Ishning maqsadi: Tanlangan predmet soha bo’yicha axborot xavfsizligi xavfini sifat va son bo’yicha baholash bilim va ko’nikmalarini shakllantirish.
Nazariy ma’lumotlar
Bugungi kunda axborot resurslarining xavfsizligi bilan bog'liq har bir korxona oldida telekommunikatsiya uskunalari va korxona axborot tizimida aylanma ma'lumotlarning xavfsizligini to'liq ta'minlashga imkon beradigan axborotni himoya qilish tizimini tashkil etish masalasi paydo bo'ladi. Axborotni muhofaza qilish samaradorligi uning tashkil etilish yondashuviga va axborot xavfsizligi xavfini hisoblash usullarini to'g'ri tanlashga bog'liq.
Har qanday telekommunikatsiya korxonasining o'ziga xos xususiyati tashkilotning asosiy biznes-jarayonlarining uzluksizligini ta'minlash uchun butun apparat-dasturiy kompleksning xavfsizligi va ishonchli ishlashiga sezgirlikdir, bu esa tashkilot rahbarlarini samarali axborot xavfsizligi tizimini yaratish va qo'llab-quvvatlashga majbur qiladi.
Ushbu ish doirasida telekommunikatsiya korxonasining axborot tizimini nuqtai nazaridan bir xil xususiyatlarga ega bo'lgan tipik segmentlarga (shu jumladan uchtadan ko'p bo'lmagan boshqariladigan sohalarga) bo'lish asosida axborot xavfsizligi risklarini baholashning sifatga oid usuli taklif etiladi. Xatarlarni hisoblash metodologiyasining o'zi axborot xavfsizligi sohasidagi bir qator xalqaro va Rossiya standartlari tomonidan taklif qilingan xavflarni aniqlash va baholash usullari va usullari to'plamiga asoslanadi, ularni ko'rib chiqilayotgan axborot tizimiga qo'llash mumkin.
Xatarlarni qayta ishlash va baholash usuliga qo'yiladigan talablarni tavsiflovchi asosiy hujjatlardan biri “ISO 27001: Axborot texnologiyalari” xalqaro standartidir. Himoya usullari. Axborot xavfsizligini boshqarish tizimlari "(keyingi o'rinlarda - ISO 27001 standarti). Axborot xavfsizligi risklarini hisoblash jarayoni axborotni himoya qilish tizimining barcha bosqichlarida dolzarb bo'lib, axborot egasi uchun birinchi navbatda iqtisodiy sohadagi yo'qotishlar nuqtai nazaridan qiziq.
ISO 27001: 2013 talablarida xavflarni hisoblash uchun aniq formulalar hisobga olinmaganiga qaramay, hujjat ma'lumotlariga asoslanib, quyidagilarni ajratib ko'rsatish mumkin:
xatarlarni baholash jarayonida xavf-xatarni qabul qilish mezonlari va AX xavfini baholash mezonlari belgilanishi;
axborot xavfsizligi xavflarini baholash ko'rib chiqilayotgan tizim uchun tegishli bo'lgan axborot xavfsizligi xavflarining oqilona va izchil massivlarini berishiga kafolatlar berilishi;
Axborot resurslarining maxfiyligi, yaxlitligi va mavjudligi kabi xususiyatlariga qaratilgan axborot xavfsizligi xavflarini aniqlash;
Shuningdek, risk egasining identifikatsiyasi amalga oshirilishi kerak, bunda mulk egasi risklarni boshqarish uchun mas'ul bo'lgan va buning uchun zarur vakolatlarga ega bo'lgan jismoniy, yuridik shaxs yoki birlik tushunilsa, bu holda axborot xavfsizligi bo'yicha mutaxassislar, axborot xavfsizligi bo'limlari,menejerlar haqida gapirish mumkin;
axborot xavfsizligi risklarini tahlil qilish jarayonida xavf amalga oshirilgan taqdirda mumkin bo'lgan yo'qotishlarni baholash;
xatarlarni amalga oshirish ehtimolini baholash va xavflarning hajmini aniqlash;
axborot xavfsizligi risklarini baholash jarayonida xavflarni belgilangan mezonlar bilan solishtirish va ularni qayta ishlashning ustuvor yo‘nalishlari vektorini aniqlash.
ISO 27001: 2013 standarti ISO 27001: 2005 standartidan farqli ravishda sezilarli darajada qisqartirildi, bunda xavflarni baholash jarayoni yetarli darajada batafsil koʻrib chiqildi va zaif tomonlarni aniqlash, aktivlar va ularning egalarini aniqlash kabi bosqichlarni oʻz ichiga oldi.
GOST R ISO 31000-2010 ga asoslanib, axborot xavfsizligi xavflarini baholashning ko'plab usullari mavjud: "xavfni aniqlash, axborot xavfsizligi xavflarini amalga oshirish oqibatlarini tahlil qilish, mavjud nazorat samaradorligini baholash, axborot xavfsizligi darajasini miqdoriy baholash. xavf-xatarlar, axborot xavfsizligi xavflarining qiyosiy bahosi, xavfning sifat, miqdoriy yoki aralash baholash ehtimoliy xususiyatlari.