Zbekiston respublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti



Yüklə 113,06 Kb.
səhifə1/2
tarix28.05.2023
ölçüsü113,06 Kb.
#113783
  1   2
1-mustaqil ish sog\'liqni saqlash


O‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI

“Kiberxavfsizlik siyosati” fanidan

MUSTAQIL ISHI
Mavzu: Sogʻliqni saqlash sohasida kiberxavfsizlik siyosati.
Bajardi: Axborot xavfsizligi yo‘nalishi
070-19 guruh talabasi: Kamolov Baxromjon.
Qabul qildi: Seidullayev M.K
Toshkent: 2023
Reja:

  1. Kiberxavsizlik haqida tushuncha.

  2. Kiberxavfsizlik va sog’liqni saqlash.

  3. Sog’liqni saqlash sohasida kiberxavsizlik siyosati.

Kiberxavfsizlik nima?


U kompyuterlar, serverlar, mobil qurilmalar, tarmoqlar va elektron tizimlar orqali yaratilgan va qayta ishlanadigan ma'lumotlarni himoya qilish uchun amalga oshiriladigan protseduralar va vositalar to'plami sifatida belgilanishi mumkin. Oddiy qilib aytganda, kiberxavfsizlik - bu muhim tizimlar va nozik ma'lumotlarni raqamli hujumlardan himoya qilish amaliyotidir.
Kiberxavfsizlik odatda kibertahdidlar va kiberjinoyatlar bilan bog'liq. Biroq, bu, shuningdek, ma'lumotni himoya qilish va har qanday tashkilot yoki shaxs duchor bo'lgan kiberhujumlarning oldini olish yoki aniqlash uchun yaxshi amaliyotlar bilan bog'liq. Bundan kelib chiqadiki, kiberxavfsizlikning maqsadlaridan biri mijozlar, etkazib beruvchilar va umuman bozor o'rtasida ishonchni shakllantirishdir.
Kiberxavfsizlik tizimi nima?
Kuchli kiberxavfsizlik tizimiga ega bo'lishning ahamiyati, asosan, kiberhujumlarning tashkilotlarga olib keladigan ko'plab oqibatlaridan qochishdir:
• Iqtisodiy yo'qotishlar. To'lovni to'lang, zararni bartaraf etish uchun ixtisoslashgan dasturiy ta'minot kompaniyasiga to'lang, aldangan moliyaviy summani almashtiring, qonuniy da'voning narxi va muammo hal qilinayotganda daromad yo'qolishi.
• Obro'ga putur yetkazish. Kiberhujum mijoz, xodim yoki yetkazib beruvchi haqidagi ma'lumotlarning sizib chiqishiga olib kelishi mumkin, bu esa tashkilotdagi asosiy manfaatdor tomonlarga ishonchsizlikni keltirib chiqaradi.
• Ma'lumotlar va jihozlarni o'g'irlash. Ko'p hollarda kiberjinoyatchilar tashkilotlarning aloqalarini noqonuniy ravishda ushlab turadilar, shaxsiy ma'lumotlarni o'g'irlashadi va ulardan roziligisiz foydalanadilar va ular saqlanadigan kompyuter tizimlariga noqonuniy kirishadi.
• Yuridik ta'sirlar. Tashkilotlar uchinchi shaxslarning ma'lumotlarini to'g'ri himoya qilmasa, huquqiy oqibatlarga olib keladi. Shaxsiy ma'lumotlarga ta'sir ko'rsatadigan ba'zi xavfsizlik hodisalari huquqiy oqibatlarga olib kelishi va boshqa xususiy va davlat tashkilotlari tomonidan sanksiyalarga olib kelishi mumkin.
• Axborotni yo'qotish. Axborot kompaniyaning eng muhim aktividir. Hujjatlar barcha turdagi ma'lumotlarni o'z ichiga oladi: schyot-fakturalardan tortib mijozning shaxsiy ma'lumotlari bilan ma'lumotlar bazalarigacha. Ushbu ma'lumotlarning o'g'irlanishi yoki yo'qolishi kompaniyaning omon qolishi uchun jiddiy zarba bo'lishi mumkin.
Kiberxavfsizlik tahdidlarini boshqarish
Kiberxavfsizlik har qanday kompaniyaga ta'sir qilishi mumkin. 2011 yilda Sony o'zining PlayStation tarmog'ida akkauntlari bo'lgan 77 millionga yaqin odamning ismlari, manzillari va boshqa shaxsiy ma'lumotlari o'g'irlangani, uning obro'si va brend imidjiga putur etkazganligi haqida ogohlantirgan edi.
Va agar bu Sony kabi gigant bilan sodir bo'lishi mumkin bo'lsa, bu kibermudofaa odatda yirik kompaniya xavfsizlik tizimlaridan zaifroq bo'lgan kichik yoki o'rta tashkilotga qanday ta'sir qilishi mumkin?
Yaqinda va bundan ham yomoni, COVID-19 pandemiyasi ko'pchiligimizning ish uslubimizni o'zgartirib, kiber tahdidlarni oshirdi:
“COVID-19 moliya organlari va institutlarining kundalik faoliyatiga misli ko‘rilmagan ta’sir ko‘rsatdi. Uydan ishlash (WFH) tartiblariga tez o'tish kiber tahdidlar va uchinchi tomon xizmat ko'rsatuvchi provayderlarga bog'liqlik imkoniyatlarini kengaytirdi. Pandemiya, shuningdek, raqamli moliyaviy xizmatlardan foydalanishni tezlashtirdi, chunki moliyaviy institutlar, FMI va oxirgi foydalanuvchilar jismoniy o'zaro ta'sirlarni kamaytirdi. Bu ikkala omil ham samarali operatsion va kiberxavfsizlikka chidamlilik choralarining muhimligini ta’kidlaydi”.
Kiberfiribgarlik nima
Sertifikatlangan firibgarlik ekspertlari assotsiatsiyasi tomonidan olib borilgan yaqinda o'tkazilgan tadqiqot shuni tasdiqladiki, raqamli axborot xavfsizligi tashkilotlar uchun dolzarb muammo bo'lib, direktorlar va rahbarlar kelajakda muammo yanada yomonlashishini kutishmoqda:
“Kiberfiribgarlik (masalan, ishbilarmonlik elektron pochta xabarlarini buzish, xakerlik, to'lov dasturi va zararli dasturlar) eng yuqori xavf sohasi bo'lib qolmoqda, respondentlarning 85 foizi allaqachon bu sxemalarning o'sishini ko'rishgan va 88 foizi keyingi davrda yanada oshishini kutishmoqda. yil.”
Yuqoridagilardan ko‘rinib turibdiki, kiberxavfsizlik global muammodir. Darhaqiqat, 2001 yilda Kiber jinoyatlar bo'yicha Budapesht konventsiyasi yaratilgan bo'lib, u Evropa Ittifoqi tomonidan ilgari surilgan xalqaro shartnoma bo'lib, xalqaro hamkorlikni kengaytirish va kompyuter jinoyatlari va jinoiy faoliyatga qarshi kurashish maqsadida davlatlar o'rtasida uyg'un huquqiy asoslarni yaratish maqsadida. Internetda.
Kiberxavfsizlik va kasbiy firibgarlik
Kiberxavfsizlik bo'yicha ko'plab professional kitoblar va maqolalar deyarli butunlay tashkilotlarga tashqi tahdidlar bilan bog'liq. Fishing, nayza-fishing, ransomware, keyloggerlar, viruslar, troyanlar, josuslik dasturlari, reklama dasturlari, zararli dasturlar, o'rtadagi odam, ekspluatatsiya - bu tashqi hujumlarning barcha shakllari bo'lib, ular tizimni buzishga, maxfiy ma'lumotlarni o'g'irlashga yoki ma'lumotlarni o'g'irlashga olib keladi. tashkilotning yoki uning mijozlarining moliyaviy aktivlari.
Biroq, sud-tibbiyot eksperti sifatidagi tajribamga ko'ra, so'nggi yillarda tashkilotlar tomonidan ishonchli odamlar tomonidan amalga oshirilgan ichki hujumlar muhimroq bo'lib, jiddiy firibgarlik tahdidlariga olib keldi. Bugungi kunda bu direktorlar va rahbarlarni tashqi hujumlardan ko'ra bir xil yoki ko'proq tashvishlantiradigan muammo.
Kiberfiribgarlikka misollar
K. Brancik kompyuter firibgarligi haqidagi kitobida 1982 yilda Turman Stenli Dann tomonidan yozilgan maqoladan iqtibos keltiradi, unda kasbiy firibgar jinoyat sodir etishda foydalanishi mumkin bo'lgan ish uslubi tasvirlangan. Ushbu muallifning fikriga ko'ra, kompyuterda firibgarlik manipulyatsiyasining uchta shakli mavjud:
• Kirish tranzaktsiyalarini manipulyatsiya qilish sxemalari. Bularga quyidagilar kiradi:
– Chetdan tashqari tranzaktsiyalar: qo'shimcha tranzaktsiyalarni tuzish va ularni tizim tomonidan qayta ishlanishi.
– Tranzaktsiyalarni kiritmaslik: Jinoyatchilar tegishli ruxsat berilgan tranzaktsiyalarni kiritmaslik orqali katta foyda olishlari mumkin.
- Tranzaktsiyalarni o'zgartirish: to'g'ri ruxsat etilgan pul operatsiyasi miqdorini o'zgartirish orqali soxta daromadlar amalga oshirilishi mumkin.
– Tuzatish operatsiyalaridan noto'g'ri foydalanish: Bu erda "tuzatish" atamasi o'tmishdagi xatolar yoki noaniqliklarni pul bilan tuzatishga ishora qiladi. Ko'pincha tuzatish operatsiyalari tegishli nazoratsiz amalga oshiriladi. Natijada katta hajmdagi kasbiy firibgarlik bo'lishi mumkin.
– Xatolarni tuzatish tartib-qoidalarini suiiste'mol qilish: xatolarni tuzatish niqobi ostida aybdorlar tomonidan millionlab dollarlar o'zlashtirildi.
• Ruxsatsiz dasturni o'zgartirish sxemalari, masalan:
- Buzilish: dasturlarni o'zgartirish uchun juda ko'p strategiyalar mavjud, masalan, ko'p manbalardan kichik summalarni o'chirish.
– Hujjatsiz tranzaksiya kodlari: kompyuterni hujjatsiz turdagi operatsiyalarni qabul qilish uchun dasturlash orqali jinoyatchilar juda qisqa vaqt ichida katta foyda olishni tashkil qilishlari mumkin.
– Balansni manipulyatsiya qilish: Insofsiz dasturchi tegishli dasturlarni o'zgartirishi mumkin, shunda barcha jami va balanslar istalgan kun uchun to'g'ri ko'rinadi.
– Qasddan noto‘g‘ri hisobot berish: noto‘g‘ri ma’lumotlarga sabab bo‘lishi uchun o‘zgartirilgan dastur jinoyatchining hisobiga to‘lovni qo‘llamaydi (to‘lov boshqa hisob raqamiga qo‘llaniladi) yoki jinoyatchining hisobiga to‘lov (kreditlash kerak bo‘lgan hisob) kiritiladi. e'lon qilinmagan).
– Faylni oʻzgartirish: Hisob holatidagi maxfiy oʻzgarishlarni amalga oshirish uchun dasturlarni oʻzgartirish.
• Fayllarni o'zgartirish va almashtirish sxemalari. Bularga quyidagilar kiradi:
– Jonli asosiy faylga kirish: pul summalarini oʻzgartirish yoki boshqa maʼlumotlarga oʻzgartirish kiritish mumkin boʻlgan oʻzgarishlarni amalga oshirish uchun dasturdan foydalanish.
- Haqiqiy hayot uchun soxta versiyani almashtirish: jinoyatchi asosiy faylga kirish huquqiga ega bo'ladi, nusxa oladi va faqat bir nechta o'zgartirishlarni kiritadi. Keyin yangi yaratilgan fayl jonli fayl bilan almashtiriladi va ma'lumotlar kutubxonasiga qaytariladi.
– Qayta ishlashdan oldin tranzaksiya fayllariga kirish va ularni o‘zgartirish: Ushbu turdagi sxemada ishtirok etishi mumkin bo‘lgan firibgarlik harakatlariga kirish tranzaksiyalarini qo‘shish, o‘zgartirish va o‘chirish kiradi.
Kiberfiribgarlik xavfini qanday kamaytirish mumkin?
Biz duch keladigan muammo murakkab xarakterga ega, tahdidlar vaqt o'tishi bilan o'zgaradi va firibgarlik sxemalarini amalga oshirishda foydalaniladigan vositalar ularga qarshi kurashish uchun ishlab chiqilgan yangi texnologiyalar va dasturiy ta'minotga moslashadi. Shu sababli, kiberfiribgarlikni aniqlash qiyin va hujumlar uzoq vaqt davomida aniqlanmasdan qolishi mumkin, bu esa tashkilotlar uchun katta firibgarlik yo'qotishlariga olib keladi.
Shu sabablarga ko'ra men profilaktikaga sarmoya kiritishni tavsiya qilaman. Kiberfiribgarlikka qarshi kurashish uchun tavsiya etilgan nazorat vositalaridan ba'zilari quyidagilardan iborat:
• Trening: Axborot maxfiyligi va ma'lumotlarni himoya qilish bo'yicha treningdan tashqari, firibgarlikning oldini olish va aniqlashning birinchi bosqichi tashkilotga ta'sir qilishi mumkin bo'lgan tahdidlarni (ya'ni, firibgarlik sxemalarini) bilishdir.
• SSL sertifikatlari: SSL (Secure Sockets Layer) sertifikatlari shifrlangan aloqa protokollari yordamida server identifikatorini autentifikatsiya qilish uchun ishlatiladi. Seanslarda almashinadigan maxfiy ma'lumotlarni himoya qiling va ruxsat etilmagan shaxslar tomonidan ushlanib qolishdan saqlaning.
• Faervollar: xavfsizlik devori va antivirusni joriy qilish tashkilotlarning kiberxavfsizligini kafolatlash uchun zarur. Faervollar - bu kompyuterdan tarmoqqa va tarmoqdan kompyuterga kirishni boshqarishga qodir kompyuter dasturlari.
• Antimalware: Antiviruslar, shu bilan birga, viruslar keltirib chiqaradigan infektsiyalarning oldini oladi yoki ularga qarshi kurashadi. Ular zararli dasturlar, to'lov dasturlari va Internetda tez-tez tarqaladigan viruslarning boshqa turlaridan himoya qilishni taklif qiladi. Antimalware va antivirus dasturlari kompaniyaning barcha kompyuterlarini himoya qilish uchun juda muhimdir.
• Ikki faktorli autentifikatsiya (2FA): Bu foydalanuvchi o‘z shaxsini kamida ikki xil usulda tasdiqlashdan iborat xavfsizlik jarayonidir.
• Zaxira: Axborotni zahiralash har qanday tashkilotda vaqti-vaqti bilan amalga oshirilishi kerak bo'lgan eng muhim vazifalardan biri bo'lib, yuqori qo'shimcha qiymat taklif qiladi.
• Identifikatsiya va parolni boshqarish tizimi: Foydalanuvchining profillar, rollar va biznes qoidalari asosida mahalliy va/yoki bulut ilovalariga kirishini boshqarish.
• Xavfsiz o'chirish: saqlangan ma'lumotlarni qaytarib bo'lmaydigan tarzda o'chirib tashlashni kafolatlash uchun fayllarni o'chirish va hatto saqlash qurilmalarini formatlash etarli emas.
• Firibgarlik xavfini baholash: Tashkilotga ta'sir ko'rsatishi mumkin bo'lgan firibgarlik risklari, shu jumladan kiber-firibgarlik haqida so'rov o'tkazing.
• Mavjud boshqaruv vositalarini baholash: Firibgarlik xavfini baholashning ikkinchi bosqichi joriy nazorat vositalari aniqlangan tahdidlarni yumshatish yoki yo'qligini aniqlashdan iborat.
• Boshqarish vositalarini ishlab chiqish va takomillashtirish: Agar mavjud nazorat vositalari, xoh profilaktik, xoh detektiv bo'lsin, firibgarlik xavfini baholashda aniqlangan xavflarni qisman yoki to'liq yumshata olmasa, yangi nazorat vositalarini takomillashtirish va/yoki loyihalashtirish zarur.
Shubhasiz, yaxshi tizim profilaktik va detektiv ichki nazorat, yuqoridagi adekvat ohang bilan birgalikda yo'qotish miqdorini ham, firibgarlik sxemasi ochilmagan vaqtni ham kamaytiradi.
Bugungi kunda aksariyat onlayn-biznesda kiberxavf xavotirga solmoqda, ammo agar siz sog'liq yoki IT sohasida ish olib borsangiz, ma'lumotlar va qoidalarga munosib hurmat bilan qaramasangiz, amaliyotingizni yo'qotishingiz mumkin.

Bunga qanday yo'l qo'ymaslik kerak?


O'rta biznes tomonidan sog'liqni saqlash va IT sohasidagi ma'lumotlarning hajmi va murakkabligi shiddat bilan o'sib bormoqda. Masalan, yaqinda LDV Capital tomonidan tayyorlangan hisobot vizual sensorlar, kompyuterni ko'rish va hisoblash quvvatidagi so'nggi yutuqlar bemor ma'lumotlarining portlashiga olib keladi MRI ichida, tish rentgenogrammasi va boshqalar.
Bundan tashqari, har qachongidan ham ko'proq kichik korxonalar ma'lumotlarga asoslangan va bulutga asoslangan echimlarda ish olib borishmoqda. A Milliy kichik biznes assotsiatsiyasi tomonidan 2013 yilgi so'rov Respondentlarning 70 foizdan ko'prog'i o'zgaruvchan texnologiya tendentsiyalariga rioya qilishni "juda muhim" deb hisoblaganligini ko'rsatdi. Shu bilan birga, ko'plab o'rta IT-firmalar bulutdagi ma'lumotlarning buzilishiga duch kelishdi, bu esa shartnomani buzish deb hisoblanishi mumkin, bu esa mijozlar aylanmasi va sanoat ishonchining yo'qligiga olib keladi.
Sog'liqni saqlash va AT sohasidagi KO'B auditorlari o'zlarining tashkilotlarini bunday ko'p sonli raqamli ma'lumotlar va doimiy tahdidlar dunyosida qanday himoyalanganligini qanday tasdiqlashlari mumkin?

Texnologiyalar va jarayonlarni birlashtirish metodologiyasi


Sog'lom kiberxavfsizlik dastur, albatta, texnologiyani o'z ichiga olishi kerak, ammo bu texnologiya faqat muvofiqlikni ta'minlash bo'yicha eng yaxshi tajribalar bilan to'g'ri ishlaydi. Eng yaxshi dastur odamlarga, umuman jarayonlarga va texnologiyalarga qaratilgan. Xavfsizlik mahsulot emas, jarayondir.
Bu erda men kiberxavfsizlik auditini operatsiya qilish bo'yicha metodologiyani bayon qilaman ... sizning biznesingizni himoya qilish uchun jarayonlar va siyosat amal qilishini ta'minlashning yagona usuli.
Ops bilan suhbatlashish orqali axborot aktivlarini aniqlashdan boshlang. Old yo'nalishdagi menejerlar va jarayon egalari operatsion darajasida xatarlar va hodisalar qanday ro'y berishini eng yaxshi bilishadi. Bu erdan boshlang va ularga qanday qilib siyosat yuritilayotgani va mavjud bo'lgan yumshatish tadbirlari kompaniyani har kuni zaif bo'lib qolishi haqida gapirib bering.
Keyin, o'zingizning sohaga oid me'yoriy talablaringizni ko'rib chiqing. Iste'molchilarning moliyaviy ma'lumotlarining maxfiyligini himoya qilish sizning sog'lig'ingiz yoki IT-xizmat sohasida bo'lishingizdan qat'iy nazar va sizning talablaringizga rioya qilmaslikdir. GLBA jarimalarga yoki auditorlik va tartibga solish nazorati kuchayishiga olib kelishi mumkin. HIPAA muvofiqligi nazorati sizning bemorlaringizning sog'liqni saqlash sohasidagi ma'lumotlarini himoya qiladi. HIPPA muvofiqligi haqida ko'proq ma'lumotni bizning foydali blogimiz orqali o'qishingiz mumkin Bu yerga.
Tegishli kiberxavfsizlik dasturi atrofidagi leksikonni o'rganing. KO'K ko'tara oladigan narxda so'nggi nuqta xavfsizligini taklif qiluvchi son-sanoqsiz echimlar mavjud. Mening kompaniyam Zeguro taklif qiladigan narsalar sohasida takliflar kamroq, ya'ni kiberxavfsizlik platformasi va sug'urta taklifi. Gap shundaki, taklifni to'g'ri tekshirish va boshlash uchun u xavfsizlik tahdidlarining eng keng tarqalgan turlari bo'yicha lug'at va asosiy bilimlarga ega bo'lishga yordam beradi. Zeguro yaqinda bepul yuklab olish mumkin bo'lgan elektron kitobni to'pladi, bu ajoyib asosdir: Cyber ​​Safety 101.

"Agar nima bo'lsa" stsenariylarini unutmang


Nihoyat, ichki auditingizning bir qismi sifatida qanday ishlamay qolish (yoki undan ham yomoni maʼlumotlar buzilishi boʻyicha daʼvolar) sizning biznesingizga qanday qimmatga tushishi mumkinligi haqida sohaga oid amaliy tadqiqotlar asosida xarajat miqdorini aniqlang. Agar siz o'zingizni himoya qilish uchun kiberxavf siyosatini izlashga qaror qilsangiz, biznesni to'xtatish va tovlamachilikni qoplash uchun har qanday potentsial qamrovni ko'rib chiqishingiz kerak. Kibersug'urta polisini qidirayotganda, til kompyuter hujumi, ma'lumotlarni qayta yaratish, biznesni yo'qotish (shu jumladan, shartli yo'qotish) uchun uzilishlarni qoplashni o'z ichiga olganligiga ishonch hosil qilishni xohlaysiz. biznes), inqirozni boshqarish va kiber tovlamachilik.
Kiberhujum nafaqat ma'lumotni oladi, balki uni yo'q qilishi mumkin. Masalan, to'lov dasturining hujumi sizning barcha ma'lumotlaringizni, shu jumladan operatsion tizimlarni shifrlaydi va shu bilan qurilmalaringizni haqiqatan ham qimmat qog'ozlarga aylantiradi. Agar siz mijozlar ma'lumotlariga kira olmasangiz, iste'molchilar ehtiyojlarini qondira olmaysiz. Ma'lumotlar bazalarini tiklash va tiklash uchun qancha vaqt kerak bo'lsa, shuncha ko'p pul yo'qotasiz.
Yuqoridagi amallarni bajaring va kiberxavf siyosatini oling sug'urta ichki auditorlik tekshiruvidan so'ng, sizning AT yoki sog'liqni saqlash amaliyotingiz bilan muvaffaqiyatli sonlarni davom ettirish.

Dan Smit haqida


Dan - Prezident va uning asoschilaridan biri Zeguro, kichik va o'rta korxonalarga yo'naltirilgan kiberxavfsizlik kompaniyasi. San-Frantsiskoda joylashgan Zeguro Virtual kiberxavfsizlik bo'yicha xodimi platformasi orqali xavflarni baholash, yumshatish va sug'urtalashni o'z ichiga olgan KO'K-larning kiberxavfsizlikka yondashuv uslubini o'zgartirmoqda. Zeguro tashkil etilishidan oldin Dan axborot xavfsizligi muammosining ko'p tomonlarida ishlagan 3-avlod avlodidir.
O'zining vatani Avstraliyada Danning xavfsizlik va arxitektura bo'yicha hukumat va korporativ tashkilotlar bilan ishlash tajribasi u erda xavfsizlik va xizmat ko'rsatish sohasida bir qator kompaniyalarning hammuassisi bo'lishiga olib keldi. Qo'shma Shtatlarga ko'chib o'tgach, u ushbu tajribani Birinchi Respublika banki va qator yuqori texnologiyalar kompaniyalarida xavfsizlik va infratuzilmani boshqarish sohasida qo'lladi.

Yüklə 113,06 Kb.

Dostları ilə paylaş:
  1   2



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət
    Ana səhifə
Psixologiya