Tavsiyalar

Veb-saytlar himoyasi bo'yicha tavsiyalar

Axborot xavfsizligiga tahdidlarni bartaraf etish maqsadida veb-saytlarni himoya qilish uchun quyidagi tashkiliy va texnik choralarni ko'rish tavsiya etiladi:

Yangilanishlarni (update) muntazam ravishda o'rnatib borish

Hujumni rejalashtirishda jinoyatkorlarning dastlabki bosqichi – veb-saytdagi bartaraf etilmagan va taniqli zaifliklarni izlash. Odatda, ommabop CMS (Kontent boshqaruv tizimlari: Wordpress, Joomla, Drupal va h.k.) va ularning plaginlari uchun aniqlangan har qanday zaiflik jinoyatkorlarning ko'z ostiga tushadi va natijada, bunday veb-saytlar "mass defacement" deb nomlanuvchi ommaviy maqsadsiz hujumga olib kelishi mumkin. Mass defacement - ko'p sonli veb-saytlar bosh sahifasini tajovuzkorlar (xaker) tomonidan ommaviy va ruhsatsiz o'zgartirib qo'yilishi. Shuning uchun veb-saytlar yadrolarini va ularga o'rnatilgan plaginlarni muntazam yangilab borish tavsiya etiladi.

Zaxira nusxasi (backup)

Veb-sayt zaxira nusxasini (backup) saqlab borish mohiyati bu ma'lumotlar bazalarini (DB), sayt fayllarini, pochta, FTP hisoblarini va boshqa ko'plab hosting parametrlarini muntazam ravishda zaxiraviy nusxalashdan iborat. Zaxira nusxalarini saytning CMS-da o'rnatilgan vositalar yordamida, maxsus plagin yordamida, xosting provayderi tomonidan taqdim etilgan vositalar yordamida yoki boshqa har qanday qulay usulda amalga oshirish mumkin. Bundan maqsad – veb-sayt hujumga uchraganda, ma'lumotlar ruhsatsiz yoki yashirin o'zgartirilib qo'yilganda, zarar ko'rganda yoki ma'lumotlar o'chirib yuborilganda zaxira nusxasidan qayta tiklash imkonini yaratish.

Foydalanilmayotgan plaginlarni o'chirib tashlash

Saytga o'rnatiladigan har qanday yangi plagin, yoki yangi fayl kengaytmalari zararli hujumlar ehtimolini oshiradi. Shuning uchun, foydalanilmayotgan plaginlarni olib tashlash yoki o'chirib qo'yish va iloji bo'lsa, har bir alohida yangi saytga qo'shiladigan funksiya uchun uchinchi tomon plaginidan foydalanish o'rniga sayt CMSining o'z mexanizmlardan foydalanish tavsiya etiladi.

Parol autentifikatsiyasini mustahkamlash

CMS-dagi administrator hisobi uchun, shu bilan birgalikda internet provayderlar veb-saytidagi shaxsiy kabinet va serverdagi hisoblar uchun (masalan, "maxsus ajratilgan" yoki "co-location" xostingi uchun) boshqa internet servislar va saytlarda takrorlanmaydigan murakkab paroldan foydalanish tavsiya etiladi. Parolni yangilagan yoki o'zgartirganda albatta maxsus qoidalarga rioya qilish tavsiya etiladi va parol yaratishda raqamlar, maxsus belgilar, kamida 8 belgidan iborat katta va kichik harflardan foydalanish kerak. Agar imkon bo'lsa, ikki faktorli autentifikatsiyadan foydalanish ham tavsiya etiladi. Shuningdek, administrator paneliga kirishda urunishlar sonini ham cheklash tavsiya etiladi (parollarni to'liq ajratib bajariladigan hujumdan himoya qiladi; bu hujum "brute-force" deb ham ataladi).

Xavfsiz boshqaruvni olib borish

CMS-larning administrator boshqaruv panellariga, internet-provayderlar shaxsiy kabinet hisoblariga, serverning boshqaruv qismlariga kirishda virus signatura bazalari yangilangan bo'lgan antivirus dasturlari o'rnatilgan va xavfsiz bo'lgan qurilmalardan foydalanish qattiq tavsiya etiladi.

Xavfsizlik plaginlaridan foydalanish

CMSlarni turli xil hujumlardan himoya qilishni ta'minlash uchun zararli dasturlarni qidirish, olib tashlash va undan himoya qilishni ta'minlaydigan xavfsizlik plaginlaridan foydalanish tavsiya etiladi.

Veb-saytni tekshiruvdan o'tkazib turish

Doimiy ravishda veb-saytni axborot xavfsizligi talablariga muvofiqligi hamda zaif tomonlari bo'yicha ekspertiza o'tkazish tavsiya etiladi.

Korporativ tarmoqlarni himoyalash uchun tavsiyalar

Axborot xavfsizligiga ichki tahdidlarning oldini olish uchun zarur dasturiy ta'minot va shuningdek, axborotni himoya qilish vositalarini o'rnatish.

Axborot-kommunikatsiya texnologiyalari va to'g'ridan-to'g'ri axborot tizimlari bilan ishlaydigan foydalanuvchilarning (xodimlarning) axborot xavfsizligini ta'minlash va ularning malakasini doimiy oshirib borish.

Ma'lumotlarni idoralararo uzatish uchun global Internet orqali boshqa axborot tizimlari bilan o'zaro aloqada bo'ladigan axborot tizimlaridan foydalanmaslik.

Ochiq kodli (Open Source) dasturiy mahsulotlardan foydalanish

Davlat organlari va tashkilotlari faoliyatida axborot va kiberxavfsizlikni taʼminlash tizimi va dasturiy vositalarni joriy etish axborot infratuzilmasidagi maʼlumotlarni xavfsizligini taʼminlashda asosiy ro‘l o‘ynaydi.

Shu o‘rinda Davlat axborot resurslarining axborot xavfsizligini ta’minlash tizimida foydalaniladigan axborotni muhofaza qilishning dasturiy-texnik vositalari litsenziyali va sertifikatlashtirilgan bo‘lishi kerak.

(O‘zbekiston Respublikasi Vazirlar Mahkamasining 22.11.2005 yildagi 256-son qaroriga muvofiq).

Maʼlumki, “Kiberxavfsizlik markazi” DUK tomonidan “Аxborot va kiberxavfsizlik monitoring tizimi” orqali barcha davlat organlari va tashkilotlarining axborot va kiberxavfsizlikni taʼminlash tizimi va dasturiy vositalarini joriy etilganligi holati, ularning litsenziya va sertifikatga egaligi bo‘yicha monitoring va baholash ishlari olib boriladi.

Shuningdek, Vokalatli organlar bilan birgalikda davlat organlari va tashkilotlarida maqsadli o‘rganish va tekshirishlar olib borilishi mobaynida aksariyat davlat tashkilotlarida ushbu tizimga kiritilgan maʼlumotlarning nomutanosibligi, axborot va kiberxavfsizlikni taʼminlashda nomaʼlum manbaalardan yuklangan, litsenziyaga ega bo‘lmagan dasturiy vositalar yoxud ularning umuman joriy qilinmaganligi holatlari aniqlanmoqda hamda dalolatnoma asosida tegishli choralar ko‘rilmoqda.

Tahlillarga ko‘ra bunday holatlarni. odatda kichik axborot infratuzilmasiga ega bo‘lgan davlat tashkilotlari faoliyatida axborot va kiberxavfsizlikini taʼminlash tizimi va dasturiy vositalarini joriy etishga qaratilgan e‘tibor pastligiga yoki moliyaviy mablag‘lar yetarli darajada ajratilmaganligi holatlarini kuzatish mumkin.  

Yuqorida ta’kidlangan xavfsizlik mummolarni bartaraf etish maqsadida kichik axborot infratuzilmalaridan tashkil topgan davlat tashkilotlarining axborot tizimlari, resurslari va maʼlumotlar bazalari xavfsizligini taʼminlaydigan, hodimlarning axborot bilan ishlashda maʼlumotlarni chiqib ketishini oldini olishga qaratilgan hamda rasmiy manbaalarda erkin tarqatiladigan Ochiq kodli (Open Source) dasturiy mahsulotlardan foydalanish tavsiya etiladi.

Hozirgi kunda axborot va kiberxavfsizlikni taʼminlash maqsadida turli xil erkin tarqatiladigan Open Sourse DLP, IDS/IPS, tarmoqlararo ekran (Firewall) va Аntivirus tizimlari mavjud.

Open Source mahsulotlarini tanlagan tashkilot, sozlamar interfeyslarni o‘rganib chiqish va sozlash uchun ko‘p vaqt ajratilishga tayyor bo‘lishi lozim. Tayyor yechimni taklif qiladigan mashhur yechimlardan farqli o‘laroq,
Open Source yechimi buni o’zingiz bajaring (Do it yourself) konsepsiyasiga tayangan holda foydalanuvchi tomonidan dasturiy ta’minotni to‘g‘ri o‘rnatilishi va sozlanishi, kerakli o‘zgarishlarni amalga oshirishi hamda xodimlarni undan qanday foydalanishini o‘rgatish tadbirlarini amalga oshirish talab etiladi. Salbiy tomonlaridan esa dasturiy ta’minotni ishlab chiqaruvchi tomonidan texnik yordam ko‘rsatilmasligi va barcha sozlamalarni foydalanuvchining o‘zi bajarishi va hodisalariga qarshi javobgarlikni o’z zimmasiga olishi kerak.

Demak, bu borada malakali texnik xodimlar xizmati yuqori hisoblanadi, biroq kichik axborot infratuzilmasiga ega bo‘lgan davlat tashkilotlarida kadrlar almashinuvi tez-tez amalga oshirilishi holatlari ham uchrab turadi. Bu holatda tashkilotlar autsorsing xizmatidan foydalanishga ehtiyoj tug‘iladi. Lekin shuni unutmaslik kerakki, xizmat ko‘rsatuvchilarning hech biri maslahat yoki tavsiyalar uchun javobgar emas.

Yuqoridagi tavsiyaviy yechimlarni qo‘llash natijasida tashkilot o‘z axborot tizimlari, resurslari va maʼlumotlar bazalarini xavfsizligini taʼminlashga hamda hodimlarning axborot bilan ishlashda maʼlumotlarni chiqib ketishi xavfini kamaytirishga xizmat qiladi.