III. NAZARIY MATERIALLAR
52
haqida qaror qabul qilmaydilar. Xavfsizlik tizimi qiymatini qabul qilish yoki
natijalarni xavfsizlik xizmatlaridan mahrum qilish bo'yicha
qarorni yuqori
menejment qabul qiladi. Shunga qaramasdan dasturiy ta'minot muhandislarining
texnik yo'riqnomalar berish hamda xavfsizlik muammolarini hal qilish yo'llarini
ko'rsatishdagi rollari beqiyosdir. Shuning uchun ham ular ehtimolli holatlarni
boshqarish jarayonida asosiy ishtirokchilardan bo'lib qolveradilar.
Ehtimollikni baholash tizim qurilishidan oldin boshlanadi,
tizim ishlab
chiqarish jarayonida hamda tizim iste'molga chiqarilganda ham u davom etaveradi.
Ehtimollikni baholash uch bosqichdan iboratdir:
1.
Dastlabki ehtimollikni baholash. Preliminary risk assessment.
Bu
bosqichda hali tizimga qo'yilgan barcha talablar, tizim arxitekturasi yoki
realizatsiyasi borasida hali qaror qabul qilinmagan bo'ladi.
2.
Yashash siklidagi ehtimollikni baholash.
Life-cycle risk assessment.
Bu ehtimollikni baholash tizimni ishlab chiqish yashash sikli davomida
amalda bo'ladi hamda tizimning texnik arxitekturasi va realizatsiya haqidagi
qarorlardan ma'lumotlarni qabul qiladi.
3.
Faoliyatdagi ehtimollikni baholash. Operational risk assessment.
Tizim
ishlab
chiqarilgani
va
iste'molga
chiqarilganidan
so'ng,
foydalanuvchilarga tizim qanday qo'llanishini ko'rsatish
hamda yangi va
o'zgargan talablarga mos ravishda takliflar kiritish uchun kerak. Faoliyatdagi
talablarga doir taxminlar tizim noto'g'ri tavsiflanganda qilinadi. Tashkiliy
o'zgarishlar tizim asl rejadan tashqari maqsadlarda qo'llanilayotganini
ko'rsatadi. Faoliyatdagi ehtimolliklarni baholash tizim rivojlangani sari unga
yangi xavfsizlik talablarini qo'yishga olib keladi.
Ehtimolliklarni baholash uchun sizi avvalo tizimga duch kelishi mumkin
bo'lgan tahdidlarni aniqlab olishingiz lozim. Buni amalga oshirishning bir yo'li
"noto'g'ri holatlar" (misuse cases) to'plamini ishlab chiqishdir. "Noto'g'ri holatlar"
bu tizim bilan tizimga zararli bo'lgan o'zaro ta'sirlarga kirishdigan holatlardir. Siz bu
holatlarni mumkin bo'lgan tahdidlarni aniqlash va ularni muhokama qilishda
qo'llashingiz, binobarin bundan tizim xavfsizligiga qo'yiladigan
talablarni ishlab
chiqishda foydalanishingiz mumkin. Pflegeer tahdidlarni mumkin bo'lgan noto'g'ri
holatlarni aniqlashda boshlang'ich nuqta bo'lishi mumkin bo'lgan to'rtta bo'lim ostida
aks ettiradi. Bular quyidagilar:
1. Ko'rib olish hujumlari. Hujum qiluvchiga tizim va uning ma'lumotlariga
kirish yo'lini ochadi.
2. Uzib qo'yish hujumlari. Bular hujum qiluvchilarga tizimning biror qismini
III. NAZARIY MATERIALLAR
53
tayyorlik holatidan chiqarish imkonini beradi.
3. O'zgartirish hujumlari. Bu hujumlar natijasida hujum qiluvchi tizimning
muhim ma'lumotlarini o'zgartirish imkoniyatiga ega bo'lishi mumkin.
4. Soxtalashtirish hujumlari. Bular hujum qiluvchiga tizim ichiga noto'g'ri
axborotlar kiritish imkonini beradi.
Faoliyat davomida ehtimolliklarni baholash. Dasturiy ta'minot xavfsizligi
ehtimolligini baholash va uni boshqarish, bu mahsulot yashash siklidan keyin ham
davom etishi mumkin. Chunki vaqt o'tishi bilan yangi
ehtimolli holatlar paydo
bo'ladi va tizim ular bilan kurasha olishi uchun unga o'zgartirish kiritilishi mumkin.
Mana shu jarayon faoliyat davomida ehtimolliklarni boshqarish deyiladi. Yangi
ehtimolli holatlar tizimga qo'yilgan talablar o'zgarishi natijasida kelib chiqishi
mumkin. Chunki tizimga qo'yilgan talablar o'zgarishi tizim infrastrukturasi
o'zgarishiga yoki tizim qo'llanilayotgan muhitning o'zgarishiga sabab bo'ladi.
Faoliyat davomida ehtimolli
holatlarni boshqarish, yashash siklida
ehtimolliklarni boshqarishga o'xshaydi, biroq qo'shimcha ravishda tizim
ishlatilayotgan muhit haqidagi axborotlarni ham o'z ichiga oladi. Muhitning
xususiyatlarini bilish juda muhim ahamiyatga ega.
Chunki ular yangi ehtimolli
holatlarni keltirib chiqarishi mumkin.