|
-rasm. Xavflarni baholash matritsasi: (a) OWASP xavflarni baholash metodologiyasi; (b) SWOT matritsasi
|
| bet | 3/9 | | Sana | 25.05.2024 | | Hajmi | 0,82 Mb. | | #253964 |
Bog'liq Muhammad al-xorazmiy nomidagi toshkent axborot texnalogiyalari u2-rasm. Xavflarni baholash matritsasi: (a) OWASP xavflarni baholash metodologiyasi; (b) SWOT matritsasi
Axborot xavfsizligi xavfini baholashning mavjud usullarini tahlil qilish. Axborot xavfsizligi xavfini baholash muammosini hal qilish uchun ishlab chiqilgan usullar bo'yicha ko'plab dasturiy paketlar yaratilgan bo'lib, ular hozirda korxonalar va auditorlar tomonidan qo'llaniladi. IT xavfsizligi xavfini baholash uchun ishlatilishi mumkin bo'lgan 30 dan ortiq metodologiya va tizimlar mavjud. Xatarlarni tahlil qilishning butun spektrini to'liq tahlil qilish bu ish doirasidan tashqarida, joriy foydalanish tendentsiyalari asosida sezilarli qamrovni ta'minlash uchun biz byudjet qarorini o'z ichiga olgan metodologiyalarga e'tibor qaratgan holda korxonalar tomonidan eng ko'p qo'llaniladigan kichik to'plamga e'tibor qaratamiz. Natijada, biz ISO/IEC 27001:2005, ISO/IEC 15408:2006 (Axborot texnologiyalari xavfsizligini baholashning umumiy mezonlari), COBIT kabi audit, IT boshqaruvi va sertifikatlashtirish uchun moʻljallangan tizimlarni hisobga olmaymiz. (ISACA) va NIST SP-800 standarti, ularning asosiy maqsadlari audit, IT boshqaruvi va sertifikatlashtirishdir. Ushbu bo'lim eng muhimlarini ta'kidlaydi.
Markaziy kompyuter va telekommunikatsiya agentligi (CCTA) xavflarni tahlil qilish va boshqarish usuli (CRAMM) xavflarni boshqarishning eng keng tarqalgan alternativalaridan biridir. Ushbu usul yordamida xavflarni tahlil qilish resurslar, tahdidlar va resurslarning zaifliklariga tayinlangan taxminlar asosida xavf darajasini aniqlash va hisoblashni o'z ichiga oladi.
Mavjud usullarning kamchiliklari va mumkin bo'lgan yechimlar. Mavjud xavflarni baholash metodologiyalari asosan qo'llaniladigan xavflarni baholash shkalalarida farqlanadi: miqdoriy yoki sifat. Miqdoriy metodologiya algoritmining chiqishi xavfning son qiymati hisoblanadi. Kutilmagan hodisalar va tahdidlar haqidagi ma'lumotlar odatda baholash uchun kirish sifatida ishlatiladi. Biroq, etarli statistik ma'lumotlarning tez-tez yetishmasligi natijalarning adekvatligining pasayishiga olib keladi. Sifatli usullar keng tarqalgan, ammo ular haddan tashqari soddalashtirilgan shkalalardan foydalanadilar, ular odatda xavfni baholashning uchta darajasini (past, o'rta, yuqori) o'z ichiga oladi. Mutaxassislar bilan suhbat va aqlli usullardan foydalangan holda o'tkazilgan baholash hali ham yetarli emas. Bundan tashqari, bunday natijalarni qayta ishlatish mumkin emas.
Yuqoridagi kamchiliklar bilan bog'liq holda, mutaxassislar tahdid landshaftining doimiy o'zgarishiga moslasha oladigan, noto'g'ri va ahamiyatsiz ekspert baholashlarini istisno qiladigan va oldingi baholashlardan qayta foydalanishga imkon beradigan yuqori sifatli natija beradigan texnikani faol ravishda qidirmoqdalar. Ushbu sohadagi eng istiqbolli usul sun'iy neyron tarmog'i (ANN) yondashuvi bo'lib, u ko'p vaqt va intellektual resurslarni talab qilsa-da, mavjud usullarning muammolarini, xususan, moslashuvchanlik va moslashuvchanlik bilan bog'liq muammolarni hal qiladi. Bundan tashqari, ANN o'z-o'zini o'rganish kabi aqlli xususiyatlarga ega va shu bilan muammoni hal qilishning eng yaxshi yo'lini to'plash orqali topish mumkin.
Baholashning bunday yondashuvi yangi bo'lib, xavflarni baholashning odatiy, keng qo'llaniladigan usulining kamchiliklari tufayli mavjud muammolarni faqat tahdidlar, yo'qotishlar va zaifliklar darajasini ekspert baholashiga asoslangan holda hal qilishi mumkin.
Xavflarni baholash jarayonini soddalashtiradigan va tezlashtiradigan yana bir yondashuv ontologiyaga asoslangan modellashtirishdan foydalanishdir. Ushbu yondashuv xavfni tahlil qilish paytida aniqlangan semantik elementlardan foydalanadi va ob'ekt yoki jarayon tasvirlangandan so'ng ma'lumotlarni ko'paytirishning oson usulini ta'minlaydi. Xavf omillari turli rasmiylashtirish tillari (Web Ontology Language, natural language, UML) yordamida tavsiflanishi va tuzilishi mumkin. Ushbu modellashtirish usulining afzalligi shundaki, model kompaniya tomonidan keyingi xavflarni baholash mashqlarida qayta ishlatilishi yoki yangi dasturga moslashtirilishi mumkin. Bu so'rov natijalarini qayta ishlatish bilan bog'liq ba'zi usullar muammosini hal qilishi mumkin.
|
| |
