|
8- amaliy ish Mavzu: Riskni baholash Ishdan maqsad
|
| bet | 1/6 | | Sana | 11.12.2023 | | Hajmi | 166.11 Kb. | | #115341 |
Bog'liq 1666583725, 1669096230, 1709705794
8- amaliy ish
Mavzu: Riskni baholash
Ishdan maqsad: Tanlangan predmet soha bo’yicha axborot xavfsizligi xavfini sifat va son bo’yicha baholash bilim va ko’nikmalarini shakllantirishdan iborat.
Qisqacha nazariy ma’lumot
Bugungi kunda axborot resurslarining xavfsizligi bilan bog'liq har bir korxona oldida telekommunikatsiya uskunalari va korxona axborot tizimida aylanma ma'lumotlarning xavfsizligini to'liq ta'minlashga imkon beradigan axborotni himoya qilish tizimini tashkil etish masalasi paydo bo'ladi. Axborotni muhofaza qilish samaradorligi uning tashkil etilish yondashuviga va axborot xavfsizligi xavfini hisoblash usullarini to'g'ri tanlashga bog'liq.
Har qanday telekommunikatsiya korxonasining o'ziga xos xususiyati tashkilotning asosiy biznes-jarayonlarining uzluksizligini ta'minlash uchun butun apparat-dasturiy kompleksning xavfsizligi va ishonchli ishlashiga sezgirlikdir, bu esa tashkilot rahbarlarini samarali axborot xavfsizligi tizimini yaratish va qo'llab-quvvatlashga majbur qiladi.
Ushbu ish doirasida telekommunikatsiya korxonasining axborot tizimini nuqtai nazaridan bir xil xususiyatlarga ega bo'lgan tipik segmentlarga (shu jumladan uchtadan ko'p bo'lmagan boshqariladigan sohalarga) bo'lish asosida axborot xavfsizligi risklarini baholashning sifatga oid usuli taklif etiladi. Xatarlarni hisoblash metodologiyasining o'zi axborot xavfsizligi sohasidagi bir qator xalqaro va Rossiya standartlari tomonidan taklif qilingan xavflarni aniqlash va baholash usullari va usullari to'plamiga asoslanadi, ularni ko'rib chiqilayotgan axborot tizimiga qo'llash mumkin.
Ishni bajarish tartibi
AX risklarini qayta ishlash iterativ jarayon sifatida ko'rib chiqilishi tavsiya etiladi, bu esa har bir keyingi iteratsiya uchun xavfni baholashning batafsil darajasini oshiradi.
Axborot xavfsizligi xavflarini baholash va qayta ishlashning iterativ jarayoniga misol GOST R ISO / IEC 27005-2010 da batafsil tavsiflangan. 2-bandda xavf konteksti deganda axborot xavfsizligi xavflarini davolash mezonlarini belgilash tushuniladi va axborot xavfsizligi risklarini boshqarish masalalari bilan shug'ullanuvchi mas'ul xodimlar yoki bo'linma tayinlanadi. Xatarlarni identifikatsiyalash deganda AT risklarini topish va aniqlash jarayoni tushuniladi, xavfni baholash deganda xavfni amalga oshirish oqibatlariga, shuningdek uni amalga oshirish ehtimoliga raqamli qiymatlar berish tushuniladi. Xavfni qabul qilish deganda xavfni amalga oshirishdan yetkazilgan zarar maqbul ekanligini va uni amalga oshirish ehtimoli shunchalik kichikki, bu axborot xavfsizligi xavfini qayta ishlash tartib-qoidalarini amalga oshirmaslikka imkon beradi. Riskga munosanbat ishtirokchilar o'rtasida joriy xavflar haqida ma'lumot almashish imkonini beradi.
Riskni davolash deganda xavfni amalga oshirish oqibatlarini minimallashtirish va/yoki AX riskini amalga oshirish ehtimolini minimallashtirish jarayoni tushuniladi.
Axborot xavfsizligi xavfini davolash bo'yicha faoliyatning namunasi 3 GOST R ISO / IEC 27005-2010 ga muvofiq belgilangan.
Keyingi qadam tashkilotning har bir qimmatli aktivining zaiflik darajasini aniqlashdir (keyingi o'rinlarda - ZD).
Ushbu ish doirasida FSTEC tahdidlar ma'lumotlari bankiga muvofiq ID bilan AX tahdidlarining namunaviy soni ko'rib chiqiladi:
"Foydalanuvchilar tomonidan hisoblash resurslarini uzoq muddatli saqlash tahdidi" (014);
"Nostandart operatsion tizimni yuklash tahdidi" (018);
"RAMning haddan tashqari taqsimlanishi tahdidi" (022);
"tizim komponentlarini o'zgartirish tahdidi" (023);
"standart identifikatsiya / autentifikatsiya ma'lumotlaridan foydalanish tahdidi" (030);
"tarmoq / mahalliy ma'lumotlar almashinuvi protokollarining zaif tomonlaridan foydalanish tahdidi" (034);
"dastur mexanizmlarini tadqiq qilish tahdidi" (036);
"himoyalangan ma'lumotlarni ruxsatsiz yo'q qilish tahdidi" (091);
"hisoblash texnologiyasining apparat va dasturiy ta'minoti va texnik vositalarini qayta ishga tushirish tahdidi" (113);
"tizim registriga zarar yetkazish tahdidi" (121);
"imtiyozlarning kuchayishi tahdidi" (122);
"jismoniy himoyani yengish tahdidi" (139);
"tizimni" xizmat ko'rsatishdan bosh tortish "holatiga olib kelish tahdidi"(140);
"dasturiy ta'minotni saqlash, qayta ishlash va (yoki) axborotni kiritish / chiqarish / uzatishni o'chirib qo'yish tahdidi" (143);
"hisoblash resurslarini yo'qotish tahdidi" (155);
“axborot tashuvchilarni yo'qotish tahdidi” (156);
"axborotni saqlash, qayta ishlash va (yoki) kiritish / chiqarish / uzatish vositalarini jismoniy ishdan chiqarish tahdidi" (157);
"axborot tashuvchilarni formatlash tahdidi" (158);
"axborotni saqlash, qayta ishlash va (yoki) kiritish / chiqarish / uzatish vositalarini o'g'irlash tahdidi" (160);
“axborotni noqonuniy shifrlash tahdidi” (170);
"pochta qurtlari" tarqalishi xavfi "(172);
"apparat komponentlarining jismoniy eskirish xavfi" (182);
"reklama, xizmatlar va kontent orqali zararli kodni kiritish tahdidi "(186);
"zararli kod harakatlarini maskalash tahdidi" (189).
Jadval 2 tahdidlar ro'yxati bo'yicha aktivning zaifligini baholash natijasini ko'rsatadi, bunda 1 - tashkilotning maxfiyligi, yaxlitligi va/yoki qimmatli aktivining mavjudligiga nisbatan past zaiflik, 2 - zaiflikning o'rtacha darajasi va 3 - zaiflikning yuqori darajasi.
Axborot xavfsizligi xavflarini hisoblashdan oldingi oxirgi bosqich - jadvalda keltirilgan axborot xavfsizligiga tahdidlarni (keyingi o'rinlarda - E) amalga oshirish ehtimolini baholash. 2. Ehtimollikni baholash 3-jadvalda keltirilgan, bu yerda 1 - tahdid mavjud, lekin ko'rib chiqilayotgan hududda sodir bo'lmagan, 2 - tahdid ko'rib chiqilayotgan hududda yiliga 2-3 marta yuzaga keladi, 3 - tahdid ko'rib chiqilayotgan tizimda allaqachon amalga oshirilgan, 4 - Ko'rib chiqilayotgan tizimda tahdid yiliga 2-3 marta paydo bo'ladi.
8.1-rasm. Axborot xavfsizligi risklarini qayta ishlashga qaratilgan faoliyat
1-Jadval
|
| |
