Xavf-xatarni baholash:
- hodisalarning sodir bo'lish chastotasi va zarar miqdorini baholash asosida tizimning axborot resurslarini va ushbu resurslarga tahdidlarni, shuningdek, mumkin bo'lgan yo'qotishlarni (ya'ni yo'qotish potentsialini) aniqlash jarayoni. Kirishdan oldin tavsiya etiladi
Xatarlarni identifikatsiya qilish - bu biznes maqsadlari, tahdidlar va zaifliklarni keyingi tahlil qilish uchun asos sifatida ko'rib chiqadigan xavfni aniqlash jarayoni.
Xatarlarni boshqarish:
- tizim resurslariga salbiy ta'sir ko'rsatishi mumkin bo'lgan hodisalarni aniqlash, boshqarish, bartaraf etish yoki kamaytirish jarayoni;
- tizimning axborot resurslariga ta'sir ko'rsatishi mumkin bo'lgan hodisalarni aniqlash, boshqarish va bartaraf etish yoki ehtimolini kamaytirishni o'z ichiga olgan jarayon;
- himoya vositalarining narxi maqbul bo'lgan taqdirda, axborot tizimiga ta'sir qilish qobiliyatiga ega bo'lgan xavfsizlik risklarini aniqlash, boshqarish va kamaytirish jarayoni;
- tizimning tizim resurslariga salbiy ta'sir ko'rsatishi mumkin bo'lgan hodisalarni aniqlash, boshqarish, yo'q qilish yoki kamaytirish jarayoni. Bu jarayon xavflarni tahlil qilish, foyda-xarajat tahlili, xavfsizlik quyi tizimini tanlash, qurish va sinovdan o'tkazish va xavfsizlikning barcha jihatlarini tekshirishni o'z ichiga oladi;
- potentsial hodisalarning potentsial ta'sirini aniqlash, boshqarish, bartaraf etish yoki kamaytirish jarayoni. Xatarlarni boshqarish protsedurasining maqsadi xavflarni DAA (tasdiqlovchi organ) tomonidan tasdiqlangan darajalarga kamaytirishdir.
Riskni davolash - bu xavfni baholashga asoslangan xavflarni boshqarishni rejalashtirish jarayoni.
Zaiflik:
- ta'sir qilishi mumkin bo'lgan mudofaa zaifligi (masalan, mudofaa tizimini noto'g'ri tahlil qilish, rejalashtirish yoki amalga oshirish tufayli);
- axborot tizimidagi yoki uning tarkibiy qismlarining zaifligi (masalan, tizimni himoya qilish tartib-qoidalari, apparat ta'minoti yoki ichki nazorat) axborot bilan bog'liq salbiy hodisalarni amalga oshirishga olib kelishi mumkin;
- axborot xavfsizligi siyosatining buzilishiga hissa qo'shishga qodir bo'lgan xavfsizlik tartib-qoidalari, axborot tizimini loyihalash, tizimni joriy etish, ichki nazorat tizimi va boshqalarning zaifligi;
- axborot tizimini loyihalash, joriy etish yoki boshqarish bosqichidagi axborot xavfsizligi siyosatining buzilishiga olib kelishi mumkin bo‘lgan kamchiliklar yoki bo‘shliqlar;
- potentsial hujum ob'ektida himoyaning zaifligi (masalan, tahlil qilish, loyihalash, tizimni qurish yoki ishlatish bosqichlaridagi kamchiliklar tufayli);
- axborot xavfsizligi tizimi, tarmog'i, ilovalari yoki protokollarini buzuvchi kutilmagan, nomaqbul hodisa yuzaga kelishi mumkin bo'lgan zaiflik, dizayn xatolari yoki tizim qurilishi mavjudligi;
- axborot tizimi yoki tarkibiy qismlarining zaifligi (masalan, tizim darajasidagi xavfsizlik tartib-qoidalarida, apparat darajasidagi dizayn echimlarida, boshqaruv tizimlarida), ular yordamida axborot resurslari bilan bog'liq tahdidni amalga oshirish mumkin;
- tasodifiy yoki ataylab axborot xavfsizligi siyosatining buzilishiga olib kelishi mumkin bo'lgan xavfsizlik tartib-qoidalari, tizim dizayni, boshqaruv tizimi va boshqalarning zaifligi. Axborot xavfsizligi tartib-qoidalari, aktivlarni boshqarish tizimlari yoki tahdidni amalga oshirishni osonlashtiradigan jismoniy himoyadagi xususiyat yoki zaiflik;
- tahdidni amalga oshirishga yordam beradigan axborot tizimining resursi yoki resurslari guruhining zaifligi;
- axborotni qayta ishlash tizimini tashkil etuvchi apparat, dasturiy ta'minot va ma'lumotlar oqimining zaifligi. Axborotga ruxsatsiz kirish tahdidlarini amalga oshirishga yordam beradigan yoki axborotni qayta ishlashning muhim jarayonida uzilishlarga olib kelishi mumkin bo'lgan dasturiy-texnik ta'minot darajasidagi avtomatlashtirilgan axborot xavfsizligi tizimlari, ma'muriy boshqaruv tizimi, uskunalarni joylashtirish va boshqalarning zaif tomonlari.
Do'stlaringiz bilan baham: |