|
5-element. Oldingi elementlarni asoslash.
Quyidagilarni aniqlash juda muhim:
nima dalil bо„lishi mumkin?
dalillarni qanday tо„plash mumkin;
dalillarni qanday tahlil qilish kerak;
qanday qilib tadqiq qilish hisobotini tayyorlash kerak.
Damplar,
loglar,
fayllar
-
kompyuter
terminlari. Ularni
rasmiylashtirilgan tadqiq jarayoniga qо‗shilish uchun ular dalillar
sifatida hujjatlashtirilishi va dalillarning huquqiy ahamiyatini saqlab
turadigan tartiblarga muvofiq qayta ishlanishi kerak.
Tadqiqning
mohiyati
quyidagilardan
iborat:
tashkilot
mutaxassislari hodisani aniqlaydilar yoki о‗z-о‗zidan insidentga zudlik
bilan javob qaytaradilar, ma‘lumotlarni tahlil qilib, tahlil natijalarini
ma‘muriyatga topshirishadi yoki ish yuritishni huquqni muhofaza qilish
organlariga topshirilgunga qadar tadqiq qilishni texnik va huquqiy
jihatdan qо‗llab-quvvatlashni ta‘minlaydigan kompyuter insidentlarini
tekshirish uchun tashqi ishchilarni yollashadi.
Tashkilot hodisalarni о‗rganish metodologiyasini qо‗llash uchun
hodisalarni qonuniy jihatdan tegishli tekshiruvlar о‗tkazish niyatida
bо‗lmasa ham, korporativ axborot tizimining umumiy xavfsizligini
oshiradi.
4.5. Insidentni pretsedentli tahlili
Pretsedentli tahlil.
Dastlabki tahlil tizimlarida yechimlarni izlash
analogiya tushunchasiga (muayyan toifadan muayyan toifaga qarab
qidirish) asoslangan. Pretsedentli tahlil va joriy vaziyat о‗xshashliklarni
topish zarur bо‗lgan narsalar kabi kо‗rinadi va bu holat uchun adolatli
bо‗lgan faktlarni uzatish orqali ushbu insidentga doir bir nechta xulosa
chiqarish mumkin. Odatdagidek, pretsedent quyidagilardan iborat:
116
muammoli vaziyatning tavsifi;
ushbu muammoni bartaraf etish uchun muammoni hal qilish
harakatlari (muammoni hal etuvchi yechim);
va ba‘zi hollarda - qarorni qо‗llash natijasi.
Kо‗p о‗lchovli vektorning parametrik ifodasini eng aniq pretsedent
tarkibi sifatida ifodalash mumkin:
(
)
bu
yerda,
pretsedent
tasvirlagan
о‗xshash
ma‘lumotlar parametrlari;
bu muammoni hal qilish uchun bir yoki bir nechta yechimlar
(tashxis, tavsiyalar).
Vaziyatlarga asoslangan xulosa tо‗rt asosiy bosqichni о‗z ichiga
oladi va CBR-sikl (pretsedentlarga asoslangan fikrlash davri) tashkil
etadi, bularga quyidagilar kiradi:
vaziyatlar bazasidan hozirgi holat uchun mos vaziyatlarni
ajratib olish;
mavjud muammoni hal qilish uchun pretsedentni qayta
ishlatish;
ushbu muammoni hal qilishda yechimni qayta kо‗rib chiqish
va moslashtirish;
yangi qarorni yangi pretsedentning bir qismi sifatida saqlab
qо‗yish.
Muayyan obyektning о‗ziga xos xususiyatlarini va hal qilinishi
kerak bо‗lgan vazifalar doirasini hisobga olgan holda, soddalashtirilgan
CBR- siklidan foydalanish mumkin. Shunday qilib, pretsedent apparati
vositalarini ishlatishdan asosiy maqsad operatorga yechimni taqdim
etishdir. Hodisalarni ajratib olish mutanosiblik (metrik)
F
funksiyasini
aniqlashga asoslanadi, uning qiymati esa bu pretsedent va hodisaning
о‗xshashligini belgilaydi. Xususiyat makonida maqsadga mos keladigan
nuqta aniqlanadi va ishlatiladigan metrika doirasida eng yaqin pretsedent
tanlanadi.
Rasman hodisaning analogiyasi
va hozirgi holati;
(
)
kо‗rish funksiyasi bilan tasvirlanadi.
( ) ( (
) (
))
,
bu yerda
(
)
g-
hodisadagi
i-
xususiyatining hamda joriy
k
vaziyatdagi (insident)
xususiyatning mahalliy о‗xshashlik qiymati.
117
funksiya hozirgi vaziyat va hodisaning tо‗liq о‗xshashliligini
bildiradi. Ma‘lumot bazasida shunga о‗xshash holatlar bо‗lmasa, bu
yondashuv vaziyat uchun zaruriy yechimga olib kelmaydi. Agar CBR-
sikli bazani fikrlash jarayonida tо‗g‗ridan-tо‗g‗ri tо‗ldirish imkoniyatini
ta‘minlasa, ushbu muammoni hal qilish mumkin. Axborot xavfsizligi
insidentlarini boshqarishda birinchi qadam - bu insidentlarni bevosita
qayd etishdir. Keyingi xatti-harakatlar sinfga asoslanib har bir insident
uchun javob choralarini qо‗llashni о‗z ichiga oladi. Ushbu bosqichda
quyidagi muammolarni aniqlash mumkin:
insident har doim tо‗g‗ri tasniflanmaydi;
har bir insidentning ma‘lum darajada individual ekanligi
sababli ma‘lum bir sinfga taalluqli insidentga qarshi yagona
javob berish strategiyasi yо‗q;
ilgari sodir bо‗lmagan insidentlar mavjud va shuning uchun
bunday hodisalar uchun tegishli javob choralari mavjud emas.
Insidentni boshqarish jarayonini yaxshilash uchun hodisa tahlildan
foydalanish tushunchasi quyidagichadir. Kо‗plab
ma‘lum insidentlar,
kо‗plab
aniq javob strategiyalari mavjud.
kо‗rinishi- bu
hodisadir, negaki u insidentning tavsifi va unga mos javob berish
strategiyasi mavjud juftlikdir. Yangi insident qayd etilganda, unga
о‗xshash hodisa topilib, undan sо‗ng ushbu insident uchun
pretsedentning yechimlari qо‗llaniladi. Ushbu yondashuvni amalga
oshiruvchi tizimning mantiqiy tuzilishi 19-rasmda keltirilgan. Avval
ma‘lum bо‗lmagan va aniq javob qaytarish strategiyasiga ega bо‗lmagan
holatlar anomal hodisalar deb ataladi.
Boshqacha qilib aytganda, anomal insident - bu himoya vositasi
tomonidan belgilangan sinf ichidagi analoglari bо‗lmagan insident. Buni
yodda tutgan holda, hodisa tahlillar topilgan analogiyalar soniga qarab,
hodisalarning oddiy va anomalga bо‗linishini anglatadi:
*
+
kо‗plab hodisalar;
(
)
bir
martalik hodisa;
*
+
kо‗plab qayd qilingan insidentlar;
{
}
bir martalik insident;
(
)
mutanosiblik
funksiyasi;
{
(
)
}
kо‗plab mutanosib hodisalar.
118
19- rasm. Pretsedent tahlil qilish tizimining mantiqiy tuzilishi
Shunday qilib, insidentni kо‗lab hodisalarga bog‗lash quyidagi
ifodada aks etadi:
|
|
Kо‗rib turganimizdek, tasniflash natijasi bevosita
eng yuqori
masofasi va
hodisalarning eng kо‗p soniga bog‗liq.
Do'stlaringiz bilan baham: |
