Суғурта компанияларида ахборот хавфсизлигини таъминлаш масалалари

32
Шоҳрух Раҳмат, Ахборот ва жамоат хавфсизлиги маркази Норматив-ҳуқуқий базани ривожлантириш департаменти бошлиғи

Маълумки, суғурта компаниялари ўз фаолиятлари давомида турли хил маълумотлардан ташкил топган катта ҳажмдаги ахборот эгасига айланади. Бундай маълумотларнинг кенг доирадаги шахслар орасида тарқатилиши компания ва унинг мижозларига молиявий зарар етказиши мумкин. Бундай ҳолларда суғурта ахбороти мустақил қийматга эга бўлган активга айланади. Шунинг учун суғурта компанияларидаги хавфсизлик хизматлари мутахассислари, компаниялар маълумотларини ҳимоялаш учун катта куч сарфлашга мажбур.

Суғурта фаолияти соҳасида маълумотларни ҳимоялашнинг ҳуқуқий бошқаруви маълумотнинг мавқеи ҳуқуқий ҳимоялаш объекти сифатида бир нечта қонун ҳужжатлари билан бошқарилади. Уларнинг орасида Ўзбекистон Республикасининг “Ахборотлаштириш тўғрисидаги”, “Давлат сири тўғрисидаги”, “Тижорат сири тўғрисидаги” қонунлари, Фуқаролик кодекси ва бошқалар мавжуд.

Суғурта компанияларининг фаолиятида қуйидаги маълумот объектлари пайдо бўлади:

  • суғурта компаниясининг ўз тижорат сири, унинг шартномаларидаги маълумотлар, молиявий муносабатлар, бухгалтерия маълумотлари;
  • мижозларнинг ва корхона шерикларининг тижорат сирлари, уларнинг активлари, мулки, тўловлари, амалга оширилган тўлов ҳодисалари ҳақидаги маълумотлар;
  • компания ва унинг мижозлари ходимларининг шахсий маълумотлари, бу маълумотлар ўз ичига баъзида автоуловлар, хайдовчилик гувоҳномалари, кредит карточкалари рақамларини қамраб олади;
  • компаниянинг ихтиёрий тиббий суғурта хизматларидан фойдаланадиган мижозларининг тиббий сири.

Маълумотларнинг умумий миқёси ҳам қоғоз, ҳам электрон ташувчиларда сақланади. Ушбу  маълумотлар ноқонуний ҳаракатлар объекти бўлиши мумкин, шу сабабли, уларнинг сақланиши жиддий хавфсизлик чораларини қабул қилишни талаб қилади. Қонунчилик томонидан ҳимояланган маълумотларга ноқонуний равишда эгалик қилиш Ўзбекистон Республикаси Жиноят кодексининг 143, 191 ва 278 моддалари билан белгиланган жиноий ҳаракат ҳисобланади.

АХБОРОТ ХАВФСИЗЛИГИГА БЎЛГАН ТАҲ ДИД ЛАРНИНГ ТУРЛАРИ

Хавфсизликка бўлган таҳдидлар турларининг рўйхати ўз ичига келиб чиқиши ҳам ички, ҳам ташқи бўлган ҳуружларни қамраб олади. Суғурта компанияларига тегишли бўлган маълумотлар   базалари, кўпинча хакерларнинг ҳужум объектларига айланади. Жиноий ҳаракатларнинг мақсадлари аксарият ҳолларда телефон рақамлар, автоуловлар рақамлари, тиббий маълумотлардан иборат бўлган мижозлар маълумотлар базалари ҳисобланади. Бир қатор ҳолатларда, фирибгарлар, суғуртачилардан ўғирланган маълумотлардан фойдаланган ҳолда, клон-сайтлар яратиб, улар орқали сохта полислар сотилиши йўлга қўйилган. АҚШда ўтган йили жиноятчилар томонидан энг йирик суғурта компанияларидан бирининг ҳимоя тизими бузилган, бунинг натижасида юз минглаб мижозларнинг маълумотлари ошкора этилди.

Бундан ташқари, компанияларнинг компьютер тизимларига турли вируслар кириб, қуйидаги зарарларни етказиши мумкин:

  • муҳим файлларга киришни тўсиб қўйиш;
  • файлларни йўқ қилиш;
  • маълумотларни учинчи шахслар етказиш.

Ўрнатилган антивирус ҳар доим ҳам режалаштирилган ҳужумдан ишончли ҳимоя бўла олмайди. Суғурта компаниясининг компьютер тармоқларига бўлган ташқи хавфлардан ташқари ичкилари ҳам мавжуд. Ходимларнинг баъзилари тижорат ахборотини тарқатиш ёки рақобатчиларга тақдим қилиш мақсадида уни атайлаб ўғирлаши мумкин.

МАЪЛУМОТЛАРНИ ҲИМОЯЛАШ ЧОРАЛАРИ ВА ВОСИТАЛАРИ

Ўзбекистонда маълумотларни ҳимоялаш стандартлари Давлат стандартларида акс эттирилган. Бироқ, суғурта компаниясининг ахборот хавфсизлиги бутун бир чоралар мажмуаси билан таъминланиши зарур, уларнинг орасида қуйидагилар мавжуд:

  • маъмурий;
  • ташкилий;
  • техник.

Уларнинг барчаси биргаликда қўлланиши лозим. Ҳимоя тизими компания ходимларини бошқариш ва назорат қилишга таяниши зарур. Техник характерга эга бўлган чораларнинг аҳамияти ҳам кам эмас, бироқ улар ташкилий чоралардан айри ҳолатда мавжуд бўлолмайди.

МАЪМУРИЙ ХАВФСИЗЛИК ЧОРАЛАРИ

Бундай ҳимоя усуллари ўз ичига, ахборот хавфсизлигини таъминлаш учун зарур бўлган ҳаракатлар тизими ҳақида ходимларни хабардор қилишни таъминловчи ички меъёрий ҳужжатларни ишлаб чиқишни қамраб олади. Бундай ҳужжатлар очиқ сақланади, суғурта компаниясида улар билан ходимлар таништирилиши ташкил қилиниши зарур. Суғурта компаниясининг хавфсизлик хизмати маҳфий маълумотларни ҳимоя қилиш сиёсатини ишлаб чиқади ва раҳбариятга тасдиқлаш учун тақдим қилади. Ушбу локал меъёрий ҳужжат қуйидагиларни ўз таркибига олиши зарур:

  • компанияда маҳфий маълумотларни ҳимоялашнинг асосий принциплари;
  • ҳар бир ходимнинг унга бириктирилган маълумотлар қисмини ҳимоя қилиш юзасидан мажбуриятлари;
  • раҳбариятнинг маълумотлар ҳимоясини таъминлаш бўйича вазифалари;
  • компьютер техникаси ва коммуникациялар воситаларини ишлатиш регламентлари;
  • ҳужжат талабларини бузганлик учун жавобгарлик чоралари.

Бундан ташқари, ҳар бир меҳнат шартномасига тижорат характерига эга бўлган маълумотлар рўйхати илова қилиниши, шартномаларнинг ўзида эса ушбу маълумотлар учун жавобгарлик чоралари акс эттирилиши зарур.

ТАШКИЛИЙ ХАВФСИЗЛИК ЧОРАЛАРИ

Кўпроқ даражада улар ахборот чиқиб кетишининг ички хавфларини бартараф қилишга ва ходимларни тасдиқланган регламентларга риоя қилишларига мотивация қилишга йўналтирилган. Ушбу чоралар, хавфсизлик хизмати томонидан персонални бошқариш хизмати ходимлари билан ҳамкорликда амалга оширилади. Ахборот хавфсизлигини таъминлашнинг ташкилий чоралари сифатида қуйидагиларни келтириб ўтиш мумкин:

  • ходимларнинг таркибида тижорат сири мавжуд бўлган маълумотларга кириш ҳуқуқларининг турли даражаларини белгилаш;
  • суғурта компаниясининг маҳфий маълумотга кириш ҳуқуқига эга бўлган шахслар сонини чеклаш;
  • моддий ташувчилардан фойдаланиш тартибини ташкил қилиш, ҳужжатларни нусхалаш ва сканерлаш устидан назорат ўрнатиш, ташқи электрон почтага ходимларнинг кириш ҳуқуқларини чеклаш;
  • регламентларнинг риоя қилинишини даврий текширишларини ўтказиш;
  • маълумотларни ҳимоя қилиш бўйича тренинглар ўтказиш учун мутахассисларни жалб қилиш;
  • тижорат сири режимини яратиш бўйича тегишли тадбирлар ўтказиш;
  • мижозлар билан тузиладиган шартномаларга, уларга топширилган маълумотга нисбатан тижорат сири режимини риоя қилишлари юзасидан мажбуриятларига тегишли бандларнинг киритилиши;
  • маълумотни тарқатишда айбдор бўлган шахсларни жавобгарликка тортилиши.

Баъзида ахборот хавфсизлиги билан ишлаш тизими компанияда вазифасига фақат шу фаолият кирадиган махсус тузилма ташкил қилинишини талаб қилади. Шунингдек, ахборот тизимларининг аксарияти лойиҳалаштирилаётганда, ташқи ҳуружлардан ҳимоя қилиш даражаси ҳозирги вақтда зарур бўлганидан анча паст эканлигини ҳисобга олиш лозим. Ташкилий чоралар орасида аудит ҳам бўлиши мумкин, у замонавий стандартларга мувофиқликни таъминлайди.

Ахборотларни чиқиб кетишидан етказиладиган зарарларни камайтиришни таъминлайдиган қўшича чоралар ҳам мавжуд. Бир неча йилдан бери суғуртачиларнинг ўзлари ахборот хавсизлиги хавфларидан суғурталаш каби маҳсулотни сотиб келмоқдалар. У жуда оммалашган бўлиб, унинг қўлланиши, тижорат сирининг тарқалиши ҳолатида етказилган зарарни камайтиришга ёрдам беради.

ТЕХНИК ЧОРАЛАР

Ушбу чоралар гуруҳи таъсирчан техник ҳимоя воситаларини ишлатишга мўлжалланган. Унинг амалга оширилиши учун аппарат, дастурий ва криптографик воситаларидан фойдаланилади. Биринчилари заҳиравий нусҳалаш тизимларини ўрнатиш ва ноқонуний киришдан ҳимоя қилишга йўналтирилган, иккинчилари антивируслар ва бошқа ҳимоя дастурларининг ишлаши учун жавоб берса, учинчилари алоқа каналлари орқали узатиладиган ва сақланаётган барча маълумотларнинг шифрланишини таъминлайди.

Кўпинча маълумотларни ҳимоялаш учун тармоқлараро экранлар ва ноқонуний киришларни аниқлаш тизимларидан фойдаланилади. Техник воситалар доимий янгиланиш ва модернизацияни талаб қилади, чунки дастурий маҳсулотларнинг эскириш тезлиги ўта юқори. Бугунги кунда маълумотларни ҳимоялаш бўйича комплекс чораларини таъминловчи дастурлар таклиф қилинмоқда, булар DLP-тизимлар ва SIEM-тизимлардир. Биринчилари мессенжерлардан фойдаланган ҳолда электрон почта каналлари орқали ёки принтерга узатилаётган маълумотларни ўғирланишини олдини олади. Агар дастур маълумот узатилиши вақтида маълумотнинг ўзгаришини аниқласа, бу унинг ўғирланишини англатади ва у ушбу маълумотни ташқи каналларга узатишни тўхтатади. SIEM-тизимлари ўзи билан хавфсизликни бошқаришнинг комплекс воситаларини акс этади, улар тизимнинг барча ожиз жойларини аниқлаб беради ва барча эҳтимолли хавфлар ҳақида маълумотни тақдим қилади. Бу, тизим ва унинг фойдаланувчиларининг одатдаги ҳаракатланишларидан фарқ қиладиган паттернларни аниқлаш орқали амалга оширилади.

Кун сайин фирибгарлар ҳимоя тўсиқларини енгиб ўтишнинг янгидан-янги усулларини ишлаб чиқмоқдалар, шу билан бирга, қимматли маълумотларни йўқотиш хавфининг даражаси ўсиб бормоқда, ҳамда молиявий йўқотишларнинг эҳтимолли хавфлари ҳам. Хавфларни ўз ҳимоя тизимларини аудитдан ўтказиб, уларнинг модернизацияси бўйича тавсияларни олган ҳолда камайтириш мумкин.

Суғурта компанияси хавфсизлик хизматининг ишида замонавий техник воситаларининг комплекс қўлланиши маълумотларни чиқиб кетишдан ва уларга ноқонуний киришдан юқори ҳимоя даражасини таъминлаши мумкин. Барча амалга ошириладиган чоралар республикамиз қонунчилиги талабларига тўлиқ мос келишини ҳисобга олиш лозим.