Kirish magistrlik dissertatsiya mavzusining asoslanishi va uning dolzarbligi
Download 2,78 Mb.
|
1 (3) (2)
|
Har qanday tashkilotning maqsadi uning faoliyati natijalarini tavsiflovchi ma'lum ko'rsatkichlarga erishishdir. Masalan, tijorat kompaniyalari uchun bu foyda olish, kapitallashuvni, bozor ulushini yoki aylanmasini oshirish, davlat tashkilotlari uchun esa aholiga davlat xizmatlarini ko'rsatish va boshqaruv muammolarini hal qilishdir. Har qanday holatda ham, tashkilot faoliyatining maqsadi qanday bo'lishidan qat'i nazar, axborot xavfsizligi xavfini amalga oshirish ushbu maqsadga erishishga xalaqit berishi mumkin. Shu bilan birga, har bir tashkilot risklarni va ularni kamaytirishga investitsiya qilish imkoniyatini o'ziga xos tarzda baholaydi. Shunday qilib, axborot xavfsizligi risklarini boshqarishning maqsadi ularni tashkilot uchun maqbul darajada ushlab turishdir. Ushbu muammoni hal qilish uchun tashkilotlar integratsiyalashgan axborot xavfsizligi tizimlarini (ISS) yaratadilar. Bunday tizimlarni yaratishda ushbu vositalarni amalga oshirish va qo'llab-quvvatlash uchun ortiqcha xarajatlarsiz tahlil jarayonida aniqlangan axborot xavfsizligi xavflarini kamaytirishni ta'minlaydigan himoya vositalarini tanlash masalasi tug'iladi. Axborot xavfsizligi xatarlarini tahlil qilish zaruriy va yetarli axborot xavfsizligi vositalari to'plamini, shuningdek, axborot xavfsizligi xavflarini kamaytirishga qaratilgan tashkiliy chora-tadbirlarni aniqlashga va tashkilotning o'ziga xos faoliyati uchun eng samarali bo'lgan va uning axborot xavfsizligi xavflari xavfini kamaytirishga qaratilgan ISS arxitekturasini ishlab chiqishga imkon beradi. Barcha risklar, shu jumladan axborot xavfsizligi risklari ikkita parametr bilan tavsiflanadi: tashkilotga mumkin bo'lgan zarar va amalga oshirish ehtimoli. Xatarlarni tahlil qilish uchun ushbu ikki xususiyatning kombinatsiyasidan foydalanish xavflarni turli darajadagi zarar va ehtimollik bilan taqqoslash imkonini beradi, bu ularni tashkilotdagi xavflarni minimallashtirish bo'yicha qaror qabul qiluvchilar uchun tushunarli bo'lgan umumiy ifodaga olib keladi. Shu bilan birga, risklarni boshqarish jarayoni quyidagi mantiqiy bosqichlardan iborat bo'lib, ularning tarkibi va mazmuni qo'llaniladigan xavflarni baholash va boshqarish metodologiyasiga bog'liq [11]: Tashkilot uchun maqbul bo'lgan xavf darajasini aniqlash (xavf ishtahasi) - xavfni qabul qilish yoki uni tuzatish to'g'risida qaror qabul qilishda foydalaniladigan mezon. Xatarlarni aniqlash, tahlil qilish va baholash. Xatarlar to'g'risida qaror qabul qilish uchun ular bir ma'noda aniqlanishi va xavfni amalga oshirishdan kelib chiqadigan zarar va uni amalga oshirish ehtimoli nuqtai nazaridan baholanishi kerak. Xatarlar reytingi. Xavfga javob berishga ustuvorlik berish va keyinchalik javob rejasini ishlab chiqish uchun barcha xavflarni tartiblash kerak. Xavf haqida qaror qabul qilish va xavfga javob berish rejasini ishlab chiqish. Xavflarga javob berish choralari yig'indisini aniqlash uchun ularning har biri bo'yicha quyidagi qarorlardan birini qabul qilish uchun aniqlangan va baholangan xavflarni tahlil qilish kerak: Risklardan qochish; Riskni qabul qilish; Riskni uzatish; Riskni kamaytirish. Har bir xavf uchun qabul qilingan qaror xavfga javob berish rejasida qayd etilishi kerak. Shuningdek, ushbu reja qo'llaniladigan metodologiyaga qarab, xavflarga javob berish uchun zarur bo'lgan quyidagi ma'lumotlarni o'z ichiga olishi mumkin: Javob berish uchun javobgar; Javob berish choralarining tavsifi; javob choralari uchun zarur investitsiyalarni baholash; Ushbu chora-tadbirlarni amalga oshirish muddatlari. Risklarga javob berish bo'yicha chora-tadbirlarni amalga oshirish. Xatarlarga javob berish choralarini amalga oshirish uchun mas'ul shaxslar xavf-xatarlarga javob berish rejasida ko'rsatilgan harakatlarning zarur muddatlarda bajarilishini tashkil qiladi. Amalga oshirilgan chora-tadbirlar samaradorligini baholash. Javob rejasiga muvofiq qo'llaniladigan choralar samarali bo'lishini va xavflar darajasi tashkilot uchun maqbul bo'lishini ta'minlash uchun amalga oshirilgan har bir xavf-xatarga javob samaradorligi baholanadi, shuningdek, tashkilotning risklari muntazam ravishda aniqlanadi, tahlil qilinadi va baholanadi. Axborot xavfsizligi risklarini boshqarishning eng mashhur usullarini ko'rib chiqing: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft. CRAMM usuli 1985 yilda Buyuk Britaniya Xavfsizlik xizmati tomonidan ishlab chiqilgan CRAMM (CCTA Risk Analysis and Management Method) BS7799 seriyasining axborot xavfsizligini boshqarish standartlariga asoslanadi (hozirda ISO 27000 da qayta ko'rib chiqilgan) va xavflarni sifatli baholashga yondashuvni tavsiflaydi. Shu bilan birga, sifat ko'rsatkichlari qiymatlari shkalasiga o'tish sifat va miqdoriy ko'rsatkichlar o'rtasidagi muvofiqlikni aniqlaydigan maxsus jadvallar yordamida amalga oshiriladi. Xatarlarni baholash biznes uchun AT aktivining qiymati, zaifliklar, tahdidlar va ularni amalga oshirish ehtimoli tahliliga asoslanadi. 2.1-rasm. CRAMM tahlil qilish va boshqarish sathlari CRAMM metodologiyasiga muvofiq risklarni boshqarish jarayoni quyidagi bosqichlardan iborat: Boshlash. Ushbu bosqichda axborot xavfsizligi xavfini tahlil qilish jarayonida manfaatdor tomonlar, shu jumladan xavf tahlili amalga oshirilayotgan AT aktivlarining ishlashi, ma'muriyati, xavfsizligi va ulardan foydalanish uchun mas'ul shaxslar bilan bir qator suhbatlar o'tkaziladi. Natijada keyingi tadqiqotlar uchun hududning rasmiylashtirilgan tavsifi, uning chegaralari beriladi va xavfni tahlil qilishda ishtirok etadigan shaxslar tarkibi aniqlanadi. AT aktivlarini aniqlash va baholash (Aktivlarni aniqlash va baholash). Tashkilot tomonidan oldindan belgilangan o'rganish sohasida foydalaniladigan IT-aktivlar ro'yxati aniqlanadi. CRAMM metodologiyasiga ko'ra, IT aktivlari quyidagi turlardan biri bo'lishi mumkin: Ma’lumotlar; Dasturiy vositalar; Fizik aktivlar. Har bir aktiv uchun uning tashkilot faoliyatida muhimligi aniqlanadi va qo'llaniladigan muammolarni hal qilish uchun AT aktividan foydalanadigan bo'linmalar vakillari bilan birgalikda uning maxfiyligi, yaxlitligi va mavjudligi buzilishidan tashkilot faoliyati uchun oqibatlari baholanadi. Tahdid va zaiflikni baholash. AT aktivlarining tanqidiyligini baholashdan tashqari, CRAMM metodologiyasining muhim qismi AT aktivlarining tahdidlari va zaifliklari ehtimolini baholashdir. CRAMM metodologiyasi AT aktivlarining zaifliklari va ushbu zaifliklar orqali AT aktivlariga ta'sir qilishi mumkin bo'lgan tahdidlar o'rtasidagi yozishmalarni tavsiflovchi jadvallarni o'z ichiga oladi. Agar ushbu tahdidlar amalga oshsa, IT aktivlariga yetkazilgan zararni tavsiflovchi jadvallar ham mavjud. Ushbu bosqich faqat eng muhim AT aktivlari uchun amalga oshiriladi, ular uchun axborot xavfsizligining asosiy chora-tadbirlarini amalga oshirish etarli emas. Haqiqiy zaifliklar va tahdidlarni aniqlash AT aktivlarini boshqarish va ishlatish uchun mas'ul shaxslar bilan suhbatlashish orqali amalga oshiriladi. Boshqa AT aktivlari uchun CRAMM metodologiyasi zarur asosiy axborot xavfsizligi choralari to'plamini o'z ichiga oladi. Xavfni hisoblash Risk quyidagi formula bo'yicha hisoblanadi: Risk = P (amalga oshirish) * Zarar. Bunday holda, xavfni amalga oshirish ehtimoli quyidagi formula bo'yicha hisoblanadi: P (amalga oshirish) = P (tahdidlar) * P (zaifliklar). Xavfni hisoblash bosqichida har bir AT aktivi uchun uning axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar majmuasiga qo'yiladigan talablar "1" dan "7" gacha bo'lgan shkala bo'yicha aniqlanadi, bunda "1" qiymati minimal talab qilinadigan to'plamga mos keladi. axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar va "7" qiymati - maksimal. Risklarni boshqarish. Xatarlarni hisoblash natijalariga ko'ra, CRAMM metodologiyasi axborot xavfsizligini ta'minlash bo'yicha zarur chora-tadbirlar majmuasini belgilaydi. Buning uchun 4 mingga yaqin chora-tadbirlarni o'z ichiga olgan maxsus katalog qo'llaniladi. CRAMM metodologiyasi tomonidan tavsiya etilgan chora-tadbirlar majmui tashkilot tomonidan allaqachon qabul qilingan chora-tadbirlar bilan taqqoslanadi. Natijada, himoya choralarini qo'llash nuqtai nazaridan qo'shimcha e'tibor talab qiladigan hududlar va himoya choralari haddan tashqari oshirilgan hududlar aniqlanadi. Ushbu ma'lumotlar tashkilotda qo'llaniladigan himoya choralari tarkibini o'zgartirish bo'yicha harakatlar rejasini shakllantirish - xavf darajasini zarur darajaga yetkazish uchun ishlatiladi. Amaliy qo'llash nuqtai nazaridan CRAMM metodologiyasining quyidagi afzalliklarini ajratib ko'rsatish mumkin: Katta tajriba va professional kompetentsiyani to'plagan qayta tasdiqlangan usul; CRAMM natijalari xalqaro institutlar tomonidan tan olinadi; Metodologiyaning aniq rasmiylashtirilgan tavsifining mavjudligi risklarni tahlil qilish va boshqarish jarayonlarini amalga oshirishda xatolar ehtimolini minimallashtiradi; Xatarlarni tahlil qilishni avtomatlashtirish vositalarining mavjudligi xavflarni tahlil qilish va boshqarish faoliyatini amalga oshirish uchun mehnat xarajatlari va vaqtini minimallashtirish imkonini beradi; Tahdidlar, zaifliklar, oqibatlar, axborot xavfsizligi choralari kataloglari xavflarni tahlil qilish va boshqarish faoliyatining bevosita ijrochilarining maxsus bilimlari va malakalariga qo'yiladigan talablarni soddalashtiradi. Biroq, CRAMM usuli quyidagi kamchiliklarga ega: Tashkilot ichida yoki tashqaridan muhim resurslarni jalb qilishni talab qiladigan dastlabki ma'lumotlarni yig'ishning yuqori murakkabligi va mashaqqatliligi; Axborot xavfsizligi risklarini tahlil qilish va boshqarish jarayonlarini amalga oshirish uchun katta resurslar va vaqt sarflanishi; Ko'p sonli manfaatdor tomonlarni jalb qilish qo'shma ishlarni tashkil etish, loyiha jamoasi ichidagi aloqalar va natijalarni kelishish uchun katta xarajatlarni talab qiladi; Xatarlarni pul ko'rinishida baholashning mumkin emasligi axborot xavfsizligi vositalari va usullarini amalga oshirish uchun zarur bo'lgan investitsiyalarni texnik-iqtisodiy asoslashda axborot xavfsizligi xavfini baholash natijalaridan foydalanishni qiyinlashtiradi. Download 2,78 Mb. Do'stlaringiz bilan baham:
|
kiriting | ro'yxatdan o'tish
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish