Tahdid tahlili:
- hodisalar ehtimolini baholash va tizimdagi buzg'unchi harakatlarning mumkin bo'lgan oqibatlarini aniqlash;
- tizimga yoki uning faoliyati natijalariga salbiy ta'sir ko'rsatishi mumkin bo'lgan barcha harakatlar va hodisalarni tekshirish.
Tahdidni baholash jarayoni axborot tizimiga tahdidning jiddiyligini rasmiy baholash va tahdid xarakterini tavsiflash jarayonidir.
Xatarlarni baholash usuliga misol
Keling, mezonlar tizimidan foydalangan holda tahdidlarni amalga oshirishning mumkin bo'lgan oqibatlarini qiyosiy baholashga imkon beradigan ketma-ket imtiyozlar usulini ko'rib chiqaylik.
Avvalo, modellashtirish yoki ekspert baholash usullari orqali samaradorlik ko'rsatkichlarining (mezonlarining) nisbiy ahamiyatini sifatli tahlil qilish amalga oshiriladi. Ko'rsatkichlar asosiy ko'rsatkich ō1, kamroq ahamiyatli - ō2 bo'lishi uchun muhimlikning kamayishi tartibida joylashtirilgan va raqamlangan. keyin qolgan ko‘rsatkichlar quyidagicha bo‘ladi: ō3, ʼn4, ..., ōn. Birinchi eng muhim ko'rsatkich ō1 maksimallashtiriladi va uning eng katta qiymati W1 topiladi. Keyin, ō1 () indeksining ruxsat etilgan kamayishi (imtiyoz) qiymati va ikkinchi indeksning eng katta qiymati ō2 - W2, birinchi indeksning qiymati (W1 -) dan kam bo'lmasligi sharti bilan aniqlanadi (tayinlanadi). ). Shunga qaramay, topshiriqning qiymati aniqlanadi (tayinlanadi) (lekin allaqachon ikkinchi ko'rsatkich bo'yicha - ()), bu uchinchi ko'rsatkichning shartli maksimal W3 ō3 ni topishga xizmat qiladi va hokazo. Va nihoyat, oxirgi eng muhim indeks ōn maksimal darajaga ko'tariladi, agar oldingi qiymatlarning qiymatlari (n - 1) mos keladigan qiymatlardan () kam bo'lmasligi kerak. Olingan samaradorlik ko'rsatkichlari to'plami optimal tizimga yoki uni qurish variantiga mos keladi. Keyin muammoning matematik yechimi ketma-ket qadamlar to'plami bilan tavsiflanadi:
bu yerda X; X - texnik xususiyatlar qiymatlari to'plami, X - ishlash ko'rsatkichlarining tegishli qiymatlarini ta'minlaydigan texnik xususiyatlar qiymatlari.
Natijada (n - 1) bosqichlar tizimning ishlash samaradorligi ko'rsatkichlarining oqilona qiymatlarini qo'llab-quvvatlaydigan texnik vositalarning xarakteristikalari to'plami sifatida aniqlanadi.
R isklarni boshqarish jarayonining yuqori darajali taqdim etilishi ISO 31000 [3] da belgilangan va 1-rasmda ko‘rsatilgan.
1-rasm. Risklarni boshqarish jarayoni
2-rasmda ushbu standart risklarni boshqarish jarayoniga qanday qo‘llanishi ko‘rsatilgan. Axborot xavfsizligi risklarini boshqarish jarayoni kontekstni o‘rnatishdan (7-bo‘lim), risklarni aniqlashdan (8-bo‘lim), risklarni qayta ishlashdan (9-bo‘lim), risklarni qabul qilish (10-bo‘lim), risklarga nisbatan maslahatlashuvlar va ma’lumotlar almashinishdan (11-bo‘lim), risklar monitoringi va ularni qayta ko‘rib
chiqishdan (12-bo‘lim) iborat.
2-rasm. Axborot xavfsizligi risklarini boshqarish jarayonining illustrasiyasi
2-rasmda ko‘rsatilganidek, axborot xavfsizligi risklarini boshqarish jarayoni risklarni baholash va/yoki risklarni qayta ishlash kabi tadbirlar uchun iterativ bo‘lishi mumkin. Risklarni aniqlashni olib borishga bo‘lgan iterativ yondashuv har bir iteratsiyada baholash darajasini va detallashtirilishini oshirishi mumkin. Iterativ yondashuv bir vaqtda, yuqori darajali risklar tegishlicha ravishda ko‘rib chiqilishi to‘g‘risida ishonchni ta’minlagan holda, vaqtni kamaytirish va boshqarish vositalarini aniqlashga sarflanadigan kuch-g‘ayrat o‘rtasida yaxshi muvozanat yaratadi.
Birinchi bosqichda kontekst o‘rnatiladi. So‘ngra, risklarni baholash o‘tkaziladi. Agar, bu tadbirlar riskni maqbul darajagacha pasaytirish uchun talab etiladigan ishlarni samarali aniqlash uchun yetarli axborotni ta’minlasa, vazifa bajarilgan hisoblanadi, keyin riskni qayta ishlash keladi. Axborot yetarli bo‘lmaganda, kontekst (masalan, risklarni baholash mezonlari, risklarni qabul qilish mezonlari yoki ta’sir ko‘rsatish mezonlari) qayta ko‘rib chiqilgan holda, riskni aniqlashning quyidagi iteratsiyasi olib boriladi. Navbatdagi iteratsiya tizim ishlashining barcha sohalariga tatbiq qilmagan holda o‘tkazilishiga yo‘l qo‘yiladi.
Risklarni qayta ishlash samaradorligi risklarni aniqlash natijalariga bog‘liq.
Risklarni qayta ishlash siklik jarayonni ichiga olishligini yodda tutish kerak:
- risklar qayta ishlanishini baholashlar;
- qoldiq risk darajasi maqbul ekanligiga nisbatan qarorlar qabul qilish;
- risk darajasi maqbul bo‘lmaganda, risklar yangidan qayta ishlanishini initsiatsiyalash;
- berilgan qayta ishlash samaradorligini baholashlar.
Risklarni qayta ishlashda qoldiq riskning maqbul darajasi darhol olinmasligi ham mumkin. Bunday vaziyatda kontekstning parametrlari o‘zgartirilgan, riskni aniqlashning boshqa iteratsiyasi talab etilishi mumkin ( masalan, riskni baholash, riskni qabul qilish yoki ta’sir ko‘rsatish mezonlari), uning ortidan riskni qo‘shimcha ishlash keladi (2-rasm, risklar bo‘yicha qaror qabul qilish nuqtasi 2). Riskni qabul qilish bo‘yicha ishlar, qoldiq risklar tashkilot rahbariyati tomonidan qat’iy qabul qilinadi degan ishonchni ta’minlashi kerak. Bu, boshqarish vositalarini joriy qilish amalga oshirilmaydigan yoki qiymati tufayli ortga suriladigan vaziyatda ayniqsa muhim.
Axborot xavfsizligi risklarini boshqarish va ularni qayta ishlashning butun jarayoni vaqtida risklarga taalluqli axborot tegishli rahbariyatga va tezkor xodimlarga yetkazilishi muhim. Hatto, risklarni qayta ishlashgacha identifikatsiya qilingan risklar to‘g‘risidagi axborot insidentlarni boshqarishni amalga oshirish uchun muhim bo‘lishi va potensial zararni kamaytirishga ko‘maklashishi mumkin. Rahbariyat va xodimlarning risklar, rikslarni kamaytirish uchun qo‘llaniladigan boshqarish vositalarining tabiati va tashkilotning muammoli sohalari to‘g‘risida xabardorligi insidentlarni va ko‘zda tutilmagan voqea-hodisalarni ko‘rib chiqishda eng samarali tarzdagi yordamchi mexanizm hisoblanadi. Axborot xavfsizligi risklarini boshqarish jarayoniga kiradigan har bir tadbirning batafsil natijalari va risklar bo‘yicha qarorlar qabul qilishning ikki nuqtasidan olingan natijalar ujjatlashtirilishi kerak.
O‘z DSt ISO/IEC 27001 da AXBT konteksti, chegaralari, ishlash O‘z DSt ISO/IEC 27005:2013 sohasi doirasida amalga oshiriladigan qanday boshqarish vositalari riskka asoslangan bo‘lishi kerakligi belgilanadi. Axborot xavfsizligi risklarini boshqarish jarayonining qo‘llanishi bu talabni qanoatlantirishi mumkin. Jarayon tashkilotda muvaffaqiyatli amalga oshirilishida ko‘plab yondashuvlar mavjud. Har qanday holatda, tashkilot jarayonni qo‘llashning har bir aniq holatiga mos keladigan yondashuvdan foydalanishi kerak. AXBTda kontekstni o‘rnatish, risklarni baholash, risklarni qayta ishlash va risklarni qabul qilish rejasini ishlab chiqish «rejalashtirish» bosqichining bir qismi hisoblanadi. AXBT «amalga oshirish» bosqichida riskni maqbul darajagacha kamaytirish uchun talab etiladigan boshqarish vositalari va ishlar risklarni qayta ishlash rejasiga muvofiq amalga oshiriladi. Quyidagi jadval axborot xavfsizligi risklarini boshqarish bo‘yicha AXBT jarayonining to‘rt bosqichiga tegishli bo‘lgan ishlarni jamlaydi. 1-jadval. AXBTni tartibga solish va axborot xavfsizligi risklarini boshqarish jarayoni
Do'stlaringiz bilan baham: |