Keyinchalik, zarar qiymatini hisoblash mumkin, buning uchun har bir axborot aktivi xavfining o'rtacha qiymati va mumkin bo'lgan yo'qotishlar miqdori qo'llaniladi:
bu erda L - zarar qiymati;
Rav - o'rtacha xavf qiymati;
S - yo'qotishlar (pul ko'rinishida).
Taklif etilayotgan metodologiya axborot xavfsizligi xavfining qiymatini to'g'ri baholash va xavfsizlik hodisalari sodir bo'lgan taqdirda pul yo'qotishlarni hisoblash imkonini beradi.
Adabiyot
1. ISO / IEC 27001. Xalqaro standart axborot xavfsizligini boshqarish tizimini yaratish, ishlab chiqish va ta'minlash uchun axborot xavfsizligi talablarini o'z ichiga oladi. 20s.
2. GOST R ISO / IEC TO 7. Rossiya Federatsiyasining milliy standarti. Xavfsizlikni ta'minlash usullari va vositalari. 3-qism. Axborot texnologiyalari xavfsizligini boshqarish usullari. Moskva. 20s.
3. BS 7799-2: 2005 Axborot xavfsizligini boshqarish tizimining spetsifikatsiyasi. Angliya. 20s.
4. RS BR IBBS-2.2-200. Rossiya Federatsiyasining bank tizimidagi tashkilotlarning axborot xavfsizligini ta'minlash. Axborot xavfsizligini buzish xavfini baholash usullari. Moskva. 20s.
5. Axborot texnologiyalari tizimlari uchun risklarni boshqarish bo'yicha qo'llanma. Milliy standartlar va texnologiyalar institutining tavsiyalari. AQSH. 20s.
6. Elektron manba Wikipedia, maqola "Risk".
Axborot xavfsizligini boshqarish jarayonlarida xavf tahlilini amaliy qo'llash masalalari, shuningdek, axborot xavfsizligi xavfini tahlil qilish jarayonining umumiy muammolari.
Har qanday faoliyat sohasini boshqarish jarayonida ongli va samarali qarorlarni ishlab chiqish kerak, ularning qabul qilinishi ma'lum maqsadlarga erishishga yordam beradi. Bizning fikrimizcha, adekvat qaror faqat faktlar va sabab-oqibat munosabatlarini tahlil qilish asosida qabul qilinishi mumkin. Albatta, ba'zi hollarda qarorlar intuitiv darajada ham qabul qilinadi, ammo intuitiv qarorning sifati ko'p jihatdan menejerning tajribasiga va kamroq darajada vaziyatlarning muvaffaqiyatli kombinatsiyasiga bog'liq.
Asoslangan va tegishli qaror qabul qilish jarayoni qanchalik murakkab ekanligini ko'rsatish uchun biz axborot xavfsizligini boshqarish (IS) sohasidan misol keltiramiz. Oddiy vaziyatni olaylik: axborot xavfsizligi bo'limi boshlig'i o'zining asosiy funktsiyasini - tashkilotning axborot xavfsizligini ta'minlashni samarali ishlab chiqish uchun qaysi yo'nalishlarda harakat qilish kerakligini tushunishi kerak. Bir tomondan, hamma narsa juda oddiy. Xavfsizlik muammolarini hal qilishda bir qator standart yondashuvlar mavjud: perimetrlarni himoya qilish, insayderlardan himoya qilish, fors-major holatlaridan himoya qilish. Va u yoki bu muammoni hal qilish imkonini beruvchi ko'plab mahsulotlar mavjud (o'zingizni u yoki bu tahdiddan himoya qilish uchun).
Biroq, kichik bir "lekin" bor. Axborot xavfsizligi bo'yicha mutaxassislar turli toifadagi mahsulotlarni tanlash juda keng, tashkilotning axborot infratuzilmasi juda katta, buzg'unchilar tomonidan hujumlar uchun potentsial nishonlar soni ko'p va tashkilot bo'linmalarining faoliyati juda katta ekanligi bilan duch kelishadi. heterojen va uni birlashtirish mumkin emas. Shu bilan birga, bo'limning har bir mutaxassisi o'z mutaxassisligi va shaxsiy ustuvorliklariga mos keladigan faoliyat yo'nalishlarining ustuvorligi haqida o'z fikriga ega. Va bitta texnik echimni amalga oshirish yoki yirik tashkilotda bitta reglament yoki yo'riqnomani ishlab chiqish, loyiha faoliyatining barcha atributlari: rejalashtirish, byudjet, mas'ul shaxslar, muddatlar va boshqalar bilan kichik loyihaga olib keladi.
Shunday qilib, hamma joyda va hamma narsadan o'zini himoya qilish jismonan mumkin emas, birinchidan, ikkinchidan, bu hech qanday ma'noga ega emas. Bunday holatda axborot xavfsizligi bo'limi boshlig'i nima qilishi mumkin?
Birinchidan, u birinchi jiddiy hodisaga qadar hech narsa qilmasligi mumkin. Ikkinchidan, har qanday umumiy qabul qilingan axborot xavfsizligi standartini amalga oshirishga harakat qilish. Uchinchidan, dasturiy ta'minot va apparat ishlab chiqaruvchilari va integratorlari yoki axborot xavfsizligi bo'yicha maslahatchilarning marketing materiallariga ishoning. Biroq, boshqa yo'l bor.
Do'stlaringiz bilan baham: |
