Режа: Ахборот тизимларининг хавфсизлигига қўйиладиган талаблар ва хавфсизлик талабларини таҳлил қилиш ва спецификациялаш
Download 36.58 Kb.
|
6-маъруза
|
Техник заифликларни бошқариш
Мақсад: ҳаммага маълум техник заифликлардан фойдаланиш хавфини камайтириш. Техник заифликларни бошқариш стратегияси самарали, мунтазам ва доимо қўлланадиган бўлиши керак. Ушбу стратегиянинг самаралилигини тасдиқлаш учун миқдор ўлчовларини бажариш керак. Муаммолар доирасида операцион тизимлар ва ҳар қандай фойдаланиладиган бошқа иловаларни кўриб чиқиш керак. Техник заифликларни бошқариш. Бошқариш воситаси Фойдаланиладиган ахборот тизимларининг техник заифликлари тўғрисидаги ахборотни ўз вақтида олиш, ташкилотнинг бундай заифликларга дучорлигини баҳолаш ва улар билан боғлиқ хавфларга нисбатан тегишли чоралар қабул қилиш керак. Активларнинг кундалик тўлиқ рўйхати (7.1) - техник заифликларни самарали бошқаришнинг дастлабки шарти. Техник заифликларни бошқариш учун дастурий таъминотнинг ишлаб чиқувчилари, версиялар номерлари ва ўрнатилганлигининг (масалан, қандай дастурий таъминот ва қандай тизимларда ўрнатилган) кундалик ҳолати тўғрисида, шунингдек, ташкилотда дастурий таъминот учун жавобгар шахс (шахслар) тўғрисида батафсил ахборот зарур. Потенциал техник заифлик аниқланган ҳолда тегишли чоралар кўрилиши керак. Техник заифликларни самарали бошқаришни ташкил қилиш учун қуйидагилар зарур: а) техник заифликларни бошқариш билан боғлиқ вазифалар ва мажбуриятларни аниқлаш ва бошқариш, жумладан заифликларни кузатиб бориш, заифликлар хавфларини аниқлаш, тузатишлар киритиш, ушбу ишларни мувофиқлаштириш бўйича активлар ва зарур мажбуриятларни кузатиб бориш; b) тегишли техник заифликларни аниқлаш ва улар тўғрисидаги хабардорликни таъминлаш учун дастурий таъминот ва бошқа технологиялар учун фойдаланиладиган ахборот активларини белгилаш (7.1.1); инвентаризация қилиш натижалари бўйича ёхуд бошқа янги ёки фойдали активларни топишда ахборот активларини янгилаш; c) техник заифлик тўғрисида хабарларга муносабат билдириш жадвалини белгилаш, балки ташкилот учун долзарб бўлган заифликларга; d) ташкилотнинг потенциал техник заифлиги аниқланиши билан боғлиқ хавфлар ва кўриладиган чораларни белгилаш; ушбу чоралар заиф тизимларга тузатишлар киритишни ва/ёки бошқаришнинг бошқа воситаларини қўллашни ўз ичига олиши мумкин; e) техник заифликка (12.5.1) ишлов беришнинг талаб қилинган шошилинчлигига боғлиқ ёки ахборот хавфсизлигининг инцидентларига муносабат билдириш процедураларига мувофиқ ўзгаришларни бош-қариш билан боғлиқ бошқариш воситаларини қўллаб амалларни бажариш (13.2); f) агар ямоқдан фойдаланиш мумкин бўлса, ямоқни ўрнатиш билан боғлиқ хавфларни баҳолаш (заифлик туфайли юзага келадиган хавфларни ямоқни ўрнатиш хавфлари билан таққослаш керак); g) ямоқларнинг самарадорлигини ва йўл қўйиб бўлмайдиган ножўя таъсирларининг бўлмаслигини таъминлаш учун уларни ўрнатишдан олдин текшириш ва баҳолаш; агар ҳеч қандай ямоқлардан фойдаланиш мумкин бўлмаса, қуйидагилар каби бошқа бошқариш воситаларини кўриб чиқиш керак: 1) сервисларни ёки заифликлар билан боғлиқ имкониятларни узиб қўйиш; 2) фойдаланишни бошқариш воситаларини мослаштириш ёки қўшиш, масалан, тармоқлар чегараларидаги тармоқлараро экранларни (11.4.5); 3) реал ҳужумларни аниқлаш ёки олдини олиш учун мониторингни кучайтириш; 4) заифлик тўғрисида хабардорликни ошириш; h) аудит журналларини барча қўлланадиган процедуралар учун сақлаш керак; i) техник заифликларни бошқариш жараёнининг самарадорлилигини ва натижавийлигини таъминлаш учун уни мунтазам кузатиб бориш ва баҳолаш керак; j) катта хавфга эга бўлган тизимлар биринчи навбатда эътибор қилинишини талаб қиладилар. Кўпгина ташкилотлар учун техник заифликларни бошқариш жараёнини тўғри бажариш мушкул, шунинг учун ушбу жараённи мунтазам кузатиб бориш керак. Ташкилот учун потенциал долзарб бўлган техник заифликларни аниқлаш учун инвентаризация қилишнинг аниқ натижалари жуда муҳим. Техник заифликларни бошқаришга ўзгаришларни бошқаришнинг вазифаси сифатида қараш мумкин; ўзгаришларни бошқариш жараёнлари ва процедураларидан техник заифликларни бошқариш манфаатида фойдаланиш мумкин (10.1.2, 12.5.1). Кўпинча ямоқларни имкони борича тезлаштириб чиқариб, ишлаб чиқувчиларнинг ўзлари катта босим остида бўладилар, шунинг учун, ямоқ муаммони лозим даражада ҳал қилмаслиги мумкин ва унинг салбий ножўя таъсирлари бўлиши мумкин. Шунингдек, баъзи ҳолатларда ямоқ қўлланиши биланоқ, ямоқни ўрнатишни бекор қилиш осон бўлмайди. Агар ямоқларни тестдан етарли даражада ўтказиш мумкин бўлмаса, масалан, сарф-харажатлар ёки активларнинг етишмаслиги туфайли, бошқа фойдаланувчиларнинг тажрибасига асосланган ўзаро боғлиқ хавфларни баҳолаш мақсадида тузатишлар киритишни кечиктирилишини кўриб чиқиш мумкин. Download 36.58 Kb. Do'stlaringiz bilan baham: 
|