Ташкилотларда ахборот хавфсизлигига бўладиган хавф-хатар баҳолаш усули ҳақида



Ахборот хавфсизлигига бўладиган хавф-хатарларни баҳолаш жараёни таснифи ҳамда иқтисодий хавфларни баҳолаш усулини қўллаш ёрдамида ахборот хавфсизлигига хавфларни сонли баҳолаш усули келтирилган.

Калит сўзлар: хавфларни баҳолаш, ахборот хавфсизлиги, хавфларни сонли баҳолаш.

Приводится описание процесса оценки рисков информационной безопасности, а также рассматривается способ численной оценки рисков информационной безопасности с применением методов оценки рисков экономической безопасности.

Ключевые слова: оценка рисков, информационная безопасность, численная оценка рисков.

The description of the process of assessing information security risks, as well as, a method of numerical evaluation of information security risks with the use of risk assessment methods of economic security.

Key words: risk assessment, information security, a numerical risk assessment.

Кириш

Корхоналарнинг ташкилий ҳимоя структурасидан талаб қилувчи асосий ахборотлар оқимини, асосий манбааларни, махфий ахборотларни сақлайдиган жойларни белгилаш мумкин. Ҳимоя қилинаётган актив таннархи ошиб кетмаслигини эътиборга олган ҳолда, қимматли ахборотлар учун шундай ҳимоя мажмуаси қилиш керакки, унинг нархи ахборот таннархидан ошибкетмасин.

Ҳимоя талаб қилаётган активларни тўғри баҳолаш учун ташкилот ахборот тизимида аудит ўтказиш ва махфий ахборотларнинг барча оқимини белгилаш керак. Бундан кейин тахдитлар моделини тузиш ва бюджетдан самарали фойдаланган ҳимоя воситаларини аниқлаш зарур.

Ташкилотнинг ахборот оқими тахлили хулосасига кўра ахборот алмашиниш типик жараёни учун ахборотларни ҳимоялашнинг типик мажмуасини қўллаш ахборот хавфсизлигига бўладиган хавфларнинг катта қисмини бартараф қилишига имкон беради, ахборот ҳимоя воситаларини оқилона созлаш эса ихтиёрий ташкилотнинг ахборотларни йўқотишдан 99 % ҳимояни беради. Аммо ахборот ҳимоя воситаларини қўлланиш самарадорлигини баҳолаш зарур.

Амалиётда ахборот хавфсизлигини таъминлашнинг алохида ечимларини қўллаш шуни кўрсатадики, ҳамма вақт ҳам ҳимоя тизими етарлили ва самарали деб ҳисоблаганда фойдаланувчининг нуқтаи назари эътиборга олинавермайди. Турли ҳимоя воситаларини қўллашда ахборотларни рухсатсиз чиқиб кетишидан келадиган зарар билан ахборот ҳимоя ресурсларини таъминлаш учун кетадиган харажатлар баланс бериши керак [1].

Хавфларни баҳолаш усулларини танлашнинг муҳим жихатларидан бири шундаки, бунда олинган натижаларни ахборотларни ҳимоя тизимларига қўллаганда самарадор бўлиши керак. Аниқ кириш маълумотларини талаб қилувчи ва чиқиш маълумотлари бир қийматли бўлмаган қийин усуллардан фойдаланиш самарали ҳимоя яратмаслиги мумкин.

Risk Watch (АҚШ), CRAMM (Буюкбритания), COBRA (Буюкбритания), «АванГард» (Россия), ТРИФ (Россия), КОНДОР+ (Россия) каби дастурий таъминотлар автоматлаштирилган тизимларнинг ахборот хавфсизлигини жорий холати қай даражада эканлигини баҳолашга, функционал корпоратив тармоқ турғунлигини ошириш йўлидаги потенциалли йўқотишларни камайтиришга, хавфсизлик сиёсати ва концепциясини ишлаб чиқишга, шунингдек заиф жойлардан ва тахдитлардан ҳимоя режасини тақдим қилиш имконини беради [2, 3].

Эътибор қаратиш керакки, бугунги кунда тармоқ структураси турли-туман ва мураккаб автоматлаштирилган тизимлар мавжуд, буларга хавфларни баҳолашнинг аниқ бир усулини қўллаш мумкин эмас, аниқ қониқарли баҳолаш натижасини олиш учун мавжуд усуллари асосида хавфларни баҳолашга мажмуавий ёндашувни қўллаш керак.

Химоя воситаларига кетадиган харажат билан махсулот (хизмат) таннархи ўртасидаги балансни сақлашлаган ҳолда, зарур ва етарли ҳимоя даражасини таъминлаш ташкилот учун зарурлигини этиборга олиб ахборот хавфсизлигини тахдитларини тахлил қилувчи янги автоматлаштирилган тизим яратишни режалаштириш керак (1-расм).

1-расм. “Ҳимояга харажат–кутилаётган йўқотиш” лар ўхтасидаги идеаллаштирилган график

Ахборот ҳимоя тизимини тадбиқ қилгандан кейин тизимда доимий модернизация ўтказиб туриш керак, қайсиқи ташкилот соҳасидаги ихтиёрий кичик ўлчов ахборот хавфсизлиги тахдиди бўлиши мумкин ва ҳимоя учун бошқа ҳимоя воситалари тўплами керак бўлиши мумкин. Бу масалани амалга ошириш учун ишлаётган тизимдан ҳам фоидаланиш мумкин.

Асосий қисм

Кичик ва ўрта бизнес корхоналарининг (КЎБ) ахборот хавфсизлигига хавфларни баҳолашнинг умумий алгоритми 2-расмда келтирилган.

2-расм. Ахборот хавфсизлигига хавфларни баҳолаш алгоритми

Хавфларни баҳолаш процедураси, комплекс ёндашув каби корхонанинг рахбар ходимлари, бўлимлари ва хизматчиларининг ҳамкорлигида амалга оширилади.

1-босқич. Активлар идентификацияси. Бу босқичда экспертлар фойдаланилаётган манбааларни номоён қилиш мақсадида ҳар бир бўлим хизматчилари билан мулоқат олиб борадилар. Ахборот технологияларининг актив тизимлари умумий тизимнинг қисмлари ёки компоненталари ҳисобланади. Идентификацияда шуни эътиборга олиш керакки, ахборот технологтяларининг юқори тизимлар ўзига фақатгина қурилма воситаларини бириктирибгина қолмасдан, балки дастурий таъминотларни ҳам ўз ичига олади. Информацион активларни таснифлашда бинар мулохазалар ҳам юритилади. Активларнинг қуйидаги турлари мавжуд бўлиши мумкин:

1. Ахборот/маълумот (масалан, тўловлар ёки махсулотлар ҳақидаги маълумотларни сақловчи файл);
2. Қурилма воситалари (масалан, компьютер, принтер);
3. Амалий дастурларни ўз ичига олувчи дастурий таъминотлар (масалан, матинларни қайта ишловчи дастурлар, бирор мақсадга қаратилган дастурлар);
4. Алоқани таъминловчи қурилмалар (масалан, телефон, мис ва шиша толали кабеллар);
5. Дастурий-аппарат воситалар (масалан, электрон ахборотларни ташувчилар);
6. Хужжатлар;
7. Корхона махсулотлари;
8. Хизматлар (масалан, ахборот ёки хисоб-китоб хизматлари);
9. Хизмат кўрсатишда ишончлилик ва махфийлик (масалан, тўловларни амалга ошириш хизмати);
10. Ишда керакли шароитларни таъминловчи жихозлар;
11. Ташкилот ходими;
12. Ташкилотнинг нуфузи.

2-босқич. Ахборот хавфсизлиги сохасидаги қонунчилик талабларига номувофиқлк хавфларини аниқлаш. Ахборот тизимларига эга ёки иши ахборот технологиялари билан боғлиқ хар бир ташкилот хукуматнинг шу сохадаги қонунларига риоя қилиши керак. Бу талабларни бажарилмаслик фуқаролик, жиноий, башқарув, интизомий ва Ўзбекистон республикаси қонунчилигида назарда тутилган бошқа жавобгарликларга олиб келиши мумкин. Қонунчиликга риоя қилмаслик хавфи КЎБ ахборот хавфсизлигига умумий хавф ҳисобланади. Ахборот хавфсизлиги соҳасида қонунчилик талабларига номувофиқлк хавфларини аниқлаш алгоритими ҳимоя тизими талабларни қонунчилик талаблари билан мутоносиблик холатини атрофича тахлил қилишни ўз ичига олади. Барча талабларни тахлил қилишда, агар бажарилса “1”, акс ҳолда “0” қиймати берилади ва қуйидаги формула ёрдамида қонунчилик талабларига номувофиқлик хавфи аниқланади.

Бу ердаR_n–қонунчилик талабларига номувофиқлк хавф, n–қонунчилик талаблари сони, q_i–i чи талаб бажариланлигини қайд қилувчи индикатор.

3-босқич. Тахдид моделини ишлаб чиқиш. Ахборот хавфсизлигига хавфларни максимал аниқлаш учун корхона ахборот хавфсизлигига тахдидлар моделини ишлаб чиқиш зарур. Тахдидлар моделини қуришда уларни баҳолаш усули таклиф қилинади. Ноқулай вазиятлардаги хужумлар эхтимоллигини аниқлаш тахдидлар моделини қуриш билан шуғилланадиган эспертлар томонидан амалга оширилади. Усул ёрдамида ахборот хавфсизлигига тахдидларнинг долзарблиги ҳам аниқланади.

Тахдидларни баҳолаш тугаллангандан кейин хар бир идентификацияланган активга ёки активлар гуруҳига бўлаётган идентификацияланган долзарб тахдидларнинг рўйхати тузилади, тахдидларга дучор бўлганлар ҳамда тахдидларни амалга оширилиш эхтимоли ҳам аниқланади. Долзарб тахдидлар рўйхатини тузиш жараёнида тахдидларни долзарблаштириш услубиятини тавсифлашга ёрдам берувчи графлар назариясидан фойдаланилади.

4-босқич. Ахборот хавфсизлигига бўладиган хавфларни миқдорий баҳолаш процедураси. Бу босқич хавфларни баҳолаш жараёнининг асосий босқичларидан ҳисобланади. Ахборот хавфсизлигига бўладиган хавфларни миқдорий аниқлашнинг қадамма-қадам алгоритми 3-расмда келтирилган.

3-расм. Ахборот хавфсизлигига бўладиган хавфларни миқдорий баҳолаш алгоритми

1-қадам. Хусусий модел орқали долзарб тахдидларни танлаш. Ушбу қадамда корхона активлари ахборот хавфсизлигига долзарб тахдидларнинг рўйхати тахдидларнинг хусусий моделини қўллаган ҳолда шакллантирилади. Бу қадамда корхона активлари рўйхатидан фойдаланилади ва уларнинг ҳар бири тахдидлар моделининг долзарб тахдиди билан солиштирилади.

2-қадам. Тахдидлар хужумини эхтимоллигини аниқлаш. Битта активга бир нечта тахдидлар таъсир кўрсатиши мумкин. Танланган активга нисбатан камида бит тахдид амалга оширилиш эхтимоллигини аниқлаш. y₁, y₂, y₃,… y_n– тахдидларнинг амалга оширилиш этимолликлари, бу ерда n тахдидлар сони.

3-қадам. Актив баҳосини аниқлаш. Актив баҳоси ахборот активининг нархидан аниқланади. Кўпинча активларнинг баҳосини аниқ белгилаш мумкин эмас, бу ҳолларда актив баҳосини корхона фаолиятидаги ўрни орқали [0,1] оралиқда аниқлаш тавсия қилинади.

Активларни баҳолашнинг универсал услубияти йўқ, бу усулда активлар баҳоси корхона рахбарияти ва хавфларни баҳолаш бўйича эксперти ёки экспертлар гуруҳи хамкорлигида аниқланади.

4-қадам. Техник ва ташкилий зайифликлардан фойдаланиш имкониятини аниқлаш. Ташкилий зайифликлардан фойдаланиш имкониятини ахборот ҳимоясига қаратилган ташкилий чораларини қўллашни тахлил қилиш орқали аниқланади. Тахлил вақтида, амалга оширилган ташкилий чораларга “1” қиймати берилади, бошқаларига “0” қиймати берилади. “1” га тенг бўлган қийматларнинг йиғиндиси хисобланади ва ыуйидаги формула асосида ташкилий зайифлик коиффициенти аниыланади.

K_o–ташкилий зайифлик, n–ташкилийчоралар сони, t_i–i чичоранингамалгаоширлганлигиниқайд қилувчи идетификатор.

Техник зайифликлар ҳам шу тарзда аниқланади.

5-қадам. Хавфнинг миқдорий қийматини ҳисоблаш. Активга камида битта тахдид амалга оширилганда хавфларни баҳолаш процедураси бир нечта факторларни боғликлигига асосланган бўлади–камида битта долзарб тахдиднинг амалга ошиш эхтимоллиги, актив баҳоси коэффиценти, ташкилий зайифликлардан фойдаланиш имконияти ва техник зайифликлардан фойдаланиш имконияти коэффициентларининг ўрта арифметиги ҳамда қонунчилик талабларига номувофиқлик хавфи.

Мавжуд зайифликнинг аниқ активга муносабатини хисобга олган холда барча долзарб тахдидлар рўйхатидан камида битта тахдид амалга оширилганда хавфларни аниқлаш қуйидаги формула ёрдамида амалга оширилади:

Бу ерда R–тахдидни амалга ошириш хавфининг сонли катталиги; P_тахд–барча долзарб тахдидлар рўйхатидан камида битта тахдиднинг амалга оширилиш эхтимоллиги; R_n–қонунчилик талабларига номувофиқлик хавфи; C–актив баҳоси; K_o–ташкилий зайифликлардан фойдаланиш эхтимоллиги; K_t–техник зайифликлардан фойдаланиш эхтимоллиги.

5-босқич. Йўл қўйилган хатар даражасини аниқлаш. Кичик ва ўрта бизнес корхоналари хавф қийматини 5 % дан оширмаслик тавсия қилинади.Хавф қиймати 5 % дан кам бўлса ахборот хавфсизлиги бўйича талаблар бажарилаётган деб ҳисобланади ва баҳоланган актив ҳимояланганлиги қониқарли ҳисобланади. Хавф қиймати 5 % дан катта бўлса ташкилотда талабларнинг бажарилмаяпди деган хулоса қилинади ва баҳоланаётган акив турининг ахборот хавсизлигини ошириш бўйича тезда қарор қабул қилиш талаб қилинади.

Хулоса

Ахборот хавфсизлигига хавфни бахолашнинг барча босқичлари кичик ва ўрта бизнес корхоналарининг хар бир турдаги активларида ўтказилади.

Ахборот хавфсизлигига долзарб хавфни аниқлангандан кейин, хавф даражасини камайтириш бўйича тавсияларни танлаш ва корхона ахборот хавфсизлигини яхшилашга қаратилган самарали чораларни қабул қилиш керак. Ушбу усулда ҳар бир активга бўладиган хавф алохида ҳисобланганлиги сабабли, хавфлар устиворлигини аниқлаш имконияти мавжуд ва бунинг асосида ишлаб чиқилган чора тадбирларнинг устиворлиги ҳам аниқлаш мумкин. Хавфларни бу усулда баҳолаш хавф эхтимолликларини самарали бошқариш имкониятини беради.

Адабиётлар:

1. Лопарёв С., Шелупанов А., Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия. http://www.iso27000.ru
2. Кудрявцева Р. Т. Управление информационными рисками с использованием технологий когнитивного моделирования: автореф. дис. … к. т. н. — Уфа, 2008. — 17 c.
3. Кустов Г. А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис.... к. т. н. — Уфа, 2008.
4. Симонов С. Технологии и инструментарий для управления рисками // Jet Info. — 2003.–№ 2 (117).
5. Digital Security [Электронный ресурс]. — Режим доступа: http://www.dsec.ru/about/articles/ar_compare/, свободный (дата обращения: 29.04.2012).