Nazorat savollari 1. AXBTga qanday talablar qo’yiladi?
2. Tahdidni amalga oshirish ehtimoli qaysi mezonlar asosida amalga oshiriladi?
3. AX buzilishining oqibat ko’rsatkichlarini tushuntiring?
4. Risk darajasini tavsiflang?
12- amaliy ish Mavzu: Riskni jarayonli boshqarish modeli Ishdan maqsad: Korxona va tashkilotlarda axborot xavfsizligi risklarini jarayonli boshqarish bo’yicha bilim va ko’nikmalarini shakllantirishdan iborat.
Qisqacha nazariy ma’lumotlar CRAMM tizimi Foydalaniladigan dasturiy mahsulotlar turlarini tahlil qilish Axborot xavfsizligini baholashda kompleks ishlarning bajarilishi tahlil qilinadigan ma'lumotlarning hajmi, risklarni baholash va ularni muayyan hujjatlar shaklida taqdim etish bilan bog'liq.
Bundan tashqari, resurslarning zaifligini topish va umuman, axborot tizimlarining xavfsizligini tahlil qilish vazifasi paydo bo'ladi.
Bu vazifalarning barchasi "qog'oz"ga asoslangan usullar bilan har doim ham hal qilinishi mumkin emas.
Shuning uchun tashqi audit va xavfni baholash bilan shug'ullanadigan firmalar turli xil dasturiy mahsulotlardan foydalanadilar. Maqsad va foydalanish uslubiga ko'ra ular ikki turga bo'linadi :
tahlil qilish va risklarni boshqarish vositalari;
axborot tizimlari xavfsizligini tahlil qilish vositalari.
Birinchi turdagi dasturiy tizimlar xalqaro standartlar turlaridan biri (CRAMM usuli), ISO standarti (COBRA tizimi va Condor tizimi) risklarni tahlil qilish va boshqarish sohasidagi Amerika standartlari (RiskWatch) usullaridan foydalanishga asoslangan.
Ikkinchi turdagi dasturiy ta'minot avtomatlashtirilgan tizimlar xavfsizligi tahliliga qaratilgan (AT). Bu yerda ikkita tizim guruhini ajratish mumkin:
intelektual dasturiy ta'minot agenti texnologiyasidan foydalanish bo'yicha (masalan, Symantec kompaniyasining ESM tizimi);
ATga tarmoqqa kirishga urinish uchun buzg'unchining harakatlarini taqlid qilish orqali himoya mexanizmlarini faol sinovdan o'tkazishga asoslangan tahlil usulidan foydalanish.
Masalan. Ushbu usuldan foydalanadigan tizimlarga misol sifatida tarmoq skanerlari va ulardan eng mashhuri Nessusni keltirish mumkin.
CRAMM tizimi
Ushbu usul va dasturiy kompleks Buyuk Britaniyada (1985da) ishlab chiqilgan va keyinchalik 1995da qabul qilingan ingliz standarti BS 7799 talablarini inobatga olgan holda ishlab chiqilgan. Hozirgi vaqtda CRAMM Internetdagi havolalar soniga ko'ra, xavflarni tahlil qilish va nazorat qilishning eng keng tarqalgan usuli hisoblanadi.
Ushbu usulni ishlab chiqish maqsadi rasmiylashtirilgan protsedurani yaratish edi:
xavfsizlik bilan bog'liq talablarning to'liq ko'rib chiqilishi va hujjatlashtirilishini ta'minlash;
xavfni sub'ektiv baholash bilan mumkin bo'lgan keraksiz xavfsizlik choralari xarajatlaridan qochish;
axborot tizimlari hayot siklining barcha bosqichlarida himoya qilishni rejalashtirish va amalga oshirishda yordam berish;
ishning qisqa muddatda bajarilishini ta'minlash;
xavfsizlik talablarini tahlil qilish jarayonini avtomatlashtirish;
qarshi choralarni asoslash;
qarshi choralar samaradorligini baholash, qarshi choralarning turli variantlarini solishtirish;
Risklarni tahlil qilish resurslar, tahdidlar va resurs zaifliklariga berilgan baholarga asoslangan risk darajasini (chora-tadbirlarini) aniqlash va hisoblashni o'z ichiga oladi.
Risklarni nazorat qilish xavflarni maqbul darajaga tushirishga imkon beradigan qarshi choralarni aniqlash va tanlashdir.
Ushbu kontseptsiyaga asoslangan rasmiy usul, mudofaa butun tizimni qamrab olishi va bunga ishonchni ta'minlashi kerak:
barcha mumkin bo'lgan risklar aniqlandi;
resurs zaifliklari aniqlandi va ularning darajalari baholandi;
tahdidlar aniqlandi va ularning darajalari baholandi;