|
12.6-rasm. Xavfsizlik servislari va boshqarish tizimining integratsiyasi.
Tarmoq xavfsizligini adaptiv boshqarish modelidan foydalanish barcha tahdidiami nazoratlash va ularga o‘z vaqtida reaksiya ko'rsatish, nafaqat tahdidlarni amalga oshirishga sharoit yaratuvchi zaifliklami yo'qotish, balki zaifliklami paydo bo'Iish sharoitlarini tahlillash imkonini beradi.
Xavf-xatarlami tahlillash va boshqarish axborot tizimidagi tahdid-lar, zaifliklar va xavf-xatarlami baholash hamda ushbu axborot tizimi xavfsizligining yetarli darajasini ta’minlovchi qarshi choralami aniqlash uchun ishlatiladi.
Xavf-xatarlarni tahlillash-tahdidlami, zaifliklami va koфoгativ ax borot tizimi xavfsizligiga boMishi mumkin boMgan zararlami aniqlash jarayoni. Xavf-xatarlami tahlillashdan maqsad mavjud xavf-xatarlami aniqlash va ular me’yorini baholash (ularga miqdoriy baho berish). Xavf-xatarlarni tahlillash kompyuter axborot tizimi xavfsizligini tek shirish bo'yicha tadbirni o‘z ichiga oladi. Bu tadbirga binoan qaysi re-surslami qaysi tahdidlardan himoyalash zarurligi hamda u yoki bu re-surslar qanday darajada himoyaga muhtoj ekanligi aniqlanadi.
Xavf-xatarlami tahlillashga turli yondashishlar mavjud. Yondash-ishni tanlash tashkilotda axborot xavfsizligi rejimiga quyiladigan talab-lar darajasiga va e’tiborga olinuvchi tahdidlar xarakteriga (tahdidlar ta’siri spektriga) bogMiq. Talablaming ikkita darajasi farqlanadi:
axborot xavfsizligi rejimiga minimal talablar;
axborot xavfsizligi rejimiga oshirilgan talablar.
Axborot xavfsizligi rejimiga minimal talablar axborot xayfsizligin-ing bazaviy darajasiga mos keladi. Bu darajadan, odatda, namunaviy loyiha yechimlarida foydalaniladi. Xavf-xatarlami tahlillash sod-dalashtirilgan sxema bo‘yicha o‘tkaziladi: xavfsizlikka tahdidlaming ko'p tarqalgan to'plami ularning ehtimolligini baholamasdan ko'riladi. Viruslar, asbob-uskunalarning buzilishi, ruxsatsiz foydalanish va h. kabi ehtimolligi yuqori tahdidlaming minimal to‘plami ko‘riladigan qator standartlar va spetsifikatsiyalar mavjud. Bunday tahdidlami betara-flashtirish uchun ulaming amalga oshirilishi ehtimolligi va resurslarning zaifligidan qat’i nazar, qarshi choralar ko‘rilishi lozim, ya’ni bazaviy darajada tahdidlar xarakteristikalarini ko‘rish shart emas.
Axborot xavfsizligi rejimiga oshirilgan talablar, axborot xavfsizligi rejimining buzilishi ogMr oqibatlarga sabab boMganida va axborot xavf sizligi rejimiga minimal talablar yetarli boMmaganida ishlatiladi.
Axborot xavfsizligi rejimiga oshirilgan talablami ta’riflash uchun resurslar ahamiyatini aniqlash, tadqiqlanuvchi axborot tizimi uchun dol-zarb bo'lgan tahdidlar ro'yxati bilan standart to‘plamni to'ldirish, tahdidlar ehtimolligini baholash va resurslar zaifligini aniqlash zarur.
Xavf-xatami tahlillash jarayonini quyidagi bosqichlarga ajratish mumkin:
- korporativ axborot tizimining tayanch resurslarini identifikatsiya-
lash;
u yoki bu resursning muhimligini aniqlash;
tahdidlarning amalga oshirilishiga imkon beruvchi mavjud xavf sizlik tahdidlarni va zaifliklarni identifikatsiyalash;
xavfsizlikka tahdidlarni amalga oshirilishi bilan bog‘liq xavf-xatarlarni hisoblash.
Resurslar uchta kategoriyaga - axborot resurslariga, dasturiy ta’minotga va texnik vositalarga (fayl serverlari, ishchi stansiyalar, ko'priklar, marshrutizatorlar va h.) boMinadi. Har bir kategoriya ichida resurslami sinflarga va qism sinflarga ajratish mumkin. Faqat korporativ axborot tizimi funksionalligini belgilovchi va xavfsizlikni ta’minlash nuqtai nazaridan muhim bo'lgan resurlar identifikatsiyalanishi lozim.
Resursning muhimligi (narxi) bu resursning konfidensialligi, yax-litligi yoki foydalanuvchanligi buzilganida yetkazilgan zarar miqdori bilan belgilanadi. Resurslar narxini baholashda resurslarining har bir kategoriyasi uchun bo'lishi mumkin bo'lgan zarar miqdori belgilanadi.
Namunaviy xavfsizlik tahdidlariga korporativ axborot tizimi re surslariga lokal masofadan hujumlar, tabiiy ofat, xodimlar xatosi, das turiy ta’minotdagi xatolik yoki apparaturaning nosozligi sabab bo'luvchi korporativ axborot tizim ishidagi buzilishlar taalluqli. Tahdid darajasi deganda, uning amalga oshirilishi ehtimolligi tushuniladi.
Himoyaning bo'shligi korporativ axborot tizimidagi zaifliklarga sa bab bo'ladi. Zaifliklarni baholash xavfsizlik tahdidlarining muvaffaqi-yatli amalga oshirilish ehtimolligini aniqlashni nazarda tutadi. Shunday qilib, zarar yetkazish ehtimolligi tahdidlarning amalga oshirilishi ehti molligi va zaiflik miqdori orqali ariiqlanadi.
Xavf-xatar darajasi resurs narxi, tahdid darajasi va zaiflik miqdori asosida aniqlanadi. Resurs narxi, tahdid darajasi va zaiflik miqdori osh ishi bilan xavf-xatar darajasi ham oshadi. Xavf-xatarlar darajasini baho-lash asosida xavfsizlik talablari belgilanadi.
Xavf-xatarlami boshqarish masalasi, xavf-xatar darajasini maqbul miqdorgacha kamaytirishga imkon beruvchi qarshi choralami asosli tanlashni va amalga oshirish narxini baholashni o‘z ichiga oladi. Tabii-yki, qarshi choralarni amalga oshirish narxi boMishi mumkin boMgan zarar miqdoridan kam boMishi kerak.
Do'stlaringiz bilan baham: |
