|
Riskni aniqlash quyidagi tadbirlardan iborat:
- risklarni aniqlash;
- risklarni identifikatsiya qilish;
- risklarni tahlil qilish;
- risklarni baholash.
Risklarni aniqlash axborot aktivlarining ahamiyatini belgilaydi, mavjud (yoki mavjud bo‘lishi mumkin) qo‘llaniladigan tahdidlar va zaifliklarni identifikatsiya qiladi, mavjud boshqarish vositalarini va ularning identifikatsiya qilingan risklarga ta’sirini identifikatsiya qiladi, potensial oqibatlarni aniqlaydi va nihoyat, ustuvorliklarga muvofiq, muayyan risklarni joylashtiradi va kontekstni o‘rnatishda aniqlangan risklarni baholash mezonlari bo‘yicha ularni tasniflaydi. Riskni aniqlash ko‘pincha ikki (yoki undan ko‘p) iteratsiyadan foydalanib o‘tkaziladi.
Risklarni aniqlashning maqsad va vazifalari asosida risklarni aniqlashga o‘z yondashuvini tanlash tashkilotning o‘ziga bog‘liq.
Aktivlarning bahosi, oqibatlarning har bir turiga taalluqli bo‘lgan zaifliklar va tahdidlarning darajalari, har bir kombinatsiya uchun 0 dan 8 gacha bo‘lgan shkala asosida riskning tegishli o‘lchovini identifikatsiyalash maqsadida, jadval shakliga (matritsaga) keltiriladi (1.1 (a)-jadval). Qiymatlar matritsaga strukturalangan tarzda kiritiladi.
1.1(a)-jadval.
Risklar o‘lchovlarini identifikatsiyalash matritsasi
|
Tahdidning yuzaga kelish ehtimolligi
|
Past (P)
|
O‘rta (O‘)
|
Yuqori (Yu)
|
Foydalanishning soddaligi
|
P
|
O‘
|
Yu
|
P
|
O‘
|
Yu
|
P
|
O‘
|
Yu
|
Aktiv bahosi
|
0
|
0
|
1
|
2
|
1
|
2
|
3
|
2
|
3
|
4
|
1
|
1
|
2
|
3
|
2
|
3
|
4
|
3
|
4
|
5
|
2
|
2
|
3
|
4
|
3
|
4
|
5
|
4
|
5
|
6
|
3
|
3
|
4
|
5
|
4
|
5
|
6
|
5
|
6
|
7
|
4
|
4
|
5
|
6
|
5
|
6
|
7
|
6
|
7
|
8
|
Har bir aktiv uchun o‘rinli zaifliklar va ularga mos keladigan tahdidlar ko‘rib chiqiladi. Agar tegishlicha tahdidsiz zaiflik yoki tegishlicha zaifliksiz tahdid mavjud bo‘lsa, hozirgi paytda risk yo‘q (lekin, bu vaziyat o‘zgarganda ehtiyotkorlik ko‘rsatish kerak). Jadvaldagi tegishli satr aktiv bahosining qiymati bo‘yicha, tegishli ustun esa, tahdidning yuzaga kelish ehtimolligi va foydalanishning soddaligi bo‘yicha belgilanada. Masalan, agar aktiv 3 bahoga ega bo‘lsa, tahdid «yuqori», zaiflik esa, «past» bo‘ladi, u holda risk o‘lchovi 5 ga teng bo‘ladi. Aktiv 2 bahoga ega deb, va masalan, o‘zgartirish uchun tahdid darajasi «past», foydalanishning soddaligi esa «yuqori» bo‘ladi deb taxmin qilamiz, u holda risk o‘lchovi 4 ga teng bo‘ladi. Jadvalning o‘lchami, tahdidlar ehtimolligi toifalarining, foydalanishning soddaligi toifalarining soni hamda aktivlar bahosini aniqlash toifalarining soni nuqtai nazaridan, tashkilotning ehtiyojlariga moslashtirilishi mumkin.
Risklarning berilgan shkalasi quyidagicha oddiy umumiy reytingi uchun ham aks ettirilishi mumkin:
- past risk: 0-2;
- o‘rta risk: 3-5;
- yuqori risk: 6-8.
1.1(b)- jadval.
Risklar umumiy reytingining matritsasi
|
Insident ssenariysi ehtimolligi
|
Juda past (ehtimolligi juda kam)
|
Past (ehtimolligi kam
|
O‘rtacha (mumkin bo‘lgan)
|
Yuqori (ehtimolligi bo‘lgan)
|
Juda yuqori (tez-tez uchrab turadigan)
|
Aktiv bahosi
|
Juda past
|
0
|
1
|
2
|
3
|
4
|
Past
|
1
|
2
|
3
|
4
|
5
|
O‘rtacha
|
2
|
3
|
4
|
5
|
6
|
Yuqori
|
3
|
4
|
5
|
6
|
7
|
Juda yuqori
|
4
|
5
|
6
|
7
|
8
|
Risklarni identifikatsiya qilishdan maqsad, potensial zarar yetkazadigan ehtimoliy insidentlarni prognozlash va bu zarar qay tarzda olinishi mumkinligi to‘g‘risida tasavvurga ega bo‘lish hisoblanadi. Quyida tavsiflangan qadamlar risklarni tahlil qilish bo‘yicha tabdirlar uchun kirish ma’lumotlarini aniqlaydi.
Risklarni identifikatsiya qilishdan maqsad, potensial zarar yetkazadigan ehtimoliy insidentlarni prognozlash va bu zarar qay tarzda olinishi mumkinligi to‘g‘risida tasavvurga ega bo‘lish hisoblanadi. Quyida tavsiflangan qadamlar risklarni tahlil qilish bo‘yicha tabdirlar uchun kirish ma’lumotlarini aniqlaydi.
Aktivlarni aniqlashda axborot tizimi faqat apparat va dasturiy vositalardan iborat emasligini nazarda to‘tish kerak. Aktivlarni aniqlash risklarni baholash uchun yetarli axborot ta’minlanadigan tegishli detallashtirish darajasida amalga oshirilishi zarur. Aktivlarni aniqlashda foydalaniladigan detallashtirish darajasi risklarni baholash vaqtida to‘plangan axborotning umumiy hajmiga ta’sir etadi. Bu daraja risklarni baholashning keyingi iteratsiyalarida yanada detallashtirilishi mumkin.
1.4. Hujum insidentlari va ularga qarshi reaksiya.
Kiberxavfsizlik sohasidagi faktlar:
1. Kuchli parol ko‘p hujumlarni bartaraf etishi mumkin.
2. Yangi vosita (dasturiy-apparat) xavfsiz hisoblanmaydi.
3. Eng yaxshi dasturiy vositalar zaifliklarni o‘z ichiga oladi.
4. Bulutli texnologiya to‘liq xavfsiz emas.
5. Xakeralar-bular hama vaqt ham jinoyatchi emas.
Kompyuter va kompyuter tarmoqlarida kompyuter xavfsizligi insidentlarini boshqarish o‘z ichiga monitoring va xavfsizlik hodisa-voqealarini, hamda bu hodisa-voqealarga to‘g‘ri javoblarni qaytarishni qamrab oladi. Insidentni boshqarish dastur hisoblanib ma’lum bir jarayonni aniqlab beradi va amalga oshiradi.
Hodisa - shaxs yoki ishchi jarayonni, jarayonni, o‘rab olgan muxit va tizimni normal holatini o‘zgartirishni nazorat etishdir.
Hodisaning uchta asosiy turi mavjud:
Normal. Normal hodisa kritik komponentalarga ta’sir qilmaydi yoki ko‘rsatma (rezolyusiya)ni boshlanishidan oldin o‘zgartirishni nazorat etishni talab qiladi.
Do'stlaringiz bilan baham: |
