6- amaliy ish Axborot aktivlarini identifikatsiya qilish

Aktivning zaiflik darajasi

bet	5/5
Sana	08.03.2023
Hajmi	122.81 Kb.
	#1249890

1 2 3 4 5

Bog'liq
6-13

Aktivning zaiflik darajasi

AX tahdidlari	Tashkilotning qimmatli aktivlari
AX tahdidlari	A.	B.	C.	D.	E.	F.	G.	H.	I.
014	–	–	–	–	2	–	–	–	–
018	1	1	1	1	3	–	–	–	–
022	–	–	–	–	2	–	2	–	–
023	–	–	–	–	3	–	–	–	–
030	2	2	2	2	1	–	–	–	–
034	–	–	–	–	–	–	1	–	–
036	1	1	1	1	1	–	1	–	–
091	3	3	3	3	–	–	–	–	–
113	–	–	–	–	2	–	–	–	–
121	2	2	2	2	2	–	–	–	–
122	–	–	–	–	2	–	–	–	–
139	1	1	1	1	3	3	–	–	–
140	–	–	–	–	3	–	3	–	–
143	3	3	3	3	2	2	–	–	–
155	1	1	1	1	3	3	3	–	–
156	3	3	3	3	–	2	–	–	–
157	–	–	–	–	1	1	–	–	–
158	1	1	1	1	–	1	–	–	–
160	1	1	1	1	2	2	–	–	–
170	2	2	2	2	–	–	–	–	–
172	–	–	–	–	–	–	2	–	–
182	–	–	–	–	1	–	1	–	–
186	2	2	2	2	–	–	2	–	–
189	–	–	–	–	1	–	1	–	–

2-Jadval
Yuzaga keluvchi tahdid ehtimolligi

Tahdid IDsi	014	018	022	023	030	034	036	091	113	121	122	139	140	143	155	156	157	158	160	170	172	182	186	189
Ehtimollik	2	1	2	3	1	2	2	4	2	2	2	3	2	2	2	4	3	3	3	2	2	3	3	2

Axborot xavfsizligi xavflarini baholash bo'yicha hisobot

Tashkilotning har bir qimmatbaho aktivlari uchun axborot xavfsizligi xavfining umumiy darajasi 3-jadvaldagi 1-formulaga muvofiq hisoblanadi. A, E, G aktivlari uchun natijani ko'rsatadi.
R = AQ х ZD х E (1) bu yerda,
AQ - aktiv qiymati;
ZD - zaiflik darajasi;
E – ehtimollik.
Qabul qilinadigan xavf-bu 1 dan 10 oralig'ida bo'lgan xavf, bu xavf ahamiyatsiz deb hisoblanadi va bunday xavfni qayta ishlash talab qilinmaydi.
Raqamli qiymati 11 dan 21 oralig'ida bo'lgan o'rtacha xavf uni minimallashtirish uchun qayta ishlash uchun tavsiya etiladi.
Raqamli qiymati 22 dan 64gacha bo'lgan yuqori xavf, bu xavf muhim hisoblanadi va uni qayta ishlash majburiydir.
3-Jadval
AX risklarini baholash

Tashkilotning qimmatli aktivlari	Tahdidlar	AQ	ZD	E	R	Xavfni baholashning raqamli qiymati
Tashkilotning maqsadi yoki biznesini amalga oshirish uchun zarur bo'lgan ma'lumotlar	018	4	1	1	4	Past
	030	4	2	1	8	Past
	036	4	1	2	8	Past
	091	4	3	4	48	Yo’qori
	121	4	2	2	16	O’rtacha
	139	4	1	3	12	O’rtacha
	143	4	3	2	24	Yo’qori
	155	4	1	2	8	Past
	156	4	3	4	48	Yo’qori
	158	4	1	3	12	Past
	160	4	1	3	12	Past
	170	4	2	2	16	Past
	186	4	2	3	24	Yo’qori
Apparat va dasturiy kompleks	014	4	2	2	16	O’rtacha
	018	4	3	1	12	O’rtacha
	022	4	2	2	16	O’rtacha
	023	4	3	3	36	Yo’qori
	030	4	1	1	4	Past
	036	4	1	2	8	Past
	113	4	2	2	16	O’rtacha
	121	4	2	2	16	O’rtacha
	122	4	2	2	16	O’rtacha
	139	4	3	3	36	Yo’qori
	140	4	3	2	24	Yo’qori
	143	4	2	2	16	O’rtacha
	155	4	3	2	24	Yo’qori
	157	4	1	3	12	O’rtacha
	160	4	2	3	24	Yo’qori
	182	4	1	3	12	O’rtacha
	189	4	1	2	8	Past
Tarmoq	022	4	2	2	16	O’rtacha
	034	4	1	2	8	Past
	036	4	1	2	8	Past
	140	4	3	2	24	Yo’qori
	155	4	3	2	24	Yo’qori
	172	4	2	2	16	O’rtacha
	182	4	1	3	12	O’rtacha
	186	4	2	3	24	Yo’qori
	189	4	1	2	8	Past

Amaliy qism
9.1-Jadval
Tavsiya etilgan qarshi choralar

Tashkilotning qimmatli aktivlari	Tahdidlar	Risk	Qabul qilinadigan xavf	Rejalashtirilgan chora-tadbirlar	Qoldiq xavf miqdori
Tashkilotning maqsadi yoki biznesini amalga oshirish uchun zarur bo'lgan ma'lumotlar	091	48	1 dan 19 gacha	Zaxira tizimi, ruxsatsiz kirishdan himoya qilish tizimi	12
	143	24		Antivirus himoya tizimi, xavfsizlik devori	12
	156	48		Axborot tashuvchilarni nazoratga olish	12
	186	24		Antivirus himoya tizimi, xavfsizlik devori; Tashkiliy chora-tadbirlar	8
Apparat va dasturiy kompleks	023	36		Xavfsizlik devori, ishonchli yuklash tizimi, antivirusni himoya qilish tizimi; Tashkiliy chora-tadbirlar	12
	139	36		Video kuzatuv tizimlari, yetarli jismoniy himoya; Tashkiliy chora-tadbirlar.	12
	140	24		Xavfsizlik devori tizimi	12
	155	24		Xavfsizlik devori tizimi	12
	160	24		Video kuzatuv tizimlari, yetarli jismoniy himoya; Tashkiliy chora-tadbirlar.	8
Tarmoq	140	24		Xavfsizlik devori tizimi	12
	155	24		Xavfsizlik devori tizimi	12
	186	24		Virusga qarshi himoya tizimi, xavfsizlik devori; Tashkiliy chora-tadbirlar	8

Mumkin bo'lgan qarshi choralar

Tasavvur qilaylik, korxona rahbari 20 dan yuqori raqamli risklarni minimallashtirish uchun qayta ishlanishi kerak deb qaror qildi. Mumkin bo'lgan qarshi choralar 9.1-jadvalda keltirilgan.
Axborot xavfsizligi xavflarini qayta ishlashdan so'ng, qoldiq xavf har bir joriy axborot xavfsizligi tahdidlari uchun maqbul bo'ldi.
Tavsiya etilgan usul tashkilotning axborot xavfsizligi xavfini katta miqdordagi qayta ishlangan ma'lumotlar va cheksiz ko'p foydalanuvchilar sharoitida aniq va oqilona baholash imkonini berdi va minimal moliyaviy infuziyalarni talab qildi. Ko'rib chiqilgan usulni amalda qo'llash Rossiya FSTEK axborot xavfsizligi tahdidlari bankiga asoslangan xavfsizlikni muhofaza qilishning asosiy tahdidlarini aniqlashga yordam berdi. Axborot xavfsizligi xavfini baholash natijalaridan kelib chiqqan holda, telekommunikatsiya korxonasining tahdid modeli yaratildi.
Shuni ta'kidlash kerakki, tavsiya etilgan usul avtomatlashtirilgan axborot tizimiga ham, avtomatlashtirish vositalaridan foydalanmasdan axborotni qayta ishlash tizimlariga ham bir xil darajada qo'llaniladi. Biroq, axborot xavfsizligi risklarini baholashga imkon beruvchi ixtisoslashtirilgan dasturiy mahsulotlardan foydalanish hanuzgacha ustuvor vazifa bo'lib qolmoqda, chunki u ko'rib chiqilayotgan usuldan farqli o'laroq, etarli vaqt va moliyaviy resurslarni hisobga olgan holda risklarni boshqarish tizimining real vaqt rejimida ishlashiga imkon beradi. bir martalik yoki vaqti-vaqti bilan amalga oshirilishi mumkin.
Risklarni davolash protsedurasining yana bir xususiyati shundaki, u nafaqat mavjud zaifliklarni "bartaraf etish" va mavjud axborot xavfsizligi tahdidlarini amalga oshirish ehtimolini minimallashtirish, balki xodimlarning axborot xavfsizligi masalalari bo'yicha malakasini oshirishga yordam beradi.

Download 122.81 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5