|
Zaiflikni tahlil qilish:
- himoya qilish choralarining tashkilotning maqsad va vazifalariga muvofiqligini aniqlash, himoyani qurishdagi xatolarni aniqlash, tavsiya etilgan himoya samaradorligini baholash uchun dastlabki ma'lumotlarni to'plash imkonini beradigan axborot tizimini tizimli ekspertizadan o'tkazish. chora-tadbirlar va ular amalga oshirilgandan keyin ularning samaradorligini tasdiqlash;
- himoya qilish choralarining tashkilotning maqsad va vazifalariga muvofiqligini aniqlash, himoyani qurishdagi xatolarni aniqlash, tavsiya etilgan himoya samaradorligini baholash uchun dastlabki ma'lumotlarni to'plash imkonini beradigan axborot tizimini tizimli ekspertizadan o'tkazish. chora-tadbirlar.
Baholash maqsadi (TOE):
– baholash ob’ekti bo‘lgan ma’mur, foydalanuvchi hujjatlari va qo‘llanmalarni o‘z ichiga olgan axborot tizimining alohida elementlari va natijalari yoki umuman butun tizim;
- axborot tizimining alohida elementlari va natijalari yoki xavfsizlikni baholash uchun ko'rib chiqilgan butun tizim.
Zaiflikni baholash:
- baholash ob'ektini (BO) himoya qilish samaradorligini baholash aspekti, xususan: baholash ob'ektidagi zaiflik amalda uning himoyasiga putur etkazishi (tahdid qilishi) mumkinligini aniqlash;
- zaiflikni baholash, bu o'rganilayotgan tizimning ma'lum turdagi hujumga moyilligi va agentning hujumni amalga oshirish qobiliyatidan iborat.
Tahdid:
- xavfsizlikka putur yetkazishi mumkin bo'lgan harakat yoki hodisa;
- shaxs yoki boshqa agentga axborot tizimining zaifligidan foydalanish va axborot resurslariga zarar yetkazish imkonini beruvchi holatlar va hodisalarning ketma-ketligi;
- yo'q qilish, oshkor qilish, ma'lumotlarni o'zgartirish yoki xizmat ko'rsatishni rad etish shaklida axborot tizimiga zarar etkazishi mumkin bo'lgan har qanday holat yoki hodisalar;
- xavfsizlik rejimini buzish potentsiali, agar vaziyat yuzaga kelgan bo'lsa, muayyan harakatlar amalga oshirilgan yoki xavfsizlik rejimini buzishi va zarar etkazishi mumkin bo'lgan hodisalar sodir bo'lsa;
- zaiflikdan foydalanilganda yuzaga kelishi mumkin bo'lgan xavf. Tahdid qasddan bo'lishi mumkin (ya'ni, masalan, xaker yoki jinoiy tashkilot tomonidan o'ylab topilgan va rejalashtirilgan) yoki tasodifiy (masalan, kompyuterning ishdan chiqishi yoki tabiiy ofat natijasi - zilzila, yong'in, bo'ron).
Ba'zi kontekstlarda "tahdid" atamasi tor ma'noda tushuniladi va faqat qasddan tahdidlarga ishora qiladi:
- Amerika (AQSh) hukumat hujjatlarida: dushman yuridik shaxsning do'stona axborot tizimlarini aniqlash, ishlatish yoki o'chirish qobiliyati va ushbu yuridik shaxsning bunday faoliyat bilan shug'ullanish niyati (ko'rsatilgan yoki taxmin qilingan);
- axborot tizimi yoki tashkilotga zarar etkazishi mumkin bo'lgan istalmagan hodisaning mumkin bo'lgan sababi;
- himoya tizimiga zarar etkazishi mumkin bo'lgan harakat yoki hodisa;
- yo'q qilish, oshkor qilish, ma'lumotlarni o'zgartirish yoki xizmat ko'rsatishni rad etish (DoS) shaklida tizimga zarar etkazishi mumkin bo'lgan har qanday holat yoki hodisa;
- zaiflikni amalga oshirish imkoniyati;
- tizimga potentsial zarar etkazishi mumkin bo'lgan ob'ekt yoki hodisalar;
- vaziyatlarning kombinatsiyasidan foydalanish va axborot yoki axborot tizimiga zarar etkazish uchun mavjud potentsialni amalga oshirish qobiliyatiga ega bo'lgan raqiblarning qobiliyatlari, niyatlari va hujum usullari;
- tahdid agenti axborot tizimiga, alohida axborot resurslariga yoki operatsiyalarga zarar yetkazishni maqsad qilgan vositalar;
- himoyalanishning mumkin bo'lgan buzilishi;
- oqibatlari tizim yoki tarmoqlarni himoya qilishning buzilishida ifodalangan zaiflikni amalga oshirish potentsiali.
Tahdid harakati:
- tizim himoyasiga hujum.
Tahdid agenti:
- tizim, operatsiyalar (texnologik jarayon) yoki alohida vositalar (tizim elementlari)dagi zaiflikdan foydalanadigan usul;
- axborot tizimi, operatsiyalari yoki vositalaridagi zaifliklardan foydalanishga asoslangan usullar va vositalar; yong'in, tabiiy ofatlar va boshqalar.
Do'stlaringiz bilan baham: |
