Axborot xavfsizligi risklarini boshqarishning maqsad va yondashuvlari




Download 0,66 Mb.
bet2/3
Sana27.08.2024
Hajmi0,66 Mb.
#269918
1   2   3
Bog'liq
Mustaqil ish

Axborot xavfsizligi risklarini boshqarishning maqsad va yondashuvlari


Har qanday tashkilotning maqsadi uning faoliyati natijalarini tavsiflovchi ma'lum ko'rsatkichlarga erishishdir. Masalan, tijorat kompaniyalari uchun bu foyda olish, kapitallashuvni, bozor ulushini yoki aylanmasini oshirish, davlat tashkilotlari uchun esa aholiga davlat xizmatlarini ko'rsatish va boshqaruv muammolarini hal qilishdir. Har qanday holatda ham, tashkilot faoliyatining maqsadi qanday bo'lishidan qat'i nazar, axborot xavfsizligi xavflarini amalga oshirish ushbu maqsadga erishishga to'sqinlik qilishi mumkin. Shu bilan birga, har bir tashkilot risklarni va ularni kamaytirishga investitsiya qilish imkoniyatini o'ziga xos tarzda baholaydi.
Shunday qilib, axborot xavfsizligi risklarini boshqarishning maqsadi ularni tashkilot uchun maqbul darajada ushlab turishdir. Ushbu muammoni hal qilish uchun tashkilotlar keng qamrovli axborot xavfsizligi tizimlarini (ISS) yaratadilar.
Bunday tizimlarni yaratishda ushbu vositalarni amalga oshirish va qo'llab-quvvatlash uchun ortiqcha xarajatlarsiz tahlil qilish jarayonida aniqlangan axborot xavfsizligi xavflarini kamaytirishni ta'minlaydigan xavfsizlik vositalarini tanlash masalasi tug'iladi. Axborot xavfsizligi xatarlarini tahlil qilish zaruriy va yetarli axborot xavfsizligi vositalarini, shuningdek axborot xavfsizligi xavflarini kamaytirishga qaratilgan tashkiliy chora-tadbirlarni aniqlashga, shuningdek, tashkilotning o'ziga xos faoliyati uchun eng samarali bo'lgan va xavflarni kamaytirishga qaratilgan ISS arxitekturasini ishlab chiqishga imkon beradi. aniq uning axborot xavfsizligi xavflari.
Barcha xavflar, shu jumladan axborot xavfsizligi risklari ikkita parametr bilan tavsiflanadi: tashkilotga mumkin bo'lgan zarar va amalga oshirish ehtimoli. Xatarlarni tahlil qilish uchun ushbu ikki xususiyatning kombinatsiyasidan foydalanish xavflarni turli darajadagi zarar va ehtimollik bilan taqqoslash imkonini beradi, ularni tashkilotdagi xavflarni minimallashtirish bo'yicha qaror qabul qiluvchilar uchun tushunarli bo'lgan umumiy ifodaga olib keladi. Shu bilan birga, risklarni boshqarish jarayoni quyidagi mantiqiy bosqichlardan iborat bo'lib, ularning tarkibi va mazmuni xavflarni baholash va boshqarish uchun foydalaniladigan metodologiyaga bog'liq:

  1. Tashkilot uchun maqbul bo'lgan xavf darajasini aniqlash (xavf ishtahasi) - xavfni qabul qilish yoki davolash to'g'risida qaror qabul qilishda foydalaniladigan mezon. Ushbu mezondan kelib chiqqan holda, kelajakda aniqlangan qaysi xavflar so'zsiz qabul qilinishi va keyingi ko'rib chiqilishidan chiqarib tashlanishi va qaysilari qo'shimcha tahlildan o'tkazilishi va xavf-xatarlarga javob berish rejasiga kiritilishi aniqlanadi.

  2. Xatarlarni aniqlash, tahlil qilish va baholash. Xatarlar to'g'risida qaror qabul qilish uchun ular aniq belgilanishi va xavfdan zarar ko'rish va uni amalga oshirish ehtimoli nuqtai nazaridan baholanishi kerak. Zararni baholash xavfning tashkilotning AT aktivlariga va ular qo'llab-quvvatlaydigan biznes jarayonlariga ta'sir qilish darajasini belgilaydi. Ehtimollikni baholashda xavfning yuzaga kelish ehtimoli tahlil qilinadi. Ushbu parametrlarni baholash xavf ta'sirida bo'lishi mumkin bo'lgan AT aktivlariga xos bo'lgan zaifliklarni va ushbu zaifliklardan foydalanish orqali amalga oshirilishi mumkin bo'lgan tahdidlarni aniqlash va tahlil qilishga asoslangan bo'lishi mumkin. Shuningdek, qo'llaniladigan xavfni baholash metodologiyasiga qarab, tajovuzkorning modeli, tashkilotning biznes jarayonlari va xavfni amalga oshirish bilan bog'liq boshqa omillar, masalan, tashkilotning ish muhitidagi siyosiy, iqtisodiy, bozor yoki ijtimoiy vaziyat to'g'risidagi ma'lumotlardan foydalanish mumkin. ularni baholash uchun dastlabki ma'lumotlar sifatida. Xatarlarni baholashda ularni baholashda sifat, miqdoriy yoki aralash yondashuvdan foydalanish mumkin. Sifatli yondashuvning afzalligi uning soddaligi, xavflarni baholash uchun vaqt va mehnat xarajatlarini minimallashtirish, cheklovlar iqtisodiy asoslash va xavflarni bartaraf etish choralariga investitsiyalarning maqsadga muvofiqligini baholash uchun xavf tahlili natijalaridan foydalanishning etarli darajada ko'rinmasligi va murakkabligi. Miqdoriy yondashuvning afzalligi - bu xavfni baholashning to'g'riligi, natijalarning aniqligi va pul bilan ifodalangan xavf qiymatini ushbu xavfga javob berish uchun zarur bo'lgan investitsiyalar miqdori bilan taqqoslash qobiliyatidir; yuqori mehnat zichligi va ijro muddati.

  3. Xavf reytingi. Xatarlarga javob berishda ustuvorlikni aniqlash va keyinchalik javob rejasini ishlab chiqish uchun barcha xavflarni tartiblash kerak. Xatarlarni tartiblashda, foydalanilgan metodologiyaga qarab, xavflarni amalga oshirishdan kelib chiqadigan zarar, amalga oshirish ehtimoli, xavf ta'sir ko'rsatadigan AT aktivlari va biznes jarayonlari, jamoatchilikning noroziligi va obro'siga putur etkazish kabi jiddiylikni aniqlash mezonlari qo'llanilishi mumkin. xavf va boshqalar.

  4. Xatarlar bo'yicha qarorlar qabul qilish va xavfga javob berish rejasini ishlab chiqish. Xatarlarga javob berish choralari to'plamini aniqlash uchun aniqlangan va baholangan xavflarni tahlil qilish, ularning har biri bo'yicha quyidagi qarorlardan birini qabul qilish kerak:

    • Xatarlardan qochish;

    • Tavakkalchilik;

    • Xavfni uzatish;

    • Xavfni kamaytirish.

Har bir xavf uchun qabul qilingan qaror xavfga javob berish rejasida qayd etilishi kerak. Shuningdek, ushbu reja qo'llaniladigan metodologiyaga qarab, xavflarga javob berish uchun zarur bo'lgan quyidagi ma'lumotlarni o'z ichiga olishi mumkin:

    • Javob berish uchun javobgar;

    • Javob berish choralarining tavsifi;

    • javob choralariga zarur investitsiyalarni baholash;

    • Ushbu chora-tadbirlarni amalga oshirish muddatlari.

  1. Xatarlarga javob berish bo'yicha chora-tadbirlarni amalga oshirish. Xatarlarga javob berish choralarini amalga oshirish uchun mas'ul shaxslar xavf-xatarlarga javob berish rejasida ko'rsatilgan harakatlarning zarur muddatlarda bajarilishini tashkil qiladi.

  2. Amalga oshirilgan chora-tadbirlar samaradorligini baholash. Javob rejasiga muvofiq qo'llaniladigan chora-tadbirlar samarali ekanligiga va xavflar darajasi tashkilot uchun maqbul ekanligiga ishonch hosil qilish uchun har bir amalga oshirilgan xavf-xatarga javob choralarining samaradorligi baholanadi, shuningdek tashkilotning risklari muntazam ravishda aniqlanadi, tahlil qilinadi va baholanadi. .

Axborot xavfsizligi risklarini boshqarishning eng mashhur usullarini ko'rib chiqaylik: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

2. CRAMM texnikasining umumiy ko'rinishi


1985 yilda Buyuk Britaniya Xavfsizlik Xizmati tomonidan ishlab chiqilgan CRAMM (CCTA Risk Analysis and Management Method) BS7799 axborot xavfsizligini boshqarish standartlari seriyasiga asoslanadi (hozirda ISO 27000 ga qayta ko'rib chiqilgan) va xavflarni sifatli baholashga yondashuvni tavsiflaydi. Bunday holda, sifat ko'rsatkichlari qiymatlari shkalasiga o'tish sifat va miqdoriy ko'rsatkichlar o'rtasidagi muvofiqlikni aniqlaydigan maxsus jadvallar yordamida amalga oshiriladi. Xatarlarni baholash biznes uchun AT aktivining qiymati, zaifliklar, tahdidlar va ularni amalga oshirish ehtimoli tahliliga asoslanadi.



CRAMM usuli yordamida risklarni boshqarish jarayoni quyidagi bosqichlardan iborat:

  1. Boshlash. Ushbu bosqichda axborot xavfsizligi xavfini tahlil qilish jarayoniga qiziqqan shaxslar, shu jumladan xavf tahlili o'tkaziladigan AT aktivlarining ishlashi, ma'muriyati, xavfsizligi va ulardan foydalanish uchun mas'ul shaxslar bilan bir qator suhbatlar o'tkaziladi. Natijada keyingi tadqiqotlar uchun hududning rasmiylashtirilgan tavsifi, uning chegaralari beriladi va xavfni tahlil qilishda ishtirok etuvchi shaxslarning tarkibi aniqlanadi.

  2. Aktivlarni aniqlash va baholash. Tashkilot tomonidan ilgari belgilangan o'rganish sohasida foydalaniladigan IT-aktivlar ro'yxati aniqlanadi. CRAMM metodologiyasiga ko'ra, IT aktivlari quyidagi turlardan biri bo'lishi mumkin:

    • Ma'lumotlar;

    • Dasturiy ta'minot;

    • Jismoniy aktivlar.

Har bir aktiv uchun uning tashkilot faoliyati uchun muhimligi aniqlanadi va qo'llaniladigan muammolarni hal qilish uchun AT aktividan foydalanadigan bo'limlar vakillari bilan birgalikda uning maxfiyligi, yaxlitligi va mavjudligi buzilishining tashkilot faoliyati uchun oqibatlari baholanadi.

  1. Tahdid va zaiflikni baholash. AT aktivlarining muhimligini baholashdan tashqari, CRAMM metodologiyasining muhim qismi AT aktivlarining tahdidlari va zaifliklari ehtimolini baholashdir. CRAMM metodologiyasi AT aktivlarining zaifliklari va ushbu zaifliklar orqali AT aktivlariga ta'sir qilishi mumkin bo'lgan tahdidlar o'rtasidagi yozishmalarni tavsiflovchi jadvallarni o'z ichiga oladi. Agar ushbu tahdidlar yuzaga kelsa, IT aktivlariga etkazilgan zararni tavsiflovchi jadvallar ham mavjud. Ushbu bosqich faqat eng muhim AT aktivlari uchun amalga oshiriladi, ular uchun axborot xavfsizligining asosiy chora-tadbirlarini amalga oshirish etarli emas. Joriy zaifliklar va tahdidlar IT aktivlarini boshqarish va ulardan foydalanish uchun mas'ul shaxslar bilan suhbatlashish orqali aniqlanadi. Boshqa AT aktivlari uchun CRAMM metodologiyasi zarur asosiy axborot xavfsizligi choralari to'plamini o'z ichiga oladi.

  2. Xavfni hisoblash. Risk quyidagi formula bo'yicha hisoblanadi: Risk = P (realizatsiya) * Zarar. Bunday holda, xavfni amalga oshirish ehtimoli quyidagi formula bo'yicha hisoblanadi: P (amalga oshirish) = P (tahdid) * P (zaiflik). Har bir AT aktivi uchun xavflarni hisoblash bosqichida uning axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar majmuasiga qo'yiladigan talablar "1" dan "7" gacha bo'lgan shkala bo'yicha aniqlanadi, bunda "1" qiymati minimal talab qilinadigan to'plamga mos keladi. axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar va "7" qiymati - maksimal.

  3. Risklarni boshqarish. Xatarlarni hisoblash natijalariga ko'ra, CRAMM metodologiyasi axborot xavfsizligini ta'minlash bo'yicha zarur chora-tadbirlar majmuasini belgilaydi. Shu maqsadda 4 mingga yaqin chora-tadbirlarni o'z ichiga olgan maxsus katalog qo'llaniladi. CRAMM metodologiyasi tomonidan tavsiya etilgan chora-tadbirlar majmui tashkilot tomonidan allaqachon qabul qilingan chora-tadbirlar bilan taqqoslanadi. Natijada, himoya choralarini qo'llash nuqtai nazaridan qo'shimcha e'tibor talab qiladigan hududlar va ortiqcha himoya choralari mavjud hududlar aniqlandi. Ushbu ma'lumotlar tashkilotda qo'llaniladigan himoya choralari tarkibini o'zgartirish bo'yicha harakatlar rejasini shakllantirish uchun ishlatiladi - xavf darajasini talab qilinadigan darajaga etkazish.

Amaliy qo'llash nuqtai nazaridan CRAMM texnikasining quyidagi afzalliklarini aniqlash mumkin:

  • Ko'p marta sinovdan o'tgan va sezilarli tajriba va professional vakolatlarni to'plagan usul; CRAMM dan foydalanish natijalari xalqaro institutlar tomonidan tan olingan;

  • Metodologiyaning aniq, rasmiylashtirilgan tavsifining mavjudligi xavflarni tahlil qilish va boshqarish jarayonlarini amalga oshirishda xatolar yuzaga kelishi ehtimolini kamaytiradi;

  • Xatarlarni tahlil qilish uchun avtomatlashtirish vositalarining mavjudligi mehnat xarajatlarini va xavflarni tahlil qilish va boshqarish faoliyatini amalga oshirish uchun zarur bo'lgan vaqtni minimallashtirishga imkon beradi;

  • Tahdidlar, zaifliklar, oqibatlar va axborot xavfsizligi choralari kataloglari xavflarni tahlil qilish va boshqarish faoliyati bilan bevosita shug'ullanuvchi shaxslarning maxsus bilimlari va malakalariga qo'yiladigan talablarni soddalashtiradi.

Biroq, CRAMM usuli quyidagi kamchiliklarga ega:

  • Tashkilot ichidan yoki tashqaridan katta resurslarni talab qiladigan dastlabki ma'lumotlarni yig'ishning yuqori murakkabligi va mehnat zichligi;

  • Axborot xavfsizligi risklarini tahlil qilish va boshqarish jarayonlarini amalga oshirish uchun katta resurslar va vaqt sarflanishi;

  • Ko'p sonli manfaatdor tomonlarni jalb qilish hamkorlikni tashkil etish, loyiha jamoasi ichidagi aloqalar va natijalarni muvofiqlashtirish uchun katta xarajatlarni talab qiladi;

  • Xatarlarni pul ko'rinishida baholashning mumkin emasligi axborot xavfsizligi vositalari va usullarini amalga oshirish uchun zarur bo'lgan investitsiyalarni texnik-iqtisodiy asoslashda axborot xavfsizligi xavfini baholash natijalaridan foydalanishni qiyinlashtiradi.

CRAMM butun dunyo bo'ylab ham davlat, ham tijorat tashkilotlarida keng qo'llaniladi, bu Buyuk Britaniyada axborot xavfsizligi risklarini boshqarishning de-fakto standarti hisoblanadi. Metodologiya bir vaqtning o'zida butun tashkilotni qamrab olish uchun axborot xavfsizligi risklarini boshqarish jarayonlarini dastlabki amalga oshirishni amalga oshiradigan, xalqaro o'zaro hamkorlik va xalqaro menejment standartlariga rioya qilishga qaratilgan yirik tashkilotlarda muvaffaqiyatli qo'llanilishi mumkin. Biroq, tashkilotlar CRAMMni qo'llash uchun katta resurslar va vaqt ajratishlari kerak.

Download 0,66 Mb.
1   2   3




Download 0,66 Mb.
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


Axborot xavfsizligi risklarini boshqarishning maqsad va yondashuvlari

Download 0,66 Mb.