Ilmiy rahbar fan doktori, professor
Ushbu turdagi muammolar zararni miqdoriy baholashni sezilarli darajada murakkablashtiradi, ammo ishonchli baho olish uchun ularni hisobga olish kerak
Download 39.15 Kb.
|
mustaqil iw
|
Ushbu turdagi muammolar zararni miqdoriy baholashni sezilarli darajada murakkablashtiradi, ammo ishonchli baho olish uchun ularni hisobga olish kerak.
Xatarlarni baholash texnikasi. Xavflarni baholash uchun turli xil usullar qo'llaniladi. Keling, ulardan ba'zilarini ko'rib chiqaylik. NIST SP 800-30 va 800-66 800-66 dastlab sog'liqni saqlash va boshqa tartibga solinadigan tarmoqlar uchun ishlab chiqilgan bo'lsa-da, tijorat kompaniyalari tomonidan qo'llanilishi mumkin bo'lgan metodologiyalardir. NIST yondashuvi IT tahdidlari va ular bilan bog'liq axborot xavfsizligi xavflarini hisobga oladi. U quyidagi bosqichlarni o'z ichiga oladi:Tizim xususiyatlarining tavsifiTahdidlarni aniqlashZaifliklarni aniqlashHimoya choralarini tahlil qilishEhtimollikni aniqlashTa'sir tahliliRisk ta'rifiHimoya choralari bo'yicha tavsiyalarNatijalarni hujjatlashtirish NIST SP 800-30 riskni baholash metodologiyasi ko'pincha maslahatchilar va xavfsizlik mutaxassislari, ichki IT bo'limlari tomonidan qo'llaniladi. U asosan kompyuter tizimlariga qaratilgan. Jismoniy shaxslar yoki kichik guruhlar internetdan, foydalaniladigan xavfsizlik amaliyotlaridan va kompaniyada ishlaydigan odamlardan ma'lumotlarni to'playdi. Yig'ilgan ma'lumotlar 800-30-hujjatda tavsiflangan xavflarni tahlil qilish bosqichlarini bajarish uchun kirish sifatida ishlatiladi. Yana bir xavfni baholash metodologiyasi FRAP (Osonlashtirilgan risklarni tahlil qilish jarayoni). U turli yo'nalishlarda va turli metodologiyalardan foydalangan holda auditni o'tkazishga imkon beradigan tarzda risklarni sifatli baholash uchun mo'ljallangan. Bu kompaniyaga turli muammolarni hal qilish uchun muayyan vaziyatlarda harakat yo'nalishi va aniq harakatlar to'g'risida qaror qabul qilish usullarini taqdim etadi. Bu, oldindan tanlash orqali kompaniyada haqiqatan ham xavf tahliliga muhtoj bo'lgan sohalarni aniqlash imkonini beradi. FRAP shunday tuzilganki, jamoani yaxshi tashkil etish ko'nikmalariga ega bo'lgan har bir kishi ushbu metodologiyadan foydalangan holda xavf tahlilini muvaffaqiyatli o'tkazishi mumkin. Metodologiyaning yana bir turi OKTAVA (Operatsion jihatdan muhim tahdid, aktiv va zaiflikni baholash). Bu butun axborot xavfsizligi xavfini tahlil qilish jarayoni kompaniya xodimlari tomonidan (tashqi maslahatchilarni jalb qilmasdan) amalga oshiriladigan holatlarda qo'llanilishi kerak bo'lgan metodologiya. Bu kompaniyadagi odamlar kompaniyaga nima kerakligini va u qanday xavf-xatarlarga duch kelishini eng yaxshi tushunishga asoslangan. Baholash jarayonida ishtirok etish uchun tanlangan xodimlar o'z kompaniyasining xavfsizligini baholash uchun qaysi yondashuv yaxshiroq ekanligini o'zlari hal qilishadi. NIST va OCTAVE metodologiyalari IT tahdidlari va axborot xavfsizligi xatarlariga qarshi kurashda, AS / NZS 4360 risklarni boshqarishga ancha kengroq yondoshadi. Ushbu metodologiya kompaniyaning moliya, odamlarni himoya qilish, biznes qarorlarini qabul qilish va boshqalardagi risklarini tushunish uchun ishlatilishi mumkin. U xavfsizlik xavfini tahlil qilish uchun maxsus ishlab chiqilmagan, ammo bu maqsadda ham muvaffaqiyatli ishlatilishi mumkin. ESLATMA. Ushbu risklarni tahlil qilish yondashuvlari va ulardan foydalanish haqida ko'proq ma'lumotni Shon Xarrisning http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html manzilidagi maqolasida topishingiz mumkin. CRAMM (CCTA Risk Analysis and Management Method - Method of analysis and risk management of Central Computer and Telecommunications Agency (CCTA) UK) uch segmentga bo'lingan: aktivlarni aniqlash va baholash, tahdidlar va zaifliklarni tahlil qilish, qarshi choralarni tanlash. Ushbu metodologiya kompaniyaning texnik jihatlarini ham, texnik bo'lmagan tomonlarini ham hisobga oladi. Daraxtlarni o'z ichiga olgan tahlil (Spanning Tree Analysis) - bu tizimning ishlashini buzishi mumkin bo'lgan barcha mumkin bo'lgan tahdidlar va kamchiliklar daraxtini yaratadigan metodologiya. Har bir filial umumlashtirilgan mavzu yoki toifadir, xavfni tahlil qilish jarayonida qo'llanilmaydigan filiallar olib tashlanishi mumkin. FMEA (muvaffaqiyatsizlik rejimlari va ta'sir tahlili) Tuzilgan jarayon yordamida funktsiyalarni aniqlash, funktsional nuqsonlarni aniqlash, nuqson sabablari va oqibatlarini baholash usuli. Ushbu jarayonni doimiy nuqsonlarga qo'llash, xatolik yuzaga kelishi mumkin bo'lgan joyni aniqlash imkonini beradi. Bu zaifliklarni aniqlash, zaifliklar chegaralarini va ulardan foydalanish oqibatlarini aniq belgilashda katta yordam beradi. O'z navbatida, bu nafaqat zaifliklarni bartaraf etadigan yamoqlarni qo'llashni soddalashtirish, balki ushbu vazifani bajarishda resurslardan yanada samarali foydalanishni ta'minlash imkonini beradi. Download 39.15 Kb. Do'stlaringiz bilan baham: 
|