6-amaliy ish. Axborot xavfsizligi risklarini identifikatsiyalash Axborot xavfsizligi risklarini aniqlashning umumiy tavsifi
Download 39.19 Kb.
|
6. Axborot xavfsizligi risklarini identifikatsiyalash
|
Insident ehtimolligini baholash
Kirish ma’lumotlari: Muayyan tegishli insidentlar ssenariylarining rо‘yxati, jumladan tahdidlarni aniqlash, daxl qilinadigan aktivlar, biznes-jarayonlar va aktivlar uchun oqibatlar va foydalaniladigan zaifliklar. Bundan tashqari, barcha mavjud va rejalashtiriladigan boshqarish vositalari, ularning samaradorligi, foydalanish va amalga oshirilish holati rо‘yxati. Ish: Insidentlar ssenariylarining ishlash ehtimolligi baholanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, ye), 2) sanab о‘tish). Amalga oshirish bо‘yicha qо‘llanma: Insidentlar ssenariylari aniqlangandan sо‘ng, baholashning sifat yoki miqdor usullaridan foydalanib, yuzaga keladigan ta’sir va har bir ssenariyning ehtimolligi baholanishi zarur. Bu yerda quyidagilarni kо‘rib chiqqan holda, zaifliklardan qanchalik oson foydalanilayotganligini va tahdidlar qanchalik tez-tez yuzaga kelayotganligini hisobga olish zarur: - tajriba va tahdidlar ehtimolligining qо‘llaniladigan statistikasini; - motivatsiya va vaqt о‘tishi bilan о‘zgaradigan imkoniyatlar, potensial buzg‘unchilar foydalana oladigan resurslar, shuningdek, potensial buzg‘unchining aktivlarning zaifliklarini va jozibadorigini his qilishi – qasddan bо‘ladigan tahdidlar manbalari uchun; - geografik omillar, masalan, kimyo yoki neftni qayta ishlash zavodiga yaqinlik, ekstremal ob-havo sharoitlarining mumkinligi va xodimlarning xatolariga ta’sir kо‘rsatishi mumkin bо‘lgan omillar hamda uskunaning tо‘xtab qolishi – tasodifiy tahdidlar manbalari uchun; - alohida zaifliklar va ularning jami; - mavjud boshqarish vositalari, alohida zaifliklar va ularning jami. Masalan, axborot tizimida foydalanuvchi shaxsi maskaradingi tahdidlariga va resurslarni suiiste’mol qilinishiga zaiflik bо‘lishi mumkin. Foydalanuvchi shaxsi maskaradingi bilan bog‘liq zaiflik, foydalanuvchilar autentifikatsiya qilinmaganligi tufayli yuqori bо‘lishi mumkin. Boshqa tomondan, resurslarni suiiste’mol qilish ehtimolligi foydalanuvchilar autentifikatsiya qilinmaganligiga qaramay, past bо‘lishi mumkin, chunki resurslarni suiiste’mol qilish usullari cheklangan. Aniqlik talab qilinishi–qilinmasligiga bog‘liq holda, aktivlar guruhlanishi yoki aktivlarni elementlarga ajratish va ssenariylarni elementlar bilan bog‘lash zarurati yuzaga kelishi mumkin. Masalan, geografik joylashishlar uchun ayni bir turdagi aktivlarga bо‘ladigan tahdidlar xarakteri о‘zgarishi yoki mavjud boshqarish vositalarining samaradorligi farqlanishi mumkin. Chiqish ma’lumotlari: Insidentlar ssenariylarining ehtimolligi (sifat va miqdor jihatdan). Risklarni aniqlash darajasi Kirish ma’lumotlari: Aktivlar bilan bog‘liq oqibatlarga ega insidentlar ssenariylarining va biznes-jarayonlar rо‘yxati hamda ularning ehtimolliklari (sifat yoki miqdor jihatdan). Ish: Barcha ahamiyatli insidentlar ssenariylari uchun risklar darajasi aniqlanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, ye), 4) sanab о‘tish). Riskni tahlil qilishda risk oqibatlariga va ehtimolligiga qiymatlar beriladi. Bu qiymatlar sifat yoki miqdor jihatdan bо‘lishi mumkin. Riskni tahlil qilish baholangan oqibatlar va ehtimollikka asoslanadi. Qо‘shimcha tarzda, u qiymat afzalliklarini, aloqador tomonlarning manfaatdorligini va riskni baholashda zarur bо‘ladigan boshqa о‘zgaruvchilarni hisobga olishi mumkin. О‘lchangan insident ssenariysi ehtimolligi va uning oqibatlari birikmasi hisoblanadi. E ilovada axborot xavfsizligi risklarini tahlil qilishga bо‘lgan turli usullar va yondashuvlarga misollar keltiriladi. Chiqish ma’lumotlari: Berilgan qiymatlar darajalariga ega risklar rо‘yxati. Download 39.19 Kb. Do'stlaringiz bilan baham: 
|