Ахборот хавф-хатарларини бошқариш ва тахлил қилишнинг метод ва воситалари. Quryozov Ravshanbek Baxtiyor o’g’li


-rasm – Axborot xavfsizligi xavfini baholash jarayoni


Download 471.14 Kb.
bet2/5
Sana20.12.2022
Hajmi471.14 Kb.
#1037041
1   2   3   4   5
Bog'liq
2-mustaqil ish

1-rasm – Axborot xavfsizligi xavfini baholash jarayoni
Xavfni identifikatsiya qilish ro'yxatni tuzish va xavf elementlarini tavsiflashdan iborat: himoya qilish ob'ektlari, tahdidlar, zaifliklar.
Himoya qilinadigan ob'ektlarning quyidagi turlarini ajratish odatiy holdir: axborot aktivlari; dasturiy ta'minot; jismoniy aktivlar; Xizmatlar; odamlar, shuningdek, ularning malakasi, ko'nikmalari va tajribasi; tashkilotning obro'si va imidji kabi nomoddiy resurslar.
Qoida tariqasida, dastlabki uchta guruh amalda ko'rib chiqiladi. Qolgan muhofaza ob'ektlari baholashning murakkabligi sababli hisobga olinmaydi.
Xatarlarni aniqlash bosqichida tahdidlar va zaifliklarni aniqlash ham amalga oshiriladi. Buning uchun dastlabki ma'lumotlar sifatida audit natijalaridan foydalaniladi; axborot xavfsizligi hodisalari to'g'risidagi ma'lumotlar; foydalanuvchilarning ekspert xulosalari, axborot xavfsizligi bo'yicha mutaxassislar, IT mutaxassislari va tashqi maslahatchilar.




Xatarlarni aniqlash bosqichida olingan ma'lumotlar xavfni tahlil qilish jarayonida qo'llaniladi:
- aktivlar xavfsizligini buzish natijasida tashkilotga mumkin bo'lgan zarar;
- bunday buzilish ehtimoli;
- xavf qiymatlari.
Mumkin bo'lgan zarar miqdori aktivlarning qiymati va ularning xavfsizligini buzish oqibatlarining og'irligini hisobga olgan holda shakllantiriladi..
Mumkin bo'lgan zararning qiymatini tashkil etuvchi ikkinchi komponent - bu aktivlarning xavfsizligini buzish oqibatlarining jiddiyligi. Barcha mumkin bo'lgan oqibatlar va ularning tashkilotga, uning sheriklariga va xodimlariga salbiy ta'siri darajasi hisobga olinadi.
Axborot aktivining maxfiyligi, yaxlitligi, mavjudligi va boshqa muhim xususiyatlarining buzilishi oqibatlarining jiddiyligini aniqlash va keyin umumiy bahoni topish kerak..

Xatarlarni tahlil qilishning keyingi bosqichi tahdidlarni amalga oshirish ehtimolini baholashdir..


Mumkin bo'lgan zararning kattaligi va tahdidlarning yuzaga kelish ehtimoli aniqlangandan so'ng, xavfning kattaligi aniqlanadi. Xatarlarni hisoblash mumkin bo'lgan zararni birlashtirish yo'li bilan amalga oshiriladi, bu aktivlar xavfsizligini buzishning mumkin bo'lgan oqibatlarini va tahdidlarning yuzaga kelish ehtimolini ifodalaydi. Bunday kombinatsiya ko'pincha matritsa yordamida amalga oshiriladi, bu erda mumkin bo'lgan zarar qiymatlari qatorlarga joylashtiriladi va xavfni amalga oshirish ehtimoli ustunlarga joylashtiriladi va kesishish uchun xavf qiymati..


Keyinchalik, hisoblangan xavf darajalari xavf darajasi shkalasi bilan taqqoslanadi. Bu hisoblangan xavflarning tashkilot biznesiga ta'sirini real baholash va ma'nosini etkazish uchun zarurdir
boshqaruv uchun xavf darajalari. Xatarlarni baholash, shuningdek, qo'shimcha harakatlar talab etilmagan xavfning maqbul darajalarini aniqlashi kerak. Boshqa barcha xavflar qo'shimcha choralarni talab qiladi.
Xatarlarni baholash natijalari iqtisodiy maqsadga muvofiqligi va xavfni davolash faoliyatining ustuvorligini aniqlash uchun ishlatiladi.,


xavf darajasini kamaytiradigan himoya choralarini tanlash bo'yicha oqilona qaror qabul qilish imkonini beradi.
2-rasmda GOST R ISO/IEC 27005-2010 “Axborot texnologiyalari. Xavfsizlikni ta'minlash usullari va vositalari. Axborot xavfsizligi risklarini boshqarish».
Xavflarni tahlil qilishning ko'plab usullari mavjud. Ulardan ba'zilari juda oddiy jadval usullariga asoslangan va maxsus dasturiy vositalardan foydalanishni o'z ichiga olmaydi, boshqalari esa, aksincha, faol foydalanadi. Xatarlarni boshqarishga qiziqish ortishiga qaramay, hozirda qo'llanilayotgan usullar nisbatan samarasiz, chunki ko'pgina kompaniyalarda bu jarayon har bir bo'linma tomonidan mustaqil ravishda amalga oshiriladi. Ko'pincha ularning harakatlari ustidan markazlashtirilgan nazorat mavjud emas, bu butun tashkilotda risklarni boshqarishga yagona va yaxlit yondashuvni amalga oshirish imkoniyatini istisno qiladi.
Axborot xavfsizligi xavfini baholash muammosini hal qilish uchun hozirgi vaqtda quyidagi dasturiy ta'minot tizimlari ko'proq qo'llaniladi: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), GRIF, CORAS va boshqalar. Barcha ma'lum usullarni ajratish mumkin:
- xavfni sifat darajasida baholashdan foydalanadigan usullar (masalan, "yuqori", "o'rta", "past" shkalasi bo'yicha), bunday usullar, xususan, FRAPni o'z ichiga oladi;
- miqdoriy usullar (xavf raqamli qiymat orqali baholanadi, masalan, kutilayotgan yillik yo'qotishlar miqdori), bu sinf RiskWatch usulini o'z ichiga oladi;
- aralash baholardan foydalanadigan usullar (bu yondashuv CRAMM, MSAT usulida qo'llaniladi).
Axborot xavfsizligi risklarini boshqarishning ma'lum bir metodologiyasini joriy etish to'g'risida qaror qabul qilishdan oldin, u kompaniyaning biznes ehtiyojlarini, uning ko'lamini etarlicha to'liq hisobga olganligiga, shuningdek, eng yaxshi jahon amaliyotiga mos kelishiga va juda batafsil tavsifga ega ekanligiga ishonch hosil qilishingiz kerak. jarayonlar va kerakli harakatlar.
1-jadvalda hozirgi kunda eng ommabop usullarning (CRAMM, GRIF, RiskWatch, CORAS, MSAT) qiyosiy tahlili keltirilgan.
1-jadval
Axborot xavfsizligi risklarini boshqarish uchun dasturiy vositalarni taqqoslash



Download 471.14 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling