Aktivlarni aniqlash
Kirish ma’lumotlari: Risklarni baholashning qо‘llanish sohasi va chegaralari, egalarni, joylashgan о‘rnini, funksiya va sh.k.larni ichiga oladigan rо‘yxat. Ish: O‘z DSt ISO/IEC 27001, 4.2.1, d), 1) sanab о‘tishga muvofiq, о‘rnatilgan qо‘llanish sohasiga kiradigan aktivlar identifikatsiya qilinishi kerak. Amalga oshirish bо‘yicha qо‘llanma: Tashkilot uchun ahamiyatli, binobarin, muhofaza qilish ehtiyoji bо‘lgan biror narsa aktiv hisoblanadi. Aktivlarni aniqlashda axborot tizimi faqat apparat va dasturiy vositalardan iborat emasligini nazarda tutish kerak. Aktivlarni aniqlash risklarni baholash uchun yetarli axborot ta’minlanadigan tegishli detallashtirish darajasida amalga oshirilishi zarur. Aktivlarni aniqlashda foydalaniladigan detallashtirish darajasi risklarni baholash vaqtida tо‘plangan axborotning umumiy hajmiga ta’sir etadi. Bu daraja risklarni baholashning keyingi iteratsiyalarida yanada detallashtirilishi mumkin. Har bir aktiv uchun javobgarlikni va har bir aktiv hisobini ta’minlash uchun egasi aniqlanishi kerak. Aktiv egasi aktivga bо‘lgan mulkdorlik huquqlariga ega bо‘lmasligi mumkin, lekin u aktivni ishlab chiqarish, ishlab chiqish, unga xizmat kо‘rsatish, foydalanish va xavfsizligi uchun tegishli ravishda javobgardir. Kо‘p hollarda, aktiv egasi aktivning tashkilot uchun haqiqiy ahamiyatini aniqlashga qodir bо‘lgan eng mos shaxs hisoblanadi. Aktivlarning ahamiyatini aniqlash tо‘g‘risidagi axborot 8.3.2-bandda keltirilgan. Axborot xavfsizligi risklarini boshqarish jarayoni vositasida boshqarilishi zarur deb belgilangan tashkilot aktivlarining perimetri qayta kо‘rib chiqish chegarasi hisoblanadi. Axborot xavfsizligi bilan bog‘liq qismda aktivlarni va ularning ahamiyatini aniqlash tо‘g‘risidagi batafsil axborot V ilovada keltirilgan. Chiqish ma’lumotlari: Risklar orqali boshqarilishi zarur bо‘lgan aktivlar rо‘yxati va aktivlar bilan bog‘liq biznes-jarayonlar rо‘yxati va ularning ahamiyati.
Tahdidlarni aniqlash
Kirish ma’lumotlari: Aktivlarning egalaridan, foydalanuvchilardan va boshqa manbalardan insidentni tahlil qilish natijasida olingan tahdidlar tо‘g‘risidagi axborot, jumladan, tashqi tahdidlar reyestrlari. Ish: Tahdidlar va ularning manbalari O‘z DSt ISO/IEC 27001, 4.2.1, d), 2) sanab о‘tishga muvofiq aniqlanishi kerak. Amalga oshirish bо‘yicha qо‘llanma: Tahdid axborot, jarayonlar va tizimlar kabi aktivlarga, binobarin tashkilotlarga zarar yetkazish sababi bо‘lishi mumkin. Tahdidlar tabiiy yoki odamlar xatti-harakatining natijasi bо‘lishi mumkin, ular tasodifiy yoki ataylab qilingan bо‘lishi mumkin. Tahdidlarning ham tasodifiy, ham ataylab qilinadigan manbalari aniqlanishi kerak. Tahdid tashkilotning о‘zidan ham, tashqaridan ham kelib chiqishi mumkin. Tahdidlar umuman va turiga qarab (masalan, mualliflashtirilmagan xatti-harakatlar, fizik zarar, texnik uzilishlar) aniqlanishi kerak, keyin esa, о‘rinli deb topilgan joyda alohida tahdidlar umumiy klass ichida aniqlanadi. Bu, birorta ham tahdid, jumladan, kutilmagan tahdidlar nazardan chetda qolmasligini bildiradi, lekin talab qilinadigan ish hajmi cheklangan. Ba’zi tahdidlar bir nechta aktivga ta’sir etishi mumkin. Bunday hollarda, ular qanday aktivlarga ta’sir kо‘rsatilayotganiga bog‘liq ravishda, turli ta’sirlarning sababchisi bо‘lishi mumkin. Tahdidlar yuzaga kelish ehtimolligini aniqlash va о‘lchash uchun kirish ma’lumotlari (8.2.2.3) aktivlarning egalaridan yoki foydalanuvchilardan, kadrlar bо‘limi xodimlaridan, tashkilot rahbariyatidan va axborot xavfsizligi bо‘yicha mutaxassislardan fizik xavfsizlik bо‘yicha ekspertlardan, yuridik bо‘limdan va boshqa strukturalardan, jumladan, huquqni muhofaza qilish organlaridan, meteorologiya xizmatidan, sug‘urta kompaniyalaridan, milliy hukumat muassasalaridan olinishi mumkin. Tahdidlarni kо‘rib chiqishda muhit va madaniyat aspektlari hisobga olinishi kerak. Insidentlar natijasida olingan ichki tajriba va tahdidlarni avvalgi baholashlar joriy baholashda hisobga olinishi kerak. О‘rinli deb topilganda, umumiy tahdidlar rо‘yxatini tо‘ldirish uchun, tahdidlarning boshqa reyestrlarini (tashkilot yoki biznes uchun spetsifik bо‘lgan) hisobga olish maqsadga muvofiq. Tahdidlar reyestrlari va statistikasini sanoat tashkilotlaridan, milliy hukumatlardan, huquqni muhofaza qilish organlaridan, sug‘urta kompaniyalaridan va h.k. olish mumkin.
Tahdidlar reyestrlaridan yoki tahdidlarni baholashlarning avvalgi natijalaridan foydalanib, ahamiyatli tahdidlar doimo о‘zgarib borayotganini, ayniqsa, amaliy muhit yoki axborot tizimlari о‘zgarganda, yoddan chiqarmaslik zarur. Tahdidlarning turlari tо‘g‘risidagi batafsil axborotni S ilovada topish mumkin.Chiqish ma’lumotlari: Manbai va turi aniqlangan tahdidlar rо‘yxati.
Dostları ilə paylaş: |