Axborot xavfsizligi bo'limi va umuman tashkilot, o'z faoliyatini doimiy xavflarni tahlil qilish orqali tuzilgan taqdirda, quyidagi juda muhim afzalliklarga ega bo'ladi:
boshqaruv maqsadlarini aniqlash;boshqaruv usullarini aniqlash;asoslangan va o'z vaqtida qaror qabul qilish asosida boshqaruv samaradorligi.
Xatarlarni boshqarish va axborot xavfsizligini boshqarish bilan bog'liq holda yana bir nechta fikrlarni ta'kidlash kerak.
Risklarni tahlil qilish, hodisalarni boshqarish va axborot xavfsizligi auditi bir-biri bilan chambarchas bog'liq, chunki sanab o'tilgan jarayonlarning kirish va chiqishlari bog'langan. Xatarlarni boshqarish jarayonini ishlab chiqish va amalga oshirish voqealarni boshqarish va IS auditini hisobga olgan holda amalga oshirilishi kerak.
Belgilangan risklarni tahlil qilish jarayoni bank sektorida axborot xavfsizligini ta'minlash uchun STO-BR IBBS-1.0-2006 standartining majburiy talabidir.
Agar tashkilot ISO / IEC 27001: 2005 xalqaro standarti talablariga muvofiqligini sertifikatlashdan o'tishga qaror qilsa, xavflarni tahlil qilish jarayonini o'rnatish zarur.
Tijorat sirlari va shaxsiy ma'lumotlarni himoya qilish rejimini o'rnatish xavflarni tahlil qilish bilan uzviy bog'liqdir, chunki sanab o'tilgan barcha jarayonlar aktivlarni aniqlash va baholash, tajovuzkor modeli va tahdid modelini ishlab chiqish uchun o'xshash usullardan foydalanadi.
Axborotning qiymati uni tayyorlash (to'plash) mashaqqatliligi, uni qo'llab-quvvatlash (xizmat ko'rsatish) xarajatlari, yo'qolgan yoki yo'q qilingan taqdirda mumkin bo'lgan zarar miqdori, boshqa shaxslar (raqobatchilar, hujumchilar) tomonidan etkazilishi mumkin bo'lgan xarajatlar bilan belgilanadi. uni to'lashga tayyor, shuningdek, yuzaga kelishi mumkin bo'lgan oqibatlar va jarimalar miqdori.u yo'qolgan (oqish) taqdirda. Axborotni baholamasdan turib, uni himoya qilishga pul va resurslarni sarflashning maqsadga muvofiqligini adekvat baholash mumkin emas. Himoya choralarini tanlashda ma'lumotlarning qiymatini hisobga olish kerak.
Aktivni baholash miqdoriy va sifat jihatidan ham amalga oshirilishi mumkin. Aktivning haqiqiy qiymati uni sotib olish, rivojlantirish va saqlash xarajatlaridan kelib chiqqan holda aniqlanadi. Aktivning qiymati uning egalari, vakolatli va ruxsatsiz foydalanuvchilar uchun qiymati bilan belgilanadi. Ba'zi ma'lumotlar kompaniya uchun muhim va maxfiylik muhri bilan belgilanadi.
Misol uchun, serverning narxi 4000 dollarni tashkil qiladi, ammo bu xavfni baholashda uning qiymati emas. Uning qiymati uni almashtirish yoki ta'mirlash xarajatlari, unumdorlikning pasayishi natijasida yo'qotishlar, zarar etkazilishi yoki unda saqlangan ma'lumotlarning yo'qolishi bilan belgilanadi. Bu yoki boshqa sabablarga ko'ra serverning shikastlanishi yoki yo'qolishi holatlarida kompaniyaga etkazilgan zararni aniqlaydi.
Do'stlaringiz bilan baham: |
