Risklarni tahlil qilish metodologiyasi

Download 159.41 Kb.

Sana	28.12.2022
Hajmi	159.41 Kb.
	#1014152

Bog'liq
3-dateline-uzb

Risklarni tahlil qilish metodologiyasi
Risklarni tahlil qilish, aktivlarning kritikligiga, ma’lum zaifliklarning va tashkilotga taalluqli bo’lgan oldingi insidentlarning tarqalganligiga bog’liq ravishda, turlicha detallashtirish darajasi bilan amalga oshirilishi mumkin. Risklarni tahlil qilish metodologiyasi vaziyatga bog’liq holda, sifatli yoki miqdoriy yoki ularning birikmasi bo’lishi mumkin. Amaliyotda ko’pincha, asosiy risklarni aniqlash va risk darajasi to’g’risida umumiy ma’lumotlar olish uchun sifat jihatdan baholashdan foydalaniladi. Keyinchalik, asosiy risklarni yanada spesifik yoki miqdor jihatdan tahlil qilish zarurati paydo bo’lishi mumkin, chunki odatda, miqdor jihatdan tahlil qilishga qaraganda sifat jihatdan tahlil qilishning bajarilishi murakkab hisoblanmaydi va kam xarajatli.
Tahlil qilish shakli kontekstni o’rnatishning bir qismi sifatida ishlab chiqilgan riskni baholash mezonlari bilan muvofiqlashtirilishi kerak. Keyin tahlil qilish metodologiyasining tafsilotlari tavsiflanadi:
a) riskni sifat jihatdan tahlil qilish. Sifat jihatdan tahlil qilishda potensial oqibatlar ko’lamini (masalan, « past», « o’rtacha» va «yuqori») va bu oqibatlar yuzaga kelishi ehtimolligini tavsiflash uchun malaka xossalari shkalasidan foydalaniladi. Sifat jihatdan tahlil qilishning afzalligi, unga aloqasi bo’lgan barcha xodimlarning uni tushunishining soddaligida, kamchiligi esa, shkalaning subyektiv tanlanishga bog’liqligi hisoblanadi.
Bunday shkalalar vaziyatni qanoatlantiradigan darajada moslashtirilishi yoki to’g’rilanishi, turli risklar uchun esa, turli O‘z DSt ISO/IEC 27005:2013 tavsiyalardan foydalanilishi mumkin. Sifat jihatdan tahlil qilishdan:
- birmuncha batafsil tahlil qilishni talab qiladigan risklarni aniqlash uchun tekshirish bo’yicha faoliyatni oldindan ko’rib chiqish sifatida;
- tahlil qilishning bu turi qaror qabul qilish uchun mos bo’lgan joyda;
- sonli ma’lumotlar yoki resurslar risklarni miqdor jihatdan tahlil qilish uchun adekvat bo’lmagan joyda foydalanilishi mumkin.
Sifat jihatdan tahlil qilishda riskni miqdor jihatdan tahlil qilish mumkin bo’lgan ma’lumotlardan va mavjud axborotdan foydalanilishi kerak;
b) riskni miqdor jihatdan tahlil qilish. Riskni miqdor jihatdan tahlil qilishda turli manbalardan olingan ma’lumotlarni qo’llagan holda, oqibatlarga va ehtimollikka tatbiqan, sonli qiymatlar bo’lgan shkaladan (sifat jihatdan tahlil qilishda foydalaniladigan ko’rgazmali shkalalar emas) foydalaniladi. Tahlil qilish sifati sonli qiymatlarning to’laligi va aniqligiga hamda foydalaniladigan modellarning asoslanganligiga bog’liq. Ko’pgina holatlarda, miqdor jihatdan tahlil qilishda o’tgan davr ichidagi insidentlar bo’yicha ma’lumotlardan foydalaniladi, uning afzalligi shundan iboratki, u axborot xavfsizligi va tashkilotning muammolari bilan to’g’ridan-to’g’ri bog’liq bo’lishi mumkin. Miqdor jihatdan tahlil qilishning kamchiligi yangi risklar yoki axborot xavfsizligi muammolari bo’yicha bunday ma’lumotlarni yetishmasligi hisoblanadi. Miqdor jihatdan tahlil qilishning kamchiliklari haqiqatda tekshiriladigan ma’lumotlardan foydalanib bo’lmaganda ko’rinadi, shuning uchun, riskni baholashning aniqligi va ahamiyatliligi illyuziyasi hosil bo’ladi. Oqibatlar va ehtimollikni ifodalash usuli va risk darajasi to’g’risidagi ma’lumotlarni ta’minlash uchun ularni birlashtirish usullari, risk turiga va riskni baholashning chiqish ma’lumotlaridan foydalaniladigan maqsadga muvofiq o’zgaradi. Oqibatlar va ehtimollikning noaniqligi va o’zgaruvchanligi tahlil qilishda hisobga olinishi va u haqda samarali tarzda xabar qilinishi zarur.
Oqibatlarni baholash
Kirish ma’lumotlari: Aniqlangan va asoslangan insidentlar ssenariylarining ro’yxati, jumladan, tahdidlarni, zaifliklarni va daxl qilingan aktivlarni, biznes-jarayonlar va aktivlar uchun oqibatlarni aniqlash.
Ish: Biznesning tashkilotga, axborot xavfsizligining mumkin bo’lgan yoki real insidentlarining natijasi hisoblanadigan ta’siri, aktivlar konfidensialligini, yaxlitligining yoki foydalanib bo’lishlikning yo’qotilishi kabi axborot xavfsizligi buzilishining oqibatlari hisobga olingan holda baholanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, e), 1) sanab o’tish). O‘z DSt ISO/IEC 27005:2013
Amalga oshirish bo’yicha qo’llanma: Qayta ko’rib chiqiladigan barcha aktivlar aniqlangandan keyin, bu aktivlarga berilgan baho oqibatlarni baholashda hisobga olinishi kerak. Biznes ta’sirining qiymati sifat yoki miqdor shakllarda ifodalanishi mumkin, biroq pul qiymatini berishning har qanday usuli umuman olganda, qarorlar qabul qilish uchun ko’proq axborot berishi mumkin, binobarin, qarorlar qabul qilish jarayonini yanada samarali qiladi.
Aktivlarning qiymatini aniqlash, tashkilotning amaliy maqsadlarini amalga oshirish uchun aktivlarning muhimligiga nisbatan ularning kritikligiga muvofiq aktivlarni aniqlashdan boshlanadi. So’ngra ikki o’lchovdan foydalanib qiymat aniqlanadi:
- aktivning tiklanish qiymati: axborotni almashtirish va tiklash maqsadida tozalash qiymati (agar bu mumkin bo’lsa);
- aktivga zarardan yoki aktivning obro’sizlanishidan biznes uchun kelib chiqadigan oqibatlar, masalan, qonunchilik yoki normativ hujjatlarning talablari bajarilmasligi tufayli axborotning va boshqa axborot aktivlarining fosh etilishi, modifikasiya qilinishi, foydalanib bo’lmaslik va/yoki buzilishi oqibatida biznes uchun mumkin bo’lgan noqulay oqibatlar. Qiymatning aniqlanishi biznesga ko’rsatiladigan ta’sirni tahlil qilishdan kelib chiqib belgilanadi. Qiymat biznes uchun oqibatlar bilan, odatda, tiklanish qiymatidan ancha yuqori qilib belgilanadi va aktivning tashkilot uchun, uning biznes maqsadlari bajarilishida muhimligiga bog’liq.
Aktivlarning baholanishi insident ssenariysining ta’sirini baholashning muhim omili hisoblanadi, chunki insident bitta aktivga (masalan, bog’liq aktivlar) yoki aktivning faqat bir qismiga ta’sir ko’rsatishi mumkin. Turli tahdidlar va zaifliklar aktivlarga turlicha ta’sir ko’rsatishi mumkin, masalan, konfidensiallikning, yaxlitlikning va foydalana olishlikning yo’qotilishi. Shu munosabat bilan, oqibatlarni baholash, aktivlar qiymatini aniqlash bilan bog’langan hisoblanadi yoki biznesga ko’rsatiladigan ta’sir tahlilidan kelib chiqib qilinadi. Oqibatlar yoki biznesga ta’sir ko’rsatish voqyea-hodisa yoki voqyea- hodisalar to’plami natijalarini modellash yoki o’tgan davr ichidagi ma’lumotlarni yoki eksperimental tadqiqotlarni ekstrapolyasiya qilish yo’li bilan aniqlanishi mumkin. Oqibatlar pul ifodasiga ega bo’lishi, texnik yoki odam bilan bog’liq ta’sir mezonlari orqali yoki tashkilot uchun ahamiyatli bo’lgan boshqa mezonlar orqali ifodalanishi mumkin. Alohida hollarda, turli vaqt, joylar, guruhlar yoki vaziyatlar bilan bog’liq bo’lgan oqibatlarni aniqlash uchun, raqamli qiymatdan ko’ra ko’proq narsa talab etiladi. Vaqt yoki mablag’lar bilan bog’liq oqibatlar, tahdidlar va zaifliklar ehtimolligiga nisbatan ishlatiladigan yondashuv vositasida o’lchanishi kerak. Sifat yoki miqdor yondashuvning izchilligi ta’minlanishi kerak. B ilovada ta’sirni baholash va aktivlar qiymatini aniqlash bo’yicha batafsil axborot keltiriladi.
Chiqish ma’lumotlari: Aktivlarga va ta’sir ko’rsatish mezonlariga nisbatan ifodalangan insidentlar ssenariysi baholangan oqibatlarining ro’yxati.

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Download 159.41 Kb.

Do'stlaringiz bilan baham: