Ilmiy rahbar fan doktori, professor
Download 39.15 Kb.
|
mustaqil iw
- Bu sahifa navigatsiya:
- Xavf-xatarni baholash
|
Zaifliklarni aniqlash
Shunga ko'ra, tahdid modelini ishlab chiqqandan so'ng, aktivlar muhitidagi zaifliklarni aniqlash kerak. Zaifliklarni aniqlash va baholash axborot xavfsizligini boshqarishning boshqa jarayoni - auditning bir qismi sifatida amalga oshirilishi mumkin. Shuni esdan chiqarmaslik kerakki, AT auditini o'tkazish uchun tekshirish mezonlarini ishlab chiqish kerak. Va tekshirish mezonlari tahdid modeli va buzg'unchi modeli asosida aniq ishlab chiqilishi mumkin. Tahdid modeli, buzg'unchi modeli va zaifliklarni aniqlashni ishlab chiqish natijalariga ko'ra, tashkilotning axborot xavfsizligining maqsadli holatiga erishishga ta'sir qiluvchi sabablar aniqlanganligini aytishimiz mumkin. Xavf-xatarni baholash Aktivlarni aniqlash va baholash, tajovuzkor model va tahdid modelini ishlab chiqish, zaifliklarni aniqlash har qanday xavf tahlili metodologiyasida tavsiflanishi kerak bo'lgan standart qadamlardir. Yuqoridagi barcha qadamlar turli darajadagi sifat va tafsilotlar bilan bajarilishi mumkin. Katta miqdordagi to'plangan ma'lumotlar va rasmiylashtirilgan modellar bilan nima va qanday qilish mumkinligini tushunish juda muhimdir. Bizning fikrimizcha, bu savol eng muhimi va qo'llaniladigan xavfni tahlil qilish usuli unga javob berishi kerak. Olingan natijalarni baholash, umumlashtirish, tasniflash va namoyish qilish kerak. Zarar aktivlarni aniqlash va baholash bosqichida aniqlanganligi sababli, xavf hodisalari ehtimolini baholash kerak. Aktivlarni baholashda bo'lgani kabi, ehtimollik bahosini sabablari ko'rib chiqilayotgan IS tahdidlariga to'g'ri keladigan hodisalar bo'yicha statistik ma'lumotlar asosida yoki ishlab chiqilgan tahdid modeliga mos keladigan omillarni tortish asosida prognozlash usuli bilan olish mumkin. . Zaifliklarni ekspluatatsiya qilish qulayligini tavsiflovchi tanlangan omillar to'plamiga ko'ra zaifliklarni tasniflash ehtimolini baholashning yaxshi amaliyoti bo'ladi. Tahdidlar ehtimolini bashorat qilish zaiflikning xususiyatlari va tahdidlar kelib chiqadigan huquqbuzarlar guruhlari asosida amalga oshiriladi. Zaiflikni tasniflash tizimiga misol sifatida CVSS standarti - zaifliklarni baholashning umumiy tizimidir. Ta'kidlash joizki, zaifliklarni aniqlash va baholash jarayonida xavflarni baholashni amalga oshiruvchi axborot xavfsizligi mutaxassislarining ekspert tajribasi, axborot xavfsizligi sohasidagi zaifliklar va tahdidlar bo'yicha foydalaniladigan statistik materiallar va hisobotlar juda muhimdir. Riskning kattaligi (darajasi) barcha aniqlangan va mos keladigan aktivlar tahdidi to'plami uchun aniqlanishi kerak. Shu bilan birga, zarar miqdori va ehtimoli mutlaq pul va foizlarda ifodalanishi shart emas; bundan tashqari, qoida tariqasida, natijalarni ushbu shaklda taqdim etish mumkin emas. Buning sababi axborot xavfsizligi risklarini tahlil qilish va baholash uchun qo'llaniladigan usullar: stsenariy tahlili va prognozlash. Download 39.15 Kb. Do'stlaringiz bilan baham: 
|