• چگونه خطرات امنیت اطلاعات را مدیریت کنیم؟ خطرات امنیت اطلاعات تضمین امنیت اطلاعات. ممیزی امنیت اطلاعات

    یکی از مهمترین جنبه های اجرای سیاست امنیت اطلاعات، تحلیل تهدیدات، ارزیابی قابلیت اطمینان آنها و شدت پیامدهای احتمالی آن است. در واقع، خطر در جایی ظاهر می شود که احتمال وقوع یک تهدید وجود داشته باشد، و بزرگی خطر با بزرگی این احتمال رابطه مستقیم دارد (شکل 4.11).

    ماهیت فعالیت های مدیریت ریسک ارزیابی اندازه آنها، توسعه اقدامات کاهشی و ایجاد مکانیزمی برای اطمینان از عدم تجاوز ریسک های باقیمانده از حد مجاز است. بنابراین، مدیریت ریسک شامل دو فعالیت است: ارزیابی ریسک و انتخاب مکانیسم های حفاظتی و نظارتی موثر و مقرون به صرفه. فرآیند مدیریت ریسک را می توان به مراحل زیر تقسیم کرد [Galatenko V. A., 2006]:

    • شناسایی دارایی ها و ارزش های منابع نیازمند حفاظت؛
    • انتخاب اشیاء تجزیه و تحلیل شده و میزان جزئیات در نظر گرفتن آنها؛
    • تجزیه و تحلیل تهدیدها و پیامدهای آنها، شناسایی نقاط ضعف در حفاظت.
    • طبقه بندی ریسک ها، انتخاب روش ارزیابی ریسک و ارزیابی؛
    • انتخاب، اجرا و آزمایش اقدامات حفاظتی؛
    • ارزیابی ریسک باقیمانده

    برنج. 4.11.عدم قطعیت به عنوان مبنایی برای تشکیل ریسک

    خط مشی امنیت اطلاعات شامل توسعه یک استراتژی برای مدیریت ریسک های طبقات مختلف است.

    فهرست کوتاهی از رایج ترین تهدیدها در بالا ارائه شد (به بند 17.2 مراجعه کنید). توصیه می شود نه تنها خود تهدیدها، بلکه منابع وقوع آنها را نیز شناسایی کنید - این به ارزیابی صحیح خطر و انتخاب اقدامات خنثی سازی مناسب کمک می کند. به عنوان مثال، ورود غیرقانونی به یک سیستم، خطر حدس زدن رمز عبور یا اتصال کاربر یا تجهیزات غیرمجاز به شبکه را افزایش می دهد.

    بدیهی است که برای مقابله با هر روش ورود غیرقانونی، مکانیسم های امنیتی خاص خود مورد نیاز است. پس از شناسایی یک تهدید، باید احتمال اجرای آن و میزان آسیب احتمالی را ارزیابی کرد.

    هنگام ارزیابی شدت آسیب، لازم است نه تنها هزینه های فوری تعویض تجهیزات یا بازیابی اطلاعات، بلکه هزینه های دورتر، به ویژه تضعیف اعتبار شرکت، تضعیف موقعیت آن در بازار و غیره را در نظر داشته باشید.

    پس از شناسایی و تجزیه و تحلیل تهدیدات، آنها عواقب احتمالیچندین رویکرد برای مدیریت وجود دارد: ارزیابی ریسک، کاهش ریسک، اجتناب از ریسک، تغییر ماهیت ریسک، پذیرش ریسک، توسعه اقدامات اصلاحی (شکل 4.12).

    برنج. 4.12.چارچوب مدیریت ریسک

    هنگام شناسایی دارایی ها و منابع اطلاعات- ارزش هایی که باید محافظت شوند - نه تنها باید اجزای سیستم اطلاعاتی، بلکه زیرساخت های پشتیبانی کننده، پرسنل و همچنین ارزش های نامشهود از جمله رتبه فعلی و شهرت شرکت را نیز در نظر گرفت. با این حال، یکی از نتایج اصلی فرآیند شناسایی دارایی، به دست آوردن ساختار اطلاعاتی دقیق از سازمان و نحوه استفاده از آن است.


    انتخاب اشیاء تجزیه و تحلیل شده و میزان جزئیات در نظر گرفتن آنها گام بعدی در ارزیابی ریسک است. برای یک سازمان کوچک، در نظر گرفتن کل زیرساخت اطلاعاتی قابل قبول است؛ برای یک سازمان بزرگ، باید بر مهمترین خدمات (بسیار حیاتی) تمرکز کرد. اگر خدمات مهم زیادی وجود داشته باشد، آن دسته از خدمات انتخاب می شوند که خطرات آنها آشکارا زیاد یا ناشناخته است. اگر اساس اطلاعات سازمان یک شبکه محلی باشد، تعداد اشیاء سخت افزاری باید شامل رایانه ها باشد. لوازم جانبی، رابط های خارجی، مدیریت کابل و تجهیزات شبکه فعال.

    اشیاء نرم افزار شامل سیستم عامل (شبکه، سرور و کلاینت)، برنامه کاربردی است نرم افزار، ابزارها، برنامه های مدیریت شبکه و زیرسیستم های فردی. ثبت این که نرم افزار در کدام گره های شبکه ذخیره می شود، کجا و چگونه استفاده می شود بسیار مهم است. نوع سوم اشیاء اطلاعاتی، داده هایی هستند که ذخیره، پردازش و از طریق شبکه منتقل می شوند. داده ها باید بر اساس نوع و درجه محرمانه بودن، محل ذخیره و پردازش آن ها و نحوه دسترسی به آن ها شناسایی شود. همه اینها برای ارزیابی خطرات و پیامدهای نقض امنیت اطلاعات مهم است.

    ارزیابی ریسک بر اساس داده های اولیه انباشته شده و ارزیابی میزان قطعیت تهدیدات انجام می شود. استفاده از روش ساده ای مانند ضرب احتمال وقوع یک تهدید در میزان خسارت مورد انتظار کاملاً قابل قبول است. اگر از یک مقیاس سه نقطه ای برای احتمال و آسیب استفاده کنیم، شش محصول ممکن وجود خواهد داشت: 1، 2، 3، 4، 6 و 9. دو نتیجه اول را می توان به عنوان کم خطر، سوم و چهارم - به عنوان طبقه بندی کرد. متوسط، و دو مورد آخر - به عنوان بالا. از این مقیاس می توان برای ارزیابی قابل قبول بودن ریسک ها استفاده کرد.

    اگر مشخص شود که هر گونه خطری به طور غیرقابل قبولی بالا است، اقدامات حفاظتی اضافی باید اجرا شود. چندین مکانیسم امنیتی موثر و ارزان را می توان برای از بین بردن یا کاهش ضعفی که یک تهدید خطرناک را واقعی می کند استفاده کرد. به عنوان مثال، اگر احتمال ورود غیرقانونی زیاد است، می توانید وارد شوید رمزهای عبور طولانی، از یک برنامه تولید رمز عبور استفاده کنید یا یک سیستم احراز هویت یکپارچه مبتنی بر کارت هوشمند خریداری کنید. اگر احتمال آسیب عمدی به سرورها برای اهداف مختلف وجود دارد که می تواند عواقب جدی به دنبال داشته باشد، می توانید دسترسی فیزیکی پرسنل به اتاق های سرور را محدود کرده و امنیت آنها را تقویت کنید.

    فناوری ارزیابی ریسک باید معیارهای رسمی و تشکیل شاخص های کمی واقعی را برای ارزیابی ترکیب کند. با کمک آنها باید به دو سوال پاسخ داد: آیا خطرات موجود قابل قبول است و اگر نه، پس استفاده از چه تجهیزات حفاظتی از نظر اقتصادی سودآور است.

    برنج. 4.13.چارچوب ارزیابی ریسک و کاهش

    روش کاهش ریسک بسیاری از خطرات را می توان با استفاده از اقدامات متقابل ساده و ارزان به میزان قابل توجهی کاهش داد. به عنوان مثال، کنترل دسترسی صالح (تنظیم شده) خطر نفوذ غیرمجاز را کاهش می دهد. می توان از برخی دسته از خطرات اجتناب کرد - انتقال وب سرور سازمان به خارج از شبکه محلی به شما امکان می دهد از خطر دسترسی غیرمجاز به شبکه محلی توسط مشتریان وب جلوگیری کنید. برخی از خطرات را نمی توان به مقدار کمی کاهش داد، اما پس از اجرای مجموعه ای استاندارد از اقدامات متقابل، می توان آنها را پذیرفت و به طور مداوم ریسک باقیمانده را زیر نظر گرفت (شکل 4.13).

    ارزیابی هزینه اقدامات حفاظتی باید نه تنها هزینه های مستقیم خرید تجهیزات و/یا نرم افزار، بلکه هزینه های معرفی محصولات جدید، آموزش و بازآموزی پرسنل را نیز در نظر بگیرد. این هزینه را می توان در مقیاسی بیان کرد و سپس با تفاوت بین ریسک محاسبه شده و ریسک قابل قبول مقایسه کرد. اگر طبق این شاخص، درمان از نظر اقتصادی سودآور باشد، می توان آن را برای بررسی بیشتر پذیرفت.

    برنج. 4.14.فرآیند مدیریت ریسک تکراری

    کنترل ریسک های باقیمانده در اجباریدر کنترل فعلی سیستم امنیت اطلاعات گنجانده شده است. هنگامی که اقدامات برنامه ریزی شده انجام شد، لازم است اثربخشی آنها بررسی شود - تا اطمینان حاصل شود که خطرات باقیمانده قابل قبول هستند. در صورت افزایش سیستماتیک ریسک های باقیمانده، لازم است اشتباهات انجام شده تجزیه و تحلیل شود و اقدامات اصلاحی بلافاصله انجام شود.

    مدیریت ریسک یک فرآیند تکراری چند مرحله ای است (شکل 4.14).

    تقریباً تمام مراحل آن به هم مرتبط هستند و پس از اتمام تقریباً هر یک از آنها، ممکن است نیاز به بازگشت به مرحله قبلی آشکار شود. بنابراین، هنگام شناسایی دارایی ها، ممکن است این درک ایجاد شود که مرزهای انتخاب شده تجزیه و تحلیل باید گسترش داده شود و درجه جزئیات افزایش یابد. تجزیه و تحلیل اولیه به ویژه زمانی دشوار است که بازگشت های متعدد به ابتدا اجتناب ناپذیر باشد. مدیریت ریسک یک مسئله بهینه سازی معمولی است؛ مشکل اساسی در فرمول بندی شایسته آن در سطح مدیریت ارشد، ترکیب روش های بهینه و توصیف داده های اولیه نهفته است (شکل 4.15).

    برنج. 4.15.شکل گیری فعالیت های مدیریت ریسک فناوری اطلاعات

    روش‌های ارزیابی ریسک و مدیریت ریسک به بخشی جدایی ناپذیر از فعالیت‌ها در زمینه تداوم کسب‌وکار و امنیت اطلاعات تبدیل شده‌اند. برنامه پیاده سازی IS و مجموعه سیاست ها بر اساس مجموعه ای از اقدامات سیستمی و گام های عملی است (شکل 4.16-شکل 4.19).

    برنج. 4.16.مجموعه اقدامات سیستمی و مراحل عملی (1)

    برنج. 4.17.مجموعه اقدامات سیستمی و مراحل عملی (2)

    برنج. 4.18.مجموعه اقدامات سیستمی و مراحل عملی (3)

    برنج. 4.19.مجموعه اقدامات سیستمی و مراحل عملی (4)

    بیش از دوازده استاندارد و مشخصات بین‌المللی مختلف تهیه شده و به طور فعال مورد استفاده قرار می‌گیرد و به طور دقیق رویه‌های مدیریت ریسک اطلاعات را تنظیم می‌کند: ISO 15408: 1999 ("معیارهای مشترک" برای اطلاعاتارزیابی امنیت فناوری")، ISO 17799:2002 ("کد عمل برای مدیریت امنیت اطلاعات")، NIST 80030، SAS 78/94، COBIT.

    روش و ابزار RA Software Tool بر اساس الزامات استانداردهای بین المللی ISO 17999 و ISO 13335 (قسمت های 3 و 4) و همچنین بر اساس الزامات دستورالعمل های مؤسسه استاندارد ملی بریتانیا (BSI) - PD 3002 ("راهنما" است. ارزیابی ریسک و مدیریت")، PD 3003 (ارزیابی آمادگی یک شرکت برای حسابرسی مطابق با BS 7799)، PD 3005 (راهنمای انتخاب یک سیستم امنیتی).

    در عمل، چنین تکنیک های مدیریت ریسک به شما امکان می دهد:

    • ایجاد مدل هایی از دارایی های اطلاعاتی شرکت از نقطه نظر امنیتی؛
    • طبقه بندی و ارزیابی ارزش دارایی؛
    • فهرستی از مهم ترین تهدیدها و آسیب پذیری های امنیتی را تهیه کنید.
    • رتبه بندی تهدیدات و آسیب پذیری های امنیتی؛
    • ارزیابی و مدیریت ریسک؛
    • توسعه اقدامات اصلاحی؛
    • توجیه ابزارها و اقدامات کنترل ریسک؛
    • ارزیابی اثربخشی/هزینه گزینه های حفاظتی مختلف؛
    • رسمی و خودکار ارزیابی ریسک و رویه های مدیریت.

    مدیریت ریسک شامل تعدادی از مراحل مهم است که لزوماً در کار برنامه ریزی شده برای تضمین امنیت اطلاعات گنجانده شده است (شکل 4.20).

    استفاده از نرم افزار مناسب می تواند پیچیدگی انجام تجزیه و تحلیل ریسک و انتخاب اقدامات متقابل را کاهش دهد. در حال حاضر، بیش از دوازده محصول نرم افزاری برای تجزیه و تحلیل و مدیریت ریسک ها در سطح پایه ای امنیتی توسعه یافته اند. نمونه ای از یک ابزار نسبتاً ساده بسته نرم افزاری BSS (Baseline Security Survey، UK) است.

    محصولات نرم افزاری پیشرفته: CRAMM (Insight Consulting Limited، UK)، Risk Watch، COBRA (تجزیه و تحلیل ریسک مشاوره ای و دو عملکردی)، Buddy System. محبوب ترین آنها CRAMM (روش تحلیل و مدیریت ریسک پیچیده) است که روشی برای تجزیه و تحلیل و کنترل ریسک را پیاده سازی می کند. مزیت قابل توجه این روش، توانایی انجام یک مطالعه دقیق در زمان کوتاه با مستندسازی کامل نتایج است.

    برنج. 4.20.مراحل مدیریت ریسک

    روش‌هایی مانند CRAMM مبتنی بر رویکردی یکپارچه برای ارزیابی ریسک، ترکیبی از روش‌های تحلیل کمی و کیفی هستند. این روش جهانی است و برای سازمان‌های بزرگ و کوچک، هم برای بخش‌های دولتی و هم برای بخش‌های تجاری مناسب است.

    نقاط قوت روش CRAMM شامل موارد زیر است:

    • CRAMM یک روش تجزیه و تحلیل ریسک با ساختار و به طور گسترده آزمایش شده است که نتایج واقعی و عملی را تولید می کند.
    • ابزارهای نرم افزار CRAMM را می توان در تمام مراحل ممیزی امنیتی IS استفاده کرد.
    • در هسته محصول نرم افزارییک پایگاه دانش نسبتاً بزرگ در مورد اقدامات متقابل در زمینه امنیت اطلاعات، بر اساس توصیه های استاندارد BS 7799 وجود دارد.
    • انعطاف پذیری و تطبیق پذیری روش CRAMM اجازه می دهد تا از آن برای ممیزی IP با هر سطح از پیچیدگی و هدف استفاده شود.
    • CRAMM می تواند به عنوان ابزاری برای توسعه برنامه تداوم کسب و کار سازمان و سیاست های امنیت اطلاعات استفاده شود.
    • CRAMM می تواند به عنوان وسیله ای برای مستندسازی مکانیسم های امنیتی IS استفاده شود.

    برای سازمان های تجاری یک نمایه تجاری استانداردهای امنیتی (نمایه تجاری)، برای سازمان های دولتی - دولتی (نمایه دولت) وجود دارد. نسخه دولتی نمایه همچنین به شما امکان ممیزی برای مطابقت با الزامات استاندارد آمریکایی TCSEC ("کتاب نارنجی") را می دهد.

    هنگام پیاده سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) در یک سازمان، یکی از اصلی ترین نقاط ضعف معمولاً سیستم مدیریت ریسک است. بحث در مورد مدیریت ریسک امنیت اطلاعات مشابه مشکل UFO است. از یک طرف، به نظر می رسید هیچ کس در اطراف آن را ندیده باشد و خود رویداد بعید به نظر می رسد، از طرف دیگر، شواهد زیادی وجود دارد، صدها کتاب نوشته شده است، حتی رشته های علمی مرتبط و انجمن های صاحب نظران درگیر هستند. در این فرآیند تحقیقاتی و طبق معمول سرویس های اطلاعاتی در این زمینه با دانش سری ویژه ای در اختیار دارند.

    الکساندر آستاخوف، CISA، 2006

    معرفی

    بین متخصصان امنیت اطلاعات در مورد مسائل مدیریت ریسک اتفاق نظر وجود ندارد. کسی روش های کمی ارزیابی ریسک را انکار می کند، کسی روش های کیفی را انکار می کند، کسی به طور کلی امکان سنجی و امکان ارزیابی ریسک را انکار می کند، کسی مدیریت سازمان را به آگاهی ناکافی از اهمیت مسائل ایمنی متهم می کند یا از مشکلات مرتبط با دستیابی به هدف شکایت می کند. ارزیابی ارزش دارایی های خاص، مانند شهرت سازمان. برخی دیگر، که امکان توجیه هزینه‌های ایمنی را نمی‌بینند، پیشنهاد می‌کنند که با این روش به عنوان نوعی روش بهداشتی برخورد شود و هزینه‌ای برای این روش صرف شود که حیف نیست یا به اندازه‌ای که در بودجه باقی مانده است.

    هر نظری در مورد موضوع مدیریت ریسک امنیت اطلاعات وجود داشته باشد و مهم نیست که چگونه با این خطرات برخورد کنیم، یک چیز واضح است که در این مسالهجوهر فعالیت چند جانبه متخصصان امنیت اطلاعات نهفته است که مستقیماً آن را با تجارت مرتبط می کند و به آن معنا و مصلحت معقول می بخشد. این مقاله یک رویکرد ممکن برای مدیریت ریسک را تشریح می‌کند و به این سوال پاسخ می‌دهد که چرا سازمان‌های مختلف ریسک‌های امنیت اطلاعات را متفاوت می‌بینند و مدیریت می‌کنند.

    دارایی های ثابت و کمکی

    وقتی از ریسک های تجاری صحبت می کنیم، منظورمان امکان متحمل شدن خسارت های خاص با احتمال مشخص است. این می تواند خسارت مستقیم مادی یا خسارت غیرمستقیم باشد که به عنوان مثال در سود از دست رفته تا خروج از تجارت بیان می شود، زیرا اگر ریسک مدیریت نشود، کسب و کار می تواند از بین برود.

    در واقع، ماهیت موضوع این است که سازمان چندین دسته اصلی از منابع را برای دستیابی به نتایج فعالیت های خود (اهداف تجاری خود) در اختیار دارد و از آن استفاده می کند (از این پس از مفهوم دارایی که مستقیماً با تجارت مرتبط است استفاده خواهیم کرد). دارایی هر چیزی است که برای یک سازمان ارزش داشته باشد و درآمد آن را ایجاد کند (به عبارت دیگر چیزی است که جریان مالی مثبتی ایجاد می کند یا باعث صرفه جویی در پول می شود).

    دارایی های مادی، مالی، انسانی و اطلاعاتی است. استانداردهای بین المللی مدرن نیز دسته دیگری از دارایی ها را تعریف می کنند - فرآیندها. فرآیند یک دارایی تجمیع شده است که تمام دارایی های دیگر شرکت را برای دستیابی به اهداف تجاری به کار می گیرد. وجهه و شهرت شرکت نیز یکی از مهمترین دارایی ها محسوب می شود. این دارایی های کلیدی برای هر سازمان چیزی بیش از نوع خاصی از دارایی های اطلاعاتی نیست، زیرا تصویر و شهرت یک شرکت چیزی بیش از محتوای اطلاعات باز و گسترده در مورد آن نیست. امنیت اطلاعات تا جایی با مسائل مربوط به تصویر سروکار دارد که مشکلات امنیتی سازمان و همچنین نشت اطلاعات محرمانه، تاثیر بسیار منفی بر تصویر می گذارد.

    نتایج کسب و کار تحت تأثیر عوامل خارجی و داخلی مختلفی است که به عنوان ریسک طبقه بندی می شوند. این تأثیر به صورت تأثیر منفی بر یک یا چند گروه از دارایی های سازمان بیان می شود. به عنوان مثال، خرابی سرور بر در دسترس بودن اطلاعات و برنامه های ذخیره شده روی آن تأثیر می گذارد و تعمیر آن باعث پرت شدن حواس منابع انسانی می شود و کمبود آنها را در یک حوزه کاری خاص ایجاد می کند و باعث به هم ریختن فرآیندهای تجاری می شود، در حالی که در دسترس نبودن موقت مشتری. خدمات می تواند بر تصویر شرکت تأثیر منفی بگذارد.

    طبق تعریف، همه انواع دارایی ها برای یک سازمان مهم هستند. با این حال، هر سازمانی دارایی های حیاتی اصلی و دارایی های پشتیبان است. تشخیص اینکه کدام دارایی ها اصلی هستند بسیار آسان است، زیرا... اینها دارایی هایی هستند که کسب و کار سازمان بر اساس آنها ساخته می شود. بنابراین، کسب و کار یک سازمان می تواند بر اساس مالکیت و استفاده از دارایی های مشهود (به عنوان مثال، زمین، املاک، تجهیزات، مواد معدنی)، کسب و کار نیز می تواند بر اساس مدیریت دارایی های مالی (فعالیت های اعتباری، بیمه، سرمایه گذاری)، کسب و کار می تواند مبتنی بر شایستگی و اختیارات متخصصان خاص (مشاوره، حسابرسی، آموزش، صنایع پیشرفته و دانش بر) باشد یا یک کسب و کار می تواند حول دارایی های اطلاعاتی (توسعه نرم افزار، محصولات اطلاعاتی) بچرخد. تجارت الکترونیک، تجارت در اینترنت). خطرات دارایی های ثابت مملو از زیان های تجاری و جبران ناپذیر برای سازمان است، بنابراین توجه صاحبان مشاغل در درجه اول معطوف به این خطرات است و مدیریت سازمان شخصاً با آنها برخورد می کند. خطرات مربوط به دارایی های پشتیبان معمولاً منجر به خسارت قابل بازیافت می شود و اولویت اصلی در سیستم مدیریت سازمان نیست. به طور معمول، چنین خطراتی توسط افراد منصوب خاص مدیریت می شود، یا این خطرات به شخص ثالث، به عنوان مثال، یک برون سپاری یا یک شرکت بیمه منتقل می شود. برای یک سازمان، این موضوع بیشتر به کارایی مدیریت مربوط می شود تا بقا.

    رویکردهای موجود برای مدیریت ریسک

    از آنجایی که خطرات امنیت اطلاعات برای همه سازمان‌ها اصلی نیست، سه رویکرد اصلی برای مدیریت این ریسک‌ها اعمال می‌شود که از نظر عمق و سطح رسمیت متفاوت هستند.

    برای سیستم‌های غیر بحرانی، زمانی که دارایی‌های اطلاعاتی کمکی هستند و سطح اطلاعات بالا نیست، که برای اکثر شرکت‌های مدرن روسی معمول است، حداقل نیاز به ارزیابی ریسک وجود دارد. در چنین سازمان هایی، ما باید در مورد سطح پایه ای از امنیت اطلاعات صحبت کنیم که توسط مقررات و استانداردهای موجود، بهترین شیوه ها، تجربه و همچنین نحوه انجام این کار در اکثر سازمان های دیگر تعیین می شود. با این حال، استانداردهای موجود، که مجموعه‌ای از الزامات اساسی و مکانیسم‌های امنیتی را توصیف می‌کنند، همیشه نیاز به ارزیابی ریسک‌ها و امکان‌سنجی اقتصادی استفاده از مکانیسم‌های کنترلی خاص را به منظور انتخاب از مجموعه کلی الزامات و مکانیسم‌هایی که در یک مکانیسم قابل اجرا هستند، تصریح می‌کنند. سازمان خاص

    برای سیستم‌های حیاتی که دارایی‌های اطلاعاتی آن‌ها اصلی نیستند، اما سطح اطلاعاتی‌سازی فرآیندهای تجاری بسیار بالاست و خطرات اطلاعاتیمی تواند به طور قابل توجهی بر فرآیندهای تجاری اصلی تأثیر بگذارد، ارزیابی ریسک باید اعمال شود، با این حال، در این موردتوصیه می شود خود را به رویکردهای کیفی غیررسمی برای حل این مشکل محدود کنیم و به بحرانی ترین سیستم ها توجه ویژه ای داشته باشیم.

    هنگامی که کسب و کار یک سازمان حول دارایی های اطلاعاتی است و ریسک های امنیت اطلاعات اصلی ترین آنها هستند، باید از یک رویکرد رسمی و روش های کمی برای ارزیابی این ریسک ها استفاده شود.

    در بسیاری از شرکت ها، چندین نوع دارایی می تواند به طور همزمان حیاتی باشد، به عنوان مثال، زمانی که کسب و کار متنوع است یا شرکت مشغول ایجاد محصولات اطلاعاتی است و هم منابع انسانی و هم منابع اطلاعاتی می توانند به یک اندازه برای آن مهم باشند. در این مورد، رویکرد منطقی انجام یک ارزیابی ریسک در سطح بالا برای تعیین اینکه کدام سیستم‌ها به شدت در معرض خطر هستند و کدام یک برای عملیات تجاری حیاتی هستند، انجام می‌شود و به دنبال آن یک ارزیابی دقیق ریسک از سیستم‌های شناسایی‌شده انجام می‌شود. برای تمام سیستم‌های غیر بحرانی دیگر، توصیه می‌شود که خود را به استفاده از یک رویکرد اساسی محدود کنید، تصمیمات مدیریت ریسک را بر اساس تجربیات موجود، نظرات کارشناسان و بهترین عملکرد اتخاذ کنید.

    سطوح بلوغ

    انتخاب رویکرد ارزیابی ریسک در یک سازمان، علاوه بر ماهیت کسب و کار و سطح اطلاعاتی شدن فرآیندهای کسب و کار، تحت تأثیر سطح بلوغ آن نیز قرار دارد. مدیریت ریسک امنیت اطلاعات یک وظیفه تجاری است که توسط مدیریت یک سازمان به دلیل آگاهی و میزان آگاهی آن نسبت به مشکلات امنیت اطلاعات آغاز می شود که معنای آن محافظت از کسب و کار در برابر تهدیدات واقعی امنیت اطلاعات موجود است. با توجه به میزان آگاهی، چندین سطح از بلوغ سازمان ها قابل ردیابی است که تا حدی با سطوح بلوغ تعریف شده در COBIT و سایر استانداردها مرتبط است:

    1. در سطح اولیه، هیچ آگاهی وجود ندارد؛ سازمان اقدامات پراکنده ای را برای تضمین امنیت اطلاعات انجام می دهد که توسط متخصصان فناوری اطلاعات و تحت مسئولیت خود آنها آغاز و اجرا می شود.
    2. در سطح دوم، سازمان مسئولیت امنیت اطلاعات را تعریف می کند؛ سعی می شود از راه حل های یکپارچه با مدیریت متمرکز استفاده شود و فرآیندهای مدیریت امنیت اطلاعات جداگانه پیاده سازی شود.
    3. سطح سوم با استفاده از یک رویکرد فرآیندی برای مدیریت امنیت اطلاعات توصیف شده در استانداردها مشخص می شود. سیستم مدیریت امنیت اطلاعات آنقدر برای سازمان مهم می شود که جزء ضروری سیستم مدیریت سازمان محسوب می شود. با این حال سیستم تمام عیارمدیریت IS هنوز وجود ندارد، زیرا عنصر اساسی این سیستم - فرآیندهای مدیریت ریسک - وجود ندارد.
    4. سازمان‌هایی که بالاترین درجه آگاهی از مشکلات امنیت اطلاعات را دارند با استفاده از رویکرد رسمی برای مدیریت ریسک امنیت اطلاعات مشخص می‌شوند که مشخصه آن وجود فرآیندهای مستند برای برنامه‌ریزی، اجرا، نظارت و بهبود است.

    مدل فرآیند مدیریت ریسک

    در ماه مارس سال جاری، استاندارد جدید بریتانیا، BS 7799 قسمت 3 – سیستم های مدیریت امنیت اطلاعات – شیوه مدیریت ریسک امنیت اطلاعات، به تصویب رسید. ISO انتظار دارد که این سند تا پایان سال 2007 به عنوان یک استاندارد بین المللی تایید شود. BS 7799-3 فرآیندهای ارزیابی ریسک و مدیریت را به عنوان یک عنصر جدایی ناپذیر از سیستم مدیریت سازمان تعریف می کند که از مدل فرآیندی مشابه سایر استانداردهای مدیریتی استفاده می کند که شامل چهار گروه فرآیندی است: برنامه ریزی، انجام، بررسی، عمل (PDA)، که منعکس کننده استاندارد است. چرخه هر فرآیند مدیریتی در حالی که ISO 27001 چرخه کلی مدیریت امنیت را توصیف می کند، BS 7799-3 آن را به فرآیندهای مدیریت ریسک امنیت اطلاعات گسترش می دهد.

    در سیستم مدیریت ریسک امنیت اطلاعات، در مرحله برنامه ریزی، خط مشی و روش مدیریت ریسک تعیین می شود و ارزیابی ریسک انجام می شود که شامل فهرست دارایی ها، تهیه پروفایل های تهدید و آسیب پذیری، ارزیابی اثربخشی اقدامات متقابل است. و خسارت احتمالی و تعیین سطح قابل قبول ریسک های باقیمانده.

    در مرحله اجرا، ریسک ها پردازش شده و مکانیسم های کنترلی برای به حداقل رساندن آنها معرفی می شوند. مدیریت سازمان برای هر ریسک شناسایی شده یکی از چهار تصمیم را می گیرد: نادیده گرفتن، اجتناب، انتقال به یک طرف خارجی، یا به حداقل رساندن. پس از این، یک طرح درمان ریسک تدوین و اجرا می شود.

    در مرحله تأیید، عملکرد مکانیسم‌های کنترل نظارت می‌شود، تغییرات در عوامل خطر (دارایی‌ها، تهدیدها، آسیب‌پذیری‌ها) پایش می‌شوند، ممیزی‌ها انجام می‌شود و روش‌های کنترلی مختلفی انجام می‌شود.

    در مرحله اقدام، بر اساس نتایج نظارت مستمر و ممیزی های مستمر، اقدامات اصلاحی لازم انجام می شود که به ویژه می تواند شامل ارزیابی مجدد بزرگی خطرات، تعدیل سیاست و روش مدیریت ریسک و نیز باشد. به عنوان طرح درمان خطر

    عوامل خطر

    ماهیت هر رویکرد مدیریت ریسک، تجزیه و تحلیل عوامل خطر و اتخاذ تصمیمات کافی برای درمان ریسک است. عوامل خطر پارامترهای اصلی هستند که ما هنگام ارزیابی ریسک از آنها استفاده می کنیم. تنها هفت پارامتر وجود دارد:

    • دارایی
    • خسارت (از دست دادن)
    • تهدید
    • آسیب پذیری
    • مکانیزم کنترل
    • میانگین ضرر سالانه (ALE)
    • بازگشت سرمایه (ROI)

    نحوه تجزیه و تحلیل و ارزیابی این پارامترها توسط روش ارزیابی ریسک مورد استفاده در سازمان تعیین می شود. در عین حال، رویکرد کلی و الگوی استدلال تقریباً یکسان است، صرف نظر از اینکه از چه روش شناسی استفاده می شود. فرآیند ارزیابی ریسک شامل دو مرحله است. در مرحله اول که در استانداردها به عنوان تجزیه و تحلیل ریسک تعریف شده است، لازم است به سوالات زیر پاسخ داده شود:

    • دارایی اصلی شرکت چیست؟
    • ارزش واقعی این دارایی چقدر است؟
    • چه تهدیداتی برای این دارایی وجود دارد؟
    • پیامدهای این تهدیدها و آسیب به کسب و کار چیست؟
    • احتمال این تهدیدها چقدر است؟
    • کسب و کار چقدر در برابر این تهدیدات آسیب پذیر است؟
    • میانگین ضرر سالانه مورد انتظار چقدر است؟

    در مرحله دوم که توسط استانداردها به عنوان ارزیابی ریسک تعریف شده است، باید به این سوال پاسخ داده شود که چه میزان ریسک (میزان میانگین زیان سالانه) برای سازمان قابل قبول است و بر این اساس چه ریسک هایی فراتر از این است. مرحله.

    بنابراین، بر اساس نتایج ارزیابی ریسک، توصیفی از ریسک‌های فراتر از حد قابل قبول و ارزیابی بزرگی این ریسک‌ها را به دست می‌آوریم که با اندازه میانگین زیان سالانه تعیین می‌شود. در مرحله بعد، شما باید در مورد درمان خطر تصمیم بگیرید، یعنی. به سوالات زیر پاسخ دهید:

    • کدام گزینه درمان خطر را انتخاب می کنیم؟
    • اگر تصمیمی برای به حداقل رساندن ریسک گرفته شود، از چه مکانیسم های کنترلی باید استفاده کرد؟
    • این کنترل ها چقدر موثر هستند و چه بازگشت سرمایه ای را به همراه خواهند داشت؟

    خروجی این فرآیند یک طرح درمان ریسک است که نحوه برخورد با خطرات، هزینه اقدامات متقابل و همچنین زمان و مسئولیت اجرای اقدامات متقابل را تعیین می کند.

    تصمیم گیری در مورد درمان ریسک

    تصمیم گیری در مورد درمان ریسک، کلیدی ترین و حیاتی ترین لحظه در فرآیند مدیریت ریسک است. برای اینکه مدیریت تصمیم درستی بگیرد، مسئول مدیریت ریسک در سازمان باید اطلاعات مربوطه را در اختیار او قرار دهد. شکل ارائه چنین اطلاعاتی توسط الگوریتم استاندارد ارتباطات تجاری تعیین می شود که شامل چهار نکته اصلی است:

    • گزارش مشکل: تهدیدی برای کسب و کار (منبع، شیء، روش اجرا) چیست و دلیل وجود آن چیست؟
    • شدت مشکل: این موضوع چگونه سازمان، مدیریت و سهامداران آن را تهدید می کند؟
    • راه حل پیشنهادی: برای اصلاح وضعیت چه کاری پیشنهاد می شود، هزینه آن چقدر است، چه کسی باید آن را انجام دهد و چه چیزی مستقیماً از مدیریت خواسته می شود؟
    • راه حل های جایگزین: چه راه های دیگری برای حل مشکل وجود دارد (همیشه جایگزین هایی وجود دارد و مدیریت باید فرصت انتخاب داشته باشد).

    بسته به موقعیت خاص، نقاط 1 و 2 و همچنین 3 و 4 ممکن است تعویض شوند.

    روش های مدیریت ریسک

    تعداد کافی روش های ارزیابی ریسک و مدیریت به خوبی اثبات شده و پرکاربرد وجود دارد. یکی از این روش ها OCTAVE است که در دانشگاه کارنگی ملون برای استفاده داخلی در سازمان ها توسعه یافته است. OCTAVE – ارزیابی عملیاتی حیاتی، دارایی و آسیب پذیری (Operationally Critical Threat, Asset, and Vulnerability Evaluation) دارای تعدادی اصلاحات است که برای سازمان هایی با اندازه ها و حوزه های مختلف فعالیت طراحی شده است. ماهیت این روش این است که دنباله ای از کارگاه های داخلی سازمان یافته مناسب برای ارزیابی ریسک ها استفاده می شود. ارزیابی ریسک در سه مرحله انجام می شود که قبل از آن مجموعه ای از فعالیت های مقدماتی شامل توافق بر سر برنامه کارگاه ها، تعیین نقش ها، برنامه ریزی و هماهنگی اقدامات اعضای تیم پروژه انجام می شود.

    در مرحله اول، طی کارگاه های عملی، پروفایل های تهدید شامل فهرست و ارزیابی ارزش دارایی ها، شناسایی الزامات قانونی و نظارتی قابل اجرا، شناسایی تهدیدها و ارزیابی احتمال آنها و همچنین تعیین سیستم اقدامات سازمانی برای حفظ رژیم امنیت اطلاعات.

    در مرحله دوم، تجزیه و تحلیل فنی از آسیب پذیری های سیستم های اطلاعاتی سازمان در رابطه با تهدیداتی که نمایه های آنها در مرحله قبل ایجاد شده است، انجام می شود که شامل شناسایی آسیب پذیری های موجود سیستم های اطلاعاتی سازمان و ارزیابی میزان آنها می شود. .

    در مرحله سوم، ریسک‌های امنیت اطلاعات ارزیابی و پردازش می‌شوند که شامل تعیین میزان و احتمال ایجاد آسیب در نتیجه تهدیدات امنیتی با استفاده از آسیب‌پذیری‌هایی که در مراحل قبل شناسایی شده‌اند، تعیین استراتژی حفاظتی و همچنین انتخاب گزینه‌ها و تصمیم گیری در مورد درمان خطر بزرگی ریسک به عنوان میانگین زیان سالانه سازمان در نتیجه اجرای تهدیدات امنیتی تعریف می شود.

    رویکرد مشابهی در روش شناخته شده ارزیابی ریسک CRAMM که در یک زمان به دستور دولت بریتانیا توسعه یافته است، استفاده می شود. روش اولیه ارزیابی ریسک CRAMM از طریق مصاحبه های برنامه ریزی شده دقیق با استفاده از پرسشنامه های دقیق است. CRAMM در هزاران سازمان در سراسر جهان مورد استفاده قرار می گیرد، از جمله، به لطف در دسترس بودن ابزارهای نرم افزاری بسیار پیشرفته که حاوی پایگاه دانش در مورد خطرات و مکانیسم هایی برای به حداقل رساندن آنها، ابزارهایی برای جمع آوری اطلاعات، تولید گزارش ها و همچنین پیاده سازی الگوریتم ها است. برای محاسبه بزرگی خطرات

    برخلاف روش OCTAVE، CRAMM از توالی کمی متفاوت از اقدامات و روش‌ها برای تعیین میزان ریسک استفاده می‌کند. ابتدا امکان سنجی ارزیابی ریسک ها به طور کلی مشخص می شود و اگر سیستم اطلاعاتی سازمان به اندازه کافی حیاتی نباشد، مجموعه استانداردی از مکانیزم های کنترلی که در استانداردهای بین المللی شرح داده شده و در پایگاه دانش CRAMM موجود است، روی آن اعمال می شود.

    در مرحله اول، روش CRAMM مدلی از منابع سیستم اطلاعاتی ایجاد می کند که روابط بین اطلاعات، نرم افزار و منابع فنی را توصیف می کند و همچنین ارزش منابع را بر اساس آسیب احتمالی که ممکن است یک سازمان در نتیجه به خطر افتادن آنها متحمل شود، ارزیابی می کند. .

    در مرحله دوم، ارزیابی ریسک انجام می شود که شامل شناسایی و ارزیابی احتمال تهدیدات، ارزیابی میزان آسیب پذیری ها و محاسبه خطرات برای هر سه گانه: منبع - تهدید - آسیب پذیری است. CRAMM بدون توجه به مکانیسم‌های کنترلی که در سیستم اجرا می‌شود، ریسک‌های خالص را ارزیابی می‌کند. در مرحله ارزیابی ریسک، فرض بر این است که هیچ اقدام متقابلی به هیچ وجه اعمال نمی شود و مجموعه ای از اقدامات متقابل توصیه شده برای به حداقل رساندن ریسک ها بر اساس این فرض شکل می گیرد.

    در مرحله نهایی، جعبه ابزار CRAMM مجموعه ای از اقدامات متقابل را برای به حداقل رساندن خطرات شناسایی شده ایجاد می کند و اقدامات متقابل توصیه شده و موجود را مقایسه می کند، پس از آن یک طرح درمان ریسک تشکیل می شود.

    مجموعه ابزار مدیریت ریسک

    در فرآیند ارزیابی ریسک، ما چندین مرحله متوالی را پشت سر می گذاریم، به طور دوره ای به مراحل قبلی برمی گردیم، به عنوان مثال، پس از انتخاب یک اقدام متقابل خاص برای به حداقل رساندن آن، یک ریسک خاص را دوباره ارزیابی می کنیم. در هر مرحله، داشتن پرسشنامه، لیست تهدیدات و آسیب پذیری ها، ثبت منابع و خطرات، مستندات، صورتجلسات، استانداردها و دستورالعمل ها ضروری است. در این راستا برای کار با این داده های مختلف به نوعی الگوریتم، پایگاه داده و رابط برنامه ریزی شده نیاز داریم.

    برای مدیریت خطرات امنیت اطلاعات، می توانید از ابزارهایی استفاده کنید، به عنوان مثال، مانند روش CRAMM یا RA2 (نشان داده شده در شکل)، اما این اجباری نیست. استاندارد BS 7799-3 نیز همین را می گوید. سودمندی استفاده از جعبه ابزار ممکن است در این واقعیت باشد که شامل یک الگوریتم برنامه ریزی شده برای ارزیابی ریسک و گردش کار مدیریت ریسک است که کار را برای یک متخصص بی تجربه ساده می کند.

    استفاده از ابزار به شما امکان می دهد تا روش را یکسان کنید و استفاده از نتایج را برای ارزیابی مجدد خطرات ساده کنید، حتی اگر توسط متخصصان دیگر انجام شود. به لطف استفاده از ابزارها، می توان ذخیره سازی داده ها را ساده کرد و با مدل های منابع، پروفایل های تهدید، لیست آسیب پذیری ها و خطرات کار کرد.

    علاوه بر ارزیابی ریسک واقعی و ابزارهای مدیریت، ابزارهای نرم افزاری نیز ممکن است شامل باشند وجوه اضافیبرای مستندسازی ISMS، تجزیه و تحلیل مغایرت‌ها با الزامات استاندارد، توسعه یک ثبت منبع، و همچنین سایر ابزارهای لازم برای پیاده‌سازی و بهره‌برداری از ISMS.

    نتیجه گیری

    انتخاب رویکردهای کمی یا کیفی برای ارزیابی ریسک با توجه به ماهیت کسب و کار سازمان و سطح اطلاعات آن تعیین می شود. اهمیت دارایی های اطلاعاتی برای او و همچنین میزان بلوغ سازمان.

    هنگام اجرای یک رویکرد رسمی برای مدیریت ریسک در یک سازمان، لازم است که اساساً بر عقل سلیم، استانداردهای موجود (به عنوان مثال BS 7799-3) و روش‌های به خوبی تثبیت شده (مانند OCTAVE یا CRAMM) تکیه کنیم. ممکن است استفاده از ابزارهای نرم افزاری برای این اهداف مفید باشد که متدولوژی های مناسب را پیاده سازی کنند و الزامات استانداردها را تا حد ممکن برآورده کنند (به عنوان مثال، RA2).

    اثربخشی فرآیند مدیریت ریسک امنیت اطلاعات با دقت و کامل بودن تجزیه و تحلیل و ارزیابی عوامل خطر و همچنین اثربخشی مکانیسم های مورد استفاده در سازمان برای تصمیم گیری مدیریت و نظارت بر اجرای آنها تعیین می شود.

    پیوندها

    • Astakhov A.M.، "تاریخچه استاندارد BS 7799"، http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
    • Astakhov A.M.، "چگونه یک سیستم مدیریت امنیت اطلاعات ایجاد و گواهی کنیم؟"

    نحوه ارزیابی صحیح خطرات امنیت اطلاعات - دستور العمل ما

    وظیفه ارزیابی خطرات امنیت اطلاعات امروزه توسط جامعه متخصص به طور مبهم درک می شود و دلایل متعددی برای این امر وجود دارد. اولا، هیچ استاندارد طلایی یا رویکرد پذیرفته شده ای وجود ندارد. استانداردها و روش‌های متعدد، اگرچه از نظر کلی شبیه هم هستند، اما در جزئیات تفاوت چشمگیری دارند. استفاده از یک تکنیک خاص به منطقه و موضوع ارزیابی بستگی دارد. اما در صورتی که شرکت کنندگان در فرآیند ارزیابی داشته باشند، انتخاب روش مناسب می تواند مشکل ساز باشد ارائه متفاوتدر مورد آن و نتایج آن

    ثانیاً، ارزیابی خطرات امنیت اطلاعات یک کار کاملاً کارشناسی است. تجزیه و تحلیل عوامل خطر (مانند آسیب، تهدید، آسیب پذیری و غیره) که توسط متخصصان مختلف انجام می شود اغلب نتایج متفاوتی به دست می دهد. عدم تکرارپذیری نتایج ارزیابی سوالاتی را در مورد قابلیت اطمینان و سودمندی داده های به دست آمده ایجاد می کند. طبیعت انسان به گونه‌ای است که ارزیابی‌های انتزاعی، به‌ویژه آن‌هایی که مربوط به واحدهای اندازه‌گیری احتمالی هستند، به گونه‌ای متفاوت توسط مردم درک می‌شوند. تئوری های کاربردی موجود که برای در نظر گرفتن معیار ادراک ذهنی یک فرد طراحی شده اند (به عنوان مثال، نظریه چشم انداز) روش شناسی پیچیده از قبل تحلیل ریسک را پیچیده می کند و به محبوبیت آن کمک نمی کند.

    ثالثاً، روش ارزیابی ریسک خود به معنای کلاسیک آن، با تجزیه و موجودی دارایی ها، یک کار بسیار پر زحمت است. تلاش برای انجام تجزیه و تحلیل به صورت دستی با استفاده از ابزارهای اداری رایج (مانند صفحات گسترده) ناگزیر شما را در دریایی از اطلاعات غرق می کند. ابزارهای نرم‌افزاری تخصصی که برای ساده‌سازی مراحل جداگانه تحلیل ریسک طراحی شده‌اند، مدل‌سازی را تا حدی تسهیل می‌کنند، اما به هیچ وجه جمع‌آوری و سیستم‌بندی داده‌ها را ساده نمی‌کنند.

    در نهایت، تعریف ریسک در زمینه مشکل امنیت اطلاعات هنوز مشخص نشده است. فقط به تغییرات اصطلاحات ISO Guide 73:2009 نسبت به نسخه 2002 نگاه کنید. اگر قبلاً ریسک به عنوان احتمال آسیب ناشی از بهره برداری از یک آسیب پذیری توسط برخی تهدیدها تعریف می شد، اکنون این اثر انحراف از نتایج مورد انتظار است. تغییرات مفهومی مشابهی در ویرایش جدید استاندارد ISO/IEC 27001:2013 رخ داده است.

    به همین دلیل، و همچنین تعدادی از دلایل دیگر، ارزیابی ریسک امنیت اطلاعات عبارتند از: بهترین سناریوبا احتیاط و در بدترین حالت - با بی اعتمادی زیاد. این موضوع ایده مدیریت ریسک را که در نهایت منجر به خرابکاری این فرآیند توسط مدیریت و در نتیجه وقوع حوادث متعددی می شود که مملو از گزارش های تحلیلی سالانه است، بی اعتبار می کند.

    با توجه به موارد فوق، بهتر است از کدام سمت به وظیفه ارزیابی ریسک های امنیت اطلاعات نزدیک شویم؟

    یک نگاه تازه

    امروزه امنیت اطلاعات به طور فزاینده ای بر اهداف تجاری متمرکز شده و در فرآیندهای تجاری یکپارچه شده است. دگرگونی های مشابه با ارزیابی ریسک رخ می دهد - زمینه کسب و کار لازم را به دست می آورد. روش ارزیابی ریسک امنیت اطلاعات مدرن چه معیارهایی را باید رعایت کند؟ بدیهی است که باید به اندازه کافی ساده و جهانی باشد تا نتایج به کارگیری آن برای همه شرکت کنندگان در فرآیند معتبر و مفید باشد. اجازه دهید تعدادی از اصولی را که چنین روش شناسی باید بر اساس آنها باشد برجسته کنیم:

    1. اجتناب از جزئیات بیش از حد؛
    2. تکیه بر نظرات تجاری؛
    3. از مثال ها استفاده کنید
    4. منابع خارجی اطلاعات را در نظر بگیرید.

    ماهیت روش پیشنهادی به بهترین وجه با یک مثال عملی نشان داده می شود. بیایید وظیفه ارزیابی خطرات امنیت اطلاعات در یک شرکت تجاری و تولیدی را در نظر بگیریم. معمولا از کجا شروع می شود؟ از تعیین مرزهای ارزیابی. اگر ارزیابی ریسک برای اولین بار انجام شود، مرزهای آن باید شامل فرآیندهای اصلی کسب‌وکار باشد که درآمدزایی می‌کنند و همچنین فرآیندهایی که به آنها خدمت می‌کنند.

    اگر فرآیندهای تجاری مستند نشده باشند، می توان با مطالعه ساختار سازمانی و مقررات مربوط به بخش هایی که حاوی شرح اهداف و مقاصد است، یک ایده کلی از آنها به دست آورد.

    پس از تعیین مرزهای ارزیابی، بیایید به شناسایی دارایی ها برویم. با توجه به موارد فوق، فرآیندهای تجاری اصلی را به عنوان دارایی های بزرگ در نظر می گیریم و موجودی منابع اطلاعاتی را به مراحل زیر موکول می کنیم (قاعده 1). این به این دلیل است که روش شناسی شامل گذار تدریجی از عمومی به خاص است و این سطحاین داده ها به سادگی برای جزئیات مورد نیاز نیستند.

    عوامل خطر

    ما فرض می کنیم که در مورد ترکیب دارایی های در حال ارزیابی تصمیم گرفته ایم. در مرحله بعد، باید تهدیدات و آسیب پذیری های مرتبط با آنها را شناسایی کنید. با این حال، این رویکرد تنها در هنگام انجام تجزیه و تحلیل دقیق ریسک، که در آن اشیاء محیط دارایی اطلاعاتی موضوع ارزیابی هستند، قابل اجرا است. در نسخه جدید استاندارد ISO/IEC 27001:2013، تمرکز ارزیابی ریسک از دارایی های سنتی فناوری اطلاعات به اطلاعات و پردازش آن تغییر کرده است. از آنجایی که در سطح فعلی جزئیات، ما فرآیندهای تجاری گسترده شرکت را در نظر می گیریم، کافی است فقط عوامل خطر سطح بالا را که در ذات آنها وجود دارد شناسایی کنیم.

    یک عامل خطر یک ویژگی خاص یک شی، فناوری یا فرآیند است که منبع مشکلات آینده است. در عین حال، تنها در صورتی می توانیم در مورد وجود ریسک صحبت کنیم که مشکلات بر عملکرد شرکت تأثیر منفی بگذارد. یک زنجیره منطقی ساخته شده است:

    بنابراین، وظیفه شناسایی عوامل خطر به شناسایی ویژگی‌ها و ویژگی‌های ناموفق فرآیندها می‌رسد که سناریوهای ریسک احتمالی را تعیین می‌کنند که تأثیر منفی بر تجارت دارند. برای ساده کردن راه حل آن، از مدل کسب و کار امنیت اطلاعات توسعه یافته توسط انجمن ISACA استفاده خواهیم کرد (شکل 1 را ببینید):

    برنج. 1. مدل کسب و کار امنیت اطلاعات

    گره های مدل، نیروهای محرکه اساسی هر سازمان را نشان می دهند: استراتژی، فرآیندها، افراد و فناوری، و لبه های آن نشان دهنده ارتباطات عملکردی بین آنهاست. عوامل خطر اصلی عمدتاً در این دنده ها متمرکز هستند. همانطور که به راحتی قابل مشاهده است، خطرات نه تنها با آن مرتبط هستند فناوری اطلاعات.

    چگونه عوامل خطر را بر اساس مدل فوق شناسایی کنیم؟ کسب و کار باید در این امر دخیل باشد (قانون 2). واحدهای تجاری معمولاً درک خوبی از مشکلاتی که در عملیات خود با آن مواجه هستند دارند. تجربه همکاران در صنعت اغلب یادآوری می شود. با پرسیدن سوالات مناسب می توانید این اطلاعات را به دست آورید. توصیه می شود سوالات مربوط به پرسنل به خدمات منابع انسانی، سوالات فن آوری به سرویس اتوماسیون (IT) و سوالات مربوط به فرآیندهای تجاری به واحدهای تجاری مربوطه پاسخ داده شود.

    در کار شناسایی عوامل خطر، شروع از مشکلات راحت تر است. وقتی مشکلی را شناسایی کردید، باید علت آن را مشخص کنید. در نتیجه، یک عامل خطر جدید ممکن است شناسایی شود. مشکل اصلی در اینجا اجتناب از لغزش است. به عنوان مثال، اگر حادثه ای در نتیجه اقدامات غیرقانونی یک کارمند رخ داده باشد، عامل خطر این نخواهد بود که کارمند از مفاد برخی مقررات تخطی کرده باشد، بلکه خود این عمل ممکن شده است. یک عامل خطر همیشه پیش نیاز برای بروز یک مشکل است.

    برای اینکه کارکنان بهتر بفهمند دقیقاً در مورد چه چیزی از آنها سؤال می شود، توصیه می شود سؤالات را با مثال همراه کنید (قانون 3). موارد زیر نمونه هایی از چندین عامل خطر سطح بالا هستند که می توانند در بسیاری از فرآیندهای تجاری مشترک باشند:

    کارکنان:

    • صلاحیت های ناکافی (لبه عوامل انسانی در شکل 1)
    • کمبود پرسنل (دنده ظهور)
    • انگیزه پایین (فرهنگ لبه)

    فرآیندها:

    • تغییرات مکرر در الزامات خارجی (لبه حاکم)
    • اتوماسیون فرآیند توسعه نیافته (Enableing & Support edge)
    • ترکیب نقش ها توسط مجریان (Emergence Edge)

    فن آوری ها:

    • نرم افزار قدیمی (فعال و پشتیبانی لبه)
    • مسئولیت پذیری پایین کاربر (لبه عوامل انسانی)
    • چشم انداز ناهمگون فناوری اطلاعات (لبه معماری)

    مزیت مهم روش ارزیابی پیشنهادی امکان تحلیل متقابل است که در آن دو بخش مختلف از زوایای مختلف به یک مسئله نگاه می کنند. با توجه به این واقعیت، پرسیدن سؤالاتی از مصاحبه شوندگان بسیار مفید است: "نظر شما در مورد مشکلات شناسایی شده توسط همکارانتان چیست؟" این یک راه عالی برای به دست آوردن علائم اضافی و همچنین تصحیح علائم موجود است. برای روشن شدن نتیجه، می توان چندین دور از این ارزیابی را انجام داد.

    تاثیر بر تجارت

    همانطور که از تعریف ریسک بر می آید، مشخص می شود که میزان تأثیری که بر عملکرد تجاری یک سازمان دارد، می باشد. یک ابزار مناسب که به شما امکان می دهد ماهیت تأثیر سناریوهای ریسک بر یک تجارت را تعیین کنید، سیستم کارت امتیازی متوازن است. بدون پرداختن به جزئیات، متذکر می شویم که کارت امتیازی متوازن 4 چشم انداز کسب و کار را برای هر شرکت شناسایی می کند که به شیوه ای سلسله مراتبی مرتبط هستند (شکل 2 را ببینید).

    برنج. 2. چهار دیدگاه تجاری از کارت امتیازی متوازن

    در رابطه با روش مورد بررسی، یک ریسک می تواند مهم در نظر گرفته شود که حداقل یکی از سه چشم انداز تجاری زیر را تحت تأثیر منفی قرار دهد: امور مالی، مشتریان و/یا فرآیندها (نگاه کنید به شکل 3).

    برنج. 3. شاخص های کلیدی کسب و کار

    به عنوان مثال، عامل خطر "پاسخگویی کاربر کم" می تواند منجر به سناریوی "نشت اطلاعات مشتری" شود. به نوبه خود، این بر شاخص تجاری "تعداد مشتریان" تأثیر می گذارد.

    اگر شرکت معیارهای تجاری را توسعه داده باشد، این وضعیت را تا حد زیادی ساده می کند. هر زمان که امکان ردیابی تأثیر یک سناریوی ریسک خاص بر یک یا چند شاخص تجاری وجود داشته باشد، عامل خطر مربوطه را می توان مهم در نظر گرفت و نتایج ارزیابی آن باید در پرسشنامه ها ثبت شود. هر چه تأثیر یک سناریو در سلسله مراتب معیارهای کسب و کار بالاتر باشد، تأثیر بالقوه آن بر تجارت بیشتر خواهد بود.

    وظیفه تحلیل این پیامدها یک کار کارشناسی است، بنابراین باید با مشارکت واحدهای تجاری تخصصی حل شود (قاعده 2). برای کنترل بیشتر برآوردهای به دست آمده، استفاده از منابع اطلاعات خارجی حاوی داده های آماری در مورد میزان خسارات ناشی از حوادث رخ داده مفید است (قانون 4)، به عنوان مثال، گزارش سالانه "مطالعه هزینه نقض داده ها" .

    تخمین احتمال

    در مرحله نهایی تجزیه و تحلیل، برای هر یک از عوامل خطر شناسایی شده، که تاثیر آن بر کسب و کار مشخص شده است، لازم است احتمال وقوع سناریوهای مرتبط ارزیابی شود. این ارزیابی به چه چیزی بستگی دارد؟ تا حد زیادی بستگی به کفایت اقدامات حفاظتی اجرا شده در شرکت دارد.

    در اینجا یک فرض کوچک وجود دارد. منطقی است که فرض کنیم از آنجایی که مشکل شناسایی شده است، به این معنی است که هنوز مرتبط است. در عین حال، اقدامات انجام شده به احتمال زیاد برای خنثی کردن پیش‌شرط‌های وقوع آن کافی نیست. کفایت اقدامات متقابل با نتایج ارزیابی اثربخشی کاربرد آنها، به عنوان مثال، با استفاده از یک سیستم متریک تعیین می شود.

    برای ارزیابی، می توانید از یک مقیاس سه سطحی ساده استفاده کنید، که در آن:

    3- اقدامات متقابل اجرا شده عموماً کافی است.

    2- اقدامات متقابل به اندازه کافی اجرا نشده باشد.

    1- عدم اقدام متقابل

    به عنوان مرجعی که اقدامات متقابل را توصیف می کند، می توانید از استانداردها و دستورالعمل های تخصصی استفاده کنید، به عنوان مثال CobiT 5، ISO/IEC 27002، و غیره. هر اقدام متقابل باید با یک عامل خطر خاص همراه باشد.

    مهم است که به یاد داشته باشید که ما خطرات مرتبط با استفاده از فناوری اطلاعات را تجزیه و تحلیل می کنیم، بلکه با سازماندهی فرآیندهای اطلاعات داخلی در شرکت نیز مرتبط است. بنابراین، اقدامات متقابل باید به طور گسترده تری در نظر گرفته شود. بی جهت نیست که نسخه جدید ISO/IEC 27001:2013 حاوی بند است که هنگام انتخاب اقدامات متقابل، لازم است از هر منبع خارجی استفاده شود (قانون 4) و نه فقط ضمیمه A که در استاندارد موجود است. اهداف مرجع

    بزرگی ریسک

    برای تعیین میزان نهایی ریسک، می توانید از یک جدول ساده استفاده کنید (جدول 1 را ببینید).

    جدول 1. ماتریس ارزیابی ریسک

    در صورتی که یک عامل ریسک بر چندین چشم انداز تجاری تأثیر بگذارد، به عنوان مثال، «مشتریان» و «مالی»، شاخص های آنها خلاصه می شود. ابعاد مقیاس و همچنین سطوح قابل قبول خطرات امنیت اطلاعات را می توان با هر یک تعیین کرد به روشی مناسب. در مثال بالا، خطرات سطوح 2 و 3 بالا در نظر گرفته شده است.

    در این مرحله می توان مرحله اول ارزیابی ریسک را کامل دانست. ارزش نهایی ریسک مرتبط با فرآیند تجاری ارزیابی شده به عنوان مجموع مقادیر ترکیبی برای همه عوامل شناسایی شده تعیین می شود. صاحب ریسک را می توان به عنوان مسئول در شرکت برای موضوع ارزیابی شده در نظر گرفت.

    رقم به دست آمده به ما نمی گوید که سازمان چقدر در معرض خطر از دست دادن پول است. در عوض، منطقه ای را که ریسک ها در آن متمرکز شده اند و ماهیت تأثیر آنها بر عملکرد تجاری را نشان می دهد. این اطلاعات برای تمرکز بیشتر بر مهمترین جزئیات ضروری است.

    ارزیابی دقیق

    مزیت اصلی روش مورد بررسی این است که به شما امکان می دهد تجزیه و تحلیل ریسک امنیت اطلاعات را با سطح جزئیات دلخواه انجام دهید. در صورت لزوم، می‌توانید به عناصر مدل امنیت اطلاعات (شکل 1) وارد شوید و آنها را با جزئیات بیشتری در نظر بگیرید. به عنوان مثال، با شناسایی بالاترین غلظت ریسک در لبه های مرتبط با فناوری اطلاعات، می توانید سطح جزئیات را در گره فناوری افزایش دهید. اگر قبلاً یک فرآیند تجاری جداگانه به عنوان هدف ارزیابی ریسک عمل می کرد، اکنون تمرکز به یک سیستم اطلاعاتی خاص و فرآیندهای استفاده از آن تغییر خواهد کرد. به منظور ارائه سطح مورد نیاز از جزئیات، ممکن است لازم باشد فهرستی از منابع اطلاعاتی انجام شود.

    همه اینها در مورد سایر حوزه های ارزیابی صدق می کند. وقتی جزئیات گره People را تغییر می دهید، نقش های پرسنل یا حتی تک تک کارکنان می توانند به اهداف ارزیابی تبدیل شوند. برای گره "فرآیند"، اینها می توانند مقررات و رویه های کاری خاص باشند.

    تغییر سطح جزئیات به طور خودکار نه تنها عوامل خطر، بلکه اقدامات متقابل قابل اعمال را نیز تغییر می دهد. هر دو برای شی مورد ارزیابی خاص تر می شوند. با این حال، رویکرد کلی برای انجام ارزیابی عوامل خطر تغییر نخواهد کرد. برای هر یک از عوامل شناسایی شده، ارزیابی موارد زیر ضروری است:

    • میزان تأثیر ریسک بر چشم انداز کسب و کار؛
    • کافی بودن اقدامات متقابل

    سندرم روسی

    انتشار استاندارد ISO/IEC 27001:2013 بسیاری از شرکت های روسی را در موقعیت دشواری قرار داده است. از یک طرف، آنها قبلاً رویکرد خاصی را برای ارزیابی خطرات امنیت اطلاعات بر اساس طبقه بندی دارایی های اطلاعاتی، ارزیابی تهدیدها و آسیب پذیری ها ایجاد کرده اند. تنظیم کننده های ملی موفق شده اند تعدادی از مقررات حمایت از این رویکرد را صادر کنند، به عنوان مثال، استاندارد بانک روسیه، دستورات FSTEC. از سوی دیگر، کار ارزیابی ریسک مدت هاست که برای تغییر به تعویق افتاده است و اکنون لازم است رویه ایجاد شده به گونه ای اصلاح شود که الزامات قدیمی و جدید را برآورده کند. بله، امروزه هنوز امکان دریافت گواهینامه بر اساس استاندارد GOST R ISO/IEC 27001:2006 وجود دارد که مشابه نسخه قبلی ISO/IEC 27001 است، اما این مدت طولانی نخواهد بود.

    روش تجزیه و تحلیل ریسک که در بالا مورد بحث قرار گرفت این مشکل را حل می کند. با کنترل سطح جزئیات هنگام انجام ارزیابی، می‌توانید دارایی‌ها و ریسک‌ها را در هر مقیاسی در نظر بگیرید: از فرآیندهای تجاری گرفته تا جریان‌های اطلاعات فردی. این رویکرد همچنین راحت است زیرا به شما امکان می دهد تمام خطرات سطح بالا را بدون از دست دادن چیزی پوشش دهید. در عین حال، این شرکت به طور قابل توجهی هزینه های نیروی کار را برای تجزیه و تحلیل بیشتر کاهش می دهد و زمان را برای ارزیابی دقیق ریسک های ناچیز تلف نمی کند.

    لازم به ذکر است که هرچه جزئیات حوزه ارزیابی بیشتر باشد، مسئولیت بیشتر به متخصصان و شایستگی مورد نیاز بیشتر می شود، زیرا زمانی که عمق تحلیل تغییر می کند، نه تنها عوامل خطر، بلکه چشم انداز اقدامات متقابل قابل اعمال نیز تغییر می کند. .

    علیرغم همه تلاش‌ها برای ساده‌سازی، تحلیل ریسک امنیت اطلاعات هنوز زمان‌بر و پیچیده است. رهبر این جریان مسئولیت ویژه ای دارد. بسیاری از چیزها به این بستگی دارد که او چقدر با شایستگی رویکرد خود را بسازد و با وظیفه ای که در دست دارد کنار بیاید - از تخصیص بودجه برای امنیت اطلاعات تا پایداری کسب و کار.

    در ژانویه 2018، گزارش خطرات جهانی برای بشریت 2018 در مجمع جهانی اقتصاد در داووس ارائه شد. از این گزارش برمی‌آید که اهمیت خطرات امنیت اطلاعات هم به دلیل افزایش تعداد حملات اجرا شده و هم با در نظر گرفتن پتانسیل مخرب آنها در حال افزایش است.

    برخی از رایج ترین تکنیک های مدیریت ریسک امنیت اطلاعات در جهان عبارتند از CRAMM، COBIT برای ریسک، FRAP، Octave و Microsoft. آنها در کنار مزایای خاص، محدودیت هایی نیز دارند. به طور خاص، تکنیک های خارجی فهرست شده می تواند به طور موثر توسط شرکت های تجاری استفاده شود، در حالی که سازمان های دولتیهنگام ارزیابی و مدیریت خطرات امنیت اطلاعات، لازم است از مفاد مقررات FSTEC روسیه هدایت شود. به عنوان مثال، برای سیستم های خودکارتولید و فرآیندهای تکنولوژیکیدر تأسیسات حیاتی، باید طبق دستور FSTEC روسیه مورخ 14 مارس 2014 شماره 31 هدایت شود. در عین حال، این سند همچنین می تواند توسط مقامات اجرایی فدرال به عنوان مواد اضافی مورد استفاده قرار گیرد.

    خطرات امنیت اطلاعات در جامعه مدرن

    اخیراً تعداد حملات به سازمان ها دو برابر شده است. حملاتی که باعث آسیب های خارق العاده می شوند در حال تبدیل شدن به امری عادی هستند. زیان های مالی ناشی از حملات در حال افزایش است و برخی از بزرگترین ضررها مربوط به حملات باج افزار است. نمونه بارز آن حملات ویروس‌های باج‌افزار WannaCry و NotPetya است که بیش از 300 هزار رایانه را در 150 کشور تحت تأثیر قرار داد و منجر به خسارت مالی بیش از 300 میلیون دلار شد.

    روند دیگر افزایش تعداد حملات به زیرساخت‌های حیاتی و تاسیسات استراتژیک صنعتی است که می‌تواند منجر به ناتوانی سیستم‌هایی شود که از حمایت حیاتی بشریت توسط مهاجمان پشتیبانی می‌کنند و وقوع بلایای جهانی انسان‌ساز.

    بنابراین، خطرات امنیت اطلاعات در سه خطر احتمالی برتر (به همراه خطرات بلایای طبیعی و شرایط آب و هوایی شدید) و در فهرست شش خطر مهم برای آسیب احتمالی (همراه با خطرات استفاده از سلاح) گنجانده شده است. کشتار جمعی، بلایای طبیعی، ناهنجاری های آب و هوایی و کمبود) آب آشامیدنی). بنابراین مدیریت ریسک امنیت اطلاعات یکی از حوزه های اولویت دار برای توسعه سازمان ها در سراسر جهان است و برای عملکرد بیشتر آنها کاملا ضروری است.

    اهداف و رویکردهای مدیریت ریسک امنیت اطلاعات

    هدف هر سازمان دستیابی به شاخص های خاصی است که نتایج فعالیت های آن را مشخص می کند. به عنوان مثال، برای شرکت های تجاری این امر به معنای کسب سود، افزایش سرمایه، سهم بازار یا گردش مالی است و برای سازمان های دولتی ارائه خدمات عمومی به مردم و حل مشکلات مدیریتی است. در هر صورت، صرف نظر از هدف فعالیت سازمان، اجرای ریسک های امنیت اطلاعات ممکن است از دستیابی به این هدف جلوگیری کند. در عین حال، هر سازمان ریسک ها و امکان سرمایه گذاری در کاهش آنها را به روش خود ارزیابی می کند.

    بنابراین، هدف مدیریت ریسک امنیت اطلاعات، حفظ آنها در سطحی قابل قبول برای سازمان است. برای حل این مشکل، سازمان ها سیستم های جامع امنیت اطلاعات (ISS) را ایجاد می کنند.

    هنگام ایجاد چنین سیستم هایی، این سوال مطرح می شود که ابزارهای امنیتی را انتخاب کنید که کاهش خطرات امنیتی اطلاعات شناسایی شده در طول تجزیه و تحلیل را بدون هزینه های گزاف برای پیاده سازی و پشتیبانی از این ابزارها تضمین می کند. تجزیه و تحلیل خطرات امنیت اطلاعات به ما این امکان را می دهد که مجموعه لازم و کافی از ابزارهای امنیت اطلاعات و همچنین اقدامات سازمانی با هدف کاهش خطرات امنیت اطلاعات را تعیین کنیم و معماری ISS یک سازمان را توسعه دهیم که برای فعالیت های خاص آن مؤثرتر باشد و با هدف کاهش آن انجام شود. دقیقاً خطرات امنیت اطلاعات آن.

    همه خطرات، از جمله خطرات امنیت اطلاعات، با دو پارامتر مشخص می شوند: آسیب احتمالی به سازمان و احتمال اجرا. استفاده از ترکیب این دو ویژگی برای تجزیه و تحلیل ریسک به شما امکان می دهد ریسک ها را با آن مقایسه کنید سطوح مختلفآسیب و احتمال، آوردن آنها به یک بیان مشترک که برای تصمیم گیرندگان در مورد به حداقل رساندن خطرات در سازمان قابل درک است. در عین حال، فرآیند مدیریت ریسک شامل مراحل منطقی زیر است که ترکیب و محتوای آن به روش مورد استفاده برای ارزیابی و مدیریت ریسک بستگی دارد:

    1. تعیین سطح ریسک قابل قبول برای سازمان (اشتها به ریسک) - معیاری که هنگام تصمیم گیری در مورد پذیرش یا درمان یک ریسک استفاده می شود. بر اساس این معیار مشخص می شود که کدام ریسک های شناسایی شده در آینده بدون قید و شرط پذیرفته شده و از بررسی بیشتر خارج خواهند شد و کدام یک مورد تجزیه و تحلیل بیشتر قرار گرفته و در طرح پاسخ به ریسک گنجانده می شود.
    2. شناسایی، تجزیه و تحلیل و ارزیابی ریسک ها. برای تصمیم گیری در مورد ریسک ها باید به وضوح شناسایی و از نظر آسیب ناشی از خطر و احتمال اجرای آن ارزیابی شوند. ارزیابی خسارت میزان تأثیر ریسک را بر دارایی های IT سازمان و فرآیندهای تجاری که آنها پشتیبانی می کنند را تعیین می کند. هنگام ارزیابی احتمال، تحلیلی از احتمال وقوع خطر انجام می شود. ارزیابی این پارامترها می‌تواند بر اساس شناسایی و تجزیه و تحلیل آسیب‌پذیری‌های ذاتی دارایی‌های فناوری اطلاعات باشد که ممکن است تحت تأثیر ریسک قرار گیرند، و تهدیدهایی که می‌توانند از طریق بهره‌برداری از این آسیب‌پذیری‌ها محقق شوند. همچنین بسته به روش ارزیابی ریسک مورد استفاده، می توان از مدل مهاجم، اطلاعات مربوط به فرآیندهای تجاری سازمان و سایر عوامل مرتبط با اجرای ریسک مانند وضعیت سیاسی، اقتصادی، بازار یا اجتماعی در محیط عملیاتی سازمان استفاده کرد. به عنوان داده های اولیه برای ارزیابی آنها. هنگام ارزیابی ریسک ها، می توان از رویکرد کیفی، کمی یا ترکیبی برای ارزیابی آنها استفاده کرد. مزیت رویکرد کیفی سادگی آن، به حداقل رساندن زمان و هزینه های نیروی کار برای انجام ارزیابی ریسک، محدودیت ها عدم مشاهده کافی و پیچیدگی استفاده از نتایج تحلیل ریسک برای توجیه اقتصادی و ارزیابی امکان سنجی سرمایه گذاری ها در اقدامات پاسخ به ریسک است. مزیت رویکرد کمی دقت ارزیابی ریسک، وضوح نتایج و توانایی مقایسه ارزش ریسک، بیان شده بر حسب پول، با میزان سرمایه گذاری مورد نیاز برای پاسخگویی به این ریسک است؛ معایب آن پیچیدگی، شدت کار بالا و مدت زمان اجرا.
    3. رتبه بندی ریسک برای تعیین اولویت در پاسخگویی به ریسک ها و متعاقباً تدوین یک طرح واکنش، همه ریسک ها باید رتبه بندی شوند. هنگام رتبه‌بندی ریسک‌ها، بسته به روش مورد استفاده، معیارهایی برای تعیین بحرانی بودن ممکن است اعمال شود، مانند آسیب ناشی از تحقق ریسک، احتمال اجرا، دارایی‌های فناوری اطلاعات و فرآیندهای تجاری متاثر از ریسک، اعتراض عمومی و آسیب شهرت ناشی از تحقق ریسک. ریسک و غیره
    4. تصمیم گیری در مورد ریسک ها و تدوین یک طرح واکنش به ریسک. برای تعیین مجموعه اقدامات پاسخ به ریسک، لازم است ریسک های شناسایی و ارزیابی شده مورد تجزیه و تحلیل قرار گیرد تا در مورد هر یک از آنها یکی از تصمیمات زیر اتخاذ شود:
      • اجتناب از خطر؛
      • ریسک کردن؛
      • انتقال ریسک؛
      • کاهش خطر.
      تصمیم اتخاذ شده برای هر ریسک باید در طرح واکنش به ریسک ثبت شود. همچنین، این طرح ممکن است بسته به روش مورد استفاده، حاوی اطلاعات زیر باشد که برای پاسخگویی به خطرات ضروری است:
      • مسئول پاسخگویی؛
      • شرح اقدامات واکنش؛
      • ارزیابی سرمایه گذاری مورد نیاز در اقدامات واکنش؛
      • زمان بندی برای اجرای این اقدامات.
    5. اجرای اقدامات برای پاسخگویی به خطرات. برای اجرای اقدامات واکنش به ریسک، افراد مسئول اجرای اقدامات شرح داده شده در طرح واکنش به ریسک را در چارچوب زمانی مورد نیاز سازماندهی می کنند.
    6. ارزیابی اثربخشی اقدامات اجرا شده. برای دستیابی به اطمینان از موثر بودن اقدامات اعمال شده مطابق با طرح واکنش و قابل قبول بودن سطح ریسک برای سازمان، اثربخشی هر یک از اقدامات پاسخ به ریسک اجرا شده ارزیابی می شود و همچنین ریسک های سازمان به طور منظم شناسایی، تجزیه و تحلیل و ارزیابی می شوند. .
    بیایید شناخته شده ترین روش های مدیریت ریسک امنیت اطلاعات را در نظر بگیریم: CRAMM، COBIT برای ریسک، FRAP، Octave، مایکروسافت.

    مروری بر تکنیک CRAMM

    CRAMM (روش تجزیه و تحلیل و مدیریت ریسک CCTA)، که توسط سرویس امنیتی انگلستان در سال 1985 توسعه یافت، بر اساس سری استانداردهای مدیریت امنیت اطلاعات BS7799 (اکنون به ISO 27000 بازبینی شده است) است و رویکردی را برای ارزیابی کیفی ریسک توصیف می کند. در این مورد، انتقال به مقیاس مقادیر شاخص های کیفی با کمک جداول ویژه ای رخ می دهد که مطابقت بین شاخص های کیفی و کمی را تعیین می کند. ارزیابی ریسک بر اساس تجزیه و تحلیل ارزش دارایی فناوری اطلاعات برای تجارت، آسیب پذیری ها، تهدیدها و احتمال اجرای آنها است.

    فرآیند مدیریت ریسک CRAMM شامل: مراحل بعدی:

    1. شروع. در این مرحله، یک سری مصاحبه با افراد علاقه مند به فرآیند تحلیل ریسک امنیت اطلاعات، از جمله افرادی که مسئول عملیات، اداره، امنیت و استفاده از دارایی های فناوری اطلاعات هستند، انجام می شود. در نتیجه، یک توصیف رسمی از منطقه برای تحقیقات بیشتر، مرزهای آن ارائه شده است، و ترکیب افراد درگیر در تجزیه و تحلیل ریسک تعیین می شود.
    2. شناسایی و ارزیابی دارایی ها. فهرستی از دارایی های فناوری اطلاعات مورد استفاده سازمان در حوزه مطالعاتی تعریف شده قبلی تعیین می شود. طبق روش CRAMM، دارایی های فناوری اطلاعات می توانند یکی از انواع زیر باشند:
      • داده ها؛
      • نرم افزار؛
      • دارایی های فیزیکی
      برای هر دارایی، اهمیت آن برای فعالیت‌های سازمان تعیین می‌شود و همراه با نمایندگان بخش‌هایی که از دارایی فناوری اطلاعات استفاده می‌کنند، حل می‌شود. مشکلات کاربردی، عواقب فعالیت های سازمان ناشی از نقض محرمانه بودن، یکپارچگی و در دسترس بودن آن ارزیابی می شود.
    3. ارزیابی تهدید و آسیب پذیری. علاوه بر ارزیابی بحرانی بودن دارایی‌های فناوری اطلاعات، بخش مهمی از روش CRAMM، ارزیابی احتمال تهدیدها و آسیب‌پذیری‌های دارایی‌های فناوری اطلاعات است. متدولوژی CRAMM شامل جداولی است که مطابقت بین آسیب‌پذیری‌های دارایی فناوری اطلاعات و تهدیدهایی را که می‌توانند از طریق این آسیب‌پذیری‌ها بر دارایی‌های فناوری اطلاعات تأثیر بگذارند، تشریح می‌کند. همچنین جداولی وجود دارد که در صورت تحقق این تهدیدات، آسیب به دارایی های فناوری اطلاعات را توصیف می کند. این مرحلهفقط برای حیاتی ترین دارایی های IT که پیاده سازی برای آنها کافی نیست انجام می شود مجموعه پایهاقدامات امنیت اطلاعات آسیب‌پذیری‌ها و تهدیدات فعلی با مصاحبه با افراد مسئول اداره و بهره‌برداری دارایی‌های فناوری اطلاعات شناسایی می‌شوند. برای سایر دارایی های فناوری اطلاعات، روش CRAMM شامل مجموعه ای از اقدامات اساسی ضروری برای اطمینان از امنیت اطلاعات است.
    4. محاسبه ریسک ریسک با استفاده از فرمول محاسبه می شود: ریسک = P (تحقق) * خسارت. در این حالت، احتمال تحقق ریسک با فرمول محاسبه می شود: P (اجرا) = P (تهدید) * P (آسیب پذیری). در مرحله محاسبه ریسک برای هر دارایی فناوری اطلاعات، الزامات مجموعه ای از اقدامات برای اطمینان از امنیت اطلاعات آن در مقیاسی از "1" تا "7" تعیین می شود، که در آن مقدار "1" با حداقل مجموعه مورد نیاز مطابقت دارد. اقدامات برای اطمینان از امنیت اطلاعات و مقدار "7" - حداکثر.
    5. مدیریت ریسک. بر اساس نتایج محاسبه ریسک، روش CRAMM مجموعه اقدامات لازم را برای اطمینان از امنیت اطلاعات تعیین می کند. برای این منظور از کاتالوگ ویژه ای استفاده می شود که شامل حدود 4 هزار پیمانه است. مجموعه اقدامات توصیه شده توسط روش CRAMM با اقداماتی که قبلاً توسط سازمان انجام شده است مقایسه می شود. در نتیجه، مناطقی که نیاز به توجه بیشتری از نظر اعمال اقدامات حفاظتی دارند و مناطقی با اقدامات حفاظتی اضافی شناسایی می شوند. این اطلاعات برای تدوین یک برنامه عملیاتی برای تغییر ترکیب اقدامات حفاظتی مورد استفاده در سازمان - برای رساندن سطح خطرات به سطح مورد نیاز استفاده می شود.
    از نقطه نظر کاربرد عملی، می توان مزایای زیر را از تکنیک CRAMM شناسایی کرد:
    • روشی که بارها آزمایش شده و تجربه و شایستگی های حرفه ای قابل توجهی را در خود جمع کرده است. نتایج استفاده از CRAMM توسط موسسات بین المللی به رسمیت شناخته شده است.
    • وجود یک توصیف واضح و رسمی از روش، احتمال وقوع خطا در هنگام اجرای تجزیه و تحلیل ریسک و فرآیندهای مدیریت را به حداقل می رساند.
    • وجود ابزارهای اتوماسیون برای تجزیه و تحلیل ریسک به شما امکان می دهد هزینه های نیروی کار و زمان مورد نیاز برای انجام تجزیه و تحلیل ریسک و فعالیت های مدیریت را به حداقل برسانید.
    • فهرست تهدیدها، آسیب‌پذیری‌ها، پیامدها و اقدامات امنیت اطلاعات، الزامات دانش و شایستگی ویژه افرادی را که مستقیماً در تجزیه و تحلیل ریسک و فعالیت‌های مدیریت دخیل هستند، ساده می‌کند.
    با این حال، تکنیک CRAMM دارای معایب زیر است:
    • پیچیدگی و شدت کار بالا در جمع آوری داده های اولیه، نیاز به منابع قابل توجهی از درون سازمان یا از خارج.
    • هزینه های کلان منابع و زمان برای اجرای فرآیندهای تجزیه و تحلیل و مدیریت خطرات امنیت اطلاعات؛
    • نامزدی مقدار زیادذینفعان به هزینه های قابل توجهی برای سازماندهی همکاری، ارتباطات درون تیم پروژه و هماهنگی نتایج نیاز دارند.
    • ناتوانی در ارزیابی ریسک ها به لحاظ پولی، استفاده از نتایج ارزیابی ریسک امنیت اطلاعات را در مطالعه امکان سنجی سرمایه گذاری های لازم برای پیاده سازی ابزارها و روش های امنیت اطلاعات دشوار می کند.
    CRAMM به طور گسترده در سازمان‌های دولتی و تجاری در سراسر جهان استفاده می‌شود، و این استاندارد بالفعل برای مدیریت ریسک امنیت اطلاعات در بریتانیا است. این روش را می توان با موفقیت در سازمان های بزرگ متمرکز بر تعامل بین المللی و انطباق با استانداردهای مدیریت بین المللی، انجام اجرای اولیه فرآیندهای مدیریت ریسک امنیت اطلاعات برای پوشش کل سازمان به طور همزمان به کار برد. با این حال، سازمان ها باید بتوانند منابع و زمان قابل توجهی را به استفاده از CRAMM اختصاص دهند.

    مروری بر روش COBIT برای ریسک

    روش COBIT برای ریسک توسط انجمن ISACA (انجمن حسابرسی و کنترل سیستم های اطلاعاتی) در سال 2013 توسعه یافت و بر اساس بهترین شیوه هامدیریت ریسک (COSO ERM، ISO 31000، ISO\IEC 27xxx، و غیره). این روش، ریسک‌های امنیت اطلاعات را در رابطه با ریسک‌های فعالیت‌های اصلی سازمان بررسی می‌کند، رویکردهایی را برای اجرای عملکرد مدیریت ریسک امنیت اطلاعات در سازمان و فرآیندهای تحلیل کیفی ریسک‌های امنیت اطلاعات و مدیریت آنها را توصیف می‌کند.

      هنگام اجرای عملکرد و فرآیند مدیریت ریسک در یک سازمان، متدولوژی مؤلفه های زیر را شناسایی می کند که هم بر ریسک های امنیت اطلاعات و هم بر فرآیند مدیریت آنها تأثیر می گذارد:
      • اصول، خط مشی ها، رویه های سازمان؛
      • فرآیندها؛
      • ساختار سازمانی؛
      • فرهنگ شرکتی، اخلاق و قوانین رفتار؛
      • اطلاعات؛
      • خدمات فناوری اطلاعات، زیرساخت و برنامه های فناوری اطلاعات؛
      • افراد، تجربه و شایستگی های آنها.

      از نظر سازماندهی عملکرد مدیریت ریسک امنیت اطلاعات، روش شناسی الزامات اجزای زیر را تعریف و توصیف می کند:
      • فرآیند لازم؛
      • جریان اطلاعات؛
      • ساختار سازمانی؛
      • افراد و شایستگی ها
      عنصر اصلی تجزیه و تحلیل و مدیریت ریسک های امنیت اطلاعات مطابق با روش، سناریوهای ریسک هستند. هر سناریو «توضیح رویدادی است که در صورت وقوع، می‌تواند منجر به تأثیر نامشخص (مثبت یا منفی) بر دستیابی به اهداف سازمان شود». این متدولوژی شامل بیش از 100 سناریو ریسک است که دسته بندی های تاثیر زیر را پوشش می دهد:
      • ایجاد و نگهداری پورتفولیو پروژه های فناوری اطلاعات؛
      • کنترل چرخه زندگیبرنامه/پروژه؛
      • سرمایه گذاری در فناوری اطلاعات؛
      • تخصص و مهارت کارکنان فناوری اطلاعات؛
      • عملیات پرسنلی؛
      • اطلاعات؛
      • معماری؛
      • زیرساخت فناوری اطلاعات؛
      • نرم افزار؛
      • استفاده ناکارآمد از فناوری اطلاعات؛
      • انتخاب و مدیریت تامین کنندگان فناوری اطلاعات؛
      • رعایت مقررات؛
      • ژئوپلیتیک؛
      • سرقت عناصر زیرساختی؛
      • بد افزار؛
      • حملات منطقی؛
      • تاثیر فن آوری؛
      • محیط؛
      • پدیده های طبیعی؛
      • نوآوری.
      برای هر سناریو ریسک، روش‌شناسی میزان تعلق آن به هر نوع ریسک را تعیین می‌کند:
      • ریسک‌های استراتژیک - ریسک‌های مرتبط با فرصت‌های از دست رفته برای استفاده از فناوری اطلاعات برای توسعه و بهبود کارایی فعالیت‌های اصلی سازمان.
      • ریسک‌های پروژه ریسک‌های مرتبط با تأثیر فناوری اطلاعات در ایجاد یا توسعه هستند فرآیندهای موجودسازمان های؛
      • ریسک‌های مدیریت فناوری اطلاعات و ارائه خدمات فناوری اطلاعات، ریسک‌های مرتبط با اطمینان از در دسترس بودن، پایداری و ارائه خدمات فناوری اطلاعات به کاربران با سطح کیفی مورد نیاز است که مشکلات ناشی از آن می‌تواند منجر به آسیب به فعالیت‌های اصلی سازمان شود.
      هر سناریو ریسک حاوی اطلاعات زیر است:
      • نوع منبع تهدید - داخلی/خارجی.
      • نوع تهدید - اقدام مخرب، پدیده طبیعی، خطا و غیره.
      • شرح رویداد - دسترسی به اطلاعات، تخریب، اصلاح، افشای اطلاعات، سرقت و غیره.
      • انواع دارایی ها (اجزا) سازمان که تحت تأثیر رویداد قرار می گیرند - افراد، فرآیندها، زیرساخت های فناوری اطلاعات و غیره.
      • زمان رویداد.
      اگر یک سناریوی خطر رخ دهد، سازمان متحمل آسیب خواهد شد. بنابراین، هنگام تجزیه و تحلیل ریسک های امنیت اطلاعات مطابق با روش COBIT برای ریسک، سناریوهای ریسک مربوط به سازمان شناسایی می شوند و اقدامات کاهش خطر با هدف کاهش احتمال وقوع این سناریوها انجام می شود. برای هر یک از ریسک های شناسایی شده، تجزیه و تحلیلی از انطباق آن با ریسک پذیری سازمان انجام می شود و به دنبال آن یکی از تصمیمات زیر اتخاذ می شود:
      • اجتناب از خطر؛
      • ریسک کردن؛
      • انتقال ریسک؛
      • کاهش خطر.
      مدیریت ریسک بیشتر با تجزیه و تحلیل سطح باقیمانده ریسک ها و تصمیم گیری در مورد نیاز به اجرای اقدامات کاهش ریسک اضافی انجام می شود. این روش شامل توصیه هایی برای اجرای اقدامات کاهش ریسک برای هر نوع جزء سازمانی است.

      از نقطه نظر کاربرد عملی، مزایای زیر روش COBIT برای ریسک را می توان برجسته کرد:
      • اتصال به کتابخانه مشترک COBIT و توانایی استفاده از رویکردها و «کنترل‌های فناوری اطلاعات» (کاهش خطر) از حوزه‌های مرتبط برای در نظر گرفتن ریسک‌ها و کاهش‌های امنیت اطلاعات در رابطه با تأثیر ریسک‌ها بر فرآیندهای تجاری سازمان.
      • روشی که مکرراً آزمایش شده است که در آن تجربه و شایستگی های حرفه ای قابل توجهی جمع آوری شده است و نتایج آن توسط نهادهای بین المللی به رسمیت شناخته شده است.
      • وجود یک توصیف واضح و رسمی از روش به ما امکان می دهد تا خطاها را در اجرای تجزیه و تحلیل ریسک و فرآیندهای مدیریت به حداقل برسانیم.
      • کاتالوگ سناریوهای ریسک و "کنترل های فناوری اطلاعات" این امکان را فراهم می کند که الزامات دانش و شایستگی ویژه افرادی که مستقیماً در تجزیه و تحلیل ریسک و فعالیت های مدیریت دخیل هستند، ساده شوند.
      • توانایی استفاده از روش در هنگام انجام ممیزی به شما امکان می دهد هزینه های نیروی کار و زمان مورد نیاز برای تفسیر نتایج ممیزی های خارجی و داخلی را کاهش دهید.
      در عین حال، روش COBIT برای ریسک دارای معایب و محدودیت‌های زیر است:
      • پیچیدگی بالا و شدت کار جمع آوری داده های اولیه مستلزم دخالت منابع قابل توجهی در داخل یا خارج از سازمان است.
      • مشارکت تعداد زیادی از سهامداران مستلزم هزینه های قابل توجهی برای سازماندهی همکاری، تخصیص زمان افراد درگیر برای ارتباط در تیم پروژه و توافق بر سر نتایج با همه ذینفعان است.
      • فقدان توانایی ارزیابی ریسک ها بر حسب پولی، استفاده از نتایج ارزیابی ریسک امنیت اطلاعات را هنگام توجیه سرمایه گذاری های مورد نیاز برای پیاده سازی ابزارها و روش های امنیت اطلاعات دشوار می کند.
      این روشدر هر دو سازمان دولتی و تجاری در سراسر جهان استفاده می شود. این روش برای سازمان‌های بزرگ فناوری یا سازمان‌هایی با درجه بالایی از وابستگی فعالیت‌های اصلی خود به فناوری اطلاعات، برای کسانی که قبلاً از استانداردها و متدولوژی‌های COBIT برای مدیریت فناوری اطلاعات استفاده می‌کنند (یا قصد استفاده از آن را دارند) مناسب است و منابع و منابع لازم را در اختیار دارند. شایستگی برای این در این صورت یکپارچه سازی موثر فرآیندهای مدیریت ریسک امنیت اطلاعات و مدیریت عمومیفناوری اطلاعات و دستیابی به یک اثر هم افزایی که هزینه های اجرای فرآیندها را برای تجزیه و تحلیل و مدیریت ریسک های امنیت اطلاعات بهینه می کند.

    "هیچ چیز بیشتر از عقل سلیم و رفتن طبق برنامه مردم را شگفت زده نمی کند."

    رالف امرسون، نویسنده آمریکایی

    هنگامی که تصمیمات درمان خطر اتخاذ شد، اقدامات برای اجرای آن تصمیمات باید شناسایی و برنامه ریزی شود. هر فعالیت باید به روشنی تعریف شده و به تعداد فعالیت‌هایی که لازم است برای تخصیص واضح مسئولیت‌ها، ارزیابی الزامات تخصیص منابع، تعیین نقاط عطف و نقاط کنترل، تعیین معیارهای دستیابی به اهداف و نظارت بر پیشرفت.

    تصمیمات مدیریت در مورد درمان ریسک در قالب "طرح درمان ریسک" مستند شده است. این سند مشتق شده از "ثبت ریسک اطلاعات" است که برای هر گروه از تهدیدها و آسیب‌پذیری‌ها فهرستی از اقدامات درمان ریسک را تعریف می‌کند که امکان کاهش حداکثر سطح خطر برای یک گروه تهدید خاص را به سطح باقی‌مانده ممکن می‌سازد. ریسک قابل قبول برای سازمان طرح درمان ریسک همچنین جدول زمانی اجرا، منابع تخصیص یافته و مجریان مسئول را تعیین می کند.

    فرآیند برنامه ریزی باید شامل شناسایی صاحبان کلیدی دارایی ها و فرآیندهای تجاری، مشاوره با آنها در خصوص تخصیص زمان، منابع مالی و سایر منابع برای اجرای طرح درمان ریسک و اخذ تاییدیه سطح مناسب مدیریت برای استفاده از منابع باشد.

    ___________________________________

    تدوین و اجرای طرح درمان ریسک شامل اقدامات زیر است:

    • تعیین توالی اقدامات برای اجرای تصمیمات اتخاذ شده در مورد درمان خطر؛
    • جزئیات و اولویت بندی فعالیت های درمان خطر؛
    • تقسیم مسئولیت بین اجراکنندگان؛
    • تخصیص منابع لازم؛
    • تعیین نقاط عطف و نقاط کنترل؛
    • تعیین معیارهای دستیابی به اهداف؛
    • نظارت بر پیشرفت

    ______________________________________

    اجرای اقدامات درمان خطر باید به درستی اولویت بندی شود. زمانی که هر اقدامی می تواند انجام شود به اولویت مطلق آن نسبت به سایر اقدامات، در دسترس بودن منابع (از جمله منابع مالی و انسانی) و فعالیت هایی که باید قبل از شروع فرآیند تکمیل شوند، بستگی دارد. طرح درمان ریسک باید با سایر طرح های تجاری هماهنگ شود. هر گونه وابستگی بین این طرح ها باید شناسایی شود.

    اقدامات درمانی خطر را می توان به شرح زیر اولویت بندی کرد:

    1. تمام اقدامات متقابل با توجه به سطح خطری که قصد کاهش آن را دارند به گروه هایی تقسیم می شوند. بیشترین اولویت به اقدامات متقابلی است که بیشترین خطرات را کاهش می دهد.

    2. در هر گروه، به اقداماتی اختصاص می‌یابد که سریع‌تر و آسان‌تر اجرا می‌شوند و سریع‌ترین اثر را می‌دهند.

    3. اولویت اقدامات متقابلی که بیشترین بازده سرمایه گذاری را فراهم می کند افزایش می یابد.

    4. اقدامات متقابل اولیه که موفقیت سایر اقدامات متقابل به آنها بستگی دارد، اولویت بیشتری دارند.

    5. همه ملاحظات دیگری که ممکن است بر اجرای اقدامات متقابل تأثیر بگذارد، از جمله روابط با سایر برنامه ها، در دسترس بودن منابع خاص، ملاحظات سیاسی، اقتصادی و سایر ملاحظات در نظر گرفته می شود.

    در خروجی این فرآیند، ما یک لیست اولویتی از اقدامات درمان ریسک به دست می آوریم که بر اساس آن برنامه ریزی دقیق تر، تخصیص منابع و اجرای تصمیمات مدیریت ریسک انجام می شود.

    هماهنگی کلیه مراحل اجرای طرح درمان ریسک (شامل کسب، اجرا، آزمایش مکانیزم های امنیتی، انعقاد قراردادهای بیمه و برون سپاری و ...) توسط مدیر امنیت اطلاعات یا مدیر ریسک انجام می شود که باید اجرای فعالیت ها بر اساس برنامه، با کیفیت مناسب و در چارچوب منابع مالی، زمانی و انسانی اختصاص یافته انجام می شود. هنگام اجرای اقدامات متقابل در یک سیستم اطلاعاتی، آزمایش باید برای تأیید قابلیت اطمینان و عملکرد مکانیسم‌های امنیتی اجرا شده و همچنین برای اندازه‌گیری اثربخشی عملکرد آنها انجام شود.

    • برای نظر دادن، لطفآ وارد سامانه شوید یا ثبت نام کنید
    بیشتر بخوانید: