Ахборот хавф-хатарларини бошқариш ва тахлил қилишнинг метод ва воситалари. Quryozov Ravshanbek Baxtiyor o’g’li
Download 471.14 Kb.
|
2-mustaqil ish
- Bu sahifa navigatsiya:
- Мониторинг рисков
|
Расчет оптимального баланса между различными типами мер безопасности, такими как: Меры предотвращения − + + − + Меры выявления − + + − + Меры по исправлению − + + − + Меры по восстановлению − + + − + Интеграция способов управления − + − − − Описание назначения способов управления − + + + + Процедура принятие остаточных рисков + + − − +
Мониторинг рисков Применение мониторинга эффективности мер ИБ − + + − − Проведение мероприятий по снижению рисков − + + − + Использование процесса реагирования на инциденты в области ИБ − + − − + Структурированное документирование результатов оценок рисков − + + − + u yoki bu usulning maqsadi; qo'llaniladigan boshqaruv usullari va qoldiq risklarni boshqarish usullari samaradorligini monitoring qilish; maksimal ruxsat etilgan xavf qiymatlarini qayta hisoblash; hodisaga javob berish jarayoni. CRAMMni amaliy qo'llash yuqori malakali mutaxassislarni jalb qilish zarurati bilan bog'liq; xavfni baholash jarayonining murakkabligi va davomiyligi. Bundan tashqari, litsenziyaning yuqori narxini ta'kidlash kerak. GRIF baholash GRIF metodologiyasi xavflarni miqdoriy va sifat jihatidan baholash usullaridan foydalanadi, shuningdek, kompaniya tomonidan qabul qilinishi mumkin bo'lgan shartlarni belgilaydi, xavfsizlik choralarini amalga oshirish uchun investitsiyalarning daromadliligini hisoblashni o'z ichiga oladi. Boshqa xavflarni tahlil qilish metodologiyalaridan farqli o'laroq, GRIF xavfni kamaytirishning barcha variantlarini taklif qiladi (aylanib o'tish, kamaytirish va qabul qilish). Ushbu metodologiya biznes jarayonlarining tavsifi yoki axborot xavfsizligi xavfini baholash bo'yicha hisobotlar kabi qo'llab-quvvatlovchi hujjatlarni hisobga oladi. RiskWatch baholash Ushbu uslub xavfni baholashning miqdoriy va sifat usullaridan foydalanadi. Ushbu usul yordamida xavflarni tahlil qilish bo'yicha ishlarning murakkabligi nisbatan kichik. Ushbu usul, agar tashkiliy va ma'muriy omillarni hisobga olmasdan, dasturiy va apparat himoyasi darajasida xavf tahlilini o'tkazish zarur bo'lsa, mos keladi. RiskWatch-ning muhim afzalligi - bu intuitiv interfeys va yangi toifalar, tavsiflar, savollar va boshqalarni kiritish imkoniyati bilan ta'minlangan usulning katta moslashuvchanligi. CORAS baholash CORAS "Axborot xavfsizligi bo'yicha xodimlarni xabardor qilish dasturi" kabi xavflarni boshqarishning samarali chorasini ta'minlamaydi. Bunday dastur kompaniya xodimlari tomonidan ushbu sohadagi korporativ talablar va axborot tizimlaridan xavfsiz foydalanish qoidalaridan xabardor emasligi sababli axborot xavfsizligi rejimini buzish bilan bog'liq axborot xavfsizligi xavflarini kamaytirishga imkon beradi. Shuningdek, CORAS xavfni baholash va ularning qiymatlarini yangilash chastotasini nazarda tutmaydi, bu metodologiya bir martalik baholashni amalga oshirish uchun mos ekanligini va muntazam foydalanish uchun mos emasligini ko'rsatadi. CORAS ning ijobiy tomoni shundaki, ushbu texnikani amalga oshiradigan dasturiy mahsulot bepul tarqatiladi va o'rnatish va foydalanish uchun katta resurslarni talab qilmaydi. MSAT baholash Ushbu dasturiy mahsulot uchun asosiy ko'rsatkichlar quyidagilardir: biznes-tavakkalchilik profili (biznes muhitiga qarab xavfning o'zgarishi haqiqatan ham muhim parametr bo'lib, u turli faoliyat sohalaridagi tashkilotlarda tizim xavfsizligi darajasini baholashda har doim ham hisobga olinmaydi. ) va eshelon indeksining himoyasi (xavfsizlik darajasining umumiy qiymati). MSAT xavf darajasining miqdoriy bahosini bermaydi, ammo sifatli baholashni darajali shkala bilan bog'lash mumkin. MSAT sizga xavfsizlik choralarini amalga oshirishga investitsiyalar samaradorligini baholash imkonini beradi, lekin axborot aktivlarini oldini olish, aniqlash, tuzatish yoki tiklashga qaratilgan chora-tadbirlar o'rtasidagi optimal muvozanatni topishga imkon bermaydi. Xulosa Ko'rib chiqilgan usullar "Xavflar" va "Jarayonlar (xavf elementlaridan foydalanish)" guruhlari talablariga juda mos keladi, ammo ularning ba'zilarida (SRAMM, CORAS) "Monitoring" va "Menejment" bo'limlariga muvofiq kamchiliklar mavjud. shuningdek, ko'plab kichik bo'limlar bilan "Jarayonlar" . Bir nechta (GRIF, RiskWatch, MSAT) xavflarni qayta baholashni rejalashtirish bo'yicha batafsil maslahat beradi. O'rta kompaniyada faqat bir martalik xavfni baholash zarur bo'lgan hollarda, CORAS metodologiyasidan foydalanishni tavsiya etish tavsiya etiladi. Texnik darajadagi davriy baholashga asoslangan risklarni boshqarish uchun CRAMM eng mos keladi. Microsoft Security Assessment Tool va RiskWatch usullaridan axborot xavfsizligi xatarlarini muntazam baholash asosida tashkiliy darajadan past bo'lmagan darajada va kamaytirish bo'yicha oqilona harakatlar rejasini ishlab chiqish asosida amalga oshirish rejalashtirilgan yirik kompaniyalarda foydalanish uchun afzallik beriladi. ular talab qilinadi. Download 471.14 Kb. Do'stlaringiz bilan baham: 
|