Ўзбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги муҳаммад ал-хоразмий номидаги

AXBOROT XAVFSIZLIGI RISKINI BAHOLASH

Download 7,66 Mb.

Pdf ko'rish

bet	174/267
Sana	25.02.2022
Hajmi	7,66 Mb.
	#300373

1 ... 170 171 172 173 174 175 176 177 ... 267

Bog'liq
туплам 21(06.04)

AXBOROT XAVFSIZLIGI RISKINI BAHOLASH
Sh. Normatov

(
dotsent,
Muhammad al-Xorazmiy nomidagi TATU QF
)
Y. Sharifov
(
magistrant, Muhammad al-Xorazmiy nomidagi TATU QF)
Son jihatdan baholash . Xatarlarni son jihatdan baholash tekshirilayotgan
tahdidlar va ular bilan bog’liq bo’lgan xatarlarni pul, foizlar, vaqt, inson resurslari
va boshqalar bilan ifodalangan yakuniy son qiymatlar bilan taqqoslash mumkin
bo’lgan holatlarda qo’llaniladi. Usul axborot xavfsizligiga tahdidlarni amalga
oshirishda riskni baholash obyektlarining o’ziga xos qiymatlarini olishga imkon
beradi. Son jihatdan yondashuvda riskni baholashning barcha elementlariga aniq
va haqiqiy sonlar qiymatlar beriladi. Ushbu qiymatlarni olish algoritmi aniq va
tushunarli bo’lishi kerak. Baholash obyekt sifatida puldagi aktivning qiymati,
tahdidni amalga oshirish ehtimoli, tahdiddan zarar, himoya choralari qiymati va
boshqalar bo’lishi mumkin [1-2].
Xatarlarni qanday aniqlash usullari:
1.
Axborot aktivlarining qiymatini pul ko’rinishida aniqlang.
2.
Har bir tahdidni amalga oshirishda yuzaga keladigan mumkin bo’lgan
zararni har bir axborot aktiviga nisbatan son jihatdan baholang. Siz “Har bir
tahdidni amalga oshirishda yetkazilgan zararni aktiv qiymatining qaysi qismi
tashkil qiladi?”, “Ushbu tahdid ushbu aktivga tushganida bitta hodisadan kelib
chiqadigan zararning qiymati qancha bo’ladi?" kabi savollarga javob olishingiz
kerak.
3.
AX tahdidlarining har birini amalga oshirish ehtimolini aniqlang. Buning
uchun siz statistik ma’lumotlardan, xodimlar va manfaatdor tomonlarning
so’rovnomalaridan foydalanishingiz mumkin. Imkoniyatni aniqlash jarayonida
ko’rib chiqilayotgan AX tahdidini boshqarish davri mobaynida sodir bo’lgan
hodisalar chastotasini hisoblang (masalan bir yil davomida).
4.
Har bir tahdiddan har bir aktivga nisbatan nazorat davridagi (bir yil
davomida) umumiy potentsial zararni aniqlang, qiymat tahdidni amalga oshirishda
bir martalik zararni tahdidni amalga oshirish chastotasiga ko’paytirish yo’li bilan
hisoblanadi.

368
5.
Har bir tahdid uchun zarar to’g’risida olingan ma’lumotlarni tahlil qiling.
Har bir tahdid uchun qaror qabul qilish kerak: riskni qabul qilish, riskni
kamaytirish yoki tavakkalni o’tkazish.
Riskni qabul qilish - riskni anglab yetish, uning imkoniyatini qabul qilish va
avvalgidek harakat qilishni davom ettirish demakdir. Zarar kam bo’lgan va yuzaga
kelish ehtimoli past bo’lgan tahdidlarga nisbatan qo’llaniladi. Riskni kamaytirish
uchun qo’shimcha choralar va himoya vositalarini joriy etish, xodimlarni o’qitish
va h.k., ya’ni riskni kamaytirish bo’yicha qasddan ish olib borish. Shu bilan birga,
qo’shimcha choralar va himoya vositalarining samaradorligini son jihatdan
aniqlash kerak. Tashkilot tomonidan himoya vositalarini sotib olishdan boshlab
ishga tushirishgacha bo’lgan barcha harajatlar (shu jumladan o’rnatish, sozlash,
o’qitish, texnik xizmat ko’rsatish va boshqalar) tahdidni amalga oshirishda
yetkazilgan zarar miqdoridan oshmasligi kerak. Riskni son jihatdan baholash
natijasida quyidagilar aniqlanishi kerak:

pul qiymatidagi aktivlar qiymati;

har bir tahdid uchun bitta hodisadan zarar yetkazadigan barcha
tahdidlarining to’liq ro’yxati;

har bir tahdidni amalga oshirish chastotasi;

har bir tahdiddan yuzaga kelishi mumkin bo’lgan zarar;

har bir tahdid uchun tavsiya etilgan xavfsizlik choralari, qarshi choralar va
harakatlar.
Axborot xavfsizligi xatarlarini son jihatdan tahlili (misol).Keling, texnikani
ma’lum bir mahsulotni sotishda ishlatiladigan tashkilot veb-serverining misolida
ko’rib chiqamiz. Serverning ishlamay qolishidan bir martalik son jihatdan zarari,
serverning ishlamay qolish vaqtiga teng bo’lgan ma’lum bir vaqt oralig’idagi
o’rtacha risklar soniga o’rtacha xarid kvitansiyasining mahsuloti sifatida
baholanishi mumkin. Aytaylik, to’g’ridan-to’g’ri serverning ishlamay qolishidan
bir martalik zararning qiymati 100 ming so’mni tashkil qiladi. Hozirda mutaxassis
tomonidan bunday vaziyat qanchalik tez yuzaga kelishi mumkinligini baholash
kerak (ishlash intensivligi, elektr ta’minoti sifati hisobga olingan holda va bosh-
qalar). Masalan, mutaxassislarning fikri va statistik ma’lumotlarni hisobga olgan
holda, biz server yiliga 2 martagacha ishlamay qolishi mumkinligini tushu-namiz.
Ushbu ikkita qiymatni ko’paytirsak, to’g’ridan - to’g’ri server ishlamay qolish riski
tufayli o’rtacha yillik zarar 200 ming so’mga teng bo’ladi. Yiliga 100 ming so’m.
Ushbu hisob - kitoblardan himoya choralarini tanlashni oqlash uchun foydalanish
mumkin. Masalan, uzluksiz elektr ta’minoti tizimi va yiliga umumiy qiymati 100
ming so’m bo’lgan zaxira tizimini joriy etish serverning ishlamay qolish riskini
minimallashtiradi va to’liq samarali yechim bo’ladi [3-4].
Sifat jihatdan baholash. Afsuski, katta noaniqlik tufayli har doim ham
baholash obyektning o’ziga xos ifodasini olish mumkin emas. Axborot xavfsizligi
bilan bog’liq voqea to’g’risida ma’lumot paydo bo’lganda, kompaniyaning
obro’siga yetkazilgan zararni qanday aniq baholash mumkin? Bunday holda, sifat
jihatdan baholash qo’llaniladi. Sifat jihatdan baholash yondashuv predmeti uchun
son jihatdan yoki pul atamalarini ishlatmaydi [4-5].

369
Adabiyotlar
1.
Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы
менеджмента
информационной
безопасности//Научно-технический
вестник
информационных технологий, механики и оптики. 2014. № 2 (90). С. 111–117
2.
Выборнова О.Н., Давидюк Н.В., Кравченко К.Л. Оценка информационных рисков на
основе экспертной информации (на примере ГБУЗ АО «Центр медицинской
профилактики») // Инженерный вестник Дона. 2016. № 4 (43). С. 86.
3. Пащенко И.Н., Васильев В.И. Разработка требований к системе защиты информации в
интеллектуальной сети Smart Grid на основе стандартов ISO/IEC 27001 и 27005 // Известия
ЮФУ. Технические науки. 2013. № 12 (149). С. 117–126.
4. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска; Введ. с
01.12.2012. Москва: Изд-во Стандартинформ; 2012.
5. Эммануэль А.В., Иванов Г.А.,Гейне М.Д. Применение менеджмента рисков на основе
стандарта ИСО14971:методические подходы//Вестник Росздравнадзора.2013.№ 3.С.45–60.

Download 7,66 Mb.

Do'stlaringiz bilan baham:

1 ... 170 171 172 173 174 175 176 177 ... 267