15 -ma'ruza. Xavfsizlikni amaliy boshqarish reja
Yüklə 175,32 Kb. Pdf görüntüsü
|
|
Adminstator
10 tahdidlarni va zaifliklarni identifikatsiyalash; - xavfsizlikka tahdidlarni amalga oshirilishi bilan bog‘liq, xavf xatarlarni hisoblash. Resurslar uchta kategoriyaga - axborot resurslariga, dasturiy ta’minotga va texnik vositalarga (fayl serverlari, ishchi stansiyalar, ko‘priklar, marshrutizatorlar va h.) bo‘linadi. Har bir kategoriya ichida resurslarni sinflarga va qism sinflarga ajratish mumkin. Faqat korporativ axborot tizimi funksionalligini belgilovchi va xavfsizlikni ta’minlash nuqtai nazaridan muhim bo‘lgan resurlar identifikatsiyalanishi lozim. Resursning muhimligi (narxi) bu resursning konfidensialligi, yaxlitligi yoki foydalanuvchanligi buzilganida yetkazilgan zarar miqdori bilan belgilanadi. Resurslar narxini baholashda resurslarining har bir kategoriyasi uchun bo‘lishi mumkin bo‘lgan zarar miqdori belgilanadi. Namunaviy xavfsizlik tahdidlariga korporativ axborot tizimi resurslariga lokal masofadan hujumlar, tabiiy ofat, xodimlar xatosi, dasturiy ta’minotdagi xatolik yoki apparaturaning nosozligi sabab bo‘luvchi korporativ axborot tizim ishidagi buzilishlar taalluqli. Tahdid darajasi deganda uning amalga oshirilishi ehtimolligi tushuniladi. Himoyaning bo‘shligi korporativ axborot tizimidagi zaifliklarga sabab bo‘ladi. Zaifliklarni baholash xavfsizlik tahdidlarining muvaffaqiyatli amalga oshirilish ehtimolligini aniqlashni nazarda tutadi. Shunday qilib, zarar yetkazish ehtimolligi tahdidlarning amalga oshirilishi ehtimolligi va zaiflik miqdori orqali aniqlanadi. Xavf-xatar darajasi resurs narxi, tahdid darajasi va zaiflik miqdori asosida aniqlanadi. Resurs narxi, tahdid darajasi va zaiflik miqdori oshishi bilan xavf-xatar darajasi ham oshadi. Xavf-xatarlar darajasini baholash asosida xavfsizlik talablari belgilanadi. Xavf-xatarlarni boshqarish masalasi, xavf-xatar darajasini maqbul miqdorgacha kamaytirishga imkon beruvchi qarshi choralarni asosli tanlashni va amalga oshirish narxini baholashni o‘z ichiga oladi. Tabiiyki, qarshi choralarni amalga oshirish narxi bo‘lishi mumkin bo‘lgan zarar miqdoridan kam bo‘lishi kerak. 7-rasmda xavf-xatarlarni boshqarish texnologiyasining bosqichlari keltirilgan. Axborot xavfsizligi siyosatini aniqlash. Bu bosqichda axborot xavfsizligi sohasidagi qo‘llanma-hujjatlar, standartlar, axborot xavfsizligining asosiy qoidalari, xavf-xatarlarni boshqarishga yondashishlar aniqlanadi hamda qarshi choralar strukturizatsiyalanadi va korporativ axborot tizimini sertifikatsiyalash tartibi belgilanadi. 11 7-rasm. Xavf-xatarlarni boshqarish texnologiyasining varianti Korporativ axborot tizimini (KAT) tavsiflash. Ushbu bosqichda axborot xavfsizligi sohasidagi Xalqaro, davlat va korporativ standartlarga binoan korporativ axborot tizimning funksional vazifalari tavsiflanadi. Kompaniyaning kritik axborot resurslari, jarayonlari va servislari tavsiflanadi; korporativ axborot tizimining chegaralari hamda boshqarish va ma’lumotlar bo‘yicha eng muhim komponentlarining tarkibi va bog‘lanishlari aniqlanadi. Tahdidlarni identifikatsiyalash. Ushbu bosqichda tahdidlar ro‘yxati tuziladi va ularning darajasi baholanadi. Bunda turli tashkilotlarning tahdidlar sinflari ro‘yxatidan ham berilgan tahdidni amalga oshirish ehtimolligining reytingi yoki o‘rtacha qiymatidan foydalanish mumkin. Zaifliklarni identifikatsiyalash. Ushbu bosqichda berilgan korporativ axborot tizimining zaifliklari ro‘yxati, ularning amalga oshirilishidagi joiz natijalar ko‘rsatilgan holda tuziladi. Mavjud korporativ axborot tizimi uchun ro‘yxatlar qator manbalardan foydalanilib tuziladi. Bu manbalarga zaifliklarni tarmoq, skanerlari, turli tashkilotlarning zaifliklar katalogi, xavf- xatarlarni tahlillovchi ixtisoslashtirilgan usullar kiradi. Korporativ axborot tizimining boshqarish tizimini tahlillash. Ushbu bosqichda boshqarish tizimi, aniqlangan tahdidlarga va zaifliklarga joiz bo‘lgan ta’sir nuqtai nazaridan tahlillanadi. Tahdidlar parametrlarini baholash. Ushbu bosqichda hodisaga olib keluvchi zaiflikning amalga oshirilishi imkoniyati baholanadi. Baholashning namunaviy shkalasi - bir necha rutbali (masalan, past, o‘rta va yuqori sath) sifatiy (balli) shkaladir. Bunday baho ekspert tomonidan mavjud obyektiv faktorlarni hisobga olgan holda beriladi. Axborot xavfsizligi rejimining buzilishi oqibatlarini tahlillash. Ushbu bosqichda axborot xavfsizligi rejimining buzilishi bahosi aniqlanadi. Buzilish oqibatlari moliyaviy yuqotishlarga, obro‘sizlanishga, rasmiy tuzilmalar tomonidan ko‘ngilsizliklarga va h. sabab bo‘lishi mumkin. Buzilish oqibatlarini baholash uchun mezonlar tizimi tanlanadi va oqibatlar og‘irligini baholash uchun integratsiyalangan shkala belgilanadi. Xavf-xatarlarni baholash. Ushbu bosqichda axborot resurslari xavfsizligining buzilishi xavf-xatar darajasi baholanadi. Xavf-xatar darajasi qiymati tahdidlar, zaifliklar darajasiga va bo‘lishi mumkin bo‘lgan oqibatlar ogirligiga bog‘liq. Xavf-xatarlarni baholashda sifatiy va miqdoriy usullardan foydalaniladi. Sifatiy usul ishlatilganda axborot xavfsizligi buzilishining bo‘lishi mumkin bo‘lgan xavf-xatarlar xavfliligi darajasi bo‘yicha rutbalanishi lozim. Miqdoriy 12 usul ishlatilganda xavf-xatarlar miqdoriy shkalalarda baholanishi mumkin. Bu tavsiya etilayotgan qarshi choralarning narxi/samaradorligini tahlillashni osonlashtiradi. Ammo bu holda dastlabki ma’lumotlarni o‘lchash shkalalariga va ishlatilayotgan modelning adekvatligiga juda yuqori talablar qo‘yiladi. Oddiy holda xavf-xatarni baholashda ikkita omil-hodisa ehtimolligi va bo‘lishi mumkin bo‘lgan oqibatlar og‘irligi ishlatilishi mumkin. Xavf-xatarlarni boshqarish bo‘yicha tavsiyalarni ishlab chiqish. Ushbu bosqichda turli sathlar(tashkiliy, dasturiy texnik) va xavfsizlikning alohida jihatlari bo‘yicha strukturizatsiya- langan qarshi choralarning kompleksi tavsiya etilishi lozim. Taklif etiluvchi qarshi choralar kompleksi xavf-xatarlarni boshqarishning tanlangan strategiyasiga binoan quriladi. Xisobot hujjatlarni ishlab chiqish. Ushbu bosqichda xavf-xatarlarni tahlillash va boshqarishning barcha bosqichlari bo‘yicha ish natijalari akslantirilgan hisobot hujjatlari tayyorlanadi. Ta’kidlash lozimki, hozirda axborot xavf-xatarlarini baholashni avtomatlashtirish maqsadida dasturiy mahsulotlar ishlab chiqilgan. Yüklə 175,32 Kb. Dostları ilə paylaş:
|