18-amaliy ish mavzu: Ob’ektning axborot xavfsizligi darajasini baholash. Risklarni tahlil qilish metodologiyasi

Kirish ma’lumotlari: Muayyan tegishli insidentlar ssenariylarining ro‘yxati, jumladan tahdidlarni aniqlash, daxl qilinadigan aktivlar, biznes-jarayonlar va aktivlar uchun oqibatlar va foydalaniladigan zaifliklar. Bundan tashqari,barcha mavjud va rejalashtiriladigan boshqarish vositalari, ularning samaradorligi, foydalanish va amalga oshirilish holati ro‘yxati.

Ish: Insidentlar ssenariylarining ishlash ehtimolligi baholanishi kerak (O‘zDStISO/IEC 27001, 4.2.1, ye), 2) sanab o‘tish).

Amalga oshirish bo‘yicha qo‘llanma: Insidentlar ssenariylari aniqlangandan so‘ng, baholashning sifat yoki miqdor usullaridan foydalanib, yuzaga keladigan ta’sir va har bir ssenariyning ehtimolligi baholanishi zarur. Bu yerda quyidagilarni ko‘rib chiqqan holda, zaifliklardan qanchalik oson foydalanilayotganligini va tahdidlar qanchalik tez-tez yuzaga kelayotganligini hisobga olish zarur:

-tajriba va tahdidlar ehtimolligining qo‘llaniladigan statistikasini;

-motivatsiya va vaqt o‘tishi bilan o‘zgaradigan imkoniyatlar, potensial buzg‘unchilar foydalana oladigan resurslar, shuningdek, potensial buzg‘unchining aktivlarning zaifliklarini va jozibadorigini his qilishi – qasddan bo‘ladigan tahdidlar manbalari uchun;

-geografik omillar, masalan, kimyo yoki neftni qayta ishlash zavodiga yaqinlik, ekstremalob-havo sharoitlarining mumkinligi va xodimlarning xatolariga ta’sir ko‘rsatishi mumkin bo‘lgan omillar hamda uskunaning to‘xtab qolishi – tasodifiy tahdidlar manbalari uchun;

- alohida zaifliklar va ularning jami;

- mavjud boshqarish vositalari, alohida zaifliklar va ularning jami.

Masalan, axborot tizimida foydalanuvchi shaxsi maskaradingi tahdidlariga va resurslarni iste’mol qilinishiga zaiflik bo‘lishi mumkin. Foydalanuvchi shaxsi maskaradingi bilan bog‘liq zaiflik, foydalanuvchilar autentifikatsiya qilinmaganligi tufayli yuqori bo‘lishi mumkin. Boshqa tomondan, resurslarni sui iste’mol qilish ehtimolligi foydalanuvchilar autentifikatsiya qilinmaganligiga qaramay, past bo‘lishi mumkin,chunki resurslarni sui iste’mol qilish usullari cheklangan. Aniqlik talab qilinishi–qilinmasligiga bog‘liq holda, aktivlar guruhlanishi yoki aktivlarni elementlarga ajratish va ssenariylarni elementlar bilan bog‘lash zarurati yuzaga kelishi mumkin. Masalan, geografik joylashishlar uchun ayni bir turdagi aktivlarga bo‘ladigan tahdidlar xarakteri o‘zgarishi yoki mavjud boshqarishvositalarining samaradorligi farqlanishi mumkin.

Chiqish ma’lumotlari: Insidentlar ssenariylarining ehtimolligi (sifat va miqdor jihatdan).
4. Risklarni aniqlash darajasi

Kirish ma’lumotlari: Aktivlar bilan bog‘liq oqibatlarga ega insidentlar ssenariylarining va biznes-jarayonlar ro‘yxati hamda ularning ehtimolliklari (sifat yoki miqdor jihatdan).

Ish: Barcha ahamiyatli insidentlar ssenariylari uchun risklar darajasi aniqlanishi kerak (O‘z DSt ISO/IEC 27001, 4.2.1, ye), 4) sanab o‘tish).

Riskni tahlil qilishda risk oqibatlariga va ehtimolligiga qiymatlar beriladi. Bu qiymatlar sifat yoki miqdor jihatdan bo‘lishi mumkin. Riskni tahlil qilish baholangan oqibatlar va ehtimollikka asoslanadi. Qo‘shimcha tarzda, u qiymat afzalliklarini, aloqador tomonlarning manfaatdorligini va riskni baholashda zarur bo‘ladigan boshqa o‘zgaruvchilarni hisobga olishi mumkin. O’lchangan insident ssenariysi ehtimolligi va uning oqibatlari birikmasi hisoblanadi. E ilovada axborot xavfsizligi risklarini tahlil qilishga bo‘lgan turli usullar va yondashuvlarga misollar keltiriladi.

Chiqish ma’lumotlari: Berilgan qiymatlar darajalariga ega risklar ro‘yxati.