`
13
KIBERMAKONDA AXBOROT XAVFSIZLIGINI TA'MINLASHDA RISKLARNI
BAHOLASH
Muxtorov Farrux Muhammadovich
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
Farg‘ona filiali direktori
Sodiqov Boburmirzo Sobitjon o’g’li
TATU Farg’ona filiali, Axborot xavfsizligi yo’nalishi talabasi
https://doi.org/10.5281/zenodo.12772352
Annotatsiya:
Ushbu tezis an'anaviy va ilg'or metodologiyalarni o'rganib, axborot
xavfsizligini ta'minlashda xavflarni baholashning muhim rolini o'rganadi.
Kalit so'zlar:
Xavflarni baholash, axborot xavfsizligi, kibermakon, AIga asoslangan
vositalar, kiberxavfsizlik.
Abstract:
This thesis explores the critical role of risk assessment in information security
by examining traditional and advanced methodologies.
Key words:
Risk assessment, information security, cyberspace, AI-based tools, cyber
security.
Raqamli dunyoda kibermakon zamonaviy jamiyatning ajralmas tarkibiy qismiga aylandi,
shaxsiy muloqotdan tortib global tijoratgacha kundalik hayotning barcha jabhalariga ta'sir
ko'rsatadi. Axborot texnologiyalariga tobora ortib borayotgan bog'liqlik bilan, axborot tizimlari
xavfsizligini ta'minlash shaxslar, tashkilotlar va hukumatlar uchun muhim masala bo'lib chiqdi.
Murakkab xakerlik usullaridan tortib ilg'or doimiy tahdidlar (APT)gacha bo'lgan
kibertahdidlarning tez evolyutsiyasi axborot xavfsizligidagi xavflarni baholash uchun
mustahkam asosni talab qiladi.
Xavflarni baholash kiberxavfsizlik strategiyasining asosi bo'lib xizmat qiladi, bu esa
tashkilotlarga o'z axborot aktivlariga potentsial tahdidlarni aniqlash, baholash va ustuvorligini
aniqlash imkonini beradi. Zaifliklar va potentsial ta'sirlarni tizimli ravishda tahlil qilish orqali
xavflarni baholash samarali kamaytirish strategiyalarini ishlab chiqish va resurslarni samarali
taqsimlash uchun asos bo'lib xizmat qiladi. Bu jarayon nafaqat maxfiy maʼlumotlarni himoya
qilish, balki manfaatdor tomonlar, jumladan, mijozlar, hamkorlar va nazorat qiluvchi
organlarning ishonchi va ishonchini saqlab qolish uchun ham muhim ahamiyatga ega.
Kibermakondagi xavflarni baholashning murakkabligi zamonaviy axborot tizimlarining
dinamik va o'zaro bog'liqligi bilan kuchayadi. Xatarlarni boshqarishning an'anaviy
yondashuvlari ko'pincha kibermakonga xos bo'lgan suyuqlik va keng tarqalgan tahdid
landshaftini hal qilishda muvaffaqiyatsizlikka uchraydi. Binobarin, kiberxavflarning
rivojlanayotgan tabiatiga moslasha oladigan innovatsion metodologiya va vositalarga ehtiyoj
ortib bormoqda.
Axborot xavfsizligidagi xavflarni baholash kontseptsiyasi akademik olimlar tomonidan
keng o'rganilgan. Gordon va Loeb kabi mualliflarning dastlabki asosli ishlari axborot
xavfsizligiga investitsiyalarning iqtisodiy oqibatlarini va optimal xavfsizlik xarajatlarini
aniqlash uchun taklif qilingan modellarni aniqladi. Ularning modeli kiberxavfsizlik
investitsiyalarida xarajat-foyda tahlilining muhimligini ta'kidlab, xavflarni baholash
metodologiyasi bo'yicha keyingi tadqiqotlar uchun asos yaratdi.
Yillar davomida risklarni baholash metodologiyalari kibertahdidlarning ortib borayotgan
murakkabligini bartaraf etish uchun rivojlandi. Standartlar va Texnologiyalar Milliy Instituti
`
14
(NIST) Risk Management Framework (RMF) kabi anʼanaviy yondashuvlar xavfsizlik va risklarni
boshqarishni tizimni ishlab chiqish hayotiy tsikliga integratsiyalash uchun tuzilgan jarayonni
taʼminlaydi. NIST tizimi keng qamrovli yo'riqnomalari, jumladan toifalarga ajratish, tanlash,
amalga oshirish, baholash, avtorizatsiya qilish va xavfsizlikni nazorat qilishning doimiy
monitoringi kabi xavflarni baholash bosqichlari uchun keng tan olingan.
Bundan farqli o'laroq, ISO/IEC 27005 standarti axborot xavfsizligi sohasida risklarni
boshqarish bo'yicha xalqaro istiqbolni taklif etadi. Ushbu standart kontekstni yaratish, xavfni
baholash, xavfni davolash, xavfni qabul qilish, xavf bilan bog'lanish va xavflarni monitoring
qilish va ko'rib chiqishni o'z ichiga olgan tsiklik jarayonga urg'u beradi. NIST va ISO/IEC
tuzilmalari kibertahdidlarning dinamik xususiyatini aks ettiruvchi xavflarni baholashga doimiy
va iterativ yondashuv zarurligini ta’kidlaydi.
Bundan tashqari, PDCA modeli «Axborot tizimlari va tarmoqlari xavfsizligi bo‘yicha
iqtisodiy hamkorlik va rivojlanish tashkilotining amaldagi ko‘rsatmalariga mos keladi. Ushbu
standart xatarlarni boshqarish, xavfsizlik choralarini rejalashtirish va amalga oshirish,
xavfsizlikni boshqarish va qayta baholashda ushbu prinsiplarni qo‘llashning amaliy modelini
taqdim etadi.
1-misol. Axborot xavfsizligining buzilishi tashkilot uchun jiddiy moliyaviy yo‘qotishlarning
va/yoki qandaydir qiyinchiliklarning sababi bo‘la olmaydi degan talab qo‘yilishi mumkin.
2-2-misol. Qandaydir jiddiy mojaro, masalan, sayt yordamida elektron savdoni amalga
oshirayotgan tashkilot saytining buzilishi natijasida yuzaga keladigan holat uchun – tashkilot
buzilish oqibatlarini minimumga keltirish uchun yetarli bilim va tajribaga ega bo‘lgan
mutaxassislarga ega bo‘lishi kerak.
3-Boshqa boshqarish tizimlari bilan moslashuv. Ushbu standart boshqa boshqaruv standartlari
bilan moslashuvini yaxshilash va integrasiya qilish uchun ISO 9001:2000 va ISO 14001:2004
standartlari bilan muvofiqlashtirilgan. Kerakli tarzda loyihalashtirilgan bitta boshqaruv tizimi
barcha ushbu standartlarning talablariga javob berishga qodir. 3.1-jadvalda ushbu
standartning ISO 9001:2000 va ISO 14001:2004 standartlari bilan o‘zaro bog‘liqligi
ko‘rsatilgan.
Xatarlarni baholashda tashkiliy va insoniy omillarni hisobga olish muhimligi ko'plab
tadqiqotlar tomonidan ta'kidlangan. Inson xatosi xavfsizlikni buzishning muhim manbai bo'lib
qolmoqda, bu esa xavflarni boshqarish strategiyalariga trening va xabardorlik dasturlarini
kiritishni talab qiladi. Bundan tashqari, tashkilot madaniyati va yetakchining kiberxavfsizlikka
sodiqligi risklarni samarali boshqarishning hal qiluvchi omilidir.
Bayes tarmoqlari va o'yin nazariyasi kabi ilg'or texnikalar ko'proq moslashuvchanlik va
nuansli xavf modelini taklif qiladi. Masalan, Bayes tarmoqlari xavf omillari o'rtasidagi
murakkab o'zaro bog'liqlikni baholashga imkon beradi, yangi ma'lumotlarga va rivojlanayotgan
tahdidlarga moslasha oladigan ehtimoliy yondashuvni ta'minlaydi. O'yin nazariyasi
hujumchilar va himoyachilarning strategik xatti-harakatlarini modellashtiradi, bu esa
tashkilotlarga potentsial hujumlarni yanada samaraliroq oldindan bilish va ularga qarshi turish
imkonini beradi.
`
15
References:
1.
Gordon, L. A., & Loeb, M. P. (2002). Axborot xavfsizligiga investitsiya qilishning
iqtisodiyoti.
ACM Transactions on Information and System Security (TISSEC)
, 5(4), 438-457.
2.
Xalqaro Standartlashtirish Tashkiloti (ISO)/Xalqaro Elektrotekhnika Komissiyasi (IEC).
(2018).
ISO/IEC 27005: Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi xavf
boshqaruvi
. ISO/IEC.
3.
Roy, S., Ellis, C., Shiva, S., Dasgupta, D., & Shandilya, V. (2010). Tarmoq xavfsizligiga
qo'llanilgan o'yin nazariyasining tahlili.
43-Hawaiiy Xalqaro Tizim Fanlari Konferensiyasi
Materiallari
, 1-10.
4.
Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Eng zaif bog'ni o'zgartirish - xavfsizlikni
ishlatish va samarali qilish uchun inson/kompyuter o'zaro ta'siri yondashuvi.
BT Texnologiya
Jurnali
, 19(3), 122-131.