Zaiflik darajasini baholash Har qanday tashkilot egalik qiladigan eng muhim boyliklardan biri bu uning ma'lumotlaridir. Ma'lumotlar binolar, pul mablag'lari va xodimlar kabi boshqa barcha aktivlar kabi hayotiy ahamiyatga ega bo'lishi kerak. Shunga qaramay, ko'plab tashkilotlar ma'lumotlar bilan bog'liq zaifliklarni jiddiy o'rganib chiqmaydi va shuning uchun ularni etarli darajada himoya qilishga tayyor emas. Ma'lumotlarni himoya qilishning birinchi bosqichi ma'lumotlar zaifligini baholashdan boshlanadi. Zaiflik darajasini baholashda turli xil texnika va vositalardan foydalanish mumkin.
Xavfsizlikni baholash nima? Xavfsizlikni baholash - bu tajovuzkorlar, tabiat kuchlari yoki potentsial zararli bo'lishi mumkin bo'lgan boshqa biron bir narsaga ta'sir qilishini tizimli va uslubiy baholash. Xavfsizlikni baholash nimani himoya qilish kerakligini aniqlashga harakat qiladi (aktivlarni identifikatsiya qilish), unga qarshi qanday bosimlar mavjud (tahdidni baholash), hozirgi himoya qanchalik ta'sirchan (zaifliklarni baholash), tahdidlar natijasida qanday zararlar kelib chiqishi mumkin (xavfni baholash) va bu haqda nima qilish kerak (xavfni kamaytirish).
Aktivlarni identifikatsiyalash Zaif tomonlarni baholashning birinchi bosqichi himoyalanishi kerak bo'lgan aktivlarni aniqlashdir. Aktiv ijobiy iqtisodiy qiymatga ega bo'lgan har qanday ob'ekt sifatida tavsiflanadi va aktivlarni identifikatsiyalash bu ob'ektlarni inventarizatsiya qilish jarayonidir. Tashkilot turli xil turdagi aktivlarga ega. Eng keng tarqalgan ikkitasi odamlar (xodimlar, mijozlar, biznes sheriklar, pudratchilar va sotuvchilar) va jismoniy aktivlar (binolar, avtomobillar va boshqa kompyuter bo'lmagan uskunalar). Axborot texnologiyalari (IT) elementlari ham asosiy boylik hisoblanadi. Bunga ma'lumotlar (tashkilot tomonidan ishlatiladigan va uzatiladigan barcha ma'lumotlar, masalan, xodimlarning ma'lumotlar bazalari va inventarizatsiya yozuvlari), apparat vositalari (statsionar kompyuterlar, serverlar, tarmoq uskunalari va telekommunikatsiya aloqalari) va dasturiy ta'minot (amaliy dasturlar, operatsion tizimlar va xavfsizlik dasturlari) kiradi. . Birinchi muhim qadam bu IT-aktivlar ro'yxatini yaratishdir.
Aktivlar ro'yxati o'tkazilgandan so'ng, har bir ob'ektning nisbiy qiymatini aniqlash muhim ahamiyatga ega. Ba'zi aktivlar muhim ahamiyatga ega, boshqa aktivlar esa unchalik muhim emas. Nisbiy qiymatni aniqlashda e'tiborga olinishi kerak bo'lgan omillar qatoriga aktivning tashkilot maqsadlari uchun qanchalik muhimligi, u qancha daromad keltirishi, uni almashtirish qanchalik qiyin bo'lishi va aktiv mavjud bo'lmaganda tashkilotga ta'siri kiradi. Ba'zi tashkilotlar har bir aktivga raqamli qiymatni belgilaydilar (masalan, 5 ta juda qimmatli va 1 ta eng kam). Masalan, Internet-buyurtmalarni qabul qiladigan va qayta ishlaydigan veb-dastur serverini juda muhim aktiv deb hisoblash mumkin, chunki u holda hech qanday buyurtma olinmaydi. Shu sababli unga 5. qiymati berilishi mumkin . Xodim foydalanadigan statsionar kompyuter kamroq qiymatga ega bo'lishi mumkin, chunki uning yo'qolishi tashkilotning kundalik ish oqimiga salbiy ta'sir ko'rsatmasligi yoki xavfsizlik uchun jiddiy xavf tug'dirmaydi. Bunga 2 qiymati berilishi mumkin.