Muallif famililiya ism sharif taxdid razvedkasi texnologiyalari
12.4 Axborot xavfsizligiga tahdidlarni baholash tartibi
Axborot xavfsizligiga tahdidlar ma’lum arxitekturaga ega tizimlar va tarmoqlarda va ularning ishlash sharoitida amalga oshirilishi (mavjud bo‘lishi) mumkin bo‘lgan axborot xavfsizligiga tahdidlarni aniqlash uchun baholanadi – axborot xavfsizligiga haqiqiy tahdidlar.
Axborot xavfsizligiga tahdidlarni baholashda hal qilinadigan asosiy vazifalar quyidagilardan iborat:
a) axborot xavfsizligiga tahdidlarni amalga oshirish (tushish) natijasida yuzaga kelishi mumkin bo‘lgan salbiy oqibatlarni aniqlash;
b) tizimlar va tarmoqlarni inventarizatsiya qilish va axborot xavfsizligiga tahdidlarning mumkin bo‘lgan ta'sir obyektlarini aniqlash;
c) axborot xavfsizligiga tahdidlarning manbalarini aniqlash va huquqbuzarlarning axborot xavfsizligiga tahdidlarni amalga oshirish imkoniyatlarini baholash;
d) axborot xavfsizligiga tahdidlarni amalga oshirish (tushish) usullarini baholash;
e) axborot xavfsizligiga tahdidlarni amalga oshirish (mavjud bo‘lish) imkoniyatlarini baholash va axborot xavfsizligiga tahdidlarning dolzarbligini aniqlash;
f) tizimlar va tarmoqlarda axborot xavfsizligiga tahdidlarni amalga oshirish stsenariylarini baholash.
Axborot xavfsizligiga tahdidlarni baholash uchun dastlabki ma’lumotlar:
axborot xavfsizligiga tahdidlarning umumiy ro‘yxati;
ma’lumotlar bazalarida va Internetda nashr etilgan boshqa manbalarda (CAPEC, ATT & CK, OWASP, STIX, WASC va boshqalar) mavjud bo‘lgan kompyuter hujumlarining vektorlari (naqshlari) tavsiflari;
tizimlar va tarmoqlar uchun hujjatlar (xususan: tizimlar va tarmoqlarni yaratish uchun texnik topshiriqlar, himoya tizimini yaratish uchun shaxsiy topshiriqlar, maqsad va funktsiyalar to‘g‘risidagi ma’lumotlarni o‘z ichiga olgan dasturiy ta'minot (dizayn) va operatsion (qo‘llanmalar, ko‘rsatmalar) hujjatlari , tizimlar va tarmoqlarning tarkibi va arxitekturasi, foydalanuvchilar guruhlari va ularning vakolatlari darajasi va kirish turlari, tashqi va ichki interfeyslar to‘g‘risida, shuningdek tizimlar va tarmoqlarga qo‘yiladigan talablarda ko‘zda tutilgan boshqa hujjatlar. axborotni muhofaza qilish yoki milliy standartlar);
ma’lumotlar markazining axborot va telekommunikatsiya infratuzilmasidan yoki xizmat ko‘rsatuvchi provayderning bulutli infratuzilmasidan foydalanish shartlarini o‘z ichiga olgan shartnomalar, bitimlar yoki boshqa hujjatlar (ma’lumotlarning axborot-telekommunikatsiya infratuzilmasi asosida tizimlar va tarmoqlar ishlayotgan taqdirda). markaz yoki bulutli infratuzilma);
tizimlar va tarmoqlarning maqsadi, vazifalari (funktsiyalari) tavsifi, qayta ishlangan axborot tarkibi va uning huquqiy rejimiga muvofiq tizimlar va tarmoqlar yaratiladigan va faoliyat yuritadigan normativ-huquqiy hujjatlar;
texnologik, ishlab chiqarish xaritalari yoki axborot egasining, operatorning (bundan buyon matnda asosiy deb yuritiladi) funktsiyalari (vakolatlari) yoki faoliyatining bir qismi sifatida boshqaruv, tashkiliy, ishlab chiqarish va boshqa asosiy jarayonlar (biznes jarayonlari) tavsifini o‘z ichiga olgan boshqa hujjatlar. tanqidiy) jarayonlar);axborot egasi va (yoki) operator tomonidan amalga oshirilgan xavfni (zararni) baholash natijalari.
Axborot xavfsizligi tahdidlarini baholash uchun quyidagi bilim va ko‘nikmalarga ega bo‘lgan mutaxassislarni jalb qilish tavsiya etiladi:
xavflarni baholash asoslari, shuningdek tizimlar va tarmoqlarning ishlashini buzish va qayta ishlangan axborot xavfsizligini buzishdan kelib chiqadigan asosiy xavflar (keyingi o‘rinlarda - axborot xavflari);
axborot xavfsizligiga tahdidlar va ularni amalga oshirish usullari (mavjudligi);kompyuter hujumlarini amalga oshirishning taktikasi va texnikasi (axborot xavfsizligiga tahdidlarni amalga oshirish);
kompyuter hodisalarining asosiy turlari va ularning sabablari;
tizimlar va tarmoqlarning asosiy zaifliklari;
tizimlar va tarmoqlarni yaratish va ulardan foydalanish, ulardagi axborotni muhofaza qilish (xavfsizlik), axborot egasi va (yoki) operatorining asosiy (muhim) jarayonlari (biznes-jarayonlari) bo‘yicha normativ-huquqiy hujjatlar;
axborot risklarini baholash; axborot xavfsizligiga tahdidlarni tasniflash va baholash;
axborot xavfsizligiga tahdidlarni amalga oshirish stsenariylarini (taktikalari, texnikasi) aniqlash;
kompyuter hodisalarining manbalari va sabablarini aniqlash;
tegishli avtomatlashtirilgan vositalardan foydalangan holda tizimlar va tarmoqlarni inventarizatsiya qilish, zaifliklarni tahlil qilish, tizimlar va tarmoqlarning kirish testlarini o‘tkazish;
tizimlar va tarmoqlarning xavfsizlik darajasini (auditini) va ulardagi ma’lumotlarni baholash.
Ma’lumotlar markazi infratuzilmasi
Ma’lumotlar markazining axborot-telekommunikatsiya infratuzilmasi yoki bulutli infratuzilmasi asosida ishlaydigan tizimlar va tarmoqlar uchun axborot xavfsizligiga tahdidlarni baholashda axborot xavfsizligiga tahdidlar tizimlar va tarmoqlarning o‘zlari uchun ham, axborot va telekommunikatsiyalar uchun ham aniqlanadi. ular faoliyat ko‘rsatadigan infratuzilma.