• تحلیل ریسک های امنیت اطلاعات در بخش بانکداری به عنوان مثال "بانک بدون اعتبار". تجزیه و تحلیل چند متغیره خطرات امنیت اطلاعات رویکردها و روش ها

    نحوه ارزیابی صحیح خطرات امنیت اطلاعات - دستور العمل ما

    وظیفه ارزیابی خطرات امنیت اطلاعات امروزه توسط جامعه متخصص به طور مبهم درک می شود و دلایل متعددی برای این امر وجود دارد. اول اینکه هیچ استاندارد طلایی یا رویکرد پذیرفته شده ای وجود ندارد. استانداردها و روش‌شناسی‌های متعدد، اگرچه از نظر کلی شبیه هم هستند، اما در جزئیات تفاوت‌های چشمگیری دارند. استفاده از یک روش یا روش دیگر به منطقه و موضوع ارزیابی بستگی دارد. اما اگر شرکت کنندگان در فرآیند ارزشیابی داشته باشند، انتخاب روش مناسب می تواند مشکل ساز باشد عملکرد متفاوتدر مورد آن و نتایج آن

    ثانیاً، ارزیابی ریسک امنیت اطلاعات یک کار کاملاً کارشناسی است. تجزیه و تحلیل عوامل خطر (مانند آسیب، تهدید، آسیب پذیری و غیره) که توسط متخصصان مختلف انجام می شود اغلب نتایج متفاوتی به دست می دهد. تکرارپذیری ناکافی از نتایج ارزیابی، پرسش از قابلیت اطمینان و سودمندی داده های به دست آمده را مطرح می کند. طبیعت انسان به گونه‌ای است که تخمین‌های انتزاعی، به‌ویژه آن‌هایی که مربوط به واحدهای اندازه‌گیری احتمالی هستند، به روش‌های مختلف توسط مردم درک می‌شوند. تئوری های کاربردی موجود که برای در نظر گرفتن معیار ادراک ذهنی یک شخص طراحی شده اند (به عنوان مثال، نظریه چشم انداز) روش تحلیل ریسک از قبل پیچیده را پیچیده می کند و به محبوبیت آن کمک نمی کند.

    ثالثاً، روش ارزیابی ریسک خود به معنای کلاسیک آن، با تجزیه و موجودی دارایی ها، یک کار بسیار پر زحمت است. تلاش برای انجام تحلیل دستی با استفاده از ابزارهای اداری رایج (مانند صفحات گسترده) به ناچار در دریایی از اطلاعات غرق می شود. ابزارهای نرم‌افزاری تخصصی که برای ساده‌سازی مراحل جداگانه تحلیل ریسک طراحی شده‌اند، مدل‌سازی را تا حدی تسهیل می‌کنند، اما به هیچ وجه جمع‌آوری و سیستم‌بندی داده‌ها را ساده نمی‌کنند.

    در نهایت، تعریف ریسک در زمینه مشکل امنیت اطلاعات هنوز حل نشده است. فقط به تغییرات اصطلاحات موجود در ISO Guide 73:2009 در مقایسه با نسخه 2002 نگاه کنید. در حالی که ریسک قبلی به عنوان احتمال آسیب ناشی از بهره برداری از یک آسیب پذیری توسط یک تهدید تعریف می شد، اکنون این اثر انحراف از نتایج مورد انتظار است. تغییرات مفهومی مشابهی در ویرایش جدید ISO/IEC 27001:2013 رخ داده است.

    به این دلایل و تعدادی از دلایل دیگر، ارزیابی ریسک امنیت اطلاعات در بهترین حالت با احتیاط و در بدترین حالت با بی اعتمادی زیاد برخورد می شود. این امر خود ایده مدیریت ریسک را که منجر به خرابکاری این فرآیند توسط مدیریت و در نتیجه بروز حوادث متعددی می شود که مملو از گزارش های تحلیلی سالانه است، بی اعتبار می کند.

    با توجه به موارد فوق، بهتر است از کدام سمت به وظیفه ارزیابی ریسک های امنیت اطلاعات نزدیک شویم؟

    یک نگاه تازه

    امروزه امنیت اطلاعات به طور فزاینده ای بر اهداف تجاری متمرکز شده و در فرآیندهای تجاری گنجانده شده است. دگرگونی های مشابهی با ارزیابی ریسک در حال وقوع است - زمینه کسب و کار لازم را به دست می آورد. یک روش ارزیابی ریسک مدرن IS چه معیارهایی را باید رعایت کند؟ بدیهی است که باید به اندازه کافی ساده و جهانی باشد تا نتایج به کارگیری آن برای همه شرکت کنندگان در فرآیند معتبر و مفید باشد. اجازه دهید تعدادی از اصولی را که چنین تکنیکی باید بر اساس آنها باشد را مشخص کنیم:

    1. اجتناب از جزئیات بیش از حد؛
    2. به نظر کسب و کار تکیه کنید؛
    3. از مثال ها استفاده کنید؛
    4. در نظر گرفتن منابع خارجیاطلاعات

    ماهیت روش پیشنهادی با یک مثال عملی به بهترین شکل نشان داده می شود. وظیفه ارزیابی خطرات امنیت اطلاعات در یک شرکت تجاری و تولیدی را در نظر بگیرید. معمولا از کجا شروع می شود؟ از تعریف مرزهای ارزیابی. اگر ارزیابی ریسک برای اولین بار انجام می شود، مرزها باید شامل فرآیندهای اصلی کسب و کار که درآمدزایی می کنند و همچنین فرآیندهایی که به آنها خدمت می کنند، باشد.

    اگر فرآیندهای کسب و کار مستند نباشند، می توان با بررسی ساختار سازمانی و مقررات مربوط به بخش هایی که حاوی توصیفی از اهداف و مقاصد است، یک ایده کلی از آنها به دست آورد.

    پس از تعیین مرزهای ارزیابی، بیایید به شناسایی دارایی ها برویم. با توجه به موارد فوق، ما فرآیندهای تجاری اصلی را به عنوان دارایی های انبوه در نظر می گیریم و موجودی منابع اطلاعاتی را به تعویق می اندازیم. مراحل بعدی(قاعده 1). این به دلیل این واقعیت است که روش شناسی شامل یک گذار تدریجی از عمومی به جزئی است و در این سطح از جزئیات، این داده ها به سادگی مورد نیاز نیستند.

    عوامل خطر

    ما فرض می کنیم که در مورد ترکیب دارایی های در حال ارزیابی تصمیم گرفته ایم. در مرحله بعد، باید تهدیدات و آسیب پذیری های مرتبط با آنها را شناسایی کنید. با این حال، این رویکرد تنها در هنگام انجام تجزیه و تحلیل دقیق ریسک، که در آن اشیاء محیط دارایی اطلاعاتی موضوع ارزیابی هستند، قابل اجرا است. نسخه جدید ISO/IEC 27001:2013 تمرکز ارزیابی ریسک را از دارایی های IT سنتی به اطلاعات و پردازش آن تغییر داده است. از آنجایی که در سطح جزئیات فعلی، فرآیندهای تجاری انبوه شرکت را در نظر می گیریم، کافی است تنها عوامل خطر سطح بالا ذاتی در آنها را شناسایی کنیم.

    یک عامل خطر یک ویژگی خاص یک شی، فناوری یا فرآیند است که منبع مشکلاتی در آینده است. در عین حال، تنها در صورتی می توانیم در مورد وجود ریسک صحبت کنیم که مشکلات بر عملکرد شرکت تأثیر منفی داشته باشد. یک زنجیره منطقی ساخته شده است:

    بنابراین، وظیفه شناسایی عوامل خطر به شناسایی ویژگی‌ها و ویژگی‌های نامطلوب فرآیندهایی که سناریوهای خطر احتمالی را تعیین می‌کنند، کاهش می‌یابد. تاثیر منفیبرای کسب و کار. برای ساده کردن راه حل آن، از مدل کسب و کار امنیت اطلاعات توسعه یافته توسط انجمن ISACA استفاده خواهیم کرد (شکل 1 را ببینید):

    برنج. 1. مدل کسب و کار امنیت اطلاعات

    گره های مدل، نیروهای محرکه اساسی هر سازمان را نشان می دهند: استراتژی، فرآیندها، افراد و فناوری، و لبه های آن نشان دهنده پیوندهای عملکردی بین آنهاست. در این دنده ها اساسا عوامل خطر اصلی متمرکز هستند. همانطور که به راحتی قابل مشاهده است، خطرات نه تنها با فناوری اطلاعات مرتبط است.

    چگونه عوامل خطر را بر اساس مدل فوق شناسایی کنیم؟ لازم است تجارت را در این امر دخیل کنید (قاعده 2). واحدهای تجاری معمولاً به خوبی از مشکلاتی که در کار خود با آن مواجه هستند آگاه هستند. تجربه همکاران در صنعت اغلب یادآوری می شود. با پرسیدن سوالات مناسب می توانید این اطلاعات را به دست آورید. مسائل مربوط به پرسنل باید به منابع انسانی، مسائل فناوری به اتوماسیون (IT) و مسائل فرآیند کسب و کار به واحدهای تجاری مناسب هدایت شود.

    در کار شناسایی عوامل خطر، شروع از مشکلات راحت تر است. پس از شناسایی هر مشکلی، لازم است علت آن مشخص شود. در نتیجه، یک عامل خطر جدید ممکن است شناسایی شود. مشکل اصلی در اینجا این است که به طور خاص غلت نزنید. به عنوان مثال، اگر حادثه ای در نتیجه اقدامات غیرقانونی یک کارمند رخ داده باشد، عامل خطر این نخواهد بود که کارمند از مفاد برخی مقررات تخطی کرده باشد، بلکه خود این عمل ممکن شده است. یک عامل خطر همیشه پیش نیاز برای بروز یک مشکل است.

    برای اینکه کارکنان بهتر بفهمند دقیقاً چه چیزی از آنها پرسیده می شود، توصیه می شود سؤالات را با مثال همراه کنید (قانون 3). موارد زیر نمونه هایی از چندین عامل خطر سطح بالا هستند که ممکن است در بسیاری از فرآیندهای تجاری مشترک باشند:

    کارکنان:

    • صلاحیت های ناکافی (لبه عوامل انسانی در شکل 1)
    • کمبود کارمند (ظهور دنده)
    • انگیزه کم (فرهنگ دنده)

    فرآیندها:

    • تغییر مکرر الزامات خارجی (لبه حاکم)
    • اتوماسیون فرآیند توسعه نیافته (Enableing & Support edge)
    • تلفیقی از نقش ها توسط مجریان (Rib Emergence)

    فن آوری ها:

    • نرم افزار قدیمی (Enableing & Support edge)
    • مسئولیت پذیری ضعیف کاربر (لبه عوامل انسانی)
    • چشم انداز ناهمگون فناوری اطلاعات (لبه معماری)

    مزیت مهم روش ارزیابی پیشنهادی امکان تحلیل متقابل است که در آن دو بخش مختلف یک مسئله را از زوایای مختلف بررسی می‌کنند. با توجه به این شرایط، پرسیدن سوالاتی از مصاحبه شوندگان بسیار مفید است: «نظر شما در مورد مشکلات شناسایی شده توسط همکارانتان چیست؟» این یک راه عالی برای دریافت نمرات اضافی و همچنین تنظیم نمرات موجود است. برای اصلاح نتیجه، چندین دور از چنین ارزیابی را می توان انجام داد.

    تاثیر بر تجارت

    همانطور که از تعریف ریسک بر می آید، میزان تأثیر آن بر عملکرد تجاری سازمان مشخص می شود. یک ابزار مناسب که به شما امکان می دهد ماهیت تأثیر سناریوهای اجرای ریسک بر تجارت را تعیین کنید، سیستم کارت امتیازی متوازن است. بدون پرداختن به جزئیات، متذکر می شویم که کارت امتیازی متوازن 4 چشم انداز کسب و کار را برای هر شرکت شناسایی می کند که به روشی سلسله مراتبی مرتبط هستند (شکل 2 را ببینید).

    برنج. 2. چهار دیدگاه تجاری از کارت امتیازی متوازن

    در رابطه با روش مورد بررسی، اگر ریسک حداقل بر یکی از سه دیدگاه تجاری زیر تأثیر منفی بگذارد: مالی، مشتریان و/یا فرآیندها می‌تواند مهم تلقی شود (شکل 3 را ببینید).

    برنج. 3. شاخص های کلیدی کسب و کار

    به عنوان مثال، عامل خطر "پاسخگویی کاربر کم" می تواند منجر به سناریوی "نشت اطلاعات مشتری" شود. به نوبه خود، این بر تعداد معیارهای تجاری مشتریان تأثیر می گذارد.

    اگر یک شرکت معیارهای تجاری را توسعه داده باشد، این وضعیت را تا حد زیادی ساده می کند. هر زمان که امکان ردیابی تأثیر یک سناریوی ریسک خاص بر یک یا چند شاخص تجاری وجود داشته باشد، عامل خطر مربوطه را می توان مهم در نظر گرفت و نتایج ارزیابی آن باید در پرسشنامه ها ثبت شود. هر چه تأثیر یک سناریو از سلسله مراتب معیارهای کسب و کار بالاتر باشد، تأثیر بالقوه آن بر تجارت بیشتر خواهد بود.

    وظیفه تحلیل این پیامدها یک کار کارشناسی است، بنابراین باید با مشارکت واحدهای تجاری تخصصی حل شود (قاعده 2). برای کنترل بیشتر تخمین های به دست آمده، استفاده از منابع اطلاعات خارجی حاوی داده های آماری در مورد میزان خسارات ناشی از حوادث (قانون 4) مفید است، به عنوان مثال، گزارش سالانه مطالعه هزینه نقض داده ها.

    امتیاز احتمال

    در مرحله نهایی تجزیه و تحلیل، برای هر یک از عوامل خطر شناسایی شده که تأثیر آن بر تجارت قابل تعیین است، لازم است احتمال سناریوهای مرتبط با آن ارزیابی شود. این ارزیابی به چه چیزی بستگی دارد؟ تا حد زیادی از کافی بودن اقدامات حفاظتی اجرا شده در شرکت.

    در اینجا یک هشدار کوچک وجود دارد. منطقی است که فرض کنیم از آنجایی که مشکل شناسایی شده است، به این معنی است که هنوز مرتبط است. در عین حال، اقدامات انجام شده به احتمال زیاد برای هموار کردن پیش نیازهای وقوع آن کافی نیست. کفایت اقدامات متقابل با نتایج ارزیابی اثربخشی کاربرد آنها، به عنوان مثال، با استفاده از یک سیستم متریک تعیین می شود.

    برای ارزیابی، می توانید از یک مقیاس سه سطحی ساده استفاده کنید، که در آن:

    3- اقدامات متقابل اجرا شده عموماً کافی است.

    2- اقدامات متقابل به اندازه کافی اجرا نمی شود.

    1- عدم اقدام متقابل

    به عنوان کتاب مرجعی که اقدامات متقابل را توصیف می کند، می توانید از استانداردها و دستورالعمل های تخصصی مانند CobiT 5، ISO / IEC 27002 و غیره استفاده کنید. هر اقدام متقابل باید با یک عامل خطر خاص همراه باشد.

    مهم است که به یاد داشته باشید که ما خطرات مرتبط با استفاده از فناوری اطلاعات را تجزیه و تحلیل می کنیم، بلکه همچنین با سازماندهی داخلی فرآیندهای اطلاعاتیدر شرکت. بنابراین، اقدامات متقابل باید به طور گسترده تری در نظر گرفته شود. بی جهت نیست که نسخه جدید ISO/IEC 27001:2013 حاوی بند است که هنگام انتخاب اقدامات متقابل، لازم است از هر منبع خارجی استفاده شود (قانون 4) و نه فقط ضمیمه A که در استاندارد موجود است. اهداف مرجع

    بزرگی خطر

    برای تعیین ارزش ریسک نهایی، می توانید استفاده کنید ساده ترین جدول(جدول 1 را ببینید).

    Tab. 1. ماتریس ارزیابی ریسک

    در صورتی که یک عامل ریسک بر چندین دیدگاه تجاری مانند "مشتریان" و "مالی" تأثیر بگذارد، شاخص های آنها خلاصه می شود. ابعاد مقیاس و همچنین سطوح قابل قبول خطرات IS را می توان به هر روشی مناسب تعیین کرد. در مثال بالا، خطرات با سطوح 2 و 3 بالا در نظر گرفته می شوند.

    در این مرحله می توان مرحله اول ارزیابی ریسک را تکمیل شده در نظر گرفت. ارزش نهایی ریسک مرتبط با فرآیند تجاری ارزیابی شده به عنوان مجموع مقادیر ترکیبی برای همه عوامل شناسایی شده تعیین می شود. صاحب ریسک را می توان به عنوان مسئول در شرکت برای موضوع ارزیابی شده در نظر گرفت.

    رقم به دست آمده به ما نمی گوید که سازمان چقدر در خطر از دست دادن پول است. در عوض، حوزه تمرکز ریسک ها و ماهیت تأثیر آنها بر عملکرد تجاری را نشان می دهد. این اطلاعات برای تمرکز بیشتر بر مهمترین جزئیات ضروری است.

    ارزیابی دقیق

    مزیت اصلی این تکنیک این است که به شما امکان می دهد تجزیه و تحلیل ریسک امنیت اطلاعات را با سطح جزئیات دلخواه انجام دهید. در صورت لزوم، می توانید به عناصر مدل امنیت اطلاعات (شکل 1) "بافتید" و آنها را با جزئیات بیشتری در نظر بگیرید. به عنوان مثال، با شناسایی بالاترین غلظت ریسک در لبه های مرتبط با فناوری اطلاعات، می توانید سطح جزئیات گره فناوری را افزایش دهید. اگر قبلاً یک فرآیند تجاری جداگانه به عنوان هدف ارزیابی ریسک عمل می کرد، اکنون تمرکز به یک سیستم اطلاعاتی خاص و فرآیندهای استفاده از آن تغییر خواهد کرد. به منظور ارائه سطح مورد نیاز از جزئیات، ممکن است موجودی منابع اطلاعاتی مورد نیاز باشد.

    همه اینها در مورد سایر حوزه های ارزیابی نیز صدق می کند. وقتی جزئیات گره People را تغییر می‌دهید، اهداف ارزیابی می‌توانند به نقش‌های پرسنلی یا حتی کارمندان منفرد تبدیل شوند. برای گره Process، اینها می توانند خط مشی ها و رویه های کاری خاص باشند.

    تغییر سطح جزئیات به طور خودکار نه تنها عوامل خطر، بلکه اقدامات متقابل قابل اعمال را نیز تغییر می دهد. هر دو به موضوع ارزیابی اختصاصی تر خواهند شد. با این حال، رویکرد کلی برای انجام ارزیابی ریسک تغییر نخواهد کرد. برای هر عامل شناسایی شده، ارزیابی موارد زیر ضروری خواهد بود:

    • میزان تأثیر ریسک بر چشم انداز کسب و کار؛
    • کافی بودن اقدامات متقابل

    سندرم روسی

    انتشار استاندارد ISO/IEC 27001:2013 بسیاری از شرکت های روسی را در موقعیت دشواری قرار داده است. از یک طرف، آنها قبلاً رویکرد خاصی را برای ارزیابی خطرات امنیت اطلاعات بر اساس طبقه بندی دارایی های اطلاعاتی، ارزیابی تهدیدها و آسیب پذیری ها ایجاد کرده اند. تنظیم کننده های ملی موفق شده اند تعدادی از مقررات حمایت از این رویکرد را صادر کنند، به عنوان مثال، استاندارد بانک روسیه، دستورات FSTEC. از سوی دیگر، وظیفه ارزیابی ریسک برای تغییر مدتهاست که به تعویق افتاده است و اکنون لازم است نظم ایجاد شده برای برآورده کردن الزامات قدیمی و جدید اصلاح شود. بله، امروزه هنوز امکان دریافت گواهینامه بر اساس استاندارد GOST R ISO / IEC 27001:2006 وجود دارد که یکسان است نسخه پیشین ISO/IEC 27001، اما نه برای مدت طولانی.

    روش تجزیه و تحلیل ریسک که در بالا مورد بحث قرار گرفت به این موضوع می پردازد. با کنترل سطح جزئیات در ارزیابی، می‌توانید دارایی‌ها و ریسک‌ها را در هر مقیاسی، از فرآیندهای تجاری گرفته تا جریان‌های اطلاعات فردی، در نظر بگیرید. این رویکرد همچنین راحت است زیرا به شما امکان می دهد تمام خطرات سطح بالا را بدون از دست دادن چیزی پوشش دهید. در عین حال، این شرکت به طور قابل توجهی هزینه های نیروی کار را برای تجزیه و تحلیل بیشتر کاهش می دهد و زمان را برای ارزیابی دقیق ریسک های ناچیز تلف نمی کند.

    لازم به ذکر است که هرچه حوزه ارزیابی دقیق تر باشد، مسئولیت بیشتر بر عهده کارشناسان و صلاحیت بیشتری است، زیرا زمانی که عمق تحلیل تغییر می کند، نه تنها عوامل خطر، بلکه چشم انداز اقدامات متقابل قابل اجرا نیز تغییر می کند.

    علیرغم تمام تلاش‌ها برای ساده‌سازی، تحلیل ریسک امنیت اطلاعات هنوز زمان‌بر و پیچیده است. رهبر این جریان مسئولیت ویژه ای دارد. بسیاری از چیزها به این بستگی دارد که او چقدر با شایستگی یک رویکرد ایجاد کند و با این کار کنار بیاید - از تخصیص بودجه برای امنیت اطلاعات تا پایداری کسب و کار.

    مشخص است که ریسک احتمال تحقق تهدیدی برای امنیت اطلاعات است. در دیدگاه کلاسیک، ارزیابی ریسک شامل ارزیابی تهدیدها، آسیب پذیری ها و آسیب های ناشی از اجرای آنها می شود. تجزیه و تحلیل ریسک شامل مدل سازی تصویر شروع این نامطلوب ترین شرایط با در نظر گرفتن همه عوامل ممکن است که خطر را به عنوان چنین تعیین می کند. از دیدگاه ریاضی، در تحلیل ریسک، چنین عواملی را می توان پارامترهای ورودی در نظر گرفت.

    بیایید این گزینه ها را فهرست کنیم:
    1) دارایی ها - اجزای کلیدی زیرساخت سیستم درگیر در فرآیند کسب و کار و دارای ارزش مشخص.
    2) تهدیدهایی که اجرای آنها از طریق بهره برداری از یک آسیب پذیری امکان پذیر است.
    3) آسیب پذیری ها - ضعف در وسایل حفاظتی ناشی از خطا یا نقص در رویه ها، طراحی، اجرا، که می تواند برای نفوذ به سیستم استفاده شود.
    4) خسارتی که با در نظر گرفتن هزینه های بازیابی سیستم در تخمین زده می شود حالت اولیهپس از یک حادثه احتمالی امنیت اطلاعات

    بنابراین، اولین گام در انجام یک تحلیل ریسک چند متغیره، شناسایی و طبقه بندی پارامترهای ورودی تحلیل شده است. در مرحله بعد، لازم است هر پارامتر بر اساس سطوح معنی داری (به عنوان مثال: زیاد، متوسط، پایین) رتبه بندی شود. در مرحله نهایی مدل‌سازی ریسک احتمالی (قبل از دریافت داده‌های عددی سطح ریسک)، تهدیدها و آسیب‌پذیری‌های شناسایی‌شده به اجزای خاصی از زیرساخت فناوری اطلاعات مرتبط می‌شوند (چنین پیوندی ممکن است شامل تجزیه و تحلیل ریسک با و بدون در نظر گرفتن در دسترس بودن ابزارهای حفاظتی سیستم، احتمال اینکه سیستم به دلیل عوامل نامشخص و غیره به خطر بیفتد. بیایید گام به گام فرآیند مدل‌سازی ریسک را مرور کنیم. برای این کار قبل از هر چیز به دارایی های شرکت توجه کنیم.

    موجودی دارایی های شرکت
    (ویژگی سیستم)

    ابتدا باید مشخص شود که دارایی ارزشمند شرکت از نظر امنیت اطلاعات چیست. استاندارد ISO 17799 که به طور مفصل رویه‌های یک سیستم مدیریت امنیت اطلاعات را تشریح می‌کند، انواع دارایی‌های زیر را شناسایی می‌کند:
    . منابع اطلاعاتی (پایگاه های اطلاعاتی و پرونده ها، قراردادها و موافقت نامه ها، اسناد سیستم، اطلاعات تحقیقاتی، اسناد، مواد آموزشی و غیره)؛
    . نرم افزار؛
    . پول ( تجهیزات کامپیوتر، وسایل مخابراتی و غیره)؛
    . خدمات (خدمات مخابراتی، سیستم های پشتیبانی حیات و غیره)؛
    . کارکنان شرکت، صلاحیت و تجربه آنها؛
    . منابع نامشهود (شهرت و تصویر شرکت).

    باید مشخص شود که کدام نقض امنیت اطلاعات دارایی می تواند به شرکت آسیب برساند. در این صورت، دارایی با ارزش تلقی می شود و باید در تحلیل ریسک های اطلاعاتی مورد توجه قرار گیرد. موجودی شامل تهیه فهرستی از دارایی های ارزشمند شرکت است. به عنوان یک قاعده، این فرآیند توسط صاحبان دارایی ها انجام می شود. مفهوم "مالک" اشخاص یا طرف هایی را تعریف می کند که دارای مسئولیت هایی هستند که توسط مدیریت شرکت برای مدیریت ایجاد، توسعه، نگهداری، استفاده و حفاظت از دارایی ها تایید شده است.

    در فرآیند طبقه‌بندی دارایی‌ها، لازم است بحرانی بودن دارایی‌ها برای فرآیندهای تجاری شرکت ارزیابی شود یا به عبارتی مشخص شود در صورت نقض امنیت اطلاعات دارایی‌ها، شرکت چقدر خسارت خواهد دید. این فرآیند بیشترین مشکل را ایجاد می کند، زیرا. ارزش دارایی ها بر اساس ارزیابی کارشناسان صاحبان آنها تعیین می شود. در طول این مرحله، بحث های مکرری بین مشاوران توسعه سیستم مدیریت و صاحبان دارایی وجود دارد. این به صاحبان دارایی کمک می کند تا بفهمند چگونه ارزش دارایی ها را از نظر امنیت اطلاعات تعیین کنند (به عنوان یک قاعده، فرآیند تعیین اهمیت دارایی ها برای مالک جدید و غیر ضروری است). علاوه بر این، روش های ارزیابی مختلفی برای صاحبان دارایی در حال توسعه است. به طور خاص، چنین روش‌شناسی‌هایی ممکن است حاوی معیارهای خاصی (مرتبط با یک شرکت معین) باشند که باید هنگام ارزیابی بحرانی بودن در نظر گرفته شوند.

    ارزیابی انتقادی دارایی

    بحرانی بودن دارایی در سه بعد ارزیابی می شود: محرمانه بودن، یکپارچگی و در دسترس بودن. آن ها ارزیابی خسارتی که شرکت متحمل می شود در صورت نقض محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها ضروری است. بحرانی بودن دارایی را می توان در واحدهای پولی و در سطوح ارزیابی کرد. با این حال، با در نظر گرفتن این واقعیت که ارزش در واحدهای پولی برای تجزیه و تحلیل ریسک های اطلاعاتی مورد نیاز است، در مورد ارزیابی بحرانی بودن دارایی ها در سطوح، لازم است ارزیابی هر سطح در پول تعیین شود.

    طبق طبقه‌بندی معتبر NIST که در راهنمای مدیریت ریسک برای سیستم‌های فناوری اطلاعات گنجانده شده است، طبقه‌بندی و ارزیابی تهدیدها با شناسایی مستقیم منابع آنها مقدم است. بنابراین با توجه به طبقه بندی فوق می توان منابع اصلی تهدید را شناسایی کرد که از این میان می توان به موارد زیر اشاره کرد:
    . تهدیدات منشأ طبیعی (زلزله، سیل و غیره)؛
    . تهدیدات انسانی (دسترسی غیرمجاز، حملات شبکه، خطاهای کاربر و غیره)؛
    . تهدیدات با منشاء فنی (حوادث مختلف، قطع برق، آلودگی شیمیایی و غیره).

    طبقه بندی فوق را می توان با جزئیات بیشتری دسته بندی کرد.
    بنابراین، طبق طبقه بندی NIST ذکر شده، دسته بندی مستقل منابع تهدیدات ناشی از انسان، عبارتند از:
    - هکرها؛
    - ساختارهای جنایی؛
    - تروریست ها؛
    - شرکت های درگیر در جاسوسی صنعتی؛
    - خودی ها
    هر یک از تهدیدات ذکر شده، به نوبه خود، باید جزئیات و در مقیاسی از اهمیت (مثلاً: کم، متوسط، زیاد) ارزیابی شود.

    بدیهی است که تحلیل تهدید باید در ارتباط نزدیک با آسیب پذیری های سیستمی که در حال مطالعه آن هستیم در نظر گرفته شود. هدف از این مرحله مدیریت ریسک، فهرست کردن آسیب‌پذیری‌های احتمالی سیستم و دسته‌بندی آن آسیب‌پذیری‌ها بر اساس «قدرت» آنهاست. بنابراین، طبق رویه جهانی، درجه‌بندی آسیب‌پذیری‌ها را می‌توان به سطوح بحرانی، زیاد، متوسط، پایین تقسیم کرد. بیایید این سطوح را با جزئیات بیشتری بررسی کنیم:

    1. سطح بحرانی خطر. این سطح از خطر شامل آسیب‌پذیری‌هایی است که اجازه می‌دهد سیستم از راه دور بدون تأثیر اضافی از سوی کاربر هدف به خطر بیفتد و در حال حاضر به طور فعال مورد سوء استفاده قرار می‌گیرد. این سطح شدت حاکی از آن است که بهره برداری در حوزه عمومی است.

    2. درجه خطر بالا. این سطح شدت شامل آسیب‌پذیری‌هایی است که امکان به خطر افتادن سیستم از راه دور را فراهم می‌کند. به عنوان یک قاعده، هیچ بهره برداری عمومی برای چنین آسیب پذیری هایی وجود ندارد.

    3. درجه خطر متوسط. این سطح شدت شامل آسیب‌پذیری‌هایی است که امکان انکار خدمات از راه دور، دسترسی غیرمجاز به داده‌ها یا اجرای کد دلخواه را از طریق تعامل مستقیم کاربر (مثلاً از طریق یک برنامه آسیب‌پذیر که به یک سرور مخرب متصل می‌شود) را می‌دهد.

    4. سطح پایین خطر. این سطح شامل تمام آسیب‌پذیری‌هایی است که به صورت محلی مورد سوء استفاده قرار می‌گیرند، و همچنین آسیب‌پذیری‌هایی که بهره‌برداری از آن‌ها دشوار است یا کمترین تأثیر را دارند (به عنوان مثال، XSS، انکار سرویس برنامه کاربردی مشتری).

    منبع جمع آوری چنین لیست/لیست آسیب پذیری باید این باشد:
    . لیست آسیب پذیری ها به طور منظم منتشر شده در دسترس عموم (به عنوان مثال: www.securitylab.ru)؛
    . لیستی از آسیب پذیری های منتشر شده توسط سازنده نرم افزار (به عنوان مثال: www.apache.org)؛
    . نتایج تست نفوذ (به عنوان مثال: www.site-sec.com)؛
    . تجزیه و تحلیل گزارش های اسکنر آسیب پذیری (که توسط مدیر امنیتی در شرکت انجام می شود).

    به طور کلی آسیب پذیری ها را می توان به صورت زیر طبقه بندی کرد:
    . آسیب‌پذیری‌های سیستم‌عامل و نرم‌افزار (اشکال‌های کد) کشف‌شده توسط سازنده یا کارشناسان مستقل (در زمان نگارش، تعداد کل آسیب‌پذیری‌های شناسایی‌شده به حدود 1900 رسید - این شامل آسیب‌پذیری‌های منتشر شده در «bugtracks» در xakep.ru، securitylab، milw0rm است. com و securityfocus.com).
    . آسیب‌پذیری‌های سیستم مرتبط با خطاهای مدیریت (تنظیمات ناکافی وب سرور یا PHP برای محیط، پورت‌هایی با سرویس‌های آسیب‌پذیر که توسط فایروال بسته نشده‌اند، و غیره).
    . آسیب‌پذیری‌هایی که منشأ آن‌ها می‌تواند حوادثی باشد که مشمول سیاست امنیتی نیست و همچنین رویدادهای خود به خودی. سرریز بافر نمونه بارز آسیب پذیری رایج سیستم عامل و نرم افزار است. به هر حال، اکثریت قریب به اتفاق اکسپلویت‌های موجود، کلاسی از آسیب‌پذیری‌ها را برای سرریزهای بافر پیاده‌سازی می‌کنند.

    روش های عددی برای ارزیابی ریسک

    ساده‌ترین ارزیابی ریسک‌های اطلاعاتی شامل محاسبه ریسک‌ها است که با در نظر گرفتن اطلاعات مربوط به بحرانی بودن دارایی‌ها و همچنین احتمالات بهره‌برداری از آسیب‌پذیری‌ها انجام می‌شود.
    فرمول کلاسیک ارزیابی ریسک:
    R=D*P(V)، که در آن R ریسک اطلاعات است.
    د - بحرانی بودن دارایی (خسارت)؛
    P(V) - احتمال اجرای آسیب پذیری.
    یک نمونه از اجرای عملی رویکرد فوق برای تعیین سطوح ریسک، ماتریس ریسک است که توسط NIST پیشنهاد شده است.

    خطر احتمال-تهدید (احتمال آن)خسارت ناشی از ضربه
    کم (کم) - 10متوسط ​​(متوسط) -50بالا (بالا) -100
    بالا (بالا) - 1کم (کم) 10x1=10متوسط ​​(متوسط) 50*1=50بالا (بالا) 100x1=100
    متوسط ​​(متوسط) - 0.5کم (کم) 10x0.5=5متوسط ​​(متوسط) 50x0.5=25متوسط ​​(متوسط) 100x0.5=50
    کم (کم) - 0.1کم (کم) 10x0.1=1کم (کم) 50x0.1=5کم (کم) 100x0.1=10
    سطح ریسک: بالا (50 تا 100)؛ متوسط ​​(از 10 تا 50)؛ کم (از 1 تا 10).

    هر یک از پارامترهای ورودی ممکن (به عنوان مثال، آسیب‌پذیری، تهدید، دارایی و آسیب) با تابع عضویت آن، با در نظر گرفتن ضریب مربوطه توصیف می‌شود.

    ارزیابی ریسک بر اساس منطق فازی

    مکانیسم های ارزیابی ریسک مبتنی بر منطق فازی شامل یک سری مراحل است که در هر مرحله از نتایج مرحله قبل استفاده می شود. ترتیب این مراحل معمولاً به شرح زیر است:
    . وارد کردن قوانین برنامه نویسی در قالب قوانین تولید ("IF, ... THEN") که منعکس کننده رابطه بین سطح داده های ورودی و سطح ریسک در خروجی است.
    . تنظیم تابع عضویت متغیرهای ورودی (به عنوان مثال، با استفاده از برنامه های تخصصیمانند "منطق فازی" - در این مثالما از MatLab استفاده کردیم).
    . به دست آوردن نتیجه اولیه از برآورد متغیرهای ورودی.
    . فازی سازی برآورد متغیرهای ورودی (یافتن مقادیر خاص توابع عضویت).
    . تجمیع (شامل بررسی صحت شرایط با تبدیل توابع عضویت از طریق پیوند فازی و تفکیک فازی).
    . فعال سازی نتیجه گیری (یافتن ضرایب وزنی برای هر یک از قوانین و توابع صدق).
    . انباشت نتیجه گیری (یافتن تابع عضویت برای هر یک از متغیرهای خروجی).
    . فازی سازی (یافتن مقادیر واضح متغیرهای خروجی).

    بنابراین، در مثال بالا (جدول 1.1.)، یک الگوریتم ارزیابی ریسک دو پارامتری با مقیاس های سه سطحی پارامترهای ورودی در واقع در نظر گرفته شد. که در آن:
    . برای مقادیر ورودی و ریسک، مقیاس‌های سه سطحی تنظیم شدند که بر اساس آن اصطلاحات فازی تعریف شدند (مطابق با مقادیر "بزرگ"، "متوسط" و "کم" متغیرها - به شکل 1 مراجعه کنید).
    . اهمیت همه قواعد استنتاج منطقی یکسان است (همه ضرایب وزنی قواعد تولید برابر با یک هستند).

    برنج. 1. توابع عضویت ذوزنقه ای مقیاس سه سطحی "آسیب پذیری"

    بدیهی است که یک الگوریتم دو پارامتری که ورودی دو متغیر ورودی را فراهم می کند، نمی تواند یک نتیجه تحلیل ریسک عینی ارائه دهد، به ویژه با در نظر گرفتن بسیاری از عوامل - متغیرهای ورودی، که به هر حال، تصویر واقعی ریسک IS را منعکس می کند. ارزیابی

    الگوریتم چهار پارامتری

    بیایید فرض کنیم که با کمک قوانین تولید منطق فازی، لازم است مکانیسم استنتاج با در نظر گرفتن چهار متغیر ورودی بازتولید شود. در این حالت این متغیرها عبارتند از:
    . دارایی های؛
    . آسیب پذیری؛
    . تهدید (یا بهتر بگوییم احتمال آن)؛
    . خسارت.

    هر یک از متغیرهای ورودی فهرست شده در مقیاس خاص خود ارزیابی می شود. بنابراین، فرض کنید بر اساس تجزیه و تحلیل اولیه، تخمین هایی از متغیرهای ورودی به دست آمده است (شکل 2).

    برنج. 2. ورودی برآوردهای متغیر و مکانیسم استنتاج

    با استفاده از ساده ترین مثال، شکل قوانین تولید را برای یک مورد خاص با مقیاس سه سطحی در نظر بگیرید:

    برنج. 3. قوانین تولید الگوریتم چهار پارامتری

    رابط گرافیکی Fuzzy Toolbox در این مورد به شما امکان می دهد نمودارهای وابستگی ریسک به احتمال تهدید و بر این اساس سایر متغیرهای ورودی را مشاهده کنید.

    شکل 4. وابستگی ریسک به احتمال تهدید

    برنج. 5. وابستگی ریسک به خسارت

    نمودار وابستگی صاف و یکنواخت «منحنی استنتاج» نشان دهنده کفایت و سازگاری قواعد استنتاج مورد استفاده است. یک نمایش گرافیکی بصری به شما امکان می دهد کفایت خواص مکانیزم خروجی را با الزامات ارزیابی کنید. در این مورد، "منحنی استنتاج" نشان می دهد که استفاده از مکانیسم استنتاج فقط در ناحیه مقادیر کم احتمال، یعنی به مصلحت است. با احتمال کمتر از 0.5 چگونه می توان چنین "انسداد" را در مقادیر با احتمال بیشتر از 0.5 توضیح داد؟ احتمالاً به این دلیل که استفاده از یک مقیاس سه سطحی، به عنوان یک قاعده، بر حساسیت الگوریتم در ناحیه مقادیر احتمال زیاد تأثیر می گذارد.

    مروری بر برخی از ابزارهای تحلیل ریسک بر اساس عوامل متعدد

    هنگام انجام یک تجزیه و تحلیل کامل ریسک، با در نظر گرفتن بسیاری از عوامل، تعدادی از مشکلات پیچیده وجود دارد که باید حل شوند:
    . چگونه می توان ارزش منابع را تعیین کرد؟
    . چگونه آهنگسازی کنیم لیست کاملتهدیدات و ارزیابی پارامترهای آنها؟
    . چگونه می توان اقدامات متقابل مناسب را انتخاب کرد و اثربخشی آنها را ارزیابی کرد؟
    برای حل این مشکلات، ابزارهای توسعه یافته ویژه ای وجود دارد که با استفاده از روش های ساختاری تجزیه و تحلیل و طراحی سیستم (SSADM - Structured Systems Analysis and Design) ساخته شده اند که ارائه می دهند:
    - ساخت یک مدل IS از نقطه نظر IS.
    - روشهای ارزیابی ارزش منابع؛
    - ابزارهایی برای تهیه فهرستی از تهدیدات و ارزیابی احتمالات آنها.
    - انتخاب اقدامات متقابل و تجزیه و تحلیل اثربخشی آنها.
    - تجزیه و تحلیل گزینه های حفاظت از ساختمان؛
    - مستندسازی (تولید گزارش).
    در حال حاضر نرم افزارهای متعددی از این دسته در بازار وجود دارد. محبوب ترین آنها CRAMM است. در زیر به طور خلاصه به آن نگاه می کنیم.

    روش CRAM

    در سال 1985، آژانس مرکزی کامپیوتر و مخابرات انگلستان (CCTA) مطالعه ای را در مورد روش های تحلیل امنیت اطلاعات موجود آغاز کرد تا روش های مناسب برای استفاده در سازمان های دولتی درگیر در پردازش اطلاعات طبقه بندی نشده اما حیاتی را توصیه کند. هیچ یک از روش های در نظر گرفته شده جواب نداد. بنابراین، روش جدیدی برای برآوردن الزامات CCTA توسعه یافته است. به آن CRAMM - CCTA Risk Analysis and Control Method می گویند. سپس چندین نسخه از روش ظاهر شد که بر الزامات وزارت دفاع، سازمان های دولتی غیرنظامی، مؤسسات مالی و سازمان های خصوصی متمرکز بود. یکی از نسخه ها - "نمایه تجاری" - است محصول تجاری. در حال حاضر، CRAMM، با قضاوت بر اساس تعداد لینک های موجود در اینترنت، رایج ترین روش تجزیه و تحلیل و کنترل ریسک است. تجزیه و تحلیل ریسک شامل شناسایی و محاسبه سطوح (اندازه گیری) ریسک ها بر اساس رتبه بندی های اختصاص داده شده به منابع، تهدیدها و آسیب پذیری های منابع است. کنترل ریسک شامل شناسایی و انتخاب اقدامات متقابل برای کاهش ریسک تا سطح قابل قبول است. یک روش رسمی مبتنی بر این مفهوم باید اطمینان حاصل کند که حفاظت کل سیستم را پوشش می‌دهد و این اطمینان وجود دارد که:

    تمام خطرات احتمالی شناسایی می شوند.
    . آسیب پذیری های منابع شناسایی شده و سطح آنها ارزیابی می شود.
    . تهدیدها شناسایی شده و سطح آنها ارزیابی می شود.
    . اقدامات متقابل موثر هستند.
    . هزینه های مرتبط با امنیت اطلاعات قابل توجیه است.

    اولگ بویتسف، رئیس "امنیت سربر//تحلیل ایمنی سایت شما"

    مسائل کاربرد عملی تحلیل ریسک در فرآیندهای مدیریت امنیت اطلاعات و همچنین مسائل کلی خود فرآیند تحلیل ریسک امنیت اطلاعات.

    در فرآیند مدیریت هر حوزه ای از فعالیت، لازم است تصمیمات آگاهانه و مؤثری ایجاد شود که اتخاذ آنها به دستیابی به اهداف خاصی کمک می کند. به نظر ما تنها بر اساس واقعیت ها و تحلیل روابط علت و معلولی می توان تصمیم کافی گرفت. البته در برخی موارد تصمیمات در سطح شهودی گرفته می شود، اما کیفیت یک تصمیم شهودی بسیار به تجربه مدیر و تا حدی به یک تصادف خوش شانس بستگی دارد.

    برای نشان دادن پیچیدگی فرآیند تصمیم گیری آگاهانه و واقع بینانه، بیایید مثالی از حوزه مدیریت امنیت اطلاعات (IS) بیاوریم. بیایید یک وضعیت معمولی را در نظر بگیریم: رئیس بخش امنیت اطلاعات باید بداند که در کدام جهت حرکت کند تا به طور مؤثر عملکرد اصلی خود - تضمین امنیت اطلاعات سازمان را انجام دهد. از یک طرف، همه چیز بسیار ساده است. تعدادی رویکرد استاندارد برای حل مشکلات امنیتی وجود دارد: حفاظت محیطی، حفاظت از خودی، حفاظت از فورس ماژور. و بسیاری از محصولات وجود دارند که به شما امکان می دهند یک مشکل خاص را حل کنید (برای محافظت از خود در برابر یک تهدید خاص).

    با این حال، یک "اما" کوچک وجود دارد. متخصصان بخش امنیت اطلاعات با این واقعیت روبرو هستند که انتخاب محصولات طبقات مختلف بسیار گسترده است، زیرساخت اطلاعاتی سازمان بسیار گسترده است، تعداد اهداف بالقوه برای حملات متخلفان زیاد است و فعالیت ها بخش های سازمان ناهمگن هستند و نمی توانند یکپارچه شوند. در عین حال، هر متخصص بخش نظر خود را در مورد زمینه های اولویت فعالیت، مطابق با تخصص و اولویت های شخصی خود دارد. و معرفی یک راه حل فنی یا تدوین یک آیین نامه یا دستورالعمل در یک سازمان بزرگ منجر به یک پروژه کوچک با تمام ویژگی های فعالیت های پروژه می شود: برنامه ریزی، بودجه، مسئولیت پذیری، مهلت ها و غیره.

    بنابراین، دفاع از خود در همه جا و از همه چیز، اولاً از نظر فیزیکی امکان پذیر نیست و ثانیاً بی معنی است. رئیس اداره اطلاعات در این مورد چه می تواند بکند؟

    اول اینکه ممکن است تا اولین حادثه بزرگ کاری انجام ندهد. ثانیاً، سعی کنید برخی از استانداردهای پذیرفته شده عمومی را برای تامین امنیت اطلاعات پیاده سازی کنید. ثالثاً به مواد بازاریابی سازندگان نرم افزار و سخت افزار و یکپارچه سازان یا مشاوران در زمینه امنیت اطلاعات اعتماد کنید. با این حال، راه دیگری وجود دارد.

    تعریف اهداف مدیریت امنیت اطلاعات

    می توانید سعی کنید - با کمک مدیریت و کارمندان سازمان - بفهمید که واقعاً چه چیزی و از چه کسی باید محافظت شود. از این لحظه، فعالیت خاصی در تقاطع فناوری ها و کسب و کار اصلی آغاز می شود که شامل تعیین جهت فعالیت و (در صورت امکان) وضعیت هدف ارائه امنیت اطلاعات است که هم از نظر تجاری و هم از نظر فرمول بندی می شود. امنیت اطلاعات.

    فرآیند تجزیه و تحلیل ریسک ابزاری است که می تواند برای تعیین اهداف مدیریت امنیت اطلاعات، ارزیابی عوامل حیاتی اصلی که بر فرآیندهای کلیدی کسب و کار شرکت تأثیر منفی می گذارد و راه حل های آگاهانه، مؤثر و معقول برای کنترل یا به حداقل رساندن آنها توسعه دهد.

    در زیر توضیح خواهیم داد که چه وظایفی به عنوان بخشی از تجزیه و تحلیل ریسک امنیت اطلاعات برای به دست آوردن نتایج فهرست شده حل می شوند و چگونه این نتایج به عنوان بخشی از تجزیه و تحلیل ریسک به دست می آیند.

    شناسایی و ارزیابی دارایی ها

    هدف از مدیریت امنیت اطلاعات حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات است. تنها سوال این است که چه نوع اطلاعاتی باید محافظت شود و چه تلاش هایی باید برای اطمینان از ایمنی آنها انجام شود (شکل 1).

    هر مدیریتی مبتنی بر آگاهی از موقعیتی است که در آن اتفاق می افتد. از نظر تحلیل ریسک، آگاهی از وضعیت در موجودی و ارزیابی دارایی های سازمان و محیط آنها بیان می شود، یعنی هر چیزی که انجام فعالیت های تجاری را تضمین می کند. از نقطه نظر تحلیل ریسک امنیت اطلاعات، دارایی های اصلی مستقیماً شامل اطلاعات، زیرساخت ها، پرسنل، تصویر و شهرت شرکت است. بدون موجودی دارایی ها در سطح فعالیت تجاری، پاسخ به این سوال که چه چیزی باید محافظت شود، غیرممکن است. درک اینکه چه اطلاعاتی در یک سازمان پردازش می شود و کجا پردازش می شود بسیار مهم است.

    در یک سازمان بزرگ مدرن، تعداد دارایی های اطلاعاتی می تواند بسیار زیاد باشد. اگر فعالیت های سازمان با استفاده از یک سیستم ERP خودکار شود، می توان گفت که تقریباً هر شیء مادی مورد استفاده در این فعالیت با مقداری مطابقت دارد. شی اطلاعاتی. بنابراین، وظیفه اصلی مدیریت ریسک، شناسایی مهم ترین دارایی ها است.

    حل این مشکل بدون دخالت مدیران فعالیت اصلی سازمان اعم از مدیران میانی و عالی غیرممکن است. وضعیت بهینه زمانی است که مدیریت ارشد سازمان شخصاً حیاتی ترین زمینه های فعالیت را تعیین می کند که برای آن اطمینان از امنیت اطلاعات بسیار مهم است. نظر مدیریت ارشد در مورد اولویت ها در تضمین امنیت اطلاعات در فرآیند تحلیل ریسک بسیار مهم و ارزشمند است، اما در هر صورت باید با جمع آوری اطلاعات بحرانی بودن دارایی ها در سطح میانی مدیریت شرکت روشن شود. در عین حال، توصیه می شود تجزیه و تحلیل بیشتری را دقیقاً در زمینه های فعالیت تجاری تعیین شده توسط مدیریت ارشد انجام دهید. اطلاعات دریافتی پردازش، جمع‌آوری و برای ارزیابی جامع وضعیت به مدیریت ارشد منتقل می‌شود (اما بعداً در مورد آن بیشتر خواهد شد).

    اطلاعات را می توان بر اساس شرح فرآیندهای تجاری که در آن اطلاعات به عنوان یکی از انواع منابع در نظر گرفته می شود، شناسایی و بومی سازی کرد. اگر سازمان یک رویکرد تنظیم تجاری (مثلاً برای اهداف مدیریت کیفیت و بهینه سازی فرآیند کسب و کار) را اتخاذ کرده باشد، کار تا حدودی ساده می شود. تشریح فرآیندهای تجاری رسمی نقطه شروع خوبی برای موجودی دارایی است. در صورت عدم وجود توضیحات، می توانید بر اساس اطلاعات دریافتی از کارکنان سازمان، دارایی ها را شناسایی کنید. پس از شناسایی دارایی ها، ارزش آنها باید تعیین شود.

    کار تعیین ارزش دارایی های اطلاعاتی در زمینه کل سازمان مهم ترین و پیچیده ترین است. این ارزیابی دارایی های اطلاعاتی است که به رئیس بخش امنیت اطلاعات اجازه می دهد تا زمینه های اصلی فعالیت را برای تضمین امنیت اطلاعات انتخاب کند.

    ارزش یک دارایی به عنوان میزان ضرری که سازمان در صورت نقض امنیت دارایی متحمل خواهد شد بیان می شود. تعیین ارزش مشکل ساز است، زیرا در بیشتر موارد، مدیران یک سازمان نمی توانند فورا به این سوال پاسخ دهند که چه اتفاقی می افتد اگر، برای مثال، اطلاعات مربوط به قیمت های خرید ذخیره شده در سرور فایلبه سراغ یک رقیب خواهد رفت. یا بهتر بگوییم در اغلب موارد مدیران سازمان هرگز به چنین موقعیت هایی فکر نمی کردند.

    اما کارایی اقتصادی فرآیند مدیریت امنیت اطلاعات تا حد زیادی به آگاهی از آنچه باید محافظت شود و چه تلاش هایی برای این امر لازم است بستگی دارد، زیرا در بیشتر موارد میزان تلاش به کار گرفته شده با مقدار پول صرف شده و عملیاتی متناسب است. هزینه ها مدیریت ریسک به شما امکان می دهد به این سوال پاسخ دهید که کجا می توانید ریسک کنید و کجا نمی توانید. در مورد امنیت اطلاعات، اصطلاح ریسک به این معناست که در یک حوزه خاص نمی توان تلاش قابل توجهی برای حفاظت از دارایی های اطلاعاتی انجام نداد و در عین حال در صورت نقض امنیت، سازمان متضرر نمی شود. زیان های قابل توجه در اینجا می توانید قیاسی با کلاس های حفاظتی ترسیم کنید سیستم های خودکار: هر چه خطرات بیشتر باشد، الزامات حفاظتی باید سختگیرانه تر باشد.

    برای تعیین پیامدهای نقض امنیتی، یا باید اطلاعاتی در مورد حوادث ثبت شده با ماهیت مشابه داشته باشیم، یا یک تحلیل سناریو انجام دهیم. تحلیل سناریو روابط علّی بین رویدادهای نقض امنیت دارایی و تأثیر آن رویدادها بر کسب و کار سازمان را بررسی می کند. پیامدهای سناریوها باید توسط چند نفر به صورت تکراری یا مشورتی ارزیابی شود. لازم به ذکر است که توسعه و ارزیابی چنین سناریوهایی را نمی توان به طور کامل از واقعیت جدا کرد. همیشه باید به خاطر داشت که سناریو باید محتمل باشد. معیارها و مقیاس های تعیین ارزش برای هر سازمان فردی است. بر اساس نتایج تحلیل سناریو می توان اطلاعاتی در مورد ارزش دارایی ها به دست آورد.

    اگر دارایی ها شناسایی شده و ارزش آنها مشخص شود، می توان گفت که اهداف تضمین امنیت اطلاعات تا حدی تعیین شده است: اهداف حفاظتی و اهمیت نگهداری آنها در وضعیت امنیت اطلاعات برای سازمان تعریف می شود. شاید فقط مشخص شود که باید از چه کسی محافظت شود.

    تجزیه و تحلیل منبع مشکل

    پس از تعریف اهداف مدیریت امنیت اطلاعات، لازم است مشکلاتی که مانع نزدیک شدن به وضعیت هدف می شوند، مورد تجزیه و تحلیل قرار گیرد. در این سطح، فرآیند تحلیل ریسک به زیرساخت اطلاعات و مفاهیم سنتی امنیت اطلاعات - متخلفان، تهدیدها و آسیب پذیری ها (شکل 2) نزول می کند.

    مدل مزاحم

    برای ارزیابی ریسک ها، معرفی یک مدل متجاوز استاندارد که همه مزاحمان را بر اساس نوع دسترسی به دارایی و دانش در مورد ساختار دارایی ها جدا می کند، کافی نیست. این جداسازی به تعیین اینکه چه تهدیدهایی می‌توانند متوجه یک دارایی شوند کمک می‌کند، اما به این سؤال پاسخ نمی‌دهد که آیا اصولاً این تهدیدها قابل تحقق هستند یا خیر.

    در فرآیند تحلیل ریسک، ارزیابی انگیزه متخلفان در اجرای تهدیدات ضروری است. در عین حال، متخلف یک هکر خارجی یا خودی انتزاعی نیست، بلکه طرفی است که علاقه مند به کسب منافع از طریق نقض امنیت یک دارایی است.

    اطلاعات اولیه در مورد مدل نفوذگر، مانند انتخاب حوزه های اولیه فعالیت برای اطمینان از امنیت اطلاعات، باید از مدیریت ارشد، که موقعیت سازمان در بازار را درک می کند، اطلاعاتی در مورد رقبا و آنچه در اختیار دارد، به دست آید. روش های نفوذ را می توان از آنها انتظار داشت. اطلاعات لازم برای توسعه مدل یک نفوذگر را نیز می توان از مطالعات تخصصی در مورد تخلفات در زمینه امنیت رایانه در حوزه تجاری که تجزیه و تحلیل ریسک برای آن انجام می شود، به دست آورد. یک مدل مزاحم به خوبی طراحی شده مکمل اهداف تضمین امنیت اطلاعات است که در ارزیابی دارایی های سازمان تعریف شده است.

    مدل تهدید

    توسعه یک مدل تهدید و شناسایی آسیب پذیری ها به طور جدایی ناپذیری با فهرستی از محیط دارایی اطلاعاتی سازمان مرتبط است. اطلاعات به خودی خود ذخیره یا پردازش نمی شوند. دسترسی به آن با استفاده از زیرساخت اطلاعاتی که فرآیندهای تجاری سازمان را خودکار می کند، فراهم می شود. درک اینکه چگونه زیرساخت اطلاعاتی و دارایی های اطلاعاتی یک سازمان به هم مرتبط هستند، مهم است. از منظر مدیریت امنیت اطلاعات، اهمیت زیرساخت اطلاعاتی تنها پس از تعیین رابطه بین دارایی های اطلاعاتی و زیرساخت می تواند مشخص شود. در صورتی که فرآیندهای نگهداری و بهره برداری از زیرساخت اطلاعاتی در یک سازمان منظم و شفاف باشد، جمع آوری اطلاعات لازم برای شناسایی تهدیدها و ارزیابی آسیب پذیری ها بسیار ساده می شود.

    توسعه یک مدل تهدید، کاری برای متخصصان امنیتی است که ایده خوبی از نحوه دسترسی غیرمجاز یک متجاوز به اطلاعات با نقض محیط حفاظتی یا اقدام با روش‌ها دارند. مهندسی اجتماعی. هنگام توسعه یک مدل تهدید، می توان در مورد سناریوها به عنوان مراحل متوالی صحبت کرد که براساس آنها می توان تهدیدها را پیاده سازی کرد. به ندرت اتفاق می افتد که تهدیدها در یک مرحله با بهره برداری از یک آسیب پذیری واحد در سیستم اجرا شوند.

    مدل تهدید باید شامل تمام تهدیدات شناسایی شده در نتیجه فرآیندهای مدیریت امنیت اطلاعات مرتبط، مانند آسیب پذیری و مدیریت حوادث باشد. باید به خاطر داشت که تهدیدها باید نسبت به یکدیگر با توجه به سطح احتمال اجرای آنها رتبه بندی شوند. برای انجام این کار، در فرآیند توسعه یک مدل تهدید برای هر تهدید، لازم است مهم‌ترین عواملی که وجود آن‌ها بر اجرای آن تأثیر می‌گذارد، مشخص شود.

    شناسایی آسیب پذیری

    بر این اساس، پس از تدوین مدل تهدید، شناسایی آسیب‌پذیری‌ها در محیط دارایی ضروری است. شناسایی و ارزیابی آسیب‌پذیری‌ها می‌تواند به عنوان بخشی از فرآیند مدیریت امنیت اطلاعات دیگر - ممیزی انجام شود. در اینجا نباید فراموش کرد که برای انجام ممیزی IS، تدوین معیارهای تأیید ضروری است. و معیارهای راستی آزمایی را می توان تنها بر اساس مدل تهدید و مدل ناقض توسعه داد.

    با توجه به نتایج حاصل از توسعه مدل تهدید، مدل نفوذگر و شناسایی آسیب‌پذیری‌ها، می‌توان گفت که دلایلی که بر دستیابی به وضعیت هدف امنیت اطلاعات سازمان تأثیر می‌گذارند، شناسایی شده‌اند.

    ارزیابی ریسک

    شناسایی و ارزیابی دارایی ها، توسعه مدل مهاجم و تهدید، شناسایی آسیب پذیری ها همه مراحل استانداردی هستند که باید در هر روش تحلیل ریسک گنجانده شوند. تمام مراحل بالا را می توان با سطوح مختلفکیفیت و جزئیات بسیار مهم است که بفهمیم با حجم عظیمی از اطلاعات انباشته شده و مدل های رسمی چه کاری و چگونه می توان انجام داد. به نظر ما این سوال مهم ترین است و روش تحلیل ریسک مورد استفاده باید به آن پاسخ دهد.

    نتایج به دست آمده باید ارزیابی، تجمیع، طبقه بندی و نمایش داده شوند. از آنجایی که خسارت در مرحله شناسایی و ارزیابی دارایی ها تعیین می شود، ارزیابی احتمال وقوع رویدادهای ریسک ضروری است. همانطور که در مورد ارزیابی دارایی، ارزیابی احتمال را می توان بر اساس آمار حوادثی که دلایل آن با تهدیدات IS در نظر گرفته شده مطابقت دارد یا با روش پیش بینی - بر اساس وزن دهی عوامل مربوط به مدل تهدید توسعه یافته به دست آورد.

    یک روش خوب برای ارزیابی احتمال، طبقه بندی آسیب پذیری ها بر اساس مجموعه ای از عوامل انتخاب شده است که سهولت بهره برداری از آسیب پذیری ها را مشخص می کند. پیش‌بینی احتمال تهدیدها قبلاً بر اساس ویژگی‌های آسیب‌پذیری و گروه‌هایی از مزاحمان که تهدیدها از آن‌ها می‌آیند انجام می‌شود.

    نمونه ای از یک سیستم طبقه بندی آسیب پذیری، استاندارد CVSS - سیستم امتیازدهی آسیب پذیری رایج است. لازم به ذکر است که در فرآیند شناسایی و ارزیابی آسیب‌پذیری‌ها، تخصص متخصصان امنیت اطلاعات که ارزیابی ریسک را انجام می‌دهند و مطالب آماری و گزارش‌های آسیب‌پذیری‌ها و تهدیدات در حوزه امنیت اطلاعات بسیار حائز اهمیت است.

    ارزش (سطح) ریسک باید برای همه مجموعه های "دارایی - تهدید" شناسایی شده و مطابق با یکدیگر تعیین شود. در عین حال، لازم نیست میزان خسارت و احتمال آن به صورت پولی و درصدی مطلق بیان شود. علاوه بر این، به عنوان یک قاعده، ارائه نتایج در این فرم ممکن نیست. دلیل این امر روش های مورد استفاده برای تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات است: تجزیه و تحلیل سناریو و پیش بینی.

    تصمیم گیری

    با نتیجه ارزیابی چه می توان کرد؟

    ابتدا باید یک گزارش تحلیل ریسک ساده و بصری تهیه شود که هدف اصلی آن ارائه اطلاعات جمع آوری شده در مورد اهمیت و ساختار ریسک های امنیت اطلاعات در سازمان خواهد بود. گزارش باید به مدیریت عالی سازمان ارائه شود. یک اشتباه رایج این است که به جای نتیجه گیری، نتایج میانی را به مدیریت ارشد ارائه کنید. بدون شک، همه نتیجه گیری ها باید با استدلال پشتیبانی شود - همه محاسبات میانی باید به گزارش پیوست شود.

    برای وضوح گزارش، ریسک ها باید با اصطلاحات تجاری آشنا به سازمان طبقه بندی شوند، ریسک های مشابه باید تجمیع شوند. به طور کلی، طبقه بندی ریسک ها می تواند چند وجهی باشد. از یک سو، ما در مورد خطرات امنیت اطلاعات صحبت می کنیم، از سوی دیگر، خطرات آسیب به شهرت یا از دست دادن مشتری. ریسک های طبقه بندی شده باید بر اساس احتمال وقوع و اهمیت آنها برای سازمان رتبه بندی شوند.

    گزارش تحلیل ریسک اطلاعات زیر را منعکس می کند:

    • مشکل سازترین حوزه های امنیت اطلاعات در سازمان؛
    • تأثیر تهدیدات IS بر ساختار ریسک کلی سازمان؛
    • حوزه های اولویت دار فعالیت بخش IS برای بهبود کارایی پشتیبانی IS.

    بر اساس گزارش تحلیل ریسک، رئیس اداره امنیت اطلاعات می‌تواند برای میان مدت برنامه‌ای برای کار این بخش تهیه کند و براساس ماهیت فعالیت‌های لازم برای کاهش خطرات، بودجه تعیین کند. لازم به ذکر است که یک گزارش تحلیل ریسک که به درستی تنظیم شده است به رئیس بخش امنیت اطلاعات اجازه می دهد تا زبان مشترکی با مدیریت ارشد سازمان پیدا کند و مشکلات فوری مربوط به مدیریت امنیت اطلاعات را حل کند (شکل 3).

    سیاست درمان ریسک

    خیلی سوال مهم- سیاست مدیریت ریسک سازمان. این سیاست قوانین مدیریت ریسک را تعریف می کند. به عنوان مثال، یک سیاست ممکن است بگوید که خطرات شهرت باید ابتدا کاهش یابد، در حالی که کاهش خطرات با شدت متوسط ​​که توسط حوادث امنیت اطلاعات تأیید نشده است، به انتهای صف موکول می شود. خط مشی مدیریت ریسک ممکن است توسط واحد مدیریت ریسک شرکت تعیین شود.

    سیاست درمان ریسک ممکن است مسائل مربوط به بیمه ریسک و تجدید ساختار فعالیت ها را در صورتی که خطرات احتمالی از سطح قابل قبول فراتر رود، توضیح دهد. اگر خط مشی تعریف نشده باشد، توالی کار برای کاهش ریسک باید بر اساس اصل حداکثر بهره وری باشد، اما همچنان باید توسط مدیریت ارشد تعیین شود.

    جمع بندی

    تجزیه و تحلیل ریسک یک روش نسبتاً پر زحمت است. در فرآیند تحلیل ریسک باید از مواد و ابزارهای روش شناختی استفاده شود. با این حال، این برای اجرای موفقیت آمیز یک فرآیند تکرارپذیر کافی نیست. یکی دیگر از اجزای مهم آن مقررات مدیریت ریسک است. می تواند خودکفا باشد و تنها بر خطرات امنیت اطلاعات تأثیر بگذارد یا می تواند با فرآیند کلی مدیریت ریسک در سازمان ادغام شود.

    بسیاری از بخش‌های ساختاری سازمان در فرآیند تحلیل ریسک درگیر هستند: بخش‌هایی که جهت‌های اصلی فعالیت‌های آن را هدایت می‌کنند، بخش مدیریت زیرساخت اطلاعات، بخش مدیریت امنیت اطلاعات. علاوه بر این، برای انجام موفقیت آمیز تجزیه و تحلیل ریسک و استفاده مؤثر از نتایج آن، مشارکت مدیریت ارشد سازمان و در نتیجه اطمینان از تعامل بین واحدهای ساختاری ضروری است.

    یک روش تحلیل ریسک به تنهایی یا یک ابزار تخصصی برای ارزیابی خطرات امنیت اطلاعات کافی نیست. رویه هایی برای شناسایی دارایی ها، تعیین اهمیت دارایی ها، توسعه مدل های مزاحم و تهدید، شناسایی آسیب پذیری ها، تجمیع و طبقه بندی ریسک ها مورد نیاز است. در سازمان های مختلف، همه این رویه ها ممکن است به طور قابل توجهی متفاوت باشند. اهداف و دامنه تجزیه و تحلیل ریسک امنیت اطلاعات نیز بر الزامات مربوط به فرآیندهای تحلیل ریسک تأثیر می گذارد.

    بکارگیری روش تحلیل ریسک برای مدیریت امنیت اطلاعات مستلزم آن است که سازمان از بلوغ کافی برخوردار باشد که در آن امکان اجرای کلیه فرآیندهای لازم به عنوان بخشی از تحلیل ریسک وجود داشته باشد.

    مدیریت ریسک به شما امکان می دهد فعالیت های بخش امنیت اطلاعات را ساختار دهید، زبان مشترکی را با مدیریت ارشد سازمان پیدا کنید، اثربخشی کار بخش امنیت اطلاعات را ارزیابی کنید و تصمیمات را در مورد انتخاب اقدامات حفاظت فنی و سازمانی خاص توجیه کنید. به مدیریت ارشد

    فرآیند تجزیه و تحلیل ریسک پیوسته است، زیرا اهداف سطح بالای تضمین امنیت اطلاعات می توانند برای مدت طولانی بدون تغییر باقی بمانند و زیرساخت اطلاعات، روش های پردازش اطلاعات و خطرات مرتبط با استفاده از فناوری اطلاعات دائما در حال تغییر هستند.

    بخش امنیت اطلاعات و سازمان به عنوان یک کل، در صورت ساختاردهی فعالیت های خود از طریق تجزیه و تحلیل مستمر ریسک، از مزایای بسیار مهم زیر برخوردار می شوند:

    • شناسایی اهداف مدیریت؛
    • تعریف روش های مدیریت؛
    • کارایی مدیریت بر اساس تصمیم گیری آگاهانه و به موقع.

    در رابطه با مدیریت ریسک و مدیریت امنیت اطلاعات باید به چند نکته دیگر اشاره کرد.

    تجزیه و تحلیل ریسک، مدیریت حادثه و حسابرسی IS به طور جدایی ناپذیری با یکدیگر مرتبط هستند، زیرا ورودی ها و خروجی های فرآیندهای فهرست شده به هم متصل هستند. توسعه و اجرای فرآیند مدیریت ریسک باید با توجه به مدیریت حوادث و ممیزی های امنیت اطلاعات انجام شود.

    فرآیند تحلیل ریسک ایجاد شده است نیاز اجباریاستاندارد STO-BR IBBS-1.0-2006 برای تضمین امنیت اطلاعات در بخش بانکی.

    در صورتی که سازمانی تصمیم به اخذ گواهینامه برای انطباق با الزامات استاندارد بین المللی ISO/IEC 27001:2005 داشته باشد، راه اندازی فرآیند تحلیل ریسک ضروری است.

    ایجاد یک رژیم برای حفاظت از اسرار تجاری و داده های شخصی به طور جدایی ناپذیری با تجزیه و تحلیل ریسک مرتبط است، زیرا همه این فرآیندها از روش های مشابه برای شناسایی و ارزیابی دارایی ها، توسعه یک مدل مزاحم و یک مدل تهدید استفاده می کنند.

    فرآیند تحلیل و ارزیابی ریسک یکی از مراحل کلیدی شناخته شده ترین روش های ساخت سیستم های حفاظت اطلاعات مانند Symantec Lifecycle Security و روش مایکروسافت است. علاوه بر این، روش ها و محصولات نرم افزاری تخصصی برای تجزیه و تحلیل و ارزیابی ریسک وجود دارد، مانند CRAMM، FRAP، RiskWatch، GRIF و غیره که ما به شرح معروف ترین آنها می پردازیم تا ایده درستی از آنها به دست آوریم. ویژگی های هر یک از روش ها برای انتخاب بعدی مناسب ترین روش برای کاربرد در شرکت های بانکی.

    مروری بر فعال ترین روش های مورد استفاده برای تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات

    Symantec Lifecycle Security مدلی است که چنین روشی را برای سازماندهی یک سیستم امنیت اطلاعات سازمانی توصیف می کند که به شما امکان می دهد به طور سیستماتیک مشکلات مربوط به حفاظت از اطلاعات را حل کنید و فرصتی را برای ارزیابی کافی نتیجه استفاده از ابزار فنی و سازمانی و اقدامات حفاظت از اطلاعات فراهم می کند (Petrenko ، 2009). این روش شامل هفت جزء اصلی است:

    1. سیاست ها، استانداردها، رویه ها و معیارهای امنیتی؛

    2. تجزیه و تحلیل ریسک;

    3. طرح راهبردی برای ایجاد سیستم حفاظتی.

    4. انتخاب و اجرای راه حل ها.

    5. آموزش کارکنان;

    6. نظارت بر حفاظت.

    7. توسعه روش های واکنش در صورت بروز حوادث و بهبودی.

    از آنجایی که این مقاله به مشکل تحلیل و ارزیابی ریسک های امنیت اطلاعات می پردازد، بر این مرحله تمرکز خواهیم کرد. چرخه زندگی NIB. موارد زیر نکات کلیدی در فرآیند تحلیل ریسک مدل Lifecycle Security Symantec است.

    1. مستندات دقیق سیستم کامپیوتری سازمانی با تاکید بر شرح برنامه های کاربردی حیاتی برای فعالیت های شرکت.

    2. تعیین میزان وابستگی عملکرد عادی سازمان به قابلیت سرویس دهی تک تک قطعات شبکه کامپیوتری، گره های خاص، از امنیت داده های ذخیره شده و پردازش شده.

    3. آسیب پذیری ها را در سیستم کامپیوتری شرکت جستجو کنید.

    4. جستجوی تهدیدات قابل پیاده سازی در رابطه با آسیب پذیری های شناسایی شده.

    5. جستجو و ارزیابی خطرات مرتبط با استفاده از سیستم کامپیوتری شرکت.

    یکی دیگر از روش های شناخته شده ساخت سیستم یکپارچهحفاظت از اطلاعات در سازمان یک روش توسعه یافته توسط مایکروسافت است. این شامل یک مدل مدیریت ریسک امنیت اطلاعات شرکت است. کل چرخه مدیریت ریسک را می توان به چهار مرحله اصلی تقسیم کرد.

    1. ارزیابی ریسک.

    · برنامه ریزی جمع آوری داده ها، بحث در مورد شرایط کلیدی برای اجرای موفقیت آمیز، و تهیه توصیه ها.

    · جمع آوری داده ها در مورد خطرات و مستندات آن.

    · تعیین اهمیت ریسک ها. شرح توالی اقدامات برای ارزیابی کیفی و کمی ریسک.

    2. پشتیبانی تصمیم.

    تعریف الزامات عملکردی

    · انتخاب عناصر کنترلی مناسب.

    · بررسی عناصر کنترلی پیشنهادی برای انطباق با الزامات عملکردی.

    · ارزیابی کاهش ریسک.

    · ارزیابی هزینه های مستقیم و غیر مستقیم مرتبط با اجرای عناصر کنترلی.

    تعیین مقرون به صرفه ترین راه حل موثربرای خنثی کردن ریسک با تجزیه و تحلیل مزایا و هزینه ها.

    3. اجرای کنترل. استقرار و استفاده از کنترل هایی که خطر امنیت اطلاعات سازمان را کاهش می دهد.

    · به دنبال یک رویکرد جامع.

    · سازمان حفاظت چند سطحی.

    4. ارزیابی اثربخشی برنامه. تجزیه و تحلیل اثربخشی فرآیند مدیریت ریسک، بررسی کنترل های انتخاب شده برای انطباق با سطح حفاظتی مورد نیاز.

    · توسعه سیستم شاخص های ریسک.

    · ارزیابی اثربخشی برنامه مدیریت ریسک و شناسایی فرصت های بهبود.

    عکس. 1

    بیایید نگاهی دقیق تر به مرحله اول بیندازیم. لازم به ذکر است که مراحل ارزیابی کیفی ریسک معمولاً تقریباً یکسان است: شناسایی ریسک های IS، تعیین احتمال وقوع هر یک از آنها، تعیین ارزش دارایی هایی که از تحقق یک ریسک خاص متضرر می شوند و همچنین به عنوان توزیع ریسک های توصیف شده به گروه ها بسته به معیارهای اهمیت ریسک قبلاً توافق شده و همچنین امکان پذیرش آن. بنابراین، در این روش، مرحله اولیهریسک‌ها مطابق با مقیاس ارزش‌گذاری می‌شوند: «بالا» (منطقه قرمز)، «معنی‌دار» (منطقه زرد)، «متوسط» (ناحیه آبی) و «ناچیز» (منطقه سبز) (شکل 2). پس از آن، در صورت نیاز به شناسایی مهم ترین ریسک ها و محاسبه شاخص های مالی، ارزیابی کمی انجام می شود.


    برنج. 2 ماتریس برای ارزیابی ریسک جدولی.

    یک ارزیابی مؤثر مستلزم جمع‌آوری به‌روزترین داده‌ها در مورد دارایی‌های سازمان، تهدیدات امنیتی، آسیب‌پذیری‌ها، محیط کنترل فعلی و کنترل‌های پیشنهادی است. علاوه بر این، یک فرآیند پیچیده و چند مرحله ای از تجزیه و تحلیل و ارزیابی ریسک انجام می شود که در نتیجه آن صاحبان مشاغل اطلاعاتی را نه تنها در مورد خطرات موجود، احتمال اجرای آنها، سطوح تأثیر بر فعالیت های شرکت، بلکه اطلاعات دریافت می کنند. همچنین برآوردی از زیان سالانه مورد انتظار (ALE).

    همچنین وجود ابزار ارزیابی امنیت مایکروسافت (MSAT) وجود دارد که نرم افزار رایگانی است که به شما امکان می دهد "آسیب پذیری ها را در محیط های فناوری اطلاعات ارزیابی کنید، لیستی از مشکلات اولویت بندی شده و لیستی از توصیه ها را برای به حداقل رساندن این تهدیدات ارائه دهید."

    فرآیند تجزیه و تحلیل یک شبکه اطلاعاتی برای آسیب‌پذیری‌ها با پاسخ به بیش از 200 سؤال «شامل زیرساخت، برنامه‌ها، عملیات و پرسنل» انجام می‌شود. سری اول سوالات برای تعیین مدل کسب و کار شرکت طراحی شده است، بر اساس پاسخ های دریافتی، این ابزار یک "نمایه ریسک تجاری (BRP)" ایجاد می کند. بر اساس پاسخ به سوالات سری دوم، فهرستی از پادمان های اجرا شده توسط شرکت در طول زمان تهیه می شود. این کنترل‌های امنیتی با هم «لایه‌های حفاظتی را تشکیل می‌دهند و محافظت بیشتری در برابر تهدیدات امنیتی و آسیب‌پذیری‌های خاص ارائه می‌کنند». مجموع سطوحی که «سیستم دفاع ترکیبی در عمق» را تشکیل می دهند، «شاخص دفاع در عمق (DiDI)» نامیده می شود. پس از آن، BRP و DiDI با یکدیگر مقایسه می‌شوند تا توزیع تهدیدات را در حوزه‌های تحلیل - زیرساخت، برنامه‌ها، عملیات و افراد اندازه‌گیری کنند.

    این تخمین برای استفاده در سازمان های متوسط ​​"با 50 تا 1500 دسکتاپ" در نظر گرفته شده است. در نتیجه استفاده از آن، مدیریت شرکت اطلاعات کلی در مورد وضعیت سیستم امنیت اطلاعات شرکت را دریافت می کند که بیشتر "مناطق خطر بالقوه" را پوشش می دهد، اما ابزار توصیف شده برای ارائه "تحلیل عمیق از فن آوری ها یا فرآیندهای خاص."

    روش تحلیل و مدیریت ریسک CCTA (CRAMM) یکی از اولین روش های تحلیل ریسک در حوزه امنیت اطلاعات است. روش CRAMM مبتنی بر یک رویکرد یکپارچه است که روش‌های ارزیابی کمی و کیفی ریسک را ترکیب می‌کند.

    مطالعه امنیت اطلاعات یک سیستم با استفاده از CRAMM می تواند به دو صورت انجام شود که دو هدف کیفی متفاوت را دنبال می کند: ارائه سطح پایه ای از امنیت اطلاعات و انجام یک تحلیل ریسک کامل. تعداد مراحل کار انجام شده بستگی به وظیفه ای دارد که ارزیاب های ریسک با آن روبرو هستند. بیایید تمام احتمالات این تکنیک را با تمرکز بر شرایط اعمال یک روش تحلیل خاص فهرست کنیم.

    مرحله اول هنگام تعیین هر یک از دو هدف ممکن برای مطالعه امنیت اطلاعات سیستم، مقدماتی و اجباری است. در طی این مرحله، مرزهای در نظر گرفته شده است سیستم اطلاعات، کارکردهای اصلی آن، دسته بندی کاربران و پرسنل شرکت کننده در مطالعه.

    در مرحله دوم، تجزیه و تحلیل همه چیز مربوط به شناسایی و تعیین ارزش منابع سیستم مورد نظر انجام می شود: منابع فیزیکی، نرم افزاری و اطلاعاتی واقع در مرزهای سیستم شناسایی می شوند و سپس آنها در کلاس های از پیش انتخاب شده توزیع می شوند. در نتیجه، مشتری درک خوبی از وضعیت سیستم دارد و می تواند تصمیم بگیرد که آیا تحلیل ریسک کامل لازم است یا خیر. به شرطی که ارائه یک سطح اولیه از امنیت اطلاعات برای مشتری کافی نباشد، یک مدل سیستم اطلاعاتی از موقعیت امنیت اطلاعات ساخته شده است که به برجسته ترین عناصر امکان می دهد.

    در مرحله سوم که تنها در صورت نیاز به تجزیه و تحلیل کامل ریسک انجام می شود، همه چیز مربوط به شناسایی و ارزیابی سطوح تهدید گروه های منابع و آسیب پذیری های آنها در نظر گرفته می شود. در این مرحله، تأثیر گروه‌های خاصی از منابع بر عملکرد خدمات کاربر ارزیابی می‌شود، سطح تهدیدات و آسیب‌پذیری‌ها تعیین می‌شود، سطوح ریسک محاسبه می‌شوند و نتایج تحلیل می‌شوند. در نتیجه، مشتری سطوح شناسایی شده و ارزیابی شده ریسک های IS را برای سیستم مورد مطالعه دریافت می کند.

    در مرحله چهارم، برای هر گروه از منابع و هر یک از 36 نوع تهدید، نرم افزار CRAMM لیستی از سوالاتی را ایجاد می کند که نیاز به پاسخی بدون ابهام دارد. همانطور که در مورد روش مایکروسافت، CRAMM یک ارزیابی کیفی ریسک را با اختصاص سطوح تهدید به یک دسته یا دسته دیگر، بسته به پاسخ‌های دریافتی انجام می‌دهد. در مجموع، پنج دسته سطح تهدید در این روش وجود دارد: «بسیار زیاد»، «زیاد»، «متوسط»، «کم» و «بسیار کم». به نوبه خود، سطح آسیب پذیری منبع، بسته به پاسخ ها، به عنوان "بالا"، "متوسط" و "کم" ارزیابی می شود. بر اساس این اطلاعات و همچنین اندازه زیان های مالی مورد انتظار، سطوح ریسک در مقیاسی از 1 تا 7 محاسبه می شود که در یک ماتریس ارزیابی ریسک ترکیب شده اند (شکل 3).


    شکل 3

    در اینجا لازم به ذکر است که روش CRAMM به درستی می تواند به عنوان روشی طبقه بندی شود که از هر دو رویکرد کیفی و کمی برای تجزیه و تحلیل ریسک امنیت اطلاعات استفاده می کند، زیرا فرآیند ارزیابی سطح زیان های مالی مورد انتظار ناشی از تحقق ریسک را در نظر می گیرد و نتایج به دست آمده عبارتند از: این واقعیت به طور قابل توجهی امتیاز تکنیک CRAMM را از نظر متخصصان در این زمینه افزایش می دهد.

    در آخرین مرحله از مطالعه، به نام "مدیریت ریسک"، انتخاب عناصر کنترلی کافی انجام می‌شود: نرم‌افزار CRAMM چندین گزینه برای اقدامات متقابل ایجاد می‌کند که برای ریسک‌های شناسایی‌شده و سطوح آنها مناسب است، که از آن‌ها گزینه سیستم امنیتی بهینه است. انتخاب شده است که نیازهای مشتری را برآورده می کند.

    روش "فرآیند تحلیل ریسک تسهیل شده (FRAP)" مدلی برای ساختن یک سیستم امنیت اطلاعات است که شامل تحلیل کیفی ریسک است. اجازه دهید این مؤلفه خاص از روش شناسی مورد علاقه خود را تجزیه و تحلیل کنیم. در زیر مراحل اصلی ارزیابی ریسک آورده شده است.

    1. در مرحله اول، بر اساس داده های نظرسنجی، مستندات فنی، تجزیه و تحلیل شبکه خودکار، دارایی های در معرض خطر را فهرست می کند.

    2. شناسایی تهدیدها. هنگام تهیه لیستی از تهدیدات، می توانید استفاده کنید رویکردهای مختلف:

    روش مرسوم. در این مورد، کارشناسان لیست (چک لیست) تهدیدات احتمالی را تهیه می کنند که متعاقباً مرتبط ترین آنها برای سیستم مورد نظر انتخاب می شوند.

    · آماری. در اینجا تجزیه و تحلیل آمار حوادث مربوط به امنیت اطلاعات این IS و موارد مشابه انجام شده و میانگین فراوانی آنها برآورد شده و پس از آن نقاط خطر ارزیابی می شود.

    · " ایده پردازی"، انجام شده توسط کارکنان شرکت. تفاوت با روش اول این است که بدون دخالت کارشناسان خارجی انجام می شود.

    3. پس از تهیه فهرستی از تهدیدات بالقوه، آمار برای هر وقوع خطر جمع آوری می شود: فراوانی یک موقعیت خاص، و همچنین سطح آسیب متحمل شده. بر اساس این مقادیر، کارشناسان سطح تهدید را از نظر هر دو پارامتر ارزیابی می‌کنند: احتمال تهدید (احتمال زیاد، احتمال متوسط ​​و احتمال کم) و آسیب ناشی از آن (تاثیر زیاد، تأثیر متوسط ​​و تأثیر کم). علاوه بر این، مطابق با قاعده مشخص شده توسط ماتریس ریسک (شکل 4)، ارزیابی سطح ریسک تعیین می شود:

    سطح A - اقدامات با هدف از بین بردن تهدید (به عنوان مثال، معرفی GIS) باید بلافاصله و در بدون شکست;

    سطح B - لازم است اقداماتی با هدف کاهش خطر انجام شود.

    سطح C - نظارت بر وضعیت ضروری است.

    سطح D - بدون اقدام این لحظهمورد نیاز نیست.

    4. پس از شناسایی تهدیدها و ارزیابی ریسک های نسبی، باید برنامه عملیاتی برای حذف خطر یا کاهش آن به سطح قابل قبولی تدوین شود.

    5. در پایان ارزیابی ریسک، نتایج باید با جزئیات مستند شده و به یک قالب استاندارد ترجمه شود. این داده ها را می توان هنگام برنامه ریزی رویه های امنیتی بیشتر، بودجه اختصاص داده شده برای این رویه ها و غیره استفاده کرد.


    برنج. 4

    Risk Advisor یک محصول نرم افزاری است که توسط MethodWare توسعه یافته است که روشی را پیاده سازی می کند که "به شما امکان می دهد یک مدل سیستم اطلاعاتی را از موقعیت امنیت اطلاعات تنظیم کنید، خطرات، تهدیدها، زیان های ناشی از حوادث را شناسایی کنید." پنج مرحله اصلی کار وجود دارد:

    شرح زمینه. اول از همه، لازم است یک طرح کلی از تماس های اطلاعاتی خارجی و داخلی سازمان ایجاد شود. این مدل در چندین بعد ساخته شده و با پارامترهای زیر تنظیم می شود: استراتژیک، سازمانی، اهداف تجاری، مدیریت ریسک، معیارها. تصویر زمینه کلی از نظر استراتژی، نقاط قوت و طرف های ضعیفسازمان از نظر مخاطبین خارجی. در اینجا، طبقه بندی تهدیدات مرتبط با روابط با شرکا انجام می شود، خطرات مرتبط با گزینه های مختلف برای توسعه روابط خارجی سازمان ارزیابی می شود. توصیف زمینه در بعد سازمانی شامل تصویری از روابط درون سازمان، استراتژی توسعه و سیاست داخلی است. چارچوب مدیریت ریسک شامل مفهوم امنیت اطلاعات است. در نهایت، در زمینه اهداف کسب و کار و معیارهای ارزیابی، همانطور که از نام آن پیداست، اهداف کلیدی کسب و کار و معیارهای کمی و کیفی که ریسک بر اساس آنها مدیریت می شود را توصیف می کند.

    شرح خطرات به منظور تسهیل و استانداردسازی فرآیند تصمیم گیری مرتبط با مدیریت ریسک، داده های ریسک باید استاندارد شوند. که در مدل های مختلفاز الگوهای مختلف برای رسمی کردن اطلاعات موجود استفاده می شود. در روشی که ما توضیح می دهیم، یک ماتریس ریسک تنظیم شده است که نه تنها پارامترهای خود این ریسک ها، بلکه اطلاعاتی در مورد روابط آنها با سایر عناصر را نیز در نظر می گیرد. سیستم مشترک. لازم به ذکر است که ریسک ها در اینجا در مقیاس کیفی و نه کمی ارزیابی می شوند و تنها به دو دسته قابل قبول و بر این اساس غیر قابل قبول تقسیم می شوند. پس از این ارزیابی، انتخابی از اقدامات متقابل و تجزیه و تحلیل هزینه و اثربخشی دفاع انتخاب شده انجام می شود.

    شرح تهدیدات ابتدا یک لیست کلی از تهدیدات تهیه می شود. سپس بر اساس یک مقیاس کیفی طبقه بندی شده، روابط بین تهدیدات مختلف و روابط نوع «تهدید-خطر» تشریح می شود.

    شرح ضرر و زیان در این مرحله رویدادهای مرتبط با حوادث امنیت اطلاعات تشریح شده و پس از آن خطرات ناشی از این رویدادها ارزیابی می شود.

    تجزیه و تحلیل نتایج. پس از ساخت مدل، گزارش مفصلی (شامل بیش از 100 بخش) تولید می شود. توضیحات تجمیع شده در قالب یک نمودار ریسک به مصرف کننده ارائه می شود.

    RiskWatch، مانند مایکروسافت، روش تجزیه و تحلیل و ارزیابی ریسک خود را توسعه داده است که در تعدادی از آنها پیاده سازی شده است. ابزارهای نرم افزاری. در روش RiskWatch، خسارات سالانه مورد انتظار (Annual Loss Expectancy، ALE) و برآورد بازگشت سرمایه (ROI) به عنوان معیاری برای ارزیابی و مدیریت ریسک ها استفاده می شود. ایجاد یک سیستم دفاعی. فرآیند تحلیل ریسک شامل چهار مرحله است.

    در مرحله اول که در واقع مقدماتی است، موضوع مطالعه مشخص می شود: شرحی از نوع سازمان، ترکیب سیستم مورد مطالعه، الزامات اساسی در زمینه امنیت اطلاعات و غیره ارائه می شود. . نرم افزار RiskWatch طیف گسترده ای از دسته های مختلف منابع محافظت شده، تلفات، تهدیدات، آسیب پذیری ها و اقدامات حفاظتی را ارائه می دهد که تحلیلگر تنها مواردی را انتخاب می کند که واقعاً در سیستم مورد مطالعه وجود دارند. علاوه بر این، امکان افزودن عناصر جدید و تصحیح توضیحات موجود وجود دارد.

    در مرحله دوم، توصیف دقیق‌تری از سیستم ارائه می‌شود (چه منابعی در آن وجود دارد، چه نوع زیان‌هایی در هنگام تحقق ریسک رخ می‌دهد، و چه دسته‌هایی از حوادث را می‌توان با مقایسه دسته‌بندی زیان‌ها و زیان‌ها تشخیص داد. دسته منابع"). دو گزینه برای وارد کردن داده ها وجود دارد: به صورت دستی یا با وارد کردن از گزارش های تولید شده در طول تجزیه و تحلیل یک شبکه کامپیوتری برای آسیب پذیری های موجود در آن. برای شناسایی نقاط ضعف احتمالی در سیستم، از پرسشنامه ای استفاده می شود که می خواهد به بیش از 600 سوال مرتبط با دسته بندی منابع پاسخ دهد. با توجه به اینکه شرکت ها در زمینه های مختلف فعالیت دارای ویژگی های استثنایی خود هستند و همچنین با توجه به بازار به سرعت در حال توسعه فناوری اطلاعات، داشتن توانایی تصحیح سوالات و حذف / اضافه کردن موارد جدید بسیار منطقی و راحت به نظر می رسد. سپس فراوانی اجرای هر یک از تهدیدات موجود در سیستم، میزان آسیب پذیری و ارزش منابع تعیین می شود. بر اساس این اطلاعات، کارایی استفاده از عناصر خاصی از کنترل امنیت اطلاعات محاسبه می شود.

    در مرحله سوم، ارزیابی کمی ریسک انجام می شود. اولین قدم تعیین رابطه بین منابع، تلفات، تهدیدها و آسیب پذیری های شناسایی شده در دو مرحله اول کار است. علاوه بر این، برای هر ریسک، انتظار ریاضی زیان سال با استفاده از فرمول زیر محاسبه می شود:

    که در آن p فراوانی وقوع یک تهدید در طول سال است،

    v هزینه منبعی است که در معرض تهدید است.

    به عنوان مثال، اگر برای یک شرکت 100000 دلار هزینه داشته باشد تا یک سرور را به مدت یک ساعت از کار بیاندازد و احتمال حمله DDoS در یک سال 0.01 باشد، ضرر مورد انتظار 1000 دلار است. علاوه بر این، سناریوهای «چه می‌شود اگر ...» مدل‌سازی می‌شوند که در آن موقعیت‌های مشابه با در نظر گرفتن اجرای ابزارهای حفاظتی در نظر گرفته می‌شوند. با مقایسه زیان های مورد انتظار با و بدون استفاده از کنترل ها، می توان ارزیابی کرد که اجرای برخی اقدامات حفاظتی چقدر موثر خواهد بود.

    در مرحله آخر، گزارش ها تولید می شوند انواع متفاوت: «خلاصه، گزارش کامل و خلاصه عناصر تشریح شده در مراحل 1 و 2، گزارش هزینه منابع حفاظت شده و خسارات مورد انتظار از اجرای تهدیدات، گزارش تهدیدات و اقدامات متقابل، گزارش نتایج ممیزی امنیتی».

    بنابراین، ابزار مورد بررسی نه تنها امکان ارزیابی خطراتی را که شرکت در حال حاضر دارد، بلکه مزایایی را که معرفی فیزیکی، فنی، نرم افزاری و سایر ابزارها و مکانیسم های حفاظتی می تواند به همراه داشته باشد، نیز می دهد. گزارش ها و نمودارهای آماده شده، مواد کافی برای تصمیم گیری در مورد تغییر سیستم امنیتی سازمانی را فراهم می کند. علاوه بر این، نرم افزار توصیف شده می تواند پایه ای مناسب برای توسعه خود، مناسب ترین نوع شرکت (به عنوان مثال، موسسات اعتباری)، ابزاری برای تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات باشد.

    GRIF یک ابزار جامع روسی برای تجزیه و تحلیل و مدیریت خطرات سیستم اطلاعاتی یک سازمان است که توسط Digital Security توسعه یافته است. اصل کارکرد این نرم افزار بر اساس دو رویکرد مفهومی متفاوت در ارزیابی ریسک امنیت اطلاعات بنام های «مدل جریان اطلاعات» و «مدل تهدیدات و آسیب پذیری ها» است. بیایید هر یک از الگوریتم ها را جداگانه در نظر بگیریم.

    مدل جریان اطلاعات با این واقعیت مشخص می شود که الگوریتم تجزیه و تحلیل و ارزیابی ریسک ها بر اساس ساخت مدلی از سیستم اطلاعاتی یک سازمان است. محاسبه ارزش ریسک بر اساس اطلاعات در مورد ابزارهای حفاظت از منابع با اطلاعات ارزشمند، رابطه منابع بین خود، تأثیر حقوق دسترسی گروه های کاربر و اقدامات متقابل سازمانی است.

    در مرحله اول لازم است شرح کاملی از معماری شبکه مورد مطالعه شامل اطلاعات منابع ارزشمند، روابط آنها، گروه های کاربری، ابزارهای امنیت اطلاعات و ... تهیه شود. مدل کاملسیستم اطلاعاتی شرکت که بر اساس آن تجزیه و تحلیل امنیت هر نوع اطلاعات روی منبع انجام می شود.

    بیایید به توضیح مستقیم الگوریتم برویم. ارزیابی ریسک به طور جداگانه برای هر اتصال "گروه کاربر - اطلاعات" برای سه نوع تهدید انجام می شود: محرمانه بودن، یکپارچگی و در دسترس بودن (برای دو نوع اول، نتیجه به صورت درصد محاسبه می شود و برای آخرین مورد - بر حسب ساعت از کار افتادگی محاسبه می شود. ). آسیب های ناشی از اجرای انواع مختلف تهدید نیز به صورت جداگانه تنظیم می شود، زیرا تخمین زیان های پیچیده همیشه امکان پذیر نیست. معیارهای کلیدی که احتمال اجرای یک تهدید خاص را تعیین می کند، انواع (محلی و/یا راه دور) و حقوق (خواندن، نوشتن، حذف) دسترسی کاربر به منابع، در دسترس بودن دسترسی به اینترنت، تعداد افراد در یک گروه، استفاده از نرم افزار آنتی ویروس، ابزار رمزنگاریحفاظت (به ویژه برای دسترسی از راه دور) و غیره. در همان مرحله، ابزار حفاظت از اطلاعات تعیین می شود و ضرایب "امنیت محلی اطلاعات روی منبع، امنیت از راه دور اطلاعات در منبع و امنیت محلی محل کار یک گروه کاربری" محاسبه می شود. حداقل ضریب نشان دهنده سطح واقعی حفاظت از منابع است، زیرا آسیب پذیرترین مکان را در سیستم اطلاعاتی نشان می دهد. برای به دست آوردن احتمال نهایی تحقق یک تهدید، شاخص به دست آمده باید در احتمال پایه تحقق یک تهدید IS ضرب شود که بر اساس روش ارزیابی های کارشناسی محاسبه می شود.

    در مرحله آخر، مقدار احتمال نهایی حاصل در میزان آسیب ناشی از اجرای تهدید ضرب می شود و خطر تهدید امنیت اطلاعات برای اتصال "نوع اطلاعات - گروه کاربری" محاسبه می شود. الگوریتم محاسبه ارزش ریسک برای تهدید "انکار خدمات" تفاوت های جزئی دارد که عمدتاً مربوط به واحدهای اندازه گیری است.

    این سیستم همچنین به شما امکان می دهد اقدامات متقابلی را تنظیم کنید که اثربخشی آنها را می توان با فرمول ارزیابی کرد:

    که در آن E اثربخشی اجرای اقدام متقابل است،

    ریسک بدون اقدام متقابل،

    ریسک با در نظر گرفتن اقدامات متقابل.

    در نتیجه الگوریتم، مشتری اطلاعات زیر را دریافت می کند.

    · «ریسک اجرا برای سه تهدید اساسی برای نوع اطلاعات.

    · ریسک پیاده سازی برای سه تهدید اساسی برای منبع.

    · ریسک پیاده سازی در مجموع برای تمام تهدیدات منبع.

    · ریسک پیاده سازی برای سه تهدید اساسی برای سیستم اطلاعاتی.

    · ریسک پیاده سازی برای تمامی تهدیدات سیستم اطلاعاتی.

    · ریسک پیاده سازی برای کلیه تهدیدات سیستم اطلاعاتی پس از تعیین اقدامات متقابل.

    اثربخشی اقدام متقابل.

    اثربخشی مجموعه ای از اقدامات متقابل».

    مدل تحلیل تهدید و آسیب پذیری رویکرد دیگری را برای تحلیل و ارزیابی خطرات امنیت اطلاعات توصیف می کند. اطلاعات ورودی فهرستی از منابع حاوی اطلاعات ارزشمند، شرح تهدیداتی است که بر هر منبع تأثیر می گذارد و آسیب پذیری هایی که از طریق آنها اجرای تهدیدات فوق امکان پذیر است. برای هر نوع داده منبع (به جز آسیب پذیری ها)، درجه بحرانی بودن نشان داده شده است. احتمال تحقق این یا آن تهدید نیز معرفی شده است.

    این الگوریتم می تواند در دو حالت کار کند: با محاسبه احتمال یک تهدید اساسی یا با توزیع تخمین ها بر روی سه نوع تهدید اساسی. اجازه دهید مراحل روش را به صورت کلی برای هر دو حالت فهرست کنیم.

    1. سطح تهدید برای یک آسیب پذیری خاص بر اساس شدت و احتمال اجرای تهدید از طریق این آسیب پذیری محاسبه می شود.

    2. سطح تهدید در همه آسیب‌پذیری‌ها با جمع کردن سطوح تهدید در میان آسیب‌پذیری‌های خاص محاسبه می‌شود.

    3. سطح کلی تهدیدات برای منبع محاسبه می شود.

    4. ریسک منابع محاسبه می شود.

    5. ریسک بر اساس سیستم اطلاعاتی محاسبه می شود.

    الگوریتم تحلیل و ارزیابی ریسک GRIF یک روش نمونه است که با استفاده از دو رویکرد متفاوت برای محاسبه ارزش ریسک، ویژگی‌های ساختار شرکت مشتری را در نظر می‌گیرد. هر یک از این دو روش ممکن است برای یک شرکت کارآمدتر و برای دیگری کارآمدتر باشد. بنابراین، روش GRIF امکان استفاده از یک الگوریتم نامناسب برای محاسبه سطح ریسک را از بین می‌برد و دستیابی به نتیجه بهینه را تضمین می‌کند.

    در عمل، از رویکردهای کمی و کیفی برای ارزیابی ریسک IS استفاده می شود. تفاوت آنها چیست؟

    روش کمی

    ارزیابی کمی ریسک در شرایطی استفاده می شود که تهدیدات مورد مطالعه و ریسک های مرتبط با آنها را می توان با مقادیر کمی نهایی بیان شده در پول، درصد، زمان، منابع انسانی و غیره مقایسه کرد. این روش اجازه می دهد تا مقادیر خاصی از اشیاء ارزیابی ریسک را در اجرای تهدیدات امنیت اطلاعات بدست آورید.

    با رویکرد کمی، به تمام عناصر ارزیابی ریسک، مقادیر کمی خاص و واقعی اختصاص داده می شود. الگوریتم برای به دست آوردن این مقادیر باید واضح و قابل درک باشد. هدف ارزیابی ممکن است ارزش دارایی از نظر پولی، احتمال تحقق تهدید، خسارت ناشی از تحقق یک تهدید، هزینه اقدامات حفاظتی و غیره باشد.

    چگونه خطرات را کمیت کنیم؟

    1. ارزش دارایی های اطلاعاتی را بر حسب پولی تعیین کنید.

    2. خسارات احتمالی ناشی از اجرای هر تهدید را در رابطه با هر دارایی اطلاعاتی از نظر کمی برآورد کنید.

    شما باید به این سؤالات پاسخ دهید که "خسارات ناشی از اجرای هر تهدید چه بخشی از ارزش دارایی خواهد بود؟"، "هزینه خسارت از نظر پولی ناشی از یک حادثه واحد در طول اجرای این تهدید چقدر است؟" این دارایی؟».

    3. احتمال اجرای هر یک از تهدیدات IS را تعیین کنید.

    برای این کار می توانید از داده های آماری، نظرسنجی از کارمندان و ذینفعان استفاده کنید. در فرآیند تعیین احتمال، فراوانی وقوع حوادث مربوط به اجرای تهدید IS در نظر گرفته شده را برای دوره کنترل (به عنوان مثال، برای یک سال) محاسبه کنید.

    4. کل خسارت احتمالی هر تهدید را در رابطه با هر دارایی برای دوره کنترل (برای یک سال) تعیین کنید.

    مقدار با ضرب خسارت یک بار اجرای تهدید در دفعات اجرای تهدید محاسبه می شود.

    5. داده های آسیب دریافتی را برای هر تهدید تجزیه و تحلیل کنید.

    برای هر تهدید باید تصمیمی اتخاذ شود: پذیرش ریسک، کاهش ریسک یا انتقال ریسک.

    پذیرش ریسک به معنای شناخت آن، پذیرفتن امکان آن و ادامه دادن به رفتار قبلی است. قابل استفاده برای تهدیدات با آسیب کم و احتمال وقوع کم.

    کاهش ریسک به معنای معرفی تدابیر و وسایل حفاظتی اضافی، انجام آموزش کارکنان و غیره است. یعنی انجام کار عمدی برای کاهش خطر. در عین حال، لازم است اثربخشی اقدامات و وسایل حفاظتی اضافی را کمی کنید. کلیه هزینه های متحمل شده توسط سازمان از خرید تجهیزات حفاظتی تا راه اندازی (شامل نصب، پیکربندی، آموزش، نگهداری و غیره) نباید از میزان خسارت ناشی از اجرای تهدید بیشتر باشد.

    انتقال ریسک به معنای انتقال پیامدهای تحقق ریسک به شخص ثالث است، مثلاً به کمک بیمه.

    در نتیجه کمی سازیخطرات باید شناسایی شوند:

    • ارزش دارایی ها به لحاظ پولی؛
    • لیست کاملی از تمام تهدیدات IS با آسیب ناشی از یک حادثه یک بار برای هر تهدید؛
    • فراوانی اجرای هر تهدید؛
    • آسیب احتمالی از هر تهدید؛
    • کنترل های امنیتی، اقدامات متقابل و اقدامات برای هر تهدید توصیه می شود.

    تحلیل ریسک امنیت اطلاعات کمی (مثال)

    تکنیک مثال وب سرور یک سازمان را در نظر بگیرید که برای فروش یک محصول خاص استفاده می شود. کمی سر وقتخسارت ناشی از قطع شدن سرور را می توان به عنوان حاصلضرب میانگین رسید خرید و میانگین تعداد بازدیدها برای یک بازه زمانی معین برابر با خرابی سرور تخمین زد. بیایید بگوییم هزینه یک بار آسیب ناشی از خرابی مستقیم سرور 100 هزار روبل خواهد بود.

    حال باید به صورت کارشناسی ارزیابی کرد که هر چند وقت یکبار چنین وضعیتی ممکن است رخ دهد (با در نظر گرفتن شدت عملکرد، کیفیت منبع تغذیه و غیره). به عنوان مثال، با در نظر گرفتن نظر کارشناسان و اطلاعات آماری، متوجه می شویم که یک سرور می تواند تا 2 بار در سال از کار بیفتد.

    با ضرب این دو مقدار به آن می رسیم متوسط ​​سالانهخسارت ناشی از اجرای تهدید خرابی مستقیم سرور 200 هزار روبل در سال است.

    از این محاسبات می توان برای توجیه انتخاب اقدامات حفاظتی استفاده کرد. به عنوان مثال، معرفی یک سیستم منبع تغذیه بدون وقفه و یک سیستم پشتیبان با هزینه کل 100 هزار روبل در سال، خطر خرابی سرور را به حداقل می رساند و یک راه حل کاملا موثر خواهد بود.

    روش کیفی

    متأسفانه، به دلیل عدم قطعیت زیاد، همیشه نمی توان بیان خاصی از موضوع ارزیابی را به دست آورد. هنگامی که اطلاعات مربوط به یک حادثه امنیت اطلاعات که برای آن رخ داده است، چگونه می توان به طور دقیق آسیب به شهرت یک شرکت را ارزیابی کرد؟ در این مورد از روش کیفی استفاده می شود.

    رویکرد کیفی از عبارات کمی یا پولی برای هدف ارزیابی استفاده نمی کند. درعوض، به هدف ارزیابی شاخصی اختصاص داده می شود که در مقیاس سه نقطه ای (کم، متوسط، زیاد)، پنج نقطه ای یا ده نقطه ای (0 ... 10) رتبه بندی شده است. برای جمع آوری داده ها برای ارزیابی کیفی ریسک، از نظرسنجی های گروه هدف، مصاحبه ها، پرسشنامه ها و جلسات شخصی استفاده می شود.

    تجزیه و تحلیل کیفی خطرات امنیت اطلاعات باید با مشارکت کارکنان با تجربه و شایستگی در حوزه ای که در آن تهدیدها در نظر گرفته می شود، انجام شود.

    نحوه انجام ارزیابی کیفی ریسک:

    1. ارزش دارایی های اطلاعاتی را تعیین کنید.

    ارزش یک دارایی را می توان با سطح اهمیت (پیامدها) تعیین کرد که ویژگی های امنیتی (محرمانه بودن، یکپارچگی، در دسترس بودن) یک دارایی اطلاعاتی نقض شود.

    2. احتمال تحقق تهدید در رابطه با دارایی اطلاعاتی را تعیین کنید.

    برای ارزیابی احتمال تحقق تهدید می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) استفاده کرد.

    3. تعیین سطح امکان اجرای موفقیت آمیز تهدید با در نظر گرفتن وضعیت فعلی امنیت اطلاعات، اقدامات اجرا شده و وسایل حفاظتی.

    همچنین می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) برای ارزیابی سطح امکان تحقق یک تهدید استفاده کرد. Threat Capability Value نشان می دهد که اجرای موفقیت آمیز تهدید چقدر امکان پذیر است.

    4. بر اساس ارزش دارایی اطلاعاتی، احتمال تحقق تهدید و احتمال تحقق تهدید، در مورد سطح ریسک نتیجه گیری کنید.

    برای تعیین سطح ریسک می توانید از مقیاس پنج یا ده درجه ای استفاده کنید. هنگام تعیین سطح ریسک، می توانید از جداول مرجع استفاده کنید که درکی از ترکیبی از شاخص ها (ارزش، احتمال، فرصت) به چه سطحی از ریسک منجر می شود.

    5. داده های به دست آمده برای هر تهدید و سطح ریسک به دست آمده برای آن را تجزیه و تحلیل کنید.

    اغلب تیم تجزیه و تحلیل ریسک با مفهوم "سطح قابل قبول ریسک" عمل می کند. این همان سطح ریسکی است که شرکت مایل به پذیرش آن است (اگر تهدید دارای سطح ریسک کمتر یا مساوی با قابل قبول باشد، در این صورت مرتبط تلقی نمی شود). وظیفه جهانی در ارزیابی کیفی کاهش خطرات تا سطح قابل قبولی است.

    6. تدابیر امنیتی، اقدامات متقابل و اقدامات برای هر تهدید فعلی برای کاهش سطح خطر ایجاد کنید.

    کدام روش را انتخاب کنیم؟

    هدف هر دو روش درک خطرات واقعی امنیت اطلاعات شرکت، تعیین لیست تهدیدات فعلی و همچنین انتخاب اقدامات متقابل موثر و ابزارهای حفاظتی است. هر روش ارزیابی ریسک مزایا و معایب خاص خود را دارد.

    روش کمی یک نمایش بصری در پول از اشیاء ارزیابی (خسارت، هزینه) ارائه می دهد، اما پر زحمت تر است و در برخی موارد قابل اجرا نیست.

    روش کیفی به شما امکان می دهد ارزیابی ریسک را سریعتر انجام دهید، اما ارزیابی ها و نتایج ذهنی تر هستند و درک روشنی از آسیب، هزینه ها و مزایای اجرای GIS ارائه نمی دهند.

    انتخاب روش باید بر اساس مشخصات یک شرکت خاص و وظایف محول شده به متخصص انجام شود.

    استانیسلاو شیلیایف، مدیر پروژه امنیت اطلاعات در SKB Kontur

    بیشتر بخوانید: