Xavf 2 turda, ya’ni sifat va son jihatdan baholanadi. Xavfni son jihatdan baholash ushbu xavfni ro’y berish ehtimolligi va xavfni keltirib chiqaradigan ta’sirlari orqali aniqlanadi. Ushbu turdagi xavfni baholash xavfni identifikatsiyalash jarayonini tez-tez kuzatishni talab qiladi.
Xavfni sifat jihatdan baholash – xavfni aniqlash, identifikatsiyalangan xavfni sifat jihatdan tahlil qilish va uni qayta ishlashga bo’lgan talabni namoyon qiladigan jarayondir. Shu usulda xavfni baholash qayta ishlash usullarini saralashni va xavfni muhimlik darajasini aniqlaydi. MUTda axborotlar oqimi kuzatilayotganda qulaylik har bir xavf toifasini muhimlik darajasi bo’yicha oson tartiblashga yordam beradi. Sifat jihatdan xavfni baholash bu standart usul va vositalar yordamida xavfni ro’y berish ehtimolligi shartlari va uni ko’rsatadigan ta’sirlarini baholashdir. Xavfni sifat jihatdan baholaganimizda quyidagi ko’rinishdagi yechimlar olinadi:
• xavf identifikatsiyalanadi;
• axborotlarni aniqliligi va ishonchliligi baholanadi;
• xavf ehtimolligini baholash umumlashtiriladi;
• xavfni shartliligi va muhimlik darajasi bo’yicha guruhlangan ro’yhati tuziladi;
• qo’shimcha tahlil qilish talablari asosida xavflarni ro’yhati tuziladi.
Axborot xavflarini hisoblash.
Xavfni hisoblashda quyidagi 3 ta ko’rsatkich aniqlanadi[1]:
• resurs qiymati (Asset Value, AV). Ushbu ko’rsatkich resursni narxi bilan tavsiflanadi. Sifat jihatdan xavfni baholash resurs narhini 1 dan 3 gacha oraliqda tartiblaydi, 1-resusni minimal narhi, 2- resursni o’rtacha narhi va 3- resursni maksimal narhi. Misol uchun avtomatlashtirilgan bank tizimida server narhi AV=3, axborotli bank tizimiga nisbatan oddiy axborot resursi narhi AV=1 bo’ladi;
• tahdidga nisbatan resursni zaifligi (Exposure Factor, EF). Bu ko’rsatkich tahdid (ro’y berishi bo’yicha) ehtimolliklari orasidagi munosabat bo’yicha resursni zaifligini ko’rsatadi. Masalan, avtomatlashtirilgan bank tizimi resurslariga kirish imkoniyligi yuqori bo’ladi. Shuning uchun DoS hujum (ataka) qilinganda yuqori darajada tahdid ko’rinishi namoyon bo’ladi. Sifat jihatdan xavfni baholash ushbu qiymatni 1 dan 3 gacha oraliqda tartiblaydi, ya’ni 1-minimal zaif joy (kuchsiz ta’sirlar bo’ladi), 2-o’rtacha (resurs qisman qayta tiklanadi) va 3-maksimal (resursni tahdid ro’y bergandan so’ng to’liq almashtirish talab qilinadi);
• tahdidni ro’y berish ehtimolligini baholash (Annual Rate of Occurance, ARO). Ma’lum bir vaqt davomida (1yil ichida bo’lishi mumkin) aniqlangan tahdidlarni ro’y berish ehtimolligi bilan aniqlanadi va bu ham 1 dan 3 gacha (past, o’rta, yuqori) shkala bo’yicha tartiblanadi.
Olingan ma’lumotlar asosida kutilayotgan yo’qotilishlar (xavf darajasi) quyidagicha aniqlanadi:
• alohida tahdidni ro’y berish ehtimolligidan kelib chiqadigan bo’lishi mumkin bo’lgan zarar aniqlanadi (Single Loss Exposure, SLE) va quyidagi formula bo’yicha hisoblanadi:
SLE=AV*EF;
• ma’lum bir vaqt davomida aniq tahdiddan kelib chiqadigan jami yo’qotilishlar (Annual Loss Exposure, ALE) xavf qiymati bilan tavsiflanadi va quyidagi formula bo’yicha hisoblanadi:
ALE=SLE*ARO.
Shunday qilib xavfni hisoblashning aniq formulasi quyidagicha bo’ladi:
ALE=(AV*EF)*ARO=SLE*ARO.
Axborot xavflarini baholash va xavfni boshqrish jarayonini amalga oshirish bo’yicha BS7799 standartini 3-qismi-“Axborot xavfsizligini boshqarish tizimi- axborot xavfsizligi xavflarini boshqarish qoidalari ” ishlab chiqildi. Xavfni baholash uchun dunyoda keng qo’llanilayotgan OCTAVE usuli (AQShdagi Karnegi-Melon universitetida ishlab chiqilgan) va ISO/IEC 17799/27001 standarti tuzuvchilari tomonidan “RA2 the art of risk” dasturiy vositasi ishlab chiqildi.
OCTAVE-kritik tahdidlani, faol va zaif joylarni baholash (Operationally Critical Threat, Asset and Vulnerability Evaluation) usulini ko’rib chiqamiz. Ushbu usulda xavfni baholash 3 ta bosqichda amalga oshiriladi[2].
1-bosqichda tahdid profilini tuzish amalga oshiriladi, faol joylar qiymati baholanadi va ro’yhatga olinadi, tahdid identifikatsiyalanadi va uni amalga oshish ehtimolligi baholanadi, shu bilan birga axborot xavfsizligi rejimini saqlash bo’yicha tashkil qilingan tadbirlar tizimi aniqlanadi.
2-bosqichda oldingi bosqichda tuzilgan profil bo’yicha tahdidlar o’rtasidagi aloqa asosida tashkilotning axborot tizimlarining zaif joylari texnik jihatdan tahlil qilinadi, tashkilotning axborot tizimlari zaif joylari identifikatsiyalanadi va ularning hajmi baholanadi.
3-bosqichda axborot xavfsizligi xavflari qayta ishlanadi va baholanadi, oldingi bosqichda identifikatsiyalangan zaif joylardan foydalanishda tahdidni amalga oshishi natijasida kelib chiqadigan zararlar ehtimolligi va zararlar aniqlanadi, himoyalash strategiyasi aniqlanadi, xavfni qayta ishlash bo’yicha yechimlar qabul qilinadi.
Demak, MUTda xavfni baholash jarayoni aniq tashkil qilingan hisob-kitoblar asosida kechadi. Ya’ni xavfni qiymatini baholash MUTda axborot xavfsizligini ta’minlashga asos bo’ladi.
Adabiyotlar:
1. Оценка информационныйх рисков, Павел Покровский, LAN 10.2004
2. [url=http://www.globaltrust.ru/uslugi/ocenka-riskov-informacionnoi-bezopasnosti/metodologiya-ocenki-riskov]http://www.globaltrust.ru/uslugi/ocenka-riskov-informacionnoi-bezopasnosti/metodologiya-ocenki-riskov[/url]
Muallif: O’razov To’lqin Erkinovich TATU talabasi
Танловга тақдим этиладиган материалларга талаблар [url=http://uz.infocom.uz/more.php?id=231_0_1_20_M]http://uz.infocom.uz/more.php?id=231_0_1_20_M[/url]
