Amaliy ish №1 Mavzu: “Axborot xavfsizligi risklarini baholash usullari”
Amaliy ish № 1 Mavzu: “Axborot xavfsizligi risklarini baholash usullari”
Ishning maqsadi: Usullarni tahlil qilish axborot xavfsizligi xavfini baholash.
Nazariy qism
I S xavfi - ma'lum bir tahdid tomonidan foydalanish potentsiali zaifliklar tashkilotga zarar yetkazadigan aktiv yoki aktivlar guruhi.
Zaiflik - bu tahdidni amalga oshirishga imkon beradigan xavfsizlik tizimining zaifligi.
IS tahdidi - ma'lumotlarning yaxlitligi, mavjudligi, maxfiyligi buzilishiga olib kelishi mumkin bo'lgan shartlar va omillar to'plami.
Axborot aktivi moddiy yoki nomoddiy ob'ekt bo'lib, u:
- ma'lumot yoki ma'lumotni o'z ichiga olgan;
- axborotni qayta ishlash, saqlash yoki uzatish uchun xizmat qiladi;
- tashkilot uchun qimmatlidir.
Xavfni baholashning o'zi ancha murakkab tahliliy ishdir. Axborot xavfsizligi xavflarini tahlil qilish, tadqiq qilish va baholashda ma'lum bir metodologiyadan foydalanish kerak . Xavflarni baholash metodologiyasini tanlashda eng muhim e'tiborlardan biri - olingan natijalar axborot xavfsizligi tizimini joriy etishda samarali bo'lishi kerak. To'g'ri kiritilgan ma'lumotlarni talab qiladigan va noaniq natijalarga ega bo'lgan murakkab metodologiyadan foydalanish tashkilotda axborot xavfsizligini samarali ta'minlashga yordam berishi dargumon .
Hozirgi vaqtda ushbu yo'nalish ancha rivojlangan va axborot risklarini baholashning ko'plab usullari ma'lum. Ushbu xavflarni baholash usullari xalqaro axborot xavfsizligi standartlari tomonidan tavsiya etilgan. Shunisi e'tiborga loyiqki, ushbu tavsiya etilgan usullar kompaniyaning mavjud yoki taklif etilayotgan jismoniy resurslarini ularni almashtirish yoki resursni sog'lig'ini tiklash xarajatlari nuqtai nazaridan aniqlaydi. Va mavjud yoki taklif etilayotgan dasturiy ta'minot resurslari xuddi jismoniy resurslar bilan bir xil, ya'ni ularni sotib olish yoki tiklash xarajatlarini aniqlash orqali baholanadi.
Xatarlarni baholash usullari orasida eng keng tarqalgani "xavf matritsasi" usulidir. Bu juda oddiy xavf tahlili texnikasi. Baholash jarayonida ekspertlar har bir xavfning yuzaga kelish ehtimoli va u bilan bog'liq yo'qotishlar miqdorini (xavf qiymati) aniqlaydilar. Bundan tashqari, baholash uchta darajali shkala bo'yicha amalga oshiriladi: "yuqori", "o'rta", "past". Alohida risklarni baholash asosida butun tizimni baholash (bir xil matritsadagi katak shaklida) amalga oshiriladi va xavflarning o'zi tasniflanadi. Ushbu texnika sizga tez va to'g'ri baholash imkonini beradi. Ammo, afsuski, olingan natijalarni sharhlash har doim ham mumkin emas.
Bundan tashqari, ushbu sohada loyqa mantiqqa asoslangan risklarni baholashni olish mexanizmi ishlab chiqilgan. Loyqa mantiqqa asoslangan xavfni baholash mexanizmi, mohiyatiga ko'ra, bilimlar bazasi kirish qiymatlari va xavf o'rtasidagi munosabatlar mantiqini aks ettiruvchi qoidalardan iborat bo'lgan ekspert tizimidir. Eng oddiy holatda, bu "jadval" mantiqidir, umumiy holda, "Agar ..., keyin" shaklidagi ishlab chiqarish qoidalaridan foydalangan holda rasmiylashtirilishi mumkin bo'lgan haqiqiy munosabatlarni aks ettiruvchi murakkabroq mantiq.
Xatarlarni tahlil qilish bo'yicha dasturiy ta'minot ishlab chiqaruvchilarining muammoni hal qilishda quyidagi yondashuvlarini ajratib ko'rsatish mumkin:
xavflarni faqat sifat darajasida baholash;
ekspertlardan olingan sifatlar asosida xavflarni miqdoriy baholash xulosasi;
har bir xavf uchun aniq miqdoriy baholarni olish;
loyqa mantiq mexanizmi orqali baholarni olish.
Xavfni tahlil qilish vositasining qiymati, birinchi navbatda, uning asosidagi metodologiya bilan belgilanadi. Hozirgi vaqtda RiskWatch (AQSh), C R AMM (Buyuk Britaniya), OWL R A (Buyuk Britaniya), GRIF (Rossiya), CONDOR (Rossiya) va boshqa qator dasturiy mahsulotlar maʼlum darajada shuhrat qozongan. Ushbu dasturiy mahsulotlar risklarni tahlil qilish va turli audit muammolarini hal qilishda turli yondashuvlarga asoslangan. Ko'rib chiqilgan usullar axborot xavfsizligining hozirgi holati darajasini baholash yoki qayta baholash, mumkin bo'lgan yo'qotishlarni kamaytirish, kontseptsiya va xavfsizlik siyosatini ishlab chiqish imkonini beradi. Shuni ta'kidlash kerakki, bugungi kunda turli xil va murakkab tuzilmalarga ega bo'lgan tashkilotlar mavjud bo'lib, ular uchun xavfni baholashning aniq metodologiyasini tanlash mumkin emas. Shu sababli, aniq, qoniqarli baholash natijalarini olish uchun allaqachon mavjud metodologiyalar asosida xavflarni baholashga kompleks yondashuvdan foydalanish kerak.
Shunday qilib, korporativ risklarni tahlil qilish metodologiyasi va uni qo'llab-quvvatlovchi vositalar quyidagi omillarni hisobga olgan holda tanlanishi kerak: xavflarni baholash sohasida mutaxassislarning mavjudligi, axborot xavfsizligi hodisalari bo'yicha statistik ma'lumotlar, aniq miqdoriy baholash yoki sifat ko'rsatkichlari. baholash yetarli.
Mavjud usullarni tahlil qilgandan so'ng, ushbu usullarning afzalliklari va kamchiliklarini ko'rsatadigan jadvalni tuzish mumkin. 1-jadval.
1-jadval.
|
Usul nomi
|
Afzalliklar
|
Kamchiliklar
|
CRAM M
|
Tuzilgan va keng sinovdan o'tgan risklarni tahlil qilish usuli;
Xavfsizlik auditining barcha bosqichlarida foydalaniladi;
Dasturiy mahsulot katta ma'lumotlar bazasiga asoslangan;
Moslashuvchan va universal usul;
Har qanday darajadagi murakkablik va maqsadli axborot tizimini tekshirish uchun foydalanish mumkin;
Biznesning uzluksizligi rejasini ishlab chiqish imkonini beradi;
|
Yuqori malakali auditor talab qilinadi;
Jarayon juda mashaqqatli va bir necha oy ishlashni talab qilishi mumkin;
Katta hajmdagi qog'oz hujjatlarini yaratadi;
Bilimlar bazasiga qo'shimcha qilish mumkin emas;
Usulni tashkilot ehtiyojlariga moslashtirishda qiyinchiliklar mavjud;
Faqat ingliz tilida mavjud;
Litsenziyaning narxi 2000 dan 5000 dollargacha.
|
| |
|
