Ilmiy rahbar fan doktori, professor
Xatarlarni davolash bo'yicha qaror qabul qilish
Download 39.15 Kb.
|
mustaqil iw
- Bu sahifa navigatsiya:
- 1 va 2-bandlar, shuningdek, 3 va 4-bandlar muayyan vaziyatga qarab almashtirilishi mumkin. Risklarni boshqarish texnikasi
|
Xatarlarni davolash bo'yicha qaror qabul qilish
Xatarlarni davolash to'g'risida qaror qabul qilish xavflarni boshqarish jarayonidagi asosiy va eng muhim daqiqadir. Menejment to'g'ri qaror qabul qilishi uchun tashkilotdagi risklarni boshqarish uchun mas'ul shaxs unga tegishli ma'lumotlarni taqdim etishi kerak. Bunday ma'lumotlarni taqdim etish shakli ishbilarmonlik aloqasining standart algoritmi bilan belgilanadi, u to'rtta asosiy nuqtani o'z ichiga oladi: Muammo haqida xabar berish: Biznesga qanday tahdid (manba, ob'ekt, amalga oshirish usuli) va uning mavjudligining sababi nimada?Muammoning jiddiyligi: tashkilot, uning rahbariyati va aktsiyadorlari uchun qanday tahdid mavjud?Taklif etilayotgan yechim: Vaziyatni tuzatish uchun nima qilish taklif qilinmoqda, bu qancha turadi, buni kim qilish kerak va bevosita rahbariyatdan nima talab qilinadi?Muqobil yechimlar: Muammoni hal qilishning yana qanday usullari mavjud (har doim muqobil variantlar mavjud va rahbariyat tanlash huquqiga ega bo'lishi kerak). 1 va 2-bandlar, shuningdek, 3 va 4-bandlar muayyan vaziyatga qarab almashtirilishi mumkin. Risklarni boshqarish texnikasi Risklarni baholash va boshqarishning etarli darajada isbotlangan va keng qo'llaniladigan usullari mavjud. Bunday usullardan biri tashkilotda ichki foydalanish uchun Karnegi Melon universitetida ishlab chiqilgan OCTAVE hisoblanadi. OCTAVE - Kritik tahdidlar, aktivlar va zaifliklarni baholash (Operationally Critical Threat, Asset va Zaifliklarni baholash) turli o'lchamdagi va faoliyat sohalaridagi tashkilotlar uchun mo'ljallangan bir qator modifikatsiyalarga ega. Ushbu usulning mohiyati shundaki, xavflarni baholash uchun tegishli tarzda tashkil etilgan ichki seminarlar ketma-ketligi qo'llaniladi. Xavflarni baholash uch bosqichda amalga oshiriladi, undan oldin bir qator tayyorgarlik tadbirlari, jumladan, seminarlar jadvalini kelishish, rollarni belgilash, rejalashtirish, loyiha jamoasi a'zolarining harakatlarini muvofiqlashtirish kiradi. Birinchi bosqichda amaliy seminarlar davomida tahdid profillarini ishlab chiqish amalga oshiriladi, jumladan, inventarizatsiya va aktivlarni baholash, amaldagi qonunchilik va me'yoriy talablarni aniqlash, tahdidlarni aniqlash va ularning ehtimolini baholash, shuningdek, tashkiliy tizimni aniqlash. axborot xavfsizligi rejimini saqlash choralari. Ikkinchi bosqich - oldingi bosqichda profillari ishlab chiqilgan tashkilot axborot tizimlarining tahdidlarga nisbatan zaif tomonlarini texnik tahlil qilish, bu tashkilot axborot tizimlarining mavjud zaif tomonlarini aniqlash va ularning hajmini baholashni o'z ichiga oladi. Uchinchi bosqichda axborot xavfsizligi xatarlari baholanadi va qayta ishlanadi, bu avvalgi bosqichlarda aniqlangan zaifliklardan foydalangan holda xavfsizlik tahdidlari natijasida zararning ko'lami va ehtimolini aniqlash, himoya strategiyasini aniqlash, shuningdek, variantlarni tanlash va amalga oshirishni o'z ichiga oladi. xavfni davolash bo'yicha qarorlar. Xavfning kattaligi xavfsizlikka tahdidlarni amalga oshirish natijasida tashkilotning yillik yo'qotishlarining o'rtacha qiymati sifatida aniqlanadi. Shunga o'xshash yondashuv o'sha paytda Britaniya hukumati buyrug'i bilan ishlab chiqilgan mashhur CRAMM xavfni baholash usulida qo'llaniladi. CRAMMda xavfni baholashning asosiy usuli bu juda batafsil so'rovnomalardan foydalangan holda puxta rejalashtirilgan suhbatlardir. CRAMM butun dunyo bo'ylab minglab tashkilotlarda qo'llaniladi, shu jumladan, xavf-xatarlar va ularni minimallashtirish mexanizmlari, ma'lumot to'plash, hisobotlarni yaratish, shuningdek amalga oshirish vositalari bo'yicha bilimlar bazasini o'z ichiga olgan yuqori darajada ishlab chiqilgan dasturiy vositalar to'plami mavjudligi tufayli. xavflar kattaligini hisoblash algoritmlari. OCTAVE usulidan farqli o'laroq, CRAMM xavflar hajmini aniqlash uchun biroz boshqacha harakatlar ketma-ketligi va usullaridan foydalanadi. Birinchidan, xavfni baholashning maqsadga muvofiqligi umumiy tarzda aniqlanadi va agar tashkilotning axborot tizimi etarlicha muhim bo'lmasa, unga xalqaro standartlarda tavsiflangan va CRAMM bilim bazasida mavjud bo'lgan standart nazorat mexanizmlari to'plami qo'llaniladi. Birinchi bosqichda, CRAMM usulida axborot, dasturiy ta'minot va texnik resurslar o'rtasidagi munosabatlarni tavsiflovchi axborot tizimi resurslarining modeli quriladi va resurslarning qiymati tashkilot tomonidan etkazilishi mumkin bo'lgan zarardan kelib chiqqan holda baholanadi. ularning murosaga kelishi natijasidir. Ikkinchi bosqichda xavflarni baholash amalga oshiriladi, u tahdidlar ehtimolini aniqlash va baholashni, zaifliklar hajmini baholashni va har bir uchlik uchun xavflarni hisoblashni o'z ichiga oladi: resurs - tahdid - zaiflik. CRAMM tizimda amalga oshirilgan nazorat mexanizmlaridan qat'i nazar, "sof" xavflarni baholaydi. Xatarlarni baholash bosqichida qarshi choralar umuman qo'llanilmaydi deb taxmin qilinadi va ushbu taxmin asosida xavflarni minimallashtirish uchun tavsiya etilgan qarshi choralar to'plami shakllantiriladi. Yakuniy bosqichda CRAMM asboblar to'plami aniqlangan xavflarni minimallashtirish uchun qarshi choralar majmuasini shakllantiradi va tavsiya etilgan va mavjud qarshi choralarni taqqoslaydi, shundan so'ng xavfni davolash rejasi tuziladi. Download 39.15 Kb. Do'stlaringiz bilan baham: 
|