicha tashabbuslar soni barqaror oʻsib bormoqda [7][8]. Bu esa axborotni
himoya qilish uchun axborot texnologiyalari (IT) xavfsizligi boʻyicha mutaxassislarni jalb qilishni talab
qiladi. Ushbu mutaxassislar axborot xavfsizligi texnologiyasini (koʻp hollarda kompyuter tizimlarining bir
turini) taʼminlaydi. Bu kontekstda kompyuter nafaqat maishiy shaxsiy kompyuterni, balki har qanday
murakkablik va maqsadli raqamli qurilmalar, yaʼni elektron kalkulyatorlar va maishiy texnika kabi ibtidoiy
va izolyatsiya qilinganlardan tortib, sanoat boshqaruv tizimlari va kompyuter tarmoqlari orqali ulangan
superkompyuterlargacha boʻlgan raqamli qurilmalarni anglatadi. Yirik korxona va tashkilotlar oʻz bizneslari
uchun axborotning hayotiy ahamiyati va qiymati tufayli, qoida tariqasida, oʻz xodimlariga axborot
xavfsizligi boʻyicha mutaxassislarni yollaydilar. Ularning vazifasi barcha texnologiyalarni maxfiy
maʼlumotlarni oʻgʻirlash yoki tashkilotning ichki tizimlarini nazorat qilishga qaratilgan zararli
kiberhujumlardan himoya qilishdir.
Axborot xavfsizligi bandlik sohasi sifatida soʻnggi yillarda sezilarli darajada rivojlandi va oʻsdi. U tarmoq
va tegishli infratuzilma xavfsizligi, dasturiy taʼminot va maʼlumotlar bazasini himoya qilish, axborot
tizimlari auditi, biznesning uzluksizligini rejalashtirish, elektron yozuvlarni aniqlash va kompyuter
kriminalistikasi kabi koʻplab professional ixtisosliklarni yaratdi. Axborot xavfsizligi boʻyicha mutaxassislar
mehnat bozorida yuksak barqaror bandlikka va yuqori talabga ega. Bir qator tashkilotlar (ISC)² tomonidan
olib borilgan keng koʻlamli tadqiqotlar natijasida maʼlum boʻlishicha, 2017-yilda axborot xavfsizligi sohasi
rahbarlarining 66 % oʻz boʻlimlarida ishchi kuchining keskin yetishmasligini tan olishgan va 2022-yilga
kelib bu sohada mutaxassislarning tanqisligi darajasi butun dunyoda 1 800 000 kishini tashkil etishini
taxmin qilgan [9].
Tahdidlar va xavfsizlik choralari
Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin. 2018-yil uchun eng jiddiy tahdidlar
„xizmat koʻrsatish usulidagi jinoyatlar“ (inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot
zanjirlari va tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan [10]. „Xizmat
koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun darknet bozorida jinoiy xizmatlar paketini
yangi paydo boʻlgan kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori
texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik hujumlarini amalga oshirish
imkonini beradi. Bu esa kiberjinoyatni ommaviy hodisaga aylantiradi[11]. Koʻpgina tashkilotlar Internet
mahsulotlarini faol tatbiq qilmoqdalar. Bu qurilmalar koʻpincha xavfsizlik talablarisiz ishlab chiqilganligi
bois, kiberhujumlar uchun qoʻshimcha imkoniyatlar yaratadi. Bundan tashqari, internet xizmatlarining jadal
rivojlanishi va murakkablashuvi uning shaffofligini pasaytiradi, bu esa noaniq belgilangan huquqiy qoidalar
va shartlar bilan birgalikda tashkilotlarga qurilmalar tomonidan toʻplangan mijozlarning shaxsiy
maʼlumotlaridan oʻz ixtiyoriga koʻra, ular bilmagan holda foydalanish imkonini beradi. Bundan tashqari,
tashkilotlarning oʻzlari IoT qurilmalari tomonidan toʻplangan maʼlumotlarning qaysi biri tashqariga
uzatilishini kuzatishi mushkul masaladir. Taʼminot zanjirlariga tahdid shundaki, tashkilotlar oʻzlarining
yetkazib beruvchilari bilan turli xil qimmatli va nozik maʼlumotlarni almashishadi, natijada ular ustidan
bevosita nazorat yoʻqoladi. Shunday qilib, ushbu maʼlumotlarning maxfiyligi, yaxlitligi yoki mavjudligini
buzish xavfi sezilarli darajada oshadi. Bugungi kunda regulyatorlarning tobora koʻpayib borayotgan yangi
talablari tashkilotlarning hayotiy axborot aktivlarini boshqarishni sezilarli darajada murakkablashtirmoqda.
Masalan, 2018-yilda Evropa Ittifoqida qabul qilingan „Umumiy maʼlumotlarni himoya qilish qoidalari“
(inglizcha: General Data Protection Regulation, GDPR) har qanday tashkilotdan istalgan vaqtda oʻz
faoliyati yoki taʼminot zanjirining istalgan qismida joylashtirilgan shaxsiy maʼlumotlarning mazmuni, ularni
qayta ishlash usullari, saqlanish va himoyalanish tartibi va qanday maqsadlar uchun xizmat qilishini
koʻrsatishni talab qiladi. Bundan tashqari, ushbu maʼlumot nafaqat vakolatli organlar tomonidan tekshirish
paytida, balki ushbu maʼlumotlar egasining birinchi talabiga binoan ham taqdim etilishi lozim. Bunday
muvofiqlikka rioya qilish muhim byudjet mablagʻlari va resurslarini tashkilotning boshqa axborot
xavfsizligi vazifalaridan chetlashtirishni talab qiladi. Shaxsiy maʼlumotlarni qayta ishlashni soddalashtirish
uzoq muddatli istiqbolda axborot xavfsizligini yaxshilashni nazarda tutsa ham, qisqa muddatda
tashkilotning xatarlari sezilarli darajada oshadi [10].
Aksariyat odamlar u yoki bu tarzda axborot xavfsizligi tahdidlariga duchor boʻlishadi. Masalan, ular zararli
dasturlar (viruslar va kompyuter qurti, troya oti(kompyuter virusi) va firibgarlik dasturlari)[12], fishing yoki
identifikatorni oʻgʻirlash qurboni boʻlishadi. Fishing (inglizcha: Phishing) — maxfiy maʼlumotlarni
(masalan, hisob, parol yoki kredit karta maʼlumotlari) olishga qaratilgan firibgarlik harakatlaridir. Odatda,
ular internet foydalanuvchisini har qanday tashkilotning (bank, internet-doʻkon, ijtimoiy tarmoq va h.k.) asl
veb-saytidan ajratib boʻlmaydigan soxta veb-saytga jalb qilishga harakat qiladilar [13][14]. Qoida tariqasida,
bunday urinishlar tashkilot nomidan[15] soxta veb-saytlarga havolalarni oʻz ichiga olgan soxta elektron
pochta xabarlarini ommaviy yuborish orqali amalga oshiriladi. Foydalanuvchi brauzerda bunday havolani
ochib, oʻz hisob maʼlumotlarini kiritib firibgarlarning oʻljasiga aylanadi [16]. 1964-yilda[18] ingliz tiliga
Andoza:Tr kiritilgan boʻlib, unda kimningdir shaxsiy maʼlumotlari (masalan, koʻpincha fishing yoʻli bilan
olingan ism, bank hisobi yoki kredit karta raqami) firibgarlik va boshqa jinoyatlarni sodir etishda
foydalaniladi. [17][18] Jinoyatchilar nomidan noqonuniy moliyaviy imtiyozlar, qarz olgan yoki boshqa
jinoyatlarni sodir etgan shaxs koʻpincha ayblanuvchining oʻzi boʻlib qoladi va bu uning uchun jiddiy
moliyaviy va huquqiy oqibatlarga olib kelishi mumkin[19]. Axborot xavfsizligi shaxsiy hayotga bevosita
taʼsir qiladi va bu holat turli madaniyatlarda turlicha taʼriflanishi mumkin.
Hukumatlar, harbiylar, korporatsiyalar, moliya institutlari, tibbiyot muassasalari va xususiy korxonalar oʻz
xodimlari, mijozlari, mahsulotlari, tadqiqotlari va moliyaviy natijalari haqida doimiy ravishda katta
miqdordagi maxfiy maʼlumotlarni toʻplaydi. Agar bunday maʼlumotlar raqobatchilar yoki kiberjinoyatchilar
qoʻliga tushib qolsa, bu tashkilot va uning mijozlari uchun keng qamrovli huquqiy oqibatlarga, tuzatib
boʻlmas moliyaviy va ayanchli yoʻqotishlarga olib kelishi mumkin. Biznes nuqtai nazaridan, axborot
xavfsizligi xarajatlarga nisbatan muvozanatli boʻlishi kerak. Gordon-Lob[en] iqtisodiy modeli bu
muammoni hal qilishning matematik apparatni tavsiflaydi[20]. Unga koʻra axborot xavfsizligi tahdidlari
yoki axborot xavflariga qarshi kurashishning asosiy usullari quyidagilardan iborat:
kamaytirish — zaifliklarni bartaraf etish va tahdidlarning oldini olish uchun xavfsizlik va
qarshi choralarni amalga oshirish;
uzatish — tahdidlarni amalga oshirish bilan bogʻliq xarajatlarni uchinchi shaxslar: sugʻurta
yoki autsorsing kompaniyalariga oʻtkazish;
qabul qilish — xavfsizlik choralarini amalga oshirish xarajatlari tahdidni amalga oshirishdan
mumkin boʻlgan zarardan oshib ketgan taqdirda moliyaviy zaxiralarni shakllantirish;
voz kechish — haddan tashqari xavfli faoliyatdan voz kechish[21].
Tarix
Ilk aloqa vositalarining paydo boʻlishi bilan diplomatlar va harbiy rahbarlar maxfiy yozishmalarni himoya
qilish mexanizmlarini va uni soxtalashtirishga urinishlarni aniqlash usullarini ishlab chiqish zarurligini
anglaganlar. Masalan, eramizdan avvalgi 50-yillarda Yuliy Tsezar tomonidan ixtiro qilingan shifrlash usuli
uning maxfiy xabarlarini begonalar tomonidan oʻqilishiga yoʻl qoʻymaslik uchun ishlab chiqilgan[22].
Maxfiy xabarlar shunday belgilanganki, ular himoyalangan va faqat ishonchli shaxslar tomonidan
qoʻriqlanadigan, xavfsiz xonalarda maxsus qutilarda saqlangan[23].
Pochta xizmatining rivojlanishi natijasida xatlarni qabul qilish, parolini ochish, oʻqish va qayta muhrlash
ishlarini bajarish uchun davlat tashkilotlari paydo boʻla boshlagan. Shu tariqa, Angliyada bu kabi maqsadlar
uchun 1653-yilda „Maxfiy idora“ (inglizcha: Secret Office) tashkil etilgan[24]. Rossiyada xatlarni nazorat
qilish Pyotr I davrida yoʻlga qoʻyilib, 1690-yildan boshlab chet elga yuboriladigan barcha xatlar
Smolenskda nazorat qilingan. XVIII asr oʻrtalarida qabul qiluvchida hech qanday shubha uygʻotmasligi
uchun deyarli barcha xorijiy diplomatlarning yozishmalarini yashirin ravishda „qora kabinetlar“da
nusxalash amaliyoti tizimli xususiyatga ega boʻlgan[25]. Ochilgandan soʻng, xabarning kriptotahlilini
oʻtkazish talab qilingan va buning uchun oʻz davrining taniqli matematiklari „qora kabinetlar“ faoliyatiga
jalb qilingan. Bu borada eng ajoyib natijalarga Kristian Goldbax erishgan. U olti oylik faoliyati davomida
Prussiya va Fransiya vazirlarining 61 ta xatini ochishga muvaffaq boʻlgan. Hatto baʼzi holatlarda, xat
muvaffaqiyatli shifrlangandan soʻng, uning mazmuni oʻrtadagi odamning hujumi natijasida
almashtirilgan[26].
19-asr boshlarida Rossiyada Aleksandr I hokimiyatga kelishi bilan barcha kriptografik faoliyat Tashqi ishlar
vazirligi idorasiga oʻtkazilgan. 1803-yildan boshlab taniqli rus olimi Pavel Lvovich Shilling ushbu boʻlim
xizmatiga jalb qilingan. Kanslerning eng muhim yutuqlaridan biri 1812-yilgi Vatan urushi paytida
Napoleon I ning buyruqlari va yozishmalarini dekodlash boʻlgan[27][28]. XIX asrning oʻrtalarida maxfiy
maʼlumotlarning yanada murakkab tasniflash tizimlari paydo boʻladi, bu esa hukumatlarga axborotni
sezgirligiga qarab boshqarish imkonini beradi. Masalan, Britaniya hukumati 1889-yilda „Davlat sirlari
toʻgʻrisida“gi qonunni chop etishi bilan bunday tasnifni maʼlum darajada qonuniylashtirgan[29].
Birinchi jahon urushi davrida barcha urushayotgan davlatlar tomonidan maʼlumotlarni uzatishda koʻp
darajali tasniflash va shifrlash tizimlari qoʻllanilgan. Bu esa oʻz navbatida shifrlash va kriptoanaliz
boʻlimlarining paydo boʻlishi va intensiv ishlatilishiga yordam bergan. Shunday qilib, 1914-yil oxiriga
kelib, Britaniya Admiralligi boʻlimlaridan biri — „40-xona“ tashkil topgan va u Buyuk Britaniyada
yetakchi kriptografiya organiga aylantirilgan. 1914-yil 26-avgustda nemis yengil kreyseri „Magdeburg“
Finlyandiya koʻrfazining ogʻzida Odensholm oroli yaqinidagi qoyalarga qoʻndirilgan. Ushbu orol oʻsha
davrda Rossiya imperiyasiga tegishli boʻlgan. Nemislar barcha maxfiy hujjatlarni yoʻq qilib, ushbu kemani
portlatishadi. Biroq rossiyalik gʻavvoslar suv ostini tekshirib, signallar kitobining ikki nusxasini topadilar va
ulardan biri inglizlarga topshiriladi. Tez orada yordamchi kemalar, shuningdek, tashqi dengiz kemalari va
unga hamroh boʻlgan dushman kemalari oʻrtasidagi aloqa kodlari kitobini olgan inglizlar nemis dengiz
kodlarini ochishga muvaffaq boʻladi. Kodni buzish dushmanning ushlangan radio xabarlarini oʻqish
imkonini beradi. 1914-yil noyabr oyining oxiridan boshlab „40-xona“ deyarli barcha buyruq va buyruqlarni
uzatuvchi nemis flotining radiogrammalarini muntazam ravishda shifrlashni boshlaydi. Ular birinchi marta
1914-yil 16-dekabrda nemis flotining Britaniya qirgʻoqlariga borishi paytida ushbu shifrni ochishdan
foydalanishgan[30].
Urushlararo davrda shifrlash tizimlari tobora murakkablashgan. Shu bois, maxfiy xabarlarni shifrlash uchun
maxsus mashinalar qoʻllanila boshlangan. Ularning eng mashhuri 1920-yillarda nemis muhandislari
tomonidan yaratilgan „Enigma“dir. 1932-yilda Polsha razvedka shifrlash byurosi „Enigma“ shifrini teskari
muhandislik orqali buzishga muvaffaq boʻlgan[23].
Ikkinchi Jahon urushi davrida Gitlerga qarshi koalitsiya mamlakatlari oʻrtasida almashilgan maʼlumotlar
hajmi milliy tasniflash tizimlari va nazorat qilish hamda boshqarish tartiblarini rasmiy muvofiqlashtirishni
talab qilgan. Murakkab seyflar va omborlarning paydo boʻlishini inobatga olgan holda, hujjatlarni kim
boshqarishi mumkinligini (odatda askarlar emas, balki ofitserlar) va ular qayerda saqlanishi kerakligini
belgilab beruvchi maxfiylik yorliqlari toʻplami ishlab chiqilgan boʻlib, ular faqat hujjatlarni boshqaruvchilar
uchun ochiq boʻlgan. Urushayotgan tomonlar maxfiy hujjatlarni kafolatli yoʻq qilish tartiblarini ishlab
chiqganlar. Baʼzan bunday tartiblarning buzilishi butun urush davomida muhim razvedka yutuqlariga olib
kelgan. Masalan, Germaniyaning U-570 suv osti kemasi ekipaji inglizlar tomonidan qoʻlga kiritilgan
koʻplab maxfiy hujjatlarni yoʻq qila olmagan[31]. Axborot xavfsizligi vositalaridan foydalanishning yorqin
misoli yuqorida aytib oʻtilgan „Enigma“ boʻlib, uning murakkab versiyasi 1938-yilda paydo boʻlgan va
Vermaxt va fashistlar Germaniyasining boshqa xizmatlari tomonidan keng qoʻllanilgan. Buyuk Britaniyada
„Enigma“ yordamida shifrlangan raqib xabarlarining kriptotahlili Alan Turing boshchiligidagi guruh
tomonidan muvaffaqiyatli amalga oshirilgan. Ular tomonidan ishlab chiqilgan „Turing Bombe“ (ing.dan —
„Tyuring bombasi“) Gitlerga qarshi koalitsiyaga katta yordam koʻrsatgan va baʼzida Ittifoqchilarning
gʻalabasida hal qiluvchi rolni bajargan[23]. Amerika Qoʻshma Shtatlarida Tinch okeani operatsiyalari
teatrida radio aloqalarini shifrlash uchun signalchilarni Qoʻshma Shtatlardan tashqarida hech kim
bilmaydigan navaxo hindu qabilasidan yollashadi[32]. Yaponlar hech qachon maʼlumotni himoya qilishning
bu ekzotik usulining kalitini topa olmaganlar[23]. 1930-yillardan boshlab SSSRda mamlakatning yuqori
hokimiyat organlari(shu jumladan Oliy qoʻmondonlik shtab-kvartirasi)ning telefon suhbatlarini
tinglanishidan himoya qilish maqsadida yuqori chastotali signallarning ovozli modulyatsiyasi va ularning
keyingi skrablanishiga asoslangan maxsus aloqa qoʻllanilgan. Biroq, kriptografik himoyaning yoʻqligi
spektrometr yordamida tutilgan signaldagi xabarlarni qayta tiklashga imkon bergan[33].
XXI asrning 2-yarmi va XX asr boshlari telekommunikatsiya, kompyuter texnikasi va dasturiy taʼminot
hamda maʼlumotlarni shifrlashning jadal rivojlanganligi bilan ajralib turgan. Ixcham, kuchli va arzon
hisoblash uskunalarining paydo boʻlishi elektron maʼlumotlarni qayta ishlashni kichik biznes va uy
foydalanuvchilari uchun qulay qildi. Kompyuterlarning Internetga ulanishi osonlashdi, bu esa electron
biznesning jadal rivojlanishiga olib keldi. Bularning barchasi kiberjinoyatlarning kuchayishi va xalqaro
terrorizmning koʻplab holatlari bilan birgalikda kompyuterlar va ular saqlaydigan, qayta ishlanadigan va
uzatadigan maʼlumotlarni himoya qilishning yaxshiroq usullariga ehtiyoj tugʻdirdi. Buning natijasida
„Kompyuter xavfsizligi“ va „Axborot xavfsizligi texnikasi“ kabi ilmiy fanlar hamda axborot tizimlarining
xavfsizligi va ishonchliligini taʼminlashning umumiy maqsadlarini koʻzlagan koʻplab professional
tashkilotlar[34] paydo boʻldi.
Asosiy taʼriflar
Himoya qilinadigan axborot — normativ-huquqiy hujjatlar talablariga yoki axborot egasi tomonidan
belgilangan talablarga muvofiq muhofaza qilinishi kerak boʻlgan axborotdir[35].
Axborot egasi — axborotni mustaqil ravishda yaratgan qonun yoki shartnoma asosida har qanday belgilar
bilan aniqlangan maʼlumotlarga kirishga ruxsat berish yoki cheklash huquqini olgan shaxs. Axborot egalari
quyidagilar boʻlishi mumkin: davlat, yuridik shaxs, jismoniy shaxslar guruhi, alohida jismoniy shaxs[35].
Axborot xavfsizligi — axborot xavfsizligi holati, bunda uning maxfiyligi, yaxlitligi va mavjudligi
taʼminlanadi[35].
Axborot xavfsizligini tashkil etish — axborot xavfsizligiga tahdidlarni aniqlash, axborotni himoya qilish
boʻyicha chora-tadbirlarni rejalashtirish, amalga oshirish va axborotni muhofaza qilish holatini kuzatishga
qaratilgan harakatlar majmui[35].
Axborot xavfsizligi tizimi — axborot xavfsizligi talablariga muvofiq tashkil etilgan va faoliyat yurituvchi
organlar va (yoki) ijrochilar, ular tomonidan qoʻllaniladigan axborotni muhofaza qilish texnologiyalari,
shuningdek axborotni muhofaza qilish ob’ektlari majmui[35].
Tashkilotning axborot xavfsizligi siyosati — bu tashkilot faoliyatini tartibga soluvchi hujjatlashtirilgan
axborot xavfsizligi siyosatlari, protseduralari, amaliyotlari yoki yoʻriqnomalari toʻplami[35].
Turli manbalarda „axborot xavfsizligi“ tushunchasi
Quyida turli manbalardan olingan „axborot xavfsizligi“ atamasining taʼriflari keltirilgan:
Axborotning maxfiyligi, yaxlitligi va mavjudligini saqlash. Eslatma: Haqiqiylik, javobgarlik,
rad etmaslik (inglizcha: non-repudiation) va ishonchlilik kabi boshqa xususiyatlar ham bu
qatorga kiritilishi mumkin [36].
Maxfiylik, yaxlitlik va mavjudlikni taʼminlash maqsadida axborot va axborot tizimlarini
ruxsatsiz kirish, foydalanish, oshkor qilish, buzish, oʻzgartirish yoki yoʻq qilishdan himoya
qilish [1].
Korxonada axborotni ruxsatsiz foydalanuvchilarga oshkor qilishdan (maxfiylik), noqonuniy
oʻzgartirishdan (yaxlitlik) va zarur boʻlganda mavjud boʻlmasligidan (mavjudligi) himoya
qilishni taʼminlash [37].
Tashkilotning intellektual mulkini himoya qilish jarayoni [38].
Xatarlarni boshqarish fanlaridan biri, uning vazifasi biznes uchun axborot tavakkalchiligi
xarajatlarini boshqarishdir [39].
Axborot risklari tegishli nazorat va boshqaruv choralari bilan muvozanatlanganligiga asosli
ishonch [40].
Axborotni himoya qilish, axborotni shaxslarga ruxsatsiz oshkor qilish xavfini
minimallashtirish [41].
Axborotni qayerda joylashgan boʻlishidan qatʼiy nazar (tashkilot perimetri ichida ham,
tashqarisida ham) tahdidlardan himoya qilish uchun turli xil xavfsizlik mexanizmlari (texnik,
tashkiliy, insonga yoʻnaltirilgan, huquqiy)ni ishlab chiqish va amalga oshirishga qaratilgan
koʻp tarmoqli tadqiqot va kasbiy faoliyat sohasi va shunga mos ravishda axborot
yaratiladigan, qayta ishlanadigan, saqlanadigan, uzatiladigan va yoʻq qilinadigan axborot
tizimlari. Xavfsizlik maqsadlari roʻyxati maxfiylik, yaxlitlik, mavjudlik, maxfiylik, haqiqiylik va
asoslilik, rad etmaslik, javobgarlik va tekshiriluvchanlikni oʻz ichiga olishi mumkin [42].
Davlat xavfsizligi uchun mas’ul boʻlgan davlat organlari tomonidan paydo boʻladigan, taʼsir
etuvchi tahdidlar va ushbu tahdidlarga qarshi kurashning muvaffaqiyati oʻrtasidagi
muvozanat jarayoni [43].
Asosiy tamoyillar
1975-yilda Jerri Zalser va Maykl Shreder oʻzlarining „Kompyuter tizimlarida axborot xavfsizligi“[44] nomli
maqolasida birinchi boʻlib xavfsizlikni buzishni uchta asosiy toifaga ajratishni taklif qilishgan. Bular
ma’lumotlarni ruxsatsiz oshkor qilish (inglizcha: unauthorized information release), ma’lumotni ruxsatsiz
oʻzgartirish (inglizcha: Unauthorized information modification) va ma’lumotlarga kirishni ruxsatsiz rad
etish (inglizcha: Unauthorized denial of use). Keyinchalik, bu toifalar quyidagi qisqa nomlar va
standartlashtirilgan ta’riflarni olgan:
Confidentiality ing. „maxfiylik“ - ruxsatsiz shaxslar, sub’ektlar yoki jarayonlar uchun kirish mumkin
boʻlmagan yoki yopiq boʻlgan ma’lumotlarning xususiyati[36];
Integrity ing. „yaxlitlik“ - aktivlarning toʻgʻriligi va toʻliqligini saqlash xususiyati[36];
Availability ing. „mavjudlik“ - bu huquqqa ega boʻlgan vakolatli sub’ektning iltimosiga binoan mavjud
boʻlishi va foydalanishga tayyor boʻlishi kerak boʻlgan ma’lumotlar mulki[36].
Axborot xavfsizligining ushbu uchta asosiy tamoyillari birgalikda CIA triadasi[45] deb ataladi.
1992-yilda IHTT (Iqtisodiy hamkorlik va taraqqiyot tashkiloti) oʻzining xabardorlik, mas’uliyat, qarshilik,
axloq, demokratiya, xavflarni baholash, xavfsizlikni loyihalash va amalga oshirish, xavfsizlikni boshqarish,
qayta koʻrib chiqish[46] kabi toʻqqiz tamoyildan iborat axborot xavfsizligi modelini nashr etdi. 1996-yilda
IHTTning 1992-yildagi nashriga asoslanib, Amerika Milliy Standartlar va Texnologiyalar Instituti (NIST)
kompyuter xavfsizligi haqida quyidagi sakkiz tamoyilni targʻib qilgan. Unga koʻra axborot xavfsizligi:
„tashkilot missiyasini qoʻllab-quvvatlaydi“, „sogʻlom menejmentning ajralmas qismidir“, „xarajat jihatidan
samarali boʻlishi kerak“, „har tomonlama va kompleks yondashuvni talab qiladi“, „ijtimoiy omillar bilan
cheklangan“, „vaqti-vaqti bilan koʻrib chiqilishi talab etiladi“, „kompyuter xavfsizligi boʻyicha
majburiyatlar va mas’uliyatlar aniq ifodalangan boʻlishi lozim“ va „tizim egalari oʻz tashkilotidan tashqari
xavfsizlik uchun javobgardir“[47]. Ushbu modelga asoslanib, 2004-yilda NIST 33 ta axborot xavfsizligi
muhandisligi dizayn tamoyillarini nashr etgan. Ularning har biri uchun amaliy koʻrsatmalar va tavsiyalar
ishlab chiqilgan boʻlib, ular doimiy ravishda nazorat qilinadi va yangilanadi [48].
1998-yilda Donn Parker klassik Markaziy razvedka boshqarmasi triadasini egalik yoki nazorat (inglizcha:
Possession or Control), haqiqiylik (inglizcha: Authenticity) va foydalilik (inglizcha: Utility) kabi yana uch
jihat bilan toʻldirdi[49]. Parker geksadi (ing. hexad – ,,oltita elementdan iborat guruh”) deb ataluvchi ushbu
modelning afzalliklari, axborot xavfsizligi mutaxassislari oʻrtasida muhokama mavzusi hisoblanadi [50].
2009-yilda AQSh Mudofaa vazirligi tizim sezgirligi (inglizcha: System Susceptibility), zaiflikning
mavjudligi (inglizcha: Access to the Flaw) va zaiflikdan foydalanish qobiliyati (inglizcha: Capability to
Exploit the Flaw)[51][52][53] kabi „Kompyuter xavfsizligining uchta asosiy prinsipi“ni nashr ettirdi.
2011-yilda The Open Group xalqaro konsorsiumi O-ISM3[en] CIA klassik triadasi tarkibiy qismlarining
kontseptual ta’rifidan voz kechib, ularning operatsion ta’rifi foydasiga axborot xavfsizligini boshqarish
standartini nashr etdi. O-ISM3ga koʻra, har bir tashkilot uchun triadaning u yoki bu komponentiga mos
keluvchi ustuvor xavfsizlik maqsadlari (maxfiylik), uzoq muddatli xavfsizlik maqsadlari (yaxlitlik), axborot
sifati maqsadlari (yaxlitlik), kirishni boshqarish maqsadlari (mavjudligi) va texnik xavfsizlik maqsadlari
kabi besh toifadan biriga tegishli xavfsizlik maqsadlarining individual toʻplamini aniqlash mumkin [54].
Yuqorida aytib oʻtilgan barcha axborot xavfsizligi modellari ichida CIA klassik triadasi keng tarqalgan
boʻlib, hali hanuz xalqaro professional hamjamiyatda tan olinadi[45]. U milliy[1] va xalqaro
standartlarda[55] mustahkamlangan va CISSP[1] va CISM[36] kabi axborot xavfsizligi boʻyicha asosiy
ta’lim va sertifikatlashtirish dasturlariga kiritilgan. Ba’zi rus mualliflari undan „KYAM (konfidensiallik,
yaxlitlik, mavjudlik) triadasi“ kuzatuv kalkasi sifatida foydalanadilar. „KYAM triadasi“ Adabiyotda uning
barcha uch komponenti: konfidensiallik, yaxlitlik va mavjudlik sinonimik ravishda printsiplar, xavfsizlik
atributlari, xususiyatlar, asosiy jihatlar, axborot mezonlari, tanqidiy xarakteristikalar yoki asosiy tarkibiy
elementlar deb ataladi [5].
Ayni paytda, professional hamjamiyatda Markaziy razvedka boshqarmasi CIA triadasining tez
rivojlanayotgan texnologiyalar va biznes talablariga qanchalik mos kelishi haqida munozaralar davom
etmoqda. Ushbu muhokamalar natijasida xavfsizlik va shaxsiy daxlsizlik oʻrtasidagi munosabatlarni
oʻrnatish, qoʻshimcha tamoyillarni qabul qilish zarurligi toʻgʻrisida tavsiyalar berildi [5].
Ulardan ayrimlari allaqachon Xalqaro standartlashtirish tashkiloti (ISO) standartlariga kiritilgan:
haqqoniylik (inglizcha: authenticity) – ob’ekt yoki resursning e’lon qilingan bilan bir xilligini
kafolatlaydigan xususiyat;
javobgarlik[en] (inglizcha: accountability) – sub’ektning oʻz harakatlari va qarorlari uchun
javobgarligi;
rad etishning imkonsizligi (inglizcha: non-repudiation) — sodir boʻlgan voqea yoki harakatni
va ularning sub’ektlarini ushbu hodisa yoki harakatni va u bilan bogʻliq boʻlgan sub’ektlarni
shubha ostiga qoʻymaslik uchun tasdiqlash qobiliyati;
ishonchlilik (inglizcha: reliability) – bu moʻljallangan xatti-harakatlar va natijalarga muvofiqlik
xususiyatidir [36].
Maxfiylik
Axborotning maxfiyligiga minimal zarur xabardorlik (inglizcha: need-to-know) tamoyiliga asoslanib, unga
eng kam imtiyozlar bilan ruxsat berish orqali erishiladi. Boshqacha qilib aytganda, vakolatli shaxs faqat
yuqorida aytib o‘tilgan shaxsiy daxlsizlikka qarshi jinoyatlar, masalan, shaxsni o‘g‘irlash, shaxsiy hayotning
buzilishi kabi o‘z xizmat vazifalarini bajarishi uchun zarur bo‘lgan ma’lumotlarga ega bo‘lishi talab etiladi.
Maxfiylikni ta’minlashning eng muhim chora-tadbirlaridan biri ma’lumotlarni qat’iy maxfiy yoki ommaviy,
shuningdek, ichki foydalanish uchun mo‘ljallangan ma’lumotlarni tasniflash imkonini beradi. Axborotni
shifrlash konfidensiallikni ta’minlash vositalaridan birining tipik namunasidir [56].
Yaxlitlik
Tashkilotda operatsiyalarni aniq amalga oshirish yoki to‘g‘ri qarorlarni qabul qilish faqat fayllar,
ma’lumotlar bazalari yoki tizimlarda saqlanadigan yoki kompyuter tarmoqlari orqali uzatiladigan ishonchli
ma’lumotlar asosidagina mumkin. Boshqacha qilib aytganda, ma’lumot dastlabki holatiga nisbatan
qasddan, ruxsatsiz yoki tasodifiy o‘zgarishlardan, shuningdek saqlash, uzatish yoki qayta ishlash jarayonida
har qanday buzilishlardan himoyalangan bo‘lishi lozim. Biroq, uning yaxlitligiga kompyuter viruslari va
mantiqiy bombalar, dasturlash xatolari va zararli kod o‘zgarishlari, ma’lumotlarni soxtalashtirish, ruxsatsiz
kirish, orqa eshiklar va boshqalar tahdid solmoqda. Qasddan qilingan harakatlarga qo‘shimcha ravishda,
ko‘p hollarda nozik ma’lumotlarga ruxsatsiz o‘zgartirishlar texnik nosozliklar nazorat yoki professional
tayyorgarlikning etishmasligi tufayli inson xatosidan kelib chiqadi. Masalan, yaxlitlikning buzilishi fayllarni
tasodifiy o‘chirish, noto‘g‘ri qiymatlarni kiritish, sozlamalarni o‘zgartirish, oddiy foydalanuvchilar va tizim
ma’murlari tomonidan noto‘g‘ri buyruqlarni bajarish kabi xatolarga olib keladi[56][57]. Axborotning
yaxlitligini himoya qilish uchun axborot va uni qayta ishlash tizimlaridagi o‘zgarishlarni nazorat qilish va
boshqarish bo‘yicha turli xil choralarni qo‘llash lozim. Bunday chora-tadbirlarning odatiy misoli faqat o‘z
xizmat vazifalarini bajarish uchun bunday ruxsatga muhtoj bo‘lganlarni o‘zgartirish huquqiga ega bo‘lgan
shaxslar doirasini cheklashdir. Shu bilan birga, hokimiyatlarning bo‘linishi tamoyiliga rioya qilish kerak.
Unga ko‘ra ma’lumotlar yoki axborot tizimiga bir shaxs tomonidan o‘zgartirishlar kiritiladi, boshqa shaxs
esa ularni tasdiqlaydi yoki rad etadi. Bundan tashqari, axborot tizimlarining hayotiy siklidagi har qanday
o‘zgarishlar izchil bo‘lishi, axborot yaxlitligini ta’minlash uchun sinovdan o‘tkazilishi va tizimga faqat
to‘g‘ri tuzilgan tranzaksiyalar orqali kiritilishi lozim. Dasturiy ta’minotni yangilash xavfsiz tarzda amalga
oshirilishi kerak. O‘zgarishlarga olib keladigan har qanday harakatlar jurnalga yozilishi talab etiladi [56][57].
Mavjudligi
Ushbu prinsipga ko‘ra, ma’lumotlar kerak bo‘lganda vakolatli shaxslarga taqdim etilishi lozim. Axborot
tizimlarining mavjudligiga ta’sir qiluvchi asosiy omillar bu DoS-hujumlar (xizmatni rad etish Denial of
Servicedan Andoza:Tr ), to‘lov dasturi hujumlari va sabotaj. Bundan tashqari, nazorat yoki kasbiy
tayyorgarlikning yetishmasligi tufayli tasodifan yuzaga keladigan inson xatolari foydalanish imkoniyatiga
xavf soluvchi tahdidlar manbai hisoblanadi va quyidagi oqibatlarni yuzaga keltiradi: ma’lumotlar
bazalaridagi fayllar yoki yozuvlarning tasodifiy o‘chirilishi, noto‘g‘ri tizim sozlamalari; ruxsat etilgan
quvvatdan oshib ketishi yoki uskunalar resurslarining etishmasligi, shuningdek, aloqa tarmoqlarining ishdan
chiqishi natijasida xizmat ko‘rsatishni rad etish; apparat yoki dasturiy ta’minotni yangilashning
muvaffaqiyatsizligi; elektr ta’minotidagi uzilishlar tufayli tizimlarning yopilishi. Tabiiy ofatlar: zilzilalar,
tornadolar, bo‘ronlar, yong‘inlar, toshqinlar va boshqalar ham foydalanish imkoniyatini buzishda muhim rol
o‘ynaydi. Barcha holatlarda oxirgi foydalanuvchi o‘z faoliyati uchun zarur bo‘lgan ma’lumotlarga kirish
huquqini yo‘qotib, majburiy ishlamay qoladi. Tizimning foydalanuvchi uchun muhimligi va uning butun
tashkilotning omon qolishi uchun ahamiyati ishlamay qolish vaqtining ta’sirini aniqlaydi. Noto‘g‘ri
xavfsizlik choralari zararli dasturlar, ma’lumotlarni yo‘q qilish, bosqinchilik yoki DoS hujumlari xavfini
oshiradi. Bunday hodisalar tizimlarni oddiy foydalanuvchilar uchun imkonsiz holga keltirishi mumkin [58].
Rad etishning imkonsizligi
„Rad etmaslik“ atamasi (inglizcha: Non-Repudiation, ba’zan birgalikda Nonrepudiation tarzida ishlatiladi)
birinchi marta 1988–yilda „Ochiq tizimlar o‘zaro aloqasi xavfsizligi“ (ISO 7498-2) xalqaro standartida
paydo bo‘lgan. Odatda anglo-sakson qonunining ikki asosiy talqinga ega bo‘lgan ,,rad etish” atamasiga
qarama-qarshi ma’noda tushuniladi. Bunda masalan, qog‘oz hujjatdagi imzo soxta bo‘lsa yoki asl imzo
noqonuniy (firibgarlik yo‘li bilan) ravishda olingan bo‘lsa, qonuniy asosdagi bitim bo‘yicha majburiyatlarni
bajarishni rad etish tushunchasi taraflarning asosiy huquqini anglatadi [59]. Shu bilan birga, imzoning
haqiqiyligini isbotlash yuki unga tayangan tomon zimmasiga tushadi [60]. Boshqa bir talqin –
majburiyatlardan nohaq voz kechish. Kompyuter xavfsizligi nuqtai nazaridan, bu, masalan, tomonlardan
birining elektron xabarni jo‘natish, qabul qilish, mualliflik qilish yoki mazmunini rad etishi bo‘lishi
mumkin. Axborot xavfsizligi kontekstida „rad etmaslik“ deyilganda ma’lumotlarning yaxlitligi va asl kelib
chiqishini tasdiqlash tushuniladi, soxtalashtirish ehtimoli bundan mustasno. Uchinchi shaxslar tomonidan
istalgan vaqtda tasdiqlanishi yoki identifikatsiya natijasida uni yuqori darajadagi ishonchlilik bilan haqiqiy
deb hisoblash mumkin va uni rad etib bo‘lmaydi [60].
„Axborot xavfsizligi“ tushunchasining qamrovi (tadbiq etilishi)
Axborot xavfsizligi tavsifiga tizimli yondashish axborot xavfsizligining quyidagi tarkibiy qismlarini ajratib
ko‘rsatishni taklif qiladi [61]:
1. Qonunchilik, normativ-huquqiy va ilmiy asos.
2. AT xavfsizligini ta’minlovchi organlarning (bo‘linmalarning) tuzilishi va vazifalari.
3. Tashkiliy, texnik va rejimli choralar va usullar (Axborot xavfsizligi siyosati).
4. Axborot xavfsizligini ta’minlashning dasturiy-apparat usullari va vositalari.
Quyida ushbu bo‘limda axborot xavfsizligining har bir komponenti batafsil ko‘rib chiqiladi.
Har qanday ob’ektning axborot xavfsizligini amalga oshirishdan maqsad ushbu ob’ekt uchun axborot
xavfsizligi tizimini (ISIS) qurishdir. ATga texnik xizmat ko‘rsatish tizimini qurish va samarali ishlashi uchun
quyidagilar zarur:
berilgan himoya ob’ektiga xos axborot xavfsizligi talablarini aniqlash;
milliy va xalqaro qonunchilik talablarini hisobga olish;
shunga o‘xshash AT Ta’minot tizimini yaratish uchun o‘rnatilgan amaliyotlardan (standartlar,
metodologiyalardan) foydalanish;
AT ta’minot tizimini joriy etish va qo‘llab-quvvatlash uchun mas’ul bo‘linmalarni aniqlash;
bo‘limlar o‘rtasida ATga texnik xizmat ko‘rsatish tizimi talablarini amalga oshirishda mas’ul
sohalarini taqsimlash;
axborot xavfsizligi tavakkalchiligini boshqarish asosida muhofaza qilinadigan obyektning
axborot xavfsizligi siyosatini tashkil etuvchi umumiy qoidalarni, texnik va tashkiliy talablarni
belgilash;
tegishli dasturiy, texnik, muhandislik va axborotni himoya qilishning boshqa usullari va
vositalarini joriy etish orqali axborot xavfsizligi siyosati talablarini amalga oshirish;
Axborot xavfsizligini boshqarish (nazorat) tizimini (AXBT) joriy etish;
AXBTdan foydalangan holda, AXBT samaradorligini muntazam monitoringini tashkil etish
va zarur hollarda AXBT va AXBTni ko‘rib chiqish va moslashtirish.
Ishning oxirgi bosqichidan ko‘rinib turibdiki, ATga texnik xizmat ko‘rsatish tizimini joriy etish jarayoni
uzluksiz va siklik ravishda (har bir qayta ko‘rib chiqilgandan so‘ng) birinchi bosqichga qaytadi va
qolganlarini ketma-ket takrorlaydi. Axborotni muhofaza qilish va doimiy yangilanib turadigan axborot
tizimining yangi talablariga javob berish vazifalarini samarali bajarish uchun ATga texnik xizmat ko‘rsatish
tizimi shunday sozlanadi.
Tashkiliy, texnik va dasturiy chora-tadbirlar hamda usullar
Muayyan axborot tizimining axborotni himoya qilish texnologiyasini tavsiflash uchun odatda axborot
xavfsizligi siyosati yoki ko‘rib chiqilayotgan axborot tizimining xavfsizlik siyosati yaratiladi. Tashkiliy
xavfsizlik siyosati (inglizcha: Organizational security policy) – tashkilot faoliyatida axborot xavfsizligi
sohasidagi hujjatlashtirilgan qoidalar, tartiblar, amaliyotlar yoki ko‘rsatmalar to‘plami.
Axborot va telekommunikatsiya texnologiyalari xavfsizligi siyosati (inglizcha: ІСТ security policy) –
tashkilot va uning axborot va telekommunikatsiya texnologiyalari ichida aktivlarni, shu jumladan muhim
ma’lumotlarni boshqarish, himoya qilish va tarqatish usullarini belgilaydigan qoidalar, ko‘rsatmalar,
o‘rnatilgan amaliyotlar.
Axborot xavfsizligi siyosatini shakllantirishda axborot tizimini himoya qilishning quyidagi yo‘nalishlarini
alohida ko‘rib chiqish tavsiya etiladi [61]:
Axborot tizimi ob’ektlarini himoya qilish;
Jarayonlar, protseduralar va axborotni qayta ishlash dasturlarini himoya qilish;
Aloqa kanallari (akustik, infraqizil, simli, radiokanallar va boshqalar)ni himoya qilish, shu
jumladan mahalliy tarmoqlarda axborotni himoya qilish;
Yon elektromagnit nurlanishni bostirish;
Himoya tizimini boshqarish.
Shu bilan birga, yuqoridagi sohalarning har biri uchun axborotni himoya qilish vositalarini yaratishda
axborot xavfsizligi siyosati quyidagi bosqichlarni tavsiflashi talab etiladi:
1. Himoya qilinadigan axborot va texnik resurslarni belgilash;
2. Potensial tahdidlarning to‘liq to‘plami va ma’lumotlarning sizib chiqish kanallarini aniqlash;
3. Turli xil tahdidlar va sizib chiqish kanallari mavjud bo‘lganda ma’lumotlarning zaiflik darajasi
va xavflarini baholashni o‘tkazish;
4. Himoya tizimiga qo‘yiladigan talablarni aniqlash;
5. Axborot xavfsizligi vositalari va ularning xususiyatlarini tanlashni amalga oshirish;
6. Tanlangan himoya choralari, usullari va vositalarini amalga oshirish va ulardan
foydalanishni tashkil etish;
7. Butunlikni nazorat qilish va himoya qilish tizimini boshqarishni amalga oshirish.
Axborot xavfsizligi siyosati axborot tizimiga qo‘yiladigan hujjatlashtirilgan talablar shaklida tuziladi.
Hujjatlar, odatda, himoya jarayonining tavsifi (tafsiloti) darajalariga ko‘ra darajalarga bo‘linadi. Axborot
xavfsizligi siyosatining yuqori darajadagi hujjatlari tashkilotning axborot xavfsizligi sohasidagi faoliyatiga
nisbatan pozitsiyasini, ushbu sohadagi davlat, xalqaro talablar va standartlarga rioya qilish istagini aks
ettiradi. Bunday hujjatlar „AT kontseptsiyasi“, „AT boshqaruvi reglamenti“, „AT siyosati“, „AT texnik
standarti“ va boshqa tashqi va ichki foydalanish deb nomlanishi mumkin. GOST R ISO/IEC 177992005ga muvofiq, axborot xavfsizligi siyosatining yuqori darajasida quyidagi hujjatlar tuzilishi kerak: „AT
xavfsizligi kontseptsiyasi“, „Axborot tizimi resurslaridan maqbul foydalanish qoidalari“, „Biznesning
uzluksizlik rejasi“.
O‘rta darajaga axborot xavfsizligining ayrim jihatlari bilan bog‘liq hujjatlar kiradi. Bu axborot xavfsizligi
vositalarini yaratish va ulardan foydalanish, shuningdek, axborot xavfsizligining ma’lum bir sohasida
tashkilotning axborot va biznes jarayonlarini tashkil etish talablaridir. Bunga misol qilib ma’lumotlar
xavfsizligi, aloqa xavfsizligi, kriptografik himoya vositalaridan foydalanish, kontentni filtrlash va
boshqalarni keltirish mumkin. Bunday hujjatlar odatda tashkilotning ichki texnik va tashkiliy siyosati
(standartlari) shaklida nashr etiladi. O‘rta darajadagi axborot xavfsizligi siyosatining barcha hujjatlari
maxfiy hisoblanadi.
Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot
xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.
Axborot xavfsizligi tizimining dasturiy va texnik vositalari
Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy qo‘llanmalar, shaxsiy axborot
xavfsizligi xizmatlaridan foydalanish bo‘yicha ko‘rsatmalarni o‘z ichiga oladi.
Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif qilingan[61]:
Ruxsatsiz kirishdan himoya qilish vositalari:
Avtorizatsiya vositalari;
Majburiy kirishni boshqarish[62];
Tanlangan kirishni boshqarish;
Rol asosida kirishni boshqarish;
Jurnallar (shuningdek, Audit deb hamataladi).
Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).
Tarmoq monitoringi tizimlari:
Intrusionlarni aniqlash va oldini olish tizimlari (IDS/IPS).
Maxfiy ma’lumotlar oqismining oldini olish tizimlari (DLP-tizimlari).
Protokol analizatorlari.
Antivirus vositalari.
Tarmoqli ekranlar.
Kriptografik vositalar:
Shifrlash;
Raqamli imzo.
Zaxira tizimlari.
Uzluksiz quvvat tizimlari:
Uzluksiz quvvat manbalari;
Ortiqcha yuk;
Voltaj generatorlari.
Autentifikatsiya tizimlari:
Parol;
Kirish kaliti (jismoniy yoki elektron);
Sertifikat;
Biometrik.
Ishlarni buzish va jihozlarni o‘g‘irlashning oldini olish vositalari.
Binolarga kirishni nazorat qilish vositalari.
Himoya tizimlarini tahlil qilish uchun vositalar:
Antivirus.
Axborotlashtirish ob’ektlarini tashkiliy himoya qilish
Tashkiliy himoya – ishlab chiqarish faoliyatini va ijrochilarning o‘zaro munosabatlarini qonuniy asosda
tartibga solish tizimi bo‘lib, bu maxfiy ma’lumotlarga noqonuniy egalik qilishni, ichki va tashqi
tahdidlarning namoyon bo‘lishini istisno qiladigan yoki sezilarli darajada to‘xtatuvchi tizimdir. Tashkiliy
himoya quyidagilarni ta’minlaydi:
xavfsizlikni tashkil etish, rejim, xodimlar va hujjatlar bilan ishlash;
tadbirkorlik faoliyati uchun ichki va tashqi tahdidlarni aniqlashda texnik xavfsizlik uskunalari
va axborot-tahliliy faoliyatdan foydalanish [63].
Asosiy tashkiliy faoliyatga quyidagilar kiradi:
Rejim va himoyani tashkil etish. Ularning maqsadi shaxslarning hududga va binolariga
ruxsatsiz, yashirin kirish imkoniyatini yo‘q qilishdir;
Xodimlarni tanlash va joylashtirishni nazarda tutuvchi xodimlar bilan ishlashni tashkil etish,
shu jumladan xodimlar bilan tanishish, ularni o‘rganish, maxfiy axborot bilan ishlash
qoidalariga o‘rgatish, axborotni muhofaza qilish qoidalarini buzganlik uchun javobgarlik
choralari bilan tanishtirish va boshqalar;
Hujjatlar va hujjatlashtirilgan axborot bilan ishlashni tashkil etish, shu jumladan hujjatlar va
maxfiy axborot tashuvchilarni ishlab chiqish va ulardan foydalanishni tashkil etish, ularni
hisobga olish, rasmiylashtirish, qaytarish, saqlash va yo‘q qilish;
Maxfiy ma’lumotlarni yig‘ish, qayta ishlash, to‘plash va saqlash uchun texnik vositalardan
foydalanishni tashkil etish;
maxfiy axborotga nisbatan ichki va tashqi tahdidlarni tahlil qilish va uning himoyasini
ta’minlash chora-tadbirlarini ishlab chiqish bo‘yicha ishlarni tashkil etish;
xodimlarning maxfiy ma’lumotlar bilan ishlashi, hujjatlar va texnik vositalarni hisobga olish,
saqlash va yo‘q qilish tartibi ustidan tizimli nazoratni amalga oshirish bo‘yicha ishlarni
tashkil etish.
Barcha holatlarda, tashkiliy chora-tadbirlar ushbu tashkilot uchun ma’lum sharoitlarda axborot xavfsizligini
ta’minlashga qaratilgan o‘ziga xos shakl va mazmunga ega.
Korxonaning axborot xavfsizligi
Korxona axborot xavfsizligi – bu uning maxfiyligi, yaxlitligi, haqiqiyligi va mavjudligini ta’minlaydigan
korporativ ma’lumotlar xavfsizligi holati. Korxona axborot xavfsizligi tizimlarining vazifalari har xil:
ommaviy axborot vositalarida ma’lumotlarning xavfsiz saqlanishini ta’minlash;
aloqa kanallari orqali uzatiladigan ma’lumotlarni himoya qilish;
zaxira nusxalari, falokatlarni tiklash va boshqalar.
Korxonaning axborot xavfsizligini ta’minlash faqat himoyaga tizimli va kompleks yondashuv orqali amalga
oshiriladi va UPS ma’lumotlar xavfsizligiga ta’sir qiluvchi va yil davomida amalga oshiriladigan barcha
muhim voqealar va shartlarning doimiy to‘liq monitoringini o‘z ichiga oladi [64].
Korxonaning axborot xavfsizligiga korporativ ma’lumotlarni himoya qilishga qaratilgan tashkiliy va texnik
chora-tadbirlarning butun majmuasi orqali erishiladi. Tashkiliy chora-tadbirlarga har xil turdagi axborotlar,
AT xizmatlari, xavfsizlik vositalari va boshqalar bilan ishlash bo‘yicha hujjatlashtirilgan tartib va qoidalar
kiradi. Texnik chora-tadbirlarga apparat va dasturiy ta’minotdan foydalanishni nazorat qilish, oqish
monitoringi, virusga qarshi himoya, xavfsizlik devori, elektromagnit nurlanishdan himoya qilish va
boshqalar kiradi [65].
Axborot xavfsizligini ta’minlash doimiy jarayon bo‘lib, besh asosiy bosqichni o‘z ichiga oladi:
1. xarajatlar smetasi;
2. xavfsizlik siyosatini ishlab chiqish;
3. siyosatni amalga oshirish;
4. mutaxassislarni malakali tayyorlash;
5. audit.
Axborot xavfsizligini ta’minlash jarayoni mulkni baholashdan, tashkilotning axborot aktivlarini, ushbu
ma’lumotlarga tahdid soluvchi omillarni va uning zaifligini, tashkilot uchun umumiy xavfning ahamiyatini
aniqlashdan boshlanadi. Mulkga qarab, ushbu aktivlarni himoya qilish dasturi tuziladi. Xavf aniqlangan va
miqdori ochiqlangandan so‘ng ushbu xavfni kamaytirishning iqtisodiy jihatdan samarali qarshi choralari
tanlanishi mumkin.
Axborot xavfsizligini baholashning maqsadlari:
axborot aktivlarining qiymatini aniqlash;
ushbu aktivlarning maxfiyligi, yaxlitligi, mavjudligi va/yoki identifikatsiya qilinishiga
tahdidlarni aniqlash;
tashkilotning amaliy faoliyatidagi mavjud nnuqsonlarni aniqlash;
tashkilotning axborot aktivlari bilan bog‘liq risklarini aniqlash;
mavjud ish amaliyotida xavflar hajmini maqbul darajada kamaytiradigan o‘zgarishlarni taklif
qilish;
xavfsizlik loyihasini yaratish uchun asos yaratish.
Baholashning beshta asosiy turi:
Tizim darajasida zaifliklarni baholash. Kompyuter tizimlari ma’lum zaifliklar va oddiy
muvofiqlik siyosatlari uchun tekshiriladi.
Tarmoq darajasida baholash. Mavjud kompyuter tarmog‘i va axborot infratuzilmasi
baholanadi, xavf zonalari aniqlanadi.
Tashkilot ichidagi xavflarni umumiy baholash. Uning axborot aktivlariga tahdidlarni aniqlash
uchun butun tashkilot tahlil qilinadi.
Audit. Tashkilotning mavjud siyosati va ushbu siyosatga muvofiqligi tekshiriladi.
Penetratsiya testi. Tashkilotning simulyatsiya qilingan kirishga javob berish qobiliyati
o‘rganiladi.
Baholash jarayonida quyidagi hujjatlar tekshirilishi lozim:
Xavfsizlik siyosati;
axborot siyosati;
zaxira siyosati va protseduralari;
ishchining ma’lumotnomasi yoki ko‘rsatmalari;
ishchilarni yollash va ishdan bo‘shatish tartibi;
dasturiy ta’minotni ishlab chiqish metodologiyasi;
dasturiy ta’minotni o‘zgartirish metodologiyasi;
telekommunikatsiya siyosati;
tarmoq diagrammalari.
Yuqoridagi siyosat va protseduralar amalga oshirilgandan so‘ng, har birining tegishliligi, qonuniyligi,
to‘liqligi va dolzarbligi tekshiriladi, chunki siyosat va protseduralar hujjatda belgilangan maqsadga muvofiq
bo‘lishi kerak.
Baholashdan so‘ng kutilayotgan xavfsizlik holati va zarur ishlar ro‘yxatini belgilaydigan siyosat va
tartiblarni ishlab chiqish lozim. Chunki, hech qanday siyosat bo‘lmasa, tashkilot samarali UPS dasturini
ishlab chiqadigan va amalga oshiradigan reja ham bo‘lmaydi.
Axborot xafsizligini ta’minlashda quyidagi siyosat va tartiblarni ishlab chiqish lozim:
Axborot siyosati. Maxfiy ma’lumotlarni va ularni qayta ishlash, saqlash, uzatish va yo‘q
qilish usullarini oshkor qiladi.
Xavfsizlik siyosati. Turli xil kompyuter tizimlari uchun texnik boshqaruvni belgilaydi.
Foydalanish siyosati. Kompyuter tizimlaridan foydalanish bo‘yicha kompaniya siyosatini
ta’minlaydi.
Zaxira siyosati. Kompyuter tizimlarining zaxira nusxasini yaratish uchun talablarni
belgilaydi.
Hisobni boshqarish tartib-qoidalari. Foydalanuvchilar qo‘shilgan yoki o‘chirilganda
bajarilishi kerak bo‘lgan amallarni belgilaydi.
Favqulodda vaziyatlar rejasi. Tabiiy ofatlar yoki inson tomonidan sodir etilgan
hodisalardan keyin kompaniya jihozlarini tiklash bo‘yicha harakatlarni ta’minlaydi.
Xavfsizlik siyosatini amalga oshirish texnik vositalar va to‘g‘ridan-to‘g‘ri nazorat qilish vositalarini amalga
oshirishdan, shuningdek, xavfsizlik xodimlarini tanlashdan iborat. Xavfsizlik bo‘limi doirasidan tashqarida
tizimlar konfiguratsiyasiga o‘zgartirishlar kiritish talab qilinishi mumkin, shuning uchun tizim va tarmoq
ma’murlari xavfsizlik dasturini amalga oshirish ishlarida ishtirok etishlari kerak.
Har qanday yangi xavfsizlik tizimlaridan foydalanganda malakali xodimlar mavjud bo‘lishi kerak. Tashkilot
o‘z xodimlarining ishtirokisiz maxfiy ma’lumotlarning himoyasini ta’minlay olmaydi. Vakolatli kasbiy
qayta tayyorlash bu xodimlarni zarur ma’lumotlar bilan ta’minlash mexanizmi hisoblanadi.
Xodimlar xavfsizlik masalalari nima uchun juda muhim ekanligini bilishlari va maxfiy ma’lumotlarni
aniqlash va himoya qilish uchun o‘qitilishi kerak.
Audit axborot xavfsizligini joriy etish jarayonining oxirgi bosqichidir. U tashkilot ichidagi axborot
xavfsizligi holatini, tegishli siyosat va tartiblarni yaratishni, texnik nazoratni faollashtirishni va xodimlarni
tayyorlashni belgilaydi[66].
Manbalar
1. NIST IR 7298 r2 2013, ss. 94–95.
2. Andress 2014.
3. NIST IR 7298 r2 2013, s. 164.
4. Schlienger 2003, ss. 46–52.
5. Samonas 2014, ss. 21–45.
6. Jacques 2016.
7. Pettey 2017.
8. Forni 2017.
9. Frost & Sullivan 2017, s. 2.
10. Olavsrud 2017.
11. Europol 2017.
12. Stewart 2015, ss. 882–883.
13. Ramzan 2010, s. 433.
14. Van der Merwe 2005, ss. 249–254.
15. Dawes 2012.
16. Provos 2012.
17. Dubal.
18. Hoofnagle 2007.
19. Armstrong 2017.
20. Gordon & Loeb 2002.
21. Stewart 2015, ss. 72.
22. Светоний Транквилл 1964.
23. Сингх 2009.
24. Johnson 1998.
25. Измозик 2015.
26. Соболева 2002.
27. Токарева 2012.
28. Носов 2002.
29. Hastedt 2011, s. 589—590.
30. Ежов 2007.
31. Sebag–Montefiore 2011, s. 162.
32. Жельников 1996.
33. Анин 2000.
34. De Nardis 2007, ss. 681–704.
35. . Организация защиты конфиденциальной информации в коммерческой структуре
(http://www.inside-zi.ru/pages/1_2015/) (ru). Защита информации. Инсайд, 2015.
36. ГОСТ Р ИСО/МЭК 27000-2012.
37. ISACA.
38. Pipkin 2000.
39. Blakley, McDermott & Geer 2001.
40. Anderson 2003.
41. Venter & Eloff 2003.
42. Cherdantseva 2013.
43. Шушков и Сергеев 2016.
44. Saltzer & Schroeder 1975.
45. Лукацкий 2012.
46. OECD 2015, ss. 9–11.
47. NIST SP 800-14 1996, ss. 4–10.
48. NIST SP 800-160v1 2016, s. 205.
49. Parker 1998.
50. Slade.
51. Hughes & Cybenko 2013.
52. TENS.
53. Teplow.
54. O-ISM3v2 2017.
55. Gordon 2015, s. 8.
56. Gordon 2015, s. 7.
57. Stewart 2015, s. 5.
58. Gordon 2015, s. 7—8.
59. McCarthy 2006, s. 65.
60. McCullagh & Caelli 2000.
61. Домарев В. В. „Безопасность информационных технологий. Системный подход“ (http://
www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=122
1) (ru) (deadlink). www.security.ukrnet.net. 10-may 2013-yilda asl nusxadan arxivlandi (http
s://web.archive.org/web/20130510182211/http://www.security.ukrnet.net/modules/sections/in
dex.php?op=viewarticle&artid=1221). Qaraldi: 10-may 2013-yil. — К.: ООО ТИД Диа Софт,
2004. — 992 с.
62. „Информационная безопасность в современных системах управления базами данных“
(http://www.compress.ru/article.aspx?id=10099&iid=419) (ru). www.compress.ru. 7-may
2019-yilda asl nusxadan arxivlandi (https://web.archive.org/web/20190507152359/https://co
mpress.ru/article.aspx%3Fid%3D10099%26iid%3D419). Qaraldi: 13-yanvar 2019-yil.
63. „Организационная безопасность на предприятии: бумажная и практическая
безопасность“ (http://inforsec.ru/business-security/org-security/85-paper-sec-practice-se
c) (ru). inforsec.ru. 25-aprel 2014-yilda asl nusxadan arxivlandi (https://web.archive.org/web/
20140425010827/http://inforsec.ru/business-security/org-security/85-paper-sec-practice-se
c). Qaraldi: 13-yanvar 2019-yil.
64. Русинов С. Обеспечение информационной безопасности предприятий торговли,
торговых сетей и их инфраструктуры: http://www.itsec.ru/articles2/Inf_security/infosec-torg
65. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и
защита информации 3-е изд. Учеб. Пособие для студ. высш. учеб. заведений/
В. П. Мельников, С. А. Клейменов, А. М. Петраков.-М.:2008. — 336 с.
66. Обеспечение информационной безопасности: http://it-sektor.ru/obespechenieinformatscionnoyi-bezopasnosti.html Wayback Machine saytida arxivlandi (https://web.archiv
e.org/web/20160407153803/http://it-sektor.ru/obespechenie-informatscionnoyi-bezopasnost
i.html) (2016-04-07).
Adabiyotlar
. Жизнь двенадцати цезарей (http://www.e-reading.ws/book.php?book=57260). М.:
publisher «Наука», 1964.
Сингх, Саймон. Книга шифров. Тайная история шифров и их расшифровки. М.:
Издание «АСТ», 2009. ISBN 5-17-038477-7.
. «Черные кабинеты». М.: Новое литературное обозрение, 2015.
ISBN 978-5-4448-0392-9.
Жельников В.:Криптография от папируса до компьютера
Анин Б.Ю.: Радиоэлектронный шпионаж
. Краткий исторический очерк развития криптографии (https://istina.msu.ru/publicatio
ns/article/5319340/). Московский университет и развитие криптографии в России, МГУ,
17-18 октября, 2002, 2002.
. Об истории криптографии в России (http://journals.tsu.ru/pdm/&journal_page=archive&
id=525&article_id=720). Прикладная дискретная математика, 2012.
. Триада \"конфиденциальность, целостность, доступность\": откуда она? (https://w
ww.securitylab.ru/blog/personal/Business_without_danger/24456.php). SecurityLab.ru,
2012.
. Актуальные вопросы научной и научно-педагогической деятельности молодых
ученых. М.: ИИУ МГОУ, 2016. ISBN 978-5-7017-2532-2.
. Один из мифов о крейсере «Магдебург» (http://www.august-1914.ru/ejov.html). Вопросы
истории, 2007. Wayback Machine saytida arxivlandi (https://web.archive.org/web/20130926
212117/http://www.august-1914.ru/ejov.html) (2013-09-26).
„05.13.19 Методы и системы защиты информации, информационная безопасность“ (htt
p://vak.ed.gov.ru/documents/10179/2327517/05.13.19+%D0%9C%D0%B5%D1%82%D0%
BE%D0%B4%D1%8B%20%D0%B8%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%
D0%BC%D1%8B%20%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B%20%D0%
B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B
8%2C%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%
D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F%20.doc/7fd97eb2-ad32-440e-b6
a4-311e0b55a664) (DOC). Высшая аттестационная комиссия (ВАК). 2-avgust 2018yilda asl nusxadan arxivlandi (https://web.archive.org/web/20180802231732/http://vak.ed.go
v.ru/documents/10179/2327517/05.13.19+%D0%9C%D0%B5%D1%82%D0%BE%D0%B
4%D1%8B%20%D0%B8%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D
1%8B%20%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B%20%D0%B8%D0%B
D%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8,%20%D0%
B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B
E%D0%BD%D0%BD%D0%B0%D1%8F%20.doc/7fd97eb2-ad32-440e-b6a4-311e0b55a66
4). Qaraldi: 19-iyul 2018-yil.
„ГОСТ Р ИСО/МЭК 27000-2012“ (http://protect.gost.ru/v.aspx?control=8&baseC=6&page=0
&month=1&year=-1&search=%D0%93%D0%9E%D0%A1%D0%A2%20%D0%A0%20%D
0%98%D0%A1%D0%9E/%D0%9C%D0%AD%D0%9A%2027000-2012&RegNum=1&Doc
OnPageCount=15&id=175549). Информационная технология (ИТ). Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
(PDF). Росстандарт. Qaraldi: 20-iyul 2018-yil.
Xorijiy tillarida
Andress, J.. The Basics of Information Security: Understanding the Fundamentals of InfoSec
in Theory and Practice (https://books.google.com/books?id=9NI0AwAAQBAJ&pg=PA6).
Syngress, 2014. ISBN 9780128008126.
Stewart, James Michael; Mike, Chapple; Darril, Gibson. CISSP® Certified Information
Systems Security Professional Study Guide (https://archive.org/details/cisspcertifiedin0000st
ew_d2w0). Canada: Seventh Edition,John Wiley & Sons, Inc., 2015.
ISBN 978-1-119-04271-6.
Moore, Robert. Cybercrime Investigating High Technology Computer Crime (https://archive.o
rg/details/cybercrimeinvest0000moor_v9k0). Boston: 2nd ed., 2011. ISBN 9781437755824.
Ramzan, Zulfikar. Handbook of Information and Communication Security (https://books.goog
le.com/books?id=I-9P1EkTkigC&pg=PA433). L.: Springer Science & Business Media, 2010.
ISBN 978-3-642-04117-4.
Johnson, John. The Evolution of British Sigint 1653–1939 (http://a.co/9RugO7f). Her
Majesty's Stationary Office, 1998.
Соболева, Т. А.. Введение. История шифровального дела в России (https://www.worldc
at.org/oclc/50849821). М.: ОЛМА-Пресс, 2002. ISBN 5224036348.
Spies, Wiretaps, and Secret Operations An Encyclopedia of American Espionage (https://bo
oks.google.com/books?id=A8WoNp2vI-cC&pg=PA589). Santa Barbara, CA, USA: ABCCLIO, LLC, 2011. ISBN 978-1-85109-807-1.
Sebag–Montefiore, Hugh. Enigma The Battle for the Code. Orion, 2011.
ISBN 9781780221236.
Pipkin, Donald L.. Information Security Protecting the Global Enterprise (https://books.googl
e.com/books?id=HTtkQgAACAAJ). N. Y.: Prentice Hall PTR, 2000. ISBN 9780130173232.
Official (ISC)²® Guide to the CISSP® CBK® Fourth Edition (https://archive.org/details/official
isc2guid0000unse_q3u1). Boca Raton, FL, USA: CRC Press, 2015.
ISBN 978-1-4822-6275-9.
Parker, Donn B.. Fighting Computer Crime A New Framework for Protecting Information (http
s://books.google.com/books?id=k_u_QgAACAAJ). N. Y.: John Wiley & Sons, 1998.
ISBN 0-471-16378-3.
Krutz, Ronald L.; Vines, Russell Dean. The CISM Prep Guide Mastering the Five Domains of
Information Security Management (https://books.google.com/books?id=7K_NCwAAQBAJ).
N. Y.: John Wiley & Sons, 2003. ISBN 0-471-45598-9.
McCarthy, C.. Handbook of Information Security, Threats, Vulnerabilities, Prevention,
Detection, and Management (https://books.google.com/books?id=0RfANAwOUdIC). John
Wiley & Sons, 2006. ISBN 9780470051214.
Schlienger, Thomas; Teufel, Stephanie. Information security culture From analysis to change
(http://icsa.cs.up.ac.za/issa/2003/Publications/025.pdf). Pretoria, South Africa: South African
Computer Journal, 2003.
Samonas, S.; Coss, D.. The CIA Strikes Back Redefining Confidentiality, Integrity and
Availability in Security (http://www.jissec.org/Contents/V10/N3/V10N3-Samonas.html).
Washington DC, USA: Information Institute Publishing, 2014.
Jacques, R. J. „The True Costs of Paper-Based Business“ (http://www.fulcrumapp.com/blog/
cost-of-paper/) (en). Fulcrum Blog. Spatial Networks, Inc (13-yanvar 2016-yil). Qaraldi: 27iyun 2018-yil.
Pettey, Christy „Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are
Crucial to Measuring Success“ (https://www.gartner.com/newsroom/id/3810771) (en).
ORLANDO, FL, USA: Gartner, Inc. (2-oktabr 2017-yil). Qaraldi: 27-iyun 2018-yil.
Forni, Amy Ann; van der Meulen, Rob „Gartner Survey Shows 42 Percent of CEOs Have
Begun Digital Business Transformation“ (https://www.gartner.com/newsroom/id/368901
7) (en). Egham, U.K.: Gartner, Inc. (24-aprel 2017-yil). Qaraldi: 27-iyun 2018-yil.
„2017 Global Information Security Workforce Study“ (https://www.isc2.org/-/media/6A274742
AC67400E9ADB857885D4179F.ashx). Benchmarking Workforce Capacity and Response to Cyber
Risk — EMEA (en) (PDF). (ISC)². Frost & Sullivan (2017). Qaraldi: 27-iyun 2018-yil.
„Crime in the age of technology“ (https://www.europol.europa.eu/newsroom/news/crime-in-a
ge-of-technology-%E2%80%93-europol%E2%80%99s-serious-and-organised-crime-threatassessment-2017). Europol’s serious and organised crime threat assessment 2017 (en). Europol (9mart 2017-yil). Qaraldi: 27-iyun 2018-yil.
Olavsrud, Thor „5 information security threats that will dominate 2018“ (https://www.cio.com/a
rticle/3237784/security/5-information-security-threats-that-will-dominate-2018.html) (en).
„CIO.com“ (https://www.cio.com). Qaraldi: 13-yanvar 2019-yil.
. IDG Communications, Inc. (20-noyabr 2017-yil). 27-iyun 2018-yilda asl nusxadan arxivlandi (https://we
b.archive.org/web/20180627202630/https://www.cio.com/article/3237784/security/5-information-security-t
hreats-that-will-dominate-2018.html). Qaraldi: 27-iyun 2018-yil.
Земская, Е. А. „Особенности русской речи эмигрантов четвертой волны“ (http://gramota.r
u/biblio/magazines/gramota/28_520). Грамота.ру (9-aprel 2005-yil). Qaraldi: 27-iyun 2018yil.
Hoofnagle, Chris Jay „Identity Theft“ (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=9
69441). Making the Known Unknowns Known (en). Social Science Research Network. Berkeley,
CA, USA: University of California (13-mart 2007-yil). Qaraldi: 4-iyul 2018-yil.
Armstrong, Drew „My Three Years in Identity Theft Hell“ (https://www.bloomberg.com/news/a
rticles/2017-09-13/my-three-years-in-identity-theft-hell) (en). Bloomberg (17-sentabr 2017yil). 19-sentabr 2017-yilda asl nusxadan arxivlandi (https://web.archive.org/web/2017091914
2519/https://www.bloomberg.com/news/articles/2017-09-13/my-three-years-in-identity-theft-h
ell). Qaraldi: 4-iyul 2018-yil.
Gorodyansky, David „Internet privacy and security“ (https://www.wired.com/insights/2013/10/i
nternet-privacy-and-security-a-shared-responsibility/). A shared responsibility (en). wired.com (10
2013). Qaraldi: 4-iyul 2018-yil.
Bob Blakley, Ellen McDermott, Dan Geer. Proceedings of the 2001 workshop on New
security paradigms (https://dl.acm.org/citation.cfm?id=508187). N. Y.: ACM, 2001 — 97—104
bet. ISBN 1-58113-457-6.
Anderson, J. M.. Why we need a new definition of information security. Computers &
Security, 2003 — 308–313 bet. DOI:10.1016/S0167-4048(03)00407-3 (https://dx.doi.org/10.1
016/S0167-4048(03)00407-3).
Venter, H. S.; Eloff, J. H. P.. A taxonomy for information security technologies. Computers &
Security, 2003 — 299–307 bet. DOI:10.1016/S0167-4048(03)00406-1 (https://dx.doi.org/10.1
016/S0167-4048(03)00406-1).
The History of Information Security A Comprehensive Handbook. Elsevier, 2007.
ISBN 9780080550589.
Cherdantseva, Y.; Hilton, J.. Organizational, Legal, and Technological Dimensions of
Information System Administrator. IGI Global Publishing, 2013.
Jerry Saltzer, H. Saltzer; Schroeder, Michael D.. The Protection of Information in Computer
Systems (https://www.acsac.org/secshelf/papers/protection_information.pdf). USA: IEEE,
1975 — 1278—1308 bet. Wayback Machine saytida arxivlandi (https://web.archive.org/web/
20180906161725/https://www.acsac.org/secshelf/papers/protection_information.pdf) (201809-06).
Hughes, J.; Cybenko, G.. Quantitative Metrics and Risk Assessment The Three Tenets
Model of Cybersecurity (https://www.acsac.org/secshelf/papers/protection_information.pdf).
Ottawa, Canada: Talent First Network (Carleton University), 2013 — 15—24 bet. Wayback
Machine saytida arxivlandi (https://web.archive.org/web/20180906161725/https://www.acsa
c.org/secshelf/papers/protection_information.pdf) (2018-09-06).
McCullagh, Adrian; Caelli, William. Non-Repudiation in the Digital Environment (http://firstmo
nday.org/ojs/index.php/fm/article/view/778/687) (en). Chicago, USA: First Monday, 2000.
NIST Interagency or Internal Report 7298 Glossary of Key Information Security Terms (http
s://dx.doi.org/10.6028/NIST.IR.7298r2) (en). Gaithersburg, MD, USA: Revision 2, 2013.
NIST Special Publication 800-14 Generally Accepted Principles and Practices for Securing
Information Technology Systems (http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=890
092) (en). Gaithersburg, MD, USA: National Institute of Standards and Technology, 1996.
NIST Special Publication 800-160 Systems Security Engineering: Considerations for a
Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems (https://doi.org/
10.6028/NIST.SP.800-160v1) (en). Gaithersburg, MD, USA: National Institute of Standards
and Technology, 2016.
OECD Guidelines for the Security of Information Systems and Networks Towards a Culture
of Security (http://www.oecd.org/internet/ieconomy/15582260.pdf). P.: OECD Publications,
2002.
Digital Security Risk Management for Economic and Social Prosperity OECD
Recommendation and Companion Document (https://dx.doi.org/10.1787/9789264245471-e
n) (en). P.: OECD Publishing, 2015.
Open Group Standard Open Information Security Management Maturity Model (O-ISM3),
Version 2.0 (https://publications.opengroup.org/standards/security/c17b) (en). Reading,
Berkshire, United Kingdom: The Open Group, 2017. ISBN 1-937218-98-0.
Havolalar
„Обзор. Средства защиты информации и бизнеса 2006“ (https://www.cnews.ru/reviews/fr
ee/security2006/index.shtml) (ru). www.cnews.ru. Qaraldi: 13-yanvar 2019-yil.
„Словарь терминов по безопасности и криптографии“ (http://www.profinfo.ru/biblio/slovar.
doc) (ru) (deadlink). www.profinfo.ru. 9-yanvar 2006-yilda asl nusxadan arxivlandi (https://we
b.archive.org/web/20060109185515/http://www.profinfo.ru/biblio/slovar.doc). Qaraldi: 13yanvar 2019-yil.
„Доктрина информационной безопасности Российской Федерации“ (http://www.scrf.gov.r
u/documents/5.html). web.archive.org. 24-noyabr 2009-yilda asl nusxadan arxivlandi (https://
web.archive.org/web/20091124063027/http://www.scrf.gov.ru/documents/5.html).
Qaraldi: 13-yanvar 2019-yil.
„Проект концепции совершенствования правового обеспечения информационной
безопасности Российской Федерации“ (http://www.agentura.ru/dossier/russia/sovbez/doc
s/concept/). web.archive.org. 4-iyun 2009-yilda asl nusxadan arxivlandi (https://web.archive.
org/web/20090604170952/http://www.agentura.ru/dossier/russia/sovbez/docs/concept/).
Qaraldi: 13-yanvar 2019-yil.
„Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об
информации, информационных технологиях и о защите информации“ (http://www.e-nig
ma.ru/stat/fz-149/) (ru). www.e-nigma.ru. Qaraldi: 13-yanvar 2019-yil.
„Safe Browsing - Protecting Web Users for 5 Years and Counting“ (https://security.googleblo
g.com/2012/06/safe-browsing-protecting-web-users-for.html).
„Landing another blow against email phishing“ (https://security.googleblog.com/2012/01/lan
ding-another-blow-against-email.html).
„Synthetic ID Theft“ (http://www.unc.edu/~dubal/idtheft/synthetic.htm). 9-oktabr 2015-yilda asl
nusxadan arxivlandi (https://web.archive.org/web/20151009122632/http://www.unc.edu/~du
bal/idtheft/synthetic.htm). Qaraldi: 31-iyul 2022-yil.
„Identity Theft“ (https://www.merriam-webster.com/dictionary/identity%20theft). MerriamWebster.com. Merriam-Webster.
„Glossary“ (https://www.isaca.org/Pages/Glossary.aspx?tid=1486&char=I). Information security.
Slade, Rob „CIA TRIAD VERSUS PARKERIAN HEXAD“ (http://blog.isc2.org/isc2_blog/200
8/12/cia-triad-versus-parkerian-hexad.html).
„The Three Tenets“ (https://www.tens.af.mil/threat.htm). Trusted End Node Security. DOD.
24-avgust 2021-yilda asl nusxadan arxivlandi (https://web.archive.org/web/2021082413015
2/https://www.tens.af.mil/threat.htm). Qaraldi: 31-iyul 2022-yil.
"https://uz.wikipedia.org/w/index.php?title=Axborot_xavfsizligi&oldid=3578425" dan olindi