O‘ZBEKISTONRESPUBLIKASIAXBOROTTEXNOLOGIYALARIVAKOMMUNIKATSIYALARINIRIVOJLANTIRISHVAZIRLIGI
MUHAMMADAL-XORAZMIYNOMIDAGI
TOSHKENTAXBOROTTEXNOLOGIYALARIUNIVERSITETI
AMALIY ISH
Mavzu: Riskni "sabab- oqibat" usuli yordamida tahlili.
Bajardi: Ulashev Ulug’bek
070-19_guruh
Qabulqildi:_________________________
2024
Riskni "sabab- oqibat" usuli yordamida tahlili
Mundarija
O‘ZBEKISTONRESPUBLIKASIAXBOROTTEXNOLOGIYALARIVAKOMMUNIKATSIYALARINIRIVOJLANTIRISHVAZIRLIGI 1
Xatarlarni Aniqlash 3
Sabablarni Aniqlash 6
Tasirlarni Tahlil Qilish 9
Ehtimollik va ta'sirni baholash 12
Yumshatish Strategiyalari 15
Monitoring va ko'rib chiqish 18
Xulosa 22
Xatarlarni Aniqlash
Xatarlarni aniqlash: kiberxavfsizlik risklarini boshqarishda muhim qadamdir, chunki u tashkilotning axborot aktivlari, tizimlari va operatsiyalariga ta'sir qilishi mumkin bo'lgan potentsial tahdidlar va zaifliklarni tushunish uchun asos yaratadi. Xatarlarni samarali identifikatsiya qilish tashkilotning texnologik infratuzilmasi, jarayonlari, xodimlari va tashqi muhitining turli jihatlari bo'yicha xavflarni tizimli ravishda aniqlash, hujjatlashtirish va baholashni o'z ichiga oladi. Quyida kiberxavfsizlik xatarlarini aniqlashning asosiy yo'nalishlari va usullari keltirilgan
Tashkilotning IT infratuzilmasidagi barcha aktivlar, jumladan, apparat, dasturiy taʼminot, maʼlumotlar omborlari, tarmoq qurilmalari va bulut xizmatlarining inventarizatsiyasini yaratishdan boshlang. Qaysi aktivlar mavjudligini va ularning biznes operatsiyalari uchun ahamiyatini tushunish ularning xavfsizligi va yaxlitligi bilan bog'liq potentsial xavflarni aniqlashga yordam beradi.
Tahdid razvedkasi: Xavfsizlik bo'yicha maslahatlar, ogohlantirishlar, sanoat hisobotlari va ma'lumot almashish forumlari kabi tahdidlar haqida razvedka manbalaridan foydalangan holda so'nggi kibertahdidlar, hujum vektorlari va tendentsiyalari haqida xabardor bo'ling. Tahdidlar bo'yicha razvedka ma'lumotlarini tahlil qilish paydo bo'lgan xavflarni va tashkilotga qaratilgan potentsial raqiblarni aniqlashga yordam beradi.
Zaiflikni baholash: tizimlar, ilovalar va tarmoq infratuzilmasidagi zaifliklar, noto'g'ri konfiguratsiyalar va zaifliklarni aniqlash uchun muntazam ravishda zaifliklarni baholash va kirish testlarini o'tkazing. Nessus, OpenVAS yoki Qualys kabi zaifliklarni skanerlash vositalari ma'lum zaifliklarni aniqlashga yordam beradi va ularni bartaraf etish harakatlariga ustuvor ahamiyat beradi.
Hodisa ma'lumotlarini tahlil qilish: Tashkilotning xavfsizlik holatidagi zaiflik yoki zaifliklarni ko'rsatishi mumkin bo'lgan umumiy naqshlar, tendentsiyalar va takrorlanadigan muammolarni aniqlash uchun tarixiy xavfsizlik hodisalari, buzilishlar va yaqin o'tkazib yuborishlarni tahlil qiling. Hodisa ma'lumotlarini tahlil qilish potentsial hujum vektorlari, hujum usullari va qo'shimcha himoyani talab qiladigan sohalar haqida ma'lumot beradi.
Normativ va muvofiqlik talablari: Amaldagi tartibga soluvchi talablar, sanoat standartlari va tashkilotning sanoat va geografik joylashuviga tegishli muvofiqlik asoslarini ko'rib chiqing. GDPR, HIPAA, PCI DSS yoki NIST Cybersecurity Framework kabi qoidalar bilan belgilangan kiberxavfsizlik majburiyatlari, maʼlumotlarni himoya qilish talablari va xavfsizlik nazoratini aniqlang.
Biznesga ta'sir tahlili: biznes operatsiyalarini davom ettirish va tashkiliy maqsadlarga erishish uchun muhim bo'lgan muhim biznes jarayonlari, funktsiyalari va aktivlarini aniqlash uchun biznesga ta'sir tahlilini (BIA) o'tkazing. Daromad, obro'-e'tibor, mijozlar ishonchi va me'yoriy hujjatlarga rioya qilish bo'yicha uzilishlar, ishlamay qolishi yoki ma'lumotlar buzilishining mumkin bo'lgan oqibatlarini baholang.
Uchinchi tomon xavflarini baholash: Tashkilot tizimlari yoki ma'lumotlariga kirish huquqiga ega uchinchi tomon sotuvchilari, yetkazib beruvchilari, pudratchilari va hamkorlarining kiberxavfsizlik holatini baholang. Autsorsing yoki tashqi tomonlarga qaramlik bilan bog'liq potentsial xavflarni aniqlash uchun uchinchi tomon xavfsizlik nazorati, shartnoma majburiyatlari, ma'lumotlarni qayta ishlash amaliyoti va hodisalarga javob berish imkoniyatlarini baholang.
Foydalanuvchilarning xatti-harakatlarini tahlil qilish: Insayder tahdidlar, ruxsatsiz kirish yoki zararli harakatlarni ko'rsatadigan anomal yoki shubhali xatti-harakatlarni aniqlash uchun tashkilot tarmog'i va tizimlaridagi foydalanuvchi faolligini, xatti-harakatlarini va kirish usullarini kuzatib boring. Foydalanuvchilarning xatti-harakatlarini tahlil qilish potentsial insayder xavflarni, buzilgan hisoblarni yoki insayder til biriktirishni aniqlashga yordam beradi.
Rivojlanayotgan texnologiyalar va tendentsiyalar: Rivojlanayotgan texnologiyalar, raqamli transformatsiya tashabbuslari va kiberxavfsizlik uchun yangi xavf yoki muammolarni keltirib chiqaradigan sanoat tendentsiyalaridan xabardor bo'ling. Bulutli hisoblash, narsalar Interneti (IoT), sun'iy intellekt (AI) yoki o'z qurilmangizni olib kelish (BYOD) siyosati kabi texnologiyalarni qabul qilishning xavfsizlik oqibatlarini baholang.
Jismoniy xavfsizlik xavflari: Tashkilotning IT infratuzilmasi, ma'lumotlar markazlari, server xonalari va muhim ob'ektlarga ta'sir qilishi mumkin bo'lgan jismoniy xavfsizlik xavflarini ko'rib chiqing. Ruxsatsiz kirish, o'g'irlik, vandalizm, tabiiy ofatlar yoki operatsiyalarni buzishi yoki maxfiy ma'lumotlarni buzishi mumkin bo'lgan ekologik xavflar kabi xavflarni baholang.
|
