Guruh Reymboyev Sirojiddin 12-amaliy ish
Yüklə 0,51 Mb.
|
|
Kontekstni o‘rnatish
Umumiy tahlil. Kirish ma’lumotlari: tashkilot to‘g‘risidagi, axborot xavfsizligi risklarini boshqarish kontekstini o‘rnatish uchun o‘rinli bo‘lgan barcha axborot. Ish: axborot xavfsizligi risklarini boshqarishning tashqi va ichki konteksti o‘rnatilishi kerak, bu, axborot xavfsizligi risklarini boshqarish uchun zarur bo‘lgan asosiy mezonlar o‘rnatilishini (7.2), ish sohalari va chegaralar aniqlanishini (7.3) va axborot xavfsizligi risklarini boshqarishni amalga oshirish uchun tegishli struktura o‘rnatilishini (7.4) ichiga oladi. Amalga oshirish bo‘yicha qo‘llanma: axborot xavfsizligi risklarini boshqarish maqsadini aniqlab olish zarur, chunki u umumiy jarayonga, xususan, kontekstni o‘rnatishga ta’sir qiladi. Bu maqsad: - AXBTni qo‘llab-quvvatlash; - huquqiy muvofiqlik va yetarli e’tiborning isboti; - biznes uzluksizligini ta’minlash rejasini tayyorlash; - insidentlarga javob berish rejasini tayyorlash; - mahsulot, xizmat yoki mexanizm uchun axborot xavfsizligi talablarining tavsifi bo‘lishi mumkin. 18. Axborot xavfsizligi risklarini boshqarish asosiy mezonlari, risklarni ko‘lami va chegaralari. Risklarni bahоlash berilgan qiymatlar darajalariga ega risklar ro’yxati va risklarni bahоlash mezоnlarini o’z ichiga oladi. Baholashni amalga оshirish bo’yicha qo’llanma: Risklarni baholashga taalluqli bo’lgan qarоrlarning xarakteri va bu qarоrlarni qabul qilish uchun fоydalaniladigan risklarni baholash mezоnlari kоntekstni o’rnatish paytida aniqlangan bo’lishi kerak. Bu qarоrlar va kоntekst ushbu bоsqichda aniqlangan muayyan risklar to’g’risida qo’shimcha axbоrоt bo’lgan sharоitda yanada batafsilrоq qayta ko’rib chiqilishi kerak. Risklarni baholash uchun tashkilоtlar o'lchagan risklarni,kоntekstni p’rnatish bоsqichida tanlangan risklarni baholash mezоnlari bilan taqqоslashlari kerak. Qarоrlar qabul qilish uchun fоydalannladigan risklarni baholash mezоnlari, axbоrоt xavfsizligi risklarini bоshqarishning ma`lum bir ichki va tashki kоntsksti bilan mоslashtirilishi va tashkilоtning maqsadini. manfaatdоr tоmоnlarning fikrini va x.k. hisоbga оlishi kerak. Risklarni baholash bilan bоg’lik qarоrlar, оdatda, risklarning maqbul darajasiga asоslanadi. Birоq, risklarni tahlil qilishda va aniqlashda oqibatlar, ehtimоllik, ishоnchlilik darajasi ham hisоbga оlinishi kerak. Past va o’rta darajadagi risklar ko’pligining jami yakunda birmuncha yuqоri darajadagi umumiy riskni berishi mumkin. 19. Axborot xavfsizligi risklarini boshqarishda tashkilot tuzilmasini ahamiyati. Ichki va tashqi kontekst. Tashqi kontekst •Tashkilot o'z maqsadlariga erishmoqchi bo'lgan tashqi muhit. •O'z ichiga olishi mumkin: •Madaniy, ijtimoiy, huquqiy, qonunchilik, moliyaviy, texnologik, iqtisodiy, xalqaro, mintaqaviy, milliy yoki mahalliy darajadagi tabiiy va bozor muhiti. •Tashkilot maqsadlariga ta'sir qiluvchi asosiy omillar va tendentsiyalar. •Manfaatdor tomonlar munosabatlari, anglashuv va qiymatlilik. Ichki kontekst •– Tashkilot o'z maqsadlariga erishishga undaydigan ichki muhit. •O'z ichiga olishi mumkin: •Yetakchilik, tashkiliy tuzilma, vazifalar va mas'uliyat •Siyosatlar, maqsadlar va ularga erishish strategiyalari. •Resurslar va bilimlarga nisbatan ko'rib chiqiladigan imkoniyatlar (masalan, kapital, vaqt, odamlar, jarayonlar, tizimlar va texnologiyalar) •Axborot tizimlari, axborot oqimi va qaror qabul qilish jarayonlari (rasmiy va norasmiy) •Ichki manfaatdor tomonlar bilan munosabatlar, ularning o'zaro anglashuv va qiymatlilik. •Tashkilot madaniyati. •Tashkilot tomonidan qabul qilingan standartlar, ko'rsatmalar va modellar •Shartnoma munosabatlarining shakli va ko'lami. 20. Riskni qabul qilish va uning mohiyati. Xavfni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Xavfni qabul qilish mezonlari ko'pincha tashkilotning siyosati, rejalari, maqsadlari va manfaatdor tomonlarning manfaatlariga bog'liq. Tashkilot risklarni qabul qilish darajalari uchun o'z o'lchovlarini belgilashi kerak. Ishlab chiqish jarayonida quyidagilarni e'tiborga oling : •Riskni qabul qilish mezonlari, agar ma'lum sharoitlarda yuqori darajadagi risk bu darajadan yuqori risklarni qabul qilsa, xavfning maqsadli darajasiga ega bo'lgan bir necha chegaralarni o'z ichiga olishi mumkin. •Xavf mezonlari miqdoriy foyda (yoki boshqa foyda) miqdoriy xavfga nisbati sifatida ifodalanishi mumkin. •Riskni qabul qilish mezonlari, risk qancha davom etishiga qarab farq qilishi mumkin, masalan, xavf vaqtinchalik yoki qisqa muddatli faoliyat bilan bog'liq bo'lishi mumkin. Xavfni qabul qilish mezonlari quyidagilarni hisobga olgan holda tuzilishi kerak : •Biznes mezonlari •Huquqiy va tartibga soluvchi jihatlar •Operatsiyalar •Texnologiya •Moliya •Ijtimoiy va gumanitar omillar •Xavfni baholashda barcha tegishli aktivlar hisobga olinishini ta'minlash uchun axborot xavfsizligi xavfini boshqarish jarayonining ko'lamini aniqlash kerak. Bundan tashqari, ushbu chegaralardan tashqarida paydo bo'lishi mumkin bo'lgan xavflarni bartaraf etish uchun chegaralarni aniqlash kerak. •Tashkilot to'g'risidagi ma'lumotlar u ishlayotgan muhitni va axborot xavfsizligi xavfini boshqarish jarayoni uchun zarur bo'lgan boshqa ma'lumotlarni aniqlash uchun to'planishi kerak. 21. Aktivlarni identifikatsiya qilish •Aktiv–bu har qanday qimmatli ma'lumotlar, qurilma yoki tashkilot tizimlarining boshqa komponentlari, chunki ular ko'pincha maxfiy ma'lumotlarni o'z ichiga oladi yoki bunday ma'lumotlarga kirishda foydalanish mumkin. Masalan, xodimning ish stoli, noutbuk yoki telefoni, xuddi shu qurilmalardagi ilovalar, aktiv sifatida qaraladi. Xuddi shunday, serverlar va qo'llab-quvvatlash tizimlari kabi muhim infratuzilma aktivlardir. •Aktivlarni identifikatsiyalash va baholash bo'yicha dastlabki ma'lumotlarni olishdan oldin, ko'rib chiqish doirasini aniqlash kerak. •Xavflarni tahlil qilishning ushbu bosqichida chegaralarni puxta aniqlash keraksiz operatsiyalardan xalos qiladi va risk sifatini yaxshilaydi. •Risklarni tahlil qilishning ushbu bosqichida chegaralarni puxta aniqlash keraksiz operatsiyalardan xalos qiladi va risk sifatini yaxshilaydi. •Bazaviy identifikatsiya Bu potentsial xavflar haqidagi ikkita savolga javob: nima uchun biz bu xavflarga duch kelishimiz kerak (yoki bo'lmasligi kerak) va biz ilgari duch kelganmizmi. Birinchisini SWOT tahlili orqali olish mumkin, ikkinchisi odatda loyiha hisoboti yoki ma'lumot bazasidan olinadi. •Batafsil identifikatsiya Bu qadam oldingi qadamlarga qaraganda ko'proq vaqt talab qiladi, lekin u xavfni to'g'ri baholash uchun zarur bo'lgan tafsilotlarni beradi. 22. Axborot xavfsizligida aktivlar va ularning turlari Aktiv – bu har qanday qimmatli ma'lumotlar, qurilma yoki tashkilot tizimlarining boshqa komponentlari, chunki ular ko'pincha maxfiy ma'lumotlarni o'z ichiga oladi yoki bunday ma'lumotlarga kirishda foydalanish mumkin. Asosiy aktivlar 1. Biznes ma'lumotlari (yoki kichik jarayonlar) va biznes faoliyati: Yo'qotish yoki yomonlashish, tashkilotni o'z maqsadiga erishishini imkonsiz qiladigan jarayonlar. Yuqori darajali texnologiyalar yordamida yaratilgan maxfiy jarayonlar yoki mazkur proseslarni o'z ichiga olgan jarayonlar; O'zgartirishlar tashkilot maqsadining bajarilishiga sezilarli ta'sir ko'rsatishi mumkin bo'lgan jarayonlar. Tashkilot shartnoma, qonun yoki tartibga solish talablariga javob berishi kerak bo'lgan jarayonlar. 2. Axborot: Tashkilot uchun qimmatli bo'lgan har qanday ma'lumot(jismoniy yoki raqamli fayl, disk, saqlash qurilmasi, noutbuk yoki qattiq disk). Shaxsini xarakterlovchi, maxfiylik to'g'risidagi milliy qonunlarga muvofiq aniqlanishi mumkin bo'lgan, shaxsiy ma'lumotlar. Tashkilot strategiyasining maqsadlariga erishish uchun zarur bo'lgan strategik ma'lumotlar. To'planishi, saqlanishi, qayta ishlanishi va uzatilishi uzoq davom etadigan va / yoki uni sotib olish uchun katta xarajatlar bilan bog'liq bo'lgan yuqori narxdagi ma'lumot. Yordamchi aktivlar Apparat taminot Dasturiy taminot Tarmoq Xodimlar Sayt Tashkiliy tuzilma Apparat ta'minot (jarayonlarni qo'llab -quvvatlovchi barcha jismoniy elementlar) Ma'lumotni qayta ishlash uskunalari (faol) Mobil uskunalar (portativ hisoblash uskunalari) Statsionar uskunalar (Tashkilot binolarida ishlatiladigan ko’chma hisoblash uskunalari) Periferik ishlov berish uskunalari Ma'lumot tashuvchilar(passiv) Elektron tashuvchilar Boshqa tashuvchilar 23. Risklarni tahlil qilish bosqichlari 1.Riskni yuqori darajali baholashning omillari: •Bu omillar baholangach, qaror qabul qilish osonlashadi. Agar aktivning maqsadi tashkilot faoliyati uchun hal qiluvchi ahamiyatga ega bo'lsa yoki aktivlar yuqori darajadagi riskka ega bo'lsa, unda ma'lum bir axborot aktivi (yoki uning bir qismi) uchun ikkinchi ketma-ketlik, riskni batafsil baholash kerak. •Bu yerda quyidagi umumiy qoida qo'llaniladi: agar axborot xavfsizligi tizimining mavjud emasligi tashkilot, uning biznes jarayonlari yoki aktivlari uchun jiddiy salbiy oqibatlarga olib kelishi mumkin bo'lsa, potentsial xatarlarni identifikatsiyalashda batafsilroq darajadagi riskni qayta baholash ketma-ketligini bajarish zarur. 2.Axborot xavfsizligi xavfini batafsil baholash •Axborot xavfsizligi riskini batafsil baholash jarayoni aktivlarni keng qamrovli identifikatsiya qilish va baholash, hamda ushbu aktivlarga nisbatan tahdidlarni va zaifliklarni baholashni o'z ichiga oladi. •Ushbu tadbirlarning natijalari AX riskini baholash va ularni qayta ishlash usullarini aniqlash uchun ishlatiladi. •Ushbu yondashuv odatda katta vaqt, kuch va tajribani talab qiladi va shuning uchun AX riski yuqori bo'lgan ATlari uchun ko'proq qo'llaniladi. •Ushbu jarayonning yakuniy bosqichida axborot xavfsizligi risklarining keng qamrovli bahosi olinadi. 3.Quyidagi omillar hisobga olinishi mumkin: •shaxsiy xavfsizlik; •shaxsiy ma'lumotlar; •huquqiy va tartibga soluvchi majburiyatlar; •huquqni muhofaza qilish (qonunlarga rioya qilish); •tijorat va iqtisodiy manfaatlar; •moliyaviy yo'qotishlar/operatsiyalarning uzilishi; •jamoat tartibi; •biznes siyosati va biznes operatsiyalari; •nomoddiy yo'qotishlar. 24. Risk tahlili va extimolligini baholash. Risk tahlili va extimolligini baholash, bir organizatsiyani faoliyatining mavjud va keyingi risklarini aniqlash va ularni qo'llab-quvvatlash uchun quyidagi usullarni ishlatishni talab qiladi: Risklarining turlari va shakllari aniqlash: Organizatsiya faoliyatining mavjud va keyingi risklarini aniqlash uchun, uning faoliyatining barcha bo'limlarini va protsesslarini yaxshi bilish lozim. Risklarining ehtimollik va zararliligi baholash: Organizatsiyada mavjud risklar ehtimollik va zararliligi baholanadi. Ehtimollik, riskning qaysi darajada va kimda kelib chiqishiga bog'liq, zararlilik esa, riskning organizatsiyaga qanday zarar keltirishi haqidagi fikrni bildiradi. Risklar bilan qarama-qarshi strategiyalar tuzish: Organizatsiya risklar bilan qarama-qarshi strategiyalarni tuzishi lozim. Bu, risklar yuz bergan darajada zararlarni kamaytirish va organizatsiyani risklardan himoya qilishga yordam beradi. Risklar va strategiyalarning amalga oshirilishi baholash: Organizatsiya risklar va strategiyalarning amalga oshirilishi baholanadi, bu organizatsiyaning risklar bilan qarama-qarshi strategiyalarining yaxshi ishlayotganligini aniqlashga yordam beradi. 25. Axborot xavfsizligi riskini sifatli baholash Axborot xavfsizligi riskini sifatli baholash uchun quyidagi metodlar mavjud: Risk analizi: Bu, organizatsiyalarning axborotga oid omillarni aniqlash va ularning muhimligini aniqlash uchun ishlatiladi. Standartlar va qoidalar: Bu, axborot xavfsizligi uchun qoidalarni va standartlarini takomillashtirish uchun ishlatiladi. Kontrollar va tizimlar: Bu, axborotga oid omillarni himoyalash va uni himoyalamaydigan holatlarda tashkil etish uchun ishlatiladi. Texnik va amaliyot: Bu, axborot xavfsizligi uchun texnik va amaliyotlar takomillashtirishni ishlatiladi. Tashkil etish va boshqarish: Bu, axborot xavfsizligi tizimini boshqarish va tashkil etishga oid omillarni ishlatiladi. 26. Axborot xavfsizligi riskini miqdoriy (sonli) baholash Axborot xavfsizligi riskini sonli baholash uchun bir nechta usullar mavjud: · Risk matrisi - Bu usul, axborot xavfsizligi risklarini kategoriya qilish va ularni matematik qoidalar asosida baholashni talab qiladi. · Likelihood-Consequence matrisi - Bu usul, axborot xavfsizligi risklarini kuzatish va ularning ehtimol va natijalarini baholashni talab qiladi. · Quantitative Risk Assessment (QRA) - Bu usul, axborot xavfsizligi risklarini matematik va statistik qoidalar asosida baholashni talab qiladi. · Qualitative Risk Assessment (QRA) - Bu usul, axborot xavfsizligi risklarini shaxsiy qarashlar va ehtimollar asosida baholashni talab qiladi. · ISO 27005 - Bu standart, axborot xavfsizligi risklarini baholash va uni kamaytirish uchun tavsiyalar beradi. Har bir usulining avantaj va dezavantajlar bor. Risk matrisi va Likelihood-Consequence matrisi quyidagi qoidalar asosida ishlaydi: · Risk = likelihood * consequence · Risk = likelihood * impact QRA va Qualitative Risk Assessment (QRA) ishlab chiqilgan sistematik tahlil va baholash usullari. ISO 27005 ishlab chiqilgan standart axborot xavfsizligi risklarini baholash va uni kamaytirish uchun tavsiyalarni beradi. 27. Riskni identifikatsiyalash, aktiv, taxdid, zaiflikni, nazorat vositalari Risklarni identifikatsiyalash deganda AT risklarini topish va aniqlash jarayoni tushuniladi, xavfni baholash deganda xavfni amalga oshirish oqibatlariga, shuningdek uni amalga oshirish ehtimoliga raqamli qiymatlar berish tushuniladi. Xavfni qabul qilish deganda xavfni amalga oshirishdan yetkazilgan zarar maqbul ekanligini va uni amalga oshirish ehtimoli shunchalik kichikki, bu axborot xavfsizligi xavfini qayta ishlash tartib-qoidalarini amalga oshirmaslikka imkon beradi. Riskga munosanbat ishtirokchilar o'rtasida joriy xavflar haqida ma'lumot almashish imkonini beradi. •Har bir aniqlangan xavf uchun mumkin bo'lgan sabablar va senariylarni ko'rib chiqing. Sabab - xavf hodisasiga olib kelishi mumkin bo'lgan potentsial triggerlarni aniqlang. Bitta xavf hodisasi ma'lum bir sabab yoki bir nechta mumkin bo'lgan sabablarga ega bo'lishi mumkin. Bir sabab bir nechta xavf bilan bog'liq bo'lishi mumkin. Natijalar - agar xavf hodisasi yuzaga kelsa, mumkin bo'lgan ta'sirni aniqlang. Bitta xavf hodisasi ma'lum oqibatlarga yoki bir nechta mumkin bo'lgan oqibatlarga olib kelishi mumkin. Natijalar bir nechta xavf uchun umumiy bo'lishi mumkin. •Usullar va vositalar: - Xatarlarni doimiy identifikatsiyalash - har qanday xodim xavflarni aniqlashi va oshirishi mumkin. - Riskni stolda baholash - faoliyat yoki jarayonning kundalik faoliyatida ishtirok etadigan xodimlar bilan ma'lum bir faoliyat yoki jarayonning xavflari va nazoratini muhokama qilish va baholashni o'z ichiga oladi. 28. Risk sifat va miqdor o‘lchovi, risk darajasini o‘lchash. Sifat darajasi bo'yicha baholashda 5 darajadan foydalanish eng qulaydir: Ahamiyatsiz Past O‘rtacha Yuqori Halokatli Miqdoriy baholashda, dastlabki xavfsizlik darajasi quyidagicha aniqlanadi: •1. Qimmatli aktivning dastlabki xavfsizlik darajasini sifat bo'yicha baholash amalga oshiriladi; •2. Keyin, ma'lum bir reyting shkalasi yordamida sifat bahosi miqdoriyga o'tkaziladi. Ushbu jadval yordamida har bir boshlang'ich xavfsizlik darajasiga raqamli koeffitsient beriladi, biz uni "D" deb belgilaymiz.
29. Axborot xavfsizligi risklarini qayta ishlash jarayoni. RISKLARNI QAYTA ISHLASH VARIANTLARI Quyidagilarni inobatga olishi kerak: ―Risk tomonlar tomonidan qanchalik qabul qilinmoqda; ―Tomonlar bilan bog‘lanishning eng maqbul yo‘llari. Variantlarni aniqlash •Xatarlarni aniqlash va baholashdan so'ng, keyingi qadam ushbu xatarlarni boshqarish, ularning natijalarini yoki ta'sirini baholash, shuningdek, qayta ishlash rejalarini va amalga oshirish uchun muqobil choralarni aniqlashni o'z ichiga oladi. •Belgilangan xavflar tashkilotga turli xil ta'sir ko'rsatishi mumkinligi sababli, barcha xavflar yo'qotish yoki zarar yetkazish xususiyatiga ega emas. Xatarlar turlari ijobiy ta'sir yoki natijalar bilan aniqlanganda xavflarni aniqlash jarayonida imkoniyatlar ham paydo bo'lishi mumkin. Xatarlarni qayta ishlash usullarini tasniflash 30. Axborot xavfsizligi riskini kamaytirish. Riskni kamaytirish Tavsiyalarni shakllantirish jarayonida va tadbiq etilishida turli cheklovlar hisobga olinishi kerak. Tipik cheklovlar: • Xavfni kamaytirish usullari: -himoya choralari va nazoratini amalga oshirish; -protseduralarni takomillashtirish; ̶ Atrof muhitni o'zgartirish; ̶ tahdidga ta'sir etuvchi omillarni o'z vaqtida aniqlash va mumkin bo'lgan oqibatlarini kamaytirish uchun erta aniqlash usullarini joriy etish; ̶ muayyan tahdidlarga duch kelganda ishni davom ettirish va tahdid oqibatlarini kamaytirish imkonini beradigan favqulodda vaziyatlar rejasini ishlab chiqish; ̶ tahdidni amalga oshirish uchun to'siqlar yaratish; -Xavfsizlik masalalari bo'yicha treninglar o'tkazish. 31. Axborot xavfsizligi riskini uzatish. Axborot xavfsizligi riskini uzatish uchun quyidagi harakatlar amalga oshirilishi mumkin: Parolni o'zgartirish va parol yaxshi ko'rilgani sifatida saqlash. Internetda foydalanishda xavfsizlik qoidalarini o'rganish va ularni amalga oshirish. Axborotni xavfsizlikdan saqlash uchun antivirus va firewall tizimlarini qo'llash. Wi-Fi xavfsizligini saqlash uchun xavfsiz ravishda qo'llash. Foydalaniladigan kompyuter va mobil qurilmalarni regulyar ravishda yangilash va boshqarish. Axborotni xavfsiz ravishda saqlash va uni boshqarish uchun qo'llab-quvvatlash tizimlarini foydalanish. 32. Riskni oldini olish. Riskni ko‘chirish. Riskni oldini olish Riskni keltirib chiqarishi mumkin bo‘lgan faoliyatdan yoki shartlardan voz kechish. Identifikatsiya qilingan risklar juda yo‘qori darajali deb hisoblansa yoki riskni qayta ishlash bo‘yicha xarajatlar daromaddan katta bo‘lsa, riskni to‘liq oldini olish bo‘yicha qaror qabul qilinsa, mavjud yoki rejalashtirilayotgan faoliyatlardan voz kechilishi yoki ushbu faoliyatni olib borish shartlari o‘zgartirilishi mumkin. Masalan, tabiy faktorlar keltirib chiqarishi mumkin bo‘lgan risklarni, ushbu risk bo‘lmaydigan joyga ko‘chirilishi va u yerda axborot qayta ishlanishi mumkin. Riskni ko‘chirish 33. Axborot xavfsizligi riskini qabul qilish. Xavfni qabul qilish mezonlari ishlab chiqilishi va aniqlanishi kerak. Xavfni qabul qilish mezonlari ko'pincha tashkilotning siyosati, rejalari, maqsadlari va manfaatdor tomonlarning manfaatlariga bog'liq. Tashkilot risklarni qabul qilish darajalari uchun o'z o'lchovlarini belgilashi kerak. Ishlab chiqish jarayonida quyidagilarni e'tiborga oling : *Riskni qabul qilish mezonlari, agar ma'lum sharoitlarda yuqori darajadagi risk bu darajadan yuqori risklarni qabul qilsa, xavfning maqsadli darajasiga ega bo'lgan bir necha chegaralarni o'z ichiga olishi mumkin. *Xavf mezonlari miqdoriy foyda (yoki boshqa foyda) miqdoriy xavfga nisbati sifatida ifodalanishi mumkin. *Xavfning har xil toifalari uchun riskni qabul qilishning turli mezonlari qo'llanilishi mumkin, masalan, direktivalar va qonunlarga rioya qilmaslik natijasida kelib chiqadigan risklarni qabul qilib bo'lmaydi, agar shartnoma talabida ko'rsatilgan bo'lsa, yuqori darajadagi risklarni qabul qilishga yo'l qo'yilishi mumkin. *Xavfni qabul qilish mezonlari kelajakda qo'shimcha davolanish talablarini o'z ichiga olishi mumkin, masalan, agar ma'lum vaqt ichida uni maqbul darajaga tushirish bo'yicha chora -tadbirlar qabul qilinsa va kelishuvga erishilsa, xavf qabul qilinishi mumkin. *Riskni qabul qilish mezonlari, risk qancha davom etishiga qarab farq qilishi mumkin, masalan, xavf vaqtinchalik yoki qisqa muddatli faoliyat bilan bog'liq bo'lishi mumkin. Xavfni qabul qilish mezonlari quyidagilarni hisobga olgan holda tuzilishi kerak : *Biznes mezonlari *Huquqiy va tartibga soluvchi jihatlar *Operatsiyalar *Texnologiya *Moliya *Ijtimoiy va gumanitar omillar 34. Risk bo‘yicha munosabatlar va axborot almashish. Risk kommunikatsiyasi (risk communication) —bu riskga oid ma'lumotlarni almashish yoki ushbu ma'lumotni qaror qabul qiluvchi shaxs va boshqa manfaatdor tomonlar o'rtasida almashish. Kirish ma'lumotlariga asosan AX risklarini qayta ishlash rejasi va AX risklarini baholash asosida tashkilot rahbariyati AX risklarini qabul qilish bo'yicha xulosa chiqaradi. AX risklari bilan aloqa (axborot almashinuvi) boshqa manfaatdor tomonlar tomonidan qaror qabul qiluvchi tomon o'rtasida xavf ma'lumotlarini almashish va/yoki almashish orqali AX risklarini boshqarish bo'yicha kelishuvga erishishga qaratilgan faoliyatdir. Ma'lumotlar AX xatarlari mavjudligi, xarakteri, shakli, ehtimolligi, jiddiyligi, qabul qilinishi mumkinligini o'z ichiga oladi (lekin cheklanmagan). Barcha tomonlar o'rtasida samarali muloqot muhim ahamiyatga ega, chunki u qabul qilinishi kerak bo'lgan qarorlarga sezilarli ta'sir ko'rsatadi. Bu AX risklarini boshqarish uchun mas'ul bo'lgan shaxslar, bunga qiziqqan kishilar qaror qabul qilish asoslarini va muayyan harakatlarga ehtiyojning sabablarini tushunishlarini ta'minlaydi. Aloqa ikki tomonlamadir. AX xatarlari tushunchasi va xabardorligi dastlabki taxminlar, kontseptsiyalar va ehtiyojlar, muammolar xavfi va ishtirok etuvchi tomonlarning xavotirlari yoki muhokama qilinadigan masalalar bo'yicha farqlarga qarab farq qilishi mumkin. Ishtirokchilar, qoida tariqasida, xavf-xatarni qabul qilish asosida AX xavflarining qabul qilinishi haqida o'z fikrlarini bildiradilar. Shuning uchun, ayniqsa, AX xavfi va foyda tushunchasi aniqlangan va hujjatlashtirilgan va asosiy sabablar aniq tushunilgan va hisobga olingan. 35. Risk menejmenti ma’lumotlari. Risk kommunikatsiyasi (risk communication) —bu riskga oid ma'lumotlarni almashish yoki ushbu ma'lumotni qaror qabul qiluvchi shaxs va boshqa manfaatdor tomonlar o'rtasida almashish. Kirish ma'lumotlariga asosan AX risklarini qayta ishlash rejasi va AX risklarini baholash asosida tashkilot rahbariyati AX risklarini qabul qilish bo'yicha xulosa chiqaradi. Ushbu bosqichda AX risklarini qabul qilish va uning uchun javobgarlik to'g'risida qarorlar qabul qilinadi hamda, rasmiylashtiriladi. AX risklarini qayta ishlash rejalari, AXning risklarni qabul qilish mezonlariga muvofiq qanday baholanishi kerakligini tasvirlaydi. Mas'ul rahbarlar xavflarni qayta ishlash rejalarini va natijada qolgan Ax risklarini qayta ko'rib chiqishlari va tasdiqlashlari, shuningdek, bunday qo'llab-quvvatlash bilan bog'liq barcha shart-sharoitlarni qayd etishlari muhimdir. AX risklarini qabul qilish mezonlari, AXning qoldiq xavfi ma'lum bir chegara qiymatidan yuqori yoki past bo'lgan vaqtni aniqlashdan ko'ra murakkabroq bo'lishi mumkin. Ba'zi hollarda, AX qoldiq xavf qiymati AX xavf mezonlariga muvofiq kelmasligi mumkin, chunki amaldagi mezonlar barcha mavjud sharoitlarni hisobga olmaydi. Masalan, bundan olinadigan foydaning jozibadorligi yoki ularni kamaytirish uchun juda katta xarajatlar tufayli axborot xavfsizligi risklarini qabul qilish zarurligini isbotlash mumkin. Bunday holatda quyidagi savolga javob berish muhimdir: tashkilot uchun nima foydali — AXning xavfini kamaytirish yoki ularning oqibatlari bilan kurashish va optimallash vazifasini hal qilish. 36. Risk bo‘yicha axborot almashinuvi rejalari. *Risk kommunikatsiyasi (risk communication) —bu riskga oid ma'lumotlarni almashish yoki ushbu ma'lumotni qaror qabul qiluvchi shaxs va boshqa manfaatdor tomonlar o'rtasida almashish. *Kirish ma'lumotlariga asosan AX risklarini qayta ishlash rejasi va AX risklarini baholash asosida tashkilot rahbariyati AX risklarini qabul qilish bo'yicha xulosa chiqaradi. *Ushbu bosqichda AX risklarini qabul qilish va uning uchun javobgarlik to'g'risida qarorlar qabul qilinadi hamda, rasmiylashtiriladi. AX risklarini qayta ishlash rejalari, AXning risklarni qabul qilish mezonlariga muvofiq qanday baholanishi kerakligini tasvirlaydi. Mas'ul rahbarlar xavflarni qayta ishlash rejalarini va natijada qolgan Ax risklarini qayta ko'rib chiqishlari va tasdiqlashlari, shuningdek, bunday qo'llab-quvvatlash bilan bog'liq barcha shart-sharoitlarni qayd etishlari muhimdir. *AX risklarini qabul qilish mezonlari, AXning qoldiq xavfi ma'lum bir chegara qiymatidan yuqori yoki past bo'lgan vaqtni aniqlashdan ko'ra murakkabroq bo'lishi mumkin. *Ba'zi hollarda, AX qoldiq xavf qiymati AX xavf mezonlariga muvofiq kelmasligi mumkin, chunki amaldagi mezonlar barcha mavjud sharoitlarni hisobga olmaydi. *Masalan, bundan olinadigan foydaning jozibadorligi yoki ularni kamaytirish uchun juda katta xarajatlar tufayli axborot xavfsizligi risklarini qabul qilish zarurligini isbotlash mumkin. Bunday holatda quyidagi savolga javob berish muhimdir: tashkilot uchun nima foydali — AXning xavfini kamaytirish yoki ularning oqibatlari bilan kurashish va optimallash vazifasini hal qilish. Bunday holatlar axborot xavfsizligi xavf-xatarlarini qabul qilish mezonlari noadekvat bo'lishi mumkinligini va iloji bo'lsa, qayta ko'rib chiqilishi kerakligini ko'rsatadi. Biroq, ularni o'z vaqtida qayta ko'rib chiqish har doim ham imkonsizdir. Bunday hollarda qaror qabul qiluvchilar odatdagi mezonlarga javob bermaydigan AX xatarlarini qabul qilishlari mumkin. Ammo keyinchalik qaror qabul qiluvchilar AXning barcha xavf-xatarlarini aniq izohlashlari va ularni qabul qilish bo'yicha qarorlarni asoslashlari kerak. 37. Qaror qabul qilishni rejalashtirish. AX risklarini qabul qilish qaroriga ta'sir qiluvchi asosiy omillar •AX risklarini amalga oshirishning mumkin bo'lgan oqibatlari, shu jumladan, barcha tegishli xarajatlar; •bunday hodisalarning kutilgan chastotasi. •Ushbu omillarning miqdoriy baholashlari avval ko'rsatilgandek sub'ektivdir, shuning uchun qaror qabul qiluvchilar ushbu qarorlar qabul qilingan ma'lumotlarning aniqligi va ishonchliligi haqida fikr yuritishlari kerak. •Jarayonning chiqish ma'lumotlari AX risklarini qabul qilish sohasida tashkilotning odatiy mezonlariga mos kelmaydigan asoslar bilan AXning qabul qilingan xatarlari ro'yxatidir. *AX xatarlariga oid barcha standartlarda tashkilotdagi Axborot xavfsizligini baholash, qayta ishlash, nazorat qilish va optimallashtirish jarayonlari to'g'risida xabardor qilishga alohida e'tibor berish kerak. Xatarlarni boshqarishning har bir bosqichida, AX boshqaruv jarayonining barcha ishtirokchilarini doimiy ravishda xabardor qilish, shuningdek, AXBT doirasiga kiradigan hodisalarni qayd etishga urg’u beriladi. *Jarayonning kirish ma'lumotlari AX risklarini boshqarish bo'yicha barcha faoliyatni amalga oshirish vaqtida olingan AX xavfi haqida ma'lumotdir. AX xavfi haqida bunday ma'lumotni almashish va uni qaror qabul qiluvchilar va barcha ishtirokchilar tomonidan almashish tashkil etilishi kerak. *AX risklari bilan aloqa (axborot almashinuvi) boshqa manfaatdor tomonlar tomonidan qaror qabul qiluvchi tomon o'rtasida xavf ma'lumotlarini almashish va/yoki almashish orqali AX risklarini boshqarish bo'yicha kelishuvga erishishga qaratilgan faoliyatdir. Ma'lumotlar AX xatarlari mavjudligi, xarakteri, shakli, ehtimolligi, jiddiyligi, qabul qilinishi mumkinligini o'z ichiga oladi (lekin cheklanmagan). *Barcha tomonlar o'rtasida samarali muloqot muhim ahamiyatga ega, chunki u qabul qilinishi kerak bo'lgan qarorlarga sezilarli ta'sir ko'rsatadi. Bu AX risklarini boshqarish uchun mas'ul bo'lgan shaxslar, bunga qiziqqan kishilar qaror qabul qilish asoslarini va muayyan harakatlarga ehtiyojning sabablarini tushunishlarini ta'minlaydi. Aloqa ikki tomonlamadir. *AX xatarlari tushunchasi va xabardorligi dastlabki taxminlar, kontseptsiyalar va ehtiyojlar, muammolar xavfi va ishtirok etuvchi tomonlarning xavotirlari yoki muhokama qilinadigan masalalar bo'yicha farqlarga qarab farq qilishi mumkin. Ishtirokchilar, qoida tariqasida, xavf-xatarni qabul qilish asosida AX xavflarining qabul qilinishi haqida o'z fikrlarini bildiradilar. Shuning uchun, ayniqsa, AX xavfi va foyda tushunchasi aniqlangan va hujjatlashtirilgan va asosiy sabablar aniq tushunilgan va hisobga olingan. 38. Riskni qayta ishlashda ustunliklarni o‘rnatish va qayta ishlash va qabul qilish bo‘yicha qarorlarni shakllantirish. •AX xatarlari bilan aloqa faoliyati quyidagi maqsadlar bilan amalga oshirilishi mumkin: •Tashkilotning AX risklarini boshqarishda natijani olishni kafolatlash; •AX xavfi haqida ma'lumot to'plash; •AX risklarni baholash natijalarini birgalikda ishlatish va AX risklarni boshqarish rejasini taqdim etish; •Qaror qabul qiluvchilar va manfaatdor tomonlar o'rtasida o'zaro tushunishning yetishmasligi tufayli AX buzilishining kelib chiqishi va oqibatlarini oldini olish yoki kamaytirish; •Qaror qabul qilish jarayonini qo'llab-quvvatlashni ta'minlash; *Tashkilot oddiy va g'ayritabiiy vaziyatlarda AX xatarlari uchun aloqa rejasini ishlab chiqadi, chunki bu faoliyat doimiy ravishda amalga oshirilishi kerak. Ushbu reja AX masalalarida tashkilot xodimlarining doimiy xabardorligini oshirish dasturining tarkibiy qismi sifatida AX xavfi ma'lumotlarini muntazam ravishda yangilash mexanizmlarini o'z ichiga olishi kerak. Bundan tashqari, AX hodisalari haqida xodimlarni ogohlantirishi kerak. *Asosiy qaror qabul qiluvchilar va ishtirok etuvchi tomonlar o'rtasidagi aloqani muvofiqlashtirish AX risklarini, ularning ustuvorligini va maqbul ishlov berishni muhokama qiluvchi va AX risklarini qayta ishlash va qabul qilish bo'yicha qarorlar qabul qiluvchi qo'mitani tashkil etish orqali erishiladi. *Bundan tashqari, muhim (ayniqsa, inqirozli holatlarda, masalan, AX ning muayyan hodisalariga javoban) AX xatarlari bilan aloqa qilish bilan bog'liq barcha vazifalarni muvofiqlashtirish uchun tegishli jamoatchilik bilan aloqalar va aloqa bo'linmalari bilan hamkorlik qilish. Tashkilot xodimlarini AX risklarini boshqaruvi va ushbu jarayonga jalb qilish BS 7799-3:2006 standartida ko'rib chiqiladi va u quyidagi tavsiyalarni o'z ichiga oladi: •AXBT va AX risklarini boshqarish bo'yicha takliflar uchun aniq ta’sir doirasini aniqlash; •takliflarni qabul qilish uchun oddiy va oson to'ldirilgan shakllardan foydalanish; •takliflar va so'rovlarni yuborish uchun aloqador shaxslarni aniqlash; •har qanday murojaat uchun o'z minnatdorchiligini bildirish; •yuborilgan takliflarga nisbatan moslashuvchanlikni ko'rsatish; •imkon doiraisda, aniqlangan muammoni bartaraf etish jarayoniga taklif bildirdan tomonni jalb qilish; •foydali murojaatlarni taqdim etish tizimini nazarda tutish; 39. Favqulotda holatlarda axborot almashishni muvofiqlashtirish. 40. Monitoring va risk faktorlarini qayta ko‘rib chiqish. Maqsad: axborotga ishlov berishda ruxsatsiz xatti-harakatlarni aniqlash. •Tizimlarni kuzatish mumkinligini va axborot xavfsizligi voqealarini ro‘yxatga olish kerak. Axborot tizimlarining muammolarini identifikatsiya qilishni ta’minlash uchun to‘xtab qolishlar va operatsiyalarni ro‘yxatga olish jurnali yuritilishi kerak. •Tashkilot voqealarni kuzatish mumkinligi va voqealarni ro‘yxatga olish bo‘yicha xatti-harakatlarga qo‘llanadigan barcha tegishli yuridik talablarga rioya qilishi kerak. •Tizim monitoringi axborot xavfsizligini ta’minlash va foydalanishni boshqarish siyosati modeliga muvofiqligini tasdiqlash bo‘yicha bajariladigan tadbirlarning samaraliligini tekshirishga imkon beradi. 41. Risk hayotiy davri. Riskning hayotiy davrining turli bosqichlarida baholash. Risklarni boshqarish tsikli: xavfni aniqlash, baholash, boshqarish va monitoring qilish uchun tizimlar va protseduralarni o'z ichiga oladi, masalan, hisobot. Bu risklarni boshqarish nima. U tashkilotlar ichidagi xavflarni baholash uchun asos yaratadi. Keng qamrovli tavakkalchilik strategiyasi, tavakkalchilik ishtahasi bayonotlari, boshqaruv siyosati, jarayonlari, xavflarni nazorat qilish bo'yicha o'qitish samaradorligini baholash bo'lmasa, dastur muvaffaqiyatsiz bo'lishi mumkin. Ular, albatta, hech qachon eng yaxshi ma'noda ishlamaydi. Riskni aniqlash, baholash, monitoring qilish va hisobot berish uchun tizimga asoslangan jarayonlar. Bu xavfni boshqarishda non va yog'dir. Bu tashkilotlarda xatarlarni tushunish va boshqarishda muhim rol o'ynaydi. Xatarlarni boshqarish nuqtai nazaridan, xavfning hayot aylanishi loyihani boshqarish guruhiga ega bo'lish zarurligini ta'kidlaydi: Ushbu biznes jarayoni loyihaning har bir bosqichida amalga oshirilishi kerak. Xavfni yumshatish strategiyalari dolzarb bo'lib qolishi uchun vaqti-vaqti bilan baholanishi kerak. Loyiha bilan bog'liq xavflarni doimiy ravishda kuzatib borish tavsiya etiladi. Ushbu risklarni boshqarish strategiyasini istalgan darajaga izchil o'tishni va barcha yangi ichki va tashqi sharoitlarga muvofiqligini ta'minlash uchun doimiy takomillashtirish sifatida ko'rish mumkin. 42. Tashkilot uzluksiz ishlashini ta’minlanishini boshqarish usullari. Biznesga doimiy takomillashtirish yondashuvini qo'llaydigan tashkilotlar tanlash uchun juda ko'p ajoyib vositalar va usullarga ega. Ba'zi tashkilotlar ulardan Lean, Six Sigma yoki Toyota Kata kabi tuzilgan metodologiyaning bir qismi sifatida foydalanadilar. Boshqalar esa ularni o'zlari ishlatadilar. Har bir tashkilotning o'ziga xos ehtiyojlari bor va har bir usulni o'z muhitiga moslashtirishi kerak bo'ladi, lekin eng mashhur texnikalar har qanday hajmdagi va har bir sohadagi tashkilotlar tomonidan qo'llanilishi uchun etarlicha moslashuvchan. DMAIC va PDSA DMAIC (aniqlash, o'lchash, tahlil qilish, takomillashtirish, nazorat qilish) va PDSA (rejalashtirish, bajarish, o'rganish, sozlash) doimiy takomillashtirish tsiklining o'zgarishlari. Ularning har biri tuzilgan va samarali o'zgarishlarni boshqarishni ta'minlash uchun mo'ljallangan. Dasturiy ta'minot tsiklning har bir bosqichini hujjatlashtirish, harakat zarur bo'lganda jamoa a'zolarini xabardor qilish va yaxshilanishning ta'sirini o'lchash uchun ishlatiladi. PDSA va DMAIC ko'plab tashkilotlarda takomillashtirish jarayonlari hisoblanadi. Kundalik yig'ilishlar Kundalik yig'ilishlar doimiy takomillashtirishga bag'ishlangan tashkilotlarda keng tarqalgan amaliyotdir. Jamoalar loyihalarni muhokama qilish va muammolarni hal qilishda yordam berish uchun yig'iladigan doska atrofida to'planadi. Shu kunlarda ko'plab kompaniyalar odamlarga istalgan joydan qatnashish imkonini yaratish uchun takomillashtirish dasturlari yordamida bulutga yig'ilish taxtasini oldi. Eng yaxshi yechimlar har bir yaxshilanish tarixini yozib olishni osonlashtiradi va rahbarlarga o'zlari nazorat qilayotgan barcha jamoalarning takomillashtirish ishlari bilan aloqada bo'lishga yordam beradi. Standart ish Standart ish yaxshilanishning asosidir. U har qanday jarayon yoki vazifa uchun hujjatlashtirilgan joriy eng yaxshi amaliyotdan iborat. Standart ishni bajaradigan odamlar tomonidan yaratilgan va aniqlik va muvofiqlikni ta'minlash uchun doimiy ravishda saqlanadi. Standart PDSA yoki DMAIC takomillashtirish tsikli natijasida yuzaga keladigan har qanday kelajakdagi yaxshilanishlar uchun asos bo'lib xizmat qiladi. Standart qayta ko'rib chiqilishi kerak bo'lganda, tsikl yana boshlanadi. Katchbol Catchballning Lean texnikasi fikr va ilhom olish uchun g'oyalar va ma'lumotlarni bir kishi yoki jamoadan boshqasiga ko'chirishni o'z ichiga oladi. Bu, ayniqsa, murakkab qarorlar qabul qilish va strategik rejalashtirish uchun foydalidir. Tashkilotning har bir darajasidagi odamlar maqsad va vazifalarni ishlab chiqishga hissa qo'shish imkoniyatiga ega bo'lganda, ular ko'proq hissiy jihatdan sarmoyalanadi va tashkiliy moslashuv soddalashtiriladi. Gemba yurishlari Gemba yurishi paytida rahbarlar hurmat ko'rsatish, savollar berish va yaxshilash imkoniyatlarini aniqlash uchun ish haqiqatda sodir bo'ladigan joyga tashrif buyurishadi. (Gemba yapon tilida "haqiqiy joy" degan ma'noni anglatadi.) Gemba yurishida yaxshilanishlar hech qachon amalga oshirilmaydi. Bu faqat yurish tugashi va to'g'ri tahlil o'tkazilgandan keyin sodir bo'ladi. Xoshin Kanri Xoshin Kanri strategiyani ishlab chiqish usuli bo'lib, u uch yildan besh yilgacha bo'lgan vaqt oralig'ida erishish mumkin bo'lgan muhim yutuqlarni aniqlashni o'z ichiga oladi. Xoshinni rejalashtirish jarayoni har bir insonning maqsadlarini umumiy strategiya bilan uyg'unlashtiradi, kundalik takomillashtirish ishlari uchun zamin yaratadi va har bir qarorda strategiyani birinchi o'ringa qo'yadi. Kanban taxtasi Kanban - bu takomillashtirish guruhlari tomonidan ularning ish jarayonini tasavvur qilishda yordam berish va kechikish hosil bo'lishidan yoki juda katta bo'lishidan oldin oqimdagi har qanday uzilishlarni tuzatish uchun foydalaniladigan usul. Raqamli Kanban taxtalari to'siqlar yoki kechikishlar mavjud bo'lganda uni ko'rishga yordam beradi. Ushbu oson tushuncha bilan menejerlar har qanday muammolarni erta hal qilish uchun tegishli choralarni ko'rishlari mumkin. Tez takomillashtirish (yoki Kayzen) hodisalari Doimiy takomillashtirish kundalik faoliyat bo'lishi kerak bo'lsa-da, ba'zi qiyinchiliklar yanada birgalikda harakat qilishni talab qiladi. Tez takomillashtirish tadbiri davomida kichik jamoa 100% vaqtini bir necha kunga (odatda uchdan beshgacha) maqsadli jarayonni takomillashtirishga bag'ishlaydi. Ko'pincha bu harakatlar o'zaro faoliyat hamkorlikni talab qiladi. Tadbir guruhi odatda ijrochi homiy, yordamchi, mavzu bo'yicha mutaxassislar va maqsadli jarayon yoki vazifani bajaradigan odamlarni o'z ichiga oladi. Qiymat oqimini xaritalash Qiymat oqimini xaritalash g'oyasi hozirgi holatni yoki jarayonni qiymat maksimal darajaga ko'tarilgan va chiqindilar mavjud bo'lmagan mukammal holatga solishtirishdir. Qiymat oqimini vizualizatsiya qilish keraksiz ish yoki resurslarni aniq ko'rsatish va yangi standartni yaratishni boshlashning ideal usuli hisoblanadi. Uzluksiz takomillashtirishni boshqarish uchun ushbu usullarning har biri haqida batafsil ma'lumot olish uchun ushbu postdagi havolalarga o'ting. Sevimlilaringizdan birini qoldirdikmi? Agar shunday bo'lsa, izohlarda bizga xabar bering. 43. Zamonaviy jamiyatda axborot xavfsizligi risklari. "Axborot xavfsizligi xavfi" atamasi IT tizimlariga hujumlar keltirishi mumkin bo'lgan zararni anglatadi. AT xavfi keng ko'lamli potentsial hodisalarni, jumladan, ma'lumotlarning buzilishi, tartibga solish choralari, moliyaviy xarajatlar, obro'ga putur etkazish va boshqalarni o'z ichiga oladi. Garchi "xavf" ko'pincha "tahdid" bilan birlashtirilsa ham, ikkalasi bir-biridan juda farq qiladi. "Xavf" - bu ko'proq kontseptual atama: sodir bo'lishi yoki bo'lmasligi mumkin bo'lgan narsa. Tahdid - bu o'ziga xos, haqiqiy xavf. Xavfsizlik xavfi haqida tashvishlanish ko'pincha taraqqiyotni sekinlashtirishi va kompaniyalarni maqsadlariga erishishga xalaqit berishi mumkin. Boshqa tomondan, siz duch keladigan xavflarni va amalga oshirishingiz mumkin bo'lgan eng yaxshi xavfsizlik choralarini tushunish uchun vaqt ajratib, kompaniya kiberxavfsizlik xavfini imkoniyatlar bilan muvozanatlashtiradigan strategiyani yaratishi mumkin - bu sizning maxfiy ma'lumotlaringizni himoya qilgan holda o'sishga imkon beradi. 44. Axborot xavfsizligi risklarini boshqarishdagi yondashuvlar. *Axborot xavfsizligi riskini yuqori darajali baholash. Riskni yuqori darajali baholash, harakatlarni birinchi o'ringa qo'yish va vaqtini belgilash imkoniyatini beradi. Turli sabablarga ko'ra, masalan, byudjet, nazorat va boshqaruvning barcha choralari va vositalarini bir vaqtning o'zida amalga oshirish har doim ham amalga oshmaydi va riskni davolash jarayonining yordami bilan faqat eng muhim xavflarni hisobga olish mumkin. *Amalda tadbiq etish bir yoki ikki yildan so’ng nazarda tutilgan risklarni batafsil tahlil qilish, ko'zda tutilgan risk boshqaruvini erta bo'lishiniga sabab bo'ladi. Bu maqsadga erishish uchun yuqori darajadagi baholashni tahdidlar, zaifliklar, aktivlar va oqibatlarni tizimli tahlil qilishdan ko'ra yuqori darajadagi ta'sirni baholashdan boshlash mumkin. *Riskni yuqori darajali baholashni boshlashdan maqsad, o'zgarishlarni boshqarish (yoki biznesning uzluksizligi) bilan bog'liq boshqa rejalar bilan sinxronlashtirishdir. Masalan, tizim yoki dasturni yaqin kelajakda autsorsing qilish rejalashtirilganda, uni to'liq himoya qilish mantiqan noto'g'ri, biroq tashqi manbalar bilan shartnoma tuzishning maqsadga muvofiqligini ta'minlashda riskni baholashni o'tkazish maqsadga muvofiq bo'ladi. 45. CRAMM (Risk Analysis and Management Method) usuli Ushbu usul va dasturiy kompleks Buyuk Britaniyada (1985da) ishlab chiqilgan va keyinchalik 1995da qabul qilingan ingliz standarti BS 7799 talablarini inobatga olgan holda ishlab chiqilgan.Hozirgi vaqtda CRAMM Internetdagi havolalar soniga ko'ra, xavflarni tahlil qilish va nazorat qilishning eng keng tarqalgan usuli hisoblanadi. Ushbu usulni ishlab chiqish maqsadi rasmiylashtirilgan protsedurani yaratish edi: xavfsizlik bilan bog'liq talablarning to'liq ko'rib chiqilishi va hujjatlashtirilishini ta'minlash; xavfni sub'ektiv baholash bilan mumkin bo'lgan keraksiz xavfsizlik choralari xarajatlaridan qochish; axborot tizimlari hayot siklining barcha bosqichlarida himoya qilishni rejalashtirish va amalga oshirishda yordam berish; ishning qisqa muddatda bajarilishini ta'minlash; xavfsizlik talablarini tahlil qilish jarayonini avtomatlashtirish; qarshi choralarni asoslash; qarshi choralar samaradorligini baholash, qarshi choralarning turli variantlarini solishtirish; Yüklə 0,51 Mb. Dostları ilə paylaş:
|