8- amaliy ish
Mavzu: Riskni baholash
1. Risk baholash, bir tashkilot yoki faoliyat uchun xavfli hodisalarning yuzaga kelish ehtimolini, ularga zarar yetkazish ehtimolini va ularning oqibatlari bilan bog'liq xavfni tushunish va baholash jarayoni.
2. FSTEC tahdidlar bazasidagi AX (axborot xavfsizligi) risklarining namunaviy sonlari quyidagicha mavjud:
- "Foydalanuvchilar tomonidan hisoblash resurslarini uzoq muddatli saqlash tahdidi" (014)
- "Nostandart operatsion tizimni yuklash tahdidi" (018)
- "RAMning haddan tashqari taqsimlanishi tahdidi" (022)
- "Tizim komponentlarini o'zgartirish tahdidi" (023)
- "Standart identifikatsiya / autentifikatsiya ma'lumotlaridan foydalanish tahdidi" (030)
- "Tarmoq / mahalliy ma'lumotlar almashinuvi protokollarining zaif tomonlaridan foydalanish tahdidi" (034)
- "Dastur mexanizmlarini tadqiq qilish tahdidi" (036)
- "Himoyalangan ma'lumotlarni ruxsatsiz yo'q qilish tahdidi" (091)
- "Hisoblash texnologiyasining apparat va dasturiy ta'minoti va texnik vositalarini qayta ishga tushirish tahdidi" (113)
- Va boshqalar.
3. Axborot xavfsizligi xavflarini baholash bo'yicha hisobot, har bir qimmatbaho aktivlik uchun axborot xavfsizligi xavfining umumiy darajasini hisoblash va ko'rsatish bilan tuziladi. Bu hisoblash AQ (aktiv qiymati), ZD (zaiflik darajasi), va E (ehtimollik) o'zgaruvchilariga qarab amalga oshiriladi. Misol uchun, formuladan foydalaniladi: R = AQ х ZD х E.
4. Xavf darajalari quyidagi bo'lishi mumkin:
- Past daraja (1-10 oralig'ida): Xavf ahamiyatsiz hisoblanadi.
- O'rta daraja (11-21 oralig'ida): Xavfni minimallashtirish uchun qayta ishlash tavsiya etiladi.
- Yuqori daraja (22-64 oralig'ida): Xavf muhim hisoblanadi va qayta ishlash majburiydir.
9- amaliy ish
Mavzu: Riskni qayta ishlash
1. Risk qayta ishlashda qaysi standartlardan foydalaniladi?
Risk qayta ishlash jarayonida "ISO 27001: Axborot texnologiyalari" xalqaro standarti asosiy hujjatlaridan biri sifatida qo'llaniladi.
2. Xavfni qayta ishlash samaradorligi nimaga bog’liq?
Xavfni qayta ishlash samaradorligi, tizimning axborot xavfsizligi xavflarini boshqarish va himoya qilishning miqyosiga bog'liqdir. Bu, kompaniya uchun muhim axborot tizimlarini va ma'lumotlarini himoya qilishning, xavfni minimallashtirishning vaqtida va samarali ravishda amalga oshirilishi bilan bog'liq.
3. ISO 27001: 2013 talablaridaqanday ko’rsatkichlar mavjud?
ISO 27001: 2013 talablari risklarni hisoblash va baholash jarayonini batafsil ko'rsatadi. Bu talablarga muvofiq, xavf-xatarni qabul qilish mezonlari, axborot xavfsizligi xavflarini baholashning oqilona va izchil massivlarini berish, axborot resurslarining maxfiyligi, yaxlitligi va mavjudligi kabi ko'rsatkichlar mavjud.
4. Aktivlarning qiymati shkalasi qanday tuziladi?
Aktivlarning qiymati shkalasi, GOST R ISO 31000-2010 standartiga muvofiq tuziladi. Bu shakl, aktivlarning axborot xavfsizligi xavflariga ta'siri, ularning maxfiyligi, butunligi, mavjudligi va umumiy qiymatlarini baholash imkonini beradi.
5. Risklarni qayta ishlashda qanday choralar tavsiya etiladi?
Risklarni qayta ishlash jarayonida tavsiya etilgan choralar, aktivlarning qimmatli aktivlari, tahdidlar, va qabul qilinadigan xavflarga bo'lgan rejalashtirilgan chora-tadbirlar orqali belgilanadi. Bu choralar, tashkilotning axborot xavfsizligi xavfini katta miqdorda qayta ishlash va minimal moliyaviy infuziyalarni talab qiladi.
|
