Байланысты: 7-тарау (СИБ-31 Аманова А., Боранова Г., Мырза Ә., Сулейманова Г.)
ТӘУЕКЕЛ ТУРАЛЫ ХАБАРДАР БОЛУ ЖӘНЕ БАСҚАРУ Тәуекелдерді басқару – қауіпсіздік пен нормативтік талаптарға сәйкестіктігінің орталықтандырылған тақырыбы, яғни ол дегеніміз жүйелерді шабуылдардан қорғау.
Қауіпсіздік саласында соңғы бірнеше онжылдықта тәуекелдерді түсіну және бақылау әдістерін анықтау және стандарттау үшін көп күш жұмсалды. PCI DSS және SOX стандарттары, сондай-ақ NIST SP 800-53 және COBIT сияқты басқару және бақылау жүйелерінің мақсаты – ұйымның тәуекелдерді басқаруға саналы және дәлелденген тәсілді қабылдау, мысалы:
ISO 27005;
NIST SP 800-30/39;
OCTAVE;
FAIR;
AS/NZS 4360.
Бұл тәуекелдерді басқару әдістемелері сенімсіз жұмыстармен істес. Тәуекелдерді басқарудың кез келген тәсілі тәуекелдерді анықтаудан, бағалаудан және сұрыптаудан басталып, сенімсіз істің үстінен белгілі бір бақылауға қол жеткізуге ұмтылады.
Тәуекелді бағалау қандай да бір қолайсыз оқиғаның ықтималдығын және осы оқиға орын алған жағдайда ұйымға ықтимал зиян келтіруді ескереді. Ол үшін әрбір тәуекелге сандық мән (сандық бағалау) немесе жоғары-орта-төмен шкала бойынша салыстырмалы басымдылық (сапалық бағалау) беріледі.
ISO 31010 тәуекелді бағалаудың халықаралық стандарты 31 бағалау әдісін сипаттайды. Тәуекелді бағалаудың ресми әдістері бірнеше нұсқалар арасында таңдау жасауға және «Жүйені, деректерді, ұйымды және тұтынушыларды ықтимал қауіптерден қорғау үшін қанша ақша жұмсауым керек?» деген сияқты сұрақтарға жауап беруге көмектеседі. Бірақ формальды әдістер қолданылғанның өзінде бағдарламалық жасақтамаға тән тәуекелдерді бағалау қиындық тудырады.
Веб-қолданбалардың бірінде XSS (сайтаралық скриптинг) осалдығын сәтті пайдаланудың құны қандай? Және оның орын алу ықтималдығы қандай? Өнім иесі немесе бағдарлама менеджері қандай тәуекелдерді және қандай ретпен шешу керектігін шешкен кезде қандай критерийлерді қолдануы керек?
Нормативтік талаптар көбінесе мұндай шешімдердің қалай қабылданатынын белгілейді. Мысалы, PCI DSS стандартында белгілі бір тәуекелді бағалаумен барлық осалдықтар белгілі бір уақыттан кешіктірілмей түзетілуі керек екендігі анық айтылған.