Afzalliklari va kamchiliklari
ETA quyidagi afzalliklarga ega;
tahlil qilish uchun vizual va sxematik tarzda, salbiy natijalarni kamaytirishga qaratilgan boshlanish hodisasi va tizimlar yoki funktsiyalarning bardoshliligi yoki ishlamay qolishi mumkin bo'lgan senariylarni ko'rsatishga imkon beradi;
vaqt faktorini, hodisalar va "domino effektlarini" o'zaro bog'liqligini hisobga olishga imkon beradi;
nosozlik daraxti yordamida ko'rsatib bo'lmaydigan hodisalar ketma -ketligini grafik tasvirlash imkonini beradi.
Usul quyidagi kamchiliklarga ega:
ETAni keng qamrovli baholashning tarkibiy qismi sifatida ishlatish uchun, boshqa tahlil usuli bilan qilish mumkin bo'lgan barcha hodisalarni aniqlash kerak(masalan, HAZOP, PHA) , ammo har doim ham muhim boshlang'ich hodisalar aniqlamaydi:
bu usul faqat tizimning bardoshliligi va nosozlik holatlarini hisobga oladi, kechiktirilgan yaxshilanish holatlarni yoki hodisalarni tiklanishini ko'rib chiqish qiyin;
Amalga oshirishning har bir yo'li oldingi yo'nalishlarda sodir bo'lgan voqealar kombinatsiyasidan kelib chiqadi, shuning uchun barcha munosabatlar mumkin bo'lgan yo'llar bo'ylab ko'rib chiqiladi, ammo ba'zi munosabatlar, masalan, umumiy komponentlar, ta'minot tizimlari va xodimlar e'tiborga olinmaydi, bu xavfni yetarlicha baholamaslikka olib kelishi. Axborot xavfsizligi risklarini identifikatsiyalash, bir tizim, tadbir, yoki korxona xavfsizlikni ta'minlash va uning xavfli elementlarini aniqlashni va tahlil qilishni o'z ichiga oladi.
Xavfsizlik risklarini identifikatsiyalash, ularning turini va ularga qanday dushanba oshirilishini aniqlash uchun quyidagi bosqichlarni amalga oshirishni o'z ichiga oladi:
1. Tizimning tuzilishi va tuzilishining tahlili: Tizimning o'zini tahlil qilish bilan boshlanadi. Bu tizimning qanday tashkil etilganligi, uning qanday qismi yoki uzayishi, tuzilishining asosiy bo'limlari, ularning o'zaro aloqalari haqida ma'lumot beradi.
2. Aktivlar va ma'lumotlar: Tizimda ishlatilayotgan aktivlar va ma'lumotlar turi va miqdori haqida ma'lumot olish. Bu tahlil sizga qanday turdagi ma'lumotlar uchun qanday xavflar mavjudligini aniqlashga yordam beradi.
3. Identifikatsiyalash tashkiloti: Tashkilotning identifikatsiyalash qilganliklari va turli xavfli yo'nalishlari yoki mahsulotlarini aniqlash.
4. Ehtimolliklar: Xavfni qanday va qanday darajada yuzaga kelishi mumkinligini tahlil qilish. Bu, bir xavfning sodir bo'lishining necha yuz foiz ehtimoli borligini aniqlashni o'z ichiga oladi.
5. Tashkilotning faoliyat turlari: Tashkilotning turlari, sohasi, xizmatlarining xavfli elementlari va bu elementlarning xavfi tuzilmasini aniqlash.
6. Yo'nalishlar va hujjatlar: Tizimning yaxshi boshqarilishini ta'minlash uchun kerakli qonun-hujjatlar, standartlar, va yo'nalishlar tahlili. Bu qonun-hujjatlarning tizimda qanday boshqarilishi kerakligi haqida ma'lumot beradi.
7. Hujjatlarni yoki tashkilotning siyosatlarini o'rganish: Tashkilotning xavfsizlik siyosatlarini va qoidalarini o'rganib chiqish.
8. Mustahkamlash va boshqarishning xavfi: Tizimning yaxshi boshqarilishini ta'minlash va uning xavfli elementlarini mustahkamlash uchun qanday harakatlarni olib borish haqida g'amxo'rlash.
9. Tizimning faoliyatlarining tartibi: Tizimning qanday ishlayotganligi va bu faoliyatlarining tartibi haqida ma'lumot olish.
10. Xavfsizlikning shakli: Xavfsizlikni tuzish, himoya qilish yoki boshqarish uchun qanday vositalar va texnologiyalardan foydalanilishini o'rganish.
Xavfsizlik risklarini identifikatsiyalash jarayonida, har bir xavfni aniqlash va unga qarshi qanday qadam olib borish kerakligi haqida ma'lumot beriladi. Bu identifikatsiyalash jarayoni xavfni boshqarishning mustahkamlash va tartibga solishning boshlang'ich bosqichlaridan birini tashkil etadi.
Axborot aktivlarini hayotiy davrini boshqarish, axborotni himoya qilish va uning faoliyatlarini muhofaza qilishning muhim jihatlari bilan bog'liqdir. Bu jarayon tizimning xavfsizligini ta'minlash, ma'lumotlar haqida himoya qilish, yoritish va xavfsizlikni boshqarishni o'z ichiga oladi. Quyidagi bosqichlarni amalga oshirish tizimning axborot aktivlarini hayotiy davrini boshqarishda yordam beradi:
1. O'zlashtirish va tartiblash: Axborot tizimlarini o'zlashtirish va ayrimlashtirish, yani tizimda nimalar saqlanadi va kimlar uchun unga kirish huquqi berilganligini aniqlash. Bu, axborot resurslarini tahlil qilish va ularni tartiblashni o'z ichiga oladi.
2. Ma'lumotlarni himoya qilish: Ma'lumotlarni himoya qilish, ularga xavfsizlik sozlash va ularni yuritishning bir qator ta'minotlarini o'z ichiga oladi. Bu shu jumladan, shifrlash, autentifikatsiya, avtorizatsiya, va ma'lumotlar tarqatishini himoya qilishni o'z ichiga oladi.
3. Monitoring va tartiblash: Axborot aktivlarini nazorat qilish va tizimda yuzaga keladigan xavfni aniqlash uchun monitoring tizimi o'rnatish. Aniq, yoritilgan ma'lumotlarni va tashkilotning tarmoqni nazorat qilish ommaviy tashqarilarni aniqlashni o'z ichiga oladi.
4. Risk tahlili: Ma'lumotlar bazasi yoki tarmoqda xavfli elementlarni aniqlash uchun risk tahlili olib borish. Bu tahlil, xavfli elementlarni, ularning ehtimol bo'lishi, ta'sir ko'rsatish ehtimoli va ta'sirining asta-sekinligi haqida ma'lumot beradi.
5. Dastlabki vositalarni o'rnatish: Xavfsizlik vositalarini tizimga o'rnatish, masalan, antivirus dasturlar, xavfsizlik sozlovchilari, tuzilgan ma'lumotlar bazalari, tizimning asosiy tasniflandirilgan yo'nalishlari uchun himoya vositalari, xavfsizlikni o'zlashtirishni o'z ichiga oladi.
6. Xavfsizlikni o'rgatish va tizim foydalanuvchilarini ta'lim berish: Xavfsizlikning muhim bo'lgan qoidalari va amalni tizim foydalanuvchilari va tashkilot a'zolari o'rtasida tarqatish, va ularga axborot xavfsizligi mavzularida ta'lim berish kerakligini yaxshi bilib olish.
7. Tartib va qaror qabul etish: Xavfsizlikni boshqarish uchun kerakli tartib va qarorlarni o'zlashtirish. Bu tizimda xavfsizlikni boshqarish bilan bog'liq ma'lumotlar va tadqiqotlar asosida qaror qabul qilishni o'z ichiga oladi.
8. Ta'limli reagirovka: Xavfsizlikki qo'llab-quvvatlash va tizimni hayotiy davrini ta'minlash uchun xavfli hodisalarga ta'limli va tez vaqt reagirovka tizimini o'rnatish.
Axborot aktivlarini hayotiy davrini boshqarish, tizimni xavfsizlik muammolaridan himoya qilish va uning faoliyatlarini muhofaza qilish uchun kerakli harakatlar to'plamini o'z ichiga oladi. Bu jarayon, tashkilotni axborot xavfsizligini ta'minlash uchun tayyorlash, xavfli elementlarni aniqlash va ularni boshqarish uchun samarali bo'ladi.
Axborot xavfsizligi risklarini tahlil etish, tashkilot yoki tizimning xavfsizligi bilan bog'liq muammolarni aniqlash va ularni boshqarish uchun tahlilni o'z ichiga oladi. Xavfsizlik risklarini tahlil etish uchun quyidagi bosqichlarni amalga oshirish mumkin:
1. Xavfsizlik risklarini identifikatsiyalash: Axborot xavfsizligi risklarini aniqlash, tashkilotning tizimlarini, ma'lumotlarini, va xavfsizlikni ta'minlashning muhim yo'nalishlarini aniqlashdan iborat. Bu o'z ichiga tashkilotning aktivlarini, xavfli elementlarini va xavfsizlikni og'irishlarni aniqlashni o'z ichiga oladi.
2. Riskning ta'riflash: Har bir aniqlikni ta'riflash va ularni tahlil qilish uchun bir risk ta'rifnoman yaratish. Bu ta'rifnomanlarda, riskning turi, ehtimoli, ta'siri, va xavfni kamaytirish uchun tavsiyalar jamlanadi.
3. Risklar tahlili: Xavfsizlik risklarini tahlil etish jarayonida, har bir riskni o'zlashtirish uchun quyidagi ma'lumotlarni tahlil qilish kerak:
- Xavfning ehtimoli: Xavf sodir bo'lishining necha yuz foiz ehtimoli borligini aniqlash.
- Xavfning ta'siri: Xavf sodir bo'lishining qanday ta'sir ko'rsatishi mumkinligini aniqlash.
- Xavfning qadri: Xavf sodir bo'lishi bilan qanday miqdorda zarar kelishi mumkinligini aniqlash.
- Xavfning ehtimol ta'sirining asta-sekinligi: Xavf sodir bo'lishining qanday tezlikda yuzaga kelishi mumkinligini aniqlash.
4. Riskning tahlili: Har bir riskni tahlil qilish uchun quyidagi savollar uchun javoblar qidirish kerak:
- Xavfning asosiy sabablari va boshqarilishi: Xavf sodir bo'lishining asosiy sabablari nimalar?
- Xavfni kamaytirish uchun qanday qadam olib borish mumkin?
- Xavfni qanday monitor qilish mumkin?
- Xavf sodir bo'lishida qaysi tizimlar, ma'lumotlar yoki xavfli elementlar ahamiyatli o'rin oladi?
5. Riskning boshqarilishi: Har bir riskni boshqarishning optimal usullarini aniqlash. Bu boshqarish turlari o'z ichiga olish, qo'llab-quvvatlash, xavfni qo'lga chiqarish, va boshqarish strategiyalarini o'z ichiga oladi.
6. Xavfsizlikni tartibga solish strategiyasi: Xavfsizlikni tartibga solishni tayyorlash va xavfsizlikni boshqarishning strategiyasini o'zlashtirish.
7. Monitoring va yangilash: Xavfsizlik risklarini nazorat qilish, xavf sodir bo'lganda reagirovka qilish va strategiyani yangilashning qanday olib borilishi haqida qaror qabul qilish.
8. Xavfsizlikning mustahkamlash: Xavfsizlikni tartibga solish va xavfsizlikning o'zlashtirishini o'z ichiga oladigan dastlabki qadamni olib borish, tizimni hayotiy davrini boshqarishni ta'minlash uchun muhimdir.
Axborot xavfsizligi risklarini tahlil etish, tashkilotning xavfsizlikni boshqarishning o'zlashtirish va tartibga solishning qanday olib borilishi lozimligini aniqlashga yordam beradi. Bu jarayon, xavfni kamaytirish va xavfsizlikni ta'minlash uchun strategiyani tayyorlashda muhim bo'ladi.
Share with your friends: |