Tahdidlarni aniqlash darajasi. Kirish ma’lumotlari: Aktivlar bilan bog‘liq oqibatlarga ega insidentlar ssenariylarining va biznes-jarayonlar ro‘yxati hamda ularning ehtimolliklari (sifat yoki miqdor jihatdan).
Ish: Barcha ahamiyatli insidentlar ssenariylari uchun tahdidlar darajasi aniqlanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, e), Tahdidni tahlil qilishda tahdid oqibatlariga va ehtimolligiga qiymatlar beriladi. Bu qiymatlar sifat yoki miqdor jihatdan bo‘lishi mumkin. Tahdidni tahlil qilish baholangan oqibatlar va ehtimollikka asoslanadi.
Chiqish ma’lumotlari:Berilgan qiymatlar darajalariga ega tahdidlar ro‘yxati.
Tahdidlarni baholash. Kirish ma’lumotlari: Berilgan qiymatlar darajalariga ega tahdidlar ro‘yxati va tahdidlarni baholash mezonlari.
Ish: Tahdidlar darajalari tahdidlarni baholash mezonlari va tahdidlarni qabul qilish mezonlari bilan taqqoslanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, e), Tahdidlarni baholashga taalluqli bo‘lgan qarorlarning xarakteri va bu qarorlarni qabul qilish uchun foydalaniladigan tahdidlarni baholash mezonlari kontekstni o‘rnatish paytida aniqlangan bo‘lishi kerak. Bu qarorlar va kontekst ushbu bosqichda aniqlangan muayyan tahdidlar to‘g‘risida qo‘shimcha axborot bo‘lgan sharoitda yanada batafsilroq qayta ko‘rib chiqilishi kerak.
Tahdidlarni baholash uchun tashkilotlar o‘lchangan tahdidlarni, kontekstni o‘rnatish bosqichida tanlangan tahdidlarni baholash mezonlari bilan taqqoslashlari kerak. Qarorlar qabul qilish uchun foydalaniladigan tahdidlarni baholash mezonlari, axborot xavfsizligi tahdidlarini boshqarishning ma’lum bir ichki va tashqi konteksti bilan moslashtirilishi va tashkilotning maqsadini, manfaatdor tomonlarning fikrini hisobga olishi kerak. Tahdidlarni baholash bilan bog‘liq qarorlar, odatda, tahdidlarning maqbul darajasiga asoslanadi. Biroq, tahdidlarni tahlil qilishda va aniqlashda oqibatlar, ehtimollik, ishonchlilik darajasi ham hisobga olinishi kerak. Past va o‘rta darajadagi tahdidlar ko‘pligining jami yakunda birmuncha yuqori darajadagi tahdidni berishi mumkin.
Bunda quyidagilarni hisobga olish zarur:
- axborot xavfsizligi xususiyatini: agar tashkilot uchun bitta mezon (masalan, konfidensiallikning yo‘qotilishi) dolzarb bo‘lmasa, bu mezonga ta’sir ko‘rsatadigan barcha tahdidlar ham dolzarb bo‘lmasligi mumkin;
- muayyan aktiv yoki aktivlar jami qo‘llab-quvvatlaydigan faoliyatning yoki biznes-jarayonlarning ahamiyatliligi: agar jarayon kam ahamiyatli deb belgilansa, u bilan bog‘liq tahdidlar birmuncha muhimroq jarayonlarga yoki ishlarga ta’sir etadigan tahdidlarga qaraganda kamroq darajada ko‘rib chiqilishi kerak.
Tahdidlarni baholash, keyingi harakatlar (ishlar) to‘g‘risida qarorlar qabul qilish uchun, tahdidlarni tahlil qilish bosqichida olingan tahdidlarning mohiyatini tushunishga asoslanadi. Qarorlar o‘z ichiga quyidagini olishi kerak:
- qandaydir ishlar amalga oshirilishi kerakmi-yo‘qmi;
- tahdidlarni qayta ishlashdagi, tahdidlarni o‘lchangan darajalari hisobga olinadigan ustuvorliklar.
Tahdidni baholash bosqichida shartnomaviy, huquqiy va tartibga soluvchi talablar baholangan tahdidlar bilan jamlikda omillar sifatida hisobga olinishi kerak.
Nazorat savollari
Axborot xavfsizligi xujumlarini aniqlash nima ?
Xujumlarni indentifikatsiya qilish qanday bo’ladi ?
Mavjud boshqarish vositalari haqida fikringiz ?
Zaifliklarni aniqlash qanday ?
Tahdidlarni tahlil qilish va baholash deganda nimani tushunasiz ?