HAMAHAMA
UZ RU EN
BILIM BAZASI

Davlat sektorida ma'lumotlar xavfsizligi

Davlat organlari fuqarolar va davlat haqidagi eng nozik ma'lumotlarni qayta ishlaydi. Ularni himoya qilish texnik vositalar, tashkiliy jarayonlar va qonuniy talablarning birgalikdagi tizimini talab qiladi.

Qisqacha

Davlat sektorida ma'lumotlar xavfsizligi uzatishda va saqlashda shifrlash, kuchli kirishni boshqarish, audit, hamda ma'lumotlarni mamlakat ichida saqlashga (suverenitet) asoslanadi. ISO/IEC 27001 va PP-167 talablariga rioya qilish hamda xorijiy bulutlardan voz kechish — asosiy qadamlar.

Nima uchun davlat sektorida ma'lumotlar xavfsizligi alohida ahamiyatga ega

Davlat sektorida ma'lumotlar xavfsizligi oddiy korporativ himoyadan tubdan farq qiladi. Davlat organlari millionlab fuqarolarning shaxsiy ma'lumotlari, soliq va sog'liqni saqlash yozuvlari, davlat sirlari hamda kritik infratuzilma haqidagi ma'lumotlarni qayta ishlaydi. Bunday ma'lumotlarning oqib ketishi nafaqat moliyaviy zarar, balki ijtimoiy ishonchning yo'qolishi va milliy xavfsizlikka bevosita tahdid keltirib chiqaradi.

Shuning uchun davlat organlariga qo'yiladigan talablar biznesnikidan ancha qat'iy: ma'lumotlar qayerda saqlanishi, kim ularga kira olishi va har bir harakat qanday qayd etilishi qonun darajasida tartibga solinadi.

Asosiy tahdidlar

Tahdidlarni tushunmasdan turib himoya qurib bo'lmaydi. Davlat organlari uchun eng dolzarb xavf-xatarlar quyidagilar:

  • Maqsadli kiberhujumlar (APT) — uzoq muddatli, kuchli moliyalashtirilgan, ko'pincha davlat homiyligidagi guruhlar.
  • Ichki tahdidlar (insider) — vakolatlarini suiiste'mol qiluvchi yoki ehtiyotsizlik qiluvchi xodimlar.
  • Aloqa kanallarining ushlab qolinishi — shifrlanmagan yoki zaif shifrlangan trafikning tinglanishi.
  • Yurisdiksiya xavfi — ma'lumotlar boshqa davlat serverlarida saqlanganda ular o'sha davlat qonunlariga bo'ysunadi.
  • Yetkazib berish zanjiri (supply chain) — uchinchi tomon dasturiy ta'minoti orqali kirib kelish.

Ma'lumotlar xavfsizligining asosiy tamoyillari

Ishonchli himoya bir nechta bir-birini to'ldiruvchi tamoyilga tayanadi:

Uzatishda va saqlashda shifrlash

Ma'lumotlar tarmoq orqali uzatilayotganda zamonaviy transport shifrlash (masalan, TLS 1.3) bilan himoyalanishi, serverda va qurilmada esa shifrlangan holda (at rest) saqlanishi kerak. Eng yuqori himoya darajasi — uchidan-uchigacha (E2E) shifrlash, bunda faqat suhbatdoshlar xabarni o'qiy oladi, server ham emas.

Kirishni boshqarish va minimal vakolat

Har bir xodim faqat o'z vazifasi uchun zarur ma'lumotga kira olishi kerak (least privilege). Rolga asoslangan kirishni boshqarish (RBAC) va ko'p faktorli autentifikatsiya bu tamoyilni amalda joriy etadi.

Auditga yaroqlilik

Kim, qachon va qaysi ma'lumotga kirgani qayd etilishi shart. Audit jurnallari hodisalarni tekshirish va javobgarlikni aniqlash uchun zarur.

Ma'lumotlar suvereniteti

Davlat ma'lumotlari milliy yurisdiksiya ichida — O'zbekiston hududidagi serverlarda saqlanishi kerak. Bu suverenitet xorijiy qonunlar ta'siridan himoya qiladi.

Standartlar va talablar: ISO/IEC 27001 va PP-167

Texnik choralar tashkiliy intizom bilan mustahkamlanishi kerak. Ikki asosiy tayanch nuqta:

  • O'z DSt ISO/IEC 27001:2023 — axborot xavfsizligini boshqarish tizimi (ISMS) bo'yicha xalqaro standart. U risklarni baholash, siyosatlar, nazoratlar va doimiy takomillashtirishni belgilaydi.
  • PP-167 — O'zbekiston Respublikasining kritik axborot infratuzilmasini himoya qilishga oid milliy talablari. U davlat tizimlari uchun aniq texnik va tashkiliy talablarni o'rnatadi.

Standartga rioya — bu bir martalik audit emas, balki uzluksiz jarayon. Sertifikat olingach ham risklarni qayta baholash va nazoratlarni yangilab borish talab etiladi.

Xorijiy bulutlar nima uchun xavfli

Xorijiy bulutli xizmatlar qulay ko'rinadi, biroq davlat sektori uchun jiddiy xavf tug'diradi. Ma'lumotlar boshqa davlatdagi serverlarda saqlanadi va o'sha davlatning qonunlariga bo'ysunadi — chet el sudlari yoki maxsus xizmatlari ularga kirishni talab qilishi mumkin. Provayder bir tomonlama xizmatni to'xtatishi, narxni oshirishi yoki ma'lumotni uchinchi tomonga uzatishi mumkin. Bu ma'lumotlar suvereniteti tamoyiliga ham, PP-167 talablariga ham ziddir.

Davlat organlari uchun yagona ishonchli yo'l — ma'lumotlarni mamlakat ichida, nazorat qilinadigan infratuzilmada saqlash.

Amaliy nazorat ro'yxati

  • Barcha aloqa kanallari TLS 1.3 yoki undan kuchli bilan shifrlanganmi?
  • Nozik xabarlar uchun E2E shifrlash qo'llanilganmi?
  • Ma'lumotlar mamlakat ichida (yoki on-premise) saqlanadimi?
  • Kirish RBAC va ko'p faktorli autentifikatsiya bilan boshqariladimi?
  • Audit jurnallari to'liq va o'zgartirilmaydigan holda yuritiladimi?
  • Qurilmadagi lokal baza shifrlanganmi?
  • ISO/IEC 27001 va PP-167 talablari hujjatlashtirilganmi?
  • Yetkazib beruvchining xavfsizlik holati tekshirilganmi?

HAMA'da bu qanday hal qilingan

HAMA — O'zbekiston tashkilotlari, jumladan davlat organlari uchun yagona himoyalangan platforma. Ma'lumotlar xavfsizligi unga arxitektura darajasida o'rnatilgan:

  • E2E shifrlash: Signal protokoli (X3DH + Double Ratchet), guruhlar uchun AES-256-GCM.
  • Transport: faqat TLS 1.3 — eski va zaif protokollar yo'q.
  • Saqlash: lokal baza SQLCipher bilan shifrlanadi, kalitlar OS himoyalangan xranilishida.
  • Kirishni boshqarish: RBAC orqali rolga asoslangan vakolatlar va batafsil audit.
  • Suverenitet: serverlar O'zbekistonda yoki tashkilot infratuzilmasida (on-premise); ma'lumatlar mamlakat ichida saqlanadi.
  • So'stlik: O'z DSt ISO/IEC 27001:2023 ga tayyorgarlik va PP-167 talablarini hisobga olish.

Bularning barchasi messenjer, videokonferensiya, monitoring, vaqt hisobi, HR va helpdesk modullarini bitta nazorat qilinadigan muhitda birlashtiradi.

Tez-tez beriladigan savollar

Davlat sektorida ma'lumotlar xavfsizligi nima uchun alohida muhim?

Davlat organlari fuqarolarning shaxsiy ma'lumotlari, davlat sirlari va kritik infratuzilma haqidagi ma'lumotlarni qayta ishlaydi. Ularning oqib ketishi yoki buzilishi milliy xavfsizlikka tahdid soladi, shuning uchun himoya talablari biznesnikidan ancha qat'iy.

Xorijiy bulutli xizmatlardan foydalanish nima uchun xavfli?

Ma'lumotlar boshqa davlat yurisdiksiyasidagi serverlarda saqlanadi va o'sha davlat qonunlariga bo'ysunadi. Provayder ma'lumotlarni uchinchi tomonga berishi yoki xizmatni to'xtatishi mumkin, bu esa ma'lumotlar suvereniteti va PP-167 talablariga zid keladi.

ISO/IEC 27001 va PP-167 o'rtasidagi farq nima?

ISO/IEC 27001 — axborot xavfsizligini boshqarish bo'yicha xalqaro standart (jarayonlar va nazoratlar to'plami). PP-167 esa O'zbekiston Respublikasining kritik axborot infratuzilmasini himoya qilish bo'yicha milliy talablarini belgilaydi. Ko'pincha ular birgalikda qo'llaniladi.

HAMA davlat organlari uchun ma'lumotlar xavfsizligini qanday ta'minlaydi?

HAMA Signal protokoli asosida E2E shifrlash, faqat TLS 1.3 transporti, SQLCipher bilan shifrlangan lokal baza va RBAC kirishni boshqarishni qo'llaydi. Serverlar O'zbekistonda yoki tashkilot infratuzilmasida (on-premise) joylashadi, ma'lumotlar mamlakat ichida saqlanadi.

Tegishli maqolalar

HAMA

Ma'lumotlar suvereniteti nima?

 HAMA

Davlat tashkilotlari uchun xavfsiz aloqa

 HAMA

On-premise va Cloud: qaysi biri xavfsiz?

Tashkilotingiz ma'lumotlarini himoyalashga tayyormisiz?

HAMA davlat organlari uchun xavfsiz, mamlakat ichida joylashtirilgan aloqa platformasini taklif etadi. Imkoniyatlarni ko'rsatishimizga ruxsat bering.

Biz bilan bog'lanish