10-Amaliy ish
Mavzu: Kiberxavfsizlikda risklarni baholashni o‘rganish.
Ishning maqsadi. Riskni baholash usullarini va axborot tizimini himoya qilish
zarurligini o'rganish. Miqdor metodologiyasi yordamida
risklarni hisoblashni
o'rganish.
Nazariy qism
Risklarni boshqarish - bu axborotni himoya qilish sohasidagi me'yoriy-huquqiy
bazaning muayyan cheklovlariga va korporativ xavfsizlik siyosatiga muvofiq
kompaniyalarning axborot xatarlarini aniqlash, nazorat
qilish va kamaytirishning
tizimli jarayoni.
Aktivlarni himoya qilish, bu aktivlarga yetkazishi mumkin bo'lgan zarar
xususiyatiga qarab, tahdidlarning oldini olish bo'yicha faoliyat bilan bog'liq. Barcha
tahdidlarni
hisobga olish kerak, lekin birinchi navbatda tasodifiy va qasddan
qilingan insoniy harakatlar bilan bog'liq. Asosiy normativ-huquqiy baza - ISO 17799
va ISO 13335 xalqaro standartlari hisoblanadi.
Riskni miqdoriy baholashning mohiyati ko'p mavjud bo'lganlardan yagona
maqbul yechimni topishdir. Masalan, quyidagi savollarga javob berish kerak:
"Axborot xavfsizligi uchun tasdiqlangan yillik (choraklik) byudjet doirasida qolib,
kompaniyaning axborot aktivlarini himoya qilishning maksimal darajasiga qanday
erishish mumkin?" yoki "Korporativ axborot xavfsizligini (WWW
himoyalangan
sayti yoki korporativ elektron pochta) yaratish uchun alternativalardan qaysi biri
kompaniyaning biznes resurslarining ma'lum cheklovlarini hisobga olgan holda
tanlanishi kerak?" Xatarlarni boshqarishning
miqdoriy usullari CRAMM,
MethodWare va boshqalarni o'z ichiga oladi. Ulardan eng keng tarqalganini ko'rib
chiqamiz.
CRAMM. CRAMM metodologiyasida risklarni boshqarish bir necha
bosqichda amalga oshiriladi. Ishga tushirishning birinchi bosqichida -
"Initialization" - kompaniyaning o'rganilayotgan
axborot tizimining chegaralari,
uning asosiy jismoniy va axborot aktivlari va bitimlarining tarkibi va tuzilishi
aniqlanadi. Boshlang'ich ma'lumotlar loyiha menejerlari,
foydalanuvchi menejeri
yoki boshqa xodimlar bilan suhbatlar jarayonida to'planadi.
Resurslarni aniqlash va baholashning ikkinchi bosqichida-"Aktivlarni
identifikatsiyalash va baholash"da aktivlar aniqlanadi. Axborot aktivlarining
tannarxini hisoblash sizga taklif qilinayotgan nazorat va himoya vositalariga ehtiyoj
va yetarliligini aniqlash imkonini beradi.
Tahdid va zaifliklarni baholashning uchinchi bosqichida - "Xavf va zaifliklarni
baholash" - kompaniyaning axborot aktivlarining tahdidlari va zaifliklari aniqlanadi
va baholanadi. CRAMM usulining tijorat versiyasida bunday baholash va
identifikatsiyalash uchun quyidagi mezonlar to'plamidan foydalaniladi (axborot
xavfsizligi tahdidlarini amalga oshirish oqibatlari):
1 -mezon - tashkilot obro'siga putur yetkazish;
2 - resurslarni tiklash bilan bog'liq moliyaviy yo'qotishlar;
3 - kompaniyaning tartibsizligi;
4-axborotni oshkor qilish va raqobatchilarga
etkazishdan moliyaviy
yo'qotishlar, shuningdek boshqa mezonlar.
Xatarlarni tahlil qilishning to'rtinchi bosqichi - "Xatarlarni tahlil qilish" sizga
xavflarning miqdoriy bahosini olish imkonini beradi. Bu taxminlarni (1) - (4)
formulalar yordamida hisoblash mumkin:
