Axborot xavfsizligi tahdidlarining asosiy manbalari

Jamiyatni raqamlashtirishning kuchayishi bilan axborot xavfsizligiga tahdidlarning har xil turlari paydo bo'ladi. Hujumchilar hisoblardagi mablag'larni o'g'irlash maqsadida nafaqat tijorat korxonalariga, balki puldan ham qimmatroq bo'lgan kompaniya sirlariga ham hujum qilishadi. O'g'irlangan ma'lumotlar bank kartasi tafsilotlari, manzillar, telefon raqamlari va pochta qutilarini o'z ichiga olishi mumkin. Buning oldini olish uchun siz hech bo'lmaganda axborot xavfsizligi tahdidlarining turlari, shuningdek ularning manbalari haqida qisqacha ma'lumotga ega bo'lishingiz kerak. Bu sizga xavfsiz muhitni yaratish bo'yicha yo'nalishlarni belgilashga yordam beradi, shuningdek, biror narsa yuz berganda ma'lumotlaringizni himoya qiladi.

Axborot xavfsizligiga tahdid tushunchasi

Zamonaviy hayotni axborot texnologiyalarisiz tasavvur qilib bo'lmaydi. Moliya tizimi, temir yo'l transporti, elektroenergetika sanoati - bularning barchasi va boshqalar kompyuter tizimlari tomonidan boshqariladi. Mamlakatlar xavfsizligi va mudofaa sektori ham kompyuter texnologiyalari va telekommunikatsiyalarga bog'liq. Qayta ishlash, saqlash, iste'molchilarga taqdim etish va hayotiy muhim ma'lumotlarni almashish kompyuter qurilmalarida turli xil axborot bazalarini shakllantirish orqali amalga oshiriladi.

Kompyuterlashtirishning bunday yuqori darajasi foydalanuvchilarning shaxsiy xafsizligini ham, davlat darajasidagi xafsizlikni ham pasaytirishga yordam beradi va axborotning chiqib ketishi xavfiga olib keladi . Kompyuter texnologiyalarining jadal rivojlanishi va ularning etarli darajada himoyalanmaganligi ruxsatsiz kirish va ta'sir qilish xavfini oshiradi. Bunga ko'plab misollar va tasdiqlar mavjud. Axborot xavfsizligiga tahdid - axborot tizimlariga kirib borish va axborot resurslaridan ruxsatsiz foydalanish, ularni yo'q qilish va buzishga olib keladigan harakat yoki hodisa.

Axborot xavfsizligi tahdidlarining asosiy manbalari

Ko'pincha, axborot xavfsizligini buzish nafaqat tajovuzkorlarning rejalashtirilgan harakatlari natijasida, balki axborot xavfsizligining asosiy qoidalari haqida hatto zarracha ham tasavvurga ega bo'lmagan xodimlarning o'z aybi bilan sodir bo'ladi. Shuning uchun ishga qabul qilishda yangi xodimlar uchun axborot xavfsizligi bo'yicha treninglar o'tkazish juda muhimdir. Har bir foydalanuvchi o'ziga va umuman kompaniyaga zarar etkazmaslik uchun qanday dasturiy ta'minot zarar etkazishi va butun tizimning ishlashida nosozliklarga olib kelishi mumkinligi haqida tasavvurga ega bo'lishi kerak. Ba'zida ma'lumotlarning tarqalishi ma'lumotlar bazasiga kirish huquqiga ega bo'lgan va taqdim etilgan ma'lumotlar uchun shaxsiy daromad yoki moddiy mukofot olishni xohlaydigan ma'lum bir kompaniya xodimining qasddan harakatlari tufayli yuzaga kelishi mumkin.

Tahdidlarning asosiy manbai buzg'unchilar, xakerlar, ixtisoslashtirilgan kiber birliklar bo'lib, har qanday kiber vositalar yordamida himoyani buzish va kerakli ma'lumotlarni o'z ichiga olgan ma'lumotlar bazalariga kirishdir. Dasturiy ta'minotning ishlashidagi to'siqlar va xatolarni topib, ular axborot bazalaridan ma'lumotlarga ruxsatsiz kirish huquqiga ega bo'ladilar. Ko'pincha, foydalanuvchilarning tajribasizligini hisobga olgan holda, kerakli ma'lumotlarni olish uchun tajovuzkorlar eng oddiy usuldan foydalanadilar - spam xabarlaridan foydalanish. Ammo ba'zida kiberhujumlarning yanada jiddiy turlari sodir bo'lishi mumkin.

Axborot xavfsizligiga tahdidlarni baholashni kompleks yondashuvdan foydalangan holda va har bir aniq holatga qarab baholash usulini tanlashni tavsiya qilamiz. Misol uchun, sifatli ehtiyot qismlardan foydalaning va apparat buzilishi tufayli ma'lumotlar yo'qolishining oldini olish uchun muntazam ravishda kompyuterga texnik xizmat ko'rsating. Dasturiy ta'minotingizni muntazam yangilang va faqat antivirus dasturining litsenziyalangan versiyalaridan foydalaning. Jamoangizni axborot xavfsizligining asosiy tushunchalari va zararli dasturlardan foydalanishning asosiy tamoyillari bo'yicha o'rgatish uchun vaqt ajrating. Bu ma'lumotlarning tasodifiy chiqib ketishining oldini oladi va xavfli dasturiy paketlarni o'rnatishni oldini oladi. Vaqti-vaqti bilan zahira nusxalarini yaratganingizga ishonch hosil qiling va ishdagi xodimlar faoliyatini kuzatish uchun DLP tizimlaridan foydalaning. Shunday qilib, siz tajovuzkorni tezda aniqlashingiz va kompaniyangizni muhim ma'lumotlarni yo'qotishdan himoya qilishingiz mumkin.

Axborot xavfsizligi tahdidlarining turlari

Tahdidlar turli mezonlarga ko'ra tasniflanadi:

Axborot xavfsizligi aspektiga ko'ra ular quyidagilarga qaratilgan:

  • Mavjudlikka tahdidlar.
  • Yaxlitlikka tahdidlar.
  • Maxfiylik tahdidlari.

Axborot tizimiga ta'sir qilish darajasi bo'yicha:

  • Passiv.
  • Faol.

Voqea tabiatiga ko'ra:

  • Qasddan yoki qasddan.
  • Tabiiy yoki sun'iy.

Manba joylashuvi bo'yicha:

  • Ichki tahdidlar.
  • Tashqi tahdidlar.

Tahdidlar ma'lumotlar bazasi, dasturiy ta'minot tizimlari, apparat yoki yordamchi infratuzilmaga yo'naltirilishi mumkin. Vaziyatga bevosita bog'liq bo'lgan "tahdid" tushunchasining turli xil talqinlari mavjud. Shunga ko'ra, qo'llaniladigan xavfsizlik choralari boshqacha bo'ladi. Misol uchun, ochiq jamoat tashkilotlari mavjud bo'lib, ular uchun maxfiylikka tahdidlar mavjud emas, chunki barcha ma'lumotlar jamoat mulki hisoblanadi. Ammo aksariyat kompaniyalar uchun ruxsatsiz kirish jiddiy xavf tug'diradi.
Agar siz virtual server ma'muri bo'lsangiz, ma'lumotlarning mavjudligi, maxfiyligi va yaxlitligiga tahdidlarga alohida e'tibor qaratishingiz kerak. Ushbu turdagi tahdidlarning amalga oshirilishi ehtimoli uchun faqat siz javobgarsiz. Ma'lumotlarning maxfiyligi va yaxlitligini himoya qilish sizning shaxsiy javobgarligingizdir.

Agar tahdidlar siz foydalanadigan dasturiy ta'minot tizimlarini buzishga qaratilgan bo'lsa, ko'pincha siz foydalanuvchi darajasida bunga ta'sir qila olmaysiz. Yagona yo'l - ba'zi dasturlardan foydalanmaslik. Agar tajovuzkorning kirib kelishi muhim ma'lumotlarning sizib chiqishiga olib kelmasa va siz uchun katta yo'qotishlarga olib kelmasa, ulardan foydalanish mumkin. Uskunalar, infratuzilma yoki tabiiy xavf-xatarlardan himoyalanish siz server lizing beruvchisi sifatida tanlagan hosting kompaniyasi tomonidan ta'minlanadi. Xosting kompaniyasini tanlashga ehtiyotkorlik bilan va mas'uliyat bilan yondashing, u apparat va infratuzilma komponentlarining yuqori darajadagi ishonchliligini ta'minlashi kerak.

Virtual server ma'muri faqat xosting kompaniyasining aybi bilan qisqa muddatli kirish yo'qolishi yoki serverning ishlamay qolishi, kompaniya uchun jiddiy muammolar yoki yo'qotishlarga olib keladigan holda, axborot xavfsizligi tahdidlarining ushbu turlariga e'tibor berishi kerak. Bunday holatlar juda kam uchraydi, lekin ular hali ham ba'zida sodir bo'ladi, chunki ob'ektiv ravishda hech qanday hosting kompaniyasi, hatto eng yaxshisi ham 100% ish vaqtini ta'minlay olmaydi.

Axborot xavfsizligi tahdidlarining asosiy turlariga quyidagilar kiradi:

  • Ichki nosozliklar yoki axborot tizimining ishlamay qolishi.
  • Qo'llab-quvvatlovchi infratuzilmaning ishlamay qolishi.

Qo'llab-quvvatlovchi infratuzilma uchun asosiy tahdidlarga quyidagilar kiradi:

  • Elektr tizimlari, aloqa tizimlari, suv ta'minoti, isitish va konditsionerning qasddan yoki tasodifiy ishdan chiqishi bilan bog'liq ishdagi nosozlik.
  • Bino va inshootlarning qulashi, vayron bo'lishi yoki shikastlanishi.
  • Ish tashlashlar, transport xizmatlarining ishlashidagi uzilishlar, baxtsiz hodisalar, tabiiy ofatlar, terroristik hujumlar va boshqalar tufayli xizmat ko'rsatuvchi xodimlarning o'z mehnat vazifalarini bajarmasliklari.

Yaxlitlikka tahdidlar statik va dinamik yaxlitlik tahdidlariga, shuningdek, xizmat ma'lumotlari va kontent ma'lumotlarining yaxlitligiga tahdidlarga bo'linadi. Xizmat ma'lumotlariga kirish parollari, mahalliy tarmoqdagi ma'lumotlarni uzatish yo'llari va shu kabi boshqa ma'lumotlar kiradi. Ko'pincha noqonuniy xatti-harakatlar va xakerlik hujumlari kompaniyaning xodimi bo'lgan va ish rejimi va xavfsizlik choralari haqida kerakli miqdordagi ma'lumotlarga ega bo'lgan shaxs tomonidan amalga oshiriladi.

Axborot xavfsizligi tahdidlarining turlari
Axborot xavsizligi tahdidlarining turlari

Statik yaxlitlikni buzish uchun tajovuzkor:

  • Noto'g'ri ma'lumotlarni kiritadi.
  • Asl ma'lumotlarni o'zgartiradi.

Dinamik yaxlitlikka tahdidlar orasida o'g'irlik, ma'lumotlarni nusxalash va qo'shimcha ma'lumotlarni qo'shish kiradi. Maxfiy ma'lumotlarga kelsak, u mavzu va xizmat ma'lumotlariga bo'linadi. Asosiy misoli foydalanuvchi parollari bo'lgan xizmat ma'lumotlari texnik funktsiyaga ega va ma'lum bir mavzu sohasiga taalluqli emas. Biroq, uning oshkor etilishi ayniqsa xavflidir, chunki u butun ma'lumotlar bazasiga kirishga olib kelishi mumkin. Axborotni saqlash manbai portativ qurilma bo'lsa yoki u faqat kompyuterda foydalanish uchun mo'ljallangan bo'lsa ham, uning maxfiyligiga tahdidlar umuman kompyuter yoki texnik xususiyatga ega bo'lmasligi mumkin.

Samarali himoya qilish juda qiyin bo'lgan tahdidlardan biri bu hokimiyatni suiiste'mol qilishdir. Ko'pgina tizimlar tizim administratori bo'lishi mumkin bo'lgan imtiyozli foydalanuvchiga har qanday foydalanuvchining barcha fayllari va pochtalariga kirishni ta'minlaydi. Ta'mirlash vaqtida zarar ham bo'lishi mumkin, chunki xizmat ko'rsatuvchi muhandis cheksiz kirish huquqiga ega va xavfsizlik to'siqlarini chetlab o'tib, istalgan faylga kira oladi.

Axborot xavfsizligini himoya qilishning yondashuvlari va usullari

Axborot tizimlarida ma'lumotlar xavfsizligini ta'minlashning quyidagi usullari ajratiladi:

To'siq - bu tajovuzkorlarning maxfiy ma'lumotlarga kirishiga to'sqinlik qiluvchi jismoniy to'siq. Masalan, muhim ma'lumotlarni saqlaydigan server joylashgan binoga kirish faqat kompaniya xodimlariga ruxsat etiladi.

Kirish nazorati - ma'lumotlarga kirish va undan foydalanish foydalanuvchini identifikatsiya qilish tizimi tomonidan ularning vakolatlari tekshirilgan holda nazorat qilinadi. Masalan, maxfiy ma'lumotlar faqat maxsus ruxsatnomalari bo'lgan yoki ma'lumotlar bazasiga kirish uchun login va parolga ega bo'lgan xodimlar kirishi mumkin bo'lgan xonada yoki qavatda joylashgan kompyuterlarda saqlanadi. Bundan tashqari, har bir xodimga beriladigan imtiyozlar darajasi egallab turgan lavozim darajasiga va xodim tomonidan bajariladigan funksionallikka qarab farq qilishi mumkin.

Kriptografiya - matnni maxsus algoritmga aylantirish orqali shifrlash yordamida ma'lumotlarning maxfiyligini va ma'lumotlarning yaxlitligini saqlash usullaridan biri. Bunga yorqin misol - elektron raqamli imzolar yoki ma'lumotlarni blokcheynda saqlash.

Viruslar va zararli dasturlardan (viruslar, troyanlar, tarmoq qurtlari, mantiqiy bombalar) hujumlardan himoya qilish - antivirus dasturlari, tashqi xotira qurilmalari, ma'lumotlarni zaxiralash.

Tartibga solish axborotni himoya qilish usuli bo'lib, buzg'unchining saqlangan maxfiy ma'lumotlarga kirish imkoniyatini deyarli yo'q qilishga yordam beradi. Masalan, ko'plab kompaniyalar xodimlarga shaxsiy flesh-disklardan foydalanishni taqiqlashni joriy qilmoqdalar va ma'lumotlarning zaxira nusxalarini yaratish vaqtlarini tartibga soluvchi maxsus qoidalar va ish standartlarini o'rnatmoqdalar va hokazo.

Majburlash - maxfiy ma'lumotlarni o'z ichiga olgan dasturlar bilan ishlashda muayyan qoidalarni o'rnatish, ularning buzilishi moddiy, ma'muriy va ba'zi hollarda jinoiy javobgarlikka sabab bo'ladi.

Rag'batlantirish - bu belgilangan axloqiy va axloqiy me'yorlarni buzmaslik uchun xodimlarni maxfiy ma'lumotlar bilan ishlash tartibiga rioya qilishga chaqirish.

Axborot xavfsizligi vositalarining quyidagi turlari ajratiladi:

Texnik vositalar . Masalan, signalizatsiya, himoya oyna panjaralarini o'rnatish, radiokanallar orqali ma'lumotlarni uzatishga urinishda shovqin yaratadigan qurilmalardan foydalanish, binolarga kirish uchun kalit kartalar ko'rinishidagi maxsus elektron o'tish.

Dasturiy ta'minot vositalari . Ma'lumotlarni kodlash va shifrlash dasturlari, antivirus dasturlari, zaxira tizimlari, foydalanuvchini identifikatsiya qilish tizimlari.

Aralash vositalar . Axborot himoyasini ta'minlaydigan texnik va dasturiy vositalarning birlashtirilgan to'plami.

Tashkiliy vositalar . Axborot xavfsizligi sohasidagi faoliyatni tartibga soluvchi qonun hujjatlari, normativ hujjatlar, ixtisoslashtirilgan qoidalar, binolarni kompyuter texnikasi bilan jihozlash va tegishli tarzda tayyorlash, axborot xavfsizligi talablarini hisobga olgan holda tarmoq kabellarini o'rnatish va ma'lumotlar bazalariga kirishni cheklashga yordam beradigan boshqa harakatlarni tashkil etish.

Foydalanilgan manba:gb.ru