2.Oqibatlarni baholash
Kirish ma’lumotlari: Aniqlangan va asoslangan insidentlar ssenariylarining ro‘yxati, jumladan, tahdidlarni, zaifliklarniva daxl qilingan aktivlarni,biznes-jarayonlar va aktivlar uchun oqibatlarni aniqlash.
Ish: Biznesning tashkilotga, axborot xavfsizligining mumkin bo‘lgan yoki real insidentlarining natijasi hisoblanadigan ta’siri, aktivlar konfidensialligini, yaxlitligining yoki foydalanib bo‘lishlikning yo‘qotilishi kabi axborot xavfsizligi buzilishining oqibatlari hisobga olingan holda baholanishikerak (O‘zDStISO/IEC 27001, 4.2.1, ye), 1) sanab o‘tish). O‘zDStISO/IEC 27005:2013
Amalga oshirish bo‘yicha qo‘llanma: Qayta ko‘rib chiqiladigan barcha aktivlar aniqlangandan keyin, bu aktivlarga berilgan baho oqibatlarni baholashda hisobga olinishi kerak. Biznes ta’sirining qiymati sifat yoki miqdor shakllarda ifodalanishi mumkin, biroq pul qiymatini berishning har qanday usuli umuman olganda, qarorlar qabul qilish uchun ko‘proq axborot berishi mumkin, binobarin, qarorlar qabul qilish jarayonini yanada samarali qiladi.
Aktivlarning qiymatini aniqlash, tashkilotning amaliy maqsadlarini amalga oshirish uchun aktivlarning muhimligiga nisbatan ularning kritikligiga muvofiq aktivlarni aniqlashdan boshlanadi. So‘ngra ikki o‘lchovdan foydalanib qiymat aniqlanadi:
- aktivning tiklanish qiymati: axborotni almashtirish va tiklash maqsadida tozalash qiymati (agar bu mumkin bo‘lsa);
-aktivga zarardan yoki aktivning obro‘sizlanishidan biznes uchun kelib chiqadigan oqibatlar, masalan, qonunchilik yoki normativ hujjatlarning talablari bajarilmasligi tufayli axborotning va boshqa axborot aktivlarining fosh etilishi, modifikatsiya qilinishi, foydalanib bo‘lmaslik va yoki buzilishi oqibatida biznes uchun mumkin bo‘lgan noqulay oqibatlar. Qiymatning aniqlanishi biznesga ko‘rsatiladigan ta’sirni tahlil qilishdan kelib chiqib belgilanadi. Qiymat biznes uchun oqibatlar bilan, odatda, tiklanish qiymatidan ancha yuqori qilib belgilanadiva aktivning tashkilot uchun, uning biznes maqsadlari bajarilishida muhimligiga bog‘liq.
Aktivlarning baholanishi insident ssenariysining ta’sirini baholashning muhim omili hisoblanadi, chunki insident bitta aktivga (masalan, bog‘liq aktivlar) yoki aktivning faqat bir qismiga ta’sir ko‘rsatishi mumkin.Turli tahdidlar va zaifliklar aktivlarga turlicha ta’sir ko‘rsatishi mumkin, masalan, konfidensiallikning, yaxlitlikning vafoydalana olishlikning yo‘qotilishi. Shu munosabat bilan, oqibatlarni baholash, aktivlar qiymatini aniqlash bilan bog‘langan hisoblanadi yoki biznesga ko‘rsatiladigan ta’sir tahlilidan kelib chiqib qilinadi. Oqibatlar yoki biznesga ta’sir ko‘rsatish voqea-hodisa yoki voqea- hodisalar to‘plami natijalarini modellash yoki o‘tgan davr ichidagi ma’lumotlarni yoki eksperimental tadqiqotlarni ekstrapolyatsiya qilish yo‘li bilan aniqlanishi mumkin. Oqibatlar pul ifodasiga ega bo‘lishi, texnik yoki odam bilan bog‘liq ta’sir mezonlari orqali yoki tashkilot uchun ahamiyatli bo‘lgan boshqa mezonlar orqali ifodalanishi mumkin. Alohida hollarda, turlivaqt, joylar, guruhlar yoki vaziyatlar bilan bog‘liq bo‘lgan oqibatlarni aniqlash uchun, raqamli qiymatdan ko‘ra ko‘proq narsa talab etiladi. Vaqtm yoki mablag‘lar bilan bog‘liq oqibatlar, tahdidlar va zaifliklar ehtimolligiga nisbatan ishlatiladigan yondashuv vositasida o‘lchanishi kerak. Sifat yoki miqdor yondashuvning izchilligi ta’minlanishi kerak. B ilovada ta’sirni baholash va aktivlar qiymatini aniqlash bo‘yicha batafsil axborot keltiriladi.
Chiqish ma’lumotlari: Aktivlarga va ta’sir ko‘rsatish mezonlariga nisbatan ifodalangan insidentlar ssenariysi baholangan oqibatlarining ro‘yxati.
Do'stlaringiz bilan baham: |