Amaliy qism
CRAMM usuli doirasida avtomatlashtirilgan protseduralarni bajarish ketma-ket uchta bosqichni tanlashni taklif qiladi.
Birinchi identifikatsiya bosqichida(12.1-rasm) himoya tizimining bazaviy darajasidagi qo'llaniladigan vositalarni tahlil qilish amalga oshiriladi va risk darajasiga muvofiqligi to'g'risida xulosa chiqariladi.
Agar birinchi bosqich natijalariga ko'ra, resurslarning kritikligi darajasi juda past ekanligi aniqlansa va mavjud xavflar ma'lum bir bazaviy darajadan oshmasa, tizimga minimal xavfsizlik talablari qo'yiladi. Bunday holda, ikkinchi bosqichdagi tadbirlarning aksariyati amalga oshirilmaydi, lekin asosiy xavfsizlik talablariga javob berish uchun standart qarshi choralar ro'yxatini tuzadigan uchinchi bosqichga o'tish amalga oshiriladi.
12.1-rasm. CRAMM usulida identifikatsiya bosqichi
Baholash(12.2-rasm) o'n balli shkala bo'yicha amalga oshiriladi va bir nechta baholash mezonlari bo'lishi mumkin - moliyaviy yo'qotishlar, obro'ning yo'qolishi va boshqalar.
12.2-rasm. CRAMMda baholash mezonlari
CRAMM tavsiflarida "Resurslarni tiklash bilan bog'liq moliyaviy yo'qotishlar" mezoni bo'yicha quyidagi reyting shkalasiga misol keltiradi:
2 ball - 1000 dollardan kam;
6 ball - 1000 dollardan 10 000 dollargacha; • 8 ball - 10 000 dollardan 100 000 dollargacha;
10 ball - 100 000 dollardan yuqori.
Risk, har qanday harakat yoki hodisa natijasida zarar yetkazishi mumkin bo'lgan yo'qotish ehtimoli deb ta'riflanadi.
Resurslarning qiymatini baholash mezonlari:
Tashkilotning obro'siga zarar yetkazish
Xodimlar xavfsizligi
Shaxsiy ma'lumotlarni oshkor qilish
Tijorat ma'lumotlarini oshkor qilish
Huquqni muhofaza qilish organlari tomonidan muammolar
Moliyaviy yo'qotishlar
Tashkilotning normal ishlashi imkonsizligi
Ikkinchi bosqichda axborot xavfsizligi tahdidlari aniqlanadi va baholanadi, himoyalangan tizimning zaifliklarini qidirish va baholash amalga oshiriladi.
Tahdid darajasi quyidagi miqyosda baholanadi: juda
yuqori, yuqori, o'rta, past, juda past. Zaiflik darajasi yuqori, o'rta yoki past deb baholanadi.
• Auditor tahdidlar va zaifliklarni baholash uchun dastlabki ma'lumotlarni tegishli suhbatlar davomida tashkilotning vakolatli vakillaridan oladi. Intervyu o'tkazish uchun maxsus anketalardan foydalaniladi.
Ikkinchi bosqich xavfsizlik tahdidlari va zaifliklarni tahlil qilish(12.3-rasm).
12.3-rasm. CRAMM yordamida xavfsizlik tahdidlari va zaifliklarni tahlil qilish
Uchinchi bosqichda CRAMM aniqlangan xavflarga qarshi choralar ko'rish variantlarini ishlab chiqadi(12.4-rasm).
Mahsulot quyidagi turdagi tavsiyalarni taqdim etadi:
umumiy tavsiyalar;
maxsus tavsiyalar;
bunday vaziyatda himoyani qanday tashkil qilish mumkinligi haqidagi misollar.
12.4-rasm CRAMMda aniqlangan risklarga qarshi choralar ko'rish
Uchinchi bosqichda xavflarni boshqarish muammosi hal qilinadi, bu esa tegishli qarshi choralarni tanlashdan iborat.
Tizimga yangi xavfsizlik mexanizmlarini joriy etish va eskilarini o'zgartirish to'g'risida qaror tashkilot rahbariyati tomonidan tegishli xarajatlar, ularning maqbulligi va biznes uchun yakuniy foydani hisobga olgan holda qabul qilinadi. Auditorning vazifasi tashkilot rahbariyatiga tavsiya etilgan qarshi choralarni asoslashdan iboratdir.
Agar yangi qarshi choralarni joriy etish va eskilarini o'zgartirish to'g'risida qaror qabul qilinsa, auditorga yangi qarshi choralarni amalga oshirish rejasini tayyorlash va ulardan foydalanish samaradorligini baholash topshirilishi mumkin. Ushbu muammolarni hal qilish CRAMM usuli faoliyat doirasidan tashqarida.
CRAMM ning aniqlangan risklarga va ularning darajalariga adekvat bo'lgan, tizim ma'lumotlar bazasida soni 1000 dan ortiq bo'lgan qarshi choralarning bir nechta variantlarini avtomatik ravishda yaratish qobiliyati alohida e'tiborga loyiqdir. Barcha qarshi choralar 61 guruhga bo'lingan:
Identifikatsiya va autentifikatsiya;
kirishni mantiqiy boshqarish;
ro‘yxatga olish;
audit;
ob'ektlardan takroriy foydalanish xavfsizligi;
tizimlarni sinovdan o'tkazish;
dasturiy ta’minotning yaxlitligini nazorat qilish;
kirish / chiqishni boshqarish;
tarmoq xavfsizligini boshqarish;
rad etmaslikni ta’minlash;
Ulanishdan tashqarida maxfiylikni ta’minlash;
tarmoqqa kirishni boshqarish;
tarmoqning jismoniy xavfsizligi;
xabarlarni himoya qilish;
Ulanishdan tashqarida ma’lumotlar yaxlitligini ta’minlash;
xabarlarning to'g'ri ketma-ketligini saqlash;
trafikni to‘ldirish;
tizimdagi operatsiyalarni nazorat qilish;
tizim administratori harakatlarini nazorat qilish;
amaliy dasturchilarning harakatlarini nazorat qilish;
amaliy dasturiy ta’minotni qo‘llab-quvvatlash bo‘yicha operatsiyalarni nazorat qilish;
СВТga texnik xizmat ko'rsatish bo'yicha operatsiyalarni nazorat qilish;
foydalanuvchilar nazorati;
ilovalarni kiritish/chiqarishni boshqarish;
Moliyaviy hisobot.
Do'stlaringiz bilan baham: |