Авторы

  • Farrux Muxtorov
    Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti Farg‘ona filiali direktori
  • Boburmirzo Sodiqov
    TATU Farg’ona filiali, Axborot xavfsizligi yo’nalishi talabasi

DOI:

https://doi.org/10.71337/inlibrary.uz.zdift.51853

Ключевые слова:

Xavflarni baholash axborot xavfsizligi kibermakon AIga asoslangan vositalar kiberxavfsizlik.

Аннотация

Ushbu tezis an'anaviy va ilg'or metodologiyalarni o'rganib, axborot xavfsizligini ta'minlashda xavflarni baholashning muhim rolini o'rganadi.


background image

`

13

KIBERMAKONDA AXBOROT XAVFSIZLIGINI TA'MINLASHDA RISKLARNI

BAHOLASH

Muxtorov Farrux Muhammadovich

Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti

Farg‘ona filiali direktori

Sodiqov Boburmirzo Sobitjon o’g’li

TATU Farg’ona filiali, Axborot xavfsizligi yo’nalishi talabasi

https://doi.org/10.5281/zenodo.12772352

Annotatsiya:

Ushbu tezis an'anaviy va ilg'or metodologiyalarni o'rganib, axborot

xavfsizligini ta'minlashda xavflarni baholashning muhim rolini o'rganadi.

Kalit so'zlar:

Xavflarni baholash, axborot xavfsizligi, kibermakon, AIga asoslangan

vositalar, kiberxavfsizlik.

Abstract:

This thesis explores the critical role of risk assessment in information security

by examining traditional and advanced methodologies.

Key words:

Risk assessment, information security, cyberspace, AI-based tools, cyber

security.

Raqamli dunyoda kibermakon zamonaviy jamiyatning ajralmas tarkibiy qismiga aylandi,

shaxsiy muloqotdan tortib global tijoratgacha kundalik hayotning barcha jabhalariga ta'sir
ko'rsatadi. Axborot texnologiyalariga tobora ortib borayotgan bog'liqlik bilan, axborot tizimlari
xavfsizligini ta'minlash shaxslar, tashkilotlar va hukumatlar uchun muhim masala bo'lib chiqdi.
Murakkab xakerlik usullaridan tortib ilg'or doimiy tahdidlar (APT)gacha bo'lgan
kibertahdidlarning tez evolyutsiyasi axborot xavfsizligidagi xavflarni baholash uchun
mustahkam asosni talab qiladi.

Xavflarni baholash kiberxavfsizlik strategiyasining asosi bo'lib xizmat qiladi, bu esa

tashkilotlarga o'z axborot aktivlariga potentsial tahdidlarni aniqlash, baholash va ustuvorligini
aniqlash imkonini beradi. Zaifliklar va potentsial ta'sirlarni tizimli ravishda tahlil qilish orqali
xavflarni baholash samarali kamaytirish strategiyalarini ishlab chiqish va resurslarni samarali
taqsimlash uchun asos bo'lib xizmat qiladi. Bu jarayon nafaqat maxfiy maʼlumotlarni himoya
qilish, balki manfaatdor tomonlar, jumladan, mijozlar, hamkorlar va nazorat qiluvchi
organlarning ishonchi va ishonchini saqlab qolish uchun ham muhim ahamiyatga ega.

Kibermakondagi xavflarni baholashning murakkabligi zamonaviy axborot tizimlarining

dinamik va o'zaro bog'liqligi bilan kuchayadi. Xatarlarni boshqarishning an'anaviy
yondashuvlari ko'pincha kibermakonga xos bo'lgan suyuqlik va keng tarqalgan tahdid
landshaftini hal qilishda muvaffaqiyatsizlikka uchraydi. Binobarin, kiberxavflarning
rivojlanayotgan tabiatiga moslasha oladigan innovatsion metodologiya va vositalarga ehtiyoj
ortib bormoqda.

Axborot xavfsizligidagi xavflarni baholash kontseptsiyasi akademik olimlar tomonidan

keng o'rganilgan. Gordon va Loeb kabi mualliflarning dastlabki asosli ishlari axborot
xavfsizligiga investitsiyalarning iqtisodiy oqibatlarini va optimal xavfsizlik xarajatlarini
aniqlash uchun taklif qilingan modellarni aniqladi. Ularning modeli kiberxavfsizlik
investitsiyalarida xarajat-foyda tahlilining muhimligini ta'kidlab, xavflarni baholash
metodologiyasi bo'yicha keyingi tadqiqotlar uchun asos yaratdi.

Yillar davomida risklarni baholash metodologiyalari kibertahdidlarning ortib borayotgan

murakkabligini bartaraf etish uchun rivojlandi. Standartlar va Texnologiyalar Milliy Instituti


background image

`

14

(NIST) Risk Management Framework (RMF) kabi anʼanaviy yondashuvlar xavfsizlik va risklarni
boshqarishni tizimni ishlab chiqish hayotiy tsikliga integratsiyalash uchun tuzilgan jarayonni
taʼminlaydi. NIST tizimi keng qamrovli yo'riqnomalari, jumladan toifalarga ajratish, tanlash,
amalga oshirish, baholash, avtorizatsiya qilish va xavfsizlikni nazorat qilishning doimiy
monitoringi kabi xavflarni baholash bosqichlari uchun keng tan olingan.

Bundan farqli o'laroq, ISO/IEC 27005 standarti axborot xavfsizligi sohasida risklarni

boshqarish bo'yicha xalqaro istiqbolni taklif etadi. Ushbu standart kontekstni yaratish, xavfni
baholash, xavfni davolash, xavfni qabul qilish, xavf bilan bog'lanish va xavflarni monitoring
qilish va ko'rib chiqishni o'z ichiga olgan tsiklik jarayonga urg'u beradi. NIST va ISO/IEC
tuzilmalari kibertahdidlarning dinamik xususiyatini aks ettiruvchi xavflarni baholashga doimiy
va iterativ yondashuv zarurligini ta’kidlaydi.

Bundan tashqari, PDCA modeli «Axborot tizimlari va tarmoqlari xavfsizligi bo‘yicha

iqtisodiy hamkorlik va rivojlanish tashkilotining amaldagi ko‘rsatmalariga mos keladi. Ushbu
standart xatarlarni boshqarish, xavfsizlik choralarini rejalashtirish va amalga oshirish,
xavfsizlikni boshqarish va qayta baholashda ushbu prinsiplarni qo‘llashning amaliy modelini
taqdim etadi.
1-misol. Axborot xavfsizligining buzilishi tashkilot uchun jiddiy moliyaviy yo‘qotishlarning
va/yoki qandaydir qiyinchiliklarning sababi bo‘la olmaydi degan talab qo‘yilishi mumkin.
2-2-misol. Qandaydir jiddiy mojaro, masalan, sayt yordamida elektron savdoni amalga
oshirayotgan tashkilot saytining buzilishi natijasida yuzaga keladigan holat uchun – tashkilot
buzilish oqibatlarini minimumga keltirish uchun yetarli bilim va tajribaga ega bo‘lgan
mutaxassislarga ega bo‘lishi kerak.
3-Boshqa boshqarish tizimlari bilan moslashuv. Ushbu standart boshqa boshqaruv standartlari
bilan moslashuvini yaxshilash va integrasiya qilish uchun ISO 9001:2000 va ISO 14001:2004
standartlari bilan muvofiqlashtirilgan. Kerakli tarzda loyihalashtirilgan bitta boshqaruv tizimi
barcha ushbu standartlarning talablariga javob berishga qodir. 3.1-jadvalda ushbu
standartning ISO 9001:2000 va ISO 14001:2004 standartlari bilan o‘zaro bog‘liqligi
ko‘rsatilgan.

Xatarlarni baholashda tashkiliy va insoniy omillarni hisobga olish muhimligi ko'plab

tadqiqotlar tomonidan ta'kidlangan. Inson xatosi xavfsizlikni buzishning muhim manbai bo'lib
qolmoqda, bu esa xavflarni boshqarish strategiyalariga trening va xabardorlik dasturlarini
kiritishni talab qiladi. Bundan tashqari, tashkilot madaniyati va yetakchining kiberxavfsizlikka
sodiqligi risklarni samarali boshqarishning hal qiluvchi omilidir.

Bayes tarmoqlari va o'yin nazariyasi kabi ilg'or texnikalar ko'proq moslashuvchanlik va

nuansli xavf modelini taklif qiladi. Masalan, Bayes tarmoqlari xavf omillari o'rtasidagi
murakkab o'zaro bog'liqlikni baholashga imkon beradi, yangi ma'lumotlarga va rivojlanayotgan
tahdidlarga moslasha oladigan ehtimoliy yondashuvni ta'minlaydi. O'yin nazariyasi
hujumchilar va himoyachilarning strategik xatti-harakatlarini modellashtiradi, bu esa
tashkilotlarga potentsial hujumlarni yanada samaraliroq oldindan bilish va ularga qarshi turish
imkonini beradi.


background image

`

15

References:

1.

Gordon, L. A., & Loeb, M. P. (2002). Axborot xavfsizligiga investitsiya qilishning

iqtisodiyoti.

ACM Transactions on Information and System Security (TISSEC)

, 5(4), 438-457.

2.

Xalqaro Standartlashtirish Tashkiloti (ISO)/Xalqaro Elektrotekhnika Komissiyasi (IEC).

(2018).

ISO/IEC 27005: Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi xavf

boshqaruvi

. ISO/IEC.

3.

Roy, S., Ellis, C., Shiva, S., Dasgupta, D., & Shandilya, V. (2010). Tarmoq xavfsizligiga

qo'llanilgan o'yin nazariyasining tahlili.

43-Hawaiiy Xalqaro Tizim Fanlari Konferensiyasi

Materiallari

, 1-10.

4.

Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Eng zaif bog'ni o'zgartirish - xavfsizlikni

ishlatish va samarali qilish uchun inson/kompyuter o'zaro ta'siri yondashuvi.

BT Texnologiya

Jurnali

, 19(3), 122-131.

Библиографические ссылки

Gordon, L. A., & Loeb, M. P. (2002). Axborot xavfsizligiga investitsiya qilishning iqtisodiyoti. ACM Transactions on Information and System Security (TISSEC), 5(4), 438-457.

Xalqaro Standartlashtirish Tashkiloti (ISO)/Xalqaro Elektrotekhnika Komissiyasi (IEC). (2018). ISO/IEC 27005: Axborot texnologiyalari - Xavfsizlik texnikasi - Axborot xavfsizligi xavf boshqaruvi. ISO/IEC.

Roy, S., Ellis, C., Shiva, S., Dasgupta, D., & Shandilya, V. (2010). Tarmoq xavfsizligiga qo'llanilgan o'yin nazariyasining tahlili. 43-Hawaiiy Xalqaro Tizim Fanlari Konferensiyasi Materiallari, 1-10.

Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Eng zaif bog'ni o'zgartirish - xavfsizlikni ishlatish va samarali qilish uchun inson/kompyuter o'zaro ta'siri yondashuvi. BT Texnologiya Jurnali, 19(3), 122-131.