Zbekiston respublikasi raqamli texnologiyalari vazirligi muhammad al xorazmiy nomidagi toshkent axborot texnologiyalari universiteti
Risk - bu noaniqlikning maqsadlarga ta’siri. AX riski
Download 71.4 Kb.
|
1,1 Axborot xavfsizligini boshqarish tizimlari mustaqil ish 1
- Bu sahifa navigatsiya:
- Zaiflik
- Sabab-oqibat tahlili
- Foydalanilgan adabiyotlar
Risk - bu noaniqlikning maqsadlarga ta’siri.
AX riski - bu tashkilotga zarar yetkazish uchun aktiv yoki aktivlar guruhining zaifliklaridan foydalanish xavfi. Tahdid - bu xavf manbasi biznesning salbiy ta’siriga olib keladigan zaiflikdan foydalanish ehtimoli. Zaiflik - bu ximoyalash tizimidagi kamchilik bulib, riskni ro‘yobga chiqarishga imkon beradi. AX tahdidi - axborotning yaxlitligi, foydalanuvchanligi va konfidensialligini buzilishiga olib kelishi mumkin bo‘lgan shartlar va omillar majmui. Axborot aktivi - bu moddiy yoki nomoddiy obyekt bo‘lib, u: - ma’lumot yoki ma’lumotlar guruhini o‘z ichiga oladi - axborotni ishlash, saqlash yoki uzatish uchun xizmat qiladi - tashkilot uchun muhim ahamiyatga ega. Risklarni tahlil qilish, aslida risklarni boshqarish vositasi, zaifliklar va tahdidlarni aniqlash usuli bo‘lib, mumkin bo‘lgan ta’sirni baholaydi, bu bizga aynan o‘sha tizimlar va jarayonlar uchun yetarli himoya choralarini tanlash imkonini beradi. Risklarni tahlil qilish xavfsizlikni iqtisodiy, dolzarb, o‘z vaqtida va tahdidlarga javob berish xususiyatini xosil qiladi. Bu, shuningdek, kompaniyaga xavflar ro‘yxatini birinchi o‘ringa qo‘yish va himoya choralarining oqilona narxini aniqlash va asoslashga yordam beradi. Riskni tahlil qilish to‘rtta asosiy maqsadga ega: • aktivlar va ularning kompaniya uchun qiymatini aniqlash; • tahdid va zaifliklarni aniqlash; •potensial tahdidlarni amalga oshish ehtimolini boxolash va biznesga ta’sirini aniqlash; •tahdidlar ta’siridan yetkazilgan zarar va qarshi choralar xarajatlari o‘rtasidagi iqtisodiy muvozanatni ta’minlash. Risk tahlili, mumkin bo‘lgan zararlar bilan himoya choralarining yillik xarajatlarini taqqoslaydi. Himoya choralarining yillik qiymati, har yili mumkin bo‘lgan zararlardan oshmasligi kerak. Shuningdek, tavakkalchilikni tahlil qilish, xavfsizlik dasturini, kompaniya biznesining maqsadlari va talablari bilan bog‘lash imkonini beradi, bu har ikkalasida ham muvaffaqiyat uchun juda muhimdir. Risklarni aniqlash va tahlil qilish ishini boshlashdan oldin, ishning maqsadi, uning ko‘lami va kutilgan natijani tushunish kerak. Shuni yodda tutish kerakki, barcha yunalishlarda bir vaqtning o‘zida barcha risklarni tahlil qilishga urinish mumkin emas. Risk tahlili yuqori rahbariyat tomonidan qo‘llab-quvvatlanishi va boshqarilishi kerak. Faqat shu holatda u muvaffaqiyatli bo‘ladi. Rahbariyat ko‘rib chiqishning maqsadlari va ko‘lamini belgilashi, baholashni o‘tkazish uchun guruh a’zolarini tayinlashi va bu ishni bajarish uchun zarur vaqt va mablag ajratishi kerak. Baholash natijalarini yuqori rahbariyat diqqat bilan ko‘rib chiqishi shart. Risklarning miqdoriy tahlili. Risklarning miqdoriy tahlili risklarni tahlil qilish jarayonining barcha elementlariga haqiqiy va mazmunli raqamlarni berishga harakat qiladi. Bu elementlar himoya choralarining narxi, aktivning qiymati, biznesga yetkazilgan zarar, tahdid chastotasi, himoya choralarining samaradorligi, zaiflikdan foydalanish ehtimoli va boshqalar bo‘lishi mumkin. Risklarning miqdoriy tahlili bizga riskni amalga oshirish ehtimolining (foizda) aniq qiymatini olish imkonini beradi. Tahlil paytida har bir element miqdoriy ravishda umumiy va qoldiq tavakkalchilikni aniqlash uchun tenglamaga kiritiladi. Ta’kidlash lozimki, riskni shaffof shaklda miqdoriy tahlil qilish murakkab jarayon, chunki individual miqdor ma’nosida har doim ma’lum darajada noaniqlik mavjud (ayniqsa, tahdidlar murakkab bo‘lsa va ularning paydo bo‘lish chastotasi past bo‘lsa). Masalan, zaiflik qanchalik tez-tez ishlatilishini bilish kiyin. Yoki kompaniyaning zararlarining aniq miqdorini qanday aniqlash mumkin? Sifatli xavf-xatar tahlili. Xatarlarni tahlil qilishning boshqa usuli-bu tarkibiy qismlar va yuqotishlar bo‘yicha pul qiymatini hisoblamaydigan, balki risk ehtimoli, tahdidlarning jiddiylik darajasi va turlicha bulgan qarshi choralarni asoslash uchun, turli senariylardan foydalanadigan sifatli usul. Tavakkalchilik, eng yaxshi amaliyot, sezgi va tajriba tavakkalchilikni sifatli tahlili uchun ishlatiladi. Risklarni sifatli tahlil qilish uchun ma’lumotlarni yig‘ish usullariga misollar: Delfi usuli, aqliy hujum, arxiv hujjatlari bilan ishlash, maqsadli guruhlar so‘rovlari, so‘rovnomalar, nazorat varaqalari, yuzma-yuz uchrashuvlar, intervyular. Risklarni tahlil qilish guruhi tahdidlar turiga, kompaniyaning madaniyatiga va tahlil jarayonida ishtirok etadigan odamlarga qarab eng yaxshi texnikani tanlashi kerak. Risklarni tahlil qilish guruhiga, tahdidlarni baholaydigan sohada tajribasi va bilimi bo‘lgan, xodimlar kiritilishi kerak. Tahdid va zararlarni baholash jarayonida guruhning har bir a’zosi o‘zining bilim va tajribasiga asoslanib o‘z bahosini 2. So‘ngi paytlarda axborot texnologiyalari sohasida axborot xavfsizligi bilan bog‘liq judayam ko‘plab xavf-xatarlar mavjud bulib, ularning soni kun sayin oshib bormoqda. Bu xavf-xatarlarni oldindan aniqlab, ularga mos karshi choralar ko‘rish uchun turli tahlil usullari ishlab chiqilgan. Bu usullar axborot xavfsizligi xavf-xatarlarini minimal darajada kamaytirish imkonini beradi. Eng ko‘p qo‘llaniladigan uslublaridan biri bu “Galstuk-babochka” tahlili hisoblanadi. “Galstuk-babochka” taxlili xavfli hodisani rivojlanish yulllarini sababdan oqibatgacha sxematik tavsiflash va tahlillash uslubi xisoblanadi. “Galstuk-babochka” taxlili bulishi mumkin bulgan sabab va oqibat diapazonlarini namoyish etish asosida risklarni tadkik etish uchun kullaniladi. Ushbu usulning asosiy yo‘nalishi tekshirilayotgan hodisaga qarshi choralar va uni keltirib chiqaradigan sabablarga qaratilgan. “Galstuk-babochka” taxlili usulni qullanilish sohasi 1. Bulishi mumkin bulgan sabab va oqibatlar diapazonini namoyish etish asosida risklarni tadqiq etishda. 2. Nosozliklar daraxti tahlilini tulik utkazish murakkab bulganda yeki tadkikot asosan xar bir buzilish yuli uchun tusiqlar yoki boshqarish vositalarini yaratishga yunaltirilganda ushbu uslubni kullash tavsiya etiladi; 3.Buzilishga olib keladigan aniq urnatilgan mustaqil yullar mavjud bulgan xolatlarda kullash foydalidir. “Galstuk-babochka” taxlili usulning afzalligi: - muammoni yakkol, oddiy va tushunarli grafik shaklda takdim etishni ta’minlaydi; - xavfli hodisalardan ogoxlantirish va/yoki ularning oqibatlarini kamaytirish hamda, ularning samaradarligini baholashga qaratilgan boshkarish vositalariga yunaltirilgan; - kulay oqibatlarga nisbatan xam uchun qullanilishi mumkinligi; - yuqori malakali mutahasislarni jalb etishga ehtiyoj yuqligi. Usulning kamchiligi: -bir vaqtning uzida yuzaga keladigan va oqibatlarga olib keladigan sabablar tuplamini tasvirlashga imkoniyat bermasligi; - ushbu usulda murakkab vaziyatlarni, ayniksa sonli baxolashdan foydalanganda, haddan tashqari sodda tasvirlashi mumkinligi.Yuqoridagi misolda hodisa sifatida kompyuter qurilmasiga virus tushish hodisasi olingan. "Galstuk-babochka" tahlilini o‘tkazish orqali biz xavfli hodisalar va ularning oqibatlarning oldini olish, yumshatish yoki kutilayotgan hodisalarni kuchaytirish, tezlashtirishga yo‘naltirilgan xavfli voqealar va to‘siqlarning asosiy yo‘llarini aniq ko‘rsatadigan oddiy diagramma hosil qilish orqali bo‘lishi mumkin bo‘lgan xavf-xatarlardan yetkaziladigan zarar miqdorini kamaytirish imkoniyatiga ega bo‘lamiz. Sabab-oqibat tahlil usuli - bu nosozlik daraxti tahlili va hodisalar daraxti tahlilining kombinatsiyasi. Tahlil kritik hodisadan boshlanadi va yuzaga kelishi mumkin bo‘lgan sharoitlarni yoki boshlangan hodisaning oqibatlarini yumshatishga mo‘ljallangan tizimlarning ishdan chiqishini ko‘rsatuvchi YES / NO mantiqiy elementlari kombinatsiyasidan foydalanib, oqibatlarini ko‘rib chiqadi. Nosozlik daraxti yordamida shartlar yoki nosozliklar sabablari tahlil qilinadi. Sabab-oqibat tahlili tizimning ishlamay qolishi haqida to‘liqroq tushuncha berish uchun dastlab muhim xavfsizlik tizimlarining ishonchliligini ta’minlash usuli sifatida ishlab chiqilgan. Halokatli hodisaga olib keladigan nosozikliklar mantig‘ini ko‘rsatish, shuningdek, "Nosozlik daraxtini" tahlil qilishda foydalaniladigan funktsional usuldir, chunki bu ketma -ket nosozliklarni o‘z vaqtida tahlil qilishga imkon beradi. Bu usul, shuningdek, hodisalar daraxti bilan mumkin bo‘lmagan oqibatlarni tahlil qilishda vaqt kechikishlarini hisobga olishga imkon beradi. Bu usul muayyan quyi tizimlarning (masalan, favqulodda tizimlar) ishlashiga qarab, muhim voqeadan keyin tizimda sodir bo‘lishi mumkin bo‘lgan hodisalarni ishlab chiqishning turli usullarini tahlil qilishda ishlatiladi. Agar bu usullar miqdoriy hisoblansa, ular tahliliy hodisaning turli xil mumkin bo‘lgan oqibatlari ehtimolini baholaydi. Sabab-oqibat sxemasidagi har bir ketma-ketlik past darajadagi nosozliklar daraxtlarining kombinatsiyasi bo‘lgani uchun, sababli tahlil nosozlik daraxtlarining umumiylashgan tasvirini qurish vositasi sifatida ishlatilishi mumkin. Qo‘llaniladigan sxemalar loyihalash va tadbiq etish bosqichida murakkablik tug‘diradi, shuning uchun muvaffaqiyatsizlikning mumkin bo‘lgan oqibatlari hajmi, katta xarajatlarni oqlaganida ulardan foydalanish maqsadga muvofiqdir. Chiqish ma’lumotlari Tizim va uning nosozlik turlari, shuningdek, nosozlik senariylari haqida tushunchalarga ega bo‘lish talab qilinadi. Quyidagi tartib qo‘llaniladi: Kritik (yoki boshlang‘ich) hodisani aniqlang (bu nosozlik daraxtining oxirgi hodisasi va "hodisa" daraxtining boshlanish hodisasi). Voqea sabablarini aniqlash uchun nosozlik daraxtini ishlab chiqiladi va tekshiriladi. Bunda ham nosozlik daraxtini tahlil qilishda ishlatiladigan belgilardan foydalaniladi. Holatlar ko‘rib chiqish tartibini aniqlang. Bu mantiqiy ketma -ketlik bo‘lishi kerak, masalan, ular sodir bo‘lgan vaqt ketma-ketligi. Har xil holatlarga qarab oqibatlarning paydo bo‘lish yo‘llarini yarating Bu bosqich "vaziyatlar-daraxti"ni qurishga o‘xshaydi, lekin vaziyatlar-daraxti shoxlari muayyan shart ko‘rsatilgan blok sifatida tasvirlanadi. Har bir shartli blokning nosozligi mustaqil bo‘lishi sharti bilan, har bir oqibat ehtimolini hisoblash mumkin. Buning uchun shartli blokning har bir chiqishiga (mos keladigan nosozlik daraxtlari yordamida) ehtimollarni tayinlash kerak. Muayyan natijaga olib keladigan har qanday voqealar ketma -ketligi ehtimoli, ko‘rib chiqilayotgan natijaga olib keladigan har bir shartlar ketma -ketligining ehtimollarini ko‘paytirish orqali aniqlanadi. Agar bir nechta hodisalar ketma -ketligi bir xil oqibatlarga olib keladigan bo‘lsa, unda barcha ketma -ketliklarning ehtimolligi qo‘shiladi. Agar ko‘rib chiqilayotgan ketma -ketlikdagi shartlarning ishlamay qolishi o‘rtasida bog‘liqliklar mavjud bo‘lsa (masalan, elektr ta’minotining uzilishi bir nechta nosozliklarni keltirib chiqarishi mumkin), unda bog‘liqliklarni hisoblashdan oldin aniqlash kerak. Chiqish ma’lumotlari Sabab-oqibat tahlil natijasi - bu tizim qanday qilib nosozlikka uchrashi mumkinligi, uning sabablari va oqibatlarini ko‘rsatuvchi sxematik tasviri, shuningdek, har bir mumkin bo‘lgan oqibatlarning ehtimolligi miqdoriy bahosini aniqlashga yordam beradi. 2.3-rasmda sabab oqibat tahliliga misol keltirilgan. Sabab-oqibat tahlili Ushbu tahlilda hodisa sifatida ma’lumotlarni sirqib chiqishi hodisasi olingan. Afzalliklari va kamchiliklari Sabab-oqibat tahlili "vaziyatlar daraxti" va nosozlik daraxtini birgalikda tahlil qilish bilan bir xil afzalliklarga ega. Sababiy tahlil tizimning har tomonlama ko‘rinishini beradi Kamchiliklari shundan iboratki, bu usul sxemani tuzishda ham, miqdoriy aniqlashda bog‘liqliklarni hisobga olish usulida ham, "xato daraxti" va hodisalar "daraxti" ni tahlil qilishdan ko‘ra murakkabroqdir. Rad etish daraxtining tahlili(FTA) – bu tadqiq qilinayotgan kutilmagan hodisaninng paydo bo’lishiga yordam beruvchi omillarni aniqlash va tahlil etish usulidir. Tadqiq qilinayotgan omillar ajratish(deduksiya) yordamida aniqlanib, mantiqiy tarzda quriladi hamda ushbu omillar va ularning oxirgi voqea bilan mantiqiy aloqasi diogrammada daraxt ko’rinishida aks ettiriladi. Rad etish daraxtida ko’rsatilgan omillar - kompyuter uskunalari ishlamay qolishi bilan bog‘liq hodisalar, inson xatolari yoki kutulmagan holatga olib kelishi mumkin bo’lgan boshqa hodisalar bo’lishi mumkin. Qo’llash sohasi Agar boshlang‘ich hodisalar ehtimolining qiymati ma’lum bo’lsa, ohirgi hodisani sodir bo’lish ehtimolini hisoblashda baholash miqdorini, yakuniy hodisaga olib borilishini, rad etish sabablari va yo’llarini aniqlashda sifatli baholash uchun rad etish daraxti usulidan foydalanish mumkin. Mazkur usul rad etish sabablarini aniqlash uchun tizimni loyihalash bosqichlarida foydalanish mumkin. Shuningdek loyiha variantlarini tanlashda ham ishlatiladi. Asosiy rad etish turlari va oxirgi hodisaga olib borish yo’llarining nisbiy ahamiyatini aniqlash uchun loyihani ishlab chiqish bosqichlarida FTA usulidan foydalanish mumkin. Shuningdek rad etish daraxti tadqiq qilinayotgan muvofaqiyatsizlikka olib keluvchi hodisalar kombinatsiyasini tahlil qilish uchun ham ishlatilishi mumkin. 2.4-rasmda Kompyuterni ishdan chiqish hodisasini rad etis daraxti usuli yordamida tahlili keltirilgan. Voqealar daraxti tahlili - asosiy hodisadan (ETA-Event tree analysis) kelib chiqadigan hodisalar ketma -ketligini tuzish algoritmi. Favqulodda vaziyatning rivojlanishini tahlil qilish uchun ishlatiladi. Har bir favqulodda vaziyat senariysi chastotasi asosiy hodisaning chastotasini yakuniy voqea ehtimolligiga ko‘paytirish yo‘li bilan hisoblanadi. Shaklda butunlay mustaqil, hodisa daraxti misoli oddiy hisoblar asosida ko‘rsatilgan. Daraxt ko‘rinishida joylashtirish orqali ETA qo‘shimcha tizimlar, funktsiyalar yoki to‘siqlarni hisobga olgan holda, boshlanadigan hodisaga mos keladigan yomonlashuvchi yoki yaxshilanadigan hodisalarni ko‘rsatishga imkon beradi. Qo‘llanilishi ETA boshlangan hodisadan keyin turli xil salbiy senariylarni modellashtirish, hisoblash va saralash (xavf nuqtai nazaridan) uchun ishlatilishi mumkin. ETA mahsulot yoki jarayon hayot siklining istalgan bosqichida qo‘llanilishi mumkin. Voqealar potentsial senariylari va ketma -ketligini ishlab chiqishga yordam beradigan va istalmagan natijalarni kamaytirish uchun turli xil qayta ishlash choralari, to‘siqlar yoki boshqaruvlar natijalarga qanday ta’sir qilishi haqida fikr yuritish uchun sifatli darajada qo‘llanilishi mumkin. Miqdoriy tahlillar boshqaruvning mosligini hisobga olish uchun eng maqbuldir. Ko‘pincha u turli xil xavfsizlik choralari va vositalari qo‘llanilgan hollarda nosozliklarni simulyatsiya qilish uchun ishlatiladi. ETA zarar yoki foyda keltirishi mumkin bo‘lgan voqealarni modellashtirish uchun ishlatilishi mumkin. Biroq, imtiyozlar nuqtai nazaridan eng maqbul bo‘lgan yo‘llarni izlash, odatda, qarorlar daraxti yordamida modellashtiriladi. Kirish ma’lumotlari Kirish ma’lumotlari quyidagilarni o‘z ichiga oladi: mumkin bo‘lgan voqealar ro‘yxati; davolash choralari, to‘siqlar va nazoratlar va ularning muvaffaqiyatsizlik ehtimoli haqidagi ma’lumotlar (miqdoriy tahlil uchun); dastlabki muvaffaqiyatsizlik rivojlanadigan jarayonlar haqida tushuncha. 3. Axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan asosiy mezonlarni belgilash, axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun kamrovi va chegaralarini aniqlash hamda tegishli tuzilmani belgilab olishni o‘z ichiga olgan axborot xavfsizligi risklarini boshqarish kontekstini belgilanishi zarur. Axborot xavfsizligi risklarini boshqarishning tashqi va ichki konteksti nazarda tutiladi. Tashki kontekst. Tashkilot o‘z maqsadlariga erishishga intiladigan tashqi muhit uz ichiga olishi mumkin: xalqaro, mintaqaviy, milliy yoki mahalliy darajadagi madaniy, ijtimoiy, huquqiy, qonuniy, moliyaviy, texnologik, iqtisodiy, tabiiy va bozor muhiti; tashkilot maqsadiga ta’sir qiluvchi asosiy omillar va tendensiyalar; manfaatdor tomonlar bilan uzaro alokasi, ularning idroki va kadriyatlari. Ichki kontekst. Tashkilot o‘z maqsadlariga erishishga intiladigan ichki muhit uz ichiga olishi mumkin: raxbarlik, tashkiliy tuzilma, vazifalar va majburiyat; siyosat, maqsad va ularga erishish uchun strategiyalar; imkoniyatlar,resurs va bilimlarga nisbatan ko‘riladigan (masalan, kapital, vaqt, xodim, jarayonlar, tizim va texnologiyalar); axborot tizimlari, axborot oqimlari va qaror qabul qilish jarayonlari ( xam rasmiy va xam norasmiy); ichki manfaatdor tomonlar bilan uzaro alokasi, ularning idroki va kadriyatlari; tashkilot madaniyati; standartlar, raxbarlik ko‘rsatmalari va modellari, tashkilot qabul qilgan; kontrakt uzoro munosabatlarining shakli va ko‘lami. Jarayenning uziga, karor kabul kilishning bazoviy mezonlarini aniklash, axborot xavfsizligi risklarini boshqarish jarayeni buyicha tashkilotning kamrovi, chegaraci va tegishli faoliyati kiradi. Axborot xavfsizligi riskini boshqarishning maqsadini aniqlash muxim, chunki ular butun bir jarayonga va xususan, kontekstga ta’sir qiladi. Bunday maqsadlar quyidagilar bo‘lishi mumkin: axborot xavfsizligini boshqarish tizimini ishlashini madadlash; konuniy meye’rlarga muvofiklikka rioya etish va tugri bajarilishining isbotini olish; biznesning uzluksizligini ta’minlash rejasini tayyorlash; insidentlarga javob berish rejasini tayyorlash. AXni boshkarish tizimining ishlashini madadlash uchun zarur bulgan mahsulotlarga, servislarga yoki AXni boshkarish kontekstini tashkil etish jarayenlarining elementlarini amalga oshirish mexanizmlariga, axborot xavfsizligini ta’minlash buyicha talablarining tavsifi. Jarayenning chikish yuli ma’lumotlari bulib, karor kabul kilishning bazoviy mezonlari, axborot xavfsizligi risklarini boshqarish jarayeni buyicha tashkilot tuzilmasining tavsifi bilan, kamrovi, chegaraci va tegishli faoliyati xisoblanadi. Risk mezonlari Riskni baholash o‘tkazilayetganda rioya etiladigan aspektlar: risk mezonlari tashkilotning maqsadlariga, tashqi va ichki kontekstga asoslanadi; risk mezonlari standartlar, qonunlar, siyosat va boshqa talablar asosida aniklanishi mumkin. Riskni baholash mezonlari: biznes ma’lumotlarini ishlashning strategik qiymati. alokador axborot aktivlarining muximligi. xukukiy va tartibga soluvchi talablar va shartnoma majburiyatlari; amallardagi muximligi va foydalanuvchanlik, konfidensiallik va yaxlitlikning biznes muximligi; alokador taraflarning kutishi va javobi va nomoddiy aktivlar uchun va obro‘siga buladigan salbiy okibatlar. Bundan tashkari, AX risklarini baholash mezonlari, AX risklarini ishlashda ustuvorlikni spetsifikatsiyalash uchun ishlatilishi mumkin. Okibatlarni baxolash mezonlari, AX xodisalaridan kelib chikkan zarar darajasi yeki tashkilot xarajatlari terminlarida, kuyidagi omillarni xisobga olib aniklanadi: ta’sir qilingan axborot aktivlarining sinfi; axborot xavfsizligining buzilishi (masalan, konfidensiallik, butunlik va foydalanuvchanlikni yo‘qolishi); tezkor faoliyatning buzilishi (uzining yoki uchinchi tomonning); biznes yeki moliyaviy qiymatining yo‘qolishi; rejalar va muddatlarni buzilishi; obro‘si uchun zarar; konuniy, meyoriy yoki shartnoma talablarining buzilishi. Qabul qilish mezonlari Riskni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Riskni qabul qilish mezonlari ko‘pincha tashkilotning siyosati, niyati, maqsadlari va alokador tomonlarning manfaatlariga bog‘liq. Tashkilot, risklarni qabul qilish satxlari uchun, o‘z o‘lchov shkalalarini aniklab olishi kerak. Ishlab chiqishda quyidagilarni inobatga olinadi: riskni qabul qilish mezonlari, riskni makbul (istalgan) maksadli satxli kuplab eng yukori chegaraviy kiymatlarini uziga olishi mumkin, lekin, ma’lum bir xolatlarda yukori raxbariyat kursatilgan saxdan yukorida bulgan risklarni kabul kiladigan shartlarni inobatga olib; risk mezonlari baxolangan foyda mikdorini(yeki biznesning boshka foydasi) baxolangan risk miqdoriga nisbati kabi ifodalanishi mumkin. riskni qabul qilishning turli mezonlari riskning turli sinflariga qo‘llanilishi mumkin, masalan, risklar, kaysiki direktivalar va qonunlarga muvofik qelmaslik natijasiga ega bulsa, qabul qilib bo‘lmaydi, kachonki yuqori satxdagi risklarni qabul qilishga ruxsat berilishi mumkin, agar shartnoma talablarida belgilangan bo‘lsa; riskni qabul qilish mezonlari kelgusi qo‘shimcha ishlashga tegishli talablarini o‘z ichiga olishi mumkin, masalan, risk qabul qilinishi mumkin, kachonki, agar ma’lum vaqt ramkasi ichida uni maqbul satxga tushirish bo‘yicha xarakatlarni ma’kullash va rozilik mavjud bulsa; riskni qabul qilish mezonlari, riskni taxminan qanchalik uzok vakt davom etishiga qarab farqlanishi mumkin, masalan, risk kancha vaqtli yoki qisqa muddatli faoliyat bilan bog‘liq bo‘lishi mumkin. Riskni qabul qilish mezonlari quyidagilarni hisobga olgan holda belgilanishi kerak: biznes mezonlarini; xuquqiy va tartibga soluvchi aspektlarni; amallarni; texnologiyani; moliyani; ijtimoiy va gumanitar omillar. Qo‘llash soxasi va chegaralari Axborot xavfsizligi riskini boshqarish jarayonining kullash soxasini aniklash, barcha axamiyatli aktivlar riskni baholashda kullanilishini inobatga olinishini ta’minlash uchun zarur. Bundan tashqari, risklarni kyrib chikish uchun ularning chegaralarini aniqlash kerak, kaysiki, manbalari ushbu chegaralardan tashqarida bo‘lishi mumkin bo‘lgan. Tashkilot to‘g‘risidagi ma’lumotlarni tuplash zarur, chunki bu u ishlayotgan muhitni va boshka axborot xavfsizligi riskini boshqarish jarayoni uchun zarur bo‘lgan muxitni aniqlash uchun. Qo‘llash soxasini va chegaralarini aniqlashda, tashkilotga tegishli quyidagi ma’lumotlarni hisobga olish kerak : tashkilotning biznesining strategik maqsadlari, strategiyasi va siyosati; biznes jarayonlari; tashkilot funksiyasi va strukturasi; tashkilotga nisbatan qo‘llaniladigan xukukiy, tartibga soluvchi va shartnoma talablari; tashkilotning axborot xavfsizligi siyosati; tashkilot risklarini boshqarishga umumiy yondashuv; axborot aktivlari; tashkilotning joylashuv urni va geografik xarakteristikalari; tashkilotga ta’sir ko‘rsatadigan cheklovlar; alokador tomonlarning taxminlari; ijtimoiy -madaniy muhit; interfeyslar (ya’ni, muhit bilan ma’lumot almashish); Bundan tashqari, tashkilotning qo‘llash soxasidan bekor qilish uchun asosini ta’minlashi kerak. Tashkiliy tuzilma Riskni boshqarishning, tashkiliy tuzilmaga xos bo‘lgan, asosiy roli va majburiyatlari: tashkilotga mos keladigan axborot xavfsizligi riskini boshqarish jarayonini ishlab chiqish; alokador tomonlarni identifikatsiyalash va tahlilash; tashkilotga nisbatan barcha, xam ichki va xam tashqi tomonlarining rollari va majburiyatlarini aniqlash. Tashkilot va alokador tomonlar, xamda yuqori satxdagi risklarni boshkarishning tashkiliy funsiyalari o‘rtasida zarur alokalarni o‘rnatish uchun interfeyslar (masalan, amaliy riskni boshqarish), shuningdek, boshqa muhim loyihalar va faoliyat turlari bilan interfeyslarni o‘rnatish. Qaror qabul qilishni izdan chikarish yullarini aniqlash Yuritilishi lozim bulgan hujjatlarni aniqlash Xulosa: Axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan asosiy mezonlarni belgilash, axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun kamrovi va chegaralarini aniqlash hamda tegishli tuzilmani belgilab olishni o‘z ichiga olgan axborot xavfsizligi risklarini boshqarish kontekstini belgilanishi zarur.Risklarni aniqlash va tahlil qilish ishini boshlashdan oldin, ishning maqsadi, uning ko‘lami va kutilgan natijani tushunish kerak. Shuni yodda tutish kerakki, barcha yunalishlarda bir vaqtning o‘zida barcha risklarni tahlil qilishga urinish mumkin emas.Risk tahlili yuqori rahbariyat tomonidan qo‘llab-quvvatlanishi va boshqarilishi kerak. Faqat shu holatda u muvaffaqiyatli bo‘ladi. Rahbariyat ko‘rib chiqishning maqsadlari va ko‘lamini belgilashi, baholashni o‘tkazish uchun guruh a’zolarini tayinlashi va bu ishni bajarish uchun zarur vaqt va mablag ajratishi kerak. Baholash natijalarini yuqori rahbariyat diqqat bilan ko‘rib chiqishi shart.Risklarning miqdoriy tahlili. Risklarning miqdoriy tahlili risklarni tahlil qilish jarayonining barcha elementlariga haqiqiy va mazmunli raqamlarni berishga harakat qiladi. Bu elementlar himoya choralarining narxi, aktivning qiymati, biznesga yetkazilgan zarar, tahdid chastotasi, himoya choralarining samaradorligi, zaiflikdan foydalanish ehtimoli va boshqalar bo‘lishi mumkin. Risklarning miqdoriy tahlili bizga riskni amalga oshirish ehtimolining (foizda) aniq qiymatini olish imkonini beradi. Tahlil paytida har bir element miqdoriy ravishda umumiy va qoldiq tavakkalchilikni aniqlash uchun tenglamaga kiritiladi. Foydalanilgan adabiyotlar: S.K.G‘aniyev, M.M. Karimov. Hisoblash sistemalari va tarmoqlarida informatsiya himoyasi. Oliy o‘quv yurt.talab. uchun o‘quv qoMlanma. —Toshkent Davlat texnika universiteti, 2003. В.И. Завгородныш. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. Г.Н. Устинов. Основы Информационной безопасности систем и сетей передачи данных. Учебное пособие. Серия «Безопасность». - М.:СИНТЕГ, 2000. www.goole.uz www.refarat.uz Download 71.4 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling