13-amaliy ish. Axborot xavfsizligi risklarini qayta ishlash Risklarni qayta ishlashning umumiy tavsifi
Yüklə 24,81 Kb.
|
1 2
13. Axborot xavfsizligi riskni qayta ishlash (2)|
13-AMALIY ISH. Axborot xavfsizligi risklarini qayta ishlash Risklarni qayta ishlashning umumiy tavsifi. Kirish ma’lumotlari: Tegishli insidentlarning ssenariylariga muvofiq, risklarning, berilgan ustuvorliklar va risklarni baholash mezonlari bо‘lgan rо‘yxati. Ish: Risklarni qayta ishlash rejasi aniqlanishi va risklarni kamaytirish, saqlash, oldini olish yoki taqsimlash uchun boshqarish vositalari tanlanishi kerak. Amalga oshirish bо‘yicha qо‘llanma: Risklarni qayta ishlash uchun tо‘rtta variant bor: rikslarni modifikatsiyalash (9.2), risklarni saqlash (9.3), risklarning oldini olish (9.4) va risklarni taqsimlash (9.5). O‘z DSt ISO/IEC 27005:2013 I zoh – O‘z DSt ISO/IEC 27001 (4.2.1, f), 2) sanab о‘tish)da «riskni saqlash» atamasi о‘rniga «riskni qabul qilish» atamasidan foydalaniladi. 3-rasmda axborot xavfsizligi risklarini boshqarish jarayoni doirasida risklarni qayta ishlash bо‘yicha tabdirlar kо‘rsatilgan. 3-rasm. Riskni qayta ishlash bо‘yicha tabdirlar Riskni qayta ishlash variantlari riskni baholash natijalari, bu variantlarni amalga oshirishning kutiladigan qiymati, bu variantlardan kutiladigan foyda asosida tanlanishi kerak. Xarajatlar nisbatan kam bо‘lganda, risklarni sezilarli kamaytirishga erishilganda, bunday variantlar amalga oshirilishi kerak. Yaxshilashlarning keyingi variantlari tejamli bо‘lmasligi mumkin, ularni amalga oshirish bо‘yicha qaror, ular о‘zini oqlashi yuzasidan о‘rganib chiqilishi kerak. Umuman, risklarning noqulay oqibatlarini qandaydir absolyut mezonlarga bog‘liq bо‘lmagan holda, zarur darajagacha kamaytirish zarur. Rahbariyat kam uchraydigan, lekin jiddiy risklarni kо‘rib chiqishi kerak. Bunday hollarda, jiddiy iqtisodiy sabablarga kо‘ra asossiz bо‘lgan boshqarish vositalarini amalga oshirish zarurligi yuzaga kelishi mumkin, (masalan, spetsifik yuqori risklarni qamrab olish uchun kо‘rib chiqiladigan, biznes uzluksizligini boshqarish vositalari). Risklarni qayta ishlashning tо‘rt varianti о‘zaro istisno qiladigan hisoblanmaydi. Ba’zida tashkilot risklar ehtimolligini pasaytirish, ularning oqibatlarini kamaytirish va har qanday qoldiq risklarni taqsimlash yoki saqlash kabi variantlarni birlashtirishdan sezilarli foyda olishi mumkin. Risklarni qayta ishlashning ba’zi turlari bitta riskka nisbatan (masalan, axborot xavfsizligi qismida о‘qitish va xabardorlik) samarali bо‘lishi mumkin. Risklarni qayta ishlash rejasida, alohida risklarni qayta ishlash amalga oshiriladigan vaqt doirasi va ustuvorliklar tartibi aniq belgilangan bо‘lishi kerak. Ustuvorliklar tartibi turli usullardan, jumladan, risklarni ranjlash va «xarajat-foyda» ni tahlil qilishdan foydalanib о‘rnatilishi mumkin. Rahbariyat vazifasiga byudjet tо‘lovlari va boshqarish vositalarini amalga oshirishga ketadigan xarajatlar о‘rtasidagi balans tо‘g‘risida qaror qabul qilish kiradi. Mavjud boshqarish vositalarini aniqlash, xarajatlar, jumladan, ularni qо‘llanish nuqtai nazaridan joriy ehtiyojdan oshadigan mavjud boshqarish vositalarini shartlashi mumkin. Agar ortiqcha yoki keraksiz boshqarish vositalari qarab chiqiladigan bо‘lsa (ayniqsa, bu boshqarish vositalarini qо‘llab-quvvatlash) xarajatlari katta bо‘lsa), qiymat va axborot xavfsizligi omillari e’tiborga olinishi kerak. Boshqarish vositalari bir-biriga ta’sir kо‘rsatishi sababli, ortiqcha boshqarish vositalarining chiqarib tashlanishi pirovardida, xavfsizlikni ta’minlashning qolgan barcha vositalaridan foydalanish samaradorligini pasaytirishi mumkin. Bundan tashqari, chiqarib tashlagandan kо‘ra, bu ortiqcha yoki keraksiz boshqarish vositalarini qoldirgan arzonroq tushadi. Riskni qayta ishlash variantlarida: - riskni daxl qilinadigan tomonlar qanday idrok qilishlari; - bu tomonlar bilan eng mos keladigan kommunikatsiya yо‘llari hisobga olinishi kerak. Kontekstni о‘rnatish (7.2), tashkilot rioya qilishi kerak bо‘lgan huquqiy va tartibga soladigan talablar tо‘g‘risida axborot beradi. Tashkilotlar uchun kо‘rsatilgan talablarga rioya qilinmasligi risk hisoblanadi, shu munosabat bilan, bu imkoniyatni cheklash uchun qayta ishlash variantlari amalga oshirilishi kerak. Barcha cheklashlar – tashkiliy, texnik, strukturaviy va kontekstni о‘rnatish bilan bog‘liq bо‘lgan tadbirlar jarayonida aniqlanadigan boshqa cheklashlar, risklarni qayta ishlash paytida e’tiborga olinishi kerak. Risklarni qayta ishlash rejasi aniqlangandan sо‘ng, qoldiq risklarni aniqlash zarur. Bu taxmin qilinadigan risklarni qayta ishlashdan kutiladigan samarani e’tiborga olgan holda, risklarni baholashning takroriy operatsiyasini yoki yangilanishini ichiga oladi. Agar qoldiq risklar tashkilotning risklarini qabul qilish mezonlarini shunda ham qanoatlantirmasa, risklarni qabul qilishga о‘tishdan oldin, risklarni qayta ishlashning keyingi iteratsiyasi zarurati yuzaga kelishi mumkin. Chiqish ma’lumotlari: Risklarni qayta ishlash rejasi va tashkilot rahbariyati tomonidan qaror qabul qilish uchun muhokama qilinishi zarur bо‘lgan qoldiq risklar. 9.2 Risklarni modifikatsiyalash Ish: Risk darajasini boshqarish, qoldiq risk takroran yо‘l qо‘yiladigan risk sifatida baholanishi mumkin bо‘ladigan tarzda, boshqarish vositalarini о‘zgartirish yoki joriy qilish, chiqarib tashlash vositasida amalga oshirilishi kerak. Amalga oshirish bо‘yicha qо‘llanma: Risklarni qayta ishlash jarayoni va risklarni baholash yordamida aniqlangan talablarni qanoanlantirish uchun, tegishli va asoslangan boshqarish vositalari tanlanishi kerak. Bunday tanlash risklarni qabul qilish mezonlarini, shuningdek, huquqiy, tartibga soladigan va shartnomada kо‘zda tutilgan talablarni hisobga olishi kerak. Bu tanlash, shuningdek, boshqarish vositalarini amalga oshirish vaqti hamda qiymatini, texnik, madaniy aspektlarini va muhit bilan bog‘liq aspektlarini ham hisobga olishi kerak. Kо‘pincha, axborot xavfsizligini boshqarishning tegishli tarzda tanlangan vositalari yordamida tizimga egalik qilishga bо‘lgan umumiy xarajatlarni kamaytirish mumkin. Umuman, boshqarish vositalari muhofaza qilishning quyidagi turlaridan birini yoki bir nechtasini ta’minlashi mumkin: tо‘g‘rilash, bartaraf qilish, oldini olish, ta’sirni kamaytirish, tо‘xtatish, aniqlash, tiklash, monitoring va xabardorlik. Boshqarish vositalarini tanlash vaqtida muhofaza qilinadigan aktivlarning qiymatiga nisbatan, boshqarish vositalarini sotib olish qiymatini, amalga oshirilishini, ma’muriy boshqarilishini, ishlashini, monitoringi va qо‘llanilishini taqqoslash muhim. Bundan tashqari, risklarni pasaytirish nuqtai-nazaridan, investitsiyalarning rentabelligini va muayyan boshqarish vositalari taqdim etadigan yangi amaliy imkoniyatlardan foydalanish potensialini hisobga olish zarur. Qо‘shimcha ravishda, yangi boshqarish vositalarini aniqlash va amalga oshirish yoki mavjudlarini modifikatsiyalash uchun talab etilishi mumkin bо‘lgan ixtisoslashtirilgan kо‘nikmalarga e’tibor qaratish zarur. O‘z DSt ISO/IEC 27002 da boshqarish vositalarini tanlash bо‘yicha batafsil axborot beriladi. Boshqarish vositalarini tanlashga ta’sir etadigan kо‘plab cheklashlar mavjud. Unumdorlikka bо‘lgan talablar, boshqarib bо‘lishlik (eksplutatsion qо‘llab-quvvatlash talablari) va moslashuvchanlik masalalari kabi texnik cheklashlar muayyan boshqarish vositalaridan foydalanishga tо‘sqinlik qilishi yoki boshqarish vositasini bekor qilgan, soxta xavfsizlik hissini uyg‘otgan yoki hatto, hech qanday boshqarish vositasiga ega bо‘lmaslik xavfini oshirgan holda, inson omilini rag‘batlantirishi mumkin (masalan, tegishli tarzda о‘qitmasdan murakkab parollardan foydalanish bо‘yicha talab, bu foydalanuvchilar tomonidan parollar yozib olinishiga olib kelishi mumkin). Bundan tashqari, boshqarish vositasi unumdorlikka ta’sir kо‘rsatadigan vaziyatda ham yuzaga kelishi mumkin. Rahbariyat unumdorlik talablarini qanoatlantiradigan va bir vaqtda yetarli axborot xavfsizligini kafolatlaydigan qarorni topish ustida ishlashi kerak. Qiymatga, foydasi va amalga oshirish ustuvorligiga ega bо‘lgan, ehtimoliy boshqarish vositalarining rо‘yxati bunday qadamning natijasi hisoblanadi. Boshqarish vositalarini tanlashda va ularni amalga oshirish jarayonida turli cheklashlar hisobga olinishi kerak. Quyidagilar tipik cheklashlar hisoblanadi: - vaqt bilan bog‘liq cheklashlar; - moliyaviy cheklashlar; - texnik cheklashlar; - ekspluatatsion cheklashlar; - madaniy cheklashlar; - etik cheklashlar; - atrof-muhit bilan bog‘liq cheklashlar; - huquqiy cheklashlar; - foydalanishning soddaligi; - kadrlar bilan bog‘liq cheklashlar; - yangi va mavjud boshqarish vositalari integratsiyasiga taalluqli cheklashlar. 9.3 Risklarni saqlash Ish: Keyingi ishlarni amalga oshirmay turib, riskni saqlash tо‘g‘risidagi qaror, riskni baholashga bog‘liq holda qabul qilinishi kerak. Izoh – O‘z DSt ISO/IEC 27001 (4.2.1, f), 2) sanab о‘tish)da ayni о‘sha ishlar tavsiflanadi: «Risklarni qabul qilishga taalluqli bо‘lgan siyosatiga va mezonlariga shubhasiz javob beradigan shart asosida, risklarni ongli ravishda va obyektiv qabul qilish». Amalga oshirish bо‘yicha qо‘llanma: Agar risk darajasi riskni qabul qilish mezonlariga mos kelsa, u holda, qо‘shimcha boshqarish vositalarini amalga oshirish zarurati yо‘q va riskni saqlash mumkin. Yüklə 24,81 Kb. Dostları ilə paylaş:
|
1 2