Ўзбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги муҳаммад ал-хоразмий номидаги


AXBOROT XAVFSIZLIGI RISKINI BAHOLASH



Download 7,66 Mb.
Pdf ko'rish
bet174/267
Sana25.02.2022
Hajmi7,66 Mb.
#300373
1   ...   170   171   172   173   174   175   176   177   ...   267
Bog'liq
туплам 21(06.04)

 
AXBOROT XAVFSIZLIGI RISKINI BAHOLASH 
Sh. Normatov
 
(
dotsent,
Muhammad al-Xorazmiy nomidagi TATU QF
)
Y. Sharifov
(
magistrant, Muhammad al-Xorazmiy nomidagi TATU QF)
Son jihatdan baholash . Xatarlarni son jihatdan baholash tekshirilayotgan 
tahdidlar va ular bilan bog’liq bo’lgan xatarlarni pul, foizlar, vaqt, inson resurslari 
va boshqalar bilan ifodalangan yakuniy son qiymatlar bilan taqqoslash mumkin 
bo’lgan holatlarda qo’llaniladi. Usul axborot xavfsizligiga tahdidlarni amalga 
oshirishda riskni baholash obyektlarining o’ziga xos qiymatlarini olishga imkon 
beradi. Son jihatdan yondashuvda riskni baholashning barcha elementlariga aniq 
va haqiqiy sonlar qiymatlar beriladi. Ushbu qiymatlarni olish algoritmi aniq va 
tushunarli bo’lishi kerak. Baholash obyekt sifatida puldagi aktivning qiymati, 
tahdidni amalga oshirish ehtimoli, tahdiddan zarar, himoya choralari qiymati va 
boshqalar bo’lishi mumkin [1-2]. 
Xatarlarni qanday aniqlash usullari: 
1.
Axborot aktivlarining qiymatini pul ko’rinishida aniqlang. 
2.
Har bir tahdidni amalga oshirishda yuzaga keladigan mumkin bo’lgan 
zararni har bir axborot aktiviga nisbatan son jihatdan baholang. Siz “Har bir 
tahdidni amalga oshirishda yetkazilgan zararni aktiv qiymatining qaysi qismi 
tashkil qiladi?”, “Ushbu tahdid ushbu aktivga tushganida bitta hodisadan kelib 
chiqadigan zararning qiymati qancha bo’ladi?" kabi savollarga javob olishingiz
kerak.
3.
AX tahdidlarining har birini amalga oshirish ehtimolini aniqlang. Buning 
uchun siz statistik ma’lumotlardan, xodimlar va manfaatdor tomonlarning 
so’rovnomalaridan foydalanishingiz mumkin. Imkoniyatni aniqlash jarayonida 
ko’rib chiqilayotgan AX tahdidini boshqarish davri mobaynida sodir bo’lgan 
hodisalar chastotasini hisoblang (masalan bir yil davomida). 
4.
Har bir tahdiddan har bir aktivga nisbatan nazorat davridagi (bir yil 
davomida) umumiy potentsial zararni aniqlang, qiymat tahdidni amalga oshirishda 
bir martalik zararni tahdidni amalga oshirish chastotasiga ko’paytirish yo’li bilan 
hisoblanadi. 


368 
5.
Har bir tahdid uchun zarar to’g’risida olingan ma’lumotlarni tahlil qiling. 
Har bir tahdid uchun qaror qabul qilish kerak: riskni qabul qilish, riskni 
kamaytirish yoki tavakkalni o’tkazish. 
Riskni qabul qilish - riskni anglab yetish, uning imkoniyatini qabul qilish va 
avvalgidek harakat qilishni davom ettirish demakdir. Zarar kam bo’lgan va yuzaga 
kelish ehtimoli past bo’lgan tahdidlarga nisbatan qo’llaniladi. Riskni kamaytirish 
uchun qo’shimcha choralar va himoya vositalarini joriy etish, xodimlarni o’qitish 
va h.k., ya’ni riskni kamaytirish bo’yicha qasddan ish olib borish. Shu bilan birga, 
qo’shimcha choralar va himoya vositalarining samaradorligini son jihatdan 
aniqlash kerak. Tashkilot tomonidan himoya vositalarini sotib olishdan boshlab 
ishga tushirishgacha bo’lgan barcha harajatlar (shu jumladan o’rnatish, sozlash, 
o’qitish, texnik xizmat ko’rsatish va boshqalar) tahdidni amalga oshirishda 
yetkazilgan zarar miqdoridan oshmasligi kerak. Riskni son jihatdan baholash 
natijasida quyidagilar aniqlanishi kerak: 

pul qiymatidagi aktivlar qiymati; 

har bir tahdid uchun bitta hodisadan zarar yetkazadigan barcha 
tahdidlarining to’liq ro’yxati; 

har bir tahdidni amalga oshirish chastotasi; 

har bir tahdiddan yuzaga kelishi mumkin bo’lgan zarar; 

har bir tahdid uchun tavsiya etilgan xavfsizlik choralari, qarshi choralar va 
harakatlar. 
Axborot xavfsizligi xatarlarini son jihatdan tahlili (misol).Keling, texnikani 
ma’lum bir mahsulotni sotishda ishlatiladigan tashkilot veb-serverining misolida 
ko’rib chiqamiz. Serverning ishlamay qolishidan bir martalik son jihatdan zarari, 
serverning ishlamay qolish vaqtiga teng bo’lgan ma’lum bir vaqt oralig’idagi 
o’rtacha risklar soniga o’rtacha xarid kvitansiyasining mahsuloti sifatida 
baholanishi mumkin. Aytaylik, to’g’ridan-to’g’ri serverning ishlamay qolishidan 
bir martalik zararning qiymati 100 ming so’mni tashkil qiladi. Hozirda mutaxassis 
tomonidan bunday vaziyat qanchalik tez yuzaga kelishi mumkinligini baholash 
kerak (ishlash intensivligi, elektr ta’minoti sifati hisobga olingan holda va bosh-
qalar). Masalan, mutaxassislarning fikri va statistik ma’lumotlarni hisobga olgan 
holda, biz server yiliga 2 martagacha ishlamay qolishi mumkinligini tushu-namiz. 
Ushbu ikkita qiymatni ko’paytirsak, to’g’ridan - to’g’ri server ishlamay qolish riski 
tufayli o’rtacha yillik zarar 200 ming so’mga teng bo’ladi. Yiliga 100 ming so’m. 
Ushbu hisob - kitoblardan himoya choralarini tanlashni oqlash uchun foydalanish 
mumkin. Masalan, uzluksiz elektr ta’minoti tizimi va yiliga umumiy qiymati 100 
ming so’m bo’lgan zaxira tizimini joriy etish serverning ishlamay qolish riskini 
minimallashtiradi va to’liq samarali yechim bo’ladi [3-4]. 
Sifat jihatdan baholash. Afsuski, katta noaniqlik tufayli har doim ham 
baholash obyektning o’ziga xos ifodasini olish mumkin emas. Axborot xavfsizligi 
bilan bog’liq voqea to’g’risida ma’lumot paydo bo’lganda, kompaniyaning 
obro’siga yetkazilgan zararni qanday aniq baholash mumkin? Bunday holda, sifat 
jihatdan baholash qo’llaniladi. Sifat jihatdan baholash yondashuv predmeti uchun 
son jihatdan yoki pul atamalarini ishlatmaydi [4-5].


369 
Adabiyotlar 
1.
Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы 
менеджмента 
информационной 
безопасности//Научно-технический 
вестник 
информационных технологий, механики и оптики. 2014. № 2 (90). С. 111–117 
2. 
Выборнова О.Н., Давидюк Н.В., Кравченко К.Л. Оценка информационных рисков на 
основе экспертной информации (на примере ГБУЗ АО «Центр медицинской 
профилактики») // Инженерный вестник Дона. 2016. № 4 (43). С. 86. 
3. Пащенко И.Н., Васильев В.И. Разработка требований к системе защиты информации в 
интеллектуальной сети Smart Grid на основе стандартов ISO/IEC 27001 и 27005 // Известия 
ЮФУ. Технические науки. 2013. № 12 (149). С. 117–126. 
4. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска; Введ. с 
01.12.2012. Москва: Изд-во Стандартинформ; 2012. 
5. Эммануэль А.В., Иванов Г.А.,Гейне М.Д. Применение менеджмента рисков на основе 
стандарта ИСО14971:методические подходы//Вестник Росздравнадзора.2013.№ 3.С.45–60. 

Download 7,66 Mb.

Do'stlaringiz bilan baham:
1   ...   170   171   172   173   174   175   176   177   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish