Материалдар / " Microsoft әдістемесіне сәйкес тәуекелдерді бағалауды жүргізудің бар тәсілдерін талдау" тақырыбына презентация
МИНИСТРЛІКПЕН КЕЛІСІЛГЕН КУРСҚА ҚАТЫСЫП, АТТЕСТАЦИЯҒА ЖАРАМДЫ СЕРТИФИКАТ АЛЫҢЫЗ!
Сертификат Аттестацияға 100% жарамды
ТОЛЫҚ АҚПАРАТ АЛУ

" Microsoft әдістемесіне сәйкес тәуекелдерді бағалауды жүргізудің бар тәсілдерін талдау" тақырыбына презентация

Материал туралы қысқаша түсінік
Презентация 4 курс студенттеріне арналған
Авторы:
Автор материалды ақылы түрде жариялады. Сатылымнан түскен қаражат авторға автоматты түрде аударылады. Толығырақ
09 Желтоқсан 2020
251
0 рет жүктелген
770 ₸
Бүгін алсаңыз
+39 бонус
беріледі
Бұл не?
Бүгін алсаңыз +39 бонус беріледі Бұл не?
Тегін турнир Мұғалімдер мен Тәрбиешілерге
Дипломдар мен сертификаттарды алып үлгеріңіз!
Бұл бетте материалдың қысқаша нұсқасы ұсынылған. Материалдың толық нұсқасын жүктеп алып, көруге болады
img_page_1
Ресми байқаулар тізімі
Республикалық байқауларға қатысып жарамды дипломдар алып санатыңызды көтеріңіз!
Материалдың қысқаша түсінігі
Microsoft Әдістемесі. Microsoft әдістемесіне сәйкес тәуекелдерді бағалауды жүргізудің бар тәсілдерін талдау

1 слайд
Microsoft Әдістемесі. Microsoft әдістемесіне сәйкес тәуекелдерді бағалауды жүргізудің бар тәсілдерін талдау

1 слайд

Microsoft Әдістемесі. Microsoft әдістемесіне сәйкес тәуекелдерді бағалауды жүргізудің бар тәсілдерін талдау

Microsoft корпорациясы ұсынатын тәуекелдерді басқару процесі [8] тәуекелдерді бағалау кезеңін келесі үш кезеңге бөледі:Жоспар

2 слайд
Microsoft корпорациясы ұсынатын тәуекелдерді басқару процесі [8] тәуекелдерді бағалау кезеңін келесі үш кезеңге бөледі:Жоспарлау. Тәуекелдерді табысты бағалау үшін негіз әзірлеу.Үйлестірілген деректер жинау. Тәуекелдерді Үйлестірілген талқылау барысында тәуекелдер туралы ақпарат жинау.Тәуекелдердің басымдылығы. Дәйекті және қайталанатын процесс негізінде анықталған тәуекелдерді саралау.Бағалау үшін сізге деректерді жинау қажет:Ұйымның активтері.Қауіпсіздік қатерлері.Осалдықтар.Ағымдағы бақылау ортасы (ЕСК. аударма авторлары қабылдаған нұсқаулықта [8] терминологияда ақпаратты қорғау құралдары мен шаралары бақылау элементтері деп аталады, сәйкесінше бақылау ортасы - элементтер жиынтығы).Ұсынылатын басқару элементтері.

2 слайд

Microsoft корпорациясы ұсынатын тәуекелдерді басқару процесі [8] тәуекелдерді бағалау кезеңін келесі үш кезеңге бөледі:Жоспарлау. Тәуекелдерді табысты бағалау үшін негіз әзірлеу.Үйлестірілген деректер жинау. Тәуекелдерді Үйлестірілген талқылау барысында тәуекелдер туралы ақпарат жинау.Тәуекелдердің басымдылығы. Дәйекті және қайталанатын процесс негізінде анықталған тәуекелдерді саралау.Бағалау үшін сізге деректерді жинау қажет:Ұйымның активтері.Қауіпсіздік қатерлері.Осалдықтар.Ағымдағы бақылау ортасы (ЕСК. аударма авторлары қабылдаған нұсқаулықта [8] терминологияда ақпаратты қорғау құралдары мен шаралары бақылау элементтері деп аталады, сәйкесінше бақылау ортасы - элементтер жиынтығы).Ұсынылатын басқару элементтері.

Microsoft ұсынатын қауіпсіздік тәуекелдерін басқару процесі келесі үш сапалы активтер класын анықтайды:бизнеске жоғары әсер ет

3 слайд
Microsoft ұсынатын қауіпсіздік тәуекелдерін басқару процесі келесі үш сапалы активтер класын анықтайды:бизнеске жоғары әсер ету (ВВБ) - бұл активтердің құпиялылығына, тұтастығына және қол жетімділігіне әсер ету ұйымға айтарлықтай немесе апатты зиян келтіруі мүмкін. Мысалы, құпия бизнес деректері осы сыныпқа жатады.бизнеске орташа әсер ету (СВБ) - бұл активтердің құпиялылығына, тұтастығына және қол жетімділігіне әсер ету ұйымға орташа зиян келтіруі мүмкін. Орташа залал айтарлықтай немесе апатты өзгерістер тудырмайды, бірақ ұйымның қалыпты жұмысын активтердің осы класындағы әсерді азайту үшін проактивті бақылау элементтерін қажет ететін деңгейге дейін бұзады. Бұл сыныпқа қызметкерлердің тізімі немесе кәсіпорынның Тапсырыс деректері сияқты ішкі коммерциялық деректер кіруі мүмкін.бизнеске төмен әсер ету (НВБ) - ВВБ және СВБ сыныптарына кірмейтін активтер НВБ класына жатады. Мұндай активтерді қорғауға ресми талаптар қойылмайды және ол инфрақұрылымды қорғаудың стандартты ұсыныстарынан тыс қосымша бақылауды қажет етпейді. Мысалы, бұл ұйымның құрылымы туралы жалпы ақпарат болуы мүмкін.

3 слайд

Microsoft ұсынатын қауіпсіздік тәуекелдерін басқару процесі келесі үш сапалы активтер класын анықтайды:бизнеске жоғары әсер ету (ВВБ) - бұл активтердің құпиялылығына, тұтастығына және қол жетімділігіне әсер ету ұйымға айтарлықтай немесе апатты зиян келтіруі мүмкін. Мысалы, құпия бизнес деректері осы сыныпқа жатады.бизнеске орташа әсер ету (СВБ) - бұл активтердің құпиялылығына, тұтастығына және қол жетімділігіне әсер ету ұйымға орташа зиян келтіруі мүмкін. Орташа залал айтарлықтай немесе апатты өзгерістер тудырмайды, бірақ ұйымның қалыпты жұмысын активтердің осы класындағы әсерді азайту үшін проактивті бақылау элементтерін қажет ететін деңгейге дейін бұзады. Бұл сыныпқа қызметкерлердің тізімі немесе кәсіпорынның Тапсырыс деректері сияқты ішкі коммерциялық деректер кіруі мүмкін.бизнеске төмен әсер ету (НВБ) - ВВБ және СВБ сыныптарына кірмейтін активтер НВБ класына жатады. Мұндай активтерді қорғауға ресми талаптар қойылмайды және ол инфрақұрылымды қорғаудың стандартты ұсыныстарынан тыс қосымша бақылауды қажет етпейді. Мысалы, бұл ұйымның құрылымы туралы жалпы ақпарат болуы мүмкін.

Бағалауды келесі шкала бойынша жүргізу ұсынылады:Жоғары экспозиция. Актив үшін айтарлықтай немесе толық залал.Орташа экспозици

4 слайд
Бағалауды келесі шкала бойынша жүргізу ұсынылады:Жоғары экспозиция. Актив үшін айтарлықтай немесе толық залал.Орташа экспозиция. Орташа немесе шектеулі залал.Төмен әсер ету. Шамалы зиян немесе болмауы.Келесі қадам - қауіптің пайда болу жиілігін бағалау:Жоғары. Жыл ішінде бір немесе бірнеше оқиғалар болуы мүмкін.Орта. Әсер екі-үш жыл ішінде пайда болуы мүмкін.Төмен. Үш жыл ішінде әсердің пайда болуы екіталай.

4 слайд

Бағалауды келесі шкала бойынша жүргізу ұсынылады:Жоғары экспозиция. Актив үшін айтарлықтай немесе толық залал.Орташа экспозиция. Орташа немесе шектеулі залал.Төмен әсер ету. Шамалы зиян немесе болмауы.Келесі қадам - қауіптің пайда болу жиілігін бағалау:Жоғары. Жыл ішінде бір немесе бірнеше оқиғалар болуы мүмкін.Орта. Әсер екі-үш жыл ішінде пайда болуы мүмкін.Төмен. Үш жыл ішінде әсердің пайда болуы екіталай.

Деректер төмендегі шаблонға жиналады (сурет. 4.8). Тәуекелдерді талдауға арналған шаблондар жиынтығы ( Excel файлдары түрінде)

5 слайд
Деректер төмендегі шаблонға жиналады (сурет. 4.8). Тәуекелдерді талдауға арналған шаблондар жиынтығы ( Excel файлдары түрінде) Microsoft веб- сайтындағы Нұсқаулық мәтінімен бірге қол жетімді. Әдістемені түсіндіру үшін шаблондарды толтырудың әртүрлі кезеңдерін көрсететін скриншоттар төменде келтірілген.Қауіптер үшін көп деңгейлі қорғау тұжырымдамасына (деңгейлер - физикалық, желілер, хост, қосымшалар, деректер) сәйкес әсер ету деңгейі көрсетіледі. Сур. 4.8. Үлгі экранының суреті

5 слайд

Деректер төмендегі шаблонға жиналады (сурет. 4.8). Тәуекелдерді талдауға арналған шаблондар жиынтығы ( Excel файлдары түрінде) Microsoft веб- сайтындағы Нұсқаулық мәтінімен бірге қол жетімді. Әдістемені түсіндіру үшін шаблондарды толтырудың әртүрлі кезеңдерін көрсететін скриншоттар төменде келтірілген.Қауіптер үшін көп деңгейлі қорғау тұжырымдамасына (деңгейлер - физикалық, желілер, хост, қосымшалар, деректер) сәйкес әсер ету деңгейі көрсетіледі. Сур. 4.8. Үлгі экранының суреті

Ағымдағы бақылау элементтері бағанында осы қауіпке қарсы қолданылатын қорғау құралдары мен шаралары сипатталады. Жиналған мәлім

6 слайд
Ағымдағы бақылау элементтері бағанында осы қауіпке қарсы қолданылатын қорғау құралдары мен шаралары сипатталады. Жиналған мәліметтер негізінде кесте толтырылады, оның мысалы суретте көрсетілген. 4.9.

6 слайд

Ағымдағы бақылау элементтері бағанында осы қауіпке қарсы қолданылатын қорғау құралдары мен шаралары сипатталады. Жиналған мәліметтер негізінде кесте толтырылады, оның мысалы суретте көрсетілген. 4.9.

Тәуекелдерді бағалау кезеңінің келесі қадамы-тәуекелдерді басымдандыру, яғни басымдықтар бойынша реттелген тәуекелдер тізімін

7 слайд
Тәуекелдерді бағалау кезеңінің келесі қадамы-тәуекелдерді басымдандыру, яғни басымдықтар бойынша реттелген тәуекелдер тізімін құру. Бұл тізімді қалыптастыру алдымен жалпыланған деңгейде ұсынылады, содан кейін ең маңызды тәуекелдердің сипаттамалары егжей-тегжейлі сипатталады.Актив класының мәніне және суретте көрсетілген кесте бойынша активтің әсеріне ұшырауын бағалауға сүйене отырып. 4.10 әсер ету деңгейі анықталады Сур. 4.10. Активтің класы және әсер ету деңгейі бойынша әсер ету деңгейін анықтау

7 слайд

Тәуекелдерді бағалау кезеңінің келесі қадамы-тәуекелдерді басымдандыру, яғни басымдықтар бойынша реттелген тәуекелдер тізімін құру. Бұл тізімді қалыптастыру алдымен жалпыланған деңгейде ұсынылады, содан кейін ең маңызды тәуекелдердің сипаттамалары егжей-тегжейлі сипатталады.Актив класының мәніне және суретте көрсетілген кесте бойынша активтің әсеріне ұшырауын бағалауға сүйене отырып. 4.10 әсер ету деңгейі анықталады Сур. 4.10. Активтің класы және әсер ету деңгейі бойынша әсер ету деңгейін анықтау

Алынған бағалар кестеде келтірілген, оның мысалы суретте келтірілген. 4.12.

8 слайд
Алынған бағалар кестеде келтірілген, оның мысалы суретте келтірілген. 4.12.

8 слайд

Алынған бағалар кестеде келтірілген, оның мысалы суретте келтірілген. 4.12.

Әсер ету деңгейі бес балдық шкала бойынша бағаланады. Тұтастық пен құпиялылыққа қауіп төндіретін Шкала суретте көрсетілген. 4.1

9 слайд
Әсер ету деңгейі бес балдық шкала бойынша бағаланады. Тұтастық пен құпиялылыққа қауіп төндіретін Шкала суретте көрсетілген. 4.13. Қызмет көрсетуден бас тарту қаупі үшін-суретте. 4.14. Экспозицияның соңғы деңгейі ретінде максималды мәнді таңдау ұсынылады. Сур. 4.13. Құпиялылық пен тұтастық қаупі үшін әсер ету деңгейлері

9 слайд

Әсер ету деңгейі бес балдық шкала бойынша бағаланады. Тұтастық пен құпиялылыққа қауіп төндіретін Шкала суретте көрсетілген. 4.13. Қызмет көрсетуден бас тарту қаупі үшін-суретте. 4.14. Экспозицияның соңғы деңгейі ретінде максималды мәнді таңдау ұсынылады. Сур. 4.13. Құпиялылық пен тұтастық қаупі үшін әсер ету деңгейлері

Әсер ету деңгейін анықтағаннан кейін әсер ету шамасын бағалау жүргізіледі. Сур. 4.15. Әсер ету шамаларын анықтау

10 слайд
Әсер ету деңгейін анықтағаннан кейін әсер ету шамасын бағалау жүргізіледі. Сур. 4.15. Әсер ету шамаларын анықтау

10 слайд

Әсер ету деңгейін анықтағаннан кейін әсер ету шамасын бағалау жүргізіледі. Сур. 4.15. Әсер ету шамаларын анықтау

Келесі міндет - әсер ету ықтималдығын анықтау. Алынған ықтималдық деңгейі екі мән негізінде анықталады. Бірінші мән қазіргі орт

11 слайд
Келесі міндет - әсер ету ықтималдығын анықтау. Алынған ықтималдық деңгейі екі мән негізінде анықталады. Бірінші мән қазіргі ортада осалдықтың болу ықтималдығын анықтайды. Екінші мән ағымдағы бақылау элементтерінің тиімділігіне сүйене отырып, осалдықтың болу ықтималдығын анықтайды. Әр мән 1-ден 5-ке дейін өзгереді.

11 слайд

Келесі міндет - әсер ету ықтималдығын анықтау. Алынған ықтималдық деңгейі екі мән негізінде анықталады. Бірінші мән қазіргі ортада осалдықтың болу ықтималдығын анықтайды. Екінші мән ағымдағы бақылау элементтерінің тиімділігіне сүйене отырып, осалдықтың болу ықтималдығын анықтайды. Әр мән 1-ден 5-ке дейін өзгереді.

Сур. 4.17. Ықтималдық деңгейін бағалау

12 слайд
Сур. 4.17. Ықтималдық деңгейін бағалау

12 слайд

Сур. 4.17. Ықтималдық деңгейін бағалау

Сур. 4.18. Ағымдағы бақылаудың тиімділігін бағалау

13 слайд
Сур. 4.18. Ағымдағы бақылаудың тиімділігін бағалау

13 слайд

Сур. 4.18. Ағымдағы бақылаудың тиімділігін бағалау

Сур. 4.19. Алынған бағалау

14 слайд
Сур. 4.19. Алынған бағалау

14 слайд

Сур. 4.19. Алынған бағалау

Сур. 4.20. Нақтылау деңгейіндегі тәуекелдер тізбесі ( SRMGTool3)

15 слайд
Сур. 4.20. Нақтылау деңгейіндегі тәуекелдер тізбесі ( SRMGTool3)

15 слайд

Сур. 4.20. Нақтылау деңгейіндегі тәуекелдер тізбесі ( SRMGTool3)

Сур. 4.21. Алынған сапалы рейтинг

16 слайд
Сур. 4.21. Алынған сапалы рейтинг

16 слайд

Сур. 4.21. Алынған сапалы рейтинг

Активтер класының құнын анықтағаннан кейін әр тәуекелдің құнын анықтап, таңдау керек.Келесі міндет-активке келтірілуі мүмкін зи

17 слайд
Активтер класының құнын анықтағаннан кейін әр тәуекелдің құнын анықтап, таңдау керек.Келесі міндет-активке келтірілуі мүмкін зиянның дәрежесін анықтау. Есептеулер үшін әсерге ұшыраудың бұрын анықталған деңгейін пайдалану ұсынылады, оның негізінде әсерге ұшырау факторы айқындалады (қайта есептеудің ұсынылатын формуласы - деңгей мәнін (баллмен) 20% - ға көбейту). Сур. 4.22. Күтілетін бір жолғы зиянды сандық бағалау

17 слайд

Активтер класының құнын анықтағаннан кейін әр тәуекелдің құнын анықтап, таңдау керек.Келесі міндет-активке келтірілуі мүмкін зиянның дәрежесін анықтау. Есептеулер үшін әсерге ұшыраудың бұрын анықталған деңгейін пайдалану ұсынылады, оның негізінде әсерге ұшырау факторы айқындалады (қайта есептеудің ұсынылатын формуласы - деңгей мәнін (баллмен) 20% - ға көбейту). Сур. 4.22. Күтілетін бір жолғы зиянды сандық бағалау

Сур. 4.23. Күтілетін бір реттік залалды анықтау мысалы (сомасы миллион доллармен көрсетілген)

18 слайд
Сур. 4.23. Күтілетін бір реттік залалды анықтау мысалы (сомасы миллион доллармен көрсетілген)

18 слайд

Сур. 4.23. Күтілетін бір реттік залалды анықтау мысалы (сомасы миллион доллармен көрсетілген)

Сур. 4.24. Пайда болуының жыл сайынғы жиілігін сандық бағалау

19 слайд
Сур. 4.24. Пайда болуының жыл сайынғы жиілігін сандық бағалау

19 слайд

Сур. 4.24. Пайда болуының жыл сайынғы жиілігін сандық бағалау

Күтілетін жылдық зиянды ( ALE ) анықтау үшін SLE және ARO мәндері көбейтіледі . ALE мәні тәуекелден ықтимал жылдық шығын

20 слайд
Күтілетін жылдық зиянды ( ALE ) анықтау үшін SLE және ARO мәндері көбейтіледі . ALE мәні тәуекелден ықтимал жылдық шығындарды сипаттайды. Бұл көрсеткіш қаржылық дайындығы бар мүдделі тұлғаларға келтірілген залалды бағалауға көмектессе де, қауіпсіздік тәуекелдерін басқару тобы ұйымға әсер ету жылдық шығындардың мөлшерімен шектелмейтінін еске салуы керек - тәуекелдің пайда болуы толық көлемде зиян келтіруге әкелуі мүмкін.

20 слайд

Күтілетін жылдық зиянды ( ALE ) анықтау үшін SLE және ARO мәндері көбейтіледі . ALE мәні тәуекелден ықтимал жылдық шығындарды сипаттайды. Бұл көрсеткіш қаржылық дайындығы бар мүдделі тұлғаларға келтірілген залалды бағалауға көмектессе де, қауіпсіздік тәуекелдерін басқару тобы ұйымға әсер ету жылдық шығындардың мөлшерімен шектелмейтінін еске салуы керек - тәуекелдің пайда болуы толық көлемде зиян келтіруге әкелуі мүмкін.

Қорытындылай келе, біз АҚ саласындағы тәуекелдерге талдау жүргізудің артықшылықтарын атап өтеміз:қауіпсіздік саласындағы пробле

21 слайд
Қорытындылай келе, біз АҚ саласындағы тәуекелдерге талдау жүргізудің артықшылықтарын атап өтеміз:қауіпсіздік саласындағы проблемаларды анықтау (жүйе компоненттерінің осалдықтарын ғана емес, сонымен қатар қауіпсіздік саясатындағы кемшіліктерді де және т. б.);тәуекелдерді талдау техникалық емес мамандарға (атап айтқанда, ұйым басшылығына) қорғау құралдары мен тетіктерін енгізуден түсетін пайданы бағалауға және КЖ қорғалуының талап етілетін деңгейін айқындау процесіне қатысуға мүмкіндік береді;тәуекелдерді бағалауды жүргізу қауіпсіздік жөніндегі ұсынымдарға негізділік қосады;тәуекелдерді басымдықтар бойынша саралау жаңа АҚҚ, АҚ-ны қамтамасыз ету шаралары мен рәсімдерін енгізу үшін неғұрлым басым бағыттарды айқындауға мүмкіндік береді;тәуекелдерді талдаудың егжей-тегжейлі әдістері осы саланың маманы емес адамдарға сенімді талдау нәтижелерін алу үшін Әдістемеде жинақталған білімді пайдалануға мүмкіндік береді.

21 слайд

Қорытындылай келе, біз АҚ саласындағы тәуекелдерге талдау жүргізудің артықшылықтарын атап өтеміз:қауіпсіздік саласындағы проблемаларды анықтау (жүйе компоненттерінің осалдықтарын ғана емес, сонымен қатар қауіпсіздік саясатындағы кемшіліктерді де және т. б.);тәуекелдерді талдау техникалық емес мамандарға (атап айтқанда, ұйым басшылығына) қорғау құралдары мен тетіктерін енгізуден түсетін пайданы бағалауға және КЖ қорғалуының талап етілетін деңгейін айқындау процесіне қатысуға мүмкіндік береді;тәуекелдерді бағалауды жүргізу қауіпсіздік жөніндегі ұсынымдарға негізділік қосады;тәуекелдерді басымдықтар бойынша саралау жаңа АҚҚ, АҚ-ны қамтамасыз ету шаралары мен рәсімдерін енгізу үшін неғұрлым басым бағыттарды айқындауға мүмкіндік береді;тәуекелдерді талдаудың егжей-тегжейлі әдістері осы саланың маманы емес адамдарға сенімді талдау нәтижелерін алу үшін Әдістемеде жинақталған білімді пайдалануға мүмкіндік береді.