• نحوه ارزیابی خطرات امنیت اطلاعات مدیریت ریسک امنیت اطلاعات در روسیه

    در عمل، از رویکردهای کمی و کیفی برای ارزیابی خطرات امنیت اطلاعات استفاده می شود. تفاوت در چیست؟

    روش کمی

    ارزیابی کمی ریسک در شرایطی استفاده می‌شود که تهدیدات مورد مطالعه و ریسک‌های مرتبط با آنها را می‌توان با ارزش‌های کمی نهایی بیان شده در پول، بهره، زمان، منابع انسانی و غیره مقایسه کرد. این روش به شما این امکان را می دهد که در صورت تحقق تهدیدات امنیت اطلاعات، مقادیر خاصی از اشیاء ارزیابی ریسک را به دست آورید.

    در رویکرد کمی، به تمام عناصر ارزیابی ریسک، مقادیر کمی خاص و واقعی اختصاص داده می شود. الگوریتم برای به دست آوردن این مقادیر باید واضح و قابل درک باشد. هدف ارزیابی ممکن است ارزش دارایی از نظر پولی، احتمال تحقق تهدید، خسارت ناشی از تهدید، هزینه اقدامات حفاظتی و غیره باشد.

    چگونه ریسک ها را به صورت کمی ارزیابی کنیم؟

    1. ارزش دارایی های اطلاعاتی را بر حسب پولی تعیین کنید.

    2. ارزیابی کمی آسیب احتمالی ناشی از اجرای هر تهدید در رابطه با هر دارایی اطلاعاتی.

    پاسخ به سؤالات «خسارات ناشی از اجرای هر تهدید چه بخشی از ارزش دارایی خواهد بود؟»، «هزینه خسارت ناشی از یک حادثه واحد در حین اجرای این امر به لحاظ پولی چقدر است؟» لازم است. تهدیدی برای این دارایی؟»

    3. احتمال اجرای هر یک از تهدیدات امنیت اطلاعات را تعیین کنید.

    برای این کار می توانید از داده های آماری، نظرسنجی از کارمندان و ذینفعان استفاده کنید. در فرآیند تعیین احتمال، فراوانی حوادث مرتبط با اجرای تهدید امنیت اطلاعات در نظر گرفته شده را در دوره کنترل (به عنوان مثال، یک سال) محاسبه کنید.

    4. کل خسارت احتمالی هر تهدید را در رابطه با هر دارایی در دوره کنترل (یک ساله) تعیین کنید.

    مقدار با ضرب خسارت یک بار تهدید در فرکانس تهدید محاسبه می شود.

    5. داده های آسیب دریافتی را برای هر تهدید تجزیه و تحلیل کنید.

    برای هر تهدید باید تصمیمی اتخاذ شود: پذیرش ریسک، کاهش ریسک یا انتقال ریسک.

    پذیرش ریسک به معنای شناخت آن، کنار آمدن با امکان آن و ادامه دادن به رفتار قبلی است. قابل استفاده برای تهدیدات با آسیب کم و احتمال وقوع کم.

    کاهش ریسک یعنی معرفی تدابیر و تجهیزات حفاظتی اضافی، آموزش کارکنان و... یعنی انجام کار عمدی برای کاهش ریسک. در عین حال، ارزیابی کمی اثربخشی اقدامات و وسایل حفاظتی اضافی ضروری است. کلیه هزینه های متحمل شده توسط سازمان از خرید تجهیزات حفاظتی تا راه اندازی (شامل نصب، پیکربندی، آموزش، نگهداری و غیره) نباید از میزان خسارت ناشی از تهدید بیشتر باشد.

    انتقال ریسک به معنای انتقال پیامدهای خطر به شخص ثالث است، مثلاً از طریق بیمه.

    در نتیجه ارزیابی کمی ریسک، موارد زیر باید تعیین شوند:

    • ارزش دارایی ها بر حسب پولی؛
    • فهرست کاملی از تمام تهدیدات امنیت اطلاعات با آسیب ناشی از یک حادثه برای هر تهدید؛
    • فراوانی اجرای هر تهدید؛
    • آسیب احتمالی از هر تهدید؛
    • اقدامات امنیتی، اقدامات متقابل و اقدامات برای هر تهدید.

    تحلیل ریسک امنیت اطلاعات کمی (مثال)

    بیایید این تکنیک را با استفاده از مثال وب سرور یک سازمان در نظر بگیریم که برای فروش یک محصول خاص استفاده می شود. کمی سر وقتخسارت ناشی از خرابی سرور را می توان به عنوان حاصلضرب میانگین رسید خرید و میانگین تعداد درخواست ها برای یک بازه زمانی معین، برابر با خرابی سرور تخمین زد. بیایید بگوییم هزینه یک بار آسیب ناشی از خرابی مستقیم سرور 100 هزار روبل خواهد بود.

    اکنون لازم است با ابزارهای متخصص ارزیابی شود که هر چند وقت یکبار چنین وضعیتی ممکن است ایجاد شود (با در نظر گرفتن شدت عملکرد، کیفیت منبع تغذیه و غیره). مثلا با در نظر گرفتن نظر کارشناسی و اطلاعات آماری، می دانیم که سرور می تواند تا 2 بار در سال از کار بیفتد.

    با ضرب این دو مقدار به این نتیجه می رسیم متوسط ​​سالانهخسارت ناشی از تهدید خرابی مستقیم سرور بالغ بر 200 هزار روبل در سال است.

    از این محاسبات می توان برای توجیه انتخاب اقدامات حفاظتی استفاده کرد. به عنوان مثال اجرای سیستم برق رسانی بدون وقفه و کپی رزرو کنیدبا هزینه کل 100 هزار روبل در سال، خطر خرابی سرور را به حداقل می رساند و یک راه حل کاملا موثر خواهد بود.

    روش کیفی

    متأسفانه، به دلیل عدم قطعیت زیاد، همیشه نمی توان بیان خاصی از موضوع ارزیابی را به دست آورد. هنگامی که اطلاعات مربوط به یک حادثه امنیت اطلاعات ظاهر می شود، چگونه می توان به طور دقیق آسیب به شهرت یک شرکت را ارزیابی کرد؟ در این مورد از روش کیفی استفاده می شود.

    رویکرد کیفی از عبارات کمی یا پولی برای شی مورد ارزیابی استفاده نمی کند. در عوض، به موضوع ارزیابی شاخصی اختصاص می‌یابد که در مقیاس سه نقطه‌ای (کم، متوسط، زیاد)، پنج نقطه یا ده نقطه (0... 10) رتبه‌بندی شده است. برای جمع آوری داده ها برای ارزیابی کیفی ریسک، از نظرسنجی از گروه های هدف، مصاحبه، پرسشنامه و جلسات شخصی استفاده می شود.

    تجزیه و تحلیل ریسک امنیت اطلاعات با استفاده از روش کیفی باید با مشارکت کارکنان با تجربه و شایستگی در حوزه ای که تهدیدات در آن مورد توجه قرار می گیرد، انجام شود.

    نحوه انجام یک ارزیابی ریسک خوب:

    1. ارزش دارایی های اطلاعاتی را تعیین کنید.

    اگر ویژگی های امنیتی (محرمانه بودن، یکپارچگی، در دسترس بودن) یک دارایی اطلاعاتی نقض شود، ارزش یک دارایی را می توان با سطح اهمیت (پیامدها) تعیین کرد.

    2. احتمال وقوع یک تهدید در رابطه با دارایی اطلاعاتی را تعیین کنید.

    برای ارزیابی احتمال تحقق یک تهدید، می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) استفاده کرد.

    3. تعیین سطح امکان اجرای موفقیت آمیز تهدید با در نظر گرفتن وضعیت فعلی امنیت اطلاعات، اقدامات اجرا شده و وسایل حفاظتی.

    برای ارزیابی سطح امکان تحقق یک تهدید، می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) نیز استفاده کرد. ارزش امکان سنجی تهدید نشان می دهد که انجام موفقیت آمیز تهدید چقدر امکان پذیر است.

    4. بر اساس ارزش دارایی اطلاعاتی، احتمال تحقق تهدید و احتمال تحقق تهدید، در مورد سطح ریسک نتیجه گیری کنید.

    برای تعیین سطح ریسک می توانید از مقیاس پنج یا ده درجه ای استفاده کنید. هنگام تعیین سطح ریسک، می توانید از جداول مرجع استفاده کنید که درکی از ترکیبی از شاخص ها (ارزش، احتمال، فرصت) به چه سطحی از ریسک منجر می شود.

    5. داده های به دست آمده برای هر تهدید و سطح ریسک به دست آمده برای آن را تجزیه و تحلیل کنید.

    اغلب تیم تحلیل ریسک از مفهوم "سطح قابل قبول ریسک" استفاده می کند. این همان سطح ریسکی است که شرکت مایل به پذیرش آن است (اگر تهدید دارای سطح ریسک کمتر یا مساوی با قابل قبول باشد، در این صورت مرتبط تلقی نمی شود). وظیفه جهانی در ارزیابی کیفی کاهش خطرات تا سطح قابل قبولی است.

    6. تدابیر امنیتی، اقدامات متقابل و اقدامات برای هر تهدید فعلی برای کاهش سطح خطر ایجاد کنید.

    کدام روش را باید انتخاب کنید؟

    هدف هر دو روش درک خطرات واقعی امنیت اطلاعات یک شرکت، تعیین فهرستی از تهدیدات فعلی، و انتخاب اقدامات متقابل موثر و ابزار حفاظتی است. هر روش ارزیابی ریسک مزایا و معایب خاص خود را دارد.

    روش کمی یک نمایش بصری از نظر پولی از اشیاء ارزیابی (خسارت، هزینه) ارائه می دهد، اما این روش بیشتر کار فشرده و در برخی موارد غیر قابل اجرا است.

    روش کیفی به شما امکان می دهد ارزیابی ریسک را سریعتر انجام دهید، اما ارزیابی ها و نتایج بیشتر ذهنی هستند و درک روشنی از آسیب، هزینه ها و منافع حاصل از اجرای امنیت اطلاعات ارائه نمی دهند.

    انتخاب روش باید بر اساس مشخصات یک شرکت خاص و وظایف محول شده به متخصص انجام شود.

    استانیسلاو شیلیایف، مدیر پروژه امنیت اطلاعات در SKB Kontur

    اصول اولیه مدیریت ریسک امنیت اطلاعات

    علیرغم عملیات، محصولات و خدمات مختلف، سازمان ها از پنج اصل برای مدیریت ریسک های امنیت اطلاعات استفاده می کنند:

    · ارزیابی ریسک و شناسایی نیازها

    · ایجاد مدیریت متمرکز

    · اجرای سیاست های لازم و کنترل های مناسب

    · ارتقاء آگاهی کارکنان

    · نظارت و ارزیابی اثربخشی سیاست ها و کنترل ها

    یک عامل اساسی در اجرای موثر این اصول، چرخه ارتباطی فعالیت است، که تضمین می کند مدیریت امنیت اطلاعات به طور مداوم بر خطرات فعلی متمرکز است. مهم است که مدیریت ارشد سازمان وجود خطرات ناشی از اختلال در فرآیندهای تجاری مرتبط با امنیت سیستم های اطلاعاتی را تشخیص دهد. مبنای توسعه و اجرای سیاست‌ها و انتخاب کنترل‌های لازم، ارزیابی ریسک‌های برنامه‌های تجاری فردی است. اقدامات انجام شده باعث افزایش آگاهی کاربر از خطرات و سیاست های مرتبط می شود. اثربخشی کنترل ها از طریق مطالعات و ممیزی های مختلف قابل ارزیابی است. نتایج یک رویکرد برای ارزیابی ریسک بعدی و شناسایی تغییرات لازم در سیاست‌ها و کنترل‌ها ارائه می‌کند. همه این اقدامات به طور متمرکز توسط سرویس امنیتی یا کارکنان متخصص متشکل از مشاوران، نمایندگان واحدهای تجاری و مدیریت سازمان هماهنگ می شود.

    ارزیابی ریسک اولین گام در اجرای برنامه امنیت اطلاعات است. امنیت «به خودی خود» تلقی نمی‌شود، بلکه به عنوان مجموعه‌ای از سیاست‌ها و کنترل‌های مرتبط طراحی شده برای حمایت از فرآیندهای تجاری و کاهش ریسک‌های مرتبط طراحی شده است. بنابراین، شناسایی ریسک های تجاری مرتبط با امنیت اطلاعات، نقطه شروع چرخه مدیریت ریسک (امنیت اطلاعات) است.

    شناخت ریسک های امنیت اطلاعات توسط مدیریت یک سازمان و همچنین مجموعه ای از اقدامات با هدف شناسایی و مدیریت این ریسک ها، عامل مهمی در توسعه یک برنامه امنیت اطلاعات است. این رویکرد مدیریتی تضمین می‌کند که امنیت اطلاعات در سطوح پایین‌تر سازمانی جدی گرفته می‌شود و به متخصصان امنیت اطلاعات منابع لازم برای اجرای مؤثر برنامه ارائه می‌شود.

    روش‌های ارزیابی ریسک مختلفی وجود دارد، از بحث غیررسمی ریسک تا روش‌های کاملاً پیچیده شامل استفاده از روش‌های تخصصی. نرم افزار. با این حال، تجربه جهانی رویه‌های مدیریت ریسک موفق، فرآیند نسبتاً ساده‌ای را توصیف می‌کند که شامل مشارکت بخش‌های مختلف سازمان‌های مالی با مشارکت متخصصان با دانش فرآیندهای تجاری، متخصصان فنی و متخصصان در زمینه امنیت اطلاعات است. شایان ذکر است که درک ریسک ها شامل کمی کردن دقیق آنها از جمله احتمال وقوع یک حادثه یا هزینه خسارت نمی شود. چنین داده‌هایی در دسترس نیستند زیرا ممکن است تلفات شناسایی نشود و مدیریت ممکن است اطلاع داده نشود. علاوه بر این، داده‌های مربوط به هزینه‌های کامل تعمیر آسیب‌های ناشی از کنترل‌های امنیتی ضعیف، و همچنین هزینه‌های عملیاتی این کنترل‌ها (کنترل‌ها)، محدود است. با توجه به تغییرات مداوم در تکنولوژی و نرم افزارها و ابزارهای در دسترس مهاجمان، استفاده از داده های آماری جمع آوری شده در سال های گذشته مورد تردید است. در نتیجه، مقایسه دقیق هزینه کنترل ها با خطر از دست دادن برای تعیین اینکه کدام کنترل مقرون به صرفه تر است، دشوار است. در هر صورت مدیران واحدهای تجاری و متخصصان امنیت اطلاعات باید بر بهترین ها تکیه کنند اطلاعات کامل، هنگام تصمیم گیری در مورد انتخاب ابزار (روش) کنترل لازم در دسترس آنها است.

    مدیران واحدهای تجاری باید مسئولیت اصلی تعیین سطح امنیت (محرمانه بودن) منابع اطلاعاتی حامی فرآیندهای تجاری را بر عهده بگیرند. این مدیران واحدهای تجاری هستند که به بهترین وجه می توانند تعیین کنند که کدام منبع اطلاعاتی حیاتی ترین است و همچنین در صورت به خطر افتادن یکپارچگی، محرمانه بودن یا در دسترس بودن آن، تأثیر احتمالی آن بر تجارت خواهد بود. علاوه بر این، مدیران واحدهای تجاری می توانند به کنترل ها (مکانیسم هایی) اشاره کنند که می تواند به فرآیندهای تجاری آسیب برساند. بنابراین، با مشارکت آنها در انتخاب کنترل ها، می توان اطمینان حاصل کرد که کنترل ها با الزامات مطابقت دارند و با موفقیت اجرا می شوند.

    امنیت اطلاعات مستلزم توجه مداوم است تا اطمینان حاصل شود که کنترل ها کافی و مؤثر هستند. اطلاعات مدرن و فناوری های مرتبط و همچنین عوامل مرتبط با امنیت اطلاعات به طور مداوم در حال تغییر هستند. این عوامل عبارتند از تهدیدها، فناوری ها و پیکربندی سیستم، آسیب پذیری های شناخته شده در نرم افزار، سطح قابلیت اطمینان سیستم های خودکارو داده های الکترونیکی، اهمیت داده ها و عملیات. تیم مدیریت در درجه اول به عنوان مشاور یا مشاور واحدهای تجاری عمل می کند و نمی تواند روش ها (ابزار) امنیت اطلاعات را تحمیل کند. به طور کلی، تیم رهبری باید (1) یک کاتالیزور (شتاب دهنده) فرآیند باشد و اطمینان حاصل کند که خطرات امنیت اطلاعات به طور مداوم مورد توجه قرار می گیرند. (2) یک منبع مشاوره مرکزی برای واحدهای سازمانی. (3) ابزاری برای برقراری ارتباط با مدیریت سازمان در مورد وضعیت امنیت اطلاعات و اقدامات انجام شده. علاوه بر این، تیم رهبری امکان مدیریت متمرکز وظایف محوله را فراهم می کند، در غیر این صورت ممکن است این وظایف توسط بخش های مختلف سازمان تکرار شود. افراد درون سازمان باید در جنبه های مختلف برنامه امنیت اطلاعات درگیر باشند و از مهارت ها و دانش مناسب برخوردار باشند. سطح مورد نیاز از حرفه ای بودن کارکنان را می توان از طریق آموزش به دست آورد که هم توسط متخصصان سازمان و هم توسط مشاوران خارجی انجام می شود.

    سیاست های امنیت اطلاعات مبنای اتخاذ رویه های خاص و انتخاب ابزارهای کنترلی (مدیریت) (مکانیسم ها) است. خط مشی مکانیزم اولیه ای است که از طریق آن مدیریت دیدگاه ها و خواسته های خود را به کارکنان، مشتریان و شرکای تجاری منتقل می کند. برای امنیت اطلاعات، مانند سایر حوزه های کنترل داخلی، الزامات خط مشی مستقیماً به نتایج ارزیابی ریسک بستگی دارد. مجموعه ای جامع از خط مشی های کافی که برای کاربران قابل دسترس و قابل درک باشد، یکی از اولین گام ها در ایجاد یک برنامه امنیت اطلاعات است. شایان ذکر است که بر اهمیت حمایت (تعدیل) مستمر سیاست ها برای پاسخگویی به موقع به خطرات شناسایی شده و اختلاف نظرهای احتمالی تاکید می شود.



    صلاحیت کاربر است پيش نيازتضمین موفقیت آمیز امنیت اطلاعات، و همچنین کمک می کند تا اطمینان حاصل شود که کنترل ها به درستی کار می کنند. کاربران نمی توانند از خط مشی ای پیروی کنند که نمی دانند یا نمی دانند. بدون آگاهی از خطرات مرتبط با منابع اطلاعاتی سازمان، ممکن است نیازی به اجرای سیاست های طراحی شده برای کاهش خطرات را نبینند.

    مانند هر نوع فعالیت، امنیت اطلاعات برای اطمینان از کفایت (انطباق) خط‌مشی‌ها و ابزار (روش‌های) کنترل با اهداف تعیین‌شده، تحت کنترل و ارزیابی مجدد دوره‌ای است.

    کنترل باید در درجه اول بر روی (1) در دسترس بودن کنترل ها و استفاده از آنها برای کاهش خطر و (2) ارزیابی اثربخشی برنامه امنیت اطلاعات و سیاست ها برای بهبود درک کاربر و کاهش حوادث تمرکز کند. این گونه ممیزی ها شامل آزمایش ابزارهای کنترلی (روش ها)، ارزیابی انطباق آنها با سیاست های سازمان، تجزیه و تحلیل حوادث امنیتی و همچنین سایر شاخص های اثربخشی برنامه امنیت اطلاعات است. اثربخشی تیم رهبری را می توان بر اساس، به عنوان مثال، ارزیابی کرد، اما به موارد زیر محدود نمی شود:

    · تعداد آموزش ها و جلسات برگزار شده؛

    · تعداد ارزیابی های ریسک (ریسک) انجام شده؛

    · تعداد متخصصان تایید شده؛

    · عدم وجود حوادثی که کار کارکنان سازمان را پیچیده می کند.

    · کاهش تعداد پروژه های جدید اجرا شده با تاخیر به دلیل مشکلات امنیت اطلاعات.

    · انطباق کامل یا انحرافات توافق شده و ثبت شده از حداقل الزامات امنیت اطلاعات.

    · کاهش تعداد حوادث منجر به دسترسی غیرمجاز، از دست دادن یا تحریف اطلاعات.

    مطمئناً کنترل‌ها به تطابق سازمان با سیاست‌های امنیت اطلاعات کمک می‌کنند، اما مزایای کامل کنترل‌ها حاصل نمی‌شود مگر اینکه از نتایج برای بهبود برنامه امنیت اطلاعات استفاده شود. بررسی کنترل به متخصصان امنیت اطلاعات و مدیران کسب و کار ابزاری را برای (1) ارزیابی مجدد خطرات شناسایی شده قبلی، (2) شناسایی زمینه های جدید نگرانی، (3) ارزیابی مجدد کفایت و مناسب بودن کنترل ها و اقدامات اجرایی موجود ارائه می دهد. امنیت اطلاعات، (4) ) شناسایی نیاز به وسایل جدید و مکانیسم های کنترلی، (5) هدایت مجدد تلاش های کنترلی (اقدامات کنترلی). علاوه بر این، نتایج را می توان برای ارزیابی عملکرد مدیران تجاری مسئول درک و کاهش ریسک در واحدهای تجاری مورد استفاده قرار داد.
    مهم است که اطمینان حاصل شود که (1) متخصصان امنیت اطلاعات با روش‌ها و ابزارهای توسعه (برنامه‌ها) همگام هستند و آخرین اطلاعات در مورد آسیب‌پذیری سیستم‌ها و برنامه‌های اطلاعاتی را دارند، (2) مدیریت ارشد اطمینان حاصل می‌کند که آنها منابع لازم برای انجام این کار را دارند. این.

    روش های تحلیل

    PEST مخفف چهار کلمه انگلیسی است: P - Political-legal - policy and legal، E - Esopomis - Economic، S - Sociocultural - sociocultural، T - Technological force - عوامل تکنولوژیک.

    تجزیه و تحلیل PEST شامل شناسایی و ارزیابی تأثیر عوامل کلان محیطی بر نتایج فعالیت های فعلی و آتی شرکت است. .

    چهار گروه از عوامل وجود دارد که برای استراتژی سازمانی مهم هستند:

    سیاسی و حقوقی؛

    اقتصادی؛

    فرهنگی اجتماعی؛

    فن آوری.

    هدف از تجزیه و تحلیل PEST ردیابی (نظارت) تغییرات در محیط کلان در چهار حوزه کلیدی و شناسایی روندها و رویدادهایی است که تحت کنترل شرکت نیستند، اما بر نتایج تصمیمات استراتژیک اتخاذ شده تأثیر می گذارند.

    جدول 1. تجزیه و تحلیل PEST

    خط مشی آر اقتصاد E
    1. ثبات دولت 2. تغییر در قوانین 3. نفوذ دولت بر صنایع 4. مقررات دولتی رقابت در صنعت 5. سیاست مالیاتی 1. ویژگی های عمومیوضعیت اقتصادی (افزایش، تثبیت، کاهش) 2. نرخ ارز ملی و نرخ تامین مالی مجدد 3. نرخ تورم 4. نرخ بیکاری 5. قیمت انرژی
    جامعه اس فن آوری تی
    1. تغییرات جمعیتی 2. تغییر در ساختار درآمد 3. نگرش نسبت به کار و اوقات فراغت 4. تحرک اجتماعی جمعیت 5. فعالیت مصرف کننده 1. سیاست فنی دولت 2. روندهای قابل توجه در تحقیق و توسعه 3. محصولات جدید (سرعت به روز رسانی و توسعه فناوری های جدید) 4. ثبت اختراعات جدید

    عامل سیاسیمحیط خارجی در درجه اول به منظور درک روشنی از نیات مقامات دولتی در مورد توسعه جامعه و ابزارهایی که دولت قصد دارد سیاست های خود را اجرا کند، مورد مطالعه قرار می گیرد.

    تحلیل و بررسی جنبه اقتصادیمحیط خارجی به ما این امکان را می دهد که بفهمیم منابع اقتصادی چگونه در سطح دولتی شکل گرفته و توزیع می شوند. برای اکثر مشاغل این است مهمترین شرطفعالیت تجاری آنها

    در حال مطالعه جزء اجتماعیمحیط خارجی با هدف درک و ارزیابی تأثیر بر تجارت چنین پدیده های اجتماعی مانند نگرش مردم به کیفیت زندگی، تحرک مردم، فعالیت مصرف کننده و غیره است.

    تحلیل و بررسی جزء فناورانهبه شما امکان می دهد فرصت های مرتبط با توسعه علم و فناوری را پیش بینی کنید، به موقع با تولید و فروش یک محصول امیدوار کننده از نظر فناوری سازگار شوید و لحظه رها شدن فناوری مورد استفاده را پیش بینی کنید.

    رویه انجام آنالیز PE5T.

    مراحل زیر از تجزیه و تحلیل خارجی متمایز می شود:

    1. فهرستی از عوامل استراتژیک خارجی که احتمال اجرا و تأثیر زیادی بر عملکرد شرکت دارند در حال تهیه است.

    2. اهمیت (احتمال وقوع) هر رویداد برای این شرکتبا نسبت دادن وزن معین از یک (بزرگ) به صفر (ناچیز) به آن. مجموع اوزان باید برابر با یک باشد که با نرمال سازی تضمین می شود.

    3. یک ارزیابی از میزان تأثیر هر عامل-رویداد بر استراتژی شرکت در مقیاس 5 درجه ای ارائه می شود: "پنج" - تأثیر قوی، خطر جدی. "یک" - عدم تاثیر، تهدید.

    4. ارزیابی های وزنی با ضرب وزن عامل در قدرت تأثیر آن تعیین می شود و کل ارزیابی وزنی برای شرکت داده شده محاسبه می شود.

    ارزیابی کل نشان دهنده میزان آمادگی شرکت برای پاسخگویی به عوامل محیطی فعلی و پیش بینی شده است.

    جدول 2. نتایج تحلیل عوامل استراتژیک خارجی

    که در در این موردنمره 3.05 نشان می دهد که پاسخ شرکت به عوامل محیطی استراتژیک در سطح متوسط ​​است.

    روش SWOT مورد استفاده برای تجزیه و تحلیل محیطی یک رویکرد به طور گسترده شناخته شده است که امکان مطالعه مشترک محیط خارجی و داخلی را فراهم می کند.

    با استفاده از روش تحلیل SWOT می توان خطوط ارتباطی بین نقاط قوت و ضعف ذاتی سازمان و تهدیدها و فرصت های بیرونی ایجاد کرد. روش شامل ابتدا شناسایی است نقاط قوت و ضعف،و تهدیدها و فرصت هاو پس از آن زنجیره ای از ارتباطات بین آنها برقرار می شود که بعداً می تواند برای تدوین استراتژی سازمان استفاده شود.

    تامپسون و استریکلند مجموعه تقریبی از ویژگی‌های زیر را پیشنهاد کردند که نتیجه‌گیری آن باید به ما امکان دهد فهرستی از ویژگی‌های ضعیف و نقاط قوتسازمان و همچنین فهرستی از تهدیدها و فرصت های موجود برای آن در محیط خارجی.

    نقاط قوت:

    شایستگی برجسته؛

    منابع مالی کافی؛

    صلاحیت بالا؛

    شهرت خوب در بین خریداران؛

    رهبر معروفبازار؛

    یک استراتژیست مدبر در حوزه های عملکردی سازمان؛

    امکان صرفه جویی از افزایش حجم تولید;

    محافظت (حداقل در جایی) در برابر فشار قوی رقابتی؛

    تکنولوژی مناسب؛

    مزایای هزینه؛

    مزایای رقابتی؛

    در دسترس بودن توانایی های نوآورانه و امکان اجرای آنها؛

    مدیریت زمان تست شده

    نقاط ضعف:

    هیچ جهت راهبردی روشنی وجود ندارد.

    بدتر شدن موقعیت رقابتی;

    تجهیزات قدیمی؛

    سودآوری کمتر به دلیل ...;

    فقدان استعداد مدیریتی و عمق حل مسئله؛

    فقدان انواع خاصی از صلاحیت ها و شایستگی های کلیدی؛

    ردیابی ضعیف فرآیند اجرای استراتژی؛

    رنج بردن از مشکلات تولید داخلی؛

    آسیب پذیری در برابر فشارهای رقابتی؛

    تاخیر در تحقیق و توسعه؛

    خط تولید بسیار باریک؛

    درک ضعیف از بازار؛

    معایب رقابتی؛

    مهارت های بازاریابی زیر متوسط؛

    عدم تامین مالی تغییرات لازم در استراتژی.

    ممکن ها:

    ورود به بازارهای جدید یا بخش های بازار؛

    توسعه خط تولید؛

    افزایش تنوع در محصولات مرتبط؛

    افزودن محصولات مرتبط؛

    ادغام عمودی؛

    فرصت انتقال به گروهی با استراتژی بهتر؛

    رضایت در بین شرکت های رقیب؛

    تسریع رشد بازار.

    امکان ظهور رقبای جدید؛

    افزایش فروش کالای جایگزین؛

    کاهش رشد بازار؛

    سیاست های نامطلوب دولت؛

    افزایش فشار رقابتی؛

    رکود و محو شدن چرخه تجاری؛

    افزایش قدرت چانه زنی بین خریداران و تامین کنندگان؛

    تغییر نیازها و سلیقه مشتری؛

    تغییرات جمعیتی نامطلوب

    عنوان فرعی: روش تجزیه و تحلیل و ساخت یک ماتریس تجزیه و تحلیل SWOT

    یک سازمان می‌تواند هر یک از چهار بخش فهرست را با ویژگی‌های محیط بیرونی و داخلی تکمیل کند که نشان‌دهنده موقعیت خاصی است که در آن قرار دارد.

    بعد از لیست خاصنقاط قوت و ضعف سازمان و تهدیدها و فرصت ها ترسیم شده و مرحله برقراری ارتباط بین آنها آغاز می شود. برای ایجاد این اتصالات، یک ماتریس SWOT کامپایل می شود که به شکل زیر است (شکل 1).

    برنج. 1. ماتریس تجزیه و تحلیل SWOT

    در سمت چپ، دو بلوک برجسته شده است (نقاط قوت، نقاط ضعف)، که به ترتیب تمام جنبه های سازمان شناسایی شده در مرحله اول تجزیه و تحلیل نوشته شده است.

    در بالای ماتریس نیز دو بلوک (فرصت ها و تهدیدها) وجود دارد که تمام فرصت ها و تهدیدهای شناسایی شده در آنها نوشته شده است. در تقاطع بلوک ها، چهار فیلد تشکیل می شود:

    SIV (قدرت و قابلیت ها)؛ SIS (قدرت و تهدید)؛ SLV (ضعف و فرصت)؛ SLU (ضعف و تهدید). در هر زمینه، محقق باید تمام ترکیبات زوجی ممکن را در نظر بگیرد و مواردی را که باید در هنگام توسعه استراتژی رفتار سازمان مورد توجه قرار گیرد، برجسته کند.

    برای آن دسته از جفت هایی که از حوزه SIV انتخاب شده اند، باید یک استراتژی برای استفاده از نقاط قوت سازمان به منظور سرمایه گذاری از فرصت های به وجود آمده در محیط خارجی ایجاد شود.

    برای آن دسته از زوج هایی که خود را در زمینه SLV می بینند، استراتژی باید به گونه ای طراحی شود که با توجه به فرصت های به وجود آمده، سعی در رفع نقاط ضعف در سازمان داشته باشند.

    اگر زن و شوهر در میدان SIS هستند، استراتژی باید شامل استفاده از قدرت سازمان برای از بین بردن تهدید باشد.

    در نهایت، برای زوج‌هایی که در زمینه SLU فعالیت می‌کنند، سازمان باید استراتژی‌ای ایجاد کند که به آن اجازه دهد هم از شر این ضعف خلاص شود و هم سعی کند از تهدیدی که بر سر آن وجود دارد جلوگیری کند.

    هنگام تدوین استراتژی ها، باید به خاطر داشته باشید که فرصت ها و تهدیدها می توانند به متضاد خود تبدیل شوند. بنابراین، اگر رقیب از آن استفاده کند، یک فرصت استفاده نشده می تواند به یک تهدید تبدیل شود. یا برعکس، اگر رقبا نتوانند همان تهدید را از بین ببرند، یک تهدید با موفقیت پیشگیری می‌کند که می‌تواند فرصت‌های بیشتری را برای سازمان باز کند.

    عنوان فرعی: ساخت ماتریس از "فرصت ها"

    برای تجزیه و تحلیل موفقیت آمیز محیط یک سازمان با استفاده از تجزیه و تحلیل SWOT، نه تنها توانایی شناسایی تهدیدها و فرصت ها، بلکه ارزیابی آنها از نظر اهمیت و درجه تأثیرگذاری بر استراتژی سازمان نیز مهم است.

    برای ارزیابی فرصت ها، روشی برای قرار دادن هر فرصت خاص در ماتریس فرصت استفاده می شود (شکل 2).

    برنج. 2. ماتریس فرصت

    ماتریس به صورت زیر ساخته شده است:

    - به صورت افقی از بالا، میزان تأثیر فرصت بر فعالیت های سازمان ترسیم می شود (قوی، متوسط، کوچک).

    - در سمت چپ عمودی احتمال اینکه سازمان بتواند از فرصت استفاده کند (بالا، متوسط، کم) وجود دارد.

    نه زمینه از احتمالات به دست آمده در داخل ماتریس دارند معنی متفاوتبرای سازمان

    فرصت هایی که در زمینه های BC، B، U و SS قرار می گیرند برای سازمان اهمیت زیادی دارند و باید از آنها استفاده کرد.

    فرصت هایی که در حوزه های SM، NU و NM قرار می گیرند، عملاً شایسته توجه سازمان نیستند.

    عنوان فرعی: ساخت ماتریس "تهدید".

    یک ماتریس مشابه برای ارزیابی تهدیدات کامپایل شده است (شکل 3):

    - از بالا به صورت افقی قرار گرفته اند عواقب احتمالیبرای سازمان، که اجرای تهدید ممکن است منجر به آن شود (تخریب، وضعیت بحرانی، وضعیت جدی، "کبودی جزئی").

    - در سمت چپ عمودی احتمال تحقق تهدید وجود دارد (بالا، متوسط، کم).

    برنج. 3. ماتریس تهدید

    آن دسته از تهدیداتی که در حوزه های VR، VC و SR قرار می گیرند، خطر بسیار بزرگی برای سازمان ایجاد می کنند و نیاز به حذف فوری و اجباری دارند.

    تهدیداتی که وارد حوزه VT، SC و HP شده است نیز باید در حوزه دید مدیریت ارشد باشد و در اولویت رفع شود.

    در مورد تهدیدات مستقر در زمینه های NK، ST و VL، رویکردی دقیق و مسئولانه برای از بین بردن آنها لازم است. اگر چه ابتدا وظیفه حذف آنها تعیین نشده است. تهدیدهایی که در زمینه های باقیمانده قرار می گیرند نیز نباید از دید مدیریت سازمان خارج شوند. توسعه آنها باید به دقت نظارت شود.

    عنوان فرعی: نمایه سازی محیطی

    در کنار روش‌های بررسی تهدیدها، فرصت‌ها، نقاط قوت و ضعف یک سازمان، می‌توان از روش نمایه‌سازی سازمان برای تحلیل محیط استفاده کرد. استفاده از این روش برای نمایه سازی جداگانه محیط کلان، محیط نزدیک و محیط داخلی راحت است. با استفاده از روش پروفایل محیطی، می توان اهمیت نسبی عوامل محیطی فردی را برای سازمان ارزیابی کرد.

    روش تدوین مشخصات محیطی به شرح زیر است. عوامل محیطی فردی در جدول مشخصات محیطی فهرست شده اند (شکل 4). به هر عامل یک ارزیابی تخصصی داده می شود:

    اهمیت برای صنعت در مقیاس: 3 - بزرگ، 2 - متوسط، 1 - ضعیف.

    تأثیر بر سازمان در مقیاس: 3 - قوی، 2 - متوسط، 1 - ضعیف، 0 - بدون تاثیر.

    جهات تأثیر بر مقیاس: +1 - مثبت، -1 - منفی.

    برنج. 4. جدول مشخصات محیطی

    در مرحله بعد، هر سه ارزیابی تخصصی ضرب می شوند و یک ارزیابی یکپارچه به دست می آید که درجه اهمیت این عامل را برای سازمان نشان می دهد. از این ارزیابی، مدیریت می‌تواند به این نتیجه برسد که کدام عوامل محیطی برای سازمانشان اهمیت نسبی دارند و بنابراین مستحق جدی‌ترین توجه هستند و کدام عوامل مستحق توجه کمتر هستند.

    تجزیه و تحلیل محیطی برای توسعه استراتژی سازمان بسیار مهم است و فرآیندی بسیار پیچیده است که مستلزم نظارت دقیق بر فرآیندهای رخ داده در محیط، ارزیابی عوامل و ایجاد ارتباط بین عوامل و عوامل قوی و قوی است. نقاط ضعفسازمان و همچنین فرصت ها و تهدیدهایی که در محیط بیرونی وجود دارد.

    بدیهی است که بدون شناخت محیط، سازمان نمی تواند وجود داشته باشد. با این حال، مانند یک قایق بدون سکان، پارو یا بادبان در اطراف شناور نیست. یک سازمان محیط خود را بررسی می کند تا از پیشرفت موفقیت آمیز خود به سمت اهداف خود اطمینان حاصل کند. بنابراین در ساختار فرآیند مدیریت استراتژیک، تحلیل محیطی با تعیین مأموریت و اهداف سازمان دنبال می شود.

    9.3. چرخه عمر محصول/خدمت

    هر محصول (خدمت) چرخه عمر خود را از آغاز (ظاهر در بازار) تا پایان (انتشار آخرین نمونه) طی می کند.

    مراحل اصلی زیر را می توان تشخیص داد چرخه زندگی(شکل 5):

    برنج. 5. چرخه عمر محصول معمولی در طول زمان

    ماتریس BCG

    محبوب ترین روش برای تجزیه و تحلیل موقعیت یک شرکت در بازار، ساخت ماتریس های پورتفولیو است. به طور معمول، چنین ماتریس‌هایی بر اساس چند متغیر مهم استراتژیک مانند نرخ رشد صنعت، اندازه بازار، جذابیت بلندمدت صنعت، وضعیت رقابتی و غیره ساخته می‌شوند. محیط. پرکاربردترین ماتریس ها BCG (BCG - Boston Consulting Group) و جنرال الکتریک هستند.

    ماتریس بوستون بر اساس یک مدل چرخه عمر محصول است که طبق آن یک محصول در توسعه خود چهار مرحله را طی می کند: ورود به بازار (محصول "گربه وحشی")، رشد (محصول "ستاره") و بلوغ محصول "گاو نقدی"). ") و کاهش (محصول - "سگ").

    برای ارزیابی رقابت پذیری انواع مختلف مشاغل، از دو معیار استفاده می شود: نرخ رشد بازار صنعت. سهم نسبی بازار

    نرخ رشد بازار به این صورت تعریف می شود میانگین وزنینرخ رشد بخش‌های مختلف بازار که شرکت در آن فعالیت می‌کند یا برابر با نرخ رشد تولید ناخالص ملی در نظر گرفته می‌شود. نرخ رشد صنعت 10 درصد یا بیشتر بالا در نظر گرفته می شود.

    سهم بازار نسبی با تقسیم سهم بازار کسب و کار مورد نظر بر سهم بازار بزرگترین رقیب تعیین می شود.

    برنج. 6. ماتریس BCG برای یک شرکت فرضی

    ارزش سهم بازار 1 محصولات رهبر بازار را از دنبال کنندگان جدا می کند. بنابراین، انواع کسب و کار (محصولات فردی) به چهار گروه مختلف تقسیم می شوند (شکل 6).

    ماتریس BCG بر دو فرض استوار است:

    1. یک کسب و کار با سهم بازار قابل توجهی در نتیجه اثر مزیت رقابتی از نظر هزینه های تولید به دست می آورد. نتیجه این است که بزرگترین رقیب بیشترین سودآوری را هنگام فروش به قیمت بازار دارد و جریان های مالی برای آن حداکثر است.

    2. حضور در بازار رو به رشد به معنای افزایش نیاز به منابع مالی برای توسعه آن است. نوسازی و گسترش تولید، تبلیغات فشرده و غیره. اگر نرخ رشد بازار پایین باشد، مانند یک بازار بالغ، آنگاه محصول به تامین مالی قابل توجهی نیاز ندارد.

    در صورت تحقق هر دو فرضیه، چهار گروه از بازارهای محصول را می توان متمایز کرد که مطابق با اهداف استراتژیک اولویت دار و نیازهای مالی متفاوت است:

    گربه‌های وحشی (رشد بالا/سهم کم): محصولات این گروه ممکن است با گسترش بازار بسیار امیدوارکننده باشند، اما برای حفظ رشد به سرمایه قابل توجهی نیاز دارند. در رابطه با این گروه از محصولات باید تصمیم گرفت: افزایش سهم بازار این محصولات یا توقف تامین مالی آنها.

    ستاره ها (رشد سریع/سهم بالا) رهبران بازار هستند. آنها به دلیل رقابت پذیری خود سود قابل توجهی ایجاد می کنند، اما همچنین برای حفظ سهم بالایی از یک بازار پویا نیاز به تامین مالی دارند.

    گاوهای نقدی (رشد آهسته/سهم بالا): محصولاتی که می توانند سود بیشتری نسبت به رشد آنها ایجاد کنند. آنها منبع اصلی منابع مالی برای تنوع و تحقیق علمی. هدف استراتژیک اولویت «برداشت» است.

    «سگ» (رشد کند/سهم کم) محصولاتی هستند که هستند در یک نقطه ضعفاز نظر هزینه و جایی برای رشد ندارند. حفظ چنین کالاهایی مستلزم هزینه های مالی قابل توجهی است که شانس کمی برای بهبود وضعیت دارد. استراتژی اولویت، عدم سرمایه گذاری و زندگی متواضعانه است.

    در حالت ایده آل، سبد محصولات متعادل یک شرکت باید شامل موارد زیر باشد:

    2-3 محصول "گاو"، 1-2 "ستاره"، چندین "گربه" به عنوان پایه ای برای آینده و شاید تعداد کمی از محصولات "سگ" باشند. بیش از حد کالاهای قدیمی ("سگ") نشان دهنده خطر رکود اقتصادی است، حتی اگر عملکرد فعلی شرکت نسبتا خوب باشد. عرضه بیش از حد محصولات جدید می تواند منجر به مشکلات مالی شود.

    در یک پورتفولیوی شرکتی پویا، مسیرهای توسعه زیر (سناریوها) متمایز می شوند (شکل 7).

    برنج. 7. سناریوهای توسعه اصلی

    "مسیر محصول". این شرکت با سرمایه گذاری در وجوه تحقیق و توسعه دریافتی از «گاوهای نقدی»، با محصولی اساساً جدید وارد بازار می شود که جای ستاره را می گیرد.

    "مسیر پیرو". وجوه حاصل از "گاوهای نقدی" در یک محصول - "گربه" سرمایه گذاری می شود که بازار آن تحت سلطه رهبر است. این شرکت به یک استراتژی تهاجمی برای افزایش سهم بازار پایبند است و محصول "گربه" به یک "ستاره" تبدیل می شود.

    "مسیر شکست" به دلیل سرمایه گذاری ناکافی، محصول ستاره موقعیت پیشرو خود را در بازار از دست می دهد و به یک محصول "گربه" تبدیل می شود.

    "مسیر حد وسط." محصول "گربه" نتوانست سهم خود را در بازار افزایش دهد و وارد مرحله بعدی (محصول "سگ") می شود.

    حاشیه نویسی: این سخنرانی تعریف دقیقی از امنیت اطلاعات ارائه می دهد و جنبه های مدیریت ریسک را مورد بحث قرار می دهد. یک مدل امنیتی با همپوشانی کامل شرح داده شده است.

    معرفی

    هدف از این دوره مطالعه تکنیک های مدرن برای تجزیه و تحلیل و مدیریت ریسک های مرتبط با امنیت اطلاعات (IS) می باشد. با توجه به اینکه فرآیند مدیریت ریسک ممکن است شامل معرفی ابزارها و مکانیسم های حفاظتی خاص باشد، بخش عملی دوره بر روی مدیریت ریسک هادر سیستم های مبتنی بر سیستم عامل (OS) خانواده مایکروسافت ویندوز.

    ریسک در حوزه امنیت اطلاعاتما به فرصت بالقوه برای متحمل شدن ضرر به دلیل نقض امنیت یک سیستم اطلاعاتی (IS) اشاره خواهیم کرد. مفهوم ریسک اغلب با مفهوم تهدید اشتباه گرفته می شود.

    تهدید امنیت اطلاعاتبه یک حادثه بالقوه اعم از عمدی یا غیر عمدی اشاره دارد که می تواند تأثیر نامطلوبی بر روی یک سیستم کامپیوتری و اطلاعات ذخیره شده و پردازش شده روی آن داشته باشد.

    آسیب پذیری IP- این یک ویژگی ناگوار است که امکان ایجاد یک تهدید را فراهم می کند. یک آسیب پذیری، امنیت ناکافی و/یا برخی خطاها در سیستم و همچنین وجود ورودی های مخفی به سیستم است که توسط توسعه دهندگان این سیستم هنگام اشکال زدایی و پیکربندی آن باقی مانده است.

    آنچه خطر را از تهدید متمایز می کند وجود یک ارزیابی کمی از زیان های احتمالی و (احتمالا) ارزیابی احتمال وقوع تهدید است.

    اما بیایید دریابیم که چرا لازم است خطرات در زمینه امنیت اطلاعات بررسی شود و چه چیزی می تواند در هنگام توسعه یک سیستم امنیت اطلاعات برای امنیت اطلاعات ارائه دهد. برای هر پروژه ای که نیاز به هزینه های مالی برای اجرای آن دارد، بسیار مطلوب است که در مرحله اولیه مشخص کنیم که چه چیزی را نشانه اتمام کار در نظر خواهیم گرفت و نتایج پروژه را چگونه ارزیابی خواهیم کرد. برای وظایف مربوط به امنیت اطلاعات، این موضوع بیش از حد مرتبط است.

    در عمل، دو رویکرد برای توجیه طراحی یک زیرسیستم امنیتی بیشترین استفاده را دارند.

    اولین مورد بر اساس بررسی انطباق سطح امنیت IP با الزامات یکی از استانداردهای حوزه امنیت اطلاعات است. این ممکن است یک کلاس امنیتی مطابق با الزامات اسناد حاکم کمیسیون فنی دولتی فدراسیون روسیه (اکنون FSTEC روسیه)، یک نمایه حفاظتی که مطابق با استاندارد ISO-15408 توسعه یافته است، یا مجموعه دیگری از الزامات باشد. . سپس معیار دستیابی به یک هدف امنیتی، تحقق مجموعه ای از الزامات معین است. معیار عملکرد- حداقل هزینه های کل برای برآورده کردن الزامات عملکردی مجموعه: که در آن c i هزینه های وسایل حفاظتی i است.

    عیب اصلی این رویکرد این است که در مواردی که سطح امنیت مورد نیاز به طور دقیق مشخص نشده باشد (به عنوان مثال، از طریق الزامات قانونی)، تعیین "موثرترین" سطح امنیت IP بسیار دشوار است.

    رویکرد دوم برای ایجاد یک سیستم امنیت اطلاعات مربوط به ارزیابی و مدیریت ریسک است. در ابتدا، از اصل "کفایت معقول" که در زمینه امنیت اطلاعات اعمال می شود، نشات می گیرد. این اصل را می توان با مجموعه ای از عبارات زیر توصیف کرد:

    • ایجاد یک دفاع کاملاً غیرقابل عبور غیرممکن است.
    • لازم است تعادل بین هزینه های حفاظت و اثر حاصل از آن حفظ شود. و اقتصادی، که شامل کاهش خسارات ناشی از نقض امنیتی است.
    • هزینه تجهیزات حفاظتی نباید از هزینه اطلاعات محافظت شده (یا سایر منابع - سخت افزار، نرم افزار) تجاوز کند.
    • هزینه های متخلف برای دسترسی غیرمجاز (UNA) به اطلاعات باید بیشتر از تأثیری باشد که با داشتن چنین دسترسی دریافت می کند.

    اما بیایید به خطرات برگردیم. در این صورت در نظر گرفتن IP در آن وضعیت اصلی، اندازه زیان های مورد انتظار از حوادث مربوط به امنیت اطلاعات را تخمین می زنیم (معمولاً مدت زمان مشخصی برای مثال یک سال در نظر گرفته می شود). پس از این، ارزیابی از چگونگی تأثیر کنترل‌ها و اقدامات امنیتی پیشنهادی بر کاهش ریسک و هزینه آنها انجام می‌شود. اگر وضعیت ایده آلی را تصور کنیم، ایده رویکرد در نمودار زیر منعکس شده است (شکل 1.1).

    با افزایش هزینه های دفاعی، میزان خسارات مورد انتظار کاهش می یابد. اگر هر دو تابع شکل نشان داده شده در شکل را داشته باشند، می توانیم حداقل تابع "هزینه های کل مورد انتظار" را تعیین کنیم، که همان چیزی است که نیاز داریم.

    متأسفانه در عمل نمی توان رابطه دقیق بین هزینه ها و سطح امنیت را تعیین کرد روش تحلیلیتعاریف حداقل هزینه ها همانطور که ارائه شده قابل اجرا نیست.

    به منظور بررسی مسائل مربوط به توصیف ریسک، یک تعریف دیگر را معرفی می کنیم. منبعیا داراییما یک عنصر نامگذاری شده از IP را فراخوانی می کنیم که دارای ارزش (مادی) است و تحت حفاظت قرار می گیرد.

    سپس ریسک را می توان با مجموعه پارامترهای زیر شناسایی کرد:

    • تهدیدی که اجرای احتمالی آن باعث این خطر می شود.
    • منبعی که می توان این تهدید را علیه آن پیاده سازی کرد (منبع می تواند اطلاعاتی، سخت افزاری، نرم افزاری و غیره باشد).
    • آسیب پذیری که از طریق آن می توان یک تهدید معین را در رابطه با یک منبع معین پیاده سازی کرد.

    همچنین تعیین اینکه چگونه می دانیم یک رویداد ناخواسته رخ داده است، مهم است. بنابراین، در فرآیند توصیف خطرات، معمولاً رویدادها نیز نشان داده می شوند - "محرک ها"، که معرف خطراتی هستند که رخ داده اند یا انتظار می رود به زودی رخ دهند (به عنوان مثال، افزایش زمان پاسخ یک وب سرور ممکن است نشان دهنده این باشد که یکی از انواع حملات انکار سرویس بر روی آن انجام می شود).

    بر اساس موارد فوق، در فرآیند ارزیابی ریسک، برآورد هزینه خسارت و فراوانی وقوع رویدادهای نامطلوب و احتمال اینکه چنین رویدادی باعث آسیب به منبع شود، ضروری است.

    میزان آسیب ناشی از اجرای یک تهدید برای یک منبع به موارد زیر بستگی دارد:

    1. از ارزش منبعی که در معرض خطر است.
    2. در مورد میزان مخرب بودن تأثیر بر منبع، که به عنوان ضریب مخرب بیان می شود. به عنوان یک قاعده، ضریب مشخص شده در محدوده 0 تا 1 قرار دارد.

    بنابراین، ما تخمینی را بدست می آوریم که می تواند به عنوان یک محصول نشان داده شود:

    (هزینه منابع)*(ضریب تخریب).

    در مرحله بعد، لازم است فراوانی وقوع رویداد نامطلوب مورد نظر (برای مدتی ثابت) و احتمال اجرای موفقیت آمیز تهدید برآورد شود. در نتیجه، هزینه ریسک را می توان با استفاده از فرمول محاسبه کرد:

    (فرکانس)*(احتمال)*(هزینه منابع)*(ضریب مخرب).

    تقریباً از این فرمول در بسیاری از تکنیک های تحلیل ریسک استفاده می شود که برخی از آنها بیشتر مورد بحث قرار خواهند گرفت. خسارت مورد انتظار با هزینه های اقدامات حفاظتی مقایسه شده و سپس در مورد این خطر تصمیم گیری می شود. اون میتونه باشه:

    • کاهش می یابد (به عنوان مثال، از طریق معرفی ابزارها و مکانیسم های حفاظتی که احتمال وقوع یک تهدید یا ضریب تخریب را کاهش می دهد).
    • حذف (با امتناع از استفاده از منبع در معرض خطر)؛
    • منتقل شده (به عنوان مثال، بیمه شده، که در نتیجه، در صورت تهدید امنیتی، خسارات وارده توسط شرکت بیمه، نه صاحب IP)؛
    • پذیرفته شده.

    مدیریت ریسک ها مدل ایمنی همپوشانی کامل

    ایده های مدیریت ریسک تا حد زیادی از مدل امنیتی همپوشانی کامل که در دهه 70 توسعه یافت نشات می گیرد.

    مدل یک سیستم امنیتی با همپوشانی کامل بر این فرض استوار است که سیستم امنیتی باید حداقل یک وسیله برای تضمین امنیت در هر مسیر احتمالی نفوذ یک نفوذگر بر IP داشته باشد.

    این مدل هر ناحیه ای را که نیاز به حفاظت دارد مشخص می کند، کنترل های امنیتی را بر اساس اثربخشی آنها و سهم آنها در امنیت در کل سیستم محاسباتی ارزیابی می کند.


    برنج. 1.2.نمودار دوبخشی "تهدید-شیء".


    برنج. 1.3.نمودار سه جانبه "تهدید - اقدام امنیتی - شی".

    اعتقاد بر این است که دسترسی غیرمجاز به هر یک از مجموعه ای از اشیاء محافظت شده (منابع IP) با "میزان آسیب" معینی برای مالک IP همراه است و این آسیب می تواند کمیت شود.

    هر شیئی که نیاز به محافظت دارد با مجموعه خاصی از اقدامات مرتبط است که یک نفوذگر می تواند برای دسترسی غیرمجاز به شی به آن متوسل شود. اقدامات مخرب بالقوه در رابطه با همه اشیا مجموعه ای از تهدیدات IS را تشکیل می دهند. هر عنصر از یک مجموعه تهدید با احتمال وقوع مشخص می شود.

    مجموعه روابط "شیء-تهدید" یک نمودار دوبخشی را تشکیل می دهد (شکل 1.2)، که در آن لبه (t i,o j) وجود دارد اگر و فقط اگر t i وسیله ای برای دسترسی به شی o j باشد. لازم به ذکر است که رابطه بین تهدیدها و اشیا یک رابطه یک به یک نیست - یک تهدید می تواند به هر تعداد شی گسترش یابد و یک شی می تواند در برابر بیش از یک تهدید آسیب پذیر باشد. هدف حفاظت، «مسدود کردن» هر لبه یک نمودار مشخص و ایجاد مانع برای دسترسی به t i,m k ) و (m k ,o j ) است. هر لبه فرم (t i,o j) یک شی محافظت نشده را تعریف می کند. لازم به ذکر است که همان ابزار امنیتی می تواند با اجرای بیش از یک تهدید مقابله کند و (یا) از بیش از یک شی محافظت کند. عدم وجود لبه (t i,o j ) امنیت کامل را تضمین نمی کند (اگرچه وجود چنین لبه ای امکان دسترسی غیرمجاز را فراهم می کند، مگر در مواردی که احتمال ظاهر شدن t i صفر باشد).

    بررسی بیشتر شامل مدل تئوری مجموعه هاسیستم حفاظت شده - سیستم امنیتی کلمنتز. این سیستم را به عنوان یک مجموعه پنج تایی S=(O,T,M,V,B) توصیف می کند که در آن O مجموعه ای از اشیاء محافظت شده است. T - مجموعه ای از تهدیدات؛ M - مجموعه ای از ابزارهای امنیتی؛ V - مجموعه ای از آسیب پذیری ها - نگاشت TxO بر روی مجموعه ای از جفت های مرتب شده V i =(t i,o j) که نشان دهنده مسیرهای نفوذ به سیستم است. B - مجموعه ای از موانع - نقشه برداری از VxM یا TxOxM بر روی مجموعه ای از سه قلوهای مرتب شده b i =(t i ,o j ,m k) که نشان دهنده نقاطی است که در آن حفاظت در سیستم مورد نیاز است.

    بنابراین، سیستم پوشش کامل، سیستمی است که در آن وسایل حفاظتی برای هر یک وجود دارد راه ممکننفوذ اگر در چنین سیستمی ، آن .

    مدل سیستم امنیتی با همپوشانی کامل، الزامات ترکیب زیرسیستم امنیتی IS را توصیف می کند. اما به موضوع هزینه وسایل حفاظتی اجرا شده و رابطه بین هزینه های حفاظت و اثر ناشی از آن نمی پردازد. علاوه بر این، تعیین مجموعه کامل "مسیرهای ورود" به یک سیستم می تواند در عمل بسیار دشوار باشد. یعنی اینکه چقدر این مجموعه به طور کامل توضیح داده شده است، تعیین می کند که نتیجه به دست آمده چقدر کافی خواهد بود موقعیت واقعیکسب و کار

    در حال حاضر روش های مختلفی برای ارزیابی و مدیریت ریسک های اطلاعاتی شرکت ها استفاده می شود. ارزیابی ریسک های اطلاعاتی یک شرکت می تواند مطابق با طرح زیر انجام شود:

    1) شناسایی و ارزیابی کمی منابع اطلاعاتی شرکت که برای تجارت مهم هستند.

    2) ارزیابی تهدیدات احتمالی.

    3) ارزیابی آسیب پذیری های موجود.

    4) ارزیابی اثربخشی وسایل امنیت اطلاعات.

    فرض بر این است که در صورت وجود هرگونه تهدیدی علیه آنها، منابع اطلاعاتی آسیب‌پذیر تجاری و حیاتی شرکت در معرض خطر هستند. به عبارت دیگر، ریسک ها خطری را مشخص می کنند که ممکن است اجزای یک سیستم اطلاعاتی شرکت را تهدید کند. در عین حال، ریسک های اطلاعاتی شرکت به موارد زیر بستگی دارد:

    شاخص های ارزش منابع اطلاعاتی؛

    احتمال تهدید منابع؛

    اثربخشی ابزارهای امنیت اطلاعات موجود یا برنامه ریزی شده

    هدف از ارزیابی ریسک تعیین ویژگی های ریسک یک سیستم اطلاعاتی شرکت و منابع آن است. پس از ارزیابی ریسک ها، می توانید ابزارهایی را انتخاب کنید که سطح مطلوبی از امنیت اطلاعات را برای شرکت فراهم کنند. هنگام ارزیابی ریسک ها، عواملی مانند ارزش منابع، اهمیت تهدیدات و آسیب پذیری ها و اثربخشی ابزارهای حفاظتی موجود و برنامه ریزی شده در نظر گرفته می شود. امکان اجرای یک تهدید برای یک منبع خاص شرکت با احتمال اجرای آن در یک دوره زمانی معین ارزیابی می شود. در این حالت، احتمال تحقق تهدید توسط عوامل اصلی زیر تعیین می شود:

    جذابیت منبع (در نظر گرفتن تهدید ناشی از نفوذ عمدی انسانی).

    توانایی استفاده از یک منبع برای تولید درآمد (همچنین در صورت تهدید از نفوذ عمدی انسانی)؛

    قابلیت های فنی برای اجرای یک تهدید با نفوذ عمدی انسانی؛

    درجه سهولتی که با آن می توان از یک آسیب پذیری سوء استفاده کرد.

    در حال حاضر مدیریت ریسک اطلاعات یکی از مرتبط ترین و پویاترین حوزه های مدیریت استراتژیک و عملیاتی در حوزه امنیت اطلاعات است. وظیفه اصلی آن شناسایی و ارزیابی عینی مهم‌ترین ریسک‌های اطلاعات تجاری شرکت و همچنین کفایت کنترل‌های ریسک مورد استفاده برای افزایش کارایی و سودآوری فعالیت‌های اقتصادی شرکت است. بنابراین، اصطلاح "مدیریت ریسک اطلاعات" معمولاً به فرآیند سیستماتیک شناسایی، کنترل و کاهش خطرات اطلاعاتی شرکت ها مطابق با محدودیت های خاص چارچوب نظارتی روسیه در زمینه حفاظت از اطلاعات و خط مشی امنیتی شرکت آنها اشاره دارد. اعتقاد بر این است که مدیریت ریسک با کیفیت بالا امکان استفاده از کنترل‌های ریسک و اقدامات امنیت اطلاعات را فراهم می‌کند که از نظر کارایی و هزینه بهینه بوده و برای اهداف و مقاصد فعلی کسب‌وکار شرکت مناسب است.

    بر کسی پوشیده نیست که امروزه افزایش گسترده وابستگی فعالیت های تجاری موفق شرکت های داخلی به اقدامات سازمانی و ابزارهای فنی کنترل و کاهش ریسک مورد استفاده وجود دارد. برای مدیریت مؤثر ریسک اطلاعات، روش های خاصی توسعه یافته است، به عنوان مثال، روش های استانداردهای بین المللی ISO 15408، ISO 17799 (BS7799)، BSI. و همچنین استانداردهای ملی NIST 80030، SAC، COSO، SAS 55/78 و برخی دیگر مشابه آنها. مطابق با این روش ها، مدیریت ریسک اطلاعات هر شرکتی موارد زیر را فرض می کند. اول، تعریف اهداف و اهداف اصلی حفاظت از دارایی های اطلاعاتی شرکت. ثانیاً ایجاد یک سیستم موثر برای ارزیابی و مدیریت ریسک های اطلاعاتی. ثالثاً، محاسبه مجموعه ای از ارزیابی های دقیق، نه تنها کیفی، بلکه کمی، بلکه ارزیابی ریسک که برای اهداف تجاری اعلام شده کافی است. چهارم، استفاده از ابزارهای ویژه ارزیابی ریسک و مدیریت.

    تکنیک های مدیریت ریسک کیفیت

    تکنیک های مدیریت ریسک با کیفیت بالا در کشورهای توسعه یافته فناوری توسط ارتش بزرگی از حسابرسان داخلی و خارجی فناوری اطلاعات به کار گرفته شده است. این تکنیک ها بسیار محبوب و نسبتاً ساده هستند و معمولاً بر اساس الزامات استاندارد بین المللی ISO 177992002 توسعه یافته اند.

    استاندارد ISO 17799 شامل دو بخش است.

    در قسمت 1: توصیه های عملیدر مدیریت امنیت اطلاعات، 2002، جنبه های اصلی سازماندهی یک رژیم امنیت اطلاعات در یک شرکت شناسایی شده است: سیاست امنیتی. سازمان حفاظت. طبقه بندی و مدیریت منابع اطلاعاتی. مدیریت شخصی. امنیت فیزیکی. مدیریت سیستم ها و شبکه های کامپیوتری. کنترل دسترسی به سیستم توسعه و نگهداری سیستم ها. برنامه ریزی برای عملکرد روان سازمان. بررسی سیستم برای انطباق با الزامات امنیت اطلاعات.

    قسمت 2: Specifications، 2002، همین جنبه ها را از نقطه نظر تأیید رژیم امنیت اطلاعات یک شرکت برای انطباق با الزامات استاندارد بررسی می کند. از نقطه نظر عملی، این بخش ابزاری برای حسابرس فناوری اطلاعات است و به شما این امکان را می دهد که به سرعت یک ممیزی داخلی یا خارجی از امنیت اطلاعات هر شرکتی انجام دهید.

    روش های مدیریت ریسک کیفیت بر اساس الزامات ISO 17999 شامل روش های COBRA و RA Software Tool است. بیایید به طور خلاصه به این تکنیک ها نگاه کنیم.

    این تکنیک به شما اجازه می دهد تا به طور خودکار ساده ترین نسخه ارزیابی ریسک های اطلاعاتی هر شرکت را انجام دهید. برای انجام این کار، پیشنهاد می شود از پایگاه های دانش الکترونیکی ویژه و روش های استنتاج منطقی متمرکز بر الزامات ISO 17799 استفاده شود. مهم است که در صورت تمایل، لیست الزامات در نظر گرفته شده را بتوان با الزامات مختلف مراجع نظارتی داخلی تکمیل کرد. به عنوان مثال، الزامات اسناد حاکم (RD) کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.

    روش COBRA الزامات استاندارد ISO 17799 را در قالب پرسشنامه های موضوعی (چک لیست) ارائه می دهد که باید در هنگام ارزیابی ریسک دارایی های اطلاعاتی شرکت و معاملات الکترونیکی تجاری پاسخ داده شود. برنج. 1. - نمونه مجموعه موضوعی سوالات COBRA). در مرحله بعد، پاسخ‌های وارد شده به‌طور خودکار پردازش می‌شوند و با استفاده از قوانین استنتاج منطقی مناسب، گزارش نهایی با ارزیابی‌های فعلی ریسک‌های اطلاعاتی شرکت و توصیه‌هایی برای مدیریت آن‌ها ایجاد می‌شود.

    ابزار نرم افزار RA

    متدولوژی و ابزار نرم افزار RA با همین نام ( برنج. 2. - ماژول های اصلی متدولوژی ابزار نرم افزار RA) بر اساس الزامات استانداردهای بین المللی ISO 17999 و ISO 13335 (قسمت های 3 و 4) و همچنین بر اساس الزامات برخی از دستورالعمل های موسسه استاندارد بریتانیا (BSI) مانند PD 3002 (راهنمای ارزیابی و مدیریت ریسک) است. ، PD 3003 (شرکت ارزیابی آمادگی برای حسابرسی مطابق با BS 7799)، PD 3005 (راهنمای انتخاب سیستم های امنیتی) و غیره.

    این روش ارزیابی ریسک اطلاعات (ماژول های 4 و 5) را قادر می سازد مطابق با الزامات ISO 17799 و به صورت اختیاری مطابق با مشخصات دقیق تر راهنمای موسسه استاندارد بریتانیا PD 3002 انجام شود.

    تکنیک های کمی مدیریت ریسک

    گروه دوم تکنیک های مدیریت ریسک شامل تکنیک های کمی است که ارتباط آنها با نیاز به حل مسائل مختلف بهینه سازی که اغلب در زندگی واقعی. ماهیت این مشکلات به یافتن یک راه حل بهینه واحد از بسیاری از راه حل های موجود خلاصه می شود. به عنوان مثال، پاسخ به سؤالات زیر ضروری است: «چگونه می‌توانیم با باقی ماندن در بودجه مصوب سالانه (سه‌ماهه) امنیت اطلاعات، به حداکثر سطح امنیت برای دارایی‌های اطلاعاتی شرکت دست یابیم؟ یا "با در نظر گرفتن محدودیت های شناخته شده منابع تجاری شرکت، کدام یک از گزینه های ایجاد حفاظت اطلاعات شرکتی (یک سایت امن WWW یا ایمیل شرکتی) را باید انتخاب کنم؟" برای حل این مشکلات، روش‌ها و تکنیک‌هایی برای ارزیابی کمی و مدیریت ریسک بر اساس روش‌های ساختاری و کمتر شی گرا در تجزیه و تحلیل و طراحی سیستم (SSADM - تحلیل و طراحی سیستم‌های ساختاریافته) در حال توسعه هستند. در عمل، چنین تکنیک‌های مدیریت ریسک به شما این امکان را می‌دهد که: مدل‌هایی از دارایی‌های اطلاعاتی شرکت از نقطه نظر امنیتی ایجاد کنید. طبقه بندی و ارزیابی ارزش دارایی. فهرستی از مهم ترین تهدیدها و آسیب پذیری های امنیتی را تهیه کنید. رتبه بندی تهدیدات و آسیب پذیری های امنیتی؛ ابزارها و اقدامات کنترل ریسک را توجیه کنید. ارزیابی اثربخشی/هزینه گزینه‌های حفاظتی مختلف؛ رسمی و خودکار ارزیابی ریسک و رویه های مدیریت.

    یکی از معروف ترین تکنیک های این کلاس، تکنیک CRAMM است.

    ابتدا یک روش و سپس تکنیک CRAMM (تحلیل و کنترل ریسک) به همین نام ایجاد شد که با الزامات CCTA مطابقت دارد. سپس چندین نسخه از روش شناسی ظاهر شد که بر الزامات سازمان ها و ساختارهای دولتی و تجاری مختلف متمرکز بود. یک نسخه از "نمایه تجاری" در بازار امنیت اطلاعات گسترده شده است.

    اهداف اصلی متدولوژی CRAMM عبارتند از: رسمی سازی و اتوماسیون تحلیل ریسک و رویه های مدیریت. بهینه سازی هزینه ها برای تجهیزات کنترل و حفاظت؛ برنامه ریزی جامع و مدیریت ریسک در تمام مراحل چرخه حیات سیستم های اطلاعاتی. کاهش زمان برای توسعه و حفظ سیستم امنیت اطلاعات شرکت ها؛ توجیه اثربخشی اقدامات حفاظتی و کنترل های پیشنهادی؛ مدیریت تغییرات و حوادث؛ پشتیبانی از تداوم کسب و کار؛ تصمیم گیری سریع در مورد مسائل مدیریت امنیت و غیره

    مدیریت ریسک در روش CRAMM در چندین مرحله انجام می شود (شکل 3).

    در مرحله اول شروع - "شروع" - مرزهای سیستم اطلاعاتی شرکت مورد مطالعه، ترکیب و ساختار دارایی های اطلاعاتی و معاملات اصلی آن تعیین می شود.

    در مرحله شناسایی و ارزیابی منابع - "شناسایی و ارزیابی دارایی ها" - دارایی ها به وضوح شناسایی شده و ارزش آنها تعیین می شود. محاسبه هزینه دارایی های اطلاعاتی به وضوح به شما امکان می دهد نیاز و کفایت ابزار پیشنهادی کنترل و حفاظت را تعیین کنید.

    در مرحله ارزیابی تهدیدها و آسیب‌پذیری‌ها - «ارزیابی تهدید و آسیب‌پذیری» - تهدیدها و آسیب‌پذیری‌های دارایی‌های اطلاعاتی شرکت شناسایی و ارزیابی می‌شوند.

    مرحله تجزیه و تحلیل ریسک - "تحلیل ریسک" - به شما امکان می دهد ارزیابی های کمی و کیفی ریسک را به دست آورید.

    در مرحله مدیریت ریسک - "مدیریت ریسک" - اقدامات و ابزارهایی برای کاهش یا اجتناب از ریسک پیشنهاد می شود.

    بیایید با استفاده از مثال زیر به قابلیت های CRAMM نگاه کنیم. اجازه دهید خطرات اطلاعاتی سیستم اطلاعات شرکت زیر ارزیابی شود (شکل 4).

    در این نمودار، ما به صورت مشروط عناصر زیر سیستم را برجسته خواهیم کرد: ایستگاه های کاری که اپراتورها اطلاعاتی را که از دنیای خارج وارد می شوند، وارد می کنند. سرور پست الکترونیکی که اطلاعات از گره های شبکه راه دور از طریق اینترنت به آن دریافت می شود. سرور پردازشی که DBMS روی آن نصب شده است. سرور پشتیبان؛ محل کار تیم واکنش سریع؛ محل کار مدیر امنیت؛ محل کار مدیر پایگاه داده

    سیستم به شرح زیر عمل می کند. داده های وارد شده از ایستگاه های کاری کاربر و دریافت شده در سرور ایمیل به سرور پردازش داده شرکت ارسال می شود. سپس داده ها به محل کار تیم پاسخ عملیاتی می رود و تصمیمات مناسب در آنجا گرفته می شود.

    اکنون بیایید با استفاده از تکنیک CRAMM تجزیه و تحلیل ریسک انجام دهیم و ابزارهایی برای کنترل و مدیریت ریسک پیشنهاد کنیم که برای اهداف و اهداف کسب و کار شرکت مناسب باشد.

    تعیین مرزهای مطالعه. مرحله با حل مشکل تعیین مرزهای سیستم مورد مطالعه آغاز می شود. برای این منظور، اطلاعات زیر جمع آوری می شود: مسئولین منابع فیزیکی و نرم افزاری؛ کاربران چه کسانی هستند و کاربران چگونه از سیستم استفاده می کنند یا خواهند کرد. پیکربندی سیستم. اطلاعات اولیه از طریق گفتگو با مدیران پروژه، مدیران کاربر یا سایر کارمندان جمع آوری می شود.

    شناسایی منابع و ساخت مدل سیستم از دیدگاه امنیت اطلاعات. شناسایی منابع انجام می شود: مواد، نرم افزار و اطلاعات موجود در محدوده سیستم. هر منبع باید به یکی از کلاس های از پیش تعریف شده اختصاص داده شود. طبقه بندی منابع فیزیکی در پیوست آورده شده است. سپس مدلی از سیستم اطلاعاتی از نقطه نظر امنیت اطلاعات ساخته می شود. برای هر فرآیند اطلاعاتی که از دیدگاه کاربر معنای مستقلی دارد و سرویس کاربر (EndUserService) نامیده می شود، درختی از اتصالات منابع مورد استفاده ساخته می شود. در مثال مورد بررسی یک سرویس مشابه وجود خواهد داشت (شکل 5). مدل ساخته شده به ما اجازه می دهد تا عناصر حیاتی را شناسایی کنیم.

    ارزش منابع. این تکنیک به شما امکان می دهد ارزش منابع را تعیین کنید. این مرحله در تحلیل ریسک کامل الزامی است. ارزش منابع فیزیکی در این روشبا توجه به هزینه بازسازی آنها در صورت تخریب تعیین می شود. ارزش داده ها و نرم افزار در شرایط زیر تعیین می شود: در دسترس نبودن منابع برای یک دوره زمانی معین. تخریب منابع - از دست دادن اطلاعات به دست آمده از آخرین نسخه پشتیبان یا تخریب کامل آن. نقض محرمانه بودن در موارد دسترسی غیرمجاز توسط کارکنان یا افراد غیر مجاز; اصلاح برای موارد خطاهای جزئی پرسنل (خطاهای ورودی)، خطاهای نرم افزاری، خطاهای عمدی در نظر گرفته می شود. خطاهای مرتبط با انتقال اطلاعات: امتناع از تحویل، عدم تحویل اطلاعات، تحویل به آدرس اشتباه. برای ارزیابی آسیب های احتمالی، پیشنهاد می شود از معیارهای زیر استفاده شود: آسیب به شهرت سازمان؛ نقض قوانین فعلی؛ آسیب به سلامت پرسنل؛ آسیب های مرتبط با افشای داده های شخصی افراد؛ زیان مالی ناشی از افشای اطلاعات؛ خسارات مالی مرتبط با بازیابی منابع؛ زیان های مرتبط با ناتوانی در انجام تعهدات؛ بی نظمی در فعالیت ها

    مجموعه معیارهای داده شده در نسخه تجاری روش (نمایه استاندارد) استفاده می شود. نسخه های دیگر ترکیب متفاوتی خواهند داشت، مانند نسخه دولتی که ابعادی را برای انعکاس حوزه هایی مانند امنیت ملی و امور بین المللی اضافه می کند.

    برای داده ها و نرم افزارها، معیارهای قابل اجرا برای یک IS معین انتخاب می شوند و آسیب در مقیاسی با مقادیر از 1 تا 10 ارزیابی می شود.

    به عنوان مثال، اگر داده ها حاوی جزئیات اطلاعات محرمانه تجاری (بحرانی) باشد، کارشناس انجام این تحقیق این سوال را مطرح می کند: چگونه دسترسی غیرمجاز افراد غیرمجاز به این اطلاعات می تواند بر سازمان تأثیر بگذارد؟

    یک پاسخ ممکن این است: شکست در چندین پارامتر ذکر شده در بالا، هر جنبه باید با جزئیات بیشتری در نظر گرفته شود و بالاترین امتیاز ممکن را به آن اختصاص دهد.

    سپس مقیاس هایی برای سیستم انتخاب شده از پارامترها ایجاد می شود. آنها ممکن است اینگونه به نظر برسند.

    لطمه به شهرت سازمان: 2 - واکنش منفی تک تک مقامات، شخصیت های عمومی. 4- انتقاد در رسانه ها که بازتاب عمومی گسترده ای ندارد. 6 - واکنش منفی نمایندگان منفرد دوما، شورای فدراسیون؛ 8 - انتقاد در رسانه‌ها که پیامدهایی در قالب رسوایی‌های بزرگ، جلسات مجلس، بازرسی‌های گسترده و غیره دارد. 10- واکنش منفی در سطح رئیس جمهور و دولت.

    آسیب به سلامت پرسنل: 2 - حداقل آسیب (عواقب با بستری شدن در بیمارستان یا درمان طولانی مدت همراه نیست). 4- خسارت متوسط ​​(درمان برای یک یا چند کارمند ضروری است اما عواقب منفی درازمدت ندارد). 6- عواقب جدی ( بستری طولانی مدت، از کارافتادگی یک یا چند کارمند). 10- از دست دادن جان.

    زیان های مالی مرتبط با بازیابی منابع: 2 - کمتر از 1000 دلار؛ 6 - از 1000 دلار تا 10000 دلار؛ 8 - از 10000 دلار تا 100000 دلار؛ 10 - بیش از 100000 دلار.

    به هم ریختگی فعالیت ها به دلیل در دسترس نبودن داده ها: 2 - عدم دسترسی به اطلاعات تا 15 دقیقه. 4 - عدم دسترسی به اطلاعات تا 1 ساعت; 6 - عدم دسترسی به اطلاعات تا 3 ساعت; 8 - عدم دسترسی به اطلاعات به مدت 12 ساعت; 10- عدم دسترسی به اطلاعات بیش از یک روز.

    در این مرحله می توان چندین نوع گزارش تهیه کرد (مرزهای سیستم، مدل، تعیین ارزش منابع). اگر مقادیر منابع کم باشد، می توان از گزینه حفاظت پایه استفاده کرد. در این صورت محقق می تواند مستقیماً از این مرحله به مرحله تحلیل ریسک حرکت کند. با این حال، برای در نظر گرفتن تأثیر بالقوه هر تهدید، آسیب پذیری، یا ترکیبی از تهدیدها و آسیب پذیری ها به اندازه کافی سطوح بالا، باید از نسخه کوتاه شده مرحله ارزیابی تهدید و آسیب پذیری استفاده شود. این به ما اجازه می دهد تا سیستم موثرتری برای حفاظت از اطلاعات شرکت توسعه دهیم.

    در مرحله ارزیابی تهدیدها و آسیب پذیری ها، وابستگی خدمات کاربران به گروه های خاصی از منابع و سطح تهدیدات و آسیب پذیری های موجود ارزیابی می شود.

    در مرحله بعد، دارایی های شرکت از نظر تهدیدات و آسیب پذیری ها گروه بندی می شوند، به عنوان مثال، در صورت تهدید آتش سوزی یا سرقت، منطقی است که تمام منابع واقع در یک مکان (اتاق سرور، اتاق ارتباطات و ...) را به عنوان در نظر بگیرید. گروهی از منابع

    در عین حال ارزیابی سطوح تهدیدات و آسیب پذیری ها می تواند بر اساس عوامل غیرمستقیم و یا بر اساس ارزیابی مستقیم کارشناسان انجام شود. در حالت اول، نرم افزار CRAMM برای هر گروه از منابع و هر یک از آنها لیستی از سوالات را ایجاد می کند که می توان به طور واضح به آنها پاسخ داد. برنج. 8. -ارزیابی سطح تهدید امنیتی بر اساس عوامل غیر مستقیم).

    سطح تهدیدات بسته به پاسخ ها به صورت زیر ارزیابی می شود: بسیار بالا. بالا؛ میانگین؛ کوتاه؛ خیلی کم.

    سطح آسیب پذیری بسته به پاسخ ها به صورت زیر ارزیابی می شود: بالا; میانگین؛ کوتاه؛ غایب.

    امکان تصحیح نتایج یا استفاده از روش های ارزیابی دیگر وجود دارد. بر اساس این اطلاعات، سطوح ریسک در یک مقیاس گسسته با درجه بندی از 1 تا 7 (مرحله تجزیه و تحلیل ریسک) محاسبه می شود. سطوح تهدیدات، آسیب پذیری ها و خطرات ناشی از آن با مشتری تجزیه و تحلیل و توافق می شود. فقط پس از این می توانید به مرحله نهایی روش بروید.

    مدیریت ریسک ها مراحل اصلی مرحله مدیریت ریسک در شکل 1 ارائه شده است. 9.

    در این مرحله، CRAMM چندین گزینه برای اقدامات متقابل ایجاد می‌کند که برای ریسک‌های شناسایی‌شده و سطوح آن‌ها کافی است. اقدامات متقابل به گروه ها و زیر گروه ها به دسته های زیر تقسیم می شوند: تضمین امنیت در سطح شبکه. تامین امنیت فیزیکی تضمین امنیت زیرساخت های پشتیبانی. اقدامات امنیتی در سطح مدیر سیستم.

    در نتیجه این مرحله، چندین نوع گزارش تولید می شود.

    بنابراین، روش در نظر گرفته شده برای تجزیه و تحلیل و مدیریت ریسک به طور کامل در شرایط روسیه قابل اجرا است، علیرغم این واقعیت که شاخص های امنیتی از دسترسی غیرمجاز به اطلاعات و الزامات حفاظت از اطلاعات در استانداردهای RD روسیه و خارجی متفاوت است. به نظر می رسد استفاده از ابزارهایی مانند روش CRAMM هنگام انجام تحلیل ریسک سیستم های اطلاعاتی با نیازهای افزایش یافته در زمینه امنیت اطلاعات مفید باشد. این به شما امکان می دهد تا ارزیابی های معقولی از سطوح موجود و قابل قبول تهدیدها، آسیب پذیری ها و اثربخشی حفاظت به دست آورید.

    MethodWare

    MethodWare روش ارزیابی ریسک و مدیریت خود را توسعه داده و تعدادی ابزار مرتبط را منتشر کرده است. این ابزارها عبارتند از: نرم افزار تحلیل و مدیریت ریسک Operational Risk Builder و Risk Advisor. این روش با استاندارد مدیریت ریسک استرالیا/نیوزیلند (AS/NZS 4360:1999) و ISO17799 مطابقت دارد. نرم افزار مدیریت چرخه حیات فناوری اطلاعات مطابق با CobiT Advisor 3rd Edition (Audit) و CobiT 3rd Edition Management Advisor. دستورالعمل های CobiT تاکید قابل توجهی بر تجزیه و تحلیل و مدیریت ریسک دارند. نرم افزار اتوماسیون ساخت پرسشنامه های مختلف پرسشنامه ساز.

    بیایید نگاهی گذرا به ویژگی های Risk Advisor بیندازیم. این نرم افزار به عنوان ابزاری برای یک تحلیلگر یا مدیر در زمینه امنیت اطلاعات قرار می گیرد. تکنیکی پیاده سازی شده است که به شما امکان می دهد مدلی از یک سیستم اطلاعاتی را از منظر امنیت اطلاعات تنظیم کنید تا خطرات، تهدیدها و زیان های ناشی از حوادث را شناسایی کنید. مراحل اصلی کار عبارتند از: توصیف زمینه، شناسایی خطرات، ارزیابی تهدیدات و آسیب های احتمالی، توسعه اقدامات کنترلی و توسعه یک برنامه بازیابی و اقدام در شرایط اضطراری. بیایید این مراحل را با جزئیات بیشتری بررسی کنیم. شرح خطراتماتریس ریسک تنظیم شده است ( برنج. 10. - شناسایی و تعریف ریسک ها در Risk Advisor) بر اساس برخی از الگوها. ریسک ها در مقیاس کیفی ارزیابی می شوند و به قابل قبول و غیر قابل قبول تقسیم می شوند. برنج. 11. - تفکیک ریسک ها به قابل قبول و غیر قابل قبول در Risk Advisor). سپس اقدامات کنترلی (اقدامات متقابل) با در نظر گرفتن سیستم ثبت شده قبلی معیارها، اثربخشی اقدامات متقابل و هزینه آنها انتخاب می شوند. هزینه و اثربخشی نیز در مقیاس های کیفی ارزیابی می شود.

    شرح تهدیداتابتدا لیستی از تهدیدات تشکیل می شود. تهدیدها به روش خاصی طبقه بندی می شوند، سپس رابطه بین ریسک و تهدید توضیح داده می شود. توصیف نیز در سطح کیفی انجام می شود و به ما اجازه می دهد تا روابط آنها را ثبت کنیم.

    شرح ضرر و زیانرویدادها (عواقب) مرتبط با نقض رژیم امنیت اطلاعات شرح داده شده است. زیان ها در سیستم انتخاب شده از معیارها ارزیابی می شوند.

    تجزیه و تحلیل نتایج.در نتیجه ساخت مدل، می توانید یک گزارش دقیق (حدود 100 بخش) ایجاد کنید و توضیحات جمع آوری شده را در قالب نمودار روی صفحه مشاهده کنید.

    روش در نظر گرفته شده به شما اجازه می دهد تا جنبه های مختلف مدیریت ریسک شرکت را خودکار کنید. در این مورد، ارزیابی ریسک در مقیاس های کیفی ارائه می شود. تجزیه و تحلیل دقیق عوامل خطر ارائه نشده است. نقطه قوت روش در نظر گرفته شده توانایی توصیف روابط مختلف، در نظر گرفتن کافی بسیاری از عوامل خطر و شدت کار به طور قابل توجهی کمتر در مقایسه با CRAMM است.

    نتیجه

    روش‌ها و فناوری‌های مدرن برای مدیریت ریسک اطلاعات، ارزیابی سطح موجود ریسک‌های اطلاعاتی باقی‌مانده در شرکت‌های داخلی را ممکن می‌سازد. این امر به ویژه در مواردی که الزامات افزایشی بر روی سیستم اطلاعاتی شرکت در زمینه حفاظت از اطلاعات و تداوم کسب‌وکار اعمال می‌شود، اهمیت دارد. . مهم است که یک تجزیه و تحلیل با کیفیت از ریسک های اطلاعاتی امکان تجزیه و تحلیل مقایسه ای از "اثربخشی-هزینه" گزینه های حفاظتی مختلف، انتخاب اقدامات متقابل و کنترل های کافی و ارزیابی سطح ریسک های باقیمانده را فراهم کند. علاوه بر این، ابزارهای تحلیل ریسک مبتنی بر پایگاه‌های دانش مدرن و روش‌های استنتاج، ساخت مدل‌های ساختاری و شی گرا از دارایی‌های اطلاعاتی یک شرکت، مدل‌های تهدید و مدل‌های ریسک مرتبط با اطلاعات فردی و معاملات تجاری را ممکن می‌سازد و بنابراین، چنین شرکتی را شناسایی می‌کند. دارایی های اطلاعاتی خطر نقض امنیت بسیار مهم است، یعنی غیر قابل قبول است. چنین ابزارهایی فرصت ایجاد مدل های مختلف برای حفاظت از دارایی های اطلاعاتی یک شرکت، مقایسه گزینه های مختلف برای مجموعه اقدامات حفاظتی و کنترلی با استفاده از معیار "اثربخشی و هزینه" و همچنین نظارت بر انطباق با الزامات سازماندهی یک رژیم امنیت اطلاعات برای یک شرکت را فراهم می کند. شرکت داخلی

    این طرح مطابق با الزامات توصیه هایی در زمینه استانداردسازی امنیت اطلاعات تدوین شده است.

    خطر امنیت اطلاعات - خطر زیان مستقیم یا غیرمستقیم در نتیجه عدم انطباق کارکنان سازمان با رویه ها و رویه های تعیین شده برای تضمین امنیت اطلاعات، خرابی ها و خرابی ها در عملکرد سیستم ها و تجهیزات اطلاعاتی، اقدامات تصادفی یا عمدی افراد یا حقوقی. نهادهایی که علیه منافع سازمان هستند.

    مدیریت ریسک امنیت اطلاعات فرآیند انتخاب و اجرای اقدامات حفاظتی است که خطر نقض امنیت اطلاعات یا اقداماتی برای انتقال، پذیرش یا اجتناب از خطر را کاهش می دهد.

    این طرح اقدامات و رویه های لازم را که سازمان باید هنگام رسیدگی به خطرات امنیت اطلاعات دنبال کند، تعریف می کند.

    1. مدیریت خطرات امنیت اطلاعات

    2.1. درجه نفوذ ریسک امنیت اطلاعات

    بسته به میزان تأثیر ریسک امنیت اطلاعات بر نتیجه مالی یک سازمان، سطوح زیر از خطرات امنیت اطلاعات متمایز می شود:

    • حداقل ریسک : خسارات مالی وجود ندارد یا ناچیز است، نقض ساختار اطلاعات در ایستگاه کاری خودکار بومی سازی شده است و منجر به تعلیق فعالیت های سازمان نمی شود، زمان بازیابی حداکثر یک ساعت است.
    • ریسک متوسط : زیان های مالی ناچیز است، اختلال در بخش قابل توجهی از ساختار اطلاعاتی و تعلیق فعالیت های سازمان، زمان بازیابی تا سه ساعت، هزینه های مالی بازیابی ناچیز است.
    • ریسک بالا : زیان مالی قابل توجه است، اختلال در کل ساختار اطلاعاتی و تعلیق فعالیت های سازمان، زمان بازیابی تا یک روز، هزینه های مالی برای بازیابی متوسط ​​است.
    • ریسک بحرانی : ضررهای مالی بحرانی، اختلال در کل ساختار اطلاعات، زمان بازیابی تا چند هفته، هزینه های مالی بازیابی متوسط ​​است.

    2.2. روش های درمان ریسک

    2.2.1. کاهش خطر

    عمل : سطح ریسک باید از طریق انتخاب حفاظت و کنترل کاهش یابد تا ریسک باقیمانده مجدداً قابل قبول ارزیابی شود.

    راهنمای پیاده سازی : حفاظت ها و کنترل های مناسب و معقول باید انتخاب شوند تا الزامات شناسایی شده از طریق ارزیابی ریسک و فرآیند درمان ریسک را برآورده سازند. چنین انتخابی باید معیارهای پذیرش ریسک و همچنین الزامات قانونی، مقرراتی و قراردادی را در نظر بگیرد. در این انتخاب باید هزینه و مدت اجرای اقدامات حفاظتی و کنترلی یا جنبه های تکنیکیو جنبه های زیست محیطی حفاظت ها و کنترل ها ممکن است یک یا چند نوع حفاظت زیر را فراهم کنند: اصلاح، حذف، پیشگیری، کاهش، مهار، شناسایی، بازیابی، نظارت و آگاهی.

    هنگام انتخاب وسایل حفاظتی و کنترلی، مهم است "وزن"هزینه تحصیل، فروش، اداره، بهره برداری، نظارت و نگهداری وجوه در رابطه با ارزش دارایی های مورد حمایت.

    محدودیت در اجرای روش " کاهش خطر"هستند:

    • محدودیت های موقت؛
    • محدودیت های مالی؛
    • محدودیت های فنی؛
    • محدودیت های عملیاتی؛
    • محدودیت های قانونی؛
    • راحتی در استفاده؛
    • محدودیت های کارکنان؛
    • محدودیت های مربوط به ادغام کنترل های جدید و موجود.

    2.2.2. حفظ ریسک

    راهنمای پیاده سازی : اگر سطح ریسک با معیارهای پذیرش ریسک مطابقت داشته باشد، نیازی به اعمال حفاظت و کنترل های اضافی نیست و می توان ریسک را حفظ کرد.

    2.2.3. پیشگیری از خطر

    عمل : از فعالیت یا شرایطی که باعث ایجاد خطر خاص می شود باید اجتناب شود.
    راهنمای پیاده سازی : هنگامی که خطرات شناسایی شده زیاد یا حیاتی هستند و هزینه های اجرای سایر گزینه های درمانی خطر بیشتر از منافع آن است، ممکن است تصمیم گرفته شود که با خاتمه برنامه یا کنار گذاشتن یک فعالیت برنامه ریزی شده یا موجود، یا مجموعه ای از فعالیت ها یا تغییر، از خطر به طور کامل اجتناب شود. شرایطی که فعالیت تحت آن انجام می شود ( اقدامات).

    2.2.4. انتقال ریسک

    عمل : ریسک باید منتقل شود ( نقل مکان کرد) طرفی که می تواند یک ریسک خاص را به بهترین نحو مدیریت کند.
    راهنمای پیاده سازی : انتقال ریسک شامل تصمیم برای به اشتراک گذاشتن ریسک های خاص با طرف های خارجی است.

    انتقال می تواند انجام شود:

    • بیمه ای که از عواقب آن پشتیبانی می کند.
    • با انعقاد قرارداد فرعی ( برون سپاری) با یک "شریک" که نقشش نظارت بر سیستم اطلاعاتی و انجام اقدامات فوری برای توقف حمله قبل از ایجاد سطح مشخصی از آسیب خواهد بود.

    2.2.5. پذیرش ریسک امنیت اطلاعات

    داده های ورودی : طرح درمان ریسک و ارزیابی ریسک باقیمانده موضوع تصمیم مدیریت سازمان برای پذیرش ریسک است.

    عمل : برای پذیرش ریسک ها و مسئولیت آن تصمیم باید تصمیم گرفته شود و به طور رسمی ثبت شود.

    راهنمای پیاده سازی : معیارهای پذیرش ریسک می تواند چندوجهی تر از تعیین اینکه آیا ریسک باقیمانده بالاتر است یا کمتر از یک آستانه است.

    در برخی موارد، سطح ریسک باقیمانده ممکن است معیارهای پذیرش ریسک را برآورده نکند زیرا معیارهای اعمال شده شرایط حاکم را در نظر نمی گیرند. به عنوان مثال، ممکن است استدلال شود که پذیرش ریسک ها ضروری است، زیرا منافع مرتبط با خطرات ممکن است بسیار جذاب باشد، یا به این دلیل که هزینه های مرتبط با کاهش ریسک بسیار زیاد است. همیشه نمی توان به موقع در معیارهای پذیرش ریسک تجدید نظر کرد. در چنین مواردی، تصمیم گیرندگان ملزم به پذیرش ریسک هایی هستند که معیارهای پذیرش استاندارد را ندارند. در صورت لزوم، تصمیم گیرنده باید به صراحت در مورد خطرات اظهار نظر کند و منطقی برای تصمیم گیری فراتر از معیار پذیرش ریسک استاندارد درج کند.

    خروجی : فهرستی از ریسک های پذیرفته شده با توجیه ریسک هایی که معیارهای استاندارد پذیرش ریسک سازمان را ندارند.

    2.2.6. ارتباطات ریسک امنیت اطلاعات

    داده های ورودی : کلیه اطلاعات ریسک ناشی از فعالیت های مدیریت ریسک.

    عمل : تصمیم گیرندگان و سایر طرف های درگیر باید اطلاعات ریسک را مبادله و/یا به اشتراک بگذارند.
    راهنمای پیاده سازی : ارتباطات ریسک فعالیتی است برای رسیدن به توافق در مورد نحوه مدیریت ریسک از طریق تبادل و/یا به اشتراک گذاری اطلاعات ریسک بین تصمیم گیرندگان و سایر طرف های درگیر. به عنوان مثال، انعقاد قرارداد با سایر طرف های درگیر در مورد امکان یادآوری (جایگزینی، اصلاح) اطلاعات اشتباه در یک دوره زمانی قابل قبول).
    ارتباط مؤثر بین طرفین درگیر از اهمیت بالایی برخوردار است زیرا می تواند تأثیر قابل توجهی بر تصمیماتی که باید گرفته شود. ارتباطات این اطمینان را فراهم می کند که مسئولین اجرای مدیریت ریسک و کسانی که در فرآیند مدیریت ریسک شرکت دارند، مبنای تصمیم گیری و دلایل نیاز به اقدامات خاص را درک می کنند. ارتباط دو طرفه است.
    خروجی: درک مستمر از فرآیند مدیریت ریسک امنیت اطلاعات سازمان.

    1. توزیع نقش برای اجرای طرح درمان ریسک

    3.1. مدیریت سازمان:

    • قوانین و رویه های مدیریت ریسک را تعریف می کند.
    • مسائل مربوط به ارتقای امنیت سازمان و مشتریان آن را در نظر می گیرد و در مورد آنها تصمیم می گیرد.
    • خطرات مؤثر بر دستیابی به اهداف تعیین شده را ارزیابی می کند و اقداماتی را برای پاسخگویی به شرایط و شرایط متغیر انجام می دهد تا از اثربخشی ارزیابی ریسک اطمینان حاصل کند.
    • ساختار سازمانی و کارکنان سازمان را تعیین می کند.

    3.2. وزارت امنیت اقتصادی:

    • در توسعه و آزمایش روش های ارزیابی ریسک امنیت اطلاعات شرکت می کند.
    • نظارت، تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات را انجام می دهد.
    • در تهیه اطلاعات در مورد نتایج نظارت بر خطر امنیت اطلاعات به عنوان بخشی از ریسک عملیاتی شرکت می کند.
    • پیشنهادهایی را برای تنظیم روش ارزیابی ریسک امنیت اطلاعات تهیه می کند.
    • پیشنهادهایی را برای توسعه و اجرای اقدامات، رویه‌ها، مکانیسم‌ها و فناوری‌ها برای محدود کردن و کاهش خطرات امنیت اطلاعات تهیه می‌کند.
    • در اجرا شرکت می کند ( پیاده سازی) اقدامات حفاظتی؛
    • اعمال کنترل بر اقدامات حفاظتی اجرا شده؛
    • تدوین مقررات داخلی سازمان در مورد خطرات امنیت اطلاعات.

    3.3. بخش تحلیل و کنترل ریسک:

    • اطلاعات مربوط به وضعیت ریسک امنیت اطلاعات را به عنوان بخشی از ریسک عملیاتی جمع آوری و وارد پایگاه داده تحلیلی می کند.
    • ارزیابی ریسک عملیاتی را انجام می دهد.
    • اعمال کنترل بر رعایت محدودیت های تعیین شده شاخص های مورد استفاده برای نظارت بر ریسک عملیاتی؛
    • به طور منظم گزارش هایی را به کمیته ریسک ارائه می کند.
    • توسعه و اجرای اقدامات، رویه‌ها، مکانیسم‌ها و فناوری‌ها را برای محدود کردن و کاهش ریسک عملیاتی انجام می‌دهد.

    3.4. کارمند سازمان:

    • در نظارت، تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات کمک می کند.
    • در مورد عوامل خطر امنیت اطلاعات شناسایی شده به مافوق فوری گزارش می دهد.

    1. نتیجه

    این طرح تقریبی است و در هر مورد خاص باید مشخصات شرایط فعلی را در نظر گرفت.

    دانلود فایل ZIP (22660)

    اگر مدارک مفید هستند لطفا لایک یا .

    بیشتر بخوانید: