2-rasm. Axborot xavfsizligi risklarini baholash va qayta ishlash jarayoni
Ko'rib chiqilayotgan korxonalarning o'ziga xos xususiyati shundaki, tashkilotning biznes jarayonlariga asosiy zarar kompaniyaning axborot resurslarining maxfiyligini buzishga qaratilgan tahdidlar emas, balki tarmoq uskunalari va dasturiy - apparat kompleksining mavjudligiga tahdid solishi mumkin.
Axborot xavfsizligi xavfini baholash
AX risklarini qayta ishlash iterativ jarayon sifatida ko'rib chiqilishi tavsiya etiladi, bu esa har bir keyingi iteratsiya uchun xavfni baholashning batafsil darajasini oshiradi.
Axborot xavfsizligi xavflarini baholash va qayta ishlashning iterativ jarayoniga misol GOST R ISO / IEC 27005-2010 da batafsil tavsiflangan va 1-rasmda ko'rsatilgan. 2-bandda xavf konteksti deganda axborot xavfsizligi xavflarini davolash mezonlarini belgilash tushuniladi va axborot xavfsizligi risklarini boshqarish masalalari bilan shug'ullanuvchi mas'ul xodimlar yoki bo'linma tayinlanadi. Xatarlarni identifikatsiyalash deganda AT risklarini topish va aniqlash jarayoni tushuniladi, xavfni baholash deganda xavfni amalga oshirish oqibatlariga, shuningdek uni amalga oshirish ehtimoliga raqamli qiymatlar berish tushuniladi. Xavfni qabul qilish deganda xavfni amalga oshirishdan yetkazilgan zarar maqbul ekanligini va uni amalga oshirish ehtimoli shunchalik kichikki, bu axborot xavfsizligi xavfini qayta ishlash tartib-qoidalarini amalga oshirmaslikka imkon beradi. Riskga munosanbat ishtirokchilar o'rtasida joriy xavflar haqida ma'lumot almashish imkonini beradi.
Riskni davolash deganda xavfni amalga oshirish oqibatlarini minimallashtirish va/yoki AX riskini amalga oshirish ehtimolini minimallashtirish jarayoni tushuniladi.
Axborot xavfsizligi xavfini davolash bo'yicha faoliyatning namunasi 3 GOST R ISO / IEC 27005-2010 ga muvofiq 1-rasmda ko'rsatilgan.
Keyingi qadam tashkilotning har bir qimmatli aktivining zaiflik darajasini aniqlashdir (keyingi o'rinlarda - ZD).
Ushbu ish doirasida FSTEC tahdidlar ma'lumotlari bankiga muvofiq ID bilan AX tahdidlarining namunaviy soni ko'rib chiqiladi:
"Foydalanuvchilar tomonidan hisoblash resurslarini uzoq muddatli saqlash tahdidi" (014);
"Nostandart operatsion tizimni yuklash tahdidi" (018);
"RAMning haddan tashqari taqsimlanishi tahdidi" (022);
"tizim komponentlarini o'zgartirish tahdidi" (023);
"standart identifikatsiya / autentifikatsiya ma'lumotlaridan foydalanish tahdidi" (030);
"tarmoq / mahalliy ma'lumotlar almashinuvi protokollarining zaif tomonlaridan foydalanish tahdidi" (034);
"dastur mexanizmlarini tadqiq qilish tahdidi" (036);
"himoyalangan ma'lumotlarni ruxsatsiz yo'q qilish tahdidi" (091);
"hisoblash texnologiyasining apparat va dasturiy ta'minoti va texnik vositalarini qayta ishga tushirish tahdidi" (113);
"tizim registriga zarar yetkazish tahdidi" (121);
"imtiyozlarning kuchayishi tahdidi" (122);
"jismoniy himoyani yengish tahdidi" (139);
"tizimni" xizmat ko'rsatishdan bosh tortish "holatiga olib kelish tahdidi"(140);
"dasturiy ta'minotni saqlash, qayta ishlash va (yoki) axborotni kiritish / chiqarish / uzatishni o'chirib qo'yish tahdidi" (143);
"hisoblash resurslarini yo'qotish tahdidi" (155);
“axborot tashuvchilarni yo'qotish tahdidi” (156);
"axborotni saqlash, qayta ishlash va (yoki) kiritish / chiqarish / uzatish vositalarini jismoniy ishdan chiqarish tahdidi" (157);
"axborot tashuvchilarni formatlash tahdidi" (158);
"axborotni saqlash, qayta ishlash va (yoki) kiritish / chiqarish / uzatish vositalarini o'g'irlash tahdidi" (160);
“axborotni noqonuniy shifrlash tahdidi” (170);
"pochta qurtlari" tarqalishi xavfi "(172);
"apparat komponentlarining jismoniy eskirish xavfi" (182);
"reklama, xizmatlar va kontent orqali zararli kodni kiritish tahdidi "(186);
"zararli kod harakatlarini maskalash tahdidi" (189).
Jadval 2 tahdidlar ro'yxati bo'yicha aktivning zaifligini baholash natijasini ko'rsatadi, bunda 1 - tashkilotning maxfiyligi, yaxlitligi va/yoki qimmatli aktivining mavjudligiga nisbatan past zaiflik, 2 - zaiflikning o'rtacha darajasi va 3 - zaiflikning yuqori darajasi.
Axborot xavfsizligi xavflarini hisoblashdan oldingi oxirgi bosqich - jadvalda keltirilgan axborot xavfsizligiga tahdidlarni (keyingi o'rinlarda - E) amalga oshirish ehtimolini baholash. 2. Ehtimollikni baholash 3-jadvalda keltirilgan, bu yerda 1 - tahdid mavjud, lekin ko'rib chiqilayotgan hududda sodir bo'lmagan, 2 - tahdid ko'rib chiqilayotgan hududda yiliga 2-3 marta yuzaga keladi, 3 - tahdid ko'rib chiqilayotgan tizimda allaqachon amalga oshirilgan, 4 - Ko'rib chiqilayotgan tizimda tahdid yiliga 2-3 marta paydo bo'ladi.
|
