6-amaliy ish. Axborot xavfsizligi risklarini identifikatsiyalash Axborot xavfsizligi risklarini aniqlashning umumiy tavsifi
Download 39.19 Kb.
|
6. Axborot xavfsizligi risklarini identifikatsiyalash
|
Oqibatlarni baholash
Kirish ma’lumotlari: Aniqlangan va asoslangan insidentlar ssenariylarining rо‘yxati, jumladan, tahdidlarni, zaifliklarni va daxl qilingan aktivlarni, biznes-jarayonlar va aktivlar uchun oqibatlarni aniqlash. Ish: Biznesning tashkilotga, axborot xavfsizligining mumkin bо‘lgan yoki real insidentlarining natijasi hisoblanadigan ta’siri, aktivlar konfidensialligini, yaxlitligining yoki foydalanib bо‘lishlikning yо‘qotilishi kabi axborot xavfsizligi buzilishining oqibatlari hisobga olingan holda baholanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, ye), 1) sanab о‘tish). O‘z DSt ISO/IEC 27005:2013 Amalga oshirish bо‘yicha qо‘llanma: Qayta kо‘rib chiqiladigan barcha aktivlar aniqlangandan keyin, bu aktivlarga berilgan baho oqibatlarni baholashda hisobga olinishi kerak. Biznes ta’sirining qiymati sifat yoki miqdor shakllarda ifodalanishi mumkin, biroq pul qiymatini berishning har qanday usuli umuman olganda, qarorlar qabul qilish uchun kо‘proq axborot berishi mumkin, binobarin, qarorlar qabul qilish jarayonini yanada samarali qiladi. Aktivlarning qiymatini aniqlash, tashkilotning amaliy maqsadlarini amalga oshirish uchun aktivlarning muhimligiga nisbatan ularning kritikligiga muvofiq aktivlarni aniqlashdan boshlanadi. Sо‘ngra ikki о‘lchovdan foydalanib qiymat aniqlanadi: - aktivning tiklanish qiymati: axborotni almashtirish va tiklash maqsadida tozalash qiymati (agar bu mumkin bо‘lsa); - aktivga zarardan yoki aktivning obrо‘sizlanishidan biznes uchun kelib chiqadigan oqibatlar, masalan, qonunchilik yoki normativ hujjatlarning talablari bajarilmasligi tufayli axborotning va boshqa axborot aktivlarining fosh etilishi, modifikatsiya qilinishi, foydalanib bо‘lmaslik va/yoki buzilishi oqibatida biznes uchun mumkin bо‘lgan noqulay oqibatlar. Qiymatning aniqlanishi biznesga kо‘rsatiladigan ta’sirni tahlil qilishdan kelib chiqib belgilanadi. Qiymat biznes uchun oqibatlar bilan, odatda, tiklanish qiymatidan ancha yuqori qilib belgilanadi va aktivning tashkilot uchun, uning biznes maqsadlari bajarilishida muhimligiga bog‘liq. Aktivlarning baholanishi insident ssenariysining ta’sirini baholashning muhim omili hisoblanadi, chunki insident bitta aktivga (masalan, bog‘liq aktivlar) yoki aktivning faqat bir qismiga ta’sir kо‘rsatishi mumkin. Turli tahdidlar va zaifliklar aktivlarga turlicha ta’sir kо‘rsatishi mumkin, masalan, konfidensiallikning, yaxlitlikning va foydalana olishlikning yо‘qotilishi. Shu munosabat bilan, oqibatlarni baholash, aktivlar qiymatini aniqlash bilan bog‘langan hisoblanadi yoki biznesga kо‘rsatiladigan ta’sir tahlilidan kelib chiqib qilinadi. Oqibatlar yoki biznesga ta’sir kо‘rsatish voqea-hodisa yoki voqea- hodisalar tо‘plami natijalarini modellash yoki о‘tgan davr ichidagi ma’lumotlarni yoki eksperimental tadqiqotlarni ekstrapolyatsiya qilish yо‘li bilan aniqlanishi mumkin. Oqibatlar pul ifodasiga ega bо‘lishi, texnik yoki odam bilan bog‘liq ta’sir mezonlari orqali yoki tashkilot uchun ahamiyatli bо‘lgan boshqa mezonlar orqali ifodalanishi mumkin. Alohida hollarda, turli vaqt, joylar, guruhlar yoki vaziyatlar bilan bog‘liq bо‘lgan oqibatlarni aniqlash uchun, raqamli qiymatdan kо‘ra kо‘proq narsa talab etiladi. Vaqt yoki mablag‘lar bilan bog‘liq oqibatlar, tahdidlar va zaifliklar ehtimolligiga nisbatan ishlatiladigan yondashuv vositasida о‘lchanishi kerak. Sifat yoki miqdor yondashuvning izchilligi ta’minlanishi kerak. B ilovada ta’sirni baholash va aktivlar qiymatini aniqlash bо‘yicha batafsil axborot keltiriladi. Chiqish ma’lumotlari: Aktivlarga va ta’sir kо‘rsatish mezonlariga nisbatan ifodalangan insidentlar ssenariysi baholangan oqibatlarining rо‘yxati. Download 39.19 Kb. Do'stlaringiz bilan baham: 
|