Ақпараттық қауіпсіздік тәуекелдерін бағалау
Мазмұны:
Кіріспе
Ақпараттық қауіпсіздік тәуекелдерін бағалау
2.1. Ақпараттық жүйеге төнетін қауіптің негізгі түрлері
2.2. Тәуекелдерді бағалаудың әртүрлі әдістемелері
2.3. АҚ тәуекелдерін бағалау әдістерін салыстыру
3. Тәуекелдерді бағалайтын бағдарламалық жасақтама жасау
3.1 Бағдарламалық жасақтаманың негізгі ұғымдары
3.2. Бағдарламалық жасақтама классификациясын таңдау
3.3. Visual Studio редакторының көмегімен C # тілінде бағдарлама құру
4. Қорытынды
5. Пайданылған әдебиеттер
Кіріспе
Дипломдық жұмыстың жалпы сипаттамасы:
Бұл дипломдық жұмыс ақпараттық қауіпсіздік тәуекелдерін бағалау бағдарламасын түсіндіруге және әзірлеуге бағытталған. Ақпараттық жүйелердің өсуімен байланысты шабуылдаушы кез-келген ақпаратты алуды, жүйеге шабуыл жасаудың әртүрлі тәсілдерін қолдана отырып, өзінің жеке мақсаттарын жүзеге асыруды жеңілдетті. Осыған байланысты ақпаратты қорғау кез-келген салада бірінші орында тұр. Біздің зерттеуіміз осы қауіптерге әртүрлі бағалау жүргізу арқылы оның қауіптілік деңгейін белгілеу мүмкіндігі болады.
Біздің зерттеудің маңыздылығы
Кез-келген бизнесте немесе тіпті басқа салаларда қазіргі уақытта деректерді өңдеу жүйесі бар. Көптеген жағдайларда барлық деректер серверлерде немесе басқа сақтау орындарында сақталады. Қазіргі уақытта ақпарат құнды ресурстардың біріне айналды. Осы ресурстар үшін қорғауды қамтамасыз ету ең маңызды міндет болды. Әр түрлі қорғаныс шараларына қарамастан, зиянкестер жүйеге енгізу үшін әртүрлі бұзу әдістерін ойлап табады. Және бұл үшін ешкім қауіпсіз емес. Тіпті ең қорғалған жүйелер де істен шығуы мүмкін. Кейіннен шабуылдаушылар бұл осалдықты өз мақсаттары үшін пайдаланады.
Кейбір есептермен 2025 жылға қарай киберқылмыстың әлемдік шығындары жылына 10,5 трлн долларға жетеді деп есептеледі, бұл киберқауіпсіздік шараларын күшейту қажеттілігін көрсетеді (Cybersecurity Ventures).
Киберқылмыс әлемге 2024 жылы 9,5 трлн АҚШ долларын құрайды деп болжануда, бұл болжамды өсу қарқынынан сәл төмен (Cybersecurity Ventures).
Бұл тек АҚШ-да көрсетілген бір-екі мысал. Тағы 116 басқа елдер бар, оларда да түрлі шабуылдар болады. Тіпті ТМД-да бұл қауіптер байқалуы мүмкін. Каспий банкімен 4 жыл бұрынғы жағдайды еске түсіруге болады. Кибершабуыл жүргізілген жерде оның барысында 78 937 374 теңге шоттары ұрланған.
Сондықтан бұл қауіптердің алдын алу ақпараттық жүйелердің қазіргі жағдайында болуы мүмкін.
Дипломдық жұмыстың міндеттері мен мақсаты:
Бұл дипломның мақсаты шығатын қауіптердің барлық тәуекелдерін бағалайтын бағдарламалық қамтамасыз етуді әзірлеу болады. Қауіптерді анықтау, осы қауіптің болу ықтималдығын анықтау және әртүрлі әдістермен біз қазір сізбен бірге талдаймыз.
Менің жұмыс мақсатым Ақпараттық жүйеде туындайтын тәуекелдерді бағалаудың нақты мысалын енгізу және ұсыну болады.
Алдымен мен сізге қауіптердің өздері, олардың қандай түрлері және сіздің жүйеңізге қандай нақты қауіп төндіретіні туралы айтқым келеді. Бұл тәуекелдер негізінен ақпараттық қауіпсіздіктің үш принципінің бірін жоюға бағытталған. Бұл:
Тұтастық - сақтау кезінде оның құрылымын сақтау, сондай-ақ оны беру мүмкіндігі.
Құпиялылық - адамдардың белгілі бір шеңбері үшін ақпараттық ресурстарға қол жеткізуге шектеулерді көрсететін сипаттама.
Қолжетімділік жалпыға қолжетімді ақпарат пайдаланушыларға еш кедергісіз немесе кідіріссіз қолжетімді болуы керек дегенді білдіреді.
Осы принциптердің қауіпсіздігін қамтамасыз ету - кез келген АТ маманы үшін басты міндет.
Тәуекел бағалау туралы жалпы түсінік
Тәуекелдерді бағалау қазір әртүрлі қызмет салаларындағы ұйымдар үшін, соның ішінде ықтимал тәуекелдерді анықтау, талдау және басқару үшін өте маңызды процесс болып табылады. Тәуекелдерді бағалаудың заманауи әдістері айтарлықтай дамыды және озық технологиялар мен аналитикалық құралдарды пайдалануды қамтиды.
Технологиялық инновация: Жасанды интеллект (AI) және машиналық оқыту (ML) қазіргі уақытта тәуекелдерді болжау және бағалау үшін кеңінен қолданылады. Бұл технологиялар үлкен көлемдегі деректерді талдап, ықтимал қауіптерді болжауға көмектесетін жасырын үлгілерді анықтай алады.
Киберқауіпсіздік: цифрландырудың өсуімен киберқауіптер ұйымдар үшін негізгі қауіптердің біріне айналды. Осы саладағы тәуекелді бағалау АТ инфрақұрылымының осал тұстарын талдауды, ықтимал шабуылдарды және олардың алдын алу стратегияларын әзірлеуді қамтиды.
Нормативтік өзгерістер: Бүгінгі ұйымдар GDPR, HIPAA және т.б. сияқты көптеген нормативтік талаптарды ескеруі керек, бұл заңдық және сәйкестік тәуекелдерін тәуекелдерді бағалау процесінің маңызды бөлігі етеді.
Жаһандық қауіптер: Пандемиялар, климаттың өзгеруі және геосаяси тұрақсыздық тәуекелдерді бағалауға айтарлықтай әсер етеді. Ұйымдар тұрақтылық пен бизнес үздіксіздігі стратегияларын әзірлеу кезінде осы факторларды ескеруі керек.
Экономикалық факторлар: Экономикалық тұрақсыздық, инфляция және еңбек нарығындағы өзгерістер тәуекелді бағалауға да әсер етеді. Ұйымдар осы факторларды олардың бизнеске әсерін азайту үшін талдайды.
Жеткізу тізбегін басқару: Жеткізу тізбегінің бұзылуымен байланысты тәуекелдер ерекше назар аударуды қажет етеді, өйткені жаһандану және халықаралық жеткізушілерге тәуелділік үзілістердің ықтималдығын арттырады.
Әлеуметтік және саяси өзгерістер: Қоғамдық пікірдің, саяси жағдайлардың және мәдени нормалардың өзгеруі ұйымдарға да қауіп төндіруі мүмкін. Мұндай тәуекелдерді бағалау компанияларға жаңа жағдайларға бейімделуге көмектеседі.
Стратегиялық жоспарлау: Тәуекелдерді бағалау ұйымдарға негізделген шешімдер қабылдауға және ұзақ мерзімді стратегияларды әзірлеуге мүмкіндік беретін стратегиялық жоспарлаудың ажырамас бөлігіне айналуда.
Заманауи тәуекелдерді бағалау көпсалалы көзқарасты және ықтимал қауіптерді тиімді болжау және басқару үшін кешенді құралдар мен әдістемелерді пайдалануды талап етеді.
Ақпараттық қауіпсіздік тәуекелдерін бағалау
Ақпараттық жүйедегі тәуекелдер ұйымға әртүрлі зиян келтіру үшін белгілі бір қауіп арқылы кейбір активтердің осал тұстарын пайдалану әлеуеті болып табылады. Шартты түрде біз бәрін қарапайым логикамен сипаттай аламыз, бұл:
Тәуекел сомасы = Оқиға ықтималдығы * Зақым мөлшері мұнда, Оқиға ықтималдығы = Қауіп ықтималдығы * Осалдық сомасы
Бұл логика қазір талқыланатын барлық әдістерге негіз болады. Алдымен, орын алуы мүмкін ақпараттық жүйенің осал тұстарын қарастырайық.
Ақпараттық жүйенің осалдықтары қандай? Бұл бағдарламалық қамтамасыз етудің, жабдықтың белгілі бір кемшіліктері, адами факторлар тұрғысынан ұйымның қауіпсіздігін қамтамасыз ету үшін қауіпсіздік шаралары (кіру, өту және т.б.).), шабуылдаушыларға Ақпараттық жүйеде рұқсат етілмеген әрекеттерді орындау мүмкіндігін беру.
Қандай осалдықтар бар?
Тәуекелдің осалдықтары шабуылдаушы осалдықты пайдалану арқылы жүйеге айтарлықтай әсер етуі мүмкін дегенді білдіреді.
Тәуекелсіз осалдықтар - осалдықты пайдалану елеулі зиян келтіре алмайтын кезде.
Осалдықтар пайдалану немесе пайдалану мүмкін емес, яғни эксплуатация әлі жоқ. Дегенмен, пайдалану мүмкіндігі бар осалдық тәуекелсіз осалдық болуы мүмкін. Мұның бәрі нақты жағдайға байланысты.
Ақпараттық қауіпсіздікке қауіп төндіреді.
Ақпараттық қауіпсіздік контекстіндегі қатер ақпараттың тұтастығын, қолжетімділігін немесе құпиялығын бұзу мүмкіндігін білдіреді ақпараттық жүйелерді қорғау.
Біз қауіптерді әртүрлі критерийлер бойынша жіктей аламыз. Мысалы, қолжетімділікке, тұтастыққа және құпиялылыққа қауіп төндіретін ақпарат қауіпсіздігіне тікелей әсер ету арқылы. Қауіптер сонымен қатар деректер, бағдарламалар, жабдықтар және қолдау инфрақұрылымы сияқты ақпараттық жүйелердің әртүрлі құрамдас бөліктерімен байланысты болуы мүмкін.
Қауіптер кездейсоқ немесе қасақана, сондай-ақ табиғи немесе жасанды болуы мүмкін. Олардың орналасуы да маңызды: қауіптер қызметкерлер немесе жүйелер сияқты ішкі көздерден немесе хакерлік шабуылдар немесе табиғи апаттар сияқты сыртқы көздерден келуі мүмкін.
Басында атап өткенімдей, қауіптер Ақпараттық қауіпсіздіктің 3 принципіне бағытталған.
Шабуыл кезіндегі тікелей залал зияткерлік меншік құқығын жоғалтуды, коммерциялық құпияны ашуды, активтерден айыруды немесе олардың толық жойылуын, сондай-ақ сот шығындарын, айыппұлдар мен залалдарды және т.б. Салдарынан туындаған зақымдар сапалы немесе функционалдық бұзылулар ретінде көрінуі мүмкін. Мысалы, бұл компанияның қалыпты жұмысының бұзылуы, тұтынушылардың жоғалуы немесе өндірілген тауарлар немесе қызметтердің сапасының нашарлауы болуы мүмкін. Жанама шығындар пайданың жоғалуы, гудвилдің жоғалуы және қосымша шығындарды қамтуы мүмкін. Халықаралық әдебиеттерде сондай-ақ қорғаныс шараларын жүзеге асыру толық болмаған кезде пайда болатын жалпы тәуекел және қабылданған қауіпсіздік шараларына қарамастан қауіптер жүзеге асырылған кезде болатын қалдық тәуекел ұғымдары қолданылады.
Қазіргі уақытта ақпараттық қауіпсіздік саласындағы қатерлерді талдау кәсіпорынның бизнес-жобасына теріс әсер ететін маңызды факторларды анықтайды және оларды бейтараптандыру шараларын қабылдауға мүмкіндік береді. Ұйымның ақпараттық жүйесінің қазіргі даму кезеңін түсіну өте маңызды, өйткені ол белгіленген ақпараттық қауіпсіздік стандарттарына сәйкес келуі керек. Бұл білім бизнес-жобаларды дамытудың әртүрлі кезеңдеріндегі қауіптер мен осалдықтарға тиімді әрекет етуге, олардың сенімді қорғанысы мен қауіпсіздігін қамтамасыз етуге көмектеседі.
Ақпараттық қауіпсіздіктің негізгі тәуекелдерін қарастырайық
1. Кездейсоқ.Сонымен, жағымсыз салдарға әкелетін жағдайлардың жиынтығы болған кезде күтпеген оқиғаларды айтайық. Мұндай тәуекелдерді болжау көбінесе өте қиын. Мұндай жағдайлардың мысалдары жабдықтың істен шығуы, электр қуатының үзілуі, физикалық арналардың зақымдалуы және т.б.
2. Субъективті. Бұл ақпаратты өңдеу және сақтау кезінде персоналдың дұрыс емес әрекеттерінен қателер орын алатын жағдайлар. Мұндай тәуекелдер ережелерді жауапсыз орындаған кезде және компания белгілеген ережелерді елемеуден туындайды. Мысалы: құпиялылықты бұзу, ақпаратқа рұқсатсыз қол жеткізу, ақпаратты өңдеу және беру ережелерін бұзу.
3. Объективті. Олар жүйеге зиянды бағдарламалардың енуі, жүйеге бақылау және шпиондық жабдықты енгізу нәтижесінде пайда болады. Мұндай тәуекелдерді тәуекелдердің толық тізімінен шығаруға болмайды, өйткені қорғау дәрежесі және шабуылдаушылар қолданатын әдістердің әртүрлілігі жетілмеген.
Тәуекелді талдау сапалы немесе сандық болуы мүмкін.
Қаржы ресурстары, пайыздар, уақыт және т.б. түріндегі қауіптер мен соған байланысты ықтимал шығындарды талдау кезінде тәуекелді сандық бағалауды пайдаланған кезде оны нақты сандармен көрсету мүмкін болған жағдайда қолайлы. Бұл әдіс бізді ақпараттық қауіпсіздік саласындағы тәуекелдердің құнын нақты бағалауға жақындатады.
Тәуекелді бағалаудың сандық тәсілінде әрбір элементке нақтылық пен дәлдікті қамтамасыз ететін нақты сандық мән беріледі. Бұл мәндерді анықтау алгоритмі түсінікті және түсінікті болуы керек. Бағалау объектісі, мысалы, активтердің қаржылық құны, қауіптің туындау ықтималдығы, қауіптен болатын ықтимал қаржылық шығындар, қауіпсіздік шараларын жүзеге асыруға кеткен шығындар және т.б.
Тәуекелді бағалаудың сапалық тәсілі бағаланатын бап үшін сандық немесе ақшалай шарттарды қолданбайды. Оның орнына объектіге бағалау шкаласы тағайындалады, мысалы, үш балдық (төмен, орташа, жоғары), бес балдық немесе он балдық (0...10). Сапалық тәуекелді бағалау деректер жинау үшін сауалнамалар, сұхбаттар, сауалнамалар және бетпе-бет кездесулерді пайдаланады. Сапалы әдісті пайдалана отырып, ақпараттық қауіпсіздік тәуекелдерін талдау қауіптерді анықтау мен бағалауда айтарлықтай тәжірибесі мен құзыреті бар қызметкерлердің қатысуымен жүргізілуі керек. Бұл тәуекелді бағалаудың дәлірек және ақпараттандырылған нәтижелерін алуға көмектеседі.
Тәуекелді сапалы бағалау әдісі қалай жүргізіледі?
Активтің қандай құны бар екенін анықтаңыз
Актив құнын осы активтің қауіпсіздігін бұзудың салдарымен анықтауға болады.
2. Берілген активке қауіп төну ықтималдығын анықтаңыз.
Қауіптің орындалуын бағалау үшін үш деңгейлі шкала қолданылады (төмен, орташа, жоғары).
3. Ақпараттық қауіпсіздіктің ағымдағы жағдайын, ішкі шаралар мен қорғау құралдарын ескере отырып, қатер табысының деңгейін анықтау.
Дәл осындай жүйе бағалау үшін қолданылады. Бұл кезең қауіптің қаншалықты сәтті екенін көруге мүмкіндік береді.
4. Ақпараттық активтің құнына, қауіптердің іске асу ықтималдығы мен мүмкіндігіне негізделген тәуекел деңгейін анықтау.
Тәуекел деңгейін анықтау үшін не бес балдық, не он балдық шкала қолданылады. Тәуекел деңгейін анықтағаннан кейін сипаттамалардың қандай комбинациялары тәуекелдің қандай деңгейіне әкелетінін түсінуге болады.
5. Әрбір қауіп үшін алынған деректерді және ол үшін алынған тәуекел деңгейін талдаңыз.
Кейде тәуекелді талдау тәуекелдің қолайлы деңгейі тұжырымдамасына негізделеді. Яғни, бұл компания дәл осы қауіптерді қабылдауға дайын болатын тәуекел деңгейі. Бұл тапсырманың мәні - деңгейді қолайлы деңгейге дейін төмендету.
6. Тәуекел деңгейін төмендету үшін әрбір ағымдағы қауіп үшін қауіпсіздік шараларын, қарсы шараларды және әрекеттерді әзірлеу.
Сандық тәуекелді бағалау әдісін қалай жүргізу керек?
1. Ақпараттық активтердің құнын ақшалай түрде анықтаңыз.
2.Әрбір ақпараттық активке қатысты әрбір қауіпті іске асырудан болатын ықтимал зиянды сандық тұрғыдан бағалаңыз.
Әрбір қауіпті іске асырудан келтірілген залал актив құнының қандай бөлігін құрайды?, Осы әрекетті жүзеге асыру кезінде бір оқиғадан келтірілген залалдың құны ақшалай түрде қанша болады? деген сұрақтарға жауап алу қажет. осы активке қауіп төндіреді?
3. Ақпараттық қауіпсіздік қатерлерінің әрқайсысының жүзеге асу ықтималдығын анықтаңыз.
Ол үшін статистикалық деректерді, қызметкерлер мен мүдделі тараптардың сауалнамасын пайдалануға болады. Ықтималдылықты анықтау процесінде бақылау кезеңінде (мысалы, бір жыл) қарастырылған ақпараттық қауіпсіздік қатерін жүзеге асырумен байланысты оқиғалардың жиілігін есептеңіз.
4. Бақылау кезеңіндегі (бір жыл) әрбір активке қатысты әрбір қауіптен жалпы ықтимал зиянды анықтаңыз.
Мән қауіптен бір реттік залалды қауіп жиілігіне көбейту арқылы есептеледі.
5. Әрбір қауіп үшін алынған зиян деректерін талдаңыз.
Әрбір қауіп үшін шешім қабылдануы керек: тәуекелді қабылдау, тәуекелді азайту немесе тәуекелді аудару.
Тәуекелді қабылдау - оны тану, оның мүмкіндігімен келісімге келу және бұрынғыдай әрекет етуді білдіреді. Зақым аз және пайда болу ықтималдығы төмен қауіптерге қолданылады.
Тәуекелді азайту дегеніміз - қосымша шаралар мен қорғаныс құралдарын енгізу, қызметкерлерді оқыту және т.б. Яғни, тәуекелді азайту бойынша саналы жұмыстарды жүргізу. Бұл ретте қосымша шаралар мен қорғау құралдарының тиімділігін сандық бағалау қажет.Қорғаныс құралдарын сатып алудан бастап іске қосуға дейін (оның ішінде монтаждау, конфигурациялау, оқыту, техникалық қызмет көрсету және т.б.) ұйымның барлық шығындары қауіп төнген залал мөлшерінен аспауы керек.
Тәуекелді аудару тәуекелдің салдарын үшінші тұлғаға ауыстыруды білдіреді, мысалы, сақтандыру арқылы.
Төменде біз тәуекелдерді бағалаудың әртүрлі әдістемелерінің тізімін береміз, тіпті кейбірін толығырақ қарастырамыз.
NIST (Ұлттық стандарттар және технологиялар институты) американдық үкімет құжаттарына негізделген NIST тәуекелдерді басқару құрылымы өзара байланысты деп аталатындардың жиынтығын қамтиды. арнайы басылымдар (ағыл.: Special Publication (SP).
NIST SP 800-39 үш деңгейге негізделген ақпараттық қауіпсіздік тәуекелдерін басқару тәсілін ұсынады: ұйымдастыру, бизнес-процестер және ақпараттық жүйелер. Бұл құжат ұйымдарға деректер мен ақпараттық жүйелердің қауіпсіздігіне байланысты тәуекелдерді анықтауға, талдауға және басқаруға көмектеседі.
NIST SP 800-37 ақпараттық жүйелер мен ұйымдар үшін тәуекелдерді басқару жүйесі болып табылады. Бұл стандарт жүйені әзірлеуден бастап пайдаланудан шығаруға дейінгі бүкіл өмірлік цикл бойы қауіпсіздік пен құпиялылықты қамтамасыз етуге бағытталған.
NIST SP 800-30 әсіресе ақпараттық технологиялар, ақпараттық қауіпсіздік және операциялық тәуекелдер контекстінде тәуекелдерді бағалауды жүргізу бойынша нұсқауларға бағытталған. Бұл құжат ұйымдарға ақпараттық активтерінің осалдықтары мен ықтимал қауіптерін анықтауға көмектеседі.
NIST SP 800-137 ұйымдарға ақпараттық қауіпсіздік тәуекелдерін басқару тәжірибесін және ақпараттық жүйелер мен АТ ортасын бақылау арқылы жақсарту қажеттілігін бақылауға мүмкіндік беретін үздіксіз ақпараттық қауіпсіздік мониторингі тәсілін сипаттайды.
ISO стандарттары (Халықаралық стандарттау ұйымы)
ISOIEC 27005:2018 ақпараттық технологиялар мен жүйелермен байланысты тәуекелдерді бағалау және басқару әдістері мен құралдарын ұсына отырып, ұйымдарға ақпараттық қауіпсіздік тәуекелдерін басқаруға көмектесетін стандарт.
ISOIEC 27102:2019 киберсақтандыру бойынша нұсқаулықты, соның ішінде киберсақтандыруды сатып алу қажеттілігін бағалауды және кибершабуылдармен және басқа ақпараттық қауіпсіздік қатерлерінен байланысты тәуекелдерден қорғау үшін сақтандырушымен жұмыс істеуді қамтамасыз етеді.CRAMM әдісі (CCTA Risk Analysis and Management Method) - 1985 жылы Ұлыбританияның Компьютерлер және телекоммуникациялар агенттігі (CCTA) әзірлеген тәуекелдерді талдау және басқарудың кешенді тәсілі. Ол ақпараттық тәуекелдерді бағалауға және басқаруға арналған және әртүрлі секторларда, соның ішінде мемлекеттік және жеке секторларда қолданылады. Мұнда CRAMM әдісінің егжей-тегжейлі сипаттамасы берілген:
Контекст пен дайындықты анықтау:
Жүйе шекарасының анықтамасы: деректер, аппараттық құралдар, бағдарламалық қамтамасыз ету және персоналды қоса алғанда, бағаланатын жүйелер мен активтерді анықтау.
Ақпаратты жинау: техникалық сипаттамаларды, ұйымдық құрылымды, процестерді және ағымдағы қауіпсіздік шараларын қамтитын жүйе туралы ақпаратты жинау.
Активтерді талдау:
Активтерді идентификациялау: барлық жүйе активтерін, соның ішінде олардың құны мен ұйым үшін маңыздылығын анықтау.
Активтердің жіктелуі: Әрбір активтің маңыздылығын және оның бизнес-процестер үшін маңыздылығын анықтау.
Қауіп пен осалдықты бағалау:
Қауіпті анықтау: әрбір активке ықтимал қауіптерді анықтау. Бұған табиғи апаттар, адам қателері, зиянды әрекеттер және техникалық ақаулар кіруі мүмкін.
Осалдықты бағалау: жүйенің зақымдану қаупімен пайдаланылуы мүмкін әлсіз жерлерін талдау. Бұл техникалық, физикалық және ұйымдастырушылық осалдықтарды қамтиды.
Тәуекелді талдау:
Ықтималдылық пен салдарды бағалау: әрбір қауіптің туындау ықтималдығын анықтау және активтер мен тұтастай ұйым үшін ықтимал салдарды бағалау.
Тәуекел деңгейін есептеу: әрбір актив үшін тәуекел деңгейін анықтау үшін ықтималдық пен салдарды біріктіру.
Тәуекелдерді басқару шараларын әзірлеу:
Тәуекелді азайтуды анықтау: қауіптердің ықтималдығын немесе салдарын азайтатын шараларды анықтау және бағалау. Бұл техникалық шешімдер, ұйымдық өзгерістер немесе физикалық шаралар болуы мүмкін.
Тиісті шараларды таңдау: Тәуекелді азайту шараларының тиімділігі мен құнын бағалау және жүзеге асыру үшін ең қолайлыларын таңдау.
CRAMM әдісінің артықшылықтары
Кешенді тәсіл: CRAMM тәуекелдерді басқарудың барлық аспектілерін қамтиды, активтерді сәйкестендіруден бақылау мен шараларды қарауға дейін.
Құрылымдық: әдіс түсінікті және пайдалануды жеңіл ете отырып, анық және дәйекті құрылымды қамтамасыз етеді.
Әртүрлі секторларға қолдану мүмкіндігі: CRAMM әртүрлі салаларда, соның ішінде мемлекеттік және жеке секторларда қолданылады және ұйымдардың арнайы талаптарына бейімделуі мүмкін.
Шешім қабылдауды қолдау: Әдіс басшылыққа егжей-тегжейлі талдау мен бағалау негізінде тәуекелдерді басқару шешімдерін қабылдауға көмектеседі.
Тәжірибеде CRAMM қолдану
CRAMM ақпараттық жүйелерді, маңызды инфрақұрылымды және бизнес-процестерді қоса алғанда, әртүрлі контексттерде тәуекелдерді бағалау үшін қолданылады. Мысалы, ақпараттық қауіпсіздік тәуекелдерін бағалау үшін CRAMM пайдаланатын ұйымда процесс келесі қадамдарды қамтуы мүмкін:
Маңызды деректер мен жүйелерді анықтау: бизнес үшін ең маңызды деректер мен жүйелерді анықтау.
Ағымдағы қауіпсіздік шараларын бағалау:
Қолданыстағы қауіпсіздік шараларын талдау және олардың кемшіліктерін анықтау.
Қауіптер мен осалдықтарды талдау: ықтимал қауіптерді (мысалы, кибершабуылдар) және осалдықтарды (мысалы, бұрынғы жүйелер) анықтау.
Жаңа қауіпсіздік шараларын әзірлеу және енгізу: Деректер мен жүйелерді қорғауды жақсарту бойынша шараларды анықтау және енгізу.
4. FAIR (ақпараттық тәуекелдің факторлық талдауы) әдістемесі тәуекелдің сандық талдауын жүргізуге, үнемді көзқарас негізінде тәуекелдерді басқару жүйесін құру моделін ұсынуға, негізделген шешімдер қабылдауға, тәуекелдерді басқару шараларын, қаржылық көрсеткіштерді салыстыруға арналған меншікті негіз болып табылады. және дәл тәуекел үлгілері.
Кибертәуекелді талдаудың бұл тәсілі бастапқыда көптеген тәуекел элементтерінің жүйеленуі және нақты ұғымдарды анықтайтын анықтамалар жиынтығы болып табылады: тәуекел, қауіп, қауіп, активтер, бақылау және аудит. FAIR әдісі осы аспектілер арасындағы байланыстарды көрсетеді, корпорацияны ойландыратын азықпен қамтамасыз етеді.
FAIR стандарты сонымен қатар әртүрлі өлшенетін айнымалыларға сәйкес тәуекелдерді жіктеу және статистика мен ықтималдықты пайдалана отырып, тәуекелді сандық бағалау әдістемесін қамтиды.Мақсат - күрделі қауіптерді зерттеу, сандық анықтау үшін тиісті деректерді жинау және тәуекел компоненттерінің өзара тәуелділігін түсіну.
FAIR тұжырымдамасы болжамдық емес, ықтималдық болып табылады. Нәтижесінде тәуекел болашақ шығындардың ықтимал жиілігі мен шамасы ретінде анықталады. Басқаша айтқанда, FAIR тәуекелді жоғалту оқиғасының жиілігі (LEF) және ықтимал жоғалту шамасының (PLM) тіркесімін пайдалана отырып бағалайды, мұнда:
Тәуекел (USD) = Loss Frequency (LEF) * Ықтимал жоғалту мөлшері (PLM - USD);
FAIR осы сұрақтарға жауап беру үшін жарамды және логикалық негізді ұсынады:
Ақпараттық тәуекелді құрайтын факторлардың классификациясы. Бұл ақпараттық тәуекелдің тұжырымдамалық түсінігін береді, онсыз біз ақылды және ақылға қонымды ештеңе жасай алмаймыз. Жіктеу сонымен қатар терминдерімізге арналған стандартты анықтамалар жиынтығын береді.
Ақпараттық тәуекелге әкелетін факторларды өлшеу әдістемесі, соның ішінде. қатерлерді іске асыру жиілігі, осалдық пен зақымдану.
Өлшенетін факторлар арасындағы байланыстарды математикалық модельдеу арқылы тәуекел мөлшерін алуға мүмкіндік беретін есептеу схемасы.
Кез келген өлшемдегі және күрделіліктегі тәуекел сценарийлерін құру және талдау үшін жіктеуді, өлшеу әдістерін және есептеу схемаларын қолдануға мүмкіндік беретін модельдеу моделі.
5. FRAP (Facilitated Risk Analysis Process) әдістемесі тәуекелдерді бағалаудың салыстырмалы түрде жеңілдетілген әдісі болып табылады, тек ең маңызды активтерге назар аударады. Сапалық талдау сараптамалық бағалауды қолдану арқылы жүзеге асырылады.
FRAP бойынша ақпараттық қауіпсіздік тәуекелдерін талдау және бағалау бірнеше кезеңнен тұрады. Оларды қарастырайық.
1 кезең - FRAP тобы
Ұзақтығы: 1 күн.
Барлығы бизнес-менеджерлер, жоба менеджері (бұдан әрі - PM) және фасилитатор (байланысқа жауапты) кіретін FRAP тобын ... жалғасы
Кіріспе
Ақпараттық қауіпсіздік тәуекелдерін бағалау
2.1. Ақпараттық жүйеге төнетін қауіптің негізгі түрлері
2.2. Тәуекелдерді бағалаудың әртүрлі әдістемелері
2.3. АҚ тәуекелдерін бағалау әдістерін салыстыру
3. Тәуекелдерді бағалайтын бағдарламалық жасақтама жасау
3.1 Бағдарламалық жасақтаманың негізгі ұғымдары
3.2. Бағдарламалық жасақтама классификациясын таңдау
3.3. Visual Studio редакторының көмегімен C # тілінде бағдарлама құру
4. Қорытынды
5. Пайданылған әдебиеттер
Кіріспе
Дипломдық жұмыстың жалпы сипаттамасы:
Бұл дипломдық жұмыс ақпараттық қауіпсіздік тәуекелдерін бағалау бағдарламасын түсіндіруге және әзірлеуге бағытталған. Ақпараттық жүйелердің өсуімен байланысты шабуылдаушы кез-келген ақпаратты алуды, жүйеге шабуыл жасаудың әртүрлі тәсілдерін қолдана отырып, өзінің жеке мақсаттарын жүзеге асыруды жеңілдетті. Осыған байланысты ақпаратты қорғау кез-келген салада бірінші орында тұр. Біздің зерттеуіміз осы қауіптерге әртүрлі бағалау жүргізу арқылы оның қауіптілік деңгейін белгілеу мүмкіндігі болады.
Біздің зерттеудің маңыздылығы
Кез-келген бизнесте немесе тіпті басқа салаларда қазіргі уақытта деректерді өңдеу жүйесі бар. Көптеген жағдайларда барлық деректер серверлерде немесе басқа сақтау орындарында сақталады. Қазіргі уақытта ақпарат құнды ресурстардың біріне айналды. Осы ресурстар үшін қорғауды қамтамасыз ету ең маңызды міндет болды. Әр түрлі қорғаныс шараларына қарамастан, зиянкестер жүйеге енгізу үшін әртүрлі бұзу әдістерін ойлап табады. Және бұл үшін ешкім қауіпсіз емес. Тіпті ең қорғалған жүйелер де істен шығуы мүмкін. Кейіннен шабуылдаушылар бұл осалдықты өз мақсаттары үшін пайдаланады.
Кейбір есептермен 2025 жылға қарай киберқылмыстың әлемдік шығындары жылына 10,5 трлн долларға жетеді деп есептеледі, бұл киберқауіпсіздік шараларын күшейту қажеттілігін көрсетеді (Cybersecurity Ventures).
Киберқылмыс әлемге 2024 жылы 9,5 трлн АҚШ долларын құрайды деп болжануда, бұл болжамды өсу қарқынынан сәл төмен (Cybersecurity Ventures).
Бұл тек АҚШ-да көрсетілген бір-екі мысал. Тағы 116 басқа елдер бар, оларда да түрлі шабуылдар болады. Тіпті ТМД-да бұл қауіптер байқалуы мүмкін. Каспий банкімен 4 жыл бұрынғы жағдайды еске түсіруге болады. Кибершабуыл жүргізілген жерде оның барысында 78 937 374 теңге шоттары ұрланған.
Сондықтан бұл қауіптердің алдын алу ақпараттық жүйелердің қазіргі жағдайында болуы мүмкін.
Дипломдық жұмыстың міндеттері мен мақсаты:
Бұл дипломның мақсаты шығатын қауіптердің барлық тәуекелдерін бағалайтын бағдарламалық қамтамасыз етуді әзірлеу болады. Қауіптерді анықтау, осы қауіптің болу ықтималдығын анықтау және әртүрлі әдістермен біз қазір сізбен бірге талдаймыз.
Менің жұмыс мақсатым Ақпараттық жүйеде туындайтын тәуекелдерді бағалаудың нақты мысалын енгізу және ұсыну болады.
Алдымен мен сізге қауіптердің өздері, олардың қандай түрлері және сіздің жүйеңізге қандай нақты қауіп төндіретіні туралы айтқым келеді. Бұл тәуекелдер негізінен ақпараттық қауіпсіздіктің үш принципінің бірін жоюға бағытталған. Бұл:
Тұтастық - сақтау кезінде оның құрылымын сақтау, сондай-ақ оны беру мүмкіндігі.
Құпиялылық - адамдардың белгілі бір шеңбері үшін ақпараттық ресурстарға қол жеткізуге шектеулерді көрсететін сипаттама.
Қолжетімділік жалпыға қолжетімді ақпарат пайдаланушыларға еш кедергісіз немесе кідіріссіз қолжетімді болуы керек дегенді білдіреді.
Осы принциптердің қауіпсіздігін қамтамасыз ету - кез келген АТ маманы үшін басты міндет.
Тәуекел бағалау туралы жалпы түсінік
Тәуекелдерді бағалау қазір әртүрлі қызмет салаларындағы ұйымдар үшін, соның ішінде ықтимал тәуекелдерді анықтау, талдау және басқару үшін өте маңызды процесс болып табылады. Тәуекелдерді бағалаудың заманауи әдістері айтарлықтай дамыды және озық технологиялар мен аналитикалық құралдарды пайдалануды қамтиды.
Технологиялық инновация: Жасанды интеллект (AI) және машиналық оқыту (ML) қазіргі уақытта тәуекелдерді болжау және бағалау үшін кеңінен қолданылады. Бұл технологиялар үлкен көлемдегі деректерді талдап, ықтимал қауіптерді болжауға көмектесетін жасырын үлгілерді анықтай алады.
Киберқауіпсіздік: цифрландырудың өсуімен киберқауіптер ұйымдар үшін негізгі қауіптердің біріне айналды. Осы саладағы тәуекелді бағалау АТ инфрақұрылымының осал тұстарын талдауды, ықтимал шабуылдарды және олардың алдын алу стратегияларын әзірлеуді қамтиды.
Нормативтік өзгерістер: Бүгінгі ұйымдар GDPR, HIPAA және т.б. сияқты көптеген нормативтік талаптарды ескеруі керек, бұл заңдық және сәйкестік тәуекелдерін тәуекелдерді бағалау процесінің маңызды бөлігі етеді.
Жаһандық қауіптер: Пандемиялар, климаттың өзгеруі және геосаяси тұрақсыздық тәуекелдерді бағалауға айтарлықтай әсер етеді. Ұйымдар тұрақтылық пен бизнес үздіксіздігі стратегияларын әзірлеу кезінде осы факторларды ескеруі керек.
Экономикалық факторлар: Экономикалық тұрақсыздық, инфляция және еңбек нарығындағы өзгерістер тәуекелді бағалауға да әсер етеді. Ұйымдар осы факторларды олардың бизнеске әсерін азайту үшін талдайды.
Жеткізу тізбегін басқару: Жеткізу тізбегінің бұзылуымен байланысты тәуекелдер ерекше назар аударуды қажет етеді, өйткені жаһандану және халықаралық жеткізушілерге тәуелділік үзілістердің ықтималдығын арттырады.
Әлеуметтік және саяси өзгерістер: Қоғамдық пікірдің, саяси жағдайлардың және мәдени нормалардың өзгеруі ұйымдарға да қауіп төндіруі мүмкін. Мұндай тәуекелдерді бағалау компанияларға жаңа жағдайларға бейімделуге көмектеседі.
Стратегиялық жоспарлау: Тәуекелдерді бағалау ұйымдарға негізделген шешімдер қабылдауға және ұзақ мерзімді стратегияларды әзірлеуге мүмкіндік беретін стратегиялық жоспарлаудың ажырамас бөлігіне айналуда.
Заманауи тәуекелдерді бағалау көпсалалы көзқарасты және ықтимал қауіптерді тиімді болжау және басқару үшін кешенді құралдар мен әдістемелерді пайдалануды талап етеді.
Ақпараттық қауіпсіздік тәуекелдерін бағалау
Ақпараттық жүйедегі тәуекелдер ұйымға әртүрлі зиян келтіру үшін белгілі бір қауіп арқылы кейбір активтердің осал тұстарын пайдалану әлеуеті болып табылады. Шартты түрде біз бәрін қарапайым логикамен сипаттай аламыз, бұл:
Тәуекел сомасы = Оқиға ықтималдығы * Зақым мөлшері мұнда, Оқиға ықтималдығы = Қауіп ықтималдығы * Осалдық сомасы
Бұл логика қазір талқыланатын барлық әдістерге негіз болады. Алдымен, орын алуы мүмкін ақпараттық жүйенің осал тұстарын қарастырайық.
Ақпараттық жүйенің осалдықтары қандай? Бұл бағдарламалық қамтамасыз етудің, жабдықтың белгілі бір кемшіліктері, адами факторлар тұрғысынан ұйымның қауіпсіздігін қамтамасыз ету үшін қауіпсіздік шаралары (кіру, өту және т.б.).), шабуылдаушыларға Ақпараттық жүйеде рұқсат етілмеген әрекеттерді орындау мүмкіндігін беру.
Қандай осалдықтар бар?
Тәуекелдің осалдықтары шабуылдаушы осалдықты пайдалану арқылы жүйеге айтарлықтай әсер етуі мүмкін дегенді білдіреді.
Тәуекелсіз осалдықтар - осалдықты пайдалану елеулі зиян келтіре алмайтын кезде.
Осалдықтар пайдалану немесе пайдалану мүмкін емес, яғни эксплуатация әлі жоқ. Дегенмен, пайдалану мүмкіндігі бар осалдық тәуекелсіз осалдық болуы мүмкін. Мұның бәрі нақты жағдайға байланысты.
Ақпараттық қауіпсіздікке қауіп төндіреді.
Ақпараттық қауіпсіздік контекстіндегі қатер ақпараттың тұтастығын, қолжетімділігін немесе құпиялығын бұзу мүмкіндігін білдіреді ақпараттық жүйелерді қорғау.
Біз қауіптерді әртүрлі критерийлер бойынша жіктей аламыз. Мысалы, қолжетімділікке, тұтастыққа және құпиялылыққа қауіп төндіретін ақпарат қауіпсіздігіне тікелей әсер ету арқылы. Қауіптер сонымен қатар деректер, бағдарламалар, жабдықтар және қолдау инфрақұрылымы сияқты ақпараттық жүйелердің әртүрлі құрамдас бөліктерімен байланысты болуы мүмкін.
Қауіптер кездейсоқ немесе қасақана, сондай-ақ табиғи немесе жасанды болуы мүмкін. Олардың орналасуы да маңызды: қауіптер қызметкерлер немесе жүйелер сияқты ішкі көздерден немесе хакерлік шабуылдар немесе табиғи апаттар сияқты сыртқы көздерден келуі мүмкін.
Басында атап өткенімдей, қауіптер Ақпараттық қауіпсіздіктің 3 принципіне бағытталған.
Шабуыл кезіндегі тікелей залал зияткерлік меншік құқығын жоғалтуды, коммерциялық құпияны ашуды, активтерден айыруды немесе олардың толық жойылуын, сондай-ақ сот шығындарын, айыппұлдар мен залалдарды және т.б. Салдарынан туындаған зақымдар сапалы немесе функционалдық бұзылулар ретінде көрінуі мүмкін. Мысалы, бұл компанияның қалыпты жұмысының бұзылуы, тұтынушылардың жоғалуы немесе өндірілген тауарлар немесе қызметтердің сапасының нашарлауы болуы мүмкін. Жанама шығындар пайданың жоғалуы, гудвилдің жоғалуы және қосымша шығындарды қамтуы мүмкін. Халықаралық әдебиеттерде сондай-ақ қорғаныс шараларын жүзеге асыру толық болмаған кезде пайда болатын жалпы тәуекел және қабылданған қауіпсіздік шараларына қарамастан қауіптер жүзеге асырылған кезде болатын қалдық тәуекел ұғымдары қолданылады.
Қазіргі уақытта ақпараттық қауіпсіздік саласындағы қатерлерді талдау кәсіпорынның бизнес-жобасына теріс әсер ететін маңызды факторларды анықтайды және оларды бейтараптандыру шараларын қабылдауға мүмкіндік береді. Ұйымның ақпараттық жүйесінің қазіргі даму кезеңін түсіну өте маңызды, өйткені ол белгіленген ақпараттық қауіпсіздік стандарттарына сәйкес келуі керек. Бұл білім бизнес-жобаларды дамытудың әртүрлі кезеңдеріндегі қауіптер мен осалдықтарға тиімді әрекет етуге, олардың сенімді қорғанысы мен қауіпсіздігін қамтамасыз етуге көмектеседі.
Ақпараттық қауіпсіздіктің негізгі тәуекелдерін қарастырайық
1. Кездейсоқ.Сонымен, жағымсыз салдарға әкелетін жағдайлардың жиынтығы болған кезде күтпеген оқиғаларды айтайық. Мұндай тәуекелдерді болжау көбінесе өте қиын. Мұндай жағдайлардың мысалдары жабдықтың істен шығуы, электр қуатының үзілуі, физикалық арналардың зақымдалуы және т.б.
2. Субъективті. Бұл ақпаратты өңдеу және сақтау кезінде персоналдың дұрыс емес әрекеттерінен қателер орын алатын жағдайлар. Мұндай тәуекелдер ережелерді жауапсыз орындаған кезде және компания белгілеген ережелерді елемеуден туындайды. Мысалы: құпиялылықты бұзу, ақпаратқа рұқсатсыз қол жеткізу, ақпаратты өңдеу және беру ережелерін бұзу.
3. Объективті. Олар жүйеге зиянды бағдарламалардың енуі, жүйеге бақылау және шпиондық жабдықты енгізу нәтижесінде пайда болады. Мұндай тәуекелдерді тәуекелдердің толық тізімінен шығаруға болмайды, өйткені қорғау дәрежесі және шабуылдаушылар қолданатын әдістердің әртүрлілігі жетілмеген.
Тәуекелді талдау сапалы немесе сандық болуы мүмкін.
Қаржы ресурстары, пайыздар, уақыт және т.б. түріндегі қауіптер мен соған байланысты ықтимал шығындарды талдау кезінде тәуекелді сандық бағалауды пайдаланған кезде оны нақты сандармен көрсету мүмкін болған жағдайда қолайлы. Бұл әдіс бізді ақпараттық қауіпсіздік саласындағы тәуекелдердің құнын нақты бағалауға жақындатады.
Тәуекелді бағалаудың сандық тәсілінде әрбір элементке нақтылық пен дәлдікті қамтамасыз ететін нақты сандық мән беріледі. Бұл мәндерді анықтау алгоритмі түсінікті және түсінікті болуы керек. Бағалау объектісі, мысалы, активтердің қаржылық құны, қауіптің туындау ықтималдығы, қауіптен болатын ықтимал қаржылық шығындар, қауіпсіздік шараларын жүзеге асыруға кеткен шығындар және т.б.
Тәуекелді бағалаудың сапалық тәсілі бағаланатын бап үшін сандық немесе ақшалай шарттарды қолданбайды. Оның орнына объектіге бағалау шкаласы тағайындалады, мысалы, үш балдық (төмен, орташа, жоғары), бес балдық немесе он балдық (0...10). Сапалық тәуекелді бағалау деректер жинау үшін сауалнамалар, сұхбаттар, сауалнамалар және бетпе-бет кездесулерді пайдаланады. Сапалы әдісті пайдалана отырып, ақпараттық қауіпсіздік тәуекелдерін талдау қауіптерді анықтау мен бағалауда айтарлықтай тәжірибесі мен құзыреті бар қызметкерлердің қатысуымен жүргізілуі керек. Бұл тәуекелді бағалаудың дәлірек және ақпараттандырылған нәтижелерін алуға көмектеседі.
Тәуекелді сапалы бағалау әдісі қалай жүргізіледі?
Активтің қандай құны бар екенін анықтаңыз
Актив құнын осы активтің қауіпсіздігін бұзудың салдарымен анықтауға болады.
2. Берілген активке қауіп төну ықтималдығын анықтаңыз.
Қауіптің орындалуын бағалау үшін үш деңгейлі шкала қолданылады (төмен, орташа, жоғары).
3. Ақпараттық қауіпсіздіктің ағымдағы жағдайын, ішкі шаралар мен қорғау құралдарын ескере отырып, қатер табысының деңгейін анықтау.
Дәл осындай жүйе бағалау үшін қолданылады. Бұл кезең қауіптің қаншалықты сәтті екенін көруге мүмкіндік береді.
4. Ақпараттық активтің құнына, қауіптердің іске асу ықтималдығы мен мүмкіндігіне негізделген тәуекел деңгейін анықтау.
Тәуекел деңгейін анықтау үшін не бес балдық, не он балдық шкала қолданылады. Тәуекел деңгейін анықтағаннан кейін сипаттамалардың қандай комбинациялары тәуекелдің қандай деңгейіне әкелетінін түсінуге болады.
5. Әрбір қауіп үшін алынған деректерді және ол үшін алынған тәуекел деңгейін талдаңыз.
Кейде тәуекелді талдау тәуекелдің қолайлы деңгейі тұжырымдамасына негізделеді. Яғни, бұл компания дәл осы қауіптерді қабылдауға дайын болатын тәуекел деңгейі. Бұл тапсырманың мәні - деңгейді қолайлы деңгейге дейін төмендету.
6. Тәуекел деңгейін төмендету үшін әрбір ағымдағы қауіп үшін қауіпсіздік шараларын, қарсы шараларды және әрекеттерді әзірлеу.
Сандық тәуекелді бағалау әдісін қалай жүргізу керек?
1. Ақпараттық активтердің құнын ақшалай түрде анықтаңыз.
2.Әрбір ақпараттық активке қатысты әрбір қауіпті іске асырудан болатын ықтимал зиянды сандық тұрғыдан бағалаңыз.
Әрбір қауіпті іске асырудан келтірілген залал актив құнының қандай бөлігін құрайды?, Осы әрекетті жүзеге асыру кезінде бір оқиғадан келтірілген залалдың құны ақшалай түрде қанша болады? деген сұрақтарға жауап алу қажет. осы активке қауіп төндіреді?
3. Ақпараттық қауіпсіздік қатерлерінің әрқайсысының жүзеге асу ықтималдығын анықтаңыз.
Ол үшін статистикалық деректерді, қызметкерлер мен мүдделі тараптардың сауалнамасын пайдалануға болады. Ықтималдылықты анықтау процесінде бақылау кезеңінде (мысалы, бір жыл) қарастырылған ақпараттық қауіпсіздік қатерін жүзеге асырумен байланысты оқиғалардың жиілігін есептеңіз.
4. Бақылау кезеңіндегі (бір жыл) әрбір активке қатысты әрбір қауіптен жалпы ықтимал зиянды анықтаңыз.
Мән қауіптен бір реттік залалды қауіп жиілігіне көбейту арқылы есептеледі.
5. Әрбір қауіп үшін алынған зиян деректерін талдаңыз.
Әрбір қауіп үшін шешім қабылдануы керек: тәуекелді қабылдау, тәуекелді азайту немесе тәуекелді аудару.
Тәуекелді қабылдау - оны тану, оның мүмкіндігімен келісімге келу және бұрынғыдай әрекет етуді білдіреді. Зақым аз және пайда болу ықтималдығы төмен қауіптерге қолданылады.
Тәуекелді азайту дегеніміз - қосымша шаралар мен қорғаныс құралдарын енгізу, қызметкерлерді оқыту және т.б. Яғни, тәуекелді азайту бойынша саналы жұмыстарды жүргізу. Бұл ретте қосымша шаралар мен қорғау құралдарының тиімділігін сандық бағалау қажет.Қорғаныс құралдарын сатып алудан бастап іске қосуға дейін (оның ішінде монтаждау, конфигурациялау, оқыту, техникалық қызмет көрсету және т.б.) ұйымның барлық шығындары қауіп төнген залал мөлшерінен аспауы керек.
Тәуекелді аудару тәуекелдің салдарын үшінші тұлғаға ауыстыруды білдіреді, мысалы, сақтандыру арқылы.
Төменде біз тәуекелдерді бағалаудың әртүрлі әдістемелерінің тізімін береміз, тіпті кейбірін толығырақ қарастырамыз.
NIST (Ұлттық стандарттар және технологиялар институты) американдық үкімет құжаттарына негізделген NIST тәуекелдерді басқару құрылымы өзара байланысты деп аталатындардың жиынтығын қамтиды. арнайы басылымдар (ағыл.: Special Publication (SP).
NIST SP 800-39 үш деңгейге негізделген ақпараттық қауіпсіздік тәуекелдерін басқару тәсілін ұсынады: ұйымдастыру, бизнес-процестер және ақпараттық жүйелер. Бұл құжат ұйымдарға деректер мен ақпараттық жүйелердің қауіпсіздігіне байланысты тәуекелдерді анықтауға, талдауға және басқаруға көмектеседі.
NIST SP 800-37 ақпараттық жүйелер мен ұйымдар үшін тәуекелдерді басқару жүйесі болып табылады. Бұл стандарт жүйені әзірлеуден бастап пайдаланудан шығаруға дейінгі бүкіл өмірлік цикл бойы қауіпсіздік пен құпиялылықты қамтамасыз етуге бағытталған.
NIST SP 800-30 әсіресе ақпараттық технологиялар, ақпараттық қауіпсіздік және операциялық тәуекелдер контекстінде тәуекелдерді бағалауды жүргізу бойынша нұсқауларға бағытталған. Бұл құжат ұйымдарға ақпараттық активтерінің осалдықтары мен ықтимал қауіптерін анықтауға көмектеседі.
NIST SP 800-137 ұйымдарға ақпараттық қауіпсіздік тәуекелдерін басқару тәжірибесін және ақпараттық жүйелер мен АТ ортасын бақылау арқылы жақсарту қажеттілігін бақылауға мүмкіндік беретін үздіксіз ақпараттық қауіпсіздік мониторингі тәсілін сипаттайды.
ISO стандарттары (Халықаралық стандарттау ұйымы)
ISOIEC 27005:2018 ақпараттық технологиялар мен жүйелермен байланысты тәуекелдерді бағалау және басқару әдістері мен құралдарын ұсына отырып, ұйымдарға ақпараттық қауіпсіздік тәуекелдерін басқаруға көмектесетін стандарт.
ISOIEC 27102:2019 киберсақтандыру бойынша нұсқаулықты, соның ішінде киберсақтандыруды сатып алу қажеттілігін бағалауды және кибершабуылдармен және басқа ақпараттық қауіпсіздік қатерлерінен байланысты тәуекелдерден қорғау үшін сақтандырушымен жұмыс істеуді қамтамасыз етеді.CRAMM әдісі (CCTA Risk Analysis and Management Method) - 1985 жылы Ұлыбританияның Компьютерлер және телекоммуникациялар агенттігі (CCTA) әзірлеген тәуекелдерді талдау және басқарудың кешенді тәсілі. Ол ақпараттық тәуекелдерді бағалауға және басқаруға арналған және әртүрлі секторларда, соның ішінде мемлекеттік және жеке секторларда қолданылады. Мұнда CRAMM әдісінің егжей-тегжейлі сипаттамасы берілген:
Контекст пен дайындықты анықтау:
Жүйе шекарасының анықтамасы: деректер, аппараттық құралдар, бағдарламалық қамтамасыз ету және персоналды қоса алғанда, бағаланатын жүйелер мен активтерді анықтау.
Ақпаратты жинау: техникалық сипаттамаларды, ұйымдық құрылымды, процестерді және ағымдағы қауіпсіздік шараларын қамтитын жүйе туралы ақпаратты жинау.
Активтерді талдау:
Активтерді идентификациялау: барлық жүйе активтерін, соның ішінде олардың құны мен ұйым үшін маңыздылығын анықтау.
Активтердің жіктелуі: Әрбір активтің маңыздылығын және оның бизнес-процестер үшін маңыздылығын анықтау.
Қауіп пен осалдықты бағалау:
Қауіпті анықтау: әрбір активке ықтимал қауіптерді анықтау. Бұған табиғи апаттар, адам қателері, зиянды әрекеттер және техникалық ақаулар кіруі мүмкін.
Осалдықты бағалау: жүйенің зақымдану қаупімен пайдаланылуы мүмкін әлсіз жерлерін талдау. Бұл техникалық, физикалық және ұйымдастырушылық осалдықтарды қамтиды.
Тәуекелді талдау:
Ықтималдылық пен салдарды бағалау: әрбір қауіптің туындау ықтималдығын анықтау және активтер мен тұтастай ұйым үшін ықтимал салдарды бағалау.
Тәуекел деңгейін есептеу: әрбір актив үшін тәуекел деңгейін анықтау үшін ықтималдық пен салдарды біріктіру.
Тәуекелдерді басқару шараларын әзірлеу:
Тәуекелді азайтуды анықтау: қауіптердің ықтималдығын немесе салдарын азайтатын шараларды анықтау және бағалау. Бұл техникалық шешімдер, ұйымдық өзгерістер немесе физикалық шаралар болуы мүмкін.
Тиісті шараларды таңдау: Тәуекелді азайту шараларының тиімділігі мен құнын бағалау және жүзеге асыру үшін ең қолайлыларын таңдау.
CRAMM әдісінің артықшылықтары
Кешенді тәсіл: CRAMM тәуекелдерді басқарудың барлық аспектілерін қамтиды, активтерді сәйкестендіруден бақылау мен шараларды қарауға дейін.
Құрылымдық: әдіс түсінікті және пайдалануды жеңіл ете отырып, анық және дәйекті құрылымды қамтамасыз етеді.
Әртүрлі секторларға қолдану мүмкіндігі: CRAMM әртүрлі салаларда, соның ішінде мемлекеттік және жеке секторларда қолданылады және ұйымдардың арнайы талаптарына бейімделуі мүмкін.
Шешім қабылдауды қолдау: Әдіс басшылыққа егжей-тегжейлі талдау мен бағалау негізінде тәуекелдерді басқару шешімдерін қабылдауға көмектеседі.
Тәжірибеде CRAMM қолдану
CRAMM ақпараттық жүйелерді, маңызды инфрақұрылымды және бизнес-процестерді қоса алғанда, әртүрлі контексттерде тәуекелдерді бағалау үшін қолданылады. Мысалы, ақпараттық қауіпсіздік тәуекелдерін бағалау үшін CRAMM пайдаланатын ұйымда процесс келесі қадамдарды қамтуы мүмкін:
Маңызды деректер мен жүйелерді анықтау: бизнес үшін ең маңызды деректер мен жүйелерді анықтау.
Ағымдағы қауіпсіздік шараларын бағалау:
Қолданыстағы қауіпсіздік шараларын талдау және олардың кемшіліктерін анықтау.
Қауіптер мен осалдықтарды талдау: ықтимал қауіптерді (мысалы, кибершабуылдар) және осалдықтарды (мысалы, бұрынғы жүйелер) анықтау.
Жаңа қауіпсіздік шараларын әзірлеу және енгізу: Деректер мен жүйелерді қорғауды жақсарту бойынша шараларды анықтау және енгізу.
4. FAIR (ақпараттық тәуекелдің факторлық талдауы) әдістемесі тәуекелдің сандық талдауын жүргізуге, үнемді көзқарас негізінде тәуекелдерді басқару жүйесін құру моделін ұсынуға, негізделген шешімдер қабылдауға, тәуекелдерді басқару шараларын, қаржылық көрсеткіштерді салыстыруға арналған меншікті негіз болып табылады. және дәл тәуекел үлгілері.
Кибертәуекелді талдаудың бұл тәсілі бастапқыда көптеген тәуекел элементтерінің жүйеленуі және нақты ұғымдарды анықтайтын анықтамалар жиынтығы болып табылады: тәуекел, қауіп, қауіп, активтер, бақылау және аудит. FAIR әдісі осы аспектілер арасындағы байланыстарды көрсетеді, корпорацияны ойландыратын азықпен қамтамасыз етеді.
FAIR стандарты сонымен қатар әртүрлі өлшенетін айнымалыларға сәйкес тәуекелдерді жіктеу және статистика мен ықтималдықты пайдалана отырып, тәуекелді сандық бағалау әдістемесін қамтиды.Мақсат - күрделі қауіптерді зерттеу, сандық анықтау үшін тиісті деректерді жинау және тәуекел компоненттерінің өзара тәуелділігін түсіну.
FAIR тұжырымдамасы болжамдық емес, ықтималдық болып табылады. Нәтижесінде тәуекел болашақ шығындардың ықтимал жиілігі мен шамасы ретінде анықталады. Басқаша айтқанда, FAIR тәуекелді жоғалту оқиғасының жиілігі (LEF) және ықтимал жоғалту шамасының (PLM) тіркесімін пайдалана отырып бағалайды, мұнда:
Тәуекел (USD) = Loss Frequency (LEF) * Ықтимал жоғалту мөлшері (PLM - USD);
FAIR осы сұрақтарға жауап беру үшін жарамды және логикалық негізді ұсынады:
Ақпараттық тәуекелді құрайтын факторлардың классификациясы. Бұл ақпараттық тәуекелдің тұжырымдамалық түсінігін береді, онсыз біз ақылды және ақылға қонымды ештеңе жасай алмаймыз. Жіктеу сонымен қатар терминдерімізге арналған стандартты анықтамалар жиынтығын береді.
Ақпараттық тәуекелге әкелетін факторларды өлшеу әдістемесі, соның ішінде. қатерлерді іске асыру жиілігі, осалдық пен зақымдану.
Өлшенетін факторлар арасындағы байланыстарды математикалық модельдеу арқылы тәуекел мөлшерін алуға мүмкіндік беретін есептеу схемасы.
Кез келген өлшемдегі және күрделіліктегі тәуекел сценарийлерін құру және талдау үшін жіктеуді, өлшеу әдістерін және есептеу схемаларын қолдануға мүмкіндік беретін модельдеу моделі.
5. FRAP (Facilitated Risk Analysis Process) әдістемесі тәуекелдерді бағалаудың салыстырмалы түрде жеңілдетілген әдісі болып табылады, тек ең маңызды активтерге назар аударады. Сапалық талдау сараптамалық бағалауды қолдану арқылы жүзеге асырылады.
FRAP бойынша ақпараттық қауіпсіздік тәуекелдерін талдау және бағалау бірнеше кезеңнен тұрады. Оларды қарастырайық.
1 кезең - FRAP тобы
Ұзақтығы: 1 күн.
Барлығы бизнес-менеджерлер, жоба менеджері (бұдан әрі - PM) және фасилитатор (байланысқа жауапты) кіретін FRAP тобын ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz