· Risk = likelihood * consequence
· Risk = likelihood * impact
QRA va Qualitative Risk Assessment (QRA) ishlab chiqilgan sistematik tahlil va baholash usullari. ISO 27005 ishlab chiqilgan standart axborot xavfsizligi risklarini baholash va uni kamaytirish uchun tavsiyalarni beradi.
27. Riskni identifikatsiyalash, aktiv, taxdid, zaiflikni, nazorat vositalari
Risklarni identifikatsiyalash deganda AT risklarini topish va aniqlash jarayoni tushuniladi, xavfni baholash deganda xavfni amalga oshirish oqibatlariga, shuningdek uni amalga oshirish ehtimoliga raqamli qiymatlar berish tushuniladi. Xavfni qabul qilish deganda xavfni amalga oshirishdan yetkazilgan zarar maqbul ekanligini va uni amalga oshirish ehtimoli shunchalik kichikki, bu axborot xavfsizligi xavfini qayta ishlash tartib-qoidalarini amalga oshirmaslikka imkon beradi. Riskga munosanbat ishtirokchilar o'rtasida joriy xavflar haqida ma'lumot almashish imkonini beradi.
•Har bir aniqlangan xavf uchun mumkin bo'lgan sabablar va senariylarni ko'rib chiqing.
Sabab - xavf hodisasiga olib kelishi mumkin bo'lgan potentsial triggerlarni aniqlang. Bitta xavf hodisasi ma'lum bir sabab yoki bir nechta mumkin bo'lgan sabablarga ega bo'lishi mumkin. Bir sabab bir nechta xavf bilan bog'liq bo'lishi mumkin.
Natijalar - agar xavf hodisasi yuzaga kelsa, mumkin bo'lgan ta'sirni aniqlang. Bitta xavf hodisasi ma'lum oqibatlarga yoki bir nechta mumkin bo'lgan oqibatlarga olib kelishi mumkin. Natijalar bir nechta xavf uchun umumiy bo'lishi mumkin.
•Usullar va vositalar:
- Xatarlarni doimiy identifikatsiyalash - har qanday xodim xavflarni aniqlashi va oshirishi mumkin.
- Riskni stolda baholash - faoliyat yoki jarayonning kundalik faoliyatida ishtirok etadigan xodimlar bilan ma'lum bir faoliyat yoki jarayonning xavflari va nazoratini muhokama qilish va baholashni o'z ichiga oladi.
Do'stlaringiz bilan baham: |