6-amaliy ish. Axborot xavfsizligi risklarini identifikatsiyalash Axborot xavfsizligi risklarini aniqlashning umumiy tavsifi
Download 39.19 Kb.
|
6. Axborot xavfsizligi risklarini identifikatsiyalash
- Bu sahifa navigatsiya:
- Oqibatlarni aniqlash
|
Zaifliklarni aniqlash
Kirish ma’lumotlari: Ma’lum bо‘lgan tahdidlar rо‘yxati, aktivlar va mavjud boshqarish vositalarining rо‘yxatlari. Ish: Tahdidlar ta’sir kо‘rsatadigan va aktivlarga yoki tashkilotga zarar yetkazish potensialiga ega zaifliklar aniqlanishi kerak O‘z DSt ISO/IEC 27001, 4.2.1, d), 3) sanab о‘tish). Amalga oshirish bо‘yicha qо‘llanma: Zaifliklar quyidagi sohalarda aniqlanishi mumkin: - ishlarni tashkil qilishda; - jarayonlar va protseduralarda; - о‘rnatilgan boshqaruv tartibida; - xodimlar; - tabiiy muhit; - axborot tizimi konfiguratsiyasida; - apparat vositalari, dasturiy ta’minot va telekommunikatsiyalar vositalarida; - tashqi tomonlarga bog‘liqlik. Zaiflikning mavjudligi о‘z-о‘zidan zarar yetkazmaydi, chunki zaifliklar vositasida amalga oshiriladigan tahdidlarning bо‘lishi zarur. Ma’lum bir tahdid ta’sir kо‘rsatmaydigan zaiflik boshqarish vositasi joriy qilinishini talab qilmasligi mumkin, lekin u aniqlanishi va о‘zgarishlar bо‘lishiga monitoring qilinishi kerak. Notо‘g‘ri amalga oshirilgan, foydalaniladigan yoki notо‘g‘ri ishlaydigan boshqarish vositasining о‘zi zaiflik bо‘lishini ta’kidlash kerak. Boshqarish vositasi о‘zi ishlaydigan muhitga bog‘liq holda, samarali yoki samarasiz bо‘lishi mumkin. Va aksincha, zaiflik mavjud bо‘lmagan tahdid riskka olib kelmasligi mumkin. Zaifliklar aktivni yaratishda yoki sotib olishda rejalashtirilgandan farq qiladigan maqsadda va usul bilan foydalanilishi mumkin bо‘lgan aktiv xossalari bilan bog‘liq bо‘lishi mumkin. Turli manbalardan yuzaga keladigan zaifliklar, masalan, aktivga nisbatan tashqi yoki ichki hisoblangan zaifliklar qarab chiqilishi zarur. Zaifliklarga misollar va zaifliklarni baholash usullari D ilovada keltirilgan. Chiqish ma’lumotlari: Aktivlar, tahdidlar va boshqarish vositalari bilan bog‘liq bо‘lgan zaifliklar rо‘yxati; qarab chiqilishi zarur bо‘lgan ma’lum tahdid bilan bog‘liq bо‘lmagan zaifliklar rо‘yxati. Oqibatlarni aniqlash Kirish ma’lumotlari: Aktivlar rо‘yxati, amaliy jarayonlar rо‘yxati, tahdidlar va zaifliklarning, о‘rinli hisoblanganda aktivlar bilan bog‘liq bо‘lgan, rо‘yxati va ularning ahamiyatliligi. Ish: Aktivlar uchun, konfidensiallikning, yaxlitlikning, foydalana olishlikning yо‘qotilish natijasi bо‘lishi mumkin bо‘lgan oqibatlar aniqlanishi kerak. (O‘z DSt ISO/IEC 27001, 4.2.1, d), 4)) sanab о‘tish. Amalga oshirish bо‘yicha qо‘llanma: Samaradorlikning yо‘qotilishi, noqulay ish sharoitlari, biznesni yо‘qotish, nufuziga yetkazilgan zarar oqibat bо‘lishi mumkin. Bu ishlar tashkilot uchun zararni yoki insident ssenariysi bilan bog‘liq bо‘lgan oqibatlarni belgilaydi. Insident ssenariysi – bu, axborot xavfsizligi insidenti yuz berganda muayyan zaiflikdan yoki zaifliklar tо‘plamidan foydalaniladigan tahdid tavsifidir (O‘z DSt ISO/IEC 27002, 13-bо‘lim). Insidentlar ssenariylarining ta’siri kontekstni о‘rnatish bilan bog‘liq faoliyat jarayonida aniqlangan ta’sir kо‘rsatish mezonlaridan foydalanib aniqlanishi kerak. U bitta aktivga yoki aktivlarning katta miqdoriga yoki aktivning bir qismiga daxl qilishi mumkin. Shu sababli, aktivlarga, ularning moliyaviy qiymatiga va ular buzilganda yoki obrо‘sizlanganda biznes uchun bо‘ladigan oqibatlarga bog‘liq ravishda baho belgilanishi mumkin. Oqibatlar aktivlarning buzilishi kabi, vaqtinchalik yoki doimiy bо‘lishi mumkin. Izoh – «Xavfsizlik kamchiliklari» sifatida insidentlar ssenariylarining kelib chiqishi O‘z DSt ISO/IEC 27001da keltirilgan. Tashkilotlar: - tekshirish va tiklashga ketadigan vaqt; - (ish) vaqtining yо‘qolishi; - qо‘ldan chiqarilgan imkoniyatlar; - mehnatni muhofaza qilish va xavfsizlik; - nosozliklarni bartaraf qilish uchun zarur bо‘lgan spetsifik malakalarga qilinadigan moliyaviy xarajatlar; - nufuzi va obrо‘si asosida ( lekin cheklanmasdan) insidentlar ssenariylarining amaliy oqibatlarini aniqlashlari kerak. Texnik zaifliklarni baholashga taalluqli bо‘lgan tafsilotlar B ilovada, V.3-bо‘limda keltirilgan. Chiqish ma’lumotlari: Aktivlar va amaliy jarayonlar bilan bog‘liq oqibatlarga ega insidentlar ssenariylarining rо‘yxati. Download 39.19 Kb. Do'stlaringiz bilan baham: 
|