2.Risklarni indentifikatsiya qilish
Risklarni identifikatsiya qilishdan maqsad, potensial zarar yetkazadigan ehtimoliy insidentlarni prognozlash va bu zarar qay tarzda olinishi mumkinligi to‘g‘risida tasavvurga ega bo‘lish hisoblanadi. Quyida tavsiflangan qadamlar risklarni tahlil qilish bo‘yicha tabdirlar uchun kirish ma’lumotlarini aniqlaydi.
Aktivlarni aniqlash
Tashkilot uchuna hamiyatli, binobarin, muhofaza qilish ehtiyoji bo‘lgan biror narsa aktiv hisoblanadi. Aktivlarni aniqlashda axborot tizimi faqat apparat va dasturiy vositalardan iborat emasligini nazarda tutish kerak. Aktivlarni aniqlash risklarni baholash uchun yetarli axborot ta’minlanadigan tegishli detallashtirish darajasida amalga oshirilishi zarur. Aktivlarni aniqlashda foydalaniladigan detallashtirish darajasi risklarni baholash vaqtida to‘plangan axborotning umumiy hajmiga ta’sir etadi. Bu daraja risklarni baholashning keyingi iteratsiyalarida yanada detallashtirilishi mumkin. Har bir aktiv uchun javobgarlikni va har bir aktiv hisobini ta’minlash uchun egasi aniqlanishi kerak. Aktiv egasi aktivga bo‘lgan mulkdorlik huquqlariga ega bo‘lmasligi mumkin, lekin u aktivni ishlab chiqarish, ishlab chiqish, unga xizmat ko‘rsatish, foydalanish va xavfsizligi uchun tegishli ravishda javobgardir. Ko‘p hollarda, aktiv egasi aktivning tashkilot uchun haqiqiy ahamiyatini aniqlashga qodir bo‘lgan eng mos shaxs hisoblanadi. Axborot xavfsizligi risklarini boshqarish jarayoni vositasida boshqarilishi zarur deb belgilangan tashkilot aktivlarining perimetri qayta ko‘rib chiqish chegarasi hisoblanadi.
Tahdidlarni aniqlash
Aktivlarning egalaridan, foydalanuvchilardan va boshqa manbalardan insidentni tahlil qilish natijasida olingan tahdidlar to‘g‘risidagi axborot, jumladan, tashqi tahdidlar reyestrlari.
Tahdid axborot, jarayonlar va tizimlar kabi aktivlarga, binobarin tashkilotlarga zarar yetkazish sababi bo‘lishi mumkin. Tahdidlar tabiiy yoki odamlar xatti-harakatining natijasi bo‘lishi mumkin, ular tasodifiy yoki ataylab qilingan bo‘lishi mumkin. Tahdidlarning ham tasodifiy, ham ataylab qilinadigan manbalari aniqlanishi kerak. Tahdid tashkilotning o‘zidan ham, tashqaridan ham kelib chiqishi mumkin. Tahdidlar umuman va turiga qarab (masalan, mualliflashtirilmagan xatti-harakatlar, fizik zarar, texnik uzilishlar) aniqlanishi kerak, keyin esa, o‘rinli deb topilgan joyda alohida tahdidlar umumiy klass ichida aniqlanadi. Bu, birorta ham tahdid, jumladan, kutilmagan tahdidlar nazardan chetda qolmasligini bildiradi, lekin talab qilinadigan ish hajmi cheklangan. Ba’zi tahdidlar bir nechta aktivga ta’sir etishi mumkin. Bunday hollarda, ular qanday aktivlarga ta’sir ko‘rsatilayotganiga bog‘liq ravishda, turli ta’sirlarning sababchisi bo‘lishi mumkin. Tahdidlar yuzaga kelish ehtimolligini aniqlash va o‘lchash uchun kirish ma’lumotlari aktivlarning egalaridan yoki foydalanuvchilardan, kadrlar bo‘limi xodimlaridan, tashkilot rahbariyatidan va axborot xavfsizligi bo‘yicha mutaxassislardan fizik xavfsizlik bo‘yicha ekspertlardan, yuridik bo‘limdan va boshqa strukturalardan, jumladan, huquqni muhofaza qilish organlaridan, meteorologiya xizmatidan, sug‘urta kompaniyalaridan, milliy hukumat muassasalaridan olinishi mumkin. Tahdidlarni ko‘rib chiqishda muhit va madaniyat aspektlari hisobga olinishi kerak. Insidentlar natijasida olingan ichki tajriba va tahdidlarni avvalgi baholashlar joriy baholashda hisobga olinishi kerak. O‘rinli debtopilganda, umumiy tahdidlar ro‘yxatini to‘ldirish uchun, tahdidlarning boshqa reyestrlarini (tashkilot yoki biznes uchun spetsifik bo‘lgan) hisobga olish maqsadga muvofiq. Tahdidlar reyestrlari va statistikasini sanoat tashkilotlaridan, milliy hukumatlardan, huquqni muhofaza qilish organlaridan, sug‘urta kompaniyalaridan va h.k.olish mumkin.
Tahdidlar reyestrlaridan yoki tahdidlarni baholashlarning avvalgi natijalaridan foydalanib, ahamiyatli tahdidlar doimo o‘zgarib borayotganini, ayniqsa, amaliy muhit yoki axborot tizimlari o‘zgarganda, yoddan chiqarmaslik zarur.
Do'stlaringiz bilan baham: |