Kirish ma’lumotlari: Risklar to‘g‘risida, risklarni boshqarish bo‘yicha ishlar natijasida olingan barcha axborot (2-rasm).
Ish: Axborot xavfsizligi risklarini boshqarish jarayoni tegishli ravishda,muntazammonitoringqilinishi,qaytako‘ribchiqilishiva yaxshilanishi zarur.
Amalga oshirish bo‘yicha qo‘llanma: Doimiy monitoring va qayta ko‘ribchiqishkontekst,risklarniqaytaishlashvarisklarnibaholash natijalari, shuningdek, boshqarish rejalari o‘rinli va vaziyatlarga mos keladigan tarzda qoladi degan ishonchni ta’minlash uchun zarur. Tashkilotda axborot xavfsizligi risklarini boshqarish jarayoni va u bilan bog‘liq ishlar joriy vaziyatlarda tegishlicha qoladi hamda ularga amal qilinadi degan ishonch bo‘lishi kerak. Rahbariyat e’tibordan chetda qolgan yoki baholanmagan bitta ham riks yoki risk elementi yo‘qligi va risklar to‘g‘risida aniq tasavvurga ega bo‘lish hamda ularga javob berishga qodirbo‘lishuchunzarurishlarqilinayotganligi,qarorlarqabul qilinayotganligi to‘g‘risida ishonchni ta’minlash maqsadida, jarayonga mos kelishniyaxshilashuchunzarurbo‘lgan ishlar yoki jarayonni kelishilgan holda har qanday yaxshilashlar to‘g‘risida xabardor qilinishi kerak. Bundantashqari,tashkilotrisklarnio‘lchashuchun foydalaniladiganmezonlarvaularningelementlarihaqiqiyligicha qolayotganligini va amaliy maqsadlar, strategiya hamda siyosatlar bilan moslashtirilayotganligini,amaliykontekstningo‘zgarishiaxborot xavfsizligirisklariniboshqarishjarayonivaqtidaadekvatdarajada e’tiborgaolinayotganliginimuntazamtekshiribborishikerak. Monitoringvaqaytako‘ribchiqishquyidagigayo‘naltirilishi (lekin, cheklanmasligi) kerak:
- huquqiy kontekst va atrof-muhit kontekstiga;
- raqobat kontekstiga;
- risklarni baholashga bo‘lgan yondashuvga;
- aktivlarning qiymatiga va toifalariga;
- ta’sir ko‘rsatish mezonlariga;
- risklarni baholash mezonlariga;
- risklarni qabul qilish mezonlariga;
- aktivlarga egalik qilishning to‘liq qiymatiga;
- zarur resurslarga.
Tashkilot, risklarni qayta ishlash va baholash resurslari risklarni qayta ko‘rib chiqish, yangi yoki o‘zgargantahdidlaryoki zaifliklarni ko‘rib chiqish uchun doimo mumkin bo‘lishi hamda rahbariyat tegishlicha xabardor qilinishi yuzasidan ishonch hosil qilishi kerak. Quyidagigabog‘liqholdafoydalaniladiganinstrumental vositalarning,metodologiya,yondashuvningto‘ldirilishiyoki o‘zgartirilishirisklarniboshqarishmonitoringiningnatijalari bo‘lishi mumkin:
- muayyan o‘zgarishlarga;
- risklarni baholash iteratsiyalariga;
-axborotxavfsizligirisklariniboshqarishjarayonining
maqsadiga (masalan, biznesning uzluksizligi, insidentlarga chidamlilik, moslik);
-axborotxavfsizligirisklariniboshqarishjarayoniob’ektiga (masalan,tashkilot,biznes-bo‘linma,axborotjarayoni,uningtexnik jihatdan amalga oshirilishi, ilova, Internet tarmog‘iga ulanish).
Tipik tahdidlarga misollar. Quyida keltirilgan S.1-jadvalda tipik tahdidlarg amisollar berilgan. Bu ro‘yxatdan tahdidlarni aniqlash jarayoni vaqtida foydalanilishi mumkin. Tahdidlar qasddan qilinadigan, tasodifiy yoki tashqi muhit bilan bog‘liq (tabiiy) bo‘lishi va muhim servislarga zarar yetishi yoki ularning yo‘qotilishi kabi natijaga ega bo‘lishi mumkin. Quyidagi ro‘yxat har bir tur uchun relevant bo‘lgan tahdidlarni ko‘rsatadi. Bu yerda QQ (qasddan qilinadigan), T (tasodifiy), E (ekolog). QQdanaxborotaktivlarigaqaratilganbarchaataylabqilinadigan aksiyalar uchun foydalaniladi; T dan xodimlarning axborot aktivlarini tasodifanzararlashimumkinbo‘lganbarchaharakatlariuchun foydalaniladivaEdanxodimlarningharakatlarigaasoslanmagan barchainsidentlaruchunfoydalaniladi.Tahdidlarguruhlari ustuvorlik tartibida sanab o‘tilmaydi.
S.1-jadval. Tipik tahdidlarga misollar
Alohidae’tibor,insonomilitahdidlarigaqaratilishikerak
(S.2-jadval).
S.2-jadval. Tahdidlarning manbalari
Do'stlaringiz bilan baham: |