Xavf = Tahdid × Zaiflik × Ta'sir
Bu yerda Tahdid × Zaiflik ehtimoli. Sifatli xavflarni baholash metodologiyasiga
misollardan biri OWASP (Open Web Ap- plication Security Project) xavflarni
baholash metodologiyasi. O'z tahlilidan so'ng, OWASP 2-a rasmda keltirilganga
o'xshash xulosa hosil qiladi, bunda ta'sir va ehtimollik sifat jihatidan past, o'rta yoki
yuqori sifatida baholanadi. Yana bir metodologiya - bu SWOT matritsasi deb ham
ataladigan SWOT (Strengths, Weaknesses, Opportunities, and Threats) tahlili bo'lib,
u ichki omillarni (kuchli va zaif tomonlarini), shuningdek tashqi omillarni, jumladan,
imkoniyatlar va tahdidlarni aniqlash va baholash uchun mo'ljallangan mahsulot,
loyiha yoki biznes.
SWOT 2-b rasmda keltirilganga o'xshash 2 × 2 matritsa hosil qiladi. Matritsada
ko'rinib turganidek, tahlilning asosiy maqsadi aniqlangan xususiyatlarning
tashqi/ichki joylashuvi va ularning tashkilotga salbiy/ijobiy ta'siri. Ikki
o'zgaruvchining kombinatsiyasini hisobga olgan holda, tegishli xususiyat kuch,
zaiflik, imkoniyat yoki tahdid sifatida tasniflanadi va tegishli sohaga mos ravishda
qo'shiladi.
Xavflarni baholash jarayonini soddalashtiradigan va tezlashtiradigan yana bir
yondashuv ontologiyaga asoslangan modellashtirishdan foydalanishdir. Ushbu
yondashuv xavfni tahlil qilish paytida aniqlangan semantik elementlardan
foydalanadi va ob'ekt yoki jarayon tasvirlangandan so'ng ma'lumotlarni
ko'paytirishning oson usulini ta'minlaydi. Xavf omillari turli rasmiylashtirish tillari
(Web Ontology Language, natural language, UML) yordamida tavsiflanishi va
tuzilishi mumkin. Ushbu modellashtirish usulining afzalligi shundaki, model
kompaniya tomonidan keyingi xavflarni baholash mashqlarida qayta ishlatilishi yoki
yangi dasturga moslashtirilishi mumkin. Bu so'rov natijalarini qayta ishlatish bilan
bog'liq ba'zi usullar muammosini hal qilishi mumkin.
Miqdoriy-xatarlarni tahlil qilish
barcha tashkilotlar uchun amaliy emas va shuning uchun kamdan kam qo'llaniladi;
undan foydalanishda boshqaruv qarshiligi bo'lishi mumkin. U keng ko'lamli, global
va mega-loyihalarda tez-tez ishlatiladi va murakkabligi sababli kichik hajmdagi
loyihalarda yoki IT-dasturiy ta'minot loyihalarida kamroq qo'llaniladi
Kompyuter tizimlarining axborot xavfsizligini buzilishi risklarini baholash axborot
xavfsizligini boshqarish jarayonining muhim tarkibiy qismlaridan biridir.
Risk - bu aktiv yoki aktivlar guruhining zaifliklaridan foydalangan holda tahdidni
amalga oshirish natijasida tashkilotga yetkazilishi mumkin bo’lgan zarar. Risk voqea
va uning oqibatlari ehtimolligi yig’indisi sifatida belgilanadi.
Risklar tahlili - bu xavf omillarini aniqlash va ularning ahamiyatini baholash jarayoni
bo’lib, istalmagan hodisalarning ro’y berishi va maqsadlariga erishishiga salbiy ta’sir
ko’rsatish. Risklarni tahlil qilish, baholash va ularni kamaytirish yoki u bilan bog’liq
salbiy ta’sirlarni yumshatish usullarini o’z ichiga oladi. Ya’ni Resurslarga berilgan
baholar, tahdidlar va zaifliklar asosida risklar darajasini (o’lchovlarini) aniqlash va
hisoblash.
Risklarni tahlil qilishning maqsadi potensial sheriklarga loyihada ishtirok etishning
maqsadga muvofiqligi to’g’risida qaror qabul qilish va mumkin bo’lgan moliyaviy
yo’qotishlardan himoya qilish choralarini ishlab chiqish uchun zarur ma’lumotlarni
berishdir.
Risk tahlilini quyidagi turlarga bo’lish mumkin:
- sifat;
- miqdoriy.
Sifat tahlili risk turlari, hosil bo’lish omillarini aniqlash vazifasini bajaradi.
Risklarning miqdoriy tahlili individual xavflar va umuman loyihaning xavfini
aniqlash imkoniyatini yaratishi kerak.
Risklarni boshqarish xavflarni maqbul darajaga tushirish uchun qarshi choralarni
aniqlash va tanlashdan iborat.
Riskni baholashning maqsadi quyidagilarni aniqlashdan iborat:
• mavjud xatarlarning maqbulligi;
• birinchi navbatda kamaytirish kerak bo’lgan, qabul qilinishi mumkin bo‘lmagan
xatarlarni aniqlash;
• qabul qilinishi mumkin bo’lmagan xavflarni kamaytirish uchun iqtisodiy maqsadga
muvofiq bo’lgan himoya choralarini aniqlash.
Sifatli-xavf-tahlilning asosiy afzalligi shundaki, u risklarni toifalarga bo'lish orqali
PMlarga yuqori darajadagi xavflarga e'tibor qaratishga imkon beradi, bu esa
chuqurroq Kantitativ-RA uchun asos yaratadi. Baholash past-o'rta-yuqori shkalaga
asoslanadi.
Sifatli-xatarlarni tahlil qilish hajmi, murakkabligi va hayotiy tsiklidan
qat'i nazar, barcha tashkilotlar va loyihalar uchun javob beradi, chunki u ustuvor
xatarlarni aniqlaydi.
Risk – subyekt tomonidan ko‘plab (birdan ortiq) natijalarni qamrab oluvchi, konkret
natijaning noaniqligi va hech bo‘lmaganda natijalardan biri xavfli bo‘lgan
alternativalar mavjudligi holatida qabul qilinadigan qaror tavsifi.
Hodisa – tabiiy yoki ijtimoiy-texnik jarayonlar, tashqi subyektlarning maqsadga
yo‘naltirilgan xattiharakatlari yig‘indisi yoki subyektning o‘zini xatti-harakati.
Subyekt uchun xavf-xatarlar – amalga oshishi subyektga zarar (ziyon) yetkazishi
mumkin bo‘lgan hodisalar; subyektni yo‘q qilinishida yoki subyektning evolyutsiya
imkoniyatlarini cheklanishida, yoki subyekt manfaatlariga ziyon yetkazilishida
namoyon bo‘ladi.
Risklarni baholashni “Galstuk-Babochka” usuli mavjud:
“Galstuk-babochka” tahlil usuli:
Ushbu usul o'rganilayotgan salbiy hodisaning sababdan oqibatga qadar rivojlanishini
grafik tavsiflash va tahlil qilishdir. Ushbu usulning asosiy yo'nalishi tekshirilayotgan
hodisaga qarshi choralar va uni keltirib chiqaradigan sabablarga qaratilgan.
Ushbu usulni amalga oshirish quyidagi bosqichlarni ajratishi mumkin:
1. Grafik markazida tahlil qilish uchun hodisani aniqlash.
2. Tekshirilayotgan hodisaga olib kelishi mumkin bo'lgan sabablar ro'yxatini tuzish.
3. Tekshirilayotgan voqea oldidan vaziyatning rivojlanish mexanizmini tahlil qilish
4. Hodisaning rivojlanishiga olib keladigan omillar va uning oqibatlari tavsiflanishi
mumkin.
5. Hodisadan oldin deb ataladigan sabablarning rivojlanishiga to'sqinlik qiladigan
to'siqlarni namoyish qilish profilaktika choralari. Eskalatsiya omillari uchun
to'siqlarni ham ko'rsatishingiz mumkin.
6. Tekshirilayotgan voqea sabab bo'lishi mumkin bo'lgan oqibatlar ro'yxatini tuzish.
7. O'rganilayotgan voqeaning oqibatlarini rivojlanishiga to'sqinlik qiladigan
to'siqlarni namoyish qilish.
Document Outline
|