Axborot xavfsizligini monitoringi va risk faktorlarini
qayta kо‘rib chiqish.
Reja:
1. Hujumlarni boshqarish jarayoni
2. AXBTda kontekstni о‘rnatish
3. Hujumlarni boshqarishga bо‘lgan yondashuv va ularni baholash mezonlari
4. Axborot xavfsizligi hujumlarini boshqarishning tashkiliy strukturasi
Kalit sо‘zlar: tahdid, tahdidlarni identifikasiya qilish, metodologiya, aktivlarni aniqlash, espert, spetsifik malaka, incident ehtimollik.
R isklarni boshqarish jarayonining yuqori darajali taqdim etilishi ISO 31000 [3] da belgilangan va 1-rasmda kо‘rsatilgan.
1-rasm. Risklarni boshqarish jarayoni
2-rasmda ushbu standart risklarni boshqarish jarayoniga qanday qо‘llanishi kо‘rsatilgan. Axborot xavfsizligi risklarini boshqarish jarayoni kontekstni о‘rnatishdan (7-bо‘lim), risklarni aniqlashdan (8-bо‘lim), risklarni qayta ishlashdan (9-bо‘lim), risklarni qabul qilish (10-bо‘lim), risklarga nisbatan maslahatlashuvlar va ma’lumotlar almashinishdan (11-bо‘lim), risklar monitoringi va ularni qayta kо‘rib
chiqishdan (12-bо‘lim) iborat.
2-rasm. Axborot xavfsizligi risklarini boshqarish jarayonining illyustratsiyasi
2-rasmda kо‘rsatilganidek, axborot xavfsizligi risklarini boshqarish jarayoni risklarni baholash va/yoki risklarni qayta ishlash kabi tadbirlar uchun iterativ bо‘lishi mumkin. Risklarni aniqlashni olib borishga bо‘lgan iterativ yondashuv har bir iteratsiyada baholash darajasini va detallashtirilishini oshirishi mumkin. Iterativ yondashuv bir vaqtda, yuqori darajali risklar tegishlicha ravishda kо‘rib chiqilishi tо‘g‘risida ishonchni ta’minlagan holda, vaqtni kamaytirish va boshqarish vositalarini aniqlashga sarflanadigan kuch-g‘ayrat о‘rtasida yaxshi muvozanat yaratadi.
Birinchi bosqichda kontekst о‘rnatiladi. Sо‘ngra, risklarni baholash о‘tkaziladi. Agar, bu tadbirlar riskni maqbul darajagacha pasaytirish uchun talab etiladigan ishlarni samarali aniqlash uchun yetarli axborotni ta’minlasa, vazifa bajarilgan hisoblanadi, keyin riskni qayta ishlash keladi. Axborot yetarli bо‘lmaganda, kontekst (masalan, risklarni baholash mezonlari, risklarni qabul qilish mezonlari yoki ta’sir kо‘rsatish mezonlari) qayta kо‘rib chiqilgan holda, riskni aniqlashning quyidagi iteratsiyasi olib boriladi. Navbatdagi iteratsiya tizim ishlashining barcha sohalariga tatbiq qilmagan holda о‘tkazilishiga yо‘l qо‘yiladi.
Risklarni qayta ishlash samaradorligi risklarni aniqlash natijalariga bog‘liq.
Risklarni qayta ishlash siklik jarayonni ichiga olishligini yodda tutish kerak:
- risklar qayta ishlanishini baholashlar;
- qoldiq risk darajasi maqbul ekanligiga nisbatan qarorlar qabul qilish;
- risk darajasi maqbul bо‘lmaganda, risklar yangidan qayta ishlanishini initsiatsiyalash;
- berilgan qayta ishlash samaradorligini baholashlar.
Risklarni qayta ishlashda qoldiq riskning maqbul darajasi darhol olinmasligi ham mumkin. Bunday vaziyatda kontekstning parametrlari о‘zgartirilgan, riskni aniqlashning boshqa iteratsiyasi talab etilishi mumkin ( masalan, riskni baholash, riskni qabul qilish yoki ta’sir kо‘rsatish mezonlari), uning ortidan riskni qо‘shimcha ishlash keladi (2-rasm, risklar bо‘yicha qaror qabul qilish nuqtasi 2). Riskni qabul qilish bо‘yicha ishlar, qoldiq risklar tashkilot rahbariyati tomonidan qat’iy qabul qilinadi degan ishonchni ta’minlashi kerak. Bu, boshqarish vositalarini joriy qilish amalga oshirilmaydigan yoki qiymati tufayli ortga suriladigan vaziyatda ayniqsa muhim.
Axborot xavfsizligi risklarini boshqarish va ularni qayta ishlashning butun jarayoni vaqtida risklarga taalluqli axborot tegishli rahbariyatga va tezkor xodimlarga yetkazilishi muhim. Hatto, risklarni qayta ishlashgacha identifikatsiya qilingan risklar tо‘g‘risidagi axborot insidentlarni boshqarishni amalga oshirish uchun muhim bо‘lishi va potensial zararni kamaytirishga kо‘maklashishi mumkin. Rahbariyat va xodimlarning risklar, rikslarni kamaytirish uchun qо‘llaniladigan boshqarish vositalarining tabiati va tashkilotning muammoli sohalari tо‘g‘risida xabardorligi insidentlarni va kо‘zda tutilmagan voqea-hodisalarni kо‘rib chiqishda eng samarali tarzdagi yordamchi mexanizm hisoblanadi. Axborot xavfsizligi risklarini boshqarish jarayoniga kiradigan har bir tadbirning batafsil natijalari va risklar bо‘yicha qarorlar qabul qilishning ikki nuqtasidan olingan natijalar ujjatlashtirilishi kerak.
O‘z DSt ISO/IEC 27001 da AXBT konteksti, chegaralari, ishlash O‘z DSt ISO/IEC 27005:2013 sohasi doirasida amalga oshiriladigan qanday boshqarish vositalari riskka asoslangan bо‘lishi kerakligi belgilanadi. Axborot xavfsizligi risklarini boshqarish jarayonining qо‘llanishi bu talabni qanoatlantirishi mumkin. Jarayon tashkilotda muvaffaqiyatli amalga oshirilishida kо‘plab yondashuvlar mavjud. Har qanday holatda, tashkilot jarayonni qо‘llashning har bir aniq holatiga mos keladigan yondashuvdan foydalanishi kerak. AXBTda kontekstni о‘rnatish, risklarni baholash, risklarni qayta ishlash va risklarni qabul qilish rejasini ishlab chiqish «rejalashtirish» bosqichining bir qismi hisoblanadi. AXBT «amalga oshirish» bosqichida riskni maqbul darajagacha kamaytirish uchun talab etiladigan boshqarish vositalari va ishlar risklarni qayta ishlash rejasiga muvofiq amalga oshiriladi. AXBT « tekshirish» bosqichida rahbariyat insidentlar va vaziyatning о‘zgarishidan kelib chiqib, risklarni qayta ishlash va baholashni qayta kо‘rib chiqish zarurligini aniqlaydi. «Ish» bosqichida har qanday zarur ishlar, jumladan, axborot xavfsizligi risklarini boshqarish jarayonini takror initsiatsiyalash amalga oshiriladi. Quyidagi jadval axborot xavfsizligi risklarini boshqarish bо‘yicha AXBT jarayonining tо‘rt bosqichiga tegishli bо‘lgan ishlarni jamlaydi. 1-jadval. AXBTni tartibga solish va axborot xavfsizligi risklarini boshqarish jarayoni
Do'stlaringiz bilan baham: |