تجزیه و تحلیل خطرات و تهدیدات امنیت اطلاعات. خطرات امنیت اطلاعات

NRU ITMO، *****@****com

استاد راهنما - دکترای علوم فنی، پروفسور NRU ITMO، *****@

حاشیه نویسی

این مقاله روش‌هایی را برای محاسبه خطر امنیت اطلاعات مورد بحث قرار می‌دهد، مقایسه با نشانه‌ای از کاستی‌های حیاتی انجام می‌شود. پیشنهادی برای استفاده از روش ارزیابی ریسک خودمان ارائه شده است.

کلید واژه ها:ریسک، سیستم اطلاعات، امنیت اطلاعات، روش محاسبه ریسک، ارزیابی ریسک، دارایی اطلاعاتی.

معرفی

سیستم مدیریت ریسک امنیت اطلاعات (IS) یک کار فوری در تمام مراحل عملیات پیچیده امنیت اطلاعات است. در عین حال، مدیریت ریسک ها بدون ارزیابی اولیه آنها غیرممکن است، که به نوبه خود، باید طبق روشی انجام شود. در مرحله ارزیابی ریسک، فرمول ها و داده های ورودی برای محاسبه ارزش ریسک بیشترین علاقه را دارند. این مقاله چندین روش مختلف محاسبه ریسک را تجزیه و تحلیل می کند و روش شناسی خود را ارائه می دهد. هدف کار استخراج فرمولی برای محاسبه ریسک امنیت اطلاعات است که به شما امکان می دهد مجموعه ای از خطرات واقعی را بدست آورید و زیان ها را از نظر پولی ارزیابی کنید.

ریسک امنیت اطلاعات در شکل کلاسیک آن به عنوان تابعی از سه متغیر تعریف می شود:

احتمال تهدید؛ احتمال وجود آسیب پذیری (ناامنی)؛ تاثیر بالقوه

اگر هر یک از این متغیرها به صفر نزدیک شود، ریسک کل نیز به صفر نزدیک می شود.

روش های ارزیابی ریسک

ISO/IEC 27001 در رابطه با روش محاسبه ارزش ریسک، بیان شده است که روش انتخابی باید اطمینان حاصل کند که برآوردهای ریسک نتایج قابل مقایسه و تکرارپذیری را ارائه می دهد. با این حال، استاندارد فرمول محاسباتی خاصی ارائه نمی دهد.

NIST 800-30 فرمول خطر کلاسیک را ارائه می دهد:

جایی که R مقدار ریسک است.

P(t) - احتمال اجرای تهدید IS (ترکیبی از مقیاس های کیفی و کمی استفاده می شود).

S - میزان تأثیر تهدید بر دارایی (قیمت دارایی در مقیاس کیفی و کمی).

در نتیجه، ارزش ریسک در واحدهای نسبی محاسبه می‌شود که می‌توان آن‌ها را با توجه به درجه اهمیت رویه مدیریت ریسک امنیت اطلاعات رتبه‌بندی کرد.

GOST R ISO / IEC TO 7. محاسبه ریسک، بر خلاف استاندارد NIST 800-30، بر اساس سه عامل انجام می شود:

R = P(t) * P(v) * S،

جایی که R مقدار ریسک است.

P(t) - احتمال تحقق تهدید IS.

P(v) - احتمال داشتن یک آسیب پذیری؛

S ارزش دارایی است.

به عنوان نمونه ای از مقادیر احتمالات P(t) و P(v)، یک مقیاس کیفی با سه سطح کم، متوسط ​​و زیاد آورده شده است. برای ارزیابی ارزش دارایی S، مقادیر عددی در محدوده 0 تا 4 ارائه شده است. مقایسه مقادیر کیفی آنها باید توسط سازمانی انجام شود که در آن خطرات امنیت اطلاعات ارزیابی می شود.

BS 7799. سطح خطر با در نظر گرفتن سه شاخص محاسبه می شود - ارزش منبع، سطح تهدید و درجه آسیب پذیری. با افزایش مقادیر این سه پارامتر، ریسک افزایش می یابد، بنابراین فرمول را می توان به صورت زیر نشان داد:

R = S * L(t) * L(v)،

جایی که R مقدار ریسک است.

S - ارزش دارایی/منبع؛

L(t) - سطح تهدید؛

L(v) - سطح/درجه آسیب پذیری.

در عمل، محاسبه ریسک‌های IS با توجه به جدول موقعیت‌یابی مقادیر سطح تهدید، میزان احتمال استفاده از آسیب‌پذیری و ارزش دارایی انجام می‌شود. ارزش ریسک می تواند از 0 تا 8 متغیر باشد و در نتیجه لیستی از تهدیدات با مقادیر ریسک متفاوت برای هر دارایی ایجاد می شود. این استاندارد همچنین یک مقیاس رتبه بندی ریسک ارائه می دهد: کم (0-2)، متوسط ​​(3-5) و بالا (6-8)، که به شما امکان می دهد بحرانی ترین ریسک ها را تعیین کنید.

STO BR IBBS. بر اساس استاندارد، ارزیابی میزان امکان اجرای تهدید امنیت اطلاعات در مقیاس کمی-کیفی انجام می شود، تهدید غیرقابل تحقق 0 درصد، میانگین از 21 درصد تا 50 درصد و غیره تعیین می شود. شدت پیامدها برای انواع مختلف دارایی های اطلاعاتی نیز پیشنهاد می شود با استفاده از مقیاس کمی - کیفی، یعنی حداقل - 0.5٪ سرمایه بانک، بالا - از 1.5٪ تا 3٪ سرمایه بانک ارزیابی شود.

برای انجام ارزیابی کیفی خطرات امنیت اطلاعات، از جدول تناظر بین شدت پیامدها و احتمال تهدید استفاده می شود. اگر نیاز به ارزیابی کمی باشد، فرمول را می توان به صورت زیر نشان داد:

جایی که R مقدار ریسک است.

P(v) - احتمال تحقق تهدید IS.

S - ارزش دارایی (شدت عواقب).

روش پیشنهادی

با در نظر گرفتن تمامی روش های فوق ارزیابی ریسک از نظر محاسبه ارزش ریسک امنیت اطلاعات، شایان ذکر است که ریسک با استفاده از ارزش تهدیدات و ارزش دارایی محاسبه می شود. یک اشکال قابل توجه ارزیابی ارزش دارایی ها (میزان خسارت) در قالب ارزش های مشروط است. مقادیر مشروط واحدهای اندازه گیری قابل اجرا در عمل را ندارند، به ویژه، آنها یک معادل پولی نیستند. در نتیجه، این ایده واقعی از سطح ریسکی که می تواند به دارایی های واقعی هدف حفاظت منتقل شود، نمی دهد.

بنابراین، پیشنهاد شده است که روش محاسبه ریسک به دو مرحله تقسیم شود:

1. محاسبه ارزش ریسک فنی.

2. محاسبه خسارت احتمالی.

ریسک فنی به عنوان ارزش ریسک امنیت اطلاعات درک می شود که شامل احتمال اجرای تهدیدها و سوء استفاده از آسیب پذیری هر یک از اجزای زیرساخت اطلاعاتی با در نظر گرفتن سطح محرمانه بودن، یکپارچگی و در دسترس بودن آنها است. برای مرحله اول 3 فرمول زیر را داریم:

Rc = Kc * P(T) * P(V)، Ri = Ki * P(T) * P(V)،

Ra = Ka * P(T) * P(V)،

جایی که Rс - ارزش ریسک محرمانگی؛

Ri - ارزش ریسک یکپارچگی؛

Ra - ارزش ریسک در دسترس بودن؛

Kс - ضریب محرمانه بودن دارایی اطلاعات.

Ki - ضریب یکپارچگی دارایی اطلاعات؛

Ka - عامل دسترسی به دارایی اطلاعات؛

P(T) - احتمال تحقق تهدید؛

P(V) - احتمال استفاده از آسیب پذیری.

بکارگیری این الگوریتم امکان ارزیابی ریسک دقیق تری را فراهم می کند و در نتیجه یک مقدار بدون بعد از احتمال خطر به خطر انداختن هر دارایی اطلاعاتی به طور جداگانه بدست می آید.

متعاقباً می توان ارزش خسارت را محاسبه کرد، برای این منظور از میانگین ارزش ریسک هر دارایی اطلاعاتی و میزان زیان احتمالی استفاده می شود:

که در آن L مقدار خسارت است.

Rav - میانگین ارزش ریسک؛

S - زیان (از لحاظ پولی).

روش پیشنهادی ارزیابی صحیح ارزش ریسک امنیت اطلاعات و محاسبه زیان های مالی در صورت بروز حوادث امنیتی را ممکن می سازد.

ادبیات

1. ISO / IEC 27001. استاندارد بین المللی شامل الزامات در زمینه امنیت اطلاعات برای استقرار، توسعه و نگهداری یک سیستم مدیریت امنیت اطلاعات است. دهه 20

2. GOST R ISO/IEC TO 7. استاندارد ملی فدراسیون روسیه. روش ها و ابزارهای تضمین امنیت. بخش 3. روش های مدیریت امنیت فناوری اطلاعات. مسکو دهه 20

3. BS 7799-2:2005 مشخصات سیستم مدیریت امنیت اطلاعات. انگلستان. دهه 20

4. RS BR IBBS-2.2-200. تضمین امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه. روش ارزیابی خطرات نقض امنیت اطلاعات. مسکو دهه 20

5. راهنمای مدیریت ریسک برای سیستم های فناوری اطلاعات. توصیه های موسسه ملی استاندارد و فناوری. ایالات متحده آمریکا. دهه 20

6. منبع الکترونیکی ویکی پدیا، مقاله "ریسک".

مسائل کاربرد عملی تحلیل ریسک در فرآیندهای مدیریت امنیت اطلاعات و همچنین مشکلات کلی خود فرآیند تحلیل ریسک امنیت اطلاعات.

در فرآیند مدیریت هر حوزه ای از فعالیت، لازم است تصمیمات آگاهانه و مؤثری ایجاد شود که اتخاذ آنها به دستیابی به اهداف خاصی کمک می کند. به نظر ما تنها بر اساس واقعیت ها و تحلیل روابط علت و معلولی می توان تصمیم کافی گرفت. البته، در تعدادی از موارد، تصمیمات در سطح شهودی گرفته می شود، اما کیفیت یک تصمیم شهودی بسیار به تجربه مدیر و تا حدی به ترکیب خوش شانسی از شرایط بستگی دارد.

برای نشان دادن پیچیدگی فرآیند تصمیم گیری آگاهانه و واقع بینانه، اجازه دهید مثالی از حوزه مدیریت امنیت اطلاعات (IS) بیاوریم. بیایید یک وضعیت معمولی را در نظر بگیریم: رئیس بخش امنیت اطلاعات باید بداند که در کدام جهت حرکت کند تا به طور مؤثر عملکرد اصلی خود - تضمین امنیت اطلاعات سازمان را انجام دهد. از یک طرف، همه چیز بسیار ساده است. تعدادی رویکرد استاندارد برای حل مشکلات امنیتی وجود دارد: حفاظت محیطی، حفاظت از خودی، حفاظت از فورس ماژور. و محصولات زیادی وجود دارند که به شما امکان می دهند یک مشکل خاص را حل کنید (برای محافظت از خود در برابر یک تهدید خاص).

با این حال، یک "اما" کوچک وجود دارد. متخصصان بخش امنیت اطلاعات با این واقعیت روبرو هستند که انتخاب محصولات طبقات مختلف بسیار گسترده است، زیرساخت اطلاعاتی سازمان بسیار گسترده است، تعداد اهداف بالقوه برای حملات متخلفان زیاد است و فعالیت ها بخش های سازمان ناهمگن هستند و نمی توانند یکپارچه شوند. در عین حال، هر متخصص بخش نظر خود را در مورد زمینه های اولویت فعالیت، مطابق با تخصص و اولویت های شخصی خود دارد. و معرفی یک راه حل فنی یا تدوین یک آیین نامه یا دستورالعمل در یک سازمان بزرگ منجر به یک پروژه کوچک با تمام ویژگی های فعالیت های پروژه می شود: برنامه ریزی، بودجه، مسئولیت پذیری، مهلت ها و غیره.

بنابراین، دفاع از خود در همه جا و از همه چیز، اولاً از نظر فیزیکی امکان پذیر نیست و ثانیاً بی معنی است. رئیس اداره امنیت اطلاعات در این مورد چه کاری می تواند انجام دهد؟

اول اینکه ممکن است تا اولین حادثه بزرگ کاری انجام ندهد. ثانیاً، سعی کنید برخی از استانداردهای پذیرفته شده عمومی را برای تامین امنیت اطلاعات پیاده سازی کنید. ثالثاً به مواد بازاریابی سازندگان نرم افزار و سخت افزار و یکپارچه سازان یا مشاوران در زمینه امنیت اطلاعات اعتماد کنید. با این حال، راه دیگری وجود دارد.

تعریف اهداف مدیریت امنیت اطلاعات

می توانید سعی کنید - با کمک مدیریت و کارمندان سازمان - بفهمید که واقعاً چه چیزی و از چه کسی باید محافظت شود. از این لحظه، فعالیت های خاصی در تقاطع فناوری ها و کسب و کار اصلی آغاز می شود که شامل تعیین جهت فعالیت و (در صورت امکان) وضعیت هدف تأمین امنیت اطلاعات است که هم از نظر تجاری و هم از نظر تدوین می شود. امنیت اطلاعات.

فرآیند تحلیل ریسک ابزاری است که می‌تواند برای تعیین اهداف مدیریت امنیت اطلاعات، ارزیابی عوامل حیاتی اصلی که بر فرآیندهای کلیدی تجاری شرکت تأثیر منفی می‌گذارد و راه‌حل‌های آگاهانه، مؤثر و معقول برای کنترل یا به حداقل رساندن آنها توسعه دهد.

در زیر توضیح خواهیم داد که چه وظایفی به عنوان بخشی از تجزیه و تحلیل ریسک امنیت اطلاعات برای به دست آوردن نتایج فهرست شده حل می شود و چگونه این نتایج به عنوان بخشی از تجزیه و تحلیل ریسک به دست می آید.

شناسایی و ارزیابی دارایی ها

هدف از مدیریت امنیت اطلاعات حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات است. تنها سوال این است که چه نوع اطلاعاتی باید محافظت شود و چه تلاش هایی باید برای اطمینان از ایمنی آنها انجام شود (شکل 1).

هر مدیریتی مبتنی بر آگاهی از موقعیتی است که در آن اتفاق می افتد. از نظر تحلیل ریسک، آگاهی از وضعیت در موجودی و ارزیابی دارایی های سازمان و محیط آنها، یعنی هر چیزی که انجام فعالیت های تجاری را تضمین می کند، بیان می شود. از نقطه نظر تحلیل ریسک امنیت اطلاعات، دارایی های اصلی مستقیماً شامل اطلاعات، زیرساخت ها، پرسنل، تصویر و شهرت شرکت است. بدون موجودی دارایی ها در سطح فعالیت تجاری، پاسخ به این سوال که چه چیزی باید محافظت شود، غیرممکن است. درک اینکه چه اطلاعاتی در یک سازمان پردازش می شود و کجا پردازش می شود بسیار مهم است.

در یک سازمان بزرگ مدرن، تعداد دارایی های اطلاعاتی می تواند بسیار زیاد باشد. اگر فعالیت‌های سازمان با استفاده از یک سیستم ERP خودکار شود، می‌توان گفت که تقریباً هر شیء مادی مورد استفاده در این فعالیت با برخی از شی اطلاعات مطابقت دارد. بنابراین، وظیفه اصلی مدیریت ریسک، شناسایی مهم ترین دارایی ها است.

حل این مشکل بدون دخالت مدیران فعالیت اصلی سازمان اعم از مدیران میانی و عالی غیرممکن است. وضعیت بهینه زمانی است که مدیریت ارشد سازمان شخصاً حیاتی ترین زمینه های فعالیت را تعیین می کند که برای آن اطمینان از امنیت اطلاعات بسیار مهم است. نظر مدیریت ارشد در مورد اولویت ها در تضمین امنیت اطلاعات در فرآیند تحلیل ریسک بسیار مهم و ارزشمند است، اما در هر صورت باید با جمع آوری اطلاعات بحرانی بودن دارایی ها در سطح میانی مدیریت شرکت روشن شود. در عین حال، توصیه می شود تجزیه و تحلیل بیشتری را دقیقاً در زمینه های فعالیت تجاری تعیین شده توسط مدیریت ارشد انجام دهید. اطلاعات دریافتی پردازش، جمع‌آوری و برای ارزیابی جامع وضعیت به مدیریت ارشد منتقل می‌شود (اما بعداً در مورد آن بیشتر خواهد شد).

اطلاعات را می توان بر اساس شرح فرآیندهای تجاری که در آن اطلاعات به عنوان یکی از انواع منابع در نظر گرفته می شود، شناسایی و بومی سازی کرد. اگر سازمان یک رویکرد تنظیم تجاری (مثلاً برای اهداف مدیریت کیفیت و بهینه سازی فرآیند کسب و کار) اتخاذ کرده باشد، کار تا حدودی ساده می شود. تشریح فرآیندهای تجاری رسمی نقطه شروع خوبی برای موجودی دارایی است. در صورت عدم وجود توضیحات، می توانید بر اساس اطلاعات دریافتی از کارکنان سازمان، دارایی ها را شناسایی کنید. پس از شناسایی دارایی ها، ارزش آنها باید تعیین شود.

کار تعیین ارزش دارایی های اطلاعاتی در زمینه کل سازمان مهم ترین و پیچیده ترین است. این ارزیابی دارایی های اطلاعاتی است که به رئیس بخش امنیت اطلاعات اجازه می دهد تا زمینه های اصلی فعالیت را برای تضمین امنیت اطلاعات انتخاب کند.

ارزش دارایی به صورت میزان ضرری که سازمان در صورت نقض امنیت دارایی متحمل خواهد شد بیان می شود. تعیین ارزش مشکل است زیرا، در بیشتر موارد، مدیران یک سازمان نمی توانند فورا به این سوال پاسخ دهند که چه اتفاقی می افتد اگر، برای مثال، اطلاعات قیمت خرید ذخیره شده در یک سرور فایل به یک رقیب برسد. یا بهتر بگوییم در بیشتر موارد مدیران سازمان هرگز به چنین موقعیت هایی فکر نمی کردند.

اما کارایی اقتصادی فرآیند مدیریت امنیت اطلاعات تا حد زیادی به آگاهی از آنچه باید محافظت شود و چه تلاش هایی برای این امر لازم است بستگی دارد، زیرا در بیشتر موارد میزان تلاش به کار گرفته شده با مقدار پول صرف شده و عملیاتی متناسب است. هزینه ها مدیریت ریسک به شما این امکان را می دهد که به این سوال پاسخ دهید که کجا می توانید ریسک کنید و کجا نمی توانید. در مورد امنیت اطلاعات، اصطلاح ریسک به این معناست که در یک حوزه خاص می توان تلاش قابل توجهی برای حفاظت از دارایی های اطلاعاتی انجام نداد و در عین حال در صورت رخنه امنیتی، سازمان متضرر نشد. زیان های قابل توجه در اینجا می‌توانیم قیاسی با کلاس‌های حفاظتی سیستم‌های خودکار ترسیم کنیم: هرچه خطرات بیشتر باشد، الزامات حفاظتی باید دقیق‌تر باشد.

برای تعیین پیامدهای نقض امنیتی، یا باید اطلاعاتی در مورد حوادث ثبت شده با ماهیت مشابه داشته باشیم، یا یک تحلیل سناریو انجام دهیم. تجزیه و تحلیل سناریو روابط علّی بین رویدادهای نقض امنیت دارایی و تأثیر آن رویدادها بر تجارت یک سازمان را بررسی می کند. پیامدهای سناریوها باید توسط چند نفر به صورت تکراری یا مشورتی ارزیابی شود. لازم به ذکر است که توسعه و ارزیابی چنین سناریوهایی را نمی توان به طور کامل از واقعیت جدا کرد. همیشه باید به خاطر داشت که سناریو باید محتمل باشد. معیارها و مقیاس های تعیین ارزش برای هر سازمان فردی است. بر اساس نتایج تحلیل سناریو می توان اطلاعاتی در مورد ارزش دارایی ها به دست آورد.

اگر دارایی ها شناسایی شده و ارزش آنها مشخص شود، می توان گفت که اهداف تضمین امنیت اطلاعات تا حدی تعیین شده است: اهداف حفاظتی و اهمیت نگهداری آنها در وضعیت امنیت اطلاعات برای سازمان تعریف می شود. شاید فقط مشخص شود که باید از چه کسی محافظت شود.

تجزیه و تحلیل منبع مشکل

پس از تعریف اهداف مدیریت امنیت اطلاعات، لازم است مشکلاتی که مانع نزدیک شدن به وضعیت هدف می شوند، مورد تجزیه و تحلیل قرار گیرد. در این سطح، فرآیند تحلیل ریسک به زیرساخت اطلاعات و مفاهیم سنتی امنیت اطلاعات - متخلفان، تهدیدها و آسیب پذیری ها نزول می کند (شکل 2).

مدل مزاحم

برای ارزیابی ریسک‌ها، معرفی یک مدل متجاوز استاندارد که همه مزاحمان را با توجه به نوع دسترسی به دارایی و دانش در مورد ساختار دارایی‌ها جدا می‌کند، کافی نیست. این جداسازی به تعیین اینکه چه تهدیدهایی می‌تواند متوجه یک دارایی شود کمک می‌کند، اما به این سؤال پاسخ نمی‌دهد که آیا اصولاً این تهدیدها قابل تحقق هستند یا خیر.

در فرآیند تحلیل ریسک، ارزیابی انگیزه متخلفان در اجرای تهدیدات ضروری است. در عین حال، منظور از نقض کننده یک هکر خارجی یا خودی انتزاعی نیست، بلکه طرفی است که علاقه مند به کسب منافع از طریق نقض امنیت یک دارایی است.

اطلاعات اولیه در مورد مدل نفوذگر، مانند انتخاب حوزه های اولیه فعالیت برای اطمینان از امنیت اطلاعات، باید از مدیریت ارشد که موقعیت سازمان در بازار را درک می کند، اطلاعاتی در مورد رقبا و آنچه در اختیار دارد، به دست آید. روش های نفوذ را می توان از آنها انتظار داشت. اطلاعات لازم برای توسعه مدل یک نفوذگر را نیز می توان از مطالعات تخصصی در مورد تخلفات در زمینه امنیت رایانه در حوزه تجاری که تجزیه و تحلیل ریسک برای آن انجام می شود به دست آورد. یک مدل مزاحم به خوبی طراحی شده، اهداف تضمین امنیت اطلاعات تعریف شده در ارزیابی دارایی های سازمان را تکمیل می کند.

مدل تهدید

توسعه یک مدل تهدید و شناسایی آسیب پذیری ها به طور جدایی ناپذیری با فهرستی از محیط دارایی اطلاعاتی سازمان مرتبط است. اطلاعات به خودی خود ذخیره یا پردازش نمی شوند. دسترسی به آن با استفاده از زیرساخت اطلاعاتی که فرآیندهای تجاری سازمان را خودکار می کند، فراهم می شود. درک اینکه چگونه زیرساخت اطلاعاتی و دارایی های اطلاعاتی یک سازمان به هم مرتبط هستند، مهم است. از منظر مدیریت امنیت اطلاعات، اهمیت زیرساخت اطلاعاتی را تنها پس از تعیین رابطه بین دارایی های اطلاعاتی و زیرساخت می توان مشخص کرد. در صورتی که فرآیندهای نگهداری و بهره برداری از زیرساخت اطلاعاتی در یک سازمان منظم و شفاف باشد، جمع آوری اطلاعات لازم برای شناسایی تهدیدها و ارزیابی آسیب پذیری ها بسیار ساده می شود.

توسعه یک مدل تهدید، کاری برای متخصصان امنیتی است که ایده خوبی از نحوه دسترسی غیرمجاز یک متجاوز به اطلاعات با نقض محیط امنیتی یا استفاده از روش‌های مهندسی اجتماعی دارند. هنگام توسعه یک مدل تهدید، می توان در مورد سناریوها به عنوان مراحل متوالی صحبت کرد که براساس آنها می توان تهدیدها را پیاده سازی کرد. به ندرت اتفاق می افتد که تهدیدات در یک مرحله با بهره برداری از یک آسیب پذیری واحد در سیستم اجرا شوند.

مدل تهدید باید شامل تمام تهدیدات شناسایی شده در نتیجه فرآیندهای مدیریت امنیت اطلاعات مرتبط، مانند آسیب پذیری و مدیریت حوادث باشد. باید به خاطر داشت که تهدیدها باید نسبت به یکدیگر با توجه به سطح احتمال اجرای آنها رتبه بندی شوند. برای انجام این کار، در فرآیند توسعه یک مدل تهدید برای هر تهدید، لازم است مهم ترین عواملی که وجود آنها بر اجرای آن تأثیر می گذارد، مشخص شود.

شناسایی آسیب پذیری

بر این اساس، پس از تدوین مدل تهدید، شناسایی آسیب‌پذیری‌ها در محیط دارایی ضروری است. شناسایی و ارزیابی آسیب پذیری ها می تواند به عنوان بخشی از فرآیند مدیریت امنیت اطلاعات دیگر - ممیزی - انجام شود. در اینجا نباید فراموش کرد که برای انجام ممیزی IS، تدوین معیارهای تأیید ضروری است. و معیارهای راستی آزمایی را می توان فقط بر اساس مدل تهدید و مدل ناقض توسعه داد.

بر اساس نتایج حاصل از توسعه مدل تهدید، مدل نفوذگر و شناسایی آسیب‌پذیری‌ها، می‌توان گفت که دلایلی که بر دستیابی به وضعیت هدف امنیت اطلاعات سازمان تأثیر می‌گذارند، شناسایی شده‌اند.

ارزیابی ریسک

شناسایی و ارزیابی دارایی ها، توسعه مدل مهاجم و تهدید، شناسایی آسیب پذیری ها همه مراحل استانداردی هستند که باید در هر روش تحلیل ریسک گنجانده شوند. تمام مراحل فوق را می توان با سطوح مختلف کیفیت و جزئیات انجام داد. بسیار مهم است که بدانیم با حجم عظیمی از اطلاعات انباشته شده و مدل های رسمی چه کاری و چگونه می توان انجام داد. به نظر ما این سوال مهم ترین است و روش تحلیل ریسک مورد استفاده باید به آن پاسخ دهد.

نتایج به دست آمده باید ارزیابی، تجمیع، طبقه بندی و نمایش داده شوند. از آنجایی که خسارت در مرحله شناسایی و ارزیابی دارایی ها تعیین می شود، ارزیابی احتمال وقوع رویدادهای ریسک ضروری است. همانطور که در مورد ارزیابی دارایی، ارزیابی احتمال را می توان بر اساس آمار حوادثی که دلایل آن با تهدیدات IS در نظر گرفته شده منطبق است، یا با روش پیش بینی - بر اساس وزن عوامل مربوط به مدل تهدید توسعه یافته به دست آورد.

یک روش خوب برای ارزیابی احتمال، طبقه‌بندی آسیب‌پذیری‌ها بر اساس مجموعه‌ای از عوامل انتخاب شده است که سهولت بهره‌برداری از آسیب‌پذیری‌ها را مشخص می‌کند. پیش‌بینی احتمال تهدیدها از قبل بر اساس ویژگی‌های آسیب‌پذیری و گروه‌هایی از مزاحمان که تهدیدها از آن‌ها می‌آیند، انجام می‌شود.

نمونه ای از یک سیستم طبقه بندی آسیب پذیری، استاندارد CVSS - سیستم امتیازدهی آسیب پذیری رایج است. لازم به ذکر است که در فرآیند شناسایی و ارزیابی آسیب‌پذیری‌ها، تخصص متخصصان امنیت اطلاعات که ارزیابی ریسک را انجام می‌دهند و مطالب آماری و گزارش‌های آسیب‌پذیری‌ها و تهدیدات در حوزه امنیت اطلاعات بسیار حائز اهمیت است.

ارزش (سطح) ریسک باید برای همه مجموعه های "دارایی - تهدید" شناسایی شده و مطابق با یکدیگر تعیین شود. در عین حال، لازم نیست میزان خسارت و احتمال آن به صورت پولی و درصدی مطلق بیان شود. علاوه بر این، به عنوان یک قاعده، ارائه نتایج در این فرم ممکن نیست. دلیل این امر روش های مورد استفاده برای تجزیه و تحلیل و ارزیابی خطرات امنیت اطلاعات است: تجزیه و تحلیل سناریو و پیش بینی.

تصمیم گیری

با نتیجه ارزیابی چه می توان کرد؟

ابتدا باید یک گزارش تحلیل ریسک ساده و بصری تهیه شود که هدف اصلی آن ارائه اطلاعات جمع آوری شده در مورد اهمیت و ساختار ریسک های امنیت اطلاعات در سازمان خواهد بود. گزارش باید به مدیریت عالی سازمان ارائه شود. یک اشتباه رایج این است که به جای نتیجه گیری، نتایج میانی را به مدیریت ارشد ارائه کنید. بدون شک، همه نتیجه گیری ها باید با استدلال پشتیبانی شود - همه محاسبات میانی باید به گزارش پیوست شود.

برای وضوح گزارش، ریسک ها باید با اصطلاحات تجاری آشنا به سازمان طبقه بندی شوند، ریسک های مشابه باید تجمیع شوند. به طور کلی، طبقه بندی ریسک ها می تواند چند وجهی باشد. از یک طرف، ما در مورد خطرات امنیت اطلاعات صحبت می کنیم، از طرف دیگر، خطرات آسیب به شهرت یا از دست دادن مشتری. ریسک های طبقه بندی شده باید بر اساس احتمال وقوع و اهمیت آنها برای سازمان رتبه بندی شوند.

گزارش تحلیل ریسک منعکس کننده اطلاعات زیر است:

• مشکل سازترین حوزه های امنیت اطلاعات در سازمان؛
• تأثیر تهدیدات IS بر ساختار ریسک کلی سازمان؛
• حوزه های اولویت دار فعالیت بخش IS برای بهبود کارایی پشتیبانی IS.

بر اساس گزارش تجزیه و تحلیل ریسک، رئیس اداره امنیت اطلاعات می‌تواند برای میان مدت برنامه‌ای برای کار این بخش تهیه کرده و براساس ماهیت فعالیت‌های لازم برای کاهش خطرات، بودجه تعیین کند. لازم به ذکر است که یک گزارش تجزیه و تحلیل ریسک که به درستی تنظیم شده است به رئیس بخش امنیت اطلاعات اجازه می دهد تا زبان مشترکی را با مدیریت ارشد سازمان پیدا کند و مشکلات فوری مربوط به مدیریت امنیت اطلاعات را حل کند (شکل 3).

سیاست درمان ریسک

یک موضوع بسیار مهم، سیاست مدیریت ریسک سازمان است. این سیاست قوانین مدیریت ریسک را تعریف می کند. به عنوان مثال، یک خط مشی ممکن است بگوید که خطرات شهرت باید ابتدا کاهش یابد، در حالی که کاهش خطرات با شدت متوسط ​​که توسط حوادث امنیت اطلاعات تأیید نشده است، به انتهای صف موکول می شود. خط مشی مدیریت ریسک ممکن است توسط واحد مدیریت ریسک شرکت تعیین شود.

در صورتی که خطرات بالقوه از سطح قابل قبولی فراتر رود، یک سیاست درمان ریسک ممکن است مسائل مربوط به بیمه ریسک و تجدید ساختار فعالیت ها را توضیح دهد. اگر خط مشی تعریف نشده باشد، توالی کار برای کاهش ریسک باید بر اساس اصل حداکثر بهره وری باشد، اما همچنان باید توسط مدیریت ارشد تعیین شود.

جمع بندی

تجزیه و تحلیل ریسک یک روش نسبتاً پر زحمت است. در فرآیند تحلیل ریسک باید از مواد و ابزارهای روش شناختی استفاده شود. با این حال، این برای اجرای موفقیت آمیز یک فرآیند تکرارپذیر کافی نیست. یکی دیگر از اجزای مهم آن مقررات مدیریت ریسک است. می تواند خودکفا باشد و فقط بر خطرات امنیت اطلاعات تأثیر بگذارد یا می تواند با فرآیند کلی مدیریت ریسک در سازمان ادغام شود.

بسیاری از بخش‌های ساختاری سازمان در فرآیند تحلیل ریسک درگیر هستند: بخش‌هایی که جهت‌های اصلی فعالیت‌های آن را هدایت می‌کنند، بخش مدیریت زیرساخت اطلاعات، بخش مدیریت امنیت اطلاعات. علاوه بر این، برای انجام موفقیت آمیز تجزیه و تحلیل ریسک و استفاده مؤثر از نتایج آن، مشارکت مدیریت ارشد سازمان و در نتیجه اطمینان از تعامل بین واحدهای ساختاری ضروری است.

یک روش تحلیل ریسک به تنهایی یا یک ابزار تخصصی برای ارزیابی خطرات امنیت اطلاعات کافی نیست. رویه‌هایی برای شناسایی دارایی‌ها، تعیین اهمیت دارایی‌ها، توسعه مدل‌های مزاحم و تهدید، شناسایی آسیب‌پذیری‌ها، تجمیع و طبقه‌بندی ریسک‌ها مورد نیاز است. در سازمان های مختلف، همه این رویه ها ممکن است به طور قابل توجهی متفاوت باشند. اهداف و دامنه تحلیل ریسک امنیت اطلاعات نیز بر الزامات مربوط به فرآیندهای تحلیل ریسک تأثیر می گذارد.

بکارگیری روش تحلیل ریسک برای مدیریت امنیت اطلاعات مستلزم آن است که سازمان از بلوغ کافی برخوردار باشد که در آن امکان اجرای کلیه فرآیندهای لازم به عنوان بخشی از تحلیل ریسک وجود داشته باشد.

مدیریت ریسک به شما امکان می دهد فعالیت های بخش امنیت اطلاعات را ساختار دهید، زبان مشترکی را با مدیریت ارشد سازمان پیدا کنید، اثربخشی کار بخش امنیت اطلاعات را ارزیابی کنید و تصمیمات را در مورد انتخاب اقدامات حفاظت فنی و سازمانی خاص توجیه کنید. به مدیریت ارشد

فرآیند تجزیه و تحلیل ریسک پیوسته است، زیرا اهداف سطح بالای تضمین امنیت اطلاعات می توانند برای مدت طولانی بدون تغییر باقی بمانند، و زیرساخت اطلاعات، روش های پردازش اطلاعات و خطرات مرتبط با استفاده از فناوری اطلاعات دائما در حال تغییر هستند.

بخش امنیت اطلاعات و سازمان به عنوان یک کل، در صورت ساختاردهی فعالیت های خود از طریق تجزیه و تحلیل مستمر ریسک، از مزایای بسیار مهم زیر برخوردار می شوند:

• شناسایی اهداف مدیریت؛
• تعریف روش های مدیریت؛
• کارایی مدیریت مبتنی بر تصمیم گیری آگاهانه و به موقع.

در رابطه با مدیریت ریسک و مدیریت امنیت اطلاعات باید به چند نکته دیگر اشاره کرد.

تجزیه و تحلیل ریسک، مدیریت حوادث و حسابرسی IS به طور جدایی ناپذیری با یکدیگر مرتبط هستند، زیرا ورودی ها و خروجی های فرآیندهای فهرست شده به هم متصل هستند. توسعه و اجرای فرآیند مدیریت ریسک باید با توجه به مدیریت حوادث و ممیزی امنیت اطلاعات انجام شود.

فرآیند تحلیل ریسک ایجاد شده یک الزام اجباری استاندارد STO-BR IBBS-1.0-2006 برای تضمین امنیت اطلاعات در بخش بانکی است.

در صورتی که سازمانی تصمیم به اخذ گواهینامه برای انطباق با الزامات استاندارد بین المللی ISO/IEC 27001:2005 داشته باشد، راه اندازی فرآیند تحلیل ریسک برای آن ضروری است.

ایجاد یک رژیم برای حفاظت از اسرار تجاری و داده های شخصی به طور جدایی ناپذیری با تجزیه و تحلیل ریسک مرتبط است، زیرا همه فرآیندهای فوق از روش های مشابه برای شناسایی و ارزیابی دارایی ها، توسعه یک مدل مزاحم و یک مدل تهدید استفاده می کنند.

ارزش اطلاعات با پیچیدگی تهیه (جمع آوری)، هزینه پشتیبانی (نگهداری) آن، میزان آسیب احتمالی در صورت از بین رفتن یا نابودی آن، هزینه ای که سایر افراد (رقبا، مهاجمان) متحمل می شوند تعیین می شود. مایل به پرداخت هزینه آن و همچنین میزان عواقب و جریمه های احتمالی در صورت از دست دادن (نشت) هستند. بدون ارزیابی اطلاعات، ارزیابی کافی امکان سنجی صرف پول و منابع برای حفاظت از آن غیرممکن است. ارزش اطلاعات لزوماً باید هنگام انتخاب اقدامات حفاظتی در نظر گرفته شود.

ارزیابی دارایی ها می تواند هم به صورت کمی و هم به صورت کیفی انجام شود. بهای تمام شده یک دارایی بر اساس هزینه تحصیل، توسعه و نگهداری آن است. ارزش یک دارایی بر اساس ارزش آن برای مالکان، کاربران مجاز و غیرمجاز تعیین می شود. برخی از اطلاعات برای شرکت مهم است و به عنوان محرمانه طبقه بندی می شود.

به عنوان مثال، هزینه یک سرور 4000 دلار است، اما این ارزشی نیست که هنگام ارزیابی خطرات در نظر گرفته شود. ارزش با هزینه جایگزینی یا تعمیر آن، از دست رفتن به دلیل کاهش عملکرد، آسیب ناشی از آسیب یا از دست دادن داده های ذخیره شده در آن تعیین می شود. این همان چیزی است که در صورت آسیب یا از دست دادن سرور به دلایلی، خسارت شرکت را مشخص می کند.

هنگام تعیین ارزش دارایی ها باید به سؤالات زیر توجه شود:

• هزینه به دست آوردن یا توسعه یک دارایی
• هزینه های پشتیبانی و حفاظت دارایی
• ارزش دارایی برای مالکان و کاربران
• ارزش دارایی برای مهاجمان (رقبا)
• ارزش دارایی فکری مورد استفاده در توسعه دارایی
• بهایی که دیگران حاضرند برای یک دارایی بپردازند
• هزینه جایگزینی دارایی در هنگام از دست رفتن
• فعالیت های عملیاتی و تولیدی که به در دسترس بودن دارایی بستگی دارد
• مسئولیت در صورت به خطر افتادن یک دارایی
• مزایا و نقش دارایی در شرکت

درک ارزش یک دارایی اولین گام برای درک اینکه چه ابزارها و مکانیسم های امنیتی باید برای محافظت از آن استفاده شود، است. ارزش یک دارایی، هزینه ضمانت‌هایی را که باید برای محافظت از آن استفاده شود، تعیین می‌کند.

تعیین ارزش دارایی ها به دلایل مختلفی برای یک شرکت مفید است، از جمله:

• برای انجام تجزیه و تحلیل هزینه / فایده (تحلیل هزینه / سود)
• برای انتخاب اقدامات متقابل و حفاظتی خاص
• برای تعیین سطح مورد نیاز پوشش بیمه ای
• برای درک اینکه دقیقاً چه چیزی شرکت در معرض خطر است
• برای رعایت الزامات قانون، تنظیم کننده ها، رعایت مراقبت های لازم (دقت لازم)

دارایی ها می توانند مشهود (رایانه، تجهیزات، مواد) یا نامشهود (شهرت، داده ها، مالکیت معنوی) باشند. معمولاً تعیین کمیت ارزش دارایی های نامشهود (مانند شهرت) دشوار است که می تواند در طول زمان تغییر کند.

همانطور که قبلاً گفته شد، ریسک احتمال این است که یک منبع تهدید از یک آسیب‌پذیری سوء استفاده کند و در نتیجه یک تأثیر منفی تجاری ایجاد کند. انواع مختلفی از منابع تهدید وجود دارد که می توانند از انواع مختلفی از آسیب پذیری ها که می توانند منجر به تهدیدات خاصی شوند، سوء استفاده کنند. چند نمونه از خطرات در جدول 1-2 نشان داده شده است.

جدول 1-2رابطه بین تهدیدها و آسیب پذیری ها

انواع دیگری از تهدیدات بسیار دشوارتر وجود دارد که می توانند در یک محیط رایانه رخ دهند. این تهدیدات مربوط به باگ های برنامه و خطاهای کاربر است. با این حال، با سازماندهی مناسب کنترل و ممیزی اقدامات کاربر، شناسایی خطاهای آنها (عمدی یا تصادفی) بسیار آسان تر است.

پس از شناسایی آسیب‌پذیری‌ها و تهدیدات مرتبط، باید پیامدهای بهره‌برداری از آن‌ها را تحلیل کرد. خطرات آسیب احتمالی آسیب ممکن است مربوط به آسیب به داده ها یا سیستم ها (اشیاء)، افشای غیرمجاز اطلاعات محرمانه، کاهش بهره وری و غیره باشد. هنگام انجام تحلیل ریسک، تیم باید احتمالات را نیز در نظر بگیرد خسارت معوق(از دست دادن تاخیری) که می تواند پس از مدتی (از 15 دقیقه تا چندین سال) پس از تحقق خطر رخ دهد. خسارت به تعویق افتاده می تواند ایجاد شود، به عنوان مثال، کاهش بهره وری کار پس از یک دوره زمانی معین، کاهش درآمد شرکت، آسیب به شهرت آن، جریمه های انباشته، هزینه های اضافی برای احیای محیط زیست، تعلیق دریافت وجوه از مشتریان و غیره

به عنوان مثال، اگر در نتیجه حمله به وب سرورهای یک شرکت، سرویس دهی به مشتریان را متوقف کنند، آسیب فوری ممکن است خرابی داده ها، هزینه زمان کار برای بازیابی سرورها، به روز رسانی نرم افزارهای آسیب پذیر بر روی آنها باشد. علاوه بر این، این شرکت به دلیل ناتوانی در ارائه خدمات به مشتریان در طول مدت زمان لازم برای بازگرداندن عملکرد سرورهای وب خود، مقداری درآمد را از دست خواهد داد. اگر کار مرمت زمان قابل توجهی (مثلاً یک هفته) طول بکشد، ممکن است شرکت آنقدر سود از دست بدهد که دیگر قادر به پرداخت قبوض و سایر هزینه ها نباشد. این خسارت معوق خواهد بود. و اگر علاوه بر موارد دیگر، شرکت اعتماد مشتریان را نیز از دست بدهد، ممکن است تجارت خود را کاملاً از دست بدهد (برای مدتی یا برای همیشه). این یک مورد شدید آسیب معوق است.

این نوع مسائل، تعیین کمیت خسارت را بسیار دشوارتر می کند، اما برای به دست آوردن یک برآورد قابل اعتماد باید آنها را در نظر گرفت.

روش های ارزیابی ریسکروش های مختلفی برای ارزیابی ریسک ها استفاده می شود. بیایید به برخی از آنها نگاه کنیم.

NIST SP 800-30 و 800-66 روش‌هایی هستند که می‌توانند توسط شرکت‌های تجاری استفاده شوند، اگرچه 800-66 در ابتدا برای مراقبت‌های بهداشتی و سایر صنایع تحت نظارت توسعه داده شد. رویکرد NIST تهدیدات فناوری اطلاعات و خطرات امنیت اطلاعات مرتبط را در نظر می گیرد. مراحل زیر را ارائه می دهد:

• شرح مشخصات سیستم
• شناسایی تهدید
• شناسایی آسیب پذیری
• تجزیه و تحلیل حفاظتی
• تعریف احتمال
• آنالیز تاثیرات
• تعریف ریسک
• توصیه های اقدام حفاظتی
• مستندسازی نتایج

روش ارزیابی ریسک NIST SP 800-30 اغلب توسط مشاوران امنیتی و متخصصان، بخش‌های داخلی IT استفاده می‌شود. عمدتا بر روی سیستم های کامپیوتری تمرکز دارد. افراد یا گروه‌های کوچک داده‌ها را از شبکه، روش‌های امنیتی مورد استفاده و از افرادی که در شرکت کار می‌کنند جمع‌آوری می‌کنند. داده های جمع آوری شده به عنوان ورودی مراحل تجزیه و تحلیل ریسک شرح داده شده در سند 800-30 استفاده می شود.

روش دیگر ارزیابی ریسک این است FRAP (فرآیند تحلیل ریسک تسهیل شده - فرآیند تحلیل ریسک گروهی). برای انجام ارزیابی کیفی ریسک به گونه ای طراحی شده است که امکان انجام ممیزی در جنبه های مختلف و با استفاده از روش شناسی متفاوت را فراهم می کند. راه هایی را برای یک شرکت فراهم می کند تا بتواند در مورد مسیر اقدام و اقدامات خاص در شرایط خاص برای رسیدگی به مسائل مختلف تصمیم گیری کند. این امکان را فراهم می کند تا از طریق پیش انتخاب، مناطقی را در شرکت شناسایی کنید که واقعاً به تجزیه و تحلیل ریسک نیاز دارند. FRAP به گونه ای طراحی شده است که هر کسی که مهارت کار تیمی خوبی دارد بتواند با موفقیت با استفاده از این روش، تجزیه و تحلیل ریسک را انجام دهد.

نوع دیگر روش شناسی است اکتاو (ارزیابی تهدید، دارایی و آسیب پذیری عملیاتی - ارزیابی تهدیدات، دارایی ها و آسیب پذیری های حیاتی). این روشی است که باید در شرایطی اعمال شود که کل فرآیند تحلیل ریسک امنیت اطلاعات توسط کارکنان شرکت (بدون دخالت مشاوران خارجی) انجام می شود. این بر اساس این ایده است که کارکنان شرکت بهترین درک را از آنچه شرکت واقعاً نیاز دارد و با چه خطراتی روبرو است دارند. کارمندانی که برای شرکت در فرآیند ارزیابی انتخاب می شوند، خودشان تصمیم می گیرند که کدام رویکرد برای ارزیابی امنیت شرکتشان بهترین است.

در حالی که متدولوژی های NIST و OCTAVE بر تهدیدات فناوری اطلاعات و خطرات امنیت اطلاعات تمرکز دارند، AS/NZS 4360 رویکرد بسیار گسترده تری برای مدیریت ریسک اتخاذ می کند. این روش می تواند برای درک ریسک های مالی شرکت، محافظت از افراد، تصمیم گیری های تجاری و موارد دیگر مورد استفاده قرار گیرد. این به طور خاص برای تجزیه و تحلیل ریسک امنیتی طراحی نشده است، اگرچه می توان با موفقیت برای این منظور نیز استفاده کرد.

توجه داشته باشید.می توانید اطلاعات بیشتر در مورد این رویکردهای تجزیه و تحلیل ریسک و کاربرد آنها را در مقاله شان هریس در http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html بیابید.

CRAMM (روش تجزیه و تحلیل ریسک و مدیریت CCTA - روش تحلیل و مدیریت ریسک آژانس مرکزی کامپیوتر و ارتباطات بریتانیا (CCTA)) به سه بخش تقسیم می‌شود: شناسایی و ارزیابی دارایی، تجزیه و تحلیل تهدید و آسیب‌پذیری، و انتخاب اقدامات متقابل. این تکنیک هم جنبه های فنی شرکت و هم جنبه های غیر فنی را در نظر می گیرد.

تجزیه و تحلیل درخت پوشا (Spanning Tree Analysis) روشی است که درختی از تمام تهدیدات و نقاط ضعف احتمالی که می تواند سیستم را مختل کند ایجاد می کند. هر شاخه یک موضوع یا دسته کلی است، شاخه هایی که قابل اجرا نیستند را می توان در طول فرآیند تحلیل ریسک حذف کرد.

FMEA (حالت‌های شکست و تحلیل اثر)روشی برای تعریف عملکردها، شناسایی عیوب عملکردی، ارزیابی علل نقص و پیامدهای آن با استفاده از یک فرآیند ساختاریافته است. استفاده از این فرآیند در مورد نقص دائمی به شما امکان می دهد مکانی را که احتمال وقوع خطا در آن بیشتر است را تعیین کنید. این کمک زیادی به شناسایی آسیب‌پذیری‌ها، تعیین دقیق مرزهای آسیب‌پذیری و پیامدهای بهره‌برداری از آنها می‌کند. به نوبه خود، این نه تنها به کارگیری وصله هایی که آسیب پذیری ها را برطرف می کنند آسان تر می کند، بلکه استفاده کارآمدتر از منابع را در این وظیفه تضمین می کند.

با دنبال کردن یک سری مراحل خاص، می توانید بهترین نتایج را در تجزیه و تحلیل عیب به دست آورید.

1. با یک بلوک دیاگرام سیستم یا کنترل (ابژه تجزیه و تحلیل) شروع کنید.
2. در نظر بگیرید که اگر هر بلوک در نمودار از کار بیفتد چه اتفاقی می افتد.
3. جدولی ترسیم کنید و در آن عیوب همراه با پیامدهای آنها و ارزیابی این پیامدها را مشخص کنید.
4. طراحی سیستم را تنظیم کنید و تغییرات مناسب را در جدول اعمال کنید تا مشخص شود که سیستم مستعد مشکل نیست.
5. بررسی های مهندسی متعددی از ماهیت عیوب و تجزیه و تحلیل ضربه دریافت کنید.

جدول 1-3 نمونه ای از انجام و مستندسازی FMEA را ارائه می دهد. اگرچه اکثر شرکت ها منابع لازم برای پرداختن به چنین جزئیاتی را در مورد هر سیستم و کنترلی ندارند، اما باید برای عملکردها و سیستم های حیاتی که می توانند تأثیر قابل توجهی بر شرکت داشته باشند، انجام شود. تجزیه و تحلیل یک حفاظت یا سیستم از سطح خرد تا کلان بسیار مهم است تا به طور کامل بفهمیم که آسیب‌پذیری‌ها یا نقص‌های احتمالی در کجا ممکن است وجود داشته باشند و پیامدهای بهره‌برداری از این کمبودها چیست. هر سیستم کامپیوتری می تواند از بمب های ساعتی مختلف در سطوح مختلف ساختار خود تشکیل شود. در سطح مؤلفه، این می تواند سرریز بافر یا مؤلفه های خطرناک ActiveX باشد که به مهاجم اجازه می دهد تا با سوء استفاده از یک آسیب پذیری، کنترل سیستم را به دست آورد. از نظر برنامه‌ریزی، یک برنامه ممکن است به طور ایمن مجوز ندهد یا به درستی از کلیدهای رمزنگاری خود محافظت نکند. در سطح سیستم، هسته سیستم عامل می تواند دارای نقص باشد و به مهاجم اجازه می دهد تا به راحتی دسترسی مدیریتی داشته باشد. چیزهای وحشتناک مختلفی در هر سطحی ممکن است رخ دهد، بنابراین چنین رویکرد دقیقی ضروری است.

جدول 1-3نمونه ای از انجام و مستندسازی FMEA

FMEA در اصل برای تحقیقات سیستمی توسعه داده شد. هدف آن بررسی عیوب احتمالی در محصولات و فرآیندهای مرتبط است. این رویکرد موفقیت آمیز بوده و برای استفاده در اولویت بندی مدیریت ریسک و کاهش آسیب پذیری های تهدید شناخته شده اقتباس شده است.

با این حال، FMEA برای تشخیص عیوب پیچیده که ممکن است چندین سیستم یا زیرسیستم مختلف را درگیر کند، به اندازه کافی موثر نیست. در این مورد، استفاده از تجزیه و تحلیل درخت خطا مناسب تر است. فرآیند اصلی برای تجزیه و تحلیل درخت تصادف گرفته شده است. یک رویداد ناخواسته به عنوان ریشه آن (بالاترین عنصر این درخت منطقی) مشخص می شود. سپس به عنوان شاخه، تعدادی عبارات و رویدادهای منطقی اضافه می شود که می تواند منجر به اجرای رویداد نامطلوب بالاتر شود. پس از آن، درخت شکست با اعداد مربوط به احتمال شکست مشخص می شود (معمولا این کار با استفاده از برنامه های کامپیوتری تخصصی انجام می شود که می توانند احتمالات درخت شکست را محاسبه کنند). شکل 1-7 یک درخت خطای ساده شده و علائم منطقی مختلف را نشان می دهد که برای نشان دادن آنچه باید اتفاق بیفتد تا باعث ایجاد خطا شود.

شکل 1-7درخت خطا و عناصر منطقی

هنگام ایجاد یک درخت، لازم است که تمام تهدیدات یا خرابی هایی که ممکن است در سیستم رخ دهد به طور دقیق نشان داده شود. شاخه های درخت را می توان به دسته هایی مانند تهدیدات فیزیکی، تهدیدات شبکه، تهدیدات رایانه ای، تهدیدات اینترنتی و تهدیدات قطعی تقسیم کرد. وقتی همه دسته‌های ممکن بررسی شدند، می‌توانید شاخه‌های درخت را هرس کنید و تهدیداتی را که در این مورد قابل اجرا نیستند حذف کنید (اگر سیستم به اینترنت متصل نباشد، شاخه‌های مرتبط با اینترنت را می‌توان با خیال راحت از درخت هرس کرد).

برخی از رایج ترین خرابی های نرم افزاری که می توان با استفاده از تجزیه و تحلیل درخت خرابی بررسی کرد، در زیر آورده شده است:

• موارد مثبت کاذب (زنگ هشدار یا محافظت)
• رسیدگی ناکافی به خطا
• خارج از ترتیب یا ترتیب
• همگام سازی نادرست خروجی نتایج
• نتایج صحیح اما غیرمنتظره

بنابراین، ما به عنوان بخشی از وظیفه تجزیه و تحلیل ریسک، پشتیبانی مناسب را از مدیریت دریافت کردیم، یک تیم تجزیه و تحلیل ریسک از کارکنان بخش های مختلف شرکت ایجاد کردیم، ارزش هر یک از دارایی های شرکت را تعیین کردیم، تمام تهدیدات احتمالی را که می توانست بر دارایی ها تأثیر بگذارد شناسایی کردیم. . ما همچنین تمام خسارات احتمالی معوقی را که شرکت می تواند در رابطه با هر دارایی و تهدید تحمل کند، در نظر گرفته ایم. ما تجزیه و تحلیل شکست و نقص (یا تجزیه و تحلیل درخت شکست) را برای درک علل اساسی تهدیدات شناسایی شده انجام دادیم. مرحله بعدی محاسبه ریسک های مربوط به شرکت با استفاده از روش های کمی و کیفی است.

هنگام پیاده سازی یک سیستم مدیریت امنیت اطلاعات (ISMS) در یک سازمان، یکی از موانع اصلی معمولاً سیستم مدیریت ریسک است. استدلال در مورد مدیریت ریسک امنیت اطلاعات مشابه مشکل UFO است. از یک طرف، به نظر می رسد هیچ کس در اطراف این را ندیده باشد و خود رویداد بعید به نظر می رسد، از طرف دیگر، شواهد زیادی وجود دارد، صدها کتاب نوشته شده است، حتی رشته های علمی مرتبط و انجمن های صاحب نظران درگیر هستند. در این فرآیند تحقیقاتی و طبق معمول سرویس های ویژه ای در این زمینه با دانش سری ویژه ای دارند.

الکساندر آستاخوف، CISA، 2006

معرفی

بین متخصصان امنیت اطلاعات در مورد مسائل مدیریت ریسک اتفاق نظر وجود ندارد. کسی روش های کمی ارزیابی ریسک را انکار می کند، کسی روش های کیفی را انکار می کند، کسی به طور کلی امکان سنجی و امکان ارزیابی ریسک را انکار می کند، کسی مدیریت سازمان را به آگاهی ناکافی از اهمیت مسائل امنیتی متهم می کند یا از مشکلات مرتبط با دستیابی به هدف شکایت می کند. ارزیابی ارزش دارایی های خاص، مانند شهرت یک سازمان. برخی دیگر که هیچ راهی برای توجیه هزینه امنیت نمی بینند، پیشنهاد می کنند که با آن به عنوان یک روش بهداشتی برخورد شود و به اندازه ای که برای این روش متاسف هستید یا به اندازه ای که در بودجه باقی مانده است، هزینه کنید.

هر نظری در مورد موضوع مدیریت ریسک امنیت اطلاعات وجود داشته باشد و صرف نظر از اینکه چگونه با این ریسک ها ارتباط داشته باشیم، یک چیز واضح است که این موضوع جوهره فعالیت چند جانبه متخصصان امنیت اطلاعات است که مستقیماً آن را با تجارت مرتبط می کند و به آن معنای معقولی می بخشد. و مصلحت. این مقاله یک رویکرد ممکن برای مدیریت ریسک را تشریح می‌کند و به این سؤال پاسخ می‌دهد که چرا سازمان‌های مختلف با ریسک‌های امنیت اطلاعات متفاوت برخورد و مدیریت می‌کنند.

دارایی های اصلی و کمکی

صحبت از ریسک های تجاری، امکان متحمل شدن خسارت خاص با احتمال مشخص است. این می تواند هم خسارت مستقیم مادی و هم خسارت غیرمستقیم باشد که به عنوان مثال در سود از دست رفته تا خروج از تجارت بیان می شود، زیرا اگر ریسک مدیریت نشود، کسب و کار می تواند از بین برود.

در واقع، ماهیت موضوع در این است که سازمان چندین دسته اصلی از منابع را برای دستیابی به نتایج فعالیت های خود (اهداف تجاری خود) در اختیار دارد و از آنها استفاده می کند (از مفهوم دارایی که مستقیماً با کسب و کار مرتبط است استفاده خواهیم کرد). دارایی هر چیزی است که برای یک سازمان ارزش دارد و درآمد آن را ایجاد می کند (به عبارت دیگر، چیزی است که جریان نقدی مثبت ایجاد می کند یا باعث صرفه جویی در پول می شود).

دارایی های مادی، مالی، انسانی و اطلاعاتی است. استانداردهای بین المللی مدرن دسته دیگری از دارایی ها را نیز تعریف می کنند - اینها فرآیندها هستند. فرآیند یک دارایی تجمیع شده است که بر روی سایر دارایی های شرکت برای دستیابی به اهداف تجاری عمل می کند. وجهه و شهرت شرکت نیز یکی از مهمترین دارایی ها محسوب می شود. این دارایی های کلیدی برای هر سازمان چیزی بیش از نوع خاصی از دارایی های اطلاعاتی نیست، زیرا تصویر و شهرت یک شرکت چیزی بیش از محتوای اطلاعات باز و گسترده در مورد آن نیست. امنیت اطلاعات تا جایی با مسائل مربوط به تصویر سروکار دارد که مشکلات امنیتی سازمان و همچنین نشت اطلاعات محرمانه تاثیر بسیار منفی بر تصویر می گذارد.

نتایج کسب و کار تحت تأثیر عوامل مختلف خارجی و داخلی مرتبط با دسته ریسک قرار دارند. این تأثیر به صورت تأثیر منفی بر یک یا چند گروه از دارایی های سازمان به طور همزمان بیان می شود. به عنوان مثال، خرابی سرور بر روی در دسترس بودن اطلاعات و برنامه های ذخیره شده بر روی آن تأثیر می گذارد و تعمیر آن منابع انسانی را منحرف می کند و کمبود آنها را در یک حوزه کاری خاص ایجاد می کند و باعث اختلال در فرآیندهای تجاری می شود، در حالی که در دسترس نبودن موقت خدمات مشتری می تواند منفی باشد. وجهه شرکت را تحت تاثیر قرار دهد.

طبق تعریف، همه انواع دارایی ها برای یک سازمان مهم هستند. با این حال، هر سازمانی دارایی های حیاتی اصلی و دارایی های پشتیبان است. تعیین اینکه کدام دارایی ها اصلی هستند بسیار ساده است، زیرا. اینها دارایی هایی هستند که کسب و کار سازمان بر اساس آنها ساخته می شود. بنابراین، کسب و کار یک سازمان می تواند بر اساس مالکیت و استفاده از دارایی های مشهود (به عنوان مثال، زمین، املاک، تجهیزات، مواد معدنی)، یک تجارت نیز می تواند بر اساس مدیریت دارایی های مالی (فعالیت های اعتباری، بیمه، سرمایه گذاری) ایجاد شود. ، یک کسب و کار می تواند بر اساس شایستگی و اختیارات متخصصان خاص (مشاوره، حسابرسی، آموزش، صنایع با فناوری پیشرفته و دانش فشرده) باشد یا کسب و کار می تواند حول دارایی های اطلاعاتی (توسعه نرم افزار، محصولات اطلاعاتی، تجارت الکترونیک، تجارت الکترونیکی) باشد. اینترنت). خطرات دارایی های ثابت مملو از زیان های تجاری و جبران ناپذیری برای سازمان است، بنابراین توجه صاحبان مشاغل در درجه اول معطوف به این خطرات است و مدیریت سازمان شخصاً با آنها برخورد می کند. ریسک دارایی های جانبی معمولاً منجر به خسارت قابل بازیافت می شود و در سیستم مدیریت یک سازمان اولویت اصلی نیست. به طور معمول، این خطرات توسط افراد منصوب خاص مدیریت می شوند یا این خطرات به شخص ثالثی مانند یک برون سپاری یا یک شرکت بیمه منتقل می شود. برای سازمان، این موضوع بیشتر به اثربخشی مدیریت مربوط می شود تا بقا.

رویکردهای موجود برای مدیریت ریسک

از آنجایی که ریسک‌های امنیت اطلاعات برای همه سازمان‌ها اصلی نیستند، سه رویکرد اصلی برای مدیریت این ریسک‌ها وجود دارد که از نظر عمق و سطح رسمیت متفاوت هستند.

برای سیستم های غیر بحرانی، زمانی که دارایی های اطلاعاتی کمکی هستند، و سطح اطلاعات بالا نیست، که برای اکثر شرکت های مدرن روسی معمول است، حداقل نیاز به ارزیابی ریسک وجود دارد. در چنین سازمان هایی، ما باید در مورد سطح پایه ای از امنیت اطلاعات صحبت کنیم که توسط مقررات و استانداردهای موجود، بهترین شیوه ها، تجربه و همچنین نحوه انجام آن در اکثر سازمان های دیگر تعیین می شود. با این حال، استانداردهای موجود، که مجموعه‌ای از الزامات اساسی و مکانیسم‌های امنیتی را توصیف می‌کنند، همیشه نیاز به ارزیابی ریسک‌ها و امکان‌سنجی اقتصادی بکارگیری مکانیسم‌های کنترلی خاص را به منظور انتخاب از مجموعه کلی الزامات و مکانیسم‌هایی که در یک مکانیسم قابل اجرا هستند، تصریح می‌کنند. سازمان خاص

برای سیستم‌های حیاتی که دارایی‌های اطلاعاتی اصلی نیستند، اما سطح اطلاعاتی‌سازی فرآیندهای کسب‌وکار بسیار بالا است و ریسک‌های اطلاعاتی می‌توانند به طور قابل توجهی بر فرآیندهای اصلی کسب‌وکار تأثیر بگذارند، لازم است ارزیابی ریسک اعمال شود، اما در این مورد توصیه می‌شود. خود را محدود به رویکردهای کیفی غیررسمی برای حل این مشکل، توجه به توجه ویژه به بحرانی ترین سیستم ها کنیم.

هنگامی که کسب و کار یک سازمان حول دارایی های اطلاعاتی است و ریسک های امنیت اطلاعات اصلی ترین آنها هستند، لازم است رویکرد رسمی و روش های کمی برای ارزیابی این ریسک ها اعمال شود.

در بسیاری از شرکت ها، چندین نوع دارایی می تواند به طور همزمان حیاتی باشد، به عنوان مثال، زمانی که کسب و کار متنوع است یا شرکت درگیر ایجاد محصولات اطلاعاتی است، هم منابع انسانی و هم منابع اطلاعاتی می توانند به یک اندازه برای آن مهم باشند. در این مورد، رویکرد محتاطانه انجام یک ارزیابی ریسک در سطح بالا برای تعیین اینکه کدام سیستم‌ها به شدت در معرض خطر هستند و کدام یک برای عملیات تجاری حیاتی هستند، انجام می‌شود و به دنبال آن یک ارزیابی دقیق ریسک برای سیستم‌های شناسایی‌شده انجام می‌شود. برای همه سیستم‌های غیر بحرانی دیگر، توصیه می‌شود که خود را به استفاده از رویکرد اساسی، تصمیم‌گیری مدیریت ریسک بر اساس تجربیات موجود، نظرات کارشناسان و بهترین عملکرد محدود کنید.

سطوح بلوغ

انتخاب رویکرد ارزیابی ریسک در یک سازمان، علاوه بر ماهیت کسب و کار و سطح اطلاعاتی بودن فرآیندهای تجاری، تحت تأثیر میزان بلوغ آن نیز می باشد. مدیریت ریسک امنیت اطلاعات یک وظیفه تجاری است که توسط مدیریت سازمان به دلیل آگاهی و میزان آگاهی آن نسبت به مشکلات امنیت اطلاعات آغاز می شود که معنای آن محافظت از کسب و کار در برابر تهدیدات واقعی امنیت اطلاعات است. با توجه به میزان آگاهی، چندین سطح از بلوغ سازمان ها قابل ردیابی است که تا حدی با سطوح بلوغ تعریف شده در COBIT و سایر استانداردها همبستگی دارد:

1. در سطح اولیه، هیچ آگاهی وجود ندارد، سازمان اقدامات پراکنده ای را برای اطمینان از امنیت اطلاعات انجام می دهد که توسط متخصصان فناوری اطلاعات تحت مسئولیت خود آنها آغاز و اجرا می شود.
2. در سطح دوم، سازمان مسئولیت امنیت اطلاعات را تعریف می کند، سعی می شود از راه حل های یکپارچه با مدیریت متمرکز استفاده شود و فرآیندهای مدیریت امنیت اطلاعات جداگانه پیاده سازی شود.
3. سطح سوم با استفاده از یک رویکرد فرآیندی برای مدیریت امنیت اطلاعات، که در استانداردها توضیح داده شده است، مشخص می شود. سیستم مدیریت امنیت اطلاعات آنقدر برای سازمان اهمیت پیدا می کند که جزء ضروری سیستم مدیریت سازمان محسوب می شود. با این حال، یک سیستم مدیریت امنیت اطلاعات کامل هنوز وجود ندارد، زیرا هیچ عنصر اساسی در این سیستم وجود ندارد - فرآیندهای مدیریت ریسک.
4. سازمان هایی که بالاترین درجه آگاهی از مشکلات امنیت اطلاعات را دارند با استفاده از رویکرد رسمی برای مدیریت ریسک امنیت اطلاعات مشخص می شوند که با وجود فرآیندهای مستند برای برنامه ریزی، اجرا، نظارت و بهبود مشخص می شود.

مدل فرآیند مدیریت ریسک

در اسفند ماه سال جاری استاندارد جدید بریتانیا BS 7799 قسمت 3 - سیستم های مدیریت امنیت اطلاعات - شیوه های مدیریت ریسک امنیت اطلاعات به تصویب رسید. انتظار می رود ISO تا پایان سال 2007 این سند را به عنوان یک استاندارد بین المللی بپذیرد. BS 7799-3 فرآیندهای ارزیابی ریسک و مدیریت را به عنوان یک عنصر جدایی ناپذیر از سیستم مدیریت یک سازمان تعریف می کند که از مدل فرآیندی مشابه سایر استانداردهای مدیریتی استفاده می کند که شامل چهار گروه فرآیندی است: برنامه ریزی، اجرا، بررسی، عمل (PRAP) که منعکس کننده استاندارد است. چرخه هر فرآیند مدیریتی در حالی که ISO 27001 زنجیره کلی مدیریت امنیت را توصیف می کند، BS 7799-3 شامل پیش بینی خود در مورد فرآیندهای مدیریت ریسک امنیت اطلاعات است.

در سیستم مدیریت ریسک امنیت اطلاعات، در مرحله برنامه ریزی، خط مشی و روش مدیریت ریسک تعیین می شود و ارزیابی ریسک شامل فهرست دارایی ها، تدوین پروفایل های تهدید و آسیب پذیری، ارزیابی اثربخشی اقدامات متقابل و آسیب احتمالی انجام می شود. و تعیین سطح قابل قبول ریسک های باقیمانده.

در مرحله اجرا، خطرات درمان می شوند و کنترل هایی برای کاهش آنها اعمال می شود. مدیریت سازمان برای هر ریسک شناسایی شده یکی از چهار تصمیم را می گیرد: نادیده گرفتن، اجتناب، انتقال به یک طرف خارجی، یا به حداقل رساندن. پس از آن، طرح درمان ریسک تدوین و اجرا می شود.

در مرحله حسابرسی، عملکرد مکانیسم‌های کنترلی نظارت می‌شود، تغییرات در عوامل خطر (دارایی‌ها، تهدیدها، آسیب‌پذیری‌ها) کنترل می‌شود، حسابرسی‌ها انجام می‌شود و رویه‌های کنترلی مختلف انجام می‌شود.

در مرحله اقدامات، بر اساس نتایج نظارت مستمر و ممیزی های مستمر، اقدامات اصلاحی لازم انجام می شود که به ویژه می تواند شامل ارزیابی مجدد بزرگی خطرات، تعدیل خط مشی و روش مدیریت ریسک و همچنین طرح درمان خطر

عوامل خطر

ماهیت هر رویکرد مدیریت ریسک در تجزیه و تحلیل عوامل خطر و تصمیم گیری کافی در مورد درمان ریسک نهفته است. عوامل خطر پارامترهای اصلی هستند که ما هنگام ارزیابی ریسک از آنها استفاده می کنیم. فقط هفت گزینه وجود دارد:

• دارایی
• خسارت
• تهدید
• آسیب پذیری
• مکانیزم کنترل (کنترل)
• میانگین ضرر سالانه (ALE)
• بازگشت سرمایه (ROI)

نحوه تجزیه و تحلیل و ارزیابی این پارامترها توسط روش ارزیابی ریسک سازمان تعیین می شود. در عین حال، رویکرد کلی و طرح استدلال تقریباً یکسان است، صرف نظر از اینکه از چه روش شناسی استفاده می شود. فرآیند ارزیابی ریسک (ارزیابی) شامل دو مرحله است. در مرحله اول که در استانداردها به عنوان تحلیل ریسک (تحلیل) تعریف شده است، لازم است به سوالات زیر پاسخ داده شود:

• دارایی اصلی شرکت چیست؟
• ارزش واقعی این دارایی چقدر است؟
• این دارایی چه تهدیداتی را تهدید می کند؟
• پیامدهای این تهدیدها و آسیب به کسب و کار چیست؟
• احتمال این تهدیدها چقدر است؟
• کسب و کار چقدر در برابر این تهدیدات آسیب پذیر است؟
• میانگین ضرر سالانه مورد انتظار چقدر است؟

در فاز دوم که توسط استانداردها به عنوان ارزیابی ریسک (ارزیابی) تعریف شده است، باید به این سوال پاسخ داد: چه سطحی از ریسک (میزان میانگین زیان سالانه) برای سازمان قابل قبول است و بر این اساس چه ریسک هایی برای سازمان قابل قبول است. از این سطح فراتر رود

بنابراین، با توجه به نتایج ارزیابی ریسک، توصیفی از خطرات بیش از حد مجاز و برآوردی از بزرگی این خطرات را به دست می‌آوریم که بر اساس اندازه میانگین زیان سالانه تعیین می‌شود. در مرحله بعد، باید در مورد درمان خطرات تصمیم گیری شود، یعنی. به سوالات زیر پاسخ دهید:

• کدام گزینه درمان خطر را انتخاب می کنیم؟
• اگر تصمیمی برای به حداقل رساندن ریسک گرفته شود، از چه مکانیسم های کنترلی باید استفاده کرد؟
• این کنترل ها چقدر موثر هستند و چه بازگشت سرمایه ای را به همراه خواهند داشت؟

خروجی این فرآیند یک طرح درمان ریسک است که نحوه برخورد با خطرات، هزینه اقدامات متقابل و زمان و مسئولیت اجرای اقدامات متقابل را مشخص می کند.

تصمیم گیری در مورد درمان خطر

تصمیم گیری در مورد درمان ریسک، کلیدی ترین و حیاتی ترین لحظه در فرآیند مدیریت ریسک است. برای اینکه مدیریت بتواند تصمیم درستی بگیرد، مسئول مدیریت ریسک در سازمان باید اطلاعات مربوطه را در اختیار او قرار دهد. شکل ارائه چنین اطلاعاتی توسط الگوریتم استاندارد ارتباطات تجاری تعیین می شود که شامل چهار نکته اصلی است:

• پیام موضوع: تهدید تجاری (منبع، هدف، اجرا) چیست و چرا وجود دارد؟
• شدت مشکل: این موضوع چگونه سازمان، مدیریت و سهامداران آن را تهدید می کند؟
• راه حل پیشنهادی: برای اصلاح وضعیت چه کاری پیشنهاد می شود، هزینه آن چقدر است، چه کسی باید آن را انجام دهد و چه چیزی مستقیماً از مدیریت خواسته می شود؟
• راه حل های جایگزین: چه راه های دیگری برای حل مشکل وجود دارد (همیشه جایگزین هایی وجود دارد و مدیریت باید انتخاب داشته باشد).

بسته به موقعیت خاص، موارد 1 و 2 و همچنین 3 و 4 قابل تعویض هستند.

روش های مدیریت ریسک

تعداد کافی روش تثبیت شده و نسبتاً پرکاربرد برای ارزیابی و مدیریت ریسک ها وجود دارد. یکی از این روش ها OCTAVE است که در دانشگاه کارنگی ملون برای استفاده داخلی در یک سازمان توسعه یافته است. OCTAVE - ارزیابی عملیاتی تهدید، دارایی و آسیب پذیری - دارای تعدادی اصلاحات است که برای سازمان هایی با اندازه ها و حوزه های مختلف فعالیت طراحی شده است. ماهیت این روش در این واقعیت نهفته است که یک توالی از سمینارهای داخلی (کارگاه های آموزشی) به طور مناسب سازماندهی شده برای ارزیابی ریسک استفاده می شود. ارزیابی ریسک در سه مرحله انجام می شود که قبل از آن مجموعه ای از فعالیت های مقدماتی شامل توافق بر سر برنامه سمینارها، تعیین نقش ها، برنامه ریزی و هماهنگی اقدامات اعضای تیم پروژه انجام می شود.

در مرحله اول، در دوره سمینارهای عملی، پروفایل های تهدید شامل فهرست و ارزیابی ارزش دارایی ها، شناسایی الزامات قانونی و نظارتی قابل اجرا، شناسایی تهدیدها و ارزیابی احتمال آنها و همچنین تعیین سیستمی از اقدامات سازمانی برای حفظ رژیم امنیت اطلاعات.

در مرحله دوم، تجزیه و تحلیل فنی از آسیب پذیری های سیستم های اطلاعاتی سازمان در برابر تهدیدات، که نمایه های آن در مرحله قبل ایجاد شده بود، انجام می شود که شامل شناسایی آسیب پذیری های موجود سیستم های اطلاعاتی سازمان و ارزیابی آنها می شود. اندازه.

در مرحله سوم، ریسک‌های امنیت اطلاعات ارزیابی و پردازش می‌شوند که شامل تعیین میزان و احتمال آسیب در نتیجه اجرای تهدیدات امنیتی با استفاده از آسیب‌پذیری‌هایی است که در مراحل قبل شناسایی شده‌اند، تعیین استراتژی حفاظتی و همچنین انتخاب. گزینه ها و تصمیم گیری در مورد درمان خطر. ارزش ریسک به عنوان میانگین ارزش زیان سالانه سازمان در نتیجه اجرای تهدیدات امنیتی تعریف می شود.

رویکرد مشابهی در روش شناخته شده ارزیابی ریسک CRAMM که در آن زمان به دستور دولت بریتانیا توسعه یافت، استفاده می شود. در CRAMM، راه اصلی برای ارزیابی ریسک از طریق مصاحبه های برنامه ریزی شده دقیق است که از پرسشنامه های دقیق استفاده می کند. CRAMM در هزاران سازمان در سراسر جهان مورد استفاده قرار می گیرد، از جمله، به لطف در دسترس بودن یک جعبه ابزار نرم افزاری بسیار توسعه یافته حاوی پایگاه دانش در مورد خطرات و مکانیسم های به حداقل رساندن آنها، ابزارهایی برای جمع آوری اطلاعات، تولید گزارش ها، و همچنین پیاده سازی الگوریتم ها. برای محاسبه بزرگی خطرات

برخلاف روش OCTAVE، CRAMM از توالی کمی متفاوت از اقدامات و روش‌ها برای تعیین میزان ریسک استفاده می‌کند. ابتدا امکان سنجی ارزیابی ریسک به طور کلی مشخص می شود و اگر سیستم اطلاعاتی سازمان به اندازه کافی حیاتی نباشد، مجموعه استانداردی از مکانیزم های کنترلی که در استانداردهای بین المللی شرح داده شده و در پایگاه دانش CRAMM موجود است، روی آن اعمال می شود.

در مرحله اول در روش CRAMM یک مدل منبع سیستم اطلاعاتی ساخته می شود که رابطه بین اطلاعات، نرم افزار و منابع فنی را تشریح می کند و ارزش منابع بر اساس آسیب احتمالی که ممکن است در نتیجه سازمان متحمل شود برآورد می شود. سازش آنها

در مرحله دوم، ارزیابی ریسک انجام می شود که شامل شناسایی و ارزیابی احتمال تهدیدات، ارزیابی میزان آسیب پذیری ها و محاسبه خطرات برای هر سه گانه: منبع - تهدید - آسیب پذیری است. CRAMM بدون در نظر گرفتن مکانیسم های کنترلی اجرا شده در سیستم، ریسک های "خالص" را ارزیابی می کند. در مرحله ارزیابی ریسک، فرض بر این است که هیچ اقدام متقابلی به هیچ وجه اعمال نمی شود و مجموعه ای از اقدامات متقابل توصیه شده برای به حداقل رساندن ریسک ها بر اساس این فرض شکل می گیرد.

در مرحله آخر، جعبه ابزار CRAMM مجموعه ای از اقدامات متقابل را برای به حداقل رساندن خطرات شناسایی شده ایجاد می کند و اقدامات متقابل پیشنهادی و موجود را مقایسه می کند، پس از آن یک طرح درمان ریسک تشکیل می شود.

ابزارهای مدیریت ریسک

در فرآیند ارزیابی ریسک، ما یک سری مراحل متوالی را پشت سر می گذاریم، به طور دوره ای به مراحل قبلی برمی گردیم، به عنوان مثال، پس از انتخاب یک اقدام متقابل خاص برای به حداقل رساندن آن، یک ریسک خاص را دوباره ارزیابی می کنیم. پرسشنامه ها، فهرست تهدیدها و آسیب پذیری ها، ثبت منابع و خطرات، مستندات، صورتجلسات جلسات، استانداردها و دستورالعمل ها باید در هر مرحله در دسترس باشد. در این راستا، برای کار با این داده های متنوع، به برخی الگوریتم های برنامه ریزی شده، پایگاه داده و رابط نیاز است.

برای مدیریت خطرات امنیت اطلاعات، می توانید از ابزارهایی استفاده کنید، به عنوان مثال، مانند روش CRAMM، یا RA2 (نشان داده شده در شکل)، اما این اجباری نیست. در استاندارد BS 7799-3 نیز در همین مورد گفته شده است. سودمندی استفاده از جعبه ابزار ممکن است در این واقعیت باشد که حاوی یک الگوریتم ارزیابی ریسک و مدیریت گردش کار از پیش برنامه ریزی شده است که کار یک متخصص بی تجربه را ساده می کند.

استفاده از جعبه ابزار به شما این امکان را می دهد که روش را یکسان کنید و استفاده از نتایج را برای ارزیابی مجدد ریسک ساده کنید، حتی اگر توسط متخصصان دیگر انجام شود. از طریق استفاده از ابزارها، می توان ذخیره سازی داده ها را ساده کرد و با مدل منبع، نمایه های تهدید، لیست آسیب پذیری ها و خطرات کار کرد.

علاوه بر ارزیابی ریسک و ابزارهای مدیریتی، ابزار نرم‌افزاری ممکن است حاوی ابزارهای اضافی برای مستندسازی ISMS، تجزیه و تحلیل مغایرت‌ها با الزامات استانداردها، ایجاد یک ثبت منابع، و همچنین سایر ابزارهای لازم برای پیاده‌سازی و بهره‌برداری باشد. ISMS

نتیجه گیری

انتخاب رویکردهای کمی یا کیفی برای ارزیابی ریسک با توجه به ماهیت کسب و کار سازمان و سطح اطلاعات آن تعیین می شود. اهمیت دارایی های اطلاعاتی برای او و همچنین میزان بلوغ سازمان.

هنگام اجرای یک رویکرد رسمی برای مدیریت ریسک در یک سازمان، لازم است در درجه اول به عقل سلیم، استانداردهای موجود (به عنوان مثال، BS 7799-3) و روش‌های به خوبی تثبیت شده (به عنوان مثال، OCTAVE یا CRAMM) تکیه کنیم. ممکن است برای این منظور از ابزار نرم افزاری استفاده شود که متدولوژی های مناسب را پیاده سازی کند و الزامات استانداردها را تا حد ممکن برآورده کند (مثلاً RA2).

اثربخشی فرآیند مدیریت ریسک امنیت اطلاعات با دقت و کامل بودن تجزیه و تحلیل و ارزیابی عوامل خطر و همچنین اثربخشی مکانیسم های مورد استفاده در سازمان برای تصمیم گیری مدیریت و نظارت بر اجرای آنها تعیین می شود.

پیوندها

• Astakhov A.M.، "تاریخچه استاندارد BS 7799"، http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
• Astakhov A.M.، "چگونه یک سیستم مدیریت امنیت اطلاعات بسازیم و گواهی کنیم؟"

در حال حاضر، خطرات امنیت اطلاعات یک تهدید بزرگ برای عملکرد عادی بسیاری از شرکت ها و موسسات است. در این عصر فناوری اطلاعات، گرفتن هرگونه داده عملاً دشوار نیست. از یک طرف، این البته جنبه های مثبت بسیاری را به همراه دارد، اما برای چهره و برند بسیاری از شرکت ها مشکل ساز می شود.

حفاظت از اطلاعات در شرکت ها در حال حاضر تقریباً به یک اولویت تبدیل شده است. کارشناسان معتقدند که تنها با ایجاد یک توالی آگاهانه از اقدامات می توان به این هدف دست یافت. در این صورت می توان تنها با حقایق قابل اعتماد هدایت شد و از روش های تحلیلی پیشرفته استفاده کرد. توسعه شهود و تجربه متخصص مسئول این واحد در شرکت سهم خاصی دارد.

این مطالب در مورد مدیریت خطرات امنیت اطلاعات یک نهاد اقتصادی می گوید.

چه نوع تهدیدهای احتمالی در محیط اطلاعاتی وجود دارد؟

انواع مختلفی از تهدید وجود دارد. تجزیه و تحلیل ریسک امنیت اطلاعات سازمانی با در نظر گرفتن تمام تهدیدات احتمالی آغاز می شود. این امر به منظور تعیین روش های راستی آزمایی در صورت بروز این شرایط پیش بینی نشده و همچنین تشکیل یک سیستم حفاظتی مناسب ضروری است. خطرات امنیت اطلاعات بسته به ویژگی های طبقه بندی مختلف به دسته های خاصی تقسیم می شوند. آنها از انواع زیر هستند:

• منابع فیزیکی؛
• استفاده نامناسب از شبکه کامپیوتری و شبکه جهانی وب؛
• نشت از منابع مهر و موم شده؛
• نشت با ابزار فنی؛
• نفوذ غیر مجاز؛
• حمله به دارایی های اطلاعاتی؛
• نقض یکپارچگی تغییر داده ها؛
• موارد اضطراری؛
• تخلفات قانونی

مفهوم «تهدید فیزیکی امنیت اطلاعات» شامل چه مواردی است؟

انواع خطرات امنیت اطلاعات بسته به منابع وقوع آنها، روش اجرای نفوذ غیرقانونی و هدف تعیین می شود. از نظر فنی ساده ترین، اما همچنان نیازمند اجرای حرفه ای، تهدیدات فیزیکی هستند. آنها نشان دهنده دسترسی غیرمجاز به منابع مهر و موم شده هستند. یعنی این فرآیند در واقع یک سرقت معمولی است. اطلاعات را می توان شخصا، با دست خود، به سادگی با حمله به قلمرو موسسه، به دفاتر، بایگانی ها برای دسترسی به تجهیزات فنی، اسناد و سایر حامل های اطلاعات به دست آورد.

ممکن است سرقت حتی در خود داده ها نباشد، بلکه در محل ذخیره آنها، یعنی مستقیماً در خود تجهیزات رایانه ای باشد. به منظور ایجاد اختلال در فعالیت های عادی سازمان، مهاجمان به سادگی می توانند در عملکرد رسانه ذخیره سازی یا تجهیزات فنی اختلال ایجاد کنند.

هدف از نفوذ فیزیکی نیز ممکن است دسترسی به سیستم باشد که حفاظت از اطلاعات به آن بستگی دارد. مهاجم می تواند تنظیمات شبکه مسئول امنیت اطلاعات را به منظور تسهیل بیشتر معرفی روش های غیرقانونی تغییر دهد.

امکان تهدید فیزیکی نیز می تواند توسط اعضای گروه های مختلف که به اطلاعات طبقه بندی شده که عمومی نیست دسترسی دارند، فراهم شود. هدف آنها اسناد ارزشمند است. به این گونه افراد خودی می گویند.

فعالیت بدخواهان خارجی را می توان به همان شیء هدایت کرد.

چگونه کارمندان خود شرکت می توانند تهدید ایجاد کنند؟

خطرات امنیت اطلاعات اغلب به دلیل استفاده نامناسب از اینترنت و سیستم رایانه داخلی توسط کارکنان ایجاد می شود. بدکاران کاملاً بی تجربگی، بی توجهی و ناآگاهی برخی افراد در مورد امنیت اطلاعات را بازی می کنند. مدیریت بسیاری از سازمان ها برای حذف این گزینه سرقت اطلاعات محرمانه، سیاست خاصی را در بین کارکنان خود در نظر گرفته است. هدف آن آموزش مردم در مورد نحوه رفتار و استفاده از شبکه است. این یک روش نسبتاً رایج است، زیرا تهدیداتی که از این طریق ایجاد می شود بسیار رایج هستند. برنامه های کسب مهارت های امنیت اطلاعات توسط کارکنان شرکت شامل موارد زیر است:

• غلبه بر استفاده ناکارآمد از ابزار حسابرسی؛
• کاهش میزان استفاده افراد از وسایل ویژه برای پردازش داده ها؛
• کاهش استفاده از منابع و دارایی ها؛
• عادت کردن به دسترسی به امکانات شبکه تنها با روش های تعیین شده؛
• تخصیص مناطق نفوذ و تعیین قلمرو مسئولیت.

وقتی هر کارمند می فهمد که سرنوشت مؤسسه به عملکرد مسئولانه وظایف محول شده به او بستگی دارد، سعی می کند به تمام قوانین پایبند باشد. قبل از افراد باید وظایف مشخصی تعیین کرد و نتایج به دست آمده را توجیه کرد.

شرایط حریم خصوصی چگونه نقض می شود؟

خطرات و تهدیدات برای امنیت اطلاعات تا حد زیادی با دریافت غیرقانونی اطلاعاتی مرتبط است که نباید در دسترس افراد غیرمجاز باشد. اولین و رایج ترین کانال نشت انواع راه های ارتباط و ارتباط است. در زمانی که به نظر می رسد مکاتبات شخصی فقط برای دو طرف در دسترس است، توسط افراد ذینفع رهگیری می شود. اگرچه افراد معقول می دانند که انتقال چیزی بسیار مهم و راز از راه های دیگر ضروری است.

از آنجایی که اکنون اطلاعات زیادی در رسانه های قابل حمل ذخیره می شود، مهاجمان به طور فعال بر رهگیری اطلاعات از طریق این نوع فناوری تسلط دارند. گوش دادن به کانال های ارتباطی بسیار محبوب است، فقط در حال حاضر تمام تلاش های نوابغ فنی با هدف شکستن موانع محافظ تلفن های هوشمند است.

اطلاعات محرمانه ممکن است ناخواسته توسط کارکنان سازمان افشا شود. آنها ممکن است مستقیماً تمام "ظاهر و رمزهای عبور" را ارائه ندهند، بلکه فقط مهاجم را در مسیر درست هدایت می کنند. به عنوان مثال، افراد بدون اینکه بدانند، اطلاعاتی را در مورد مکان اسناد مهم گزارش می دهند.

فقط زیردستان همیشه آسیب پذیر نیستند. پیمانکاران همچنین می توانند اطلاعات محرمانه را در جریان مشارکت ارائه دهند.

چگونه امنیت اطلاعات توسط ابزارهای نفوذ فنی نقض می شود؟

تضمین امنیت اطلاعات عمدتاً به دلیل استفاده از ابزارهای فنی قابل اطمینان حفاظت است. اگر سیستم پشتیبانی کارآمد و مؤثر باشد، حداقل در خود تجهیزات، پس این نیمی از موفقیت است.

اساساً نشت اطلاعات از طریق کنترل سیگنال های مختلف فراهم می شود. چنین روش هایی شامل ایجاد منابع تخصصی انتشار یا سیگنال های رادیویی است. دومی می تواند الکتریکی، صوتی یا ارتعاشی باشد.

اغلب از دستگاه های نوری استفاده می شود که امکان خواندن اطلاعات از نمایشگرها و نمایشگرها را فراهم می کند.

انواع دستگاه ها طیف وسیعی از روش ها را برای معرفی و استخراج اطلاعات توسط نفوذگران تعیین می کنند. علاوه بر روش های فوق، هوش تلویزیونی، عکاسی و تصویری نیز وجود دارد.

با توجه به چنین فرصت های گسترده ای، ممیزی امنیت اطلاعات در درجه اول شامل بررسی و تجزیه و تحلیل عملکرد ابزارهای فنی برای حفاظت از داده های محرمانه است.

چه چیزی دسترسی غیرمجاز به اطلاعات شرکت در نظر گرفته می شود؟

مدیریت ریسک امنیت اطلاعات بدون جلوگیری از تهدیدات دسترسی غیرمجاز غیرممکن است.

یکی از برجسته ترین نمایندگان این روش هک کردن سیستم امنیتی دیگران، اختصاص شناسه کاربری است. به این روش «بالماسکه» می گویند. دسترسی غیرمجاز در این مورد شامل استفاده از داده های احراز هویت است. یعنی هدف متخلف دریافت رمز عبور یا هر شناسه دیگری است.

عوامل مخرب می توانند از درون جسم یا از بیرون تأثیر بگذارند. آنها می توانند اطلاعات مورد نیاز خود را از منابعی مانند گزارش حسابرسی یا ابزارهای حسابرسی دریافت کنند.

اغلب، مهاجم سعی می کند سیاست تزریق را اعمال کند و از روش های به ظاهر قانونی استفاده کند.

دسترسی غیرمجاز برای منابع اطلاعاتی زیر اعمال می‌شود:

• وب سایت و هاست خارجی؛
• شبکه بی سیم سازمانی؛
• پشتیبان گیری از داده ها

راه ها و روش های دسترسی غیرمجاز بی شمار است. مهاجمان به دنبال محاسبات اشتباه و شکاف در پیکربندی و معماری نرم افزار هستند. آنها با اصلاح نرم افزار داده ها را دریافت می کنند. برای خنثی کردن و آرام کردن هوشیاری، متخلفان بدافزار و بمب های منطقی را راه اندازی می کنند.

تهدیدات قانونی برای امنیت اطلاعات شرکت چیست؟

مدیریت ریسک امنیت اطلاعات در زمینه های مختلفی کار می کند، زیرا هدف اصلی آن ارائه حفاظت جامع و جامع از شرکت در برابر نفوذ شخص ثالث است.

مهمتر از دستورالعمل فنی، جنبه قانونی نیست. بنابراین، که به نظر می رسد، برعکس، باید از منافع دفاع کند، معلوم می شود اطلاعات بسیار مفیدی به دست می آید.

نقض در مورد جنبه قانونی ممکن است مربوط به حقوق مالکیت، حق چاپ و حق ثبت اختراع باشد. این دسته همچنین شامل استفاده غیرقانونی از نرم افزارها از جمله واردات و صادرات می شود. تنها در صورتی می توانید مقررات قانونی را زیر پا بگذارید که شرایط قرارداد یا چارچوب قانونی را به طور کلی رعایت نکنید.

چگونه اهداف امنیت اطلاعات را تعیین کنیم؟

تضمین امنیت اطلاعات با ایجاد منطقه حفاظتی آغاز می شود. لازم است به وضوح مشخص شود که چه چیزی و از چه کسی باید محافظت شود. برای انجام این کار، پرتره یک مجرم بالقوه و همچنین روش های احتمالی هک و نفوذ تعیین می شود. برای تعیین اهداف، اولین قدم صحبت با مدیریت است. مناطق اولویت دار برای حفاظت را پیشنهاد خواهد کرد.

از این لحظه، ممیزی امنیت اطلاعات آغاز می شود. این به شما امکان می دهد تعیین کنید که در چه نسبتی باید از روش های فن آوری و روش های تجاری استفاده کنید. نتیجه این فرآیند فهرست نهایی فعالیت‌ها است که اهداف پیش روی واحد را برای اطمینان از محافظت در برابر نفوذ غیرمجاز تثبیت می‌کند. روش حسابرسی با هدف شناسایی لحظات بحرانی و نقاط ضعف سیستم است که با عملکرد عادی و توسعه شرکت تداخل دارد.

پس از تعیین اهداف، مکانیزمی برای اجرای آنها نیز ایجاد می شود. ابزارهایی برای کنترل و به حداقل رساندن ریسک ها در حال شکل گیری است.

دارایی ها چه نقشی در تحلیل ریسک دارند؟

خطرات امنیت اطلاعات یک سازمان مستقیماً بر دارایی های شرکت تأثیر می گذارد. از این گذشته، هدف مهاجمان به دست آوردن اطلاعات ارزشمند است. از دست دادن یا افشای آن ناگزیر منجر به زیان خواهد شد. آسیب ناشی از یک نفوذ غیرمجاز می تواند تأثیر مستقیم داشته باشد یا فقط به طور غیر مستقیم. یعنی اقدامات غیرقانونی علیه سازمان می تواند منجر به از دست دادن کامل کنترل بر تجارت شود.

میزان خسارت با توجه به دارایی های در اختیار سازمان برآورد می شود. منابع تحت تأثیر همه منابعی هستند که به هر نحوی به دستیابی به اهداف مدیریت کمک می کنند. تحت دارایی های شرکت به معنای تمام ارزش های مشهود و نامشهود است که به تولید درآمد کمک می کند.

دارایی ها چند نوع هستند:

• مواد؛
• انسان؛
• اطلاعاتی
• مالی؛
• فرآیندها؛
• برند و اعتبار

آخرین نوع دارایی بیشترین آسیب را از نفوذ غیرمجاز دارد. این به این دلیل است که هرگونه خطر واقعی امنیت اطلاعات بر روی تصویر تأثیر می گذارد. مشکلات در این زمینه به طور خودکار احترام و اعتماد به چنین شرکتی را کاهش می دهد، زیرا هیچ کس نمی خواهد اطلاعات محرمانه او عمومی شود. هر سازمانی که به خود احترام می گذارد از منابع اطلاعاتی خود محافظت می کند.

عوامل مختلفی بر میزان و میزان آسیب دیدن دارایی ها تأثیر می گذارد. آنها به خارجی و داخلی تقسیم می شوند. تأثیر پیچیده آنها، به عنوان یک قاعده، به طور همزمان به چندین گروه از منابع ارزشمند مربوط می شود.

کل تجارت شرکت بر روی دارایی ها بنا شده است. در فعالیت های هر موسسه ای در هر حجمی حضور دارند. فقط برای برخی، برخی از گروه ها اهمیت بیشتری دارند و برخی دیگر اهمیت کمتری دارند. بسته به نوع دارایی‌هایی که مهاجمان توانسته‌اند تحت تأثیر قرار دهند، نتیجه بستگی دارد، یعنی آسیب ایجاد شده.

ارزیابی ریسک امنیت اطلاعات به شما امکان می دهد تا دارایی های اصلی را به وضوح شناسایی کنید، و اگر آنها تحت تأثیر قرار گرفتند، مملو از زیان های جبران ناپذیر برای شرکت است. خود مدیریت باید به این گروه از منابع ارزشمند توجه کند، زیرا ایمنی آنها به نفع مالکان است.

منطقه اولویت برای بخش امنیت اطلاعات توسط دارایی های کمکی اشغال شده است. یک شخص خاص مسئول حفاظت از آنها است. خطرات مربوط به آنها حیاتی نیست و تنها بر سیستم مدیریت تاثیر می گذارد.

عوامل امنیت اطلاعات چیست؟

محاسبه خطرات امنیت اطلاعات شامل ساخت یک مدل تخصصی است. گره هایی را نشان می دهد که توسط پیوندهای عملکردی به یکدیگر متصل هستند. گره ها همان دارایی هستند. این مدل از منابع ارزشمند زیر استفاده می کند:

• مردم؛
• استراتژی؛
• فن آوری؛
• فرآیندها

دنده هایی که آنها را به هم می چسبانند از عوامل خطر هستند. برای شناسایی تهدیدات احتمالی، بهتر است مستقیماً با بخش یا متخصصی که با این دارایی ها سروکار دارد تماس بگیرید. هر عامل خطر بالقوه می تواند پیش نیاز شکل گیری یک مشکل باشد. این مدل تهدیدهای اصلی را که ممکن است ایجاد شود برجسته می کند.

در مورد تیم، مشکل در سطح آموزشی پایین، کمبود پرسنل، کمبود لحظه ای انگیزه است.

خطرات فرآیندها شامل تغییرپذیری محیط خارجی، اتوماسیون ضعیف تولید و تفکیک نامشخص وظایف است.

فن آوری ها ممکن است از نرم افزار قدیمی، عدم کنترل کاربران رنج ببرند. مشکلات مربوط به چشم انداز ناهمگون فناوری اطلاعات نیز ممکن است علت باشد.

مزیت این مدل این است که مقادیر آستانه خطرات امنیت اطلاعات به وضوح مشخص نشده است، زیرا مشکل از زوایای مختلف در نظر گرفته می شود.

ممیزی امنیت اطلاعات چیست؟

یک رویه مهم در زمینه امنیت اطلاعات یک شرکت حسابرسی است. این یک بررسی از وضعیت فعلی سیستم حفاظت از نفوذ است. فرآیند حسابرسی میزان انطباق با الزامات تعیین شده را تعیین می کند. برای برخی از موسسات واجب و برای برخی دیگر ماهیت مشاوره ای دارد. بررسی در رابطه با اسناد ادارات حسابداری و مالیات، وسایل فنی و بخش مالی و اقتصادی انجام می شود.

ممیزی برای درک سطح امنیت و در صورت عدم تطابق آن، بهینه سازی در حد نرمال ضروری است. این روش همچنین به شما امکان می دهد امکان سنجی سرمایه گذاری های مالی در امنیت اطلاعات را ارزیابی کنید. در نهایت، متخصص توصیه هایی در مورد میزان هزینه های مالی برای به حداکثر رساندن کارایی ارائه می دهد. ممیزی به شما امکان می دهد کنترل ها را تنظیم کنید.

تخصص در رابطه با امنیت اطلاعات به چند مرحله تقسیم می شود:

1. تعیین اهداف و راه های رسیدن به آنها.
2. تجزیه و تحلیل اطلاعات مورد نیاز برای رسیدن به حکم.
3. پردازش داده های جمع آوری شده
4. نظر کارشناسان و توصیه ها.

در نهایت متخصص تصمیم خود را صادر خواهد کرد. توصیه های کمیسیون اغلب با هدف تغییر تنظیمات سخت افزار و همچنین سرورها انجام می شود. اغلب از یک کسب و کار مشکل دار خواسته می شود که روش امنیتی دیگری را انتخاب کند. شاید برای تقویت بیشتر، کارشناسان مجموعه ای از اقدامات حفاظتی را تعیین کنند.

کار پس از ممیزی با هدف آگاه کردن تیم در مورد مشکلات است. در صورت لزوم، انجام جلسات توجیهی اضافی به منظور افزایش آموزش کارکنان در مورد حفاظت از منابع اطلاعاتی شرکت ارزشمند است.