O‘zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti fan: Axborot xavfsizligi xavflarini boshqarish

Shunday qilib, axborot xavfsizligi risklarini boshqarishning maqsadi ularni tashkilot uchun maqbul darajada ushlab turishdir. Ushbu muammoni hal qilish uchun tashkilotlar integratsiyalashgan axborot xavfsizligi tizimlarini (ISS) yaratadilar.

Bunday tizimlarni yaratishda ushbu vositalarni amalga oshirish va qo'llab-quvvatlash uchun ortiqcha xarajatlarsiz tahlil qilish jarayonida aniqlangan axborot xavfsizligi xavflarini kamaytirishni ta'minlaydigan himoya vositalarini tanlash masalasi tug'iladi. Axborot xavfsizligi risklarini tahlil qilish axborotni himoya qilishning zaruriy va yetarli vositalari to‘plamini, shuningdek, axborot xavfsizligi xavflarini kamaytirishga qaratilgan tashkiliy chora-tadbirlarni aniqlashga, shuningdek, tashkilotning o‘ziga xos faoliyati uchun eng samarali bo‘lgan va xavf-xatarlarni kamaytirishga qaratilgan ISS arxitekturasini ishlab chiqishga imkon beradi. uning axborot xavfsizligi xavflari.

Barcha risklar, shu jumladan axborot xavfsizligi risklari ikkita parametr bilan tavsiflanadi: tashkilotga mumkin bo'lgan zarar va amalga oshirish ehtimoli. Xatarlarni tahlil qilish uchun ushbu ikki xususiyatning kombinatsiyasidan foydalanish xavflarni turli darajadagi zarar va ehtimollik bilan taqqoslash imkonini beradi, bu ularni tashkilotdagi xavflarni minimallashtirish to'g'risida qaror qabul qilganlar uchun tushunarli bo'lgan umumiy ifodaga olib keladi. Shu bilan birga, risklarni boshqarish jarayoni quyidagi mantiqiy bosqichlardan iborat bo'lib, ularning tarkibi va mazmuni foydalanilgan xavflarni baholash va boshqarish metodologiyasiga bog'liq:

1. 
   Tashkilot uchun xavfning maqbul darajasini aniqlash (xavf ishtahasi) - xavfni qabul qilish yoki uni davolash to'g'risida qaror qabul qilishda foydalaniladigan mezon. Ushbu mezondan kelib chiqib, kelajakda aniqlangan qaysi xavflar so'zsiz qabul qilinishi va keyingi ko'rib chiqishdan chiqarib tashlanishi, qaysilari esa qo'shimcha tahlildan o'tkazilishi va xavf-xatarlarga javob berish rejasiga kiritilishi aniqlanadi.
   
2. 
   Xatarlarni aniqlash, tahlil qilish va baholash. Xatarlar to'g'risida qaror qabul qilish uchun ular yagona aniqlanishi va xavfni amalga oshirishdan kelib chiqadigan zarar va uni amalga oshirish ehtimoli nuqtai nazaridan baholanishi kerak. Zararni baholash tashkilotning AT aktivlari va ular qo'llab-quvvatlaydigan biznes jarayonlariga xavf ta'siri darajasini belgilaydi. Ehtimollikni baholashda xavfning amalga oshishi ehtimoli tahlili o'tkaziladi. Ushbu parametrlarni baholash AT aktivlariga xos bo'lgan xavf va tahdidlar ta'sirida bo'lishi mumkin bo'lgan zaifliklarni aniqlash va tahlil qilishga asoslanishi mumkin, ularni amalga oshirish ushbu zaifliklardan foydalanish orqali mumkin. Shuningdek, foydalanilgan xavfni baholash metodologiyasiga qarab, tajovuzkorning modeli, tashkilotning biznes jarayonlari va boshqa tegishli xavf omillari haqidagi ma'lumotlar ularni baholash uchun dastlabki ma'lumotlar sifatida ishlatilishi mumkin, tashkilot muhitidagi siyosiy, iqtisodiy, bozor yoki ijtimoiy vaziyat kabi. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavfni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va xavf-xatarlarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - bu xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik; yuqori mehnat zichligi va bajarish muddati. tashkilot muhitidagi bozor yoki ijtimoiy vaziyat. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavfni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va xavf-xatarlarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - bu xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik; yuqori mehnat zichligi va bajarish muddati. tashkilot muhitidagi bozor yoki ijtimoiy vaziyat. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavfni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va xavf-xatarlarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - bu xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik; yuqori mehnat zichligi va bajarish muddati. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavfni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va xavf-xatarlarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik, yuqori mehnat zichligi va bajarish muddati. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavfni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va xavf-xatarlarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik, yuqori mehnat zichligi va bajarish muddati. xavflarni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va risklarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik, yuqori mehnat zichligi va bajarish muddati. xavflarni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar - iqtisodiy asoslash va risklarga javob berish choralariga sarmoya kiritishning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - xavfni baholashning to'g'riligi, natijalarning ravshanligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan solishtirish qobiliyati, kamchiliklari - murakkablik, yuqori mehnat zichligi va bajarish muddati.
   
3. 
   Xatarlar reytingi. Xatarlarga javob berish va javob rejasini keyinchalik ishlab chiqish uchun birinchi o'ringa qo'yish uchun barcha xavflarni tartiblash kerak. Xatarlarni tartiblashda, foydalanilgan metodologiyaga qarab, tanqidiylikni aniqlash uchun xavflarni amalga oshirishdan ko'rilgan zarar, realizatsiya ehtimoli, xavf ta'sir ko'rsatadigan AT aktivlari va biznes jarayonlari, xavfni amalga oshirish natijasida yuzaga keladigan ijtimoiy rezonans va obro'ga putur etkazilishi va h.k. ., qo'llanilishi mumkin.
   
4. 
   Xatarlar to'g'risida qaror qabul qiling va xavfga javob berish rejasini ishlab chiqing. Xatarlarga javob berish bo'yicha chora-tadbirlar majmuini aniqlash uchun aniqlangan va baholangan xavflarni tahlil qilish, ularning har biri bo'yicha quyidagi qarorlardan birini qabul qilish kerak:
   
   • 
     Xatarlardan qochish;
     
   • 
     Tavakkalchilik;
     
   • 
     Xatarlarni uzatish;
     
   • 
     Xavfni kamaytirish.
     

• 
  Javob berish uchun javobgar;
  
• 
  Javob berish choralarining tavsifi;
  
• 
  Javob berish uchun zarur bo'lgan investitsiyalarni baholash;
  
• 
  Ushbu chora-tadbirlarni amalga oshirish muddati.
  
1. 
   Xatarlarga javob berish bo'yicha chora-tadbirlarni amalga oshirish. Xatarlarga javob berish choralarini amalga oshirish uchun mas'ul shaxslar xavf-xatarlarga javob berish rejasida ko'rsatilgan chora-tadbirlarning zarur muddatlarda bajarilishini tashkil qiladi.
   
2. 
   Amalga oshirilgan chora-tadbirlar samaradorligini baholash. Javob berish rejasiga muvofiq qo'llaniladigan chora-tadbirlar samarali bo'lishini va xavflar darajasi tashkilotga mos kelishini ta'minlash uchun har bir amalga oshirilgan xavf-xatarlarga javob berish chora-tadbirlarining samaradorligi baholanadi, shuningdek tashkilotning risklari muntazam ravishda aniqlanadi, tahlil qilinadi va baholanadi.