1. Hujumlarni boshqarish jarayoni axbtda kontekstni о‘rnatish

Qо‘llanish sohasiga va risklarni boshqarish maqsadlariga bog‘liq holda, turli yondashuvlar qо‘llanilishi mumkin. Shuningdek, har bir iteratsiya uchun ham yondashuvlar turlicha bо‘lishi mumkin. Risklarni boshqarishning, rikslarni baholash mezonlari, mezonlarga ta’sir kо‘rsatish, risklarni yо‘l qо‘yishlik mezonlari kabi asosiy mezonlarga yо‘naltirilgan tegishli yondashuv tanlanishi yoki ishlab chiqilishi kerak.

Qо‘shimcha ravishda, tashkilot zarur resurslardan:

- risklarni aniqlash va risklarni qayta ishlash rejasini belgilash uchun;

- siyosatlar va protseduralarni aniqlash va amalga oshirish, jumladan, tanlangan boshqarish vositalarini amalga oshirish uchun;

- monitoringni boshqarish vositalari uchun;

- axborot xavfsizligi risklarini boshqarish jarayoni monitoringi uchun foydalanish mumkinligini baholashi kerak.

Izoh – AXBTni boshqarish va amalga oshirish uchun resurslar bilan ta’minlash tо‘g‘risidagi qо‘shimcha axborot O‘z DSt ISO/IEC 27001, 5.2.1-bandda keltirilgan.

Tashkilotning axborot xavfsizligi risklarini baholash mezonlari quyidagilar hisobga olingan holda ishlab chiqilishi kerak:

- amaliy faollik tо‘g‘risidagi axborotni qayta ishlashning strategik ahamiyati;

- jalb qilingan axborot aktivlarining kritikligi;

- qonunchilik va normativ hujjatlarning talablari, shartnoma majburiyatlari;

- ishlash va biznes uchun qulayligi, konfidensialligi va yaxlitligining muhimligi;

- manfaatdor tomonlarning kutishi va qabul qilishi, shuningdek, obrо‘ va sha’ni uchun salbiy oqibatlar.

Bundan tashqari, risklarni baholash mezonlaridan risklarni qayta ishlashda ustuvorliklarni aniqlash uchun foydalanish mumkin.

Ta’sir kо‘rsatish mezonlari tashkilot uchun zarar darajasidan yoki axborot xavfsizligi bilan bog‘liq bо‘lgan voqea-hodisa keltirib chiqaradigan xarajatlardan kelib chiqib, quyidagilar hisobga olingan holda ishlab chiqilishi va belgilanishi kerak:

- ta’sir kо‘rsatiladigan axborot aktivini tavsiflash darajasi;

- axborot xavfsizligining buzilishi (masalan, konfidensiallikning, yaxlitlikning, foydalanib bо‘lishlikning yо‘qotilishi);

- normal ishlashning buzilishi ( ham о‘z ishining, ham uchinchi tomonlarning);

- biznes va moliyaviy ahamiyatining yо‘qotilishi;

- rejalar va sо‘nggi muddatlarning buzilishi;

- obrо‘si uchun zarar;

- qonunchilik va normativ hujjatlar talablarining, shartnoma majburiyatlarining buzilishi.

Izoh – Aktivlarning konfidensialligi, yaxlitligi va foydalana olish mumkinligining yо‘qolish ehtimoli bо‘lgan ta’sirni identifikatsiya qilish zarurligiga nisbatan talab O‘z DSt ISO/IEC 27001 (4.2.1, d sanab о‘tish), 4))da keltirilgan.

Risklarni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Risklarni qabul qilish mezonlari kо‘pincha, tashkilot siyosatiga, vazifalariga, maqsadlariga va manfaatdor tomonlarning manfaatlariga bog‘liq bо‘ladi.

Tashkilot rikslarni qabul qilish darajalari uchun о‘zining shkalalarini aniqlab olishi kerak. Ishlab chiqishda quyidagilarni hisobga olish zarur:

- risklarni qabul qilish mezonlari riskning istalgan maqsadli darajasiga ega kо‘plab chekka qiymatlarni ichiga olishi mumkin, lekin muayyan vaziyatlarda yuqori rahbariyat kо‘rsatilgan darajadan yuqorida turgan risklarni qabul qilishi sharti asosida;

- risklarni qabul qilish mezonlari miqdor jihatdan baholangan foydaning (yoki boshqa biznes foydasining) miqdor jihatdan baholangan riskka bо‘lgan nisbati sifatida ifodalanishi mumkin;

- risklarni qabul qilishning turli mezonlari riskning turli klasslariga nisbatan qо‘llanilishi mumkin, masalan, direktivalar va qonunlarga mos kelmaslik natijasi bо‘lishi mumkin bо‘lgan risklar qabul qilinmaydi, shu vaqtning о‘zida, shartnoma majburiyatlarida belgilangan bо‘lsa, yuqori darajadagi risklar qabul qilinishiga ruxsat etilishi mumkin;

- risklarni qabul qilish mezonlari bо‘lajak qо‘shimcha qayta ishlashga taalluqli talablarni ichiga olishi mumkin, masalan, muayyan vaqt davri doirasida risklarni maqbul darajagacha kamaytirish bо‘yicha ishlarni amalga oshirish tasdiqlansa va rozilik berilsa, risklar qabul qilinishi mumkin.

Risklarni qabul qilish mezonlari risklar qanchalik uzoq, taxminan mavjud bо‘lishiga bog‘liq holda farqlanishi mumkin, masalan, risklar vaqtinchalik yoki qisqa muddatli faoliyat bilan bog‘liq bо‘lishi mumkin.

Risklarni qabul qilish mezonlari quyidagilar hisobga olingan holda о‘rnatilishi kerak:

- biznes mezonlari;

- qonunchilik va normativ hujjatlarning aspektlari;

- operatsiyalar;

- texnologiyalar;

- mablag‘lar;

- ijtimoiy va gumanitar omillar.

Izoh – Risklarni qabul qilish mezonlari O‘z DSt ISO/IEC 27001 (4.2.1, s) sanab

о‘tish, 2)) da belgilangan «risklarni qabul qilish mezonlari va risklarning maqbul

darajasini identifikatsiya qilish» ga mos keladi.

Tashkilot axborot xavfsizligi risklarini boshqarish chegaralarini va qо‘llanish sohasini aniqlab olishi kerak. Axborot xavfsizligi risklarini boshqarish jarayonining qо‘llanish sohasini barcha ahamiyatli aktivlar riskni aniqlashda hisobga olinishi uchun aniqlash zarur. Bundan tashqari, manbalari bu chegaralardan tashqarida bо‘lishi mumkin bо‘lgan risklarni kо‘rib chiqish uchun, O‘z DSt ISO/IEC 27001, 4.2.1, a) sanab о‘tishga muvofiq, chegaralarni aniqlash zarur.

Tashkilot ishlaydigan muhitni aniqlash uchun tashkilot tо‘g‘risidagi axborot va boshqa, axborot xavfsizligi risklarini boshqarish uchun zarur bо‘lgan axborot tо‘planishi kerak.

Qо‘llanish sohasi va chegaralarni aniqlashda tashkilot tо‘g‘risidagi quyidagi axborot hisobga olinishi kerak:

- tashkilotning, strategiya va siyosatning strategik amaliy maqsadlari;

- biznes-jarayonlar;

- tashkilot strukturasi va funksiyalari;

- tashkilotga qо‘llaniladigan huquqiy, tartibga soluvchi va shartnomaviy talablar;

- tashkilotning axborot xavfsizligi siyosati;

- tashkilotning risklarni boshqarishga umumiy yondashuvi;

- axborot aktivlari;

- tashkilot joylashgan yer va uning geografik xarakteristikalari;

- tashkilotga ta’sir kо‘rsatadigan cheklashlar;

- manfaatdor tomonlarning tilagi;

- ijtimoiy-madaniy muhit;

- interfeyslar (ya’ni, muhit bilan axborot almashinish).

Bundan tashqari, tashkilot qо‘llanish sohasidan bо‘ladigan har bir chiqarib tashlash uchun asos ta’minlanishi kerak.

AT-ilova, AT-infratuzilma, biznes-jarayonlar yoki tashkilotning muayyan qismi risklarni boshqarishning qо‘llanish sohasiga misollar bо‘lishi mumkin.

Izoh – Axborot xavfsizligi risklarini boshqarishning qо‘llanish sohasi va chegaralari O‘z DSt ISO/IEC 27001 4.2.1, a) sanab о‘tishda talab etiladigan AXBTning qо‘llanish sohasi va chegaralari bilan bog‘langan.