|
Ахборот хавфсизлиги рискини юқори даражали баҳолаш
АХ рискларини юқори даражали баҳолаш, устиворликларни жой жойига қўйишга ва харакатлар хронологиясини аниклаш имкониятини беради. Турли сабабларга кўра, масалан, бюджет такчиллиги ,АХ рискларини бошкариш воситаларини бир вақтнинг ўзида ҳар доим ҳам амалга ошириб булмайди ва рискни ишлаш жараёни рамкасида фақат ахамиятли рискларни бартараф этиш мумкин. Ахборот тизимини амалга ошириш бир ёки икки йилдан сўнг назарда тутилганда, АХ рискларини деталли бошкаришни олдинрок бошлаш мумкин. Бу холда АХ рискларини юқори даражали баҳолаш, АХ тахдидларини, заифликларни, активларни ва окибатларни тизимли таҳлил қилишдан эмас, балки окибатларни юқори даражали баҳолашдан бошланиши мумкин. Бошка сабаби – бошкарувни ўзгариши ёки бизнеснинг узлуксизлиги билан боғлиқ булган бошқа режалар билан синхронлаш заруратидир. Масалан, тизим ёки иловани асоссиз жуда катият билан химоялаш, агар яқин вакт ичида аутсорсингга берилмаса АХ тахдидларини, заифликларни, активларни ва окибатларни тизимли таҳлил қилишдан эмас.
режалаштирилганда, уни тўлиқ ҳимоя қилиш мантиқан нотўғри, бироқ ташқи манбалар билан шартнома тузишнинг мақсадга мувофиқлигини таъминлашда рискни баҳолашни ўтказиш мақсадга мувофиқ бўлади.
Рискни юқори даражали баҳолашга бундай ендошувни узига хослиги қуйидагиларни ўз ичига олади:
-бундай баҳолашда, технологик аспектларни инобатга олиб, бизнесдан ажралган холда ташкилот ва унинг ахборот тизими бунданда глобал каралади. Лекин бунда, тахлил контексти технологик элементларига эмас, балки кўпроқ бизнес олиб бориладиган мухитга ва унинг ишлашига қаратилади.
- бундай баҳолашда АХнинг, маълум сохаларга гуруҳланган, тахдидлари ва заифликлари рўйхатини купрок чегаралаб каралади, бахолаш жараёнини тезлаштириш учун эса, у уларнинг элементларига эмас, балки умумий рисклар ёки ҳужум сенарийларига фокусланади.
- юқори даражали баҳолашда ажратиб олинган АХ рисклари, махсус идентификацияланган рискларга қараганда, купрок умумий хисобланади. Чунки, хужумлар cценарийлари ёки АХ таҳдидлари айрим сохаларга гуруҳланади, АХ рискларини ишлаш жараени бу сохалар учун бошкариш воситаларини аниклайди. Бундай фаолият биринчи навбатда, бутун тизимда куллаш мумкин бўлган АХ рискларини бошкаришнинг энг умумий воситаларини белгилайди.
-лекин, бундай бахолаш технологияларни деталларини камдан-кам ҳолларда кўриб чиқканлиги сабабли, у купрок ташкилий ва техник бўлмаган назоратни таъминлаш, техник назоратни бошкарув аспектлари еки мухим ва умумтехник чоралар учун, масалан захирали нусхалаш ва антивирус, купрок тугри келади.
Рискни юқори даражали баҳолашнинг афзалликлари қуйидагилардан иборат:
- бошланғич боскичларда оддий ёндашувдан фойдаланиш, АХ рискларни баҳолаш дастурини жуда осон куллаб кувватлаш имконини беради;
- ташкилотда АХТ дастурининг стратегик картинасини яратиш имконияти бўлади, яъни бундай ендошув режалаштиришда яхшигина ёрдам бўлиб хизмат қилади;
- ресурслар ва финанслар, энг куп фойда келтирадиган жойларда кулланилади, биринчи навбатда химояланишга мухтож булган тизимлар эса биринчи булиб ҳимояланади.
АХ рискларини дастлабки таҳлили юқори даражада ўтказилиши ва аниқлик етарли бўлмаслиги сабабли, унинг ягона камчилиги шундаки,АХ рискларини деталли тахлил талаб этадиган, айрим бизнес жараёнлар ёки тизимларни аниклаб булмайди. Агар барча ташкилот ва унинг ахборот тизими буйича ва ахборот хавфсизлиги инцидентларини баҳолаш натижасида олинган маълумотлар билан бирга, етарли ахборот булса, бунга йўл қўймаслик мумкин.
Рискни юқори даражали баҳолашдан фойдаланишда ахборот активларининг қиймати ва рискларини ташкилот бизнеси нуқтаи назаридан кўриб чиқади. Карор қабул қилишда (1-расмга қаранг), бир катор омиллар АХ рискини баҳолаш, уларни ишлаш учун, етарли эканлигини аниқлашга ёрдам беради; бу омиллар қуйидагилар бўлиши мумкин:
- бизнес вазифалари турли ахборот активларидан фойдаланиб ечилаетганлиги;
- бизнес ташкилотининг ҳар бир ахборот активига боғлиқлик даражаси, яъни ташкилотнинг яшаб қолиши ёки бизнесни самарали олиб бориши зарур булган ҳар бир активга боғлиқми ёки махфийлик, яхлитлик, мавжудлик, рад этилмаслик, бу активда сақланадиган ва ишланадиган маълумотларнинг ҳисобдорлиги, ҳақиқийлиги ва ишончлилиги;
ҳар бир ахборот активига, активни ишлаб чиқиш, мададлаш ёки активни алмаштириш терминларида, инвестиция даражаси;
ташкилот тўғридан -тўғри қийматини белгилайдиган ахборот активлари.
Бу омилларни баҳолашда, қарор қабул қилиш осонлашади. Агар активлар томонидан бажариладиган вазифалар ташкилот бизнеси учун ҳал қилувчи аҳамиятга эга бўлса ёки активлари юқори даражадали рискка дучор бўлса, у холда конкрет ахборот активи (ёки унинг бир қисми) учун иккинчи итерация, АХ рискини деталли баҳолашни утказиш керак.
Do'stlaringiz bilan baham: |
