• مسائل مربوط به مدیریت ریسک امنیت اطلاعات مدیریت ریسک امنیت اطلاعات

    بر این لحظهخطرات امنیت اطلاعاتتهدید بزرگی برای عملکرد عادی بسیاری از شرکت ها و موسسات است. در عصر ما فناوری اطلاعاتدریافت هر گونه داده عملا دشوار نیست. از یک طرف، این البته جنبه های مثبت بسیاری را به همراه دارد، اما برای چهره و برند بسیاری از شرکت ها مشکل ساز می شود.

    حفاظت از اطلاعات در شرکت ها اکنون تقریباً به یک اولویت تبدیل شده است. کارشناسان معتقدند که تنها با ایجاد یک توالی آگاهانه از اقدامات می توان به این هدف دست یافت. در این صورت می توان تنها با حقایق قابل اعتماد هدایت شد و از روش های تحلیلی پیشرفته استفاده کرد. توسعه شهود و تجربه متخصص مسئول این واحد در شرکت سهم خاصی دارد.

    این مطالب در مورد مدیریت خطرات امنیت اطلاعات یک نهاد اقتصادی می گوید.

    چه نوع تهدیدات احتمالی در محیط اطلاعاتی وجود دارد؟

    انواع مختلفی از تهدید وجود دارد. تجزیه و تحلیل ریسک امنیت اطلاعات سازمانی با در نظر گرفتن تمام تهدیدات احتمالی آغاز می شود. این امر به منظور تعیین روش های راستی آزمایی در صورت بروز این شرایط پیش بینی نشده و همچنین تشکیل یک سیستم حفاظتی مناسب ضروری است. خطرات امنیت اطلاعات بسته به ویژگی های طبقه بندی مختلف به دسته های خاصی تقسیم می شوند. آنها از انواع زیر هستند:

    • منابع فیزیکی؛
    • استفاده نامناسب از شبکه کامپیوتری و شبکه جهانی وب؛
    • نشت از منابع مهر و موم شده؛
    • نشت با وسایل فنی؛
    • نفوذ غیر مجاز؛
    • حمله به دارایی های اطلاعاتی؛
    • نقض یکپارچگی تغییر داده ها؛
    • موارد اضطراری؛
    • تخلفات قانونی

    مفهوم "تهدید فیزیکی امنیت اطلاعات" شامل چه مواردی می شود؟

    انواع خطرات امنیت اطلاعات بسته به منابع وقوع آنها، روش اجرای نفوذ غیرقانونی و هدف تعیین می شود. از نظر فنی ساده ترین، اما همچنان نیازمند اجرای حرفه ای، تهدیدات فیزیکی هستند. آنها نشان دهنده دسترسی غیرمجاز به منابع مهر و موم شده هستند. یعنی این فرآیند در واقع یک سرقت معمولی است. اطلاعات را می توان شخصا، با دست خود، به سادگی با حمله به قلمرو موسسه، به دفاتر، بایگانی ها برای دسترسی به تجهیزات فنی، اسناد و سایر حامل های اطلاعات به دست آورد.

    سرقت ممکن است حتی در خود داده ها نباشد، بلکه در محل ذخیره آنها، یعنی به طور مستقیم، باشد تجهیزات کامپیوتر. به منظور ایجاد اختلال در فعالیت های عادی سازمان، مهاجمان به سادگی می توانند باعث ایجاد نقص در عملکرد رسانه ذخیره سازی یا تجهیزات فنی شوند.

    هدف از نفوذ فیزیکی نیز ممکن است دسترسی به سیستم باشد که حفاظت از اطلاعات به آن بستگی دارد. مهاجم می تواند تنظیمات شبکه مسئول امنیت اطلاعات را به منظور تسهیل بیشتر معرفی روش های غیرقانونی تغییر دهد.

    امکان تهدید فیزیکی را نیز می‌توان توسط اعضای گروه‌های مختلف که به اطلاعات طبقه‌بندی‌شده که عمومی نیستند، فراهم کرد. هدف آنها اسناد ارزشمند است. به این گونه افراد خودی می گویند.

    فعالیت بدخواهان خارجی را می توان به همان شیء هدایت کرد.

    خود کارمندان شرکت چگونه می توانند تهدید ایجاد کنند؟

    خطرات امنیت اطلاعات اغلب به دلیل استفاده نامناسب از اینترنت و سیستم رایانه داخلی توسط کارکنان ایجاد می شود. بدکاران کاملاً بی تجربگی، بی توجهی و ناآگاهی برخی افراد در مورد امنیت اطلاعات را بازی می کنند. مدیریت بسیاری از سازمان ها برای حذف این گزینه سرقت اطلاعات محرمانه، سیاست خاصی را در بین کارکنان خود دارد. هدف آن آموزش مردم در مورد نحوه رفتار و استفاده از شبکه ها است. این یک رویه نسبتاً رایج است، زیرا تهدیدهایی که از این طریق ایجاد می شود بسیار رایج هستند. برنامه های کسب مهارت های امنیت اطلاعات توسط کارکنان شرکت شامل موارد زیر است:

    • غلبه بر استفاده ناکارآمد از ابزار حسابرسی؛
    • کاهش درجه استثمار انسان وسایل خاصبرای پردازش داده ها؛
    • کاهش استفاده از منابع و دارایی ها؛
    • عادت کردن به دسترسی به امکانات شبکه تنها با روش های تعیین شده؛
    • تخصیص مناطق نفوذ و تعیین قلمرو مسئولیت.

    وقتی هر کارمند می فهمد که سرنوشت مؤسسه به عملکرد مسئولانه وظایف محول شده به او بستگی دارد، سعی می کند به تمام قوانین پایبند باشد. قبل از افراد باید وظایف مشخصی تعیین کرد و نتایج به دست آمده را توجیه کرد.

    شرایط حریم خصوصی چگونه نقض می شود؟

    خطرات و تهدیدات برای امنیت اطلاعات تا حد زیادی با به دست آوردن غیرقانونی اطلاعاتی که نباید در دسترس باشد، مرتبط است خارجی ها. اولین و رایج ترین کانال های نشت همه هستند راه های ممکنارتباطات و ارتباطات در زمانی که به نظر می رسد مکاتبات شخصی فقط برای دو طرف در دسترس است، توسط افراد ذینفع رهگیری می شود. اگرچه افراد معقول درک می کنند که انتقال چیزی بسیار مهم و راز از راه های دیگر ضروری است.

    از آنجایی که بسیاری از اطلاعات در حال حاضر در رسانه های قابل حمل ذخیره می شود، مهاجمان به طور فعال در حال تسلط و رهگیری اطلاعات از طریق آن هستند این گونهفن آوری. گوش دادن به کانال های ارتباطی بسیار محبوب است، فقط در حال حاضر تمام تلاش های نوابغ فنی با هدف شکستن موانع محافظ تلفن های هوشمند است.

    اطلاعات محرمانه ممکن است ناخواسته توسط کارکنان سازمان افشا شود. آنها ممکن است مستقیماً تمام "ظاهر و رمزهای عبور" را ارائه ندهند، بلکه فقط مهاجم را در مسیر درست هدایت می کنند. به عنوان مثال، افراد بدون اینکه بدانند، اطلاعاتی را در مورد مکان اسناد مهم گزارش می دهند.

    فقط زیردستان همیشه آسیب پذیر نیستند. پیمانکاران همچنین می توانند اطلاعات محرمانه را در جریان مشارکت ارائه دهند.

    چگونه امنیت اطلاعات توسط ابزارهای نفوذ فنی نقض می شود؟

    تضمین امنیت اطلاعات تا حد زیادی به دلیل استفاده از قابل اعتماد است وسایل فنیحفاظت. اگر سیستم پشتیبانی کارآمد و مؤثر باشد، حداقل در خود تجهیزات، پس این نیمی از موفقیت است.

    اساساً نشت اطلاعات از طریق کنترل سیگنال های مختلف فراهم می شود. چنین روش هایی شامل ایجاد منابع تخصصی انتشار یا سیگنال های رادیویی است. دومی می تواند الکتریکی، صوتی یا ارتعاشی باشد.

    اغلب از دستگاه های نوری استفاده می شود که امکان خواندن اطلاعات از نمایشگرها و نمایشگرها را فراهم می کند.

    انواع دستگاه ها طیف گسترده ای از روش ها را برای معرفی و استخراج اطلاعات توسط نفوذگران تعیین می کنند. علاوه بر روش های فوق، هوش تلویزیونی، عکاسی و تصویری نیز وجود دارد.

    با توجه به چنین فرصت های گسترده ای، ممیزی امنیت اطلاعات در درجه اول شامل بررسی و تجزیه و تحلیل عملکرد ابزارهای فنی برای محافظت از داده های محرمانه است.

    چه چیزی دسترسی غیرمجاز به اطلاعات شرکت در نظر گرفته می شود؟

    مدیریت ریسک امنیت اطلاعات بدون جلوگیری از تهدیدات دسترسی غیرمجاز غیرممکن است.

    یکی از برجسته ترین نمایندگان این روش هک کردن سیستم امنیتی دیگران، تخصیص شناسه کاربری است. به این روش «ماسکاراد» می گویند. دسترسی غیرمجاز در این مورد شامل استفاده از داده های احراز هویت است. یعنی هدف متخلف دریافت رمز عبور یا هر شناسه دیگری است.

    عوامل مخرب می توانند از درون جسم یا از بیرون تأثیر بگذارند. آنها می توانند اطلاعات مورد نیاز خود را از منابعی مانند گزارش حسابرسی یا ابزارهای حسابرسی دریافت کنند.

    اغلب، مهاجم سعی می کند سیاست تزریق را اعمال کند و از روش های به ظاهر قانونی استفاده کند.

    دسترسی غیرمجاز برای منابع اطلاعاتی زیر اعمال می‌شود:

    • وب سایت و هاست خارجی؛
    • شبکه بی سیم سازمانی؛
    • پشتیبان گیری از داده ها

    راه ها و روش های دسترسی غیرمجاز بی شمار است. مهاجمان به دنبال محاسبات اشتباه و شکاف در پیکربندی و معماری نرم افزار هستند. آنها با تغییر نرم افزار داده ها را دریافت می کنند. برای خنثی کردن و آرام کردن هوشیاری، متخلفان بدافزار و بمب های منطقی را راه اندازی می کنند.

    تهدیدات قانونی برای امنیت اطلاعات شرکت چیست؟

    مدیریت ریسک امنیت اطلاعات در زمینه های مختلفی کار می کند، زیرا هدف اصلی آن ارائه حفاظت جامع و جامع از شرکت در برابر نفوذ شخص ثالث است.

    مهمتر از دستورالعمل فنی، جنبه قانونی نیست. بنابراین، که به نظر می رسد، برعکس، باید از منافع دفاع کند، معلوم می شود اطلاعات بسیار مفیدی به دست می آید.

    نقض در مورد جنبه قانونی ممکن است مربوط به حقوق مالکیت، حق چاپ و حق ثبت اختراع باشد. این دسته همچنین شامل استفاده غیرقانونی از نرم افزارها از جمله واردات و صادرات می شود. تخلف از مقررات قانونی تنها با رعایت نکردن مفاد قرارداد یا چارچوب قانونیبطور کلی.

    چگونه اهداف امنیت اطلاعات را تعیین کنیم؟

    تضمین امنیت اطلاعات با ایجاد منطقه حفاظتی آغاز می شود. لازم است به وضوح مشخص شود که چه چیزی و از چه کسی باید محافظت شود. برای انجام این کار، پرتره یک مجرم بالقوه و همچنین روش های احتمالی هک و نفوذ تعیین می شود. برای تعیین اهداف، اولین قدم صحبت با مدیریت است. مناطق اولویت دار برای حفاظت را پیشنهاد خواهد کرد.

    از این لحظه، ممیزی امنیت اطلاعات آغاز می شود. این به شما امکان می دهد تعیین کنید که در چه نسبتی باید از روش های فن آوری و روش های تجاری استفاده کنید. نتیجه این فرآیند فهرست نهایی فعالیت‌ها است که اهداف پیش روی واحد را برای اطمینان از محافظت در برابر نفوذ غیرمجاز تثبیت می‌کند. روش حسابرسی با هدف شناسایی لحظات بحرانی و نقاط ضعف سیستم است که با عملکرد عادی و توسعه شرکت تداخل دارد.

    پس از تعیین اهداف، مکانیسمی برای اجرای آنها نیز ایجاد می شود. ابزارهایی برای کنترل و به حداقل رساندن ریسک ها در حال شکل گیری است.

    دارایی ها چه نقشی در تحلیل ریسک دارند؟

    خطرات امنیت اطلاعات یک سازمان مستقیماً بر دارایی های شرکت تأثیر می گذارد. به هر حال، هدف مهاجمان به دست آوردن اطلاعات ارزشمند است. از دست دادن یا افشای آن ناگزیر منجر به زیان خواهد شد. آسیب ناشی از یک نفوذ غیرمجاز می تواند تأثیر مستقیم داشته باشد یا فقط به طور غیر مستقیم. یعنی اقدامات غیرقانونی علیه سازمان می تواند منجر به از دست دادن کامل کنترل بر تجارت شود.

    میزان خسارت با توجه به دارایی های در اختیار سازمان برآورد می شود. منابع تحت تأثیر همه منابعی هستند که به هر طریقی در دستیابی به اهداف مدیریت کمک می کنند. تحت دارایی های شرکت به معنای تمام ارزش های مشهود و نامشهود است که به تولید درآمد کمک می کند.

    دارایی ها چند نوع هستند:

    • مواد؛
    • انسان؛
    • اطلاعاتی
    • مالی؛
    • فرآیندها؛
    • برند و اعتبار

    آخرین نوع دارایی بیش از همه از نفوذ غیرمجاز رنج می برد. این به این دلیل است که هرگونه خطر واقعی امنیت اطلاعات بر روی تصویر تأثیر می گذارد. مشکلات در این زمینه به طور خودکار احترام و اعتماد به چنین شرکتی را کاهش می دهد، زیرا هیچ کس نمی خواهد اطلاعات محرمانه او عمومی شود. هر سازمانی که به خود احترام می گذارد از منابع اطلاعاتی خود محافظت می کند.

    عوامل مختلفی بر میزان و میزان آسیب دیدن دارایی ها تأثیر می گذارد. آنها به خارجی و داخلی تقسیم می شوند. تأثیر پیچیده آنها، به عنوان یک قاعده، به طور همزمان به چندین گروه از منابع ارزشمند مربوط می شود.

    کل تجارت شرکت بر روی دارایی ها بنا شده است. در فعالیت های هر موسسه ای در هر حجمی حضور دارند. فقط برای برخی، برخی از گروه ها اهمیت بیشتری دارند و برخی دیگر اهمیت کمتری دارند. بسته به نوع دارایی هایی که مهاجمان توانسته اند تحت تأثیر قرار دهند، نتیجه بستگی دارد، یعنی آسیب ایجاد شده.

    ارزیابی ریسک امنیت اطلاعات به شما امکان می دهد تا دارایی های اصلی را به وضوح شناسایی کنید، و اگر آنها تحت تأثیر قرار گرفتند، مملو از زیان های جبران ناپذیر برای شرکت است. خود مدیریت باید به این گروه از منابع ارزشمند توجه کند، زیرا ایمنی آنها به نفع مالکان است.

    منطقه اولویت برای بخش امنیت اطلاعات توسط دارایی های کمکی اشغال شده است. یک شخص خاص مسئول حفاظت از آنها است. ریسک های مربوط به آن ها حیاتی نیستند و تنها بر سیستم مدیریت تاثیر می گذارند.

    عوامل امنیت اطلاعات چیست؟

    محاسبه خطرات امنیت اطلاعات شامل ساخت یک مدل تخصصی است. گره هایی را نشان می دهد که توسط پیوندهای عملکردی به یکدیگر متصل هستند. گره ها همان دارایی هستند. این مدل از منابع ارزشمند زیر استفاده می کند:

    • مردم؛
    • استراتژی؛
    • فناوری ها؛
    • فرآیندها

    دنده هایی که آنها را به هم می چسبانند از عوامل خطر هستند. برای شناسایی تهدیدات احتمالی، بهتر است مستقیماً با بخش یا متخصصی که با این دارایی ها سروکار دارد تماس بگیرید. هر عامل خطر بالقوه می تواند پیش نیاز شکل گیری یک مشکل باشد. این مدل تهدیدهای اصلی را که ممکن است ایجاد شود برجسته می کند.

    در مورد تیم، مشکل در سطح آموزشی پایین، کمبود پرسنل، کمبود لحظه ای انگیزه است.

    خطرات فرآیندها شامل تغییرپذیری محیط خارجی، اتوماسیون ضعیف تولید و تفکیک نامشخص وظایف است.

    فناوری ها ممکن است از نرم افزار قدیمی، عدم کنترل کاربران رنج ببرند. مشکلات مربوط به چشم انداز ناهمگون فناوری اطلاعات نیز ممکن است دلیل آن باشد.

    مزیت این مدل این است که مقادیر آستانه خطرات امنیت اطلاعات به وضوح مشخص نشده است، زیرا مشکل از زوایای مختلف در نظر گرفته می شود.

    ممیزی امنیت اطلاعات چیست؟

    یک رویه مهم در زمینه امنیت اطلاعات یک شرکت، حسابرسی است. این یک بررسی از وضعیت فعلی سیستم حفاظت از نفوذ است. فرآیند حسابرسی میزان انطباق با الزامات تعیین شده را تعیین می کند. برای برخی از موسسات واجب و برای برخی دیگر ماهیت مشاوره ای دارد. بررسی در رابطه با اسناد ادارات حسابداری و مالیات، وسایل فنی و بخش مالی و اقتصادی انجام می شود.

    ممیزی برای درک سطح امنیت و در صورت عدم تطابق آن، بهینه سازی در حد نرمال ضروری است. این روش همچنین به شما امکان می دهد امکان سنجی سرمایه گذاری های مالی در امنیت اطلاعات را ارزیابی کنید. در نهایت، متخصص توصیه هایی در مورد میزان هزینه های مالی برای به حداکثر رساندن کارایی ارائه می دهد. ممیزی به شما امکان می دهد کنترل ها را تنظیم کنید.

    تخصص در رابطه با امنیت اطلاعات به چند مرحله تقسیم می شود:

    1. تعیین اهداف و راه های رسیدن به آنها.
    2. تجزیه و تحلیل اطلاعات مورد نیاز برای رسیدن به حکم.
    3. پردازش داده های جمع آوری شده
    4. نظر کارشناسان و توصیه ها.

    در نهایت متخصص تصمیم خود را صادر خواهد کرد. توصیه های کمیسیون اغلب با هدف تغییر تنظیمات سخت افزار و همچنین سرورها انجام می شود. اغلب از یک کسب و کار مشکل دار خواسته می شود که روش امنیتی متفاوتی را انتخاب کند. شاید برای تقویت بیشتر، کارشناسان مجموعه ای از اقدامات حفاظتی را تعیین کنند.

    کار پس از ممیزی با هدف آگاه کردن تیم در مورد مشکلات است. در صورت لزوم، به منظور افزایش آموزش کارکنان در مورد حفاظت از منابع اطلاعاتی شرکت، ارزش انجام جلسات توجیهی اضافی را دارد.

    اصول اولیه مدیریت ریسک امنیت اطلاعات

    با وجود عملیات، محصولات و خدمات مختلف، سازمان ها از پنج اصل مدیریت ریسک امنیت اطلاعات استفاده می کنند:

    ارزیابی ریسک و شناسایی نیازها

    · تنظیم مدیریت متمرکز

    اجرای سیاست های لازم و کنترل های مناسب

    آگاهی کارکنان را ارتقا دهید

    نظارت و ارزیابی اثربخشی سیاست ها و کنترل ها

    یک عامل اساسی در اجرای موثر این اصول، یک چرخه پل زدنی از فعالیت ها است تا اطمینان حاصل شود که مدیریت امنیت اطلاعات به طور مداوم بر خطرات فعلی متمرکز است. مهم است که مدیریت ارشد سازمان خطرات اختلال در فرآیندهای تجاری مرتبط با امنیت سیستم های اطلاعاتی را تشخیص دهد. مبنای توسعه و اجرای سیاست ها و انتخاب ها بودجه لازمکنترل، ارزیابی ریسک برنامه های کاربردی تجاری فردی است. اقدامات انجام شده باعث افزایش آگاهی کاربر از خطرات و سیاست های مرتبط می شود. اثربخشی کنترل ها از طریق مطالعات و ممیزی های مختلف قابل ارزیابی است. نتایج به‌دست‌آمده رویکردی برای ارزیابی ریسک بعدی و تعیین تغییرات لازم در سیاست‌ها و کنترل‌ها ارائه می‌کند. همه این اقدامات به طور متمرکز توسط سرویس امنیتی یا ستادی از متخصصان متشکل از مشاوران، نمایندگان واحدهای تجاری و مدیریت سازمان هماهنگ می شود.

    ارزیابی ریسک اولین گام در اجرای برنامه امنیت اطلاعات است. امنیت "به خودی خود" دیده نمی شود، بلکه به عنوان مجموعه ای از سیاست ها و کنترل های مرتبط طراحی شده برای ایمن سازی فرآیندهای تجاری و کاهش خطرات مرتبط است. بنابراین، شناسایی ریسک های تجاری مرتبط با امنیت اطلاعات، نقطه شروع چرخه مدیریت ریسک (امنیت اطلاعات) است.

    شناخت ریسک های امنیت اطلاعات توسط مدیریت سازمان و همچنین مجموعه اقداماتی با هدف شناسایی و مدیریت این ریسک ها عامل مهمی در تدوین برنامه امنیت اطلاعات است. این رویکرد مدیریتی تضمین می‌کند که امنیت اطلاعات در سطوح پایین‌تر سازمانی جدی گرفته می‌شود و متخصصان امنیت اطلاعات منابع لازم برای اجرای مؤثر برنامه را در اختیار دارند.

    روش‌های ارزیابی ریسک مختلفی وجود دارد، از بحث غیررسمی ریسک تا روش‌های نسبتاً پیچیده شامل استفاده از ابزارهای نرم‌افزاری تخصصی. با این حال، تجربه جهانی رویه‌های مدیریت ریسک موفق، فرآیند نسبتاً ساده‌ای را توصیف می‌کند که شامل مشارکت بخش‌های مختلف مؤسسات مالی با مشارکت متخصصان با دانش فرآیندهای تجاری، متخصصان فنی و متخصصان امنیت اطلاعات است. شایان ذکر است که درک خطرات، کمیت دقیق آنها، از جمله احتمال وقوع یک حادثه یا هزینه خسارت را فراهم نمی کند. چنین داده‌هایی در دسترس نیستند زیرا ممکن است تلفات شناسایی نشود و مدیریت ممکن است مطلع نشود. علاوه بر این، اطلاعات محدودی در مورد هزینه های کامل ترمیم آسیب های ناشی از کنترل های امنیتی ضعیف و همچنین هزینه های عملیاتی این مکانیسم ها (کنترل ها) وجود دارد. با توجه به تغییرات مداوم در فناوری و همچنین ابزارها و ابزارهای نرم افزاری در دسترس مهاجمان، استفاده از آمار جمع آوری شده در سال های گذشته مورد تردید است. در نتیجه، مقایسه دقیق هزینه کنترل ها با خطر از دست دادن به منظور تعیین اینکه کدام کنترل مقرون به صرفه تر است، دشوار است. در هر صورت، مدیران واحدهای تجاری و متخصصان امنیت اطلاعات هنگام تصمیم گیری در مورد انتخاب کنترل ها (روش ها) لازم باید به بهترین اطلاعاتی که در اختیار دارند تکیه کنند.

    مدیران واحدهای تجاری باید در درجه اول مسئول تعیین سطح امنیت (محرمانه بودن) منابع اطلاعاتی که از فرآیندهای تجاری پشتیبانی می کنند، باشند. این مدیران واحدهای تجاری هستند که به بهترین وجه می توانند تعیین کنند که کدام یک از منابع اطلاعاتی مهم ترین است و همچنین تأثیر احتمالی آن بر تجارت در صورت نقض یکپارچگی، محرمانه بودن یا در دسترس بودن آن. علاوه بر این، مدیران واحدهای تجاری ممکن است به کنترل هایی اشاره کنند که می تواند به فرآیندهای تجاری آسیب برساند. بنابراین، با مشارکت آنها در انتخاب کنترل ها، می توان اطمینان حاصل کرد که کنترل ها با الزامات مطابقت دارند و با موفقیت اجرا می شوند.

    امنیت اطلاعات باید به طور مداوم مورد توجه قرار گیرد تا از کفایت و اثربخشی کنترل ها اطمینان حاصل شود. اطلاعات مدرن و فناوری های مرتبط و همچنین عوامل مرتبط با امنیت اطلاعات به طور مداوم در حال تغییر هستند. چنین عواملی عبارتند از تهدیدها، فناوری‌ها و پیکربندی‌های سیستم، آسیب‌پذیری‌های شناخته شده در نرم افزار، سطح قابلیت اطمینان سیستم های خودکارو داده های الکترونیکی، اهمیت داده ها و عملیات. گروه راهبری در درجه اول به عنوان مشاور یا مشاور واحدهای تجاری عمل می کند و نمی تواند روش ها (وسایل) امنیت اطلاعات را تحمیل کند. به طور کلی، گروه هدایت کننده باید (1) یک کاتالیزور (شتاب دهنده) فرآیند باشد و اطمینان حاصل کند که خطرات امنیت اطلاعات به طور مداوم در نظر گرفته می شود. (2) یک منبع مشاوره مرکزی برای واحدهای سازمانی. (3) ابزاری برای اطلاع رسانی به مدیریت سازمان در مورد وضعیت امنیت اطلاعات و اقدامات انجام شده. علاوه بر این، گروه هدایت به شما امکان می دهد وظایف محول شده را به صورت متمرکز مدیریت کنید، در غیر این صورت ممکن است این وظایف توسط بخش های مختلف سازمان تکرار شود. کارکنان سازمان باید در جنبه های مختلف برنامه امنیت اطلاعات مشارکت داشته و از مهارت و دانش مناسب برخوردار باشند. سطح مورد نیاز از حرفه ای بودن کارکنان را می توان از طریق آموزش هایی که هم توسط متخصصان سازمان و هم توسط مشاوران خارجی انجام می شود به دست آورد.

    سیاست های حوزه امنیت اطلاعات مبنای اتخاذ رویه های خاص و انتخاب ابزار (مکانیسم) کنترل (مدیریت) است. خط مشی مکانیزم اصلی است که از طریق آن مدیریت نظرات و الزامات خود را به کارکنان، مشتریان و شرکای تجاری منتقل می کند. برای امنیت اطلاعات و همچنین برای سایر حوزه های کنترل داخلی، الزامات سیاست ها مستقیماً به نتایج ارزیابی ریسک بستگی دارد. مجموعه ای جامع از خط مشی های کافی که برای کاربران قابل دسترس و قابل درک باشد، یکی از اولین گام ها در ایجاد یک برنامه امنیت اطلاعات است. شایان ذکر است که بر اهمیت حفظ (تعدیل) مستمر خط مشی ها برای پاسخ به موقع به خطرات شناسایی شده و اختلاف نظرهای احتمالی تاکید می شود.



    شایستگی کاربران پیش نیاز امنیت اطلاعات موفق است و همچنین به اطمینان از عملکرد صحیح کنترل ها کمک می کند. کاربران نمی توانند از خط مشی ای پیروی کنند که نمی دانند یا نمی دانند. ناآگاه از خطرات مرتبط با منابع اطلاعاتی یک سازمان، ممکن است نیازی به اجرای سیاست های طراحی شده برای کاهش ریسک نداشته باشند.

    مانند هر نوع فعالیت، امنیت اطلاعات برای اطمینان از کفایت (انطباق) خط‌مشی‌ها و ابزار (روش‌های) کنترل با اهداف تعیین‌شده، تحت کنترل و ارزیابی مجدد دوره‌ای است.

    کنترل ها باید در درجه اول بر روی (1) در دسترس بودن کنترل ها و روش ها و استفاده از آنها برای کاهش خطرات و (2) ارزیابی اثربخشی برنامه امنیت اطلاعات و سیاست هایی که درک کاربر را بهبود می بخشد و حوادث را کاهش می دهد، تمرکز کنند. چنین بررسی هایی شامل آزمایش ابزار (روش) کنترل، ارزیابی انطباق آنها با سیاست های سازمان، تجزیه و تحلیل حوادث امنیتی و همچنین سایر شاخص های اثربخشی برنامه امنیت اطلاعات است. عملکرد گروه فرمان را می توان بر اساس، به عنوان مثال، شاخص های زیر ارزیابی کرد (اما نه محدود به):

    تعداد آموزش ها و جلسات برگزار شده؛

    تعداد ارزیابی (های) ریسک انجام شده؛

    تعداد متخصصان تایید شده؛

    عدم وجود حوادثی که مانع کار کارکنان سازمان می شود.

    · کاهش تعداد پروژه های جدید اجرا شده با تاخیر به دلیل مشکلات امنیت اطلاعات.

    انطباق کامل یا انحرافات توافق شده و ثبت شده از حداقل الزامات امنیت اطلاعات؛

    · کاهش تعداد حوادث مربوط به دسترسی غیرمجاز، از دست دادن یا تحریف اطلاعات.

    نظارت مطمئناً سازمان را با سیاست های پذیرفته شده امنیت اطلاعات منطبق می کند، اما مزایای کامل نظارت حاصل نمی شود مگر اینکه از نتایج برای بهبود برنامه امنیت اطلاعات استفاده شود. تجزیه و تحلیل نتایج کنترل به متخصصان امنیت اطلاعات و مدیران واحدهای تجاری ابزاری را برای (1) ارزیابی مجدد خطرات شناسایی شده قبلی، (2) شناسایی حوزه های مشکل جدید، (3) ارزیابی مجدد کفایت و مناسب بودن کنترل ها و روش های موجود ارائه می کند. کنترل (مدیریت) و اقدامات برای تضمین امنیت اطلاعات، (4) تعیین نیاز به ابزارها و مکانیسم های جدید کنترل، (5) هدایت مجدد تلاش های کنترلی (اقدامات کنترلی). علاوه بر این، نتایج را می توان برای ارزیابی عملکرد مدیران تجاری مسئول درک و کاهش ریسک در واحدهای تجاری مورد استفاده قرار داد.
    مهم است که اطمینان حاصل شود که (1) متخصصان امنیت اطلاعات با توسعه روش ها و ابزارها (برنامه ها) همگام هستند و آخرین اطلاعات در مورد آسیب پذیری سیستم ها و برنامه های اطلاعاتی را دارند، (2) مدیریت ارشد تضمین می کند که منابع لازم را در اختیار دارد. برای این.

    روشهای تحلیل

    PEST مخفف چهار کلمه انگلیسی است: P - Political-legal - policy and legal، E - Esopomis - Economic، S - Sociocultural - sociocultural، T - Technological force - عوامل تکنولوژیک.

    تجزیه و تحلیل PEST شامل شناسایی و ارزیابی تأثیر عوامل محیطی کلان بر نتایج فعالیت های فعلی و آتی شرکت است. .

    چهار گروه از عوامل وجود دارد که بیشترین اهمیت را برای استراتژی شرکت دارند:

    سیاسی و حقوقی؛

    اقتصادی؛

    فرهنگی اجتماعی؛

    فن آوری.

    هدف از تجزیه و تحلیل PEST ردیابی (نظارت) تغییرات در محیط کلان در چهار حوزه کلیدی و شناسایی روندها و رویدادهایی است که تحت کنترل شرکت نیستند، اما بر نتایج تصمیمات استراتژیک اتخاذ شده تأثیر می گذارند.

    جدول 1. تجزیه و تحلیل PEST

    خط مشی آر اقتصاد E
    1. ثبات دولت 2. تغییر در قوانین 3. نفوذ دولت بر صنایع 4. مقررات دولتی رقابت در صنعت 5. سیاست مالیاتی 1. مشخصات کلی وضعیت اقتصادی (رشد، تثبیت، کاهش) 2. نرخ ارز ملی و نرخ تامین مالی مجدد 3. نرخ تورم 4. نرخ بیکاری 5. قیمت انرژی
    جامعه اس فن آوری تی
    1. تغییرات جمعیتی 2. تغییر در ساختار درآمد 3. نگرش نسبت به کار و اوقات فراغت 4. تحرک اجتماعی جمعیت 5. فعالیت مصرف کننده 1. سیاست فناوری دولتی 2. روندهای تحقیق و توسعه قابل توجه 3. محصولات جدید (نرخ نوآوری و جذب فناوری های جدید) 4. ثبت اختراعات جدید

    عامل سیاسیمحیط خارجی در درجه اول به منظور داشتن ایده روشنی از نیات مقامات دولتی در رابطه با توسعه جامعه و ابزارهایی که دولت قصد دارد سیاست خود را اجرا کند، مورد مطالعه قرار می گیرد.

    تحلیل و بررسی جنبه اقتصادیمحیط خارجی به ما این امکان را می دهد که بفهمیم منابع اقتصادی چگونه در سطح دولتی شکل گرفته و توزیع می شوند. برای اکثر شرکت ها، این مهم ترین شرط برای فعالیت تجاری آنها است.

    در حال مطالعه جزء اجتماعیمحیط خارجی با هدف درک و ارزیابی تأثیر بر تجارت پدیده های اجتماعی مانند نگرش مردم به کیفیت زندگی، تحرک مردم، فعالیت مصرف کننده و غیره است.

    تحلیل و بررسی جزء تکنولوژیکیپیش بینی فرصت های مرتبط با توسعه علم و فناوری، تطبیق به موقع با تولید و فروش محصول نویدبخش فناوری، پیش بینی لحظه رها شدن فناوری مورد استفاده را ممکن می سازد.

    روش انجام تجزیه و تحلیل PE5T.

    اختصاص دهید مراحل بعدیتحلیل خارجی:

    1. فهرستی از عوامل استراتژیک خارجی در حال توسعه است که احتمال اجرا و تأثیر زیادی بر عملکرد شرکت دارند.

    2. اهمیت (احتمال اجرا) هر رویداد برای یک شرکت معین با اختصاص وزن معینی از یک (مهمترین) به صفر (ناچیز) ارزیابی می شود. مجموع اوزان باید برابر با یک باشد که با نرمال سازی تضمین می شود.

    3. ارزیابی میزان تأثیر هر عامل-رویداد بر استراتژی شرکت در مقیاس 5 درجه ای ارائه می شود: "پنج" - تأثیر قوی، خطر جدی. "واحد" - عدم تاثیر، تهدید.

    4. برآوردهای وزنی با ضرب وزن عامل در قدرت تأثیر آن تعیین می شود و کل برآورد وزنی برای شرکت داده شده محاسبه می شود.

    نمره کل نشان دهنده میزان آمادگی شرکت برای پاسخگویی به عوامل محیطی فعلی و پیش بینی شده است.

    جدول 2. نتایج تحلیل عوامل استراتژیک خارجی

    در این حالت امتیاز 05/3 نشان می دهد که پاسخ شرکت به عوامل استراتژیک محیطی در سطح متوسط ​​است.

    روش SWOT مورد استفاده برای تجزیه و تحلیل محیطی یک رویکرد به طور گسترده شناخته شده است که امکان مطالعه مشترک محیط خارجی و داخلی را فراهم می کند.

    با استفاده از روش تحلیل SWOT می توان بین نقاط قوت و ضعف ذاتی سازمان و تهدیدها و فرصت های بیرونی ارتباط برقرار کرد. روش شامل ابتدا شناسایی است نقاط قوت و ضعف،و تهدیدها و فرصت هاو پس از آن ایجاد زنجیره های پیوندی بین آنهاست که بعداً می توان از آن برای تدوین استراتژی سازمان استفاده کرد.

    تامپسون و استریکلند مجموعه تقریبی از ویژگی‌های زیر را پیشنهاد کردند که نتیجه‌گیری آن باید فهرستی از نقاط ضعف و قوت سازمان و همچنین فهرستی از تهدیدها و فرصت‌ها برای آن را در محیط خارجی به‌دست آورد.

    نقاط قوت:

    شایستگی برجسته؛

    منابع مالی کافی؛

    صلاحیت بالا؛

    شهرت خوب در بین خریداران؛

    رهبر مشهور بازار؛

    استراتژیست مبتکر در حوزه های عملکردی سازمان؛

    امکان کسب صرفه جویی از رشد حجم تولید؛

    امنیت (حداقل در جایی) از فشار رقابتی قوی؛

    تکنولوژی مناسب؛

    مزایای هزینه؛

    مزایای در زمینه رقابت؛

    وجود توانایی های نوآورانه و امکان اجرای آنها؛

    مدیریت اثبات شده

    نقاط ضعف:

    هیچ جهت راهبردی روشنی وجود ندارد.

    بدتر شدن موقعیت رقابتی؛

    تجهیزات قدیمی؛

    سود کمتر به دلیل…;

    فقدان استعداد مدیریتی و عمق مدیریت مشکلات؛

    فقدان انواع خاصی از صلاحیت ها و شایستگی های کلیدی؛

    ردیابی ضعیف فرآیند اجرای استراتژی؛

    رنج ناشی از مشکلات تولید داخلی؛

    آسیب پذیری در برابر فشار رقابتی؛

    عقب ماندگی در تحقیق و توسعه؛

    خط تولید بسیار باریک؛

    درک ضعیف از بازار؛

    معایب رقابتی؛

    توانایی بازاریابی زیر متوسط؛

    عدم تامین بودجه تغییرات لازم در استراتژی.

    ممکن ها:

    ورود به بازارهای جدید یا بخش های بازار؛

    گسترش خط تولید؛

    افزایش، تنوع در محصولات مرتبط؛

    افزودن محصولات مرتبط؛

    ادغام عمودی؛

    توانایی انتقال به گروهی با استراتژی بهتر؛

    رضایت در بین شرکت های رقیب؛

    شتاب رشد بازار

    امکان حضور رقبای جدید؛

    رشد در فروش محصول جایگزین؛

    کاهش رشد بازار؛

    سیاست نامطلوب دولت؛

    افزایش فشار رقابتی؛

    رکود و محو شدن چرخه تجاری؛

    افزایش قدرت چانه زنی خریداران و تامین کنندگان؛

    تغییر نیازها و سلیقه مشتریان؛

    تغییرات جمعیتی نامطلوب

    عنوان فرعی: روش انجام تحلیل و ساخت ماتریس تحلیل SWOT

    سازمان می تواند هر یک از چهار بخش فهرست را با آن دسته از ویژگی های محیط بیرونی و داخلی تکمیل کند که نشان دهنده موقعیت خاصی است که در آن قرار دارد.

    پس از تهیه فهرست مشخصی از نقاط قوت و ضعف سازمان و همچنین تهدیدها و فرصت ها، مرحله ایجاد پیوند بین آنها آغاز می شود. برای ایجاد این پیوندها، یک ماتریس SWOT کامپایل می شود که به شکل زیر است (شکل 1).

    برنج. 1. ماتریس تجزیه و تحلیل SWOT

    در سمت چپ، دو بلوک (نقاط قوت، ضعف) وجود دارد که به ترتیب، تمام ضلع های سازمان شناسایی شده در مرحله اول تجزیه و تحلیل نوشته شده است.

    در قسمت بالایی ماتریس نیز دو بلوک (فرصت ها و تهدیدها) وجود دارد که تمامی فرصت ها و تهدیدهای شناسایی شده در آن نوشته شده است. در تقاطع بلوک ها، چهار فیلد تشکیل می شود:

    SIV (قدرت و فرصت ها)؛ SIS (قوت و تهدید)؛ WLS (ضعف و فرصت ها)؛ SLN (ضعف و تهدید). در هر یک از زمینه ها، محقق باید تمام ترکیبات زوج ممکن را در نظر بگیرد و مواردی را که باید در هنگام توسعه استراتژی رفتار سازمان مورد توجه قرار گیرد، برجسته کند.

    برای آن دسته از زوج‌هایی که از حوزه SIV انتخاب شده‌اند، باید استراتژی استفاده از نقاط قوت سازمان به منظور بازگشت فرصت‌هایی که در محیط بیرونی به وجود آمده است، تدوین شود.

    برای آن دسته از زوج هایی که خود را در زمینه SLV یافته اند، استراتژی باید به گونه ای ساخته شود که با توجه به فرصت های به وجود آمده، سعی در رفع نقاط ضعف در سازمان داشته باشند.

    اگر زوج در میدان SIS هستند، استراتژی باید شامل استفاده از قدرت سازمان برای از بین بردن تهدید باشد.

    در نهایت، برای زوج‌هایی که در زمینه SLN فعالیت می‌کنند، سازمان باید راهبردی را ایجاد کند که به آن اجازه دهد هم ضعف را از بین ببرد و هم سعی کند از تهدیدی که بر سر آن است جلوگیری کند.

    هنگام تدوین استراتژی ها، باید به خاطر داشت که فرصت ها و تهدیدها می توانند به نقطه مقابل خود تبدیل شوند. بنابراین، اگر رقیب از آن استفاده کند، یک فرصت استفاده نشده می تواند به یک تهدید تبدیل شود. یا برعکس، یک تهدید با موفقیت پیشگیری می‌کند می‌تواند یک سازمان را باز کند ویژگی های اضافیدر صورتی که رقبا نتوانند همان تهدید را از بین ببرند.

    عنوان فرعی: ساختن یک ماتریس از فرصت ها

    برای تجزیه و تحلیل موفقیت آمیز محیط سازمان با استفاده از روش تحلیل SWOT، نه تنها توانایی کشف تهدیدها و فرصت ها، بلکه ارزیابی آنها از نظر اهمیت و میزان تأثیر آنها بر استراتژی سازمان نیز مهم است.

    برای ارزیابی فرصت ها، از روش قرار دادن هر فرصت خاص بر روی ماتریس فرصت استفاده می شود (شکل 2).

    برنج. 2. ماتریس فرصت

    ماتریس به صورت زیر ساخته شده است:

    - از بالا به صورت افقی، میزان تأثیر فرصت بر فعالیت های سازمان به تعویق افتاده است (قوی، متوسط، کوچک).

    - در سمت چپ به صورت عمودی، احتمال اینکه سازمان بتواند از فرصت استفاده کند به تعویق افتاده است (بالا، متوسط، کم).

    در ماتریس، 9 فیلد قابلیت معانی متفاوتی برای سازمان دارند.

    فرصت هایی که در زمینه های BC، B، Y و CC قرار می گیرند پراهمیتبرای سازمان، و باید از آنها استفاده شود.

    فرصت هایی که در حوزه های SM، NU و NM قرار می گیرند، عملاً شایسته توجه سازمان نیستند.

    عنوان فرعی: ساخت ماتریس از "تهدیدها"

    یک ماتریس مشابه برای ارزیابی خطر کامپایل شده است (شکل 3):

    - از بالا به صورت افقی رسوب می کنند عواقب احتمالیبرای سازمان، که ممکن است منجر به اجرای تهدید شود (تخریب، شرایط بحرانی، وضعیت جدی، "کبودی های خفیف").

    - احتمال تحقق تهدید (بالا، متوسط، کم) به صورت عمودی در سمت چپ ترسیم می شود.

    برنج. 3. ماتریس تهدید

    آن تهدیداتی که در زمینه های BP، VC و SR قرار می گیرند، خطر بسیار زیادی برای سازمان ایجاد می کنند و نیاز به حذف فوری و اجباری دارند.

    تهدیداتی که در حوزه BT، NC و NR افتاده است نیز باید در حوزه مدیریت عالی باشد و در اولویت رفع شود.

    در مورد تهدیدات مستقر در زمینه های NK، ST و VL، رویکردی دقیق و مسئولانه برای رفع آنها لازم است. اگر چه این وظیفه حذف اولیه آنها را تعیین نمی کند. تهدیدهایی که به میدان های باقیمانده افتاده است نیز نباید از دید رهبری سازمان دور بماند. توسعه آنها باید به دقت نظارت شود.

    عنوان فرعی: مشخصات محیطی

    در کنار روش های بررسی تهدیدها، فرصت ها، نقاط قوت و ضعف سازمان، می توان از روش تدوین مشخصات آن برای تحلیل محیط استفاده کرد. این روش برای کامپایل یک نمایه به طور جداگانه از محیط کلان، محیط نزدیک و محیط داخلی راحت است. با استفاده از روش پروفایل محیطی، می توان اهمیت نسبی را برای سازماندهی عوامل محیطی فردی ارزیابی کرد.

    روش پروفایل محیطی به شرح زیر است. عوامل محیطی فردی در جدول مشخصات محیطی فهرست شده اند (شکل 4). هر یک از عوامل به روش کارشناسی ارزیابی می شود:

    اهمیت برای صنعت در مقیاس: 3 - بزرگ، 2 - متوسط، 1 - ضعیف.

    تأثیر بر سازمان در مقیاس: 3 - قوی، 2 - متوسط، 1 - ضعیف، 0 - بدون تاثیر.

    جهت تأثیر بر مقیاس: +1 - مثبت، -1 - منفی.

    برنج. 4. جدول مشخصات محیطی

    علاوه بر این، هر سه ارزیابی تخصصی ضرب می‌شوند و یک ارزیابی یکپارچه به دست می‌آید که درجه اهمیت این عامل را برای سازمان نشان می‌دهد. از این ارزیابی، مدیریت می تواند به این نتیجه برسد که کدام یک از عوامل محیطی برای سازمان آنها اهمیت نسبی دارند و در نتیجه مستحق جدی ترین توجه هستند و کدام عوامل مستحق توجه کمتر هستند.

    تجزیه و تحلیل محیطی برای توسعه استراتژی یک سازمان بسیار مهم است و فرآیندی بسیار پیچیده است که مستلزم نظارت دقیق بر فرآیندهای رخ داده در محیط، ارزیابی عوامل و ایجاد ارتباط بین عوامل و آن نقاط قوت و ضعف سازمان و نیز است. فرصت ها و تهدیدهایی که در محیط بیرونی وجود دارد.

    بدیهی است که بدون شناخت محیط، سازمان قادر به وجود نخواهد بود. با این حال، مانند یک قایق بدون سکان، پارو یا بادبان در اطراف شناور نیست. سازمان محیط را مطالعه می کند تا از پیشرفت موفقیت آمیز خود در جهت اهداف خود اطمینان حاصل کند. بنابراین در ساختار فرآیند مدیریت استراتژیک، تجزیه و تحلیل محیط به دنبال تعیین مأموریت سازمان و اهداف آن است.

    9.3. چرخه عمر محصول/خدمت

    هر محصول (خدمت) چرخه عمر خود را از ابتدای پیدایش (ظهور در بازار) تا پایان (انتشار آخرین نمونه) طی می کند.

    مراحل اصلی چرخه زندگی زیر قابل تشخیص است (شکل 5):

    برنج. 5. نمودار معمول چرخه عمر یک محصول در زمان

    ماتریس BCG

    محبوب ترین روش برای تجزیه و تحلیل موقعیت یک شرکت در بازار، ساخت ماتریس های پورتفولیو است. به طور معمول، چنین ماتریس‌هایی بر اساس چند متغیر مهم استراتژیک مانند نرخ رشد صنعت، اندازه بازار، جذابیت بلندمدت صنعت، وضعیت رقابتی و غیره ساخته می‌شوند. چنین ماتریس‌های دو بعدی نسبتا ساده هستند و محیط بازار روشن پرکاربردترین ماتریس ها BCG (BCG - Boston Consulting Group) و جنرال الکتریک هستند.

    ماتریس بوستون بر اساس یک مدل چرخه عمر محصول است که طبق آن یک محصول در توسعه خود چهار مرحله را طی می کند: ورود به بازار (محصول یک گربه وحشی است)، رشد (محصول یک "ستاره" است) ، بلوغ (محصول "گاو نقدی" است)) و رکود (محصول "سگ" است).

    برای ارزیابی رقابت پذیری انواع خاصی از کسب و کار، از دو معیار استفاده می شود: نرخ رشد بازار صنعت. سهم نسبی بازار

    نرخ رشد بازار به این صورت تعریف می شود میانگین وزنینرخ رشد بخش‌های مختلف بازار که شرکت در آن فعالیت می‌کند یا برابر با نرخ رشد تولید ناخالص ملی در نظر گرفته می‌شود. نرخ رشد صنعت 10 درصد یا بیشتر بالا در نظر گرفته می شود.

    سهم بازار نسبی با تقسیم سهم بازار کسب و کار مورد نظر بر سهم بازار بزرگترین رقیب تعیین می شود.

    برنج. 6. ماتریس BCG برای یک شرکت فرضی

    ارزش سهم بازار 1 محصولات - رهبران بازار - را از پیروان جدا می کند. بنابراین، تقسیم انواع کسب و کار (محصولات فردی) به چهار گروه مختلف انجام می شود (شکل 6).

    ماتریس BCG بر دو فرض استوار است:

    1. یک کسب و کار با سهم بازار قابل توجهی در نتیجه اثر مزیت رقابتی از نظر هزینه های تولید به دست می آورد. نتیجه این است که بزرگترین رقیب بیشترین سود را در هنگام فروش به قیمت های بازار و برای او حداکثر جریان مالی دارد.

    2. حضور در بازار رو به رشد به معنای افزایش نیاز به منابع مالی برای توسعه آن است. تجدید و گسترش تولید، تبلیغات فشرده و غیره. اگر نرخ رشد بازار پایین باشد، مانند یک بازار بالغ، آنگاه محصول نیاز به تامین مالی قابل توجهی ندارد.

    در صورت تحقق هر دو فرضیه، چهار گروه از بازارهای محصول را می توان متمایز کرد که مطابق با اهداف استراتژیک اولویت دار و نیازهای مالی متفاوت است:

    گربه‌های وحشی (رشد سریع/سهم کم): این گروه از محصولات می‌توانند با گسترش بازار بسیار امیدوارکننده باشند، اما برای حفظ رشد به سرمایه قابل توجهی نیاز دارند. با توجه به این دسته از محصولات، باید تصمیم گرفت که آیا سهم بازار این محصولات افزایش یابد یا تامین مالی آنها متوقف شود.

    ستاره ها (رشد سریع/سهم بالا) رهبران بازار هستند. آنها به دلیل رقابت پذیری خود سود قابل توجهی ایجاد می کنند، اما همچنین برای حفظ سهم بالایی از یک بازار پویا به بودجه نیاز دارند.

    گاوهای نقدی (رشد آهسته/سهم بالا): محصولاتی که قادر به ایجاد سود بیشتر از حد لازم برای حفظ رشد خود هستند. آنها منبع اصلی منابع مالی برای تنوع و تحقیق علمی. هدف استراتژیک اولویت «برداشت» است.

    «سگ» (رشد کند/ نسبت کم) محصولاتی هستند که هستند در یک نقطه ضعفاز نظر هزینه و جایی برای رشد ندارند. حفظ چنین کالاهایی با قابل توجهی همراه است هزینه های مالیبا شانس کمی برای بهبود استراتژی اولویت، عدم سرمایه گذاری و وجود متواضع است.

    در حالت ایده آل، سبد محصولات متعادل یک شرکت باید شامل موارد زیر باشد:

    2-3 گاو، 1-2 ستاره، چند گربه به عنوان سر استارت و شاید تعداد کمی سگ. بیش از حد کالاهای قدیمی ("سگ") نشان دهنده خطر رکود است، حتی اگر عملکرد فعلی شرکت نسبتا خوب باشد. بیش از حد محصولات جدید می تواند منجر به مشکلات مالی شود.

    در یک پورتفولیوی شرکتی پویا، مسیرهای توسعه زیر (سناریوها) متمایز می شوند (شکل 7).

    برنج. 7. سناریوهای توسعه اصلی

    "مسیر محصول". این شرکت با سرمایه گذاری در وجوه تحقیق و توسعه دریافتی از «گاوهای نقدی» با محصولی اساساً جدید وارد بازار می شود که جای یک ستاره را می گیرد.

    «مسیر پیرو». وجوه حاصل از "گاوهای نقدی" در یک محصول - "گربه" سرمایه گذاری می شود که بازار آن تحت سلطه رهبر است. این شرکت از استراتژی تهاجمی افزایش سهم بازار پیروی می کند و محصول - "گربه" به یک "ستاره" تبدیل می شود.

    "مسیر شکست". به دلیل سرمایه گذاری ناکافی، محصول ستاره موقعیت پیشرو خود را در بازار از دست می دهد و به یک محصول "گربه" تبدیل می شود.

    "مسیر حد وسط". محصول - "گربه" نمی تواند سهم خود را در بازار افزایش دهد و وارد مرحله بعدی (محصول - "سگ") می شود.

    هنگام پیاده سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) در یک سازمان، یکی از موانع اصلی معمولاً سیستم مدیریت ریسک است. استدلال در مورد مدیریت ریسک امنیت اطلاعات مشابه مشکل UFO است. از یک طرف، به نظر می رسد هیچ کس در اطراف این را ندیده است و خود رویداد بعید به نظر می رسد، از طرف دیگر، شواهد زیادی وجود دارد، صدها کتاب نوشته شده است، حتی رشته های علمی مرتبط و انجمن های صاحب نظران درگیر هستند. در این فرآیند تحقیقاتی و طبق معمول سرویس های ویژه ای در این زمینه با دانش سری ویژه ای دارند.

    الکساندر آستاخوف، CISA، 2006

    معرفی

    هیچ اتفاق نظری بین متخصصان امنیت اطلاعات در مورد مسائل مدیریت ریسک وجود ندارد. کسی در حال انکار است روش های کمیارزیابی ریسک، کسی کیفی را انکار می کند، کسی به طور کلی امکان سنجی و امکان ارزیابی ریسک را انکار می کند، کسی مدیریت سازمان را به آگاهی ناکافی از اهمیت مسائل امنیتی متهم می کند یا از مشکلات مرتبط با به دست آوردن ارزیابی عینی از ارزش برخی موارد شکایت می کند. دارایی ها، مانند شهرت سازمان. برخی دیگر که هیچ راهی برای توجیه هزینه امنیت نمی بینند، پیشنهاد می کنند که با آن به عنوان نوعی روش بهداشتی برخورد شود و به اندازه ای که برای این روش متاسف هستید یا به اندازه ای که در بودجه باقی مانده است، هزینه کنید.

    هر نظری در مورد موضوع مدیریت ریسک امنیت اطلاعات وجود داشته باشد و مهم نیست که چگونه با این خطرات برخورد کنیم، یک چیز واضح است که در این مسالهجوهر فعالیت چندوجهی متخصصان امنیت اطلاعات نهفته است که مستقیماً آن را با تجارت مرتبط می کند و به آن معنا و مصلحت معقول می بخشد. این مقاله یک رویکرد ممکن برای مدیریت ریسک را تشریح می‌کند و به این سوال پاسخ می‌دهد که چرا سازمان‌های مختلف با ریسک‌های امنیت اطلاعات متفاوت برخورد و مدیریت می‌کنند.

    دارایی های اصلی و کمکی

    صحبت از ریسک های تجاری، امکان متحمل شدن خسارت خاص با احتمال مشخص است. این می تواند هم خسارت مستقیم مادی و هم خسارت غیرمستقیم باشد که مثلاً در سود از دست رفته تا خروج از کسب و کار بیان می شود، زیرا اگر ریسک مدیریت نشود، کسب و کار می تواند از بین برود.

    در واقع، ماهیت موضوع در این واقعیت نهفته است که سازمان چندین دسته اصلی از منابع را برای دستیابی به نتایج فعالیت های خود (اهداف تجاری خود) در اختیار دارد و از آنها استفاده می کند (ما از مفهوم دارایی که مستقیماً با کسب و کار مرتبط است استفاده خواهیم کرد). دارایی هر چیزی است که برای یک سازمان ارزش دارد و درآمد آن را ایجاد می کند (به عبارت دیگر، چیزی است که جریان نقدی مثبت ایجاد می کند یا باعث صرفه جویی در پول می شود).

    دارایی های مادی، مالی، انسانی و اطلاعاتی است. استانداردهای بین المللی مدرن دسته دیگری از دارایی ها را نیز تعریف می کنند - اینها فرآیندها هستند. فرآیند یک دارایی تجمیع شده است که بر روی سایر دارایی های شرکت برای دستیابی به اهداف تجاری عمل می کند. وجهه و شهرت شرکت نیز یکی از مهمترین دارایی ها محسوب می شود. این دارایی های کلیدی برای هر سازمان چیزی بیش از نوع خاصی از دارایی های اطلاعاتی نیست، زیرا تصویر و شهرت یک شرکت چیزی بیش از محتوای اطلاعات باز و گسترده در مورد آن نیست. امنیت اطلاعات تا آنجایی که مشکلات امنیتی سازمانی و همچنین نشت اطلاعات را دارد، با مسائل تصویر سروکار دارد اطلاعات محرمانهتاثیر بسیار منفی روی تصویر

    نتایج کسب و کار تحت تأثیر عوامل مختلف خارجی و داخلی مرتبط با دسته ریسک قرار دارند. این تأثیر به صورت تأثیر منفی بر یک یا چند گروه از دارایی های سازمان به طور همزمان بیان می شود. به عنوان مثال، خرابی سرور بر در دسترس بودن اطلاعات و برنامه های ذخیره شده روی آن تأثیر می گذارد و تعمیر آن منابع انسانی را منحرف می کند و کمبود آنها را در یک حوزه کاری خاص ایجاد می کند و باعث اختلال در فرآیندهای تجاری می شود، در حالی که در دسترس نبودن موقت خدمات مشتری می تواند منفی باشد. وجهه شرکت را تحت تاثیر قرار دهد.

    طبق تعریف، همه انواع دارایی ها برای یک سازمان مهم هستند. با این حال، هر سازمانی دارایی های حیاتی اصلی و دارایی های پشتیبان است. تعیین اینکه کدام دارایی ها اصلی هستند بسیار ساده است، زیرا. اینها دارایی هایی هستند که کسب و کار سازمان بر اساس آنها ساخته می شود. بنابراین، کسب و کار یک سازمان می تواند بر اساس مالکیت و استفاده از دارایی های مشهود (به عنوان مثال، زمین، املاک، تجهیزات، مواد معدنی)، یک کسب و کار نیز می تواند بر اساس مدیریت دارایی های مالی (فعالیت های اعتباری، بیمه، سرمایه گذاری) ایجاد شود. ، یک کسب و کار می تواند بر اساس شایستگی و اختیارات متخصصان خاص (مشاوره، حسابرسی، آموزش، صنایع با فناوری پیشرفته و دانش بر) باشد یا کسب و کار می تواند حول دارایی های اطلاعاتی (توسعه نرم افزار، محصولات اطلاعاتی، تجارت الکترونیک، تجارت الکترونیکی) باشد. اینترنت). خطرات دارایی های ثابت مملو از زیان های تجاری و جبران ناپذیر برای سازمان است، بنابراین توجه صاحبان مشاغل در درجه اول معطوف به این خطرات است و مدیریت سازمان شخصاً با آنها برخورد می کند. ریسک دارایی های جانبی معمولاً منجر به خسارت قابل بازیافت می شود و در سیستم مدیریت یک سازمان اولویت اصلی نیست. معمولاً این ریسک‌ها توسط افراد خاص مدیریت می‌شوند یا این ریسک‌ها به شخص ثالثی مانند یک برون‌سپاری یا یک شرکت بیمه منتقل می‌شوند. برای سازمان، این موضوع بیشتر اثربخشی مدیریت است تا بقا.

    رویکردهای موجود برای مدیریت ریسک

    از آنجایی که ریسک‌های امنیت اطلاعات برای همه سازمان‌ها اصلی‌ترین آنها نیستند، سه رویکرد اصلی برای مدیریت این ریسک‌ها اعمال می‌شود که از نظر عمق و سطح رسمیت متفاوت هستند.

    برای سیستم های غیر بحرانی، زمانی که دارایی های اطلاعاتی کمکی هستند، و سطح اطلاعات بالا نیست، که برای اکثر شرکت های مدرن روسی معمول است، حداقل نیاز به ارزیابی ریسک وجود دارد. در چنین سازمان هایی، ما باید در مورد سطح پایه ای از امنیت اطلاعات صحبت کنیم که توسط مقررات و استانداردهای موجود، بهترین شیوه ها، تجربه و همچنین نحوه انجام آن در اکثر سازمان های دیگر تعیین می شود. با این حال، استانداردهای موجود، توصیف برخی مجموعه پایهالزامات و مکانیسم‌های امنیتی، همیشه نیاز به ارزیابی ریسک‌ها و امکان‌سنجی اقتصادی اعمال مکانیسم‌های کنترلی خاص را به منظور انتخاب از مجموعه کلی الزامات و مکانیسم‌هایی که در یک سازمان خاص قابل اجرا هستند، تصریح می‌کنند.

    برای سیستم‌های حیاتی که دارایی‌های اطلاعاتی اصلی نیستند، اما سطح اطلاعاتی شدن فرآیندهای کسب‌وکار بسیار بالا است و ریسک‌های اطلاعاتی می‌تواند به طور قابل توجهی بر فرآیندهای اصلی کسب‌وکار تأثیر بگذارد، لازم است ارزیابی ریسک اعمال شود، اما در این مورد توصیه می‌شود. خود را محدود به رویکردهای کیفی غیررسمی برای حل این مشکل، توجه به توجه ویژه به بحرانی ترین سیستم ها کنیم.

    هنگامی که کسب و کار یک سازمان حول دارایی های اطلاعاتی بنا شده است و ریسک های امنیت اطلاعات اصلی ترین آنها هستند، لازم است یک رویکرد رسمی و روش های کمی برای ارزیابی این ریسک ها اعمال شود.

    در بسیاری از شرکت ها، چندین نوع دارایی می تواند به طور همزمان حیاتی باشد، به عنوان مثال، زمانی که کسب و کار متنوع است یا شرکت درگیر ایجاد محصولات اطلاعاتی است و منابع انسانی و اطلاعاتی می توانند به یک اندازه برای آن مهم باشند. در این مورد، رویکرد محتاطانه انجام یک ارزیابی ریسک در سطح بالا برای تعیین اینکه کدام سیستم‌ها بسیار پرخطر هستند و کدام یک برای عملیات تجاری حیاتی هستند، انجام می‌شود، و به دنبال آن یک ارزیابی دقیق ریسک برای سیستم‌های شناسایی‌شده انجام می‌شود. برای همه سیستم‌های غیر بحرانی دیگر، توصیه می‌شود که خود را به استفاده از رویکرد اساسی، تصمیم‌گیری مدیریت ریسک بر اساس تجربیات موجود، نظرات متخصص و بهترین عملکرد محدود کنید.

    سطوح بلوغ

    انتخاب رویکرد ارزیابی ریسک در یک سازمان، علاوه بر ماهیت کسب و کار و سطح اطلاعاتی شدن فرآیندهای کسب و کار، تحت تأثیر سطح بلوغ آن نیز قرار دارد. مدیریت ریسک امنیت اطلاعات یک وظیفه تجاری است که توسط مدیریت سازمان به دلیل آگاهی و میزان آگاهی آن نسبت به مشکلات امنیت اطلاعات آغاز می شود که معنای آن محافظت از کسب و کار در برابر تهدیدات واقعی امنیت اطلاعات است. با توجه به میزان آگاهی، چندین سطح از بلوغ سازمان ها قابل ردیابی است که تا حدی با سطوح بلوغ تعریف شده در COBIT و سایر استانداردها همبستگی دارد:

    1. در سطح اولیه، هیچ آگاهی وجود ندارد، سازمان اقدامات پراکنده ای را برای اطمینان از امنیت اطلاعات انجام می دهد که توسط متخصصان فناوری اطلاعات و تحت مسئولیت خود آنها آغاز و اجرا می شود.
    2. در سطح دوم، سازمان مسئولیت امنیت اطلاعات را تعریف می کند، سعی می شود از راه حل های یکپارچه با مدیریت متمرکز استفاده شود و فرآیندهای مدیریت امنیت اطلاعات جداگانه پیاده سازی شود.
    3. سطح سوم با استفاده از یک رویکرد فرآیندی برای مدیریت امنیت اطلاعات، که در استانداردها توضیح داده شده است، مشخص می شود. سیستم مدیریت امنیت اطلاعات آنقدر برای سازمان اهمیت پیدا می کند که جزء ضروری سیستم مدیریت سازمان محسوب می شود. با این حال سیستم کاملمدیریت امنیت اطلاعات هنوز وجود ندارد، زیرا هیچ عنصر اساسی در این سیستم وجود ندارد - فرآیندهای مدیریت ریسک.
    4. سازمان‌هایی که بالاترین درجه آگاهی از مشکلات امنیت اطلاعات را دارند با استفاده از یک رویکرد رسمی برای مدیریت ریسک امنیت اطلاعات مشخص می‌شوند که با حضور برنامه‌ریزی، اجرا، نظارت و فرآیندهای بهبود مستند مشخص می‌شود.

    مدل فرآیند مدیریت ریسک

    در اسفند ماه سال جاری استاندارد جدید بریتانیا BS 7799 قسمت 3 - سیستم های مدیریت امنیت اطلاعات - شیوه های مدیریت ریسک امنیت اطلاعات به تصویب رسید. انتظار می رود ISO تا پایان سال 2007 این سند را به عنوان یک استاندارد بین المللی بپذیرد. BS 7799-3 فرآیندهای ارزیابی ریسک و مدیریت را به عنوان یک عنصر جدایی ناپذیر از سیستم مدیریت یک سازمان تعریف می کند که از مدل فرآیندی مشابه سایر استانداردهای مدیریتی استفاده می کند که شامل چهار گروه فرآیندی است: برنامه ریزی، اجرا، بررسی، عمل (PRAP) که منعکس کننده استاندارد است. چرخه هر فرآیند مدیریتی در حالی که ISO 27001 زنجیره کلی مدیریت امنیت را توصیف می کند، BS 7799-3 شامل پیش بینی خود در مورد فرآیندهای مدیریت ریسک امنیت اطلاعات است.

    در سیستم مدیریت ریسک امنیت اطلاعات، در مرحله برنامه ریزی، خط مشی و روش مدیریت ریسک تعیین می شود و ارزیابی ریسک شامل فهرست دارایی ها، تدوین پروفایل های تهدید و آسیب پذیری، ارزیابی اثربخشی اقدامات متقابل و آسیب احتمالی انجام می شود. و تعیین سطح قابل قبول ریسک های باقیمانده.

    در مرحله اجرا، خطرات درمان می شوند و کنترل هایی برای کاهش آنها اعمال می شود. مدیریت سازمان برای هر ریسک شناسایی شده یکی از چهار تصمیم را می گیرد: نادیده گرفتن، اجتناب، انتقال به یک طرف خارجی، یا به حداقل رساندن. پس از آن، طرح درمان ریسک تدوین و اجرا می شود.

    در مرحله حسابرسی، عملکرد مکانیسم‌های کنترلی نظارت می‌شود، تغییرات در عوامل خطر (دارایی‌ها، تهدیدها، آسیب‌پذیری‌ها) کنترل می‌شوند، حسابرسی انجام می‌شود و روش‌های کنترلی مختلفی انجام می‌شود.

    در مرحله اقدامات، بر اساس نتایج نظارت مستمر و ممیزی های مستمر، اقدامات اصلاحی لازم انجام می شود که به ویژه می تواند شامل ارزیابی مجدد بزرگی خطرات، تعدیل خط مشی و روش مدیریت ریسک و همچنین طرح درمان خطر

    عوامل خطر

    ماهیت هر رویکرد مدیریت ریسک در تجزیه و تحلیل عوامل خطر و تصمیم گیری کافی در مورد درمان ریسک نهفته است. عوامل خطر پارامترهای اصلی هستند که ما هنگام ارزیابی ریسک از آنها استفاده می کنیم. فقط هفت گزینه وجود دارد:

    • دارایی
    • خسارت
    • تهدید
    • آسیب پذیری
    • مکانیزم کنترل (کنترل)
    • میانگین ضرر سالانه (ALE)
    • بازگشت سرمایه (ROI)

    نحوه تجزیه و تحلیل و ارزیابی این پارامترها توسط روش ارزیابی ریسک سازمان تعیین می شود. در عین حال، رویکرد کلی و طرح استدلال تقریباً یکسان است، صرف نظر از اینکه از چه روش شناسی استفاده می شود. فرآیند ارزیابی ریسک (ارزیابی) شامل دو مرحله است. در مرحله اول که در استانداردها به عنوان تحلیل ریسک (تحلیل) تعریف شده است، لازم است به سوالات زیر پاسخ داده شود:

    • دارایی اصلی شرکت چیست؟
    • ارزش واقعی این دارایی چقدر است؟
    • این دارایی چه تهدیداتی را تهدید می کند؟
    • پیامدهای این تهدیدها و آسیب به کسب و کار چیست؟
    • احتمال این تهدیدها چقدر است؟
    • کسب و کار چقدر در برابر این تهدیدات آسیب پذیر است؟
    • میانگین ضرر سالانه مورد انتظار چقدر است؟

    در مرحله دوم که توسط استانداردها به عنوان ارزیابی ریسک (ارزیابی) تعریف شده است، لازم است به این سوال پاسخ داده شود که چه سطحی از ریسک (میزان میانگین زیان سالانه) برای سازمان قابل قبول است و بر این اساس، چه ریسک هایی وجود دارد. از این سطح فراتر رود

    بنابراین، بر اساس نتایج ارزیابی ریسک، توصیفی از ریسک‌های فراتر از حد مجاز و برآوردی از بزرگی این ریسک‌ها را به دست می‌آوریم که با اندازه متوسط ​​زیان سالانه تعیین می‌شود. در مرحله بعد، باید در مورد درمان خطرات تصمیم گیری شود، یعنی. به سوالات زیر پاسخ دهید:

    • کدام گزینه درمان خطر را انتخاب می کنیم؟
    • اگر تصمیمی برای به حداقل رساندن ریسک گرفته شود، از چه مکانیسم های کنترلی باید استفاده کرد؟
    • این کنترل ها چقدر موثر هستند و چه بازگشت سرمایه ای را به همراه خواهند داشت؟

    خروجی این فرآیند یک طرح درمان ریسک است که نحوه برخورد با خطرات، هزینه اقدامات متقابل و زمان و مسئولیت اجرای اقدامات متقابل را مشخص می کند.

    تصمیم گیری در مورد درمان خطر

    تصمیم گیری در مورد درمان ریسک، کلیدی ترین و حیاتی ترین لحظه در فرآیند مدیریت ریسک است. برای اینکه مدیریت تصمیم درستی بگیرد، مسئول مدیریت ریسک در سازمان باید اطلاعات مربوطه را در اختیار او قرار دهد. شکل ارائه چنین اطلاعاتی توسط الگوریتم استاندارد ارتباطات تجاری تعیین می شود که شامل چهار نکته اصلی است:

    • پیام موضوع: تهدید تجاری (منبع، هدف، اجرا) چیست و چرا وجود دارد؟
    • شدت مشکل: این موضوع چگونه سازمان، مدیریت و سهامداران آن را تهدید می کند؟
    • راه حل پیشنهادی: برای اصلاح وضعیت چه کاری پیشنهاد می شود، هزینه آن چقدر است، چه کسی باید آن را انجام دهد و چه چیزی مستقیماً از مدیریت خواسته می شود؟
    • راه حل های جایگزین: چه راه های دیگری برای حل مشکل وجود دارد (همیشه گزینه های جایگزین وجود دارد و مدیریت باید انتخاب داشته باشد).

    بسته به موقعیت خاص، موارد 1 و 2 و همچنین 3 و 4 قابل تعویض هستند.

    روش های مدیریت ریسک

    تعداد کافی روش تثبیت شده و نسبتاً پرکاربرد برای ارزیابی و مدیریت ریسک وجود دارد. یکی از این روش ها OCTAVE است که در دانشگاه کارنگی ملون توسعه یافته است استفاده داخلیدر سازمان. OCTAVE - ارزیابی عملیاتی حیاتی، دارایی و آسیب پذیری (Operationally Critical Threat, Asset, and Vulnerability Evaluation) دارای تعدادی اصلاحات است که برای سازمان هایی با اندازه ها و حوزه های مختلف فعالیت طراحی شده است. ماهیت این روش در این واقعیت نهفته است که یک توالی از سمینارهای داخلی (کارگاه های آموزشی) به طور مناسب سازماندهی شده برای ارزیابی ریسک استفاده می شود. ارزیابی ریسک در سه مرحله انجام می شود که قبل از آن مجموعه ای از فعالیت های مقدماتی شامل توافق بر سر برنامه سمینارها، تعیین نقش ها، برنامه ریزی و هماهنگی اقدامات اعضای تیم پروژه انجام می شود.

    در مرحله اول، در دوره سمینارهای عملی، پروفایل های تهدید ایجاد می شود که شامل موجودی و ارزیابی ارزش دارایی ها، شناسایی الزامات قانونی و نظارتی قابل اجرا، شناسایی تهدیدها و ارزیابی احتمال آنها و همچنین تعیین می شود. سیستمی از اقدامات سازمانی برای حفظ رژیم امنیت اطلاعات.

    در مرحله دوم، تجزیه و تحلیل فنی از آسیب پذیری های سیستم های اطلاعاتی سازمان در برابر تهدیدات، که نمایه های آن در مرحله قبل ایجاد شده بود، انجام می شود که شامل شناسایی آسیب پذیری های موجود سیستم های اطلاعاتی سازمان و ارزیابی آنها می شود. اندازه.

    در مرحله سوم، ریسک های امنیت اطلاعات ارزیابی و پردازش می شود که شامل تعیین میزان و احتمال آسیب در نتیجه اجرای تهدیدات امنیتی با استفاده از آسیب پذیری هایی است که در مراحل قبل شناسایی شده بود، تعیین استراتژی حفاظتی و همچنین انتخاب. گزینه ها و تصمیم گیری در مورد درمان خطر. ارزش ریسک به عنوان میانگین ارزش زیان سالانه سازمان در نتیجه اجرای تهدیدات امنیتی تعریف می شود.

    رویکرد مشابهی در روش شناخته شده ارزیابی ریسک CRAMM که در آن زمان به سفارش دولت بریتانیا توسعه یافت، استفاده می شود. در CRAMM، راه اصلی برای ارزیابی ریسک از طریق مصاحبه های برنامه ریزی شده با دقت است که از پرسشنامه های دقیق استفاده می کند. CRAMM در هزاران سازمان در سراسر جهان مورد استفاده قرار می گیرد، از جمله، به لطف در دسترس بودن یک جعبه ابزار نرم افزاری بسیار توسعه یافته حاوی پایگاه دانش در مورد خطرات و مکانیسم هایی برای به حداقل رساندن آنها، ابزارهایی برای جمع آوری اطلاعات، تولید گزارش ها، و همچنین پیاده سازی الگوریتم ها. برای محاسبه بزرگی خطرات

    برخلاف روش OCTAVE، CRAMM از توالی کمی متفاوت از اقدامات و روش‌ها برای تعیین میزان ریسک استفاده می‌کند. ابتدا امکان سنجی ارزیابی ریسک به طور کلی مشخص می شود و اگر سیستم اطلاعاتی سازمان به اندازه کافی حیاتی نباشد، مجموعه استانداردی از مکانیسم های کنترلی که در استانداردهای بین المللی شرح داده شده و در پایگاه دانش CRAMM موجود است، روی آن اعمال می شود.

    در مرحله اول در روش CRAMM یک مدل منبع سیستم اطلاعاتی ساخته می شود که ارتباط بین اطلاعات، نرم افزار و منابع فنی را تشریح می کند و ارزش منابع بر اساس آسیب های احتمالی که ممکن است در نتیجه سازمان متحمل شود برآورد می شود. سازش آنها

    در مرحله دوم، ارزیابی ریسک انجام می شود که شامل شناسایی و ارزیابی احتمال تهدیدات، ارزیابی میزان آسیب پذیری ها و محاسبه خطرات برای هر سه گانه: منبع - تهدید - آسیب پذیری است. CRAMM بدون توجه به مکانیسم های کنترلی که در سیستم اجرا می شود، ریسک های "خالص" را ارزیابی می کند. در مرحله ارزیابی ریسک، فرض بر این است که اصلاً هیچ اقدام متقابلی اعمال نمی شود و مجموعه ای از اقدامات متقابل توصیه شده برای به حداقل رساندن ریسک ها بر اساس این فرض شکل می گیرد.

    در مرحله نهایی، جعبه ابزار CRAMM مجموعه ای از اقدامات متقابل را برای به حداقل رساندن خطرات شناسایی شده تولید می کند و اقدامات متقابل پیشنهادی و موجود را مقایسه می کند، پس از آن یک طرح درمان ریسک تشکیل می شود.

    ابزارهای مدیریت ریسک

    در فرآیند ارزیابی ریسک، ما یک سری مراحل متوالی را پشت سر می گذاریم، به طور دوره ای به مراحل قبلی برمی گردیم، به عنوان مثال، پس از انتخاب یک اقدام متقابل خاص برای به حداقل رساندن آن، یک ریسک خاص را دوباره ارزیابی می کنیم. پرسشنامه‌ها، فهرست‌های تهدیدات و آسیب‌پذیری‌ها، ثبت منابع و خطرات، اسناد، صورتجلسات، استانداردها و دستورالعمل‌ها باید در هر مرحله در دسترس باشد. در این راستا، برای کار با این داده های متنوع، به الگوریتم، پایگاه داده و رابط برنامه ریزی شده نیاز است.

    برای مدیریت خطرات امنیت اطلاعات، می توانید از ابزارهایی استفاده کنید، به عنوان مثال، مانند روش CRAMM یا RA2 (نشان داده شده در شکل)، اما این اجباری نیست. در استاندارد BS 7799-3 نیز در همین مورد گفته شده است. سودمندی استفاده از جعبه ابزار ممکن است در این واقعیت نهفته باشد که شامل یک الگوریتم ارزیابی ریسک و مدیریت گردش کار از پیش برنامه ریزی شده است که کار یک متخصص بی تجربه را ساده می کند.

    استفاده از جعبه ابزار به شما امکان می دهد تا روش را یکسان کنید و استفاده از نتایج را برای ارزیابی مجدد ریسک ساده کنید، حتی اگر توسط متخصصان دیگر انجام شود. از طریق استفاده از ابزارها، می توان ذخیره سازی داده ها را ساده کرد و با مدل منبع، نمایه های تهدید، لیست آسیب پذیری ها و خطرات کار کرد.

    علاوه بر ارزیابی ریسک واقعی و ابزارهای مدیریتی، بسته ابزار نرم افزار ممکن است شامل نیز باشد وجوه اضافیبرای مستندسازی ISMS، تجزیه و تحلیل مغایرت‌ها با الزامات استانداردها، توسعه ثبت منابع و همچنین سایر ابزارهای لازم برای پیاده‌سازی و بهره‌برداری از ISMS.

    نتیجه گیری

    انتخاب رویکردهای کیفی یا کمی برای ارزیابی ریسک با توجه به ماهیت کسب و کار سازمان و سطح اطلاعات آن تعیین می شود. اهمیت دارایی های اطلاعاتی برای او و همچنین میزان بلوغ سازمان.

    هنگام اجرای یک رویکرد رسمی برای مدیریت ریسک در یک سازمان، لازم است که اساساً بر عقل سلیم، استانداردهای موجود (به عنوان مثال، BS 7799-3) و روش‌های به خوبی تثبیت شده (به عنوان مثال، OCTAVE یا CRAMM) تکیه کنیم. ممکن است برای این منظور از یک ابزار نرم افزاری استفاده شود که متدولوژی های مناسب را پیاده سازی کند و الزامات استانداردها را تا حد ممکن برآورده کند (به عنوان مثال، RA2).

    اثربخشی فرآیند مدیریت ریسک امنیت اطلاعات با دقت و کامل بودن تجزیه و تحلیل و ارزیابی عوامل خطر و همچنین اثربخشی مکانیسم های مورد استفاده در سازمان برای تصمیم گیری مدیریت و نظارت بر اجرای آنها تعیین می شود.

    پیوندها

    • Astakhov A.M.، "تاریخچه استاندارد BS 7799"، http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
    • Astakhov A.M.، "چگونه یک سیستم مدیریت امنیت اطلاعات ایجاد و گواهی کنیم؟"

    در عمل، از رویکردهای کمی و کیفی برای ارزیابی ریسک IS استفاده می شود. تفاوت آنها چیست؟

    روش کمی

    ارزیابی کمی ریسک در شرایطی استفاده می شود که تهدیدات مورد مطالعه و ریسک های مرتبط با آن را می توان با مقادیر کمی نهایی بیان شده در پول، درصد، زمان، منابع انسانی و غیره مقایسه کرد. این روش اجازه می دهد تا مقادیر خاصی از اشیاء ارزیابی ریسک را در اجرای تهدیدات امنیت اطلاعات بدست آورید.

    با رویکرد کمی، به تمام عناصر ارزیابی ریسک، مقادیر کمی خاص و واقعی اختصاص داده می شود. الگوریتم برای به دست آوردن این مقادیر باید واضح و قابل درک باشد. هدف ارزیابی ممکن است ارزش دارایی از نظر پولی، احتمال تحقق تهدید، خسارت ناشی از تحقق یک تهدید، هزینه اقدامات حفاظتی و غیره باشد.

    چگونه خطرات را کمیت کنیم؟

    1. ارزش دارایی های اطلاعاتی را بر حسب پولی تعیین کنید.

    2. خسارت احتمالی ناشی از اجرای هر تهدید را در رابطه با هر دارایی اطلاعاتی از نظر کمی برآورد کنید.

    شما باید به این سؤالات پاسخ دهید که "خسارات ناشی از اجرای هر تهدید چه بخشی از ارزش دارایی خواهد بود؟"، "هزینه خسارت از نظر پولی ناشی از یک حادثه واحد در طول اجرای این تهدید چقدر است؟" این دارایی؟».

    3. احتمال اجرای هر یک از تهدیدات IS را تعیین کنید.

    برای این کار می توانید از داده های آماری، نظرسنجی از کارمندان و ذینفعان استفاده کنید. در فرآیند تعیین احتمال، فراوانی وقوع حوادث مربوط به اجرای تهدید IS در نظر گرفته شده را برای دوره کنترل (به عنوان مثال، برای یک سال) محاسبه کنید.

    4. کل خسارت احتمالی هر تهدید را در رابطه با هر دارایی برای دوره کنترل (برای یک سال) تعیین کنید.

    مقدار با ضرب خسارت یک بار اجرای تهدید در دفعات اجرای تهدید محاسبه می شود.

    5. داده های آسیب دریافتی را برای هر تهدید تجزیه و تحلیل کنید.

    برای هر تهدید باید تصمیمی اتخاذ شود: پذیرش ریسک، کاهش ریسک یا انتقال ریسک.

    پذیرش ریسک به معنای شناخت آن، پذیرفتن امکان آن و ادامه دادن به رفتار قبلی است. قابل استفاده برای تهدیدات با آسیب کم و احتمال وقوع کم.

    کاهش ریسک به معنای معرفی تدابیر و وسایل حفاظتی اضافی، انجام آموزش کارکنان و غیره است. یعنی انجام کار عمدی برای کاهش خطر. در عین حال، لازم است اثربخشی اقدامات و وسایل حفاظتی اضافی را کمی کنید. کلیه هزینه های متحمل شده توسط سازمان از خرید تجهیزات حفاظتی تا راه اندازی (شامل نصب، پیکربندی، آموزش، نگهداری و غیره) نباید از میزان خسارت ناشی از اجرای تهدید بیشتر باشد.

    انتقال ریسک به معنای انتقال پیامدهای تحقق ریسک به شخص ثالث است، مثلاً به کمک بیمه.

    در نتیجه ارزیابی کمی ریسک، موارد زیر باید تعیین شوند:

    • ارزش دارایی ها به لحاظ پولی؛
    • لیست کاملی از تمام تهدیدات IS با آسیب ناشی از یک حادثه یک بار برای هر تهدید؛
    • فراوانی اجرای هر تهدید؛
    • آسیب احتمالی از هر تهدید؛
    • کنترل های امنیتی، اقدامات متقابل و اقدامات برای هر تهدید توصیه می شود.

    تحلیل ریسک امنیت اطلاعات کمی (مثال)

    تکنیک مثال وب سرور یک سازمان را در نظر بگیرید که برای فروش یک محصول خاص استفاده می شود. کمی سر وقتخسارت ناشی از قطع شدن سرور را می توان به عنوان حاصلضرب میانگین رسید خرید و میانگین تعداد بازدیدها برای یک بازه زمانی معین برابر با خرابی سرور تخمین زد. بیایید بگوییم هزینه یک بار آسیب ناشی از خرابی مستقیم سرور 100 هزار روبل خواهد بود.

    حال باید به صورت کارشناسی ارزیابی کرد که هر چند وقت یکبار چنین وضعیتی ممکن است رخ دهد (با در نظر گرفتن شدت کارکرد، کیفیت منبع تغذیه و غیره). به عنوان مثال، با در نظر گرفتن نظر کارشناسان و اطلاعات آماری، متوجه می شویم که یک سرور می تواند تا 2 بار در سال از کار بیفتد.

    با ضرب این دو مقدار به آن می رسیم میانگین سالانهخسارت ناشی از اجرای تهدید خرابی مستقیم سرور 200 هزار روبل در سال است.

    از این محاسبات می توان برای توجیه انتخاب اقدامات حفاظتی استفاده کرد. به عنوان مثال، پیاده سازی سیستم منبع تغذیه اضطراریو سیستم ها کپی رزرو کنیدبا هزینه کل 100 هزار روبل در سال، خطر خرابی سرور را به حداقل می رساند و یک راه حل کاملا موثر خواهد بود.

    روش کیفی

    متأسفانه، به دلیل عدم قطعیت زیاد، همیشه نمی توان بیان خاصی از موضوع ارزیابی را به دست آورد. هنگامی که اطلاعات مربوط به یک حادثه امنیت اطلاعات که برای آن رخ داده است، چگونه می توان به طور دقیق آسیب به شهرت یک شرکت را ارزیابی کرد؟ در این مورد از روش کیفی استفاده می شود.

    رویکرد کیفی از عبارات کمی یا پولی برای هدف ارزیابی استفاده نمی کند. درعوض، به هدف ارزیابی شاخصی اختصاص داده می شود که در مقیاس سه نقطه ای (کم، متوسط، زیاد)، پنج نقطه ای یا ده نقطه ای (0 ... 10) رتبه بندی شده است. برای جمع آوری داده ها برای ارزیابی کیفی ریسک، از نظرسنجی های گروه هدف، مصاحبه ها، پرسشنامه ها و جلسات شخصی استفاده می شود.

    تجزیه و تحلیل کیفی خطرات امنیت اطلاعات باید با مشارکت کارکنان با تجربه و شایستگی در حوزه ای که در آن تهدیدها در نظر گرفته می شود، انجام شود.

    نحوه انجام ارزیابی کیفی ریسک:

    1. ارزش دارایی های اطلاعاتی را تعیین کنید.

    ارزش یک دارایی را می توان با سطح اهمیت (پیامدها) تعیین کرد که ویژگی های امنیتی (محرمانه بودن، یکپارچگی، در دسترس بودن) یک دارایی اطلاعاتی نقض شود.

    2. احتمال تحقق تهدید در رابطه با دارایی اطلاعاتی را تعیین کنید.

    برای ارزیابی احتمال تحقق تهدید می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) استفاده کرد.

    3. تعیین سطح امکان اجرای موفقیت آمیز تهدید با در نظر گرفتن وضعیت فعلی امنیت اطلاعات، اقدامات اجرا شده و وسایل حفاظتی.

    همچنین می توان از مقیاس کیفی سه سطحی (کم، متوسط، زیاد) برای ارزیابی سطح امکان تحقق یک تهدید استفاده کرد. Threat Capability Value نشان می دهد که اجرای موفقیت آمیز تهدید چقدر امکان پذیر است.

    4. بر اساس ارزش دارایی اطلاعاتی، احتمال تحقق تهدید و احتمال تحقق تهدید، در مورد سطح ریسک نتیجه گیری کنید.

    برای تعیین سطح ریسک می توانید از مقیاس پنج یا ده درجه ای استفاده کنید. هنگام تعیین سطح ریسک، می توانید از جداول مرجع استفاده کنید که درکی از ترکیبی از شاخص ها (ارزش، احتمال، فرصت) به چه سطحی از ریسک منجر می شود.

    5. داده های به دست آمده برای هر تهدید و سطح ریسک به دست آمده برای آن را تجزیه و تحلیل کنید.

    اغلب تیم تجزیه و تحلیل ریسک با مفهوم "سطح قابل قبول ریسک" عمل می کند. این همان سطح ریسکی است که شرکت مایل به پذیرش آن است (اگر تهدید دارای سطح ریسک کمتر یا مساوی با قابل قبول باشد، در این صورت مرتبط تلقی نمی شود). وظیفه جهانی در ارزیابی کیفی کاهش خطرات تا سطح قابل قبولی است.

    6. تدابیر امنیتی، اقدامات متقابل و اقدامات برای هر تهدید فعلی برای کاهش سطح خطر ایجاد کنید.

    کدام روش را انتخاب کنیم؟

    هدف هر دو روش درک خطرات واقعی امنیت اطلاعات شرکت، تعیین لیست تهدیدات فعلی و همچنین انتخاب اقدامات متقابل موثر و ابزارهای حفاظتی است. هر روش ارزیابی ریسک مزایا و معایب خاص خود را دارد.

    روش کمی یک نمایش بصری در پول از اشیاء ارزیابی (خسارت، هزینه) ارائه می دهد، اما پر زحمت تر است و در برخی موارد قابل اجرا نیست.

    روش کیفی به شما امکان می دهد ارزیابی ریسک را سریعتر انجام دهید، اما ارزیابی ها و نتایج ذهنی تر هستند و درک روشنی از آسیب، هزینه ها و مزایای اجرای GIS ارائه نمی دهند.

    انتخاب روش باید بر اساس مشخصات یک شرکت خاص و وظایف محول شده به متخصص انجام شود.

    استانیسلاو شیلیایف، مدیر پروژه امنیت اطلاعات در SKB Kontur

    نحوه ارزیابی صحیح خطرات امنیت اطلاعات - دستور العمل ما

    وظیفه ارزیابی خطرات امنیت اطلاعات امروزه توسط جامعه متخصص به طور مبهم درک می شود و دلایل متعددی برای این امر وجود دارد. اول اینکه هیچ استاندارد طلایی یا رویکرد پذیرفته شده ای وجود ندارد. استانداردها و روش‌شناسی‌های متعدد، اگرچه از نظر کلی شبیه هم هستند، اما در جزئیات تفاوت‌های چشمگیری دارند. استفاده از یک روش یا روش دیگر به منطقه و موضوع ارزیابی بستگی دارد. اما اگر شرکت کنندگان در فرآیند ارزشیابی داشته باشند، انتخاب روش مناسب می تواند مشکل ساز باشد عملکرد متفاوتدر مورد آن و نتایج آن

    ثانیاً، ارزیابی ریسک امنیت اطلاعات یک کار کاملاً کارشناسی است. تجزیه و تحلیل عوامل خطر (مانند آسیب، تهدید، آسیب پذیری و غیره) که توسط متخصصان مختلف انجام می شود اغلب نتایج متفاوتی به دست می دهد. تکرارپذیری ناکافی از نتایج ارزیابی، پرسش از قابلیت اطمینان و سودمندی داده های به دست آمده را مطرح می کند. طبیعت انسان به گونه‌ای است که تخمین‌های انتزاعی، به‌ویژه آن‌هایی که مربوط به واحدهای اندازه‌گیری احتمالی هستند، به روش‌های مختلف توسط مردم درک می‌شوند. تئوری های کاربردی موجود که برای در نظر گرفتن معیار ادراک ذهنی یک شخص طراحی شده اند (به عنوان مثال، نظریه چشم انداز) روش تحلیل ریسک از قبل پیچیده را پیچیده می کند و به محبوبیت آن کمک نمی کند.

    ثالثاً، روش ارزیابی ریسک خود به معنای کلاسیک آن، با تجزیه و موجودی دارایی ها، یک کار بسیار پر زحمت است. تلاش برای انجام تحلیل دستی با استفاده از ابزارهای اداری رایج (مانند صفحات گسترده) به ناچار در دریایی از اطلاعات غرق می شود. ابزارهای نرم‌افزاری تخصصی که برای ساده‌سازی مراحل جداگانه تحلیل ریسک طراحی شده‌اند، مدل‌سازی را تا حدی تسهیل می‌کنند، اما جمع‌آوری و سیستم‌بندی داده‌ها را اصلا ساده نمی‌کنند.

    در نهایت، تعریف ریسک در زمینه مشکل امنیت اطلاعات هنوز حل نشده است. فقط به تغییرات اصطلاحات موجود در ISO Guide 73:2009 در مقایسه با نسخه 2002 نگاه کنید. در حالی که ریسک قبلی به عنوان احتمال آسیب ناشی از بهره برداری از یک آسیب پذیری توسط یک تهدید تعریف می شد، اکنون این اثر انحراف از نتایج مورد انتظار است. تغییرات مفهومی مشابهی در ویرایش جدید ISO/IEC 27001:2013 رخ داده است.

    به همین دلیل، و همچنین به دلایل دیگر، ارزیابی ریسک امنیت اطلاعات شامل می شود بهترین موردبا احتیاط و در بدترین حالت - با بی اعتمادی زیاد. این امر خود ایده مدیریت ریسک را که منجر به خرابکاری این فرآیند توسط مدیریت و در نتیجه بروز حوادث متعددی می شود که مملو از گزارش های تحلیلی سالانه است، بی اعتبار می کند.

    با توجه به موارد فوق، بهتر است از کدام سمت به وظیفه ارزیابی ریسک های امنیت اطلاعات نزدیک شویم؟

    یک نگاه تازه

    امروزه امنیت اطلاعات به طور فزاینده ای بر اهداف تجاری متمرکز شده و در فرآیندهای تجاری گنجانده شده است. دگرگونی های مشابهی با ارزیابی ریسک در حال وقوع است - زمینه کسب و کار لازم را به دست می آورد. یک روش ارزیابی ریسک مدرن IS چه معیارهایی را باید رعایت کند؟ بدیهی است که باید به اندازه کافی ساده و جهانی باشد تا نتایج به کارگیری آن برای همه شرکت کنندگان در فرآیند معتبر و مفید باشد. اجازه دهید تعدادی از اصولی را که چنین تکنیکی باید بر اساس آنها باشد را مشخص کنیم:

    1. اجتناب از جزئیات بیش از حد؛
    2. به نظر کسب و کار تکیه کنید؛
    3. از مثال ها استفاده کنید؛
    4. در نظر گرفتن منابع خارجیاطلاعات

    ماهیت روش پیشنهادی با یک مثال عملی به بهترین شکل نشان داده می شود. وظیفه ارزیابی خطرات امنیت اطلاعات در یک شرکت تجاری و تولیدی را در نظر بگیرید. معمولا از کجا شروع می شود؟ از تعریف مرزهای ارزیابی. اگر ارزیابی ریسک برای اولین بار انجام می شود، مرزها باید شامل فرآیندهای اصلی کسب و کار که درآمدزایی می کنند و همچنین فرآیندهایی که به آنها خدمت می کنند، باشد.

    اگر فرآیندهای کسب و کار مستند نباشند، می توان با بررسی ساختار سازمانی و مقررات مربوط به بخش هایی که حاوی توصیفی از اهداف و مقاصد است، یک ایده کلی از آنها به دست آورد.

    پس از تعیین مرزهای ارزیابی، بیایید به شناسایی دارایی ها برویم. مطابق با موارد فوق، فرآیندهای تجاری اصلی را به عنوان دارایی های تجمیع در نظر می گیریم و موجودی منابع اطلاعاتی را به مراحل بعدی موکول می کنیم (قاعده 1). این به این دلیل است که روش شناسی شامل گذار تدریجی از کلی به جزئی است و سطح داده شدهاطلاعات دقیق به سادگی مورد نیاز نیست.

    عوامل خطر

    ما فرض می کنیم که در مورد ترکیب دارایی های در حال ارزیابی تصمیم گرفته ایم. در مرحله بعد، باید تهدیدات و آسیب پذیری های مرتبط با آنها را شناسایی کنید. با این حال، این رویکرد تنها در هنگام انجام تجزیه و تحلیل دقیق ریسک، که در آن اشیاء محیط دارایی اطلاعاتی موضوع ارزیابی هستند، قابل اجرا است. که در نسخه جدید ISO/IEC 27001:2013 تمرکز ارزیابی ریسک را از دارایی های IT سنتی به اطلاعات و پردازش آن تغییر داده است. از آنجایی که در سطح جزئیات فعلی، فرآیندهای تجاری انبوه شرکت را در نظر می گیریم، کافی است تنها عوامل خطر سطح بالا ذاتی در آنها را شناسایی کنیم.

    یک عامل خطر یک ویژگی خاص یک شی، فناوری یا فرآیند است که منبع مشکلاتی در آینده است. در عین حال، تنها در صورتی می توانیم در مورد وجود ریسک صحبت کنیم که مشکلات بر عملکرد شرکت تأثیر منفی داشته باشد. یک زنجیره منطقی ساخته شده است:

    بنابراین، وظیفه شناسایی عوامل خطر به شناسایی ویژگی‌ها و ویژگی‌های ناموفق فرآیندها کاهش می‌یابد که سناریوهای ریسک احتمالی را تعیین می‌کنند که تأثیر منفی بر کسب‌وکار دارند. برای ساده کردن راه حل آن، از مدل کسب و کار امنیت اطلاعات توسعه یافته توسط انجمن ISACA استفاده خواهیم کرد (شکل 1 را ببینید):

    برنج. 1. مدل کسب و کار امنیت اطلاعات

    گره های مدل، نیروهای محرکه اساسی هر سازمان را نشان می دهند: استراتژی، فرآیندها، افراد و فناوری، و لبه های آن نشان دهنده پیوندهای عملکردی بین آنهاست. در این دنده ها اساسا عوامل خطر اصلی متمرکز هستند. همانطور که به راحتی قابل مشاهده است، خطرات نه تنها با فناوری اطلاعات مرتبط هستند.

    چگونه عوامل خطر را بر اساس مدل فوق شناسایی کنیم؟ لازم است تجارت را در این امر دخیل کنید (قاعده 2). واحدهای تجاری معمولاً به خوبی از مشکلاتی که در کار خود با آن مواجه هستند آگاه هستند. تجربه همکاران در صنعت اغلب یادآوری می شود. با پرسیدن سوالات مناسب می توانید این اطلاعات را به دست آورید. مسائل مربوط به پرسنل باید به منابع انسانی، مسائل فناوری به اتوماسیون (IT) و مسائل فرآیند کسب و کار به واحدهای تجاری مناسب هدایت شود.

    در کار شناسایی عوامل خطر، شروع از مشکلات راحت تر است. پس از شناسایی هر مشکلی، لازم است علت آن مشخص شود. در نتیجه، یک عامل خطر جدید ممکن است شناسایی شود. مشکل اصلی در اینجا این است که به طور خاص غلت نزنید. به عنوان مثال، اگر حادثه ای در نتیجه اقدامات غیرقانونی یک کارمند رخ داده باشد، عامل خطر این نخواهد بود که کارمند مفاد برخی مقررات را نقض کرده باشد، بلکه خود این عمل ممکن شده است. یک عامل خطر همیشه پیش نیاز برای بروز یک مشکل است.

    برای اینکه کارکنان بهتر بفهمند دقیقاً چه چیزی از آنها پرسیده می شود، توصیه می شود سؤالات را با مثال همراه کنید (قانون 3). موارد زیر نمونه هایی از چندین عامل خطر سطح بالا هستند که ممکن است در بسیاری از فرآیندهای تجاری مشترک باشند:

    کارکنان:

    • صلاحیت های ناکافی (لبه عوامل انسانی در شکل 1)
    • کمبود کارمند (ظهور دنده)
    • انگیزه کم (فرهنگ دنده)

    فرآیندها:

    • تغییر مکرر الزامات خارجی (لبه حاکم)
    • اتوماسیون فرآیند توسعه نیافته (Enableing & Support edge)
    • تلفیقی از نقش ها توسط مجریان (Rib Emergence)

    فن آوری ها:

    • نرم افزار قدیمی (Enableing & Support edge)
    • مسئولیت پذیری ضعیف کاربر (لبه عوامل انسانی)
    • چشم انداز ناهمگون فناوری اطلاعات (لبه معماری)

    مزیت مهم روش ارزیابی پیشنهادی امکان تحلیل متقابل است که در آن دو بخش مختلف یک مسئله را از زوایای مختلف بررسی می‌کنند. با توجه به این شرایط، پرسیدن سوالاتی از مصاحبه شوندگان بسیار مفید است: «نظر شما در مورد مشکلات شناسایی شده توسط همکارانتان چیست؟» این یک راه عالی برای دریافت نمرات اضافی و همچنین تنظیم نمرات موجود است. برای اصلاح نتیجه، چندین دور از چنین ارزیابی را می توان انجام داد.

    تاثیر بر تجارت

    همانطور که از تعریف ریسک بر می آید، میزان تأثیر آن بر عملکرد تجاری سازمان مشخص می شود. یک ابزار مناسب که به شما امکان می دهد ماهیت تأثیر سناریوهای اجرای ریسک بر تجارت را تعیین کنید، سیستم کارت امتیازی متوازن است. بدون پرداختن به جزئیات، متذکر می شویم که کارت امتیازی متوازن 4 چشم انداز کسب و کار را برای هر شرکت شناسایی می کند که به روشی سلسله مراتبی مرتبط هستند (شکل 2 را ببینید).

    برنج. 2. چهار دیدگاه تجاری از کارت امتیازی متوازن

    در رابطه با روش مورد بررسی، اگر ریسک حداقل بر یکی از سه دیدگاه تجاری زیر تأثیر منفی بگذارد: مالی، مشتریان و/یا فرآیندها می‌تواند مهم تلقی شود (شکل 3 را ببینید).

    برنج. 3. شاخص های کلیدی کسب و کار

    به عنوان مثال، عامل خطر "پاسخگویی کاربر کم" می تواند منجر به سناریوی "نشت اطلاعات مشتری" شود. به نوبه خود، این بر تعداد معیارهای تجاری مشتریان تأثیر می گذارد.

    اگر یک شرکت معیارهای تجاری را توسعه داده باشد، این وضعیت را تا حد زیادی ساده می کند. هر زمان که امکان ردیابی تأثیر یک سناریوی ریسک خاص بر یک یا چند شاخص تجاری وجود داشته باشد، عامل خطر مربوطه را می توان مهم در نظر گرفت و نتایج ارزیابی آن باید در پرسشنامه ها ثبت شود. هر چه تأثیر یک سناریو از سلسله مراتب معیارهای کسب و کار بالاتر باشد، تأثیر بالقوه آن بر تجارت بیشتر خواهد بود.

    وظیفه تحلیل این پیامدها یک کار کارشناسی است، بنابراین باید با مشارکت واحدهای تجاری تخصصی حل شود (قاعده 2). برای کنترل بیشتر تخمین های به دست آمده، استفاده از منابع اطلاعات خارجی حاوی داده های آماری در مورد میزان خسارات ناشی از حوادث (قانون 4) مفید است، به عنوان مثال، گزارش سالانه مطالعه هزینه نقض داده ها.

    امتیاز احتمال

    در مرحله نهایی تجزیه و تحلیل، برای هر یک از عوامل خطر شناسایی شده که تأثیر آن بر تجارت قابل تعیین است، لازم است احتمال سناریوهای مرتبط با آن ارزیابی شود. این ارزیابی به چه چیزی بستگی دارد؟ تا حد زیادی از کفایت اقدامات حفاظتی اجرا شده در شرکت.

    در اینجا یک هشدار کوچک وجود دارد. منطقی است که فرض کنیم از آنجایی که مشکل شناسایی شده است، به این معنی است که هنوز مرتبط است. در عین حال، اقدامات انجام شده به احتمال زیاد برای هموار کردن پیش نیازهای وقوع آن کافی نیست. کفایت اقدامات متقابل با نتایج ارزیابی اثربخشی کاربرد آنها، به عنوان مثال، با استفاده از یک سیستم متریک تعیین می شود.

    برای ارزیابی، می توانید از یک مقیاس سه سطحی ساده استفاده کنید، که در آن:

    3- اقدامات متقابل اجرا شده عموماً کافی است.

    2- اقدامات متقابل به اندازه کافی اجرا نمی شود.

    1- عدم اقدام متقابل

    به عنوان کتاب مرجعی که اقدامات متقابل را توصیف می کند، می توانید از استانداردها و دستورالعمل های تخصصی مانند CobiT 5، ISO / IEC 27002 و غیره استفاده کنید. هر اقدام متقابل باید با یک عامل خطر خاص همراه باشد.

    مهم است که به یاد داشته باشید که ما خطرات مرتبط با استفاده از فناوری اطلاعات را تجزیه و تحلیل می کنیم، بلکه همچنین با سازماندهی داخلی فرآیندهای اطلاعاتیدر شرکت. بنابراین، اقدامات متقابل باید به طور گسترده تری در نظر گرفته شود. بی جهت نیست که نسخه جدید ISO/IEC 27001:2013 حاوی بند است که هنگام انتخاب اقدامات متقابل، لازم است از هر منبع خارجی استفاده شود (قانون 4) و نه فقط ضمیمه A که در استاندارد موجود است. اهداف مرجع

    بزرگی خطر

    برای تعیین ارزش ریسک نهایی می توان از یک جدول ساده استفاده کرد (جدول 1 را ببینید).

    Tab. 1. ماتریس ارزیابی ریسک

    در صورتی که یک عامل ریسک بر چندین دیدگاه تجاری مانند "مشتریان" و "مالی" تأثیر بگذارد، شاخص های آنها خلاصه می شود. ابعاد مقیاس و همچنین سطوح قابل قبول خطرات IS را می توان به هر روشی مناسب تعیین کرد. در مثال بالا، خطرات با سطوح 2 و 3 بالا در نظر گرفته می شوند.

    در این مرحله می توان مرحله اول ارزیابی ریسک را تکمیل شده در نظر گرفت. ارزش نهایی ریسک مرتبط با فرآیند تجاری ارزیابی شده به عنوان مجموع مقادیر ترکیبی برای همه عوامل شناسایی شده تعیین می شود. صاحب ریسک را می توان به عنوان مسئول در شرکت برای موضوع ارزیابی شده در نظر گرفت.

    رقم به دست آمده به ما نمی گوید که سازمان چقدر در خطر از دست دادن پول است. در عوض، حوزه تمرکز ریسک ها و ماهیت تأثیر آنها بر عملکرد تجاری را نشان می دهد. این اطلاعات برای تمرکز بیشتر بر مهمترین جزئیات ضروری است.

    ارزیابی دقیق

    مزیت اصلی این تکنیک این است که به شما امکان می دهد تجزیه و تحلیل ریسک امنیت اطلاعات را با سطح جزئیات دلخواه انجام دهید. در صورت لزوم، می توانید به عناصر مدل امنیت اطلاعات (شکل 1) "بافتید" و آنها را با جزئیات بیشتری در نظر بگیرید. به عنوان مثال، با شناسایی بالاترین غلظت ریسک در لبه های مرتبط با فناوری اطلاعات، می توانید سطح جزئیات گره فناوری را افزایش دهید. اگر قبلاً یک فرآیند تجاری جداگانه به عنوان هدف ارزیابی ریسک عمل می کرد، اکنون تمرکز به یک سیستم اطلاعاتی خاص و فرآیندهای استفاده از آن تغییر خواهد کرد. به منظور ارائه سطح مورد نیاز از جزئیات، ممکن است موجودی منابع اطلاعاتی مورد نیاز باشد.

    همه اینها در مورد سایر حوزه های ارزیابی نیز صدق می کند. وقتی جزئیات گره People را تغییر می‌دهید، اهداف ارزیابی می‌توانند به نقش‌های پرسنلی یا حتی کارمندان منفرد تبدیل شوند. برای گره Process، اینها می توانند خط مشی ها و رویه های کاری خاص باشند.

    تغییر سطح جزئیات به طور خودکار نه تنها عوامل خطر، بلکه اقدامات متقابل قابل اعمال را نیز تغییر می دهد. هر دو به موضوع ارزیابی اختصاصی تر خواهند شد. با این حال، رویکرد کلی برای انجام ارزیابی ریسک تغییر نخواهد کرد. برای هر عامل شناسایی شده، ارزیابی موارد زیر ضروری خواهد بود:

    • میزان تأثیر ریسک بر چشم انداز کسب و کار؛
    • کافی بودن اقدامات متقابل

    سندرم روسی

    انتشار استاندارد ISO/IEC 27001:2013 بسیاری از شرکت های روسی را در موقعیت دشواری قرار داده است. از یک طرف، آنها قبلاً رویکرد خاصی را برای ارزیابی خطرات امنیت اطلاعات بر اساس طبقه بندی دارایی های اطلاعاتی، ارزیابی تهدیدها و آسیب پذیری ها ایجاد کرده اند. تنظیم کننده های ملی موفق شده اند تعدادی از مقررات حمایت از این رویکرد را صادر کنند، به عنوان مثال، استاندارد بانک روسیه، دستورات FSTEC. از سوی دیگر، وظیفه ارزیابی ریسک برای تغییر مدتهاست که به تعویق افتاده است و اکنون لازم است نظم ایجاد شده برای برآورده کردن الزامات قدیمی و جدید اصلاح شود. بله، امروزه هنوز امکان دریافت گواهینامه بر اساس استاندارد GOST R ISO / IEC 27001:2006 وجود دارد که یکسان است نسخه پیشین ISO/IEC 27001، اما نه برای مدت طولانی.

    روش تجزیه و تحلیل ریسک که در بالا مورد بحث قرار گرفت به این موضوع می پردازد. با کنترل سطح جزئیات در ارزیابی، می توانید دارایی ها و ریسک ها را در هر مقیاسی، از فرآیندهای تجاری گرفته تا فردی در نظر بگیرید. جریان اطلاعات. این رویکرد همچنین راحت است زیرا به شما امکان می دهد تمام خطرات سطح بالا را بدون از دست دادن چیزی پوشش دهید. در عین حال، این شرکت به طور قابل توجهی هزینه های نیروی کار را برای تجزیه و تحلیل بیشتر کاهش می دهد و زمان را برای ارزیابی دقیق ریسک های ناچیز تلف نمی کند.

    لازم به ذکر است که هرچه حوزه ارزیابی دقیق تر باشد، مسئولیت بیشتر بر عهده کارشناسان و صلاحیت بیشتری است، زیرا زمانی که عمق تحلیل تغییر می کند، نه تنها عوامل خطر، بلکه چشم انداز اقدامات متقابل قابل اجرا نیز تغییر می کند.

    علیرغم تمام تلاش‌ها برای ساده‌سازی، تحلیل ریسک امنیت اطلاعات هنوز زمان‌بر و پیچیده است. رهبر این جریان مسئولیت ویژه ای دارد. بسیاری از چیزها به این بستگی دارد که او چقدر با شایستگی یک رویکرد ایجاد کند و با این کار کنار بیاید - از تخصیص بودجه برای امنیت اطلاعات تا پایداری کسب و کار.

    بیشتر بخوانید: