Zbekiston respublikasi raqamli texnologiyalari vazirligi muhammad al xorazmiy nomidagi toshkent axborot texnologiyalari universiteti
Download 29.47 Kb.
|
2,1 Axborot xavfsizligida risklarni boshqarish jarayonining tahlili
- Bu sahifa navigatsiya:
- Toshkent 2023 Mavzu
O’ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALARI VAZIRLIGI MUHAMMAD AL – XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI Refarat Mavzu: Axborot xavfsizligida risklarni boshqarish jarayonining tahlili Guruh 070/19 Bajardi: Qo'yliboeva Xurshida Tekshirdi: Ganiyev A Toshkent 2023 Mavzu: Axborot xavfsizligida risklarni boshqarish jarayonining tahlili Reja:
Risklarni baholash. Risklarni baholash bosqichida tashkilotdagi risklarga baho beriladi va bu risklarning ta’siri yoki yuzaga kelish ehtimoli hisoblanadi. Risklarni baholash - uzluksiz davom etuvchi jarayon riskka qarshi kurashish rejalarini amalga oshirish uchun imtiyozlarni belgilaydi. Risklarni baholash ularning miqdoriy va sifatiy qiymatini aniqlaydi. Har bir tashkilot risklarni aniqlash, daraj alarga ajratish va yo‘q qilish uchun o‘zining riskni baholash jarayonini qabul qilishi kerak. 1. Xavfni aniqlash Xatarlarni boshqarish jarayonidagi birinchi qadam xavfni aniqlashdir. Xavf manbai ichki/tashqi muammo (masalan, jarayon, biznes-reja va h.k. bilan bog'liq) yoki manfaatdor shaxs/manfaatdor tomonlar bilan bog'liq risk bilan bog'liq axborot aktivi bo'lishi mumkin. 2. Xatarlarni tahlil qilish Xatarlarni bilganingizdan so'ng, ehtimollik va ta'sirni (LI) hisobga olishingiz kerak, bu sizga (aytaylik) past ehtimollik va past ta'sirni yuqoriroqdan farqlash imkonini beradi. 3. Xatarlarni baholash Xavfni tahlil qilgandan so'ng, siz eng zarur bo'lgan investitsiyalarga ustuvorlik berishingiz va LI joylashuvi asosida ko'rib chiqishlarni o'tkazishingiz mumkin. Har bir pozitsiya nimani anglatishini hujjatlashtirishingiz kerak, shunda u usulga rioya qilgan har bir kishi tomonidan qo'llanilishi mumkin. Biz ISMS.online ichidagi axborot xavfsizligi xavflarini boshqarish vositasida 5 x 5 tarmoq tizimidan foydalanamiz. (Maslahat: Shuningdek, u juda ko'p vaqtni tejaydigan mashhur risklar va davolash usullariga ega risk bankini ham o'z ichiga oladi).Mezonlar ehtimollik uchun juda pastdan juda yuqorigacha bo'lgan oraliqni o'z ichiga oladi. Bu nimani anglatishini tushuntirishga ega, masalan. juda past bo'lsa, hech qanday hodisa tarixi yo'q va buning uchun maxsus ko'nikmalar va yuqori investitsiyalar kerak bo'ladi. Ta'sir mezonlari juda past va ahamiyatsiz oqibatlar va xarajatlar bilan, biznesning deyarli o'limiga qadar juda yuqori. Siz rasmni olasiz. Bu qiyin emas, faqat aniqlik va hujjatlashtirish kerak; aks holda mening 3×4 o‘lchamim siznikidan farq qilishi mumkin va biz sahifaning yuqori qismida boshlagan joyimizga qaytamiz. 4. Xavfni davolash "Xavfga javobni rejalashtirish" deb ham ataladigan xavfni davolash xavfni davolash ortidagi dalillarni o'z ichiga olishi kerak.Oddiy so'zlar bilan aytganda, "xavfni davolash" bu siz xavfni nazorat qilish va toqat qilish uchun ichingizda qilayotgan ish bo'lishi mumkin yoki bu siz xavfni o'tkazish bo'yicha qadamlaringizni anglatishi mumkin (masalan, etkazib beruvchiga) yoki bu xavfni butunlay tugatish bo'lishi mumkin. ISO 27001 bu erda ham juda yaxshi, chunki standart sizga ushbu davolashda ko'rib chiqilishi kerak bo'lgan nazorat maqsadlari to'plamini A ilovasini ham beradi, bu sizning Qo'llash mumkinligi haqidagi bayonotingizning asosini tashkil qiladi. A ilovasining boshqaruv elementlari, shuningdek, sizga “pastdan yuqoriga” qarash va bu siz ilgari xayolingizga ham keltirmagan xavflarni keltirib chiqarishi yoki yo‘qligini aniqlash imkoniyatini beradi. 5. Xavfni kuzatib boring va ko'rib chiqing Xatarlarni boshqarish jarayonining monitoring va ko'rib chiqish bosqichining birinchi qismi monitoring va ko'rib chiqish jarayonlarini tavsiflashdan iborat. Buni quyidagi sohalarga bo'lish mumkin: - Xodimlarning faolligi va xabardorligi Jarayonga muntazam ravishda tegishli xodimlarni jalb qiling va fikr bildirish va qabul qilish uchun forumga ega bo'ling. Sizda har bir xavf uchun egasi bo'lishi kerak, shuning uchun uni keng tan olingan "3 mudofaa chizig'i" modeliga muvofiq oldingi (birinchi) qatorga topshirishingiz mumkin. - Boshqaruv sharhlari Xavflarni ko'rib chiqish ushbu 9.3 kun tartibining standart qismidir va siz ushbu darajadagi xavf egalariga ega bo'lishga qaror qilishingiz mumkin, buning o'rniga operatsion ishni 1-qatorga topshirasiz, lekin egalik huquqini saqlab qolasiz.Sizning boshqaruv sharhlaringiz kamida yillik bo'lishi kerak (biz ko'proq muntazam bo'lishini tavsiya qilamiz), lekin ular har bir xavfni batafsil ko'rib chiqish va ushbu kun tartibidagi barcha narsalarni qamrab olish uchun etarlicha uzoq bo'lmasligi mumkin. Shunday qilib, biz xavf egasiga o'zining tarmoq holatiga qarab ko'rib chiqishni ko'rib chiqish vazifasi yuklangan jarayonni ham tavsiya qilamiz, masalan. juda yuqori ehtimollik va juda yuqori ta'sir xavfi uchun oylik tekshiruv, har yili esa juda past ehtimollik va juda past ta'sir xavfini ko'rib chiqish uchun yaxshi. Keyin siz auditoringizga risklarni ko'rib chiqish ularga yoqadigan ta'sir va ehtimollik asosida pragmatik ekanligini ko'rsatasiz. - Yaxshilash Ichki auditlar va 10-banddagi takomillashtirish bo'yicha boshqa mexanizmlardan foydalanish yanada strategik risklarni ko'rib chiqish jarayoni bilan yaxshi bog'lanishi mumkin. ISO 27001:2013/17 risklarni boshqarish talablari Xatarlarni boshqarish ifodalangan ikkita asosiy talab mavjud: 6-band Rejalashtirish va 8-band.8-band oddiygina 6.1 uchun tavsiflagan narsani amalga oshirish va ishlatish haqidadir, shuning uchun keling, biznesni yaxshi yuritish va sertifikat olish imkoniyatiga ega bo'lish uchun amalda yashash va undan nafas olish kerakligini bilib, 6.1 ga e'tibor qarataylik. 6.1-band: Xatarlar va imkoniyatlarni bartaraf etish bo'yicha harakatlar Shuni ham eslaylikki, bu jarayon biznes maqsadlariga yo'naltirilishi kerak (ya'ni yuqoridagi kontekstni o'rnatish), shuning uchun siz axborot xavfsizligini boshqarish tizimini ko'rsatishingiz kerak: *mo'ljallangan natijalarga erishish *kiruvchi ta'sirlarni oldini olish yoki kamaytirish *doimiy takomillashtirishga erishish Agar siz yuqoridan pastga yondashuvni qo'llayotgan bo'lsangiz, avvalroq ISO talablarida siz tashkilotingizning konteksti va maqsadini u oldida turgan masalalar (4.1), manfaatdor tomonlar (4.2), ko'lami (4.3), axborot aktivlari va boshqalarni ko'rib chiqqan bo'lasiz. , bu quyidagi rasmda ko'rsatilgan (bu ISMS.online ichidagi ISO 27001 Virtual Coach dasturimizdan ko'chirma. Bu eng mantiqiy yondashuvdir.) Risklarni boshqarish. Risklarni boshqarish - risklarni aniqlash, baholash, javob berish va bo‘lishi mumkin bo‘lgan ta’sirga tashkilot tomonidan javob berilishini amalga oshirish jarayoni. Risklarni boshqarish xavfsizlikning hayotiy siklida o‘zining muhim o‘miga ega, u davomiy va hattoki murakkablashib boruvchi jarayon hisoblanadi. Risklar turli tashkilotlar uchun turlicha bo‘lsada, risklarni boshqarishga tayyorgarlik ko‘rish barcha tashkilotlar uchun umumiy. Risklarni boshqarishdan asosiy maqsad quyidagilar:
Risklarni boshqarish ularni aniqlashda tizimlashgan yondashuvni ta’minlaydi va quyidagi afzalliklarga ega:
Risklarni boshqarishda muhim rollar va javobgarliklar. Risklarni boshqarishda rollar va javobgarliklar xodimlar o‘rtasida quyidagicha taqsimlangan: Bosh boshqaruvchi. Bosh boshqamvchi tashkilotda risklarni boshqarish jarayonini olib borishga rahbar hisoblanib, risklar paydo bo‘lganiga qadar ularni aniqlash uchun talab qilinadigan siyosat va usullarni ishlab chiqadi. Bundan tashqari, kelajakda bo‘lishi mumkin bo‘lgan risklarni tutib olish uchun zarur ishlarni amalga oshirish ham uning vazifasi hisoblanadi. Axborot texnologiyalari bo’yicha direktor. Mazkur lavozim egasi tashkilot axborot va kompyuter texnologiyalarini madadlash uchun zarur bo‘lgan siyosat va rejalarni amalga oshirishga javobgar. Ushbu lavozim egasi uchun asosiy javobgarlik - xodimlarni xavfsizlik bo‘yicha o‘qitish hamda axborot texnologiyalarida bo‘lishi mumkin bo‘lgan risklarning biznes jarayonlariga ta’sirini boshqarish. Tizim va axborot egalari. Tizim va axborot egalarining vazifasi, asosan, axborot tizimlari uchun ishlab chiqilgan rejalar va siyosatlarni monitoringlab borish bo‘lib, quyidagi javobgarliklarni o‘z ichiga oladi:
Biznes va funksional menejerlar. Mazkur lavozim egalari tashkilotdagi barcha boshqaruv jarayonlarini madadlash uchun javobgar va bu vazifani bajarishlarida tashkilot rahbariyati tomonidan qo‘llab quvvatlanadi. Funksional menejeri turlari:
AT xavfsizlik dasturi menedjerlari va kompyuter xavfsizligi bo ‘limi direktori. Ushbu lavozim egalari tizimni himoyalashda xavfsizlik nazoratini tanlash orqali axborot tizimi egalarini qo‘llab quvvatlaydi. AT xavfsizlik amaliyotchilari. AT xavfsizlik amaliyotchilari tashkilotda shaxsiy, fizik va axborot xavfsizligini amalga oshirib quyidagilarga javobgardirlar:
Xavfsizlik boyicha murabbiy. Xavfsizlik bo‘yicha murabbiy tashkilotda tayyorgarlik va o‘quv kurslarini amalga oshiradi. Bu vazifaning, odatda, soha mutaxassislari tomonidan bajarilishi tavsiya etiladi. Muhim risk ko‘rsatkichlari. Muhim risk ko‘rsatkichlari risklarni samarali boshqarish jarayonida asosiy tashkil etuvchi bo‘lib, dastlabki bosqichlarda harakatlarning xavflilik darajasini ko‘rsatadi. Muhim risk ko‘rsatkichlarini to‘g‘ri aniqlash tashkilot maqsadini tushunishni talab etadi. U tashkilotdagi risk ehtimolini ko‘rsatuvchi o‘lchov sifatida quyidagilarni amalga oshirishda yordam beradi:
Muhim risk ko‘rsatkichi aniqlik bilan hisoblanishi va tashkilotning amalga oshirish ko‘rsatkichlariga salbiy ta’sirlarni aks ettirishi kerak. Bu yerda, tashkilotning amalga oshirish ko‘rsatkichi tashkilotni o‘zining maqsadalariga erishish jarayonini baholash ko‘rsatkichi hisoblanadi. Risklarni boshqarish bosqichlari. Risklarni boshqarish uzluksiz jarayon va har bir bosqichning muvaffaqqiyatli amalga oshirilishi talab etiladi. U aniqlangan va faol ishlaydigan xavfsizlik dasturidan foydalangan holda xavfni maqbul darajada oldini oladi. Risklarni boshqarish jarayoni quyidagi asosiy to‘rtta bosqichga ajratiladi: 1.Risklarni aniqlash. 2. Risklarni baholash. 3. Risklarni bartaraf etish. 4. Risk monitoringi va qayta ko‘rib chiqish. Har bir tashkilot risklarni boshqarish jarayonida yuqorida keltirilgan bosqichlarni bosib o‘tadi. Risklarni aniqlash. Risklarni boshqarishdagi dastlabki qadam bo‘lib, uning asosiy maqsadi riskni tashkilotga zarar yetkazmasidan oldin aniqlash hisoblanadi. Risklarni aniqlash jarayoni mas’ul mutaxassislar qobiliyatiga bog‘liq bo‘lganligi tufayli, turli tashkilotlarda turlicha bo‘ladi. Risklarni aniqlash o‘zida tashkilot xavfsizligiga ta’sir qiluvchi ichki va tashqi risklarning manbasini, sabablarini, natijasini va h. aniqlashni mujassamlashtirgan. Risklar odatda quyidagi 4 ta muhim sohalarda vujudga keladi:
Riskni aniqlash risklarni boshqarish jarayonidagi turli og‘ishlarni kamaytiradi va bu, o‘z navbatida, kelajakda ta’sir qiluvchi omillar ehtimolini kamaytiradi. Risklarni aniqlashning ko‘plab usullari mavjud, ular asosida turli dasturiy vositalar ishlab chiqilgan. Aksariyat risklarni aniqlash jarayoni maxsus shakllantirilgan jamoa tomonidan amalga oshiriladi. Risklarni aniqlash jarayoni bir qancha omillarga, masalan, tarmoqning holati va jamoa a’zolarining risklarni boshqarishdagi qobiliyatlariga asoslanadi. Risklarni baholash. Risklarni baholash bosqichida tashkilotdagi risklarga baho beriladi va bu risklarning ta’siri yoki yuzaga kelish ehtimoli hisoblanadi. Risklarni baholash - uzluksiz davom etuvchi jarayon riskka qarshi kurashish rejalarini amalga oshirish uchun imtiyozlarni belgilaydi. Risklarni baholash ularning miqdoriy va sifatiy qiymatini aniqlaydi. Har bir tashkilot risklarni aniqlash, daraj alarga ajratish va yo‘q qilish uchun o‘zining riskni baholash jarayonini qabul qilishi kerak. Risklarni baholash taqdim etilgan risk turini, riskning ehtimoli va miqdorini, uning daraj asini hamda uni nazoratlash uchun rejani aniqlaydi. Tashkilotlar risklarni baholash jarayonini odatda xavf aniqlanganida va uni zudlik bilan nazoratlay olmaganlarida amalga oshiradilar. Riskni baholashdan so‘ng ma’lum vaqt mobaynida barcha axborot vositalarini yangilash talab etiladi. Risklar baholanganidan so‘ng, ular tashkilotga keltiradigan miqdoriy zararga ko‘ra daraj alanadi. Daraj alarga ajratish risklarga qarshi kurashishga va resurslarni joylashtirishga yordam beradi. Taqdim etilgan risklarning daraj alari ularning miqdoriga bog‘liq bo‘ladi:
Risklarni baholash quyidagi ikki bosqichda amalga oshiriladi: Riskni tahlillash: risk tabiatini aniqlash va uning paydo bo‘lishi darajasini hisoblash bosqichi, risklarni nazoratlashga yordam beradi. Riskni darajalarga ajratish: risklarni tahlillash jarayonida ularning miqdoriy jihatdan reytingini aniqlash va qarshi choralarni loyihalash bosqichi. Risklarni bartaraf etish. Risklarni bartaraf etish jarayoni aniqlangan risklarni modifikatsiyalash maqsadida mos nazoratni tanlash va amalga oshirishni ta’minlab, miqdoriy darajasi yuqori bo‘lganlariga birinchi murojaat qilinadi. Ushbu bosqichda qaror qabul qilish riskni baholash natijasiga asoslanadi. Ushbu bosqichning asosiy vazifasi jiddiy hisoblangan risklarni nazoratlash uchun qarshi choralarni aniqlash bo‘lib, risklarni individual ravishda yo‘q qilish, monitoringlash va qayta ko‘rib chiqish uchun ularni darajalarga ajratish amalga oshiriladi. Risklarni yo‘q qilishdan oldin quyidagi axborotni to‘plash talab etiladi:
Agar aniqlangan risklarni bartaraf etish talab etilsa, risklarni boshqarish rejasini doimiy qayta ko‘rib chiqish va ishlab chiqish zarur bo‘ladi. Turli himoya usullari riskdan qochish, ularni kamaytirish va ular uchun javobgarliklarni boshqaga o‘tkazish kabi imkoniyatlarni taqdim etadi. Xodimlardan risklarni kamaytirish yoki minimallashtirish uchun quyidagilarni amalga oshirishlari talab etiladi:
Risk monitoringi va qayta ko ‘rib chiqish. Samarali risklarni boshqarishning rejasi risklarni aniqlashni va baholashni kafolatli amalga oshirishda risk monitoringi va qayta ko‘rib chiqishni talab etadi. Risk monitoringi quyidagi imkoniyatlarni beradi:
Riskni qayta ko‘rib chiqish:
Tashkilotda risklarni boshqarishning freymworki (strukturasi) (Enterprise Risk Management Framework, ERM Framework). Risklarni boshqarish freymworki tashkilotning risklarni boshqarish usuliga amalga oshirish tadbirlarini belgilaydi va tashkilotda axborot xavfsizligi va risklarni boshqarish bo‘yicha faoliyatni birlashtimvchi tarkibiy jarayonni ta’minlaydi. Tashkilotda risklarni boshqarish freymworki quyidagi harakatlarni aniqlaydi, tahlillaydi va amalga oshiradi:
Tashkilotda risklarni boshqarish freymworkining asosiy maqsadlari quyidagilardan iborat:
Amalda tashkilotda risklarni boshqarish freymworklari sifatida NIST ERM, COSO ERM va COBIT ERM kabilardan keng foydalaniladi. Risklarni boshqarishning axborot tizimlari (Risk Management Information Systems, RMIS). RMIS bu - boshqaruv axborot tizimi bo‘lib, axborotni saqlashni boshqarish, tahlillash va tashkilot tarmog‘i uchun risk to‘g‘risida ma’lumot olish imkoniyatini taqdim qiladi. Tashkilotlar risklarni boshqarish jarayonini optimallashtirish uchun RMIS bilan risklarni boshqarish freymworkini birlashtiradi. RMIS tizimlari quyidagi afzalliklarga ega:
RMIS turli omillar bo‘yicha hisobotlarni shakllantiradi va ushbu hisobotlar tashkilotda tarmoq risklari to‘g‘risida yaxlit tasavvurga ega bo‘lishga hamda ularni boshqarishga imkon beradi. Hosil qilingan RMIS hisoboti turlari unga yuborilgan so‘rov turiga bog‘liq bo‘ladi. RMIS quyidagi turdagi hisobotlarni shakllantiradi:
Amalda RMIS tizimining turli ko‘rinishidagi vositalaridan keng foydalaniladi. Ularga misol sifatida, Aon Enterprise Risk Management, Stars RMIS, RiskEnvision, RiskonnectRMIS, INFORM, Traveler’s e-CARMA vositalarini keltirish mumkin. Xulosa: Risklarni baholash. Risklarni baholash bosqichida tashkilotdagi risklarga baho beriladi va bu risklarning ta’siri yoki yuzaga kelish ehtimoli hisoblanadi. Risklarni baholash - uzluksiz davom etuvchi jarayon riskka qarshi kurashish rejalarini amalga oshirish uchun imtiyozlarni belgilaydi. Risklarni baholash ularning miqdoriy va sifatiy qiymatini aniqlaydi. Har bir tashkilot risklarni aniqlash, daraj alarga ajratish va yo‘q qilish uchun o‘zining riskni baholash jarayonini qabul qilishi kerak.Axborot xavfsizligi risklarini boshqarish (ISRM) - bu tashkilotning qimmatli ma'lumotlari atrofidagi xavflarni aniqlash, baholash va davolash jarayoni. U istalgan biznes natijalariga erishishni ta'minlash uchun ushbu aktivlar atrofidagi noaniqliklarni hal qiladi.Xavfni boshqarishning turli usullari mavjud va biz ulardan ba'zilarini keyinroq maqolada ko'rib chiqamiz. Bitta o'lcham hammaga to'g'ri kelmaydi va hamma xavf ham yomon emas... risklar ham imkoniyatlar yaratadi, lekin ko'pincha u tahdidga qaratilgan. Download 29.47 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling