|
www.scientificprogress.uzBog'liq axborot-xavfsizligi-xavfini-baholashwww.scientificprogress.uz
Page 297
2-rasm. Xavflarni baholash matritsasi: (a) OWASP xavflarni baholash
metodologiyasi; (b) SWOT matritsasi
3. Axborot xavfsizligi xavfini baholashning mavjud usullarini tahlil qilish. Axborot
xavfsizligi xavfini baholash muammosini hal qilish uchun ishlab chiqilgan usullar
bo'yicha ko'plab dasturiy paketlar yaratilgan bo'lib, ular hozirda korxonalar va auditorlar
tomonidan qo'llaniladi. IT xavfsizligi xavfini baholash uchun ishlatilishi mumkin
bo'lgan 30 dan ortiq metodologiya va tizimlar mavjud. Xatarlarni tahlil qilishning butun
spektrini to'liq tahlil qilish bu ish doirasidan tashqarida, joriy foydalanish tendentsiyalari
asosida sezilarli qamrovni ta'minlash uchun biz byudjet qarorini o'z ichiga olgan
metodologiyalarga e'tibor qaratgan holda korxonalar tomonidan eng ko'p qo'llaniladigan
kichik to'plamga e'tibor qaratamiz. Natijada, biz ISO/IEC 27001:2005, ISO/IEC
15408:2006 (Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari),
COBIT kabi audit, IT boshqaruvi va sertifikatlashtirish uchun moʻljallangan tizimlarni
hisobga olmaymiz. (ISACA) va NIST SP-800 standarti, ularning asosiy maqsadlari
audit, IT boshqaruvi va sertifikatlashtirishdir. Ushbu bo'lim eng muhimlarini ta'kidlaydi.
Markaziy kompyuter va telekommunikatsiya agentligi (CCTA) xavflarni tahlil
qilish va boshqarish usuli (CRAMM) xavflarni boshqarishning eng keng tarqalgan
alternativalaridan biridir. Ushbu usul yordamida xavflarni tahlil qilish resurslar,
tahdidlar va resurslarning zaifliklariga tayinlangan taxminlar asosida xavf darajasini
aniqlash va hisoblashni o'z ichiga oladi.
4. Mavjud usullarning kamchiliklari va mumkin bo'lgan yechimlar. Mavjud
xavflarni baholash metodologiyalari asosan qo'llaniladigan xavflarni baholash
shkalalarida farqlanadi: miqdoriy yoki sifat. Miqdoriy metodologiya algoritmining
chiqishi xavfning son qiymati hisoblanadi. Kutilmagan hodisalar va tahdidlar haqidagi
ma'lumotlar odatda baholash uchun kirish sifatida ishlatiladi. Biroq, etarli statistik
ma'lumotlarning tez-tez yetishmasligi natijalarning adekvatligining pasayishiga olib
keladi. Sifatli usullar keng tarqalgan, ammo ular haddan tashqari soddalashtirilgan
shkalalardan foydalanadilar, ular odatda xavfni baholashning uchta darajasini (past,
o'rta, yuqori) o'z ichiga oladi. Mutaxassislar bilan suhbat va aqlli usullardan
foydalangan holda o'tkazilgan baholash hali ham yetarli emas. Bundan tashqari, bunday
natijalarni qayta ishlatish mumkin emas.
|
| |
