|
AX risklarini yuqori va batafsil tahlil qitish yondashuvlarining o'xshashligi va farqlari nimada?
|
| bet | 12/37 | | Sana | 21.01.2024 | | Hajmi | 0,63 Mb. | | #142626 |
Bog'liq AX-xbk26.AX risklarini yuqori va batafsil tahlil qitish yondashuvlarining o'xshashligi va farqlari nimada?
Yuqori darajali (yuqori darajadagi axborot xavfsizligi riskni baholash)
AX risklarini baholashga turli yondashuvlar talab qilinadigan vaqt va ish hajmi, shuningdek, batafsil va tahlil miqyosi bilan farqlanadi. Tashkilot axborot xavfsizligi riskini baholash bo'yicha o'zining yondashuv(larini) tanlashi mumkin bo'lsa-da, qo'llaniladigan yondashuv tashkilotning biznes va axborot xavfsizligini ta'minlash talablarini bajarilishi uchun yetarli darajada zaruriy choralar va tafsilotlarini kafolatlashi lozim. Misol uchun, tashkilot yoki AXBTva uning resurslari "past" va "o'rtacha" darajasidan yuqori bo'lmagan AXT talablariga ega bo'lsa, u holda AX risklarini yuqori darajali baholash yetarli bo'lishi mumkin. Ushbu darajaga qaratilgan axborot xavfsizligi riskini baholashning amaliy usullari odatda aktivlarning qiymatini hisobga olmaydi va himoya choralari samaradorligini baholamaydi. Ushbu sinfning usullari tashkilotning aktivlariga AXT yuqori talablar qo'yilmagan hollarda qo'llaniladi
Batafsil (Axborot xavfsizligi riskni batafsil baholash).
Agar AXT talablari batafsil va maxsus baholashni talab qiladigan yuqori darajaga ega bo'lsa, u holda aktivlarning qiymatini aniqlaydigan, AX tahdidlari va zaifliklarini baholaydigan, yetarli himoya choralarini tanlaydigan va ularning samaradorligini baholaydigan AX xavfini to'liq, batafsil baholashni talab qilishi mumkin. Har qanday holatda, standart talablariga javob beradigan AXBT
(masalan, ISO/IEC 27001: 2005 va GOST R ISO/IEC 17799-2005) uchun tanlangan yondashuv ushbu standartlarning tegishli bo'limlarida berilgan barcha mezonlarga javob berishini ta'minlash kerak.
27.Axborot xavfsizligi risklarini baholashning qanday usullari mavjud?
Riskni yuqori darajali baholashning omillari:
Bu omillar baholangach, qaror qabul qilish osonlashadi.
Agar aktivning maqsadi tashkilot faoliyati uchun hal qiluvchi ahamiyatga ega bo'lsa yoki aktivlar yuqori darajadagi riskka ega bo'lsa, unda ma'lum bir axborot aktivi (yoki uning bir qismi) uchun ikkinchi ketma-ketlik, riskni batafsil baholash kerak. Bu yerda quyidagi umumiy qoida qo'llaniladi: agar axborot xavfsizligi tizimining mavjud emasligi tashkilot, uning biznes jarayonlari yoki aktivlari uchun jiddiy salbiy oqibatlarga olib kelishi mumkin bo'lsa, potentsial xatarlarni identifikatsiyalashda batafsilroq darajadagi riskni qayta baholash ketma-ketligini bajarish zarur.
|
| |
