Ilmiy rahbar fan doktori, professor
Axborot xavfsizligini boshqarish maqsadlarini aniqlash
Download 39.15 Kb.
|
mustaqil iw
- Bu sahifa navigatsiya:
- Aktivlarni aniqlash va baholash
|
Axborot xavfsizligini boshqarish maqsadlarini aniqlash
Siz harakat qilib ko'rishingiz mumkin - tashkilot rahbariyati va xodimlarining yordami bilan - aslida nimani va kimdan himoya qilish kerakligini tushunish uchun. Shu paytdan boshlab, ma'lum bir faoliyat texnologiyalar va asosiy biznes kesishmasidan boshlanadi, bu faoliyat yo'nalishini va (agar iloji bo'lsa) axborot xavfsizligining maqsadli holatini aniqlashdan iborat bo'lib, u bir vaqtning o'zida biznes nuqtai nazaridan ham, biznes nuqtai nazaridan ham shakllantiriladi. axborot xavfsizligi shartlari. Xatarlarni tahlil qilish jarayoni axborot xavfsizligini boshqarish maqsadlarini aniqlash, kompaniyaning asosiy biznes-jarayonlariga salbiy ta'sir ko'rsatadigan asosiy muhim omillarni baholash va ularni nazorat qilish yoki minimallashtirish uchun asoslangan, samarali va oqilona qarorlarni ishlab chiqish mumkin bo'lgan vositadir. Quyida sanab o'tilgan natijalarni olish uchun axborot xavfsizligi xavfini tahlil qilish doirasida qanday vazifalar hal qilinishini va xavflarni tahlil qilish doirasida ushbu natijalarga qanday erishilganligini aytib beramiz. Aktivlarni aniqlash va baholash Axborot xavfsizligini boshqarishning maqsadi ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini saqlashdir. Bitta savol - qanday ma'lumotni himoya qilish kerak va uning xavfsizligini ta'minlash uchun qanday harakatlar qilish kerak (1-rasm). Har qanday boshqaruv u yuzaga kelgan vaziyatdan xabardorlikka asoslanadi. Xatarlarni tahlil qilish nuqtai nazaridan vaziyatdan xabardorlik tashkilotning aktivlari va ularning atrof-muhitini, ya'ni tadbirkorlik faoliyatini amalga oshirishni ta'minlaydigan barcha narsalarni inventarizatsiya qilish va baholashda ifodalanadi. Axborot xavfsizligi xatarlarini tahlil qilish nuqtai nazaridan asosiy aktivlar to'g'ridan-to'g'ri axborot, infratuzilma, xodimlar, kompaniyaning imiji va obro'sini o'z ichiga oladi. Biznes darajasida aktivlarni inventarizatsiya qilmasdan, aniq nimani himoya qilish kerakligi haqidagi savolga javob berish mumkin emas. Tashkilotda qanday ma'lumotlar qayta ishlanishi va qayerda qayta ishlanishini tushunish juda muhimdir. Katta zamonaviy tashkilotda axborot aktivlari soni juda ko'p bo'lishi mumkin. Agar tashkilot faoliyati ERP tizimi yordamida avtomatlashtirilgan bo'lsa, demak, bu faoliyatda foydalaniladigan deyarli har qanday moddiy ob'ekt qandaydir axborot ob'ektiga mos keladi. Shuning uchun risklarni boshqarishning asosiy vazifasi eng muhim aktivlarni aniqlashdir. Tashkilot faoliyatining asosiy yo'nalishi bo'yicha o'rta va yuqori darajadagi menejerlarni jalb qilmasdan bu muammoni hal qilish mumkin emas. Tashkilotning yuqori rahbariyati shaxsan axborot xavfsizligini ta'minlash juda muhim bo'lgan faoliyatning eng muhim yo'nalishlarini belgilab qo'yganida optimal holat. Yuqori menejmentning axborot xavfsizligini ta'minlashning ustuvor yo'nalishlari to'g'risidagi fikri risklarni tahlil qilish jarayonida juda muhim va qimmatlidir, ammo har qanday holatda ham kompaniya boshqaruvining o'rta darajasida aktivlarning tanqidiyligi to'g'risida ma'lumot to'plash orqali aniqlanishi kerak. Shu bilan birga, yuqori boshqaruv tomonidan belgilab qo'yilgan tadbirkorlik faoliyati sohalarida qo'shimcha tahlillarni amalga oshirish tavsiya etiladi. Qabul qilingan ma'lumotlar qayta ishlanadi, umumlashtiriladi va vaziyatni har tomonlama baholash uchun yuqori rahbariyatga uzatiladi (lekin bu haqda keyinroq). Axborotni biznes-jarayonlarning tavsifi asosida aniqlash va mahalliylashtirish mumkin, ular doirasida axborot resurslar turlaridan biri sifatida qaraladi. Agar tashkilot tadbirkorlik faoliyatini tartibga solishga yondashuvni qo'llagan bo'lsa (masalan, sifatni boshqarish va biznes jarayonlarini optimallashtirish uchun) vazifa biroz soddalashtirilgan. Biznes jarayonlarining rasmiylashtirilgan tavsiflari aktivlarni inventarizatsiya qilish uchun yaxshi boshlanish nuqtasini ta'minlaydi. Agar tavsiflar bo'lmasa, siz tashkilotdagi odamlardan olingan ma'lumotlarga asoslanib aktivlarni aniqlashingiz mumkin. Aktivlar aniqlangandan so'ng, ularning qiymatini aniqlash kerak. Butun tashkilot kontekstida axborot aktivlarining qiymatini aniqlash bir vaqtning o'zida eng muhim va qiyin hisoblanadi. Aynan axborot aktivlarini baholash axborot xavfsizligi boshqarmasi boshlig‘iga axborot xavfsizligini ta’minlash bo‘yicha faoliyatning asosiy yo‘nalishlarini tanlash imkonini beradi. Aktivning qiymati aktivning xavfsizligi buzilgan taqdirda tashkilot tomonidan ko'rilgan zararlar miqdorida ifodalanadi. Qiymatni aniqlash muammoli, chunki ko'p hollarda tashkilot menejerlari, masalan, fayl serverida saqlangan sotib olish narxi ma'lumotlari raqobatchiga kirsa, nima bo'ladi degan savolga darhol javob bera olmaydi. To'g'rirog'i, aksariyat hollarda tashkilot rahbarlari bunday vaziyatlar haqida hech qachon o'ylamagan. Ammo axborot xavfsizligini boshqarish jarayonining iqtisodiy samaradorligi ko'p jihatdan nimani himoya qilish kerakligini va buning uchun qanday harakatlar talab qilinishini tushunishga bog'liq, chunki ko'p hollarda harakatlar miqdori sarflangan pul miqdori va operatsion xarajatlarga to'g'ridan-to'g'ri proportsionaldir. . Risklarni boshqarish qayerda tavakkal qilish mumkin va qayerda qilolmaysiz degan savolga javob berishga imkon beradi. Axborot xavfsizligi holatida "xavf" atamasi ma'lum bir sohada axborot aktivlarini himoya qilish uchun jiddiy harakatlarni amalga oshirish mumkin emasligini anglatadi va shu bilan birga, xavfsizlik buzilgan taqdirda tashkilot jiddiy zarar ko'rmaydi. yo'qotishlar. Bu erda biz avtomatlashtirilgan tizimlarning himoya sinflari bilan taqqoslashimiz mumkin: xavf qanchalik muhim bo'lsa, himoya talablari shunchalik qattiq bo'lishi kerak. Xavfsizlik buzilishining oqibatlarini aniqlash uchun siz shunga o'xshash xarakterdagi qayd etilgan hodisalar haqida ma'lumotga ega bo'lishingiz yoki stsenariy tahlilini o'tkazishingiz kerak. Stsenariy tahlili aktivlar xavfsizligi hodisalari va ushbu hodisalarning tashkilotning biznes faoliyati uchun oqibatlari o'rtasidagi sabab-oqibat munosabatlarini o'rganadi. Stsenariylarning oqibatlari bir necha kishi tomonidan takroriy yoki qasddan baholanishi kerak. Shuni ta'kidlash kerakki, bunday stsenariylarni ishlab chiqish va baholashni haqiqatdan butunlay ajratib bo'lmaydi. Har doim esda tutish kerakki, stsenariy ehtimoliy bo'lishi kerak. Qiymatni aniqlash mezonlari va shkalalari har bir tashkilot uchun individualdir. Stsenariy tahlili natijalariga ko'ra, aktivlarning qiymati haqida ma'lumot olish mumkin. Agar aktivlar aniqlansa va ularning qiymati aniqlansa, shuni aytish mumkinki, axborot xavfsizligini ta'minlash maqsadlari qisman belgilanadi: himoya qilish ob'ektlari va ularni tashkilot uchun axborot xavfsizligi holatida saqlashning ahamiyati aniqlanadi. Ehtimol, faqat kimdan o'zini himoya qilish kerakligini aniqlash uchun qoladi. Download 39.15 Kb. Do'stlaringiz bilan baham: 
|