Тәуекелдерді бақылау стратегиялары - Risk control strategies

Тәуекелдерді бақылау стратегиялары бұл АТ қолданатын қорғаныс шаралары InfoSec шектеу үшін қауымдастықтар осалдықтар және басқару тәуекелдер қолайлы деңгейге дейін. Бірқатар бар стратегиялар қорғаныстың бір шарасы ретінде немесе бірнеше стратегияларды біріктіре отырып қолдануға болады. A қауіп-қатерді бағалау тәуекелдерді басқаруға көмектесу үшін ресурстар мен активтерге әсер етуі мүмкін қауіптер мен осалдықтарды анықтау және анықтау процесіне қосылуы керек маңызды құрал. Тәуекелдерді басқару сонымен қатар тәуекелдерді бақылау стратегиясының құрамдас бөлігі болып табылады, өйткені Нельсон және т.б. (2015 ж.) «Тәуекелдерді басқару жабдықты ауыстыру сияқты кез-келген үдеріс немесе операция үшін қаншалықты тәуекелдің қолайлы болатындығын анықтаудан тұрады» деп мәлімдейді.^[1]

Қауіптердің мысалдары
Әлеуметтік инженерия
Ұрлық
Вандализм
Табиғат күштері
Адамның қателігі
Бағдарламалық жасақтама қателері
Жабдық қателіктері

Стратегиялар

Осалдықтан туындайтын тәуекелдерді бақылаудың бес негізгі стратегиясы ^[2]

Қорғаныс - қалған бақыланбайтын тәуекелді жоятын немесе төмендететін қауіпсіздік шараларын қолдану
Трансферттік - басқа салаларға немесе басқа ұйымдарға тәуекелдерді ауыстыру
Жұмсарту - шабуылдаушы осалдықты сәтті пайдаланған жағдайда ақпараттық активтердің әсерін азайту
Қабылдау - тәуекелді бақылаусыз қалдыруды таңдаудың нәтижелерін түсіну, содан кейін бақылауға тырысусыз қалатын тәуекелді дұрыс қабылдау
Тоқтату - ұйымның жұмыс ортасынан ақпараттық активті алып тастау немесе тоқтату

Қорғаныс

Қорғаныс стратегиясы қорғанысты қажет ететін осалдықты қанауды тоқтату үшін жұмыс істейді. Қорғаныс әдістері қорғаныс стратегиясы ретінде қорғауды қамтамасыз ету үшін физикалық, логикалық немесе екеуін де қолдана алады. Қорғаныс шараларының бірнеше қабатын қолдану деп аталады терең қорғаныс. Терең қорғаныс Стюарт және басқалар кіруді басқаруды қолданады. (2012) «қатпарлы қауіпсіздікті қамтамасыз ету үшін қол жетімділікті басқарудың бірнеше қабаттары немесе деңгейлері орналастырылған» деп сипаттайды ^[3]

Аудару

Stalling & Brown-дің бұл стратегиясы «тәуекел үшін жауапкершілікті үшінші тараппен бөлісу болып табылады. Бұған, әдетте, туындаған тәуекелден сақтандыру, басқа ұйыммен келісімшарт жасасу немесе серіктестік немесе бірлескен кәсіпорынды пайдалану арқылы қол жеткізіледі. қауіп туындаған жағдайда тәуекел мен шығындарды бөлісетін құрылымдар.^[4] Сақтандыруды сатып алу актісі тәуекелді аударудың мысалы болып табылады.

Жеңілдету

The жеңілдету сәтті шабуылды шектеу шараларын қолдану арқылы осалдықтың залалын азайтуға бағытталған стратегия. Хилл (2012) айтуынша, «мұны тәуекелге ұшырататын кемшіліктерді түзету арқылы немесе әлсіздіктің іс жүзінде зиян келтіру ықтималдығын азайтатын немесе компенсациялық тәуекелге байланысты әсерді төмендететін өтемдік бақылауды орнату арқылы жасауға болады» нақты кемшіліктермен.^[5]

Қабылдау

Бұл стратегия анықталған тәуекелді қабылдайды және ешқандай қорғаныс стратегиясын қолданбайды. Қабылдау стратегиясын қолдану себебі кепілдік шараларын қолдануға байланысты шығындардың сәтті шабуыл немесе ымыраға келуден көп болатындығында.

Тоқтату

Активті қорғау үшін қауіпсіздікті қолданудың немесе нөлдік кепілдіктерді қолданудың және активке қатысты тәуекелдерді қабылдаудың орнына, бұл стратегия активті қоршаған ортадан тәуекелдермен жояды. Серверді желіден алып тастау осы стратегияның мысалы бола алады, өйткені компания ресурстарды тоқтату тәуекелге байланысты оны желіде қалдырудың пайдасынан гөрі жоғары болатындығын анықтады.

Әдебиеттер тізімі

^ Нельсон, Б., Филлипс, А., & Стюарт, С. (2015). Компьютерлік криминалистика және тергеу жөніндегі нұсқаулық (5-ші басылым). Бостон, MA: Cengage Learning.
^ Whitman, M. E., & Mattord, H. J. (2014). Ақпараттық қауіпсіздікті басқару (4-ші басылым). Стэмфорд, КТ: Cengage Learning.
^ Стюарт, Дж., Чаппл, М., & Гибсон, Д. (2012). CISSP: сертификатталған ақпараттық жүйелер қауіпсіздігі жөніндегі кәсіби оқу құралы (6-шы басылым). Индианаполис, IN: Вили.
^ Stallings, W., & Brown, L. (2015). Компьютерлік қауіпсіздік принциптері мен практикасы (3-ші басылым). Жоғарғы Седл өзені, NJ: Pearson Education, Inc.
^ Hill, D. G. (2009). Деректерді қорғау. Бока Ратон, Флорида: CRC Press.

Сыртқы сілтемелер

Тәуекелдерді азайтуды жоспарлау, енгізу және ілгерілеуді бақылау

[1] Нельсон, Б., Филлипс, А., & Стюарт, С. (2015). Компьютерлік криминалистика және тергеу жөніндегі нұсқаулық (5-ші басылым). Бостон, MA: Cengage Learning.

[2] Whitman, M. E., & Mattord, H. J. (2014). Ақпараттық қауіпсіздікті басқару (4-ші басылым). Стэмфорд, КТ: Cengage Learning.

[3] Стюарт, Дж., Чаппл, М., & Гибсон, Д. (2012). CISSP: сертификатталған ақпараттық жүйелер қауіпсіздігі жөніндегі кәсіби оқу құралы (6-шы басылым). Индианаполис, IN: Вили.

[4] Stallings, W., & Brown, L. (2015). Компьютерлік қауіпсіздік принциптері мен практикасы (3-ші басылым). Жоғарғы Седл өзені, NJ: Pearson Education, Inc.

[5] Hill, D. G. (2009). Деректерді қорғау. Бока Ратон, Флорида: CRC Press.

[1]

[2]

[3]

[4]

[5]