فروردین 25, 1403
0

ارزیابی مخاطرات در ISMS

975 بازدید
ارزیابی مخاطرات

ارزیابی مخاطرات در ISMS

ارزیابی مخاطرات در ISMS: یک آسیب پذیری به خودی خود باعث صدمه نمی شود بلکه شرایطی را ایجاد می نماید که تهدید یا مخاطره بتواند دارایی را تحت تاثیر قرار دهد. بنابراین مهم است که یک مخاطره را مورد ارزیابی قرار دهید. اما برای ارزیابی مخاطرات در ISMS ابتدا بایدآن ها را بشناسید. اگر آشنایی کافی در زمینه تهدیدات در سیستم مدیریت امنیت اطلاعات ندارید پیشنهاد می شود، برای اینکه بتوانید دید کلی نسبت به مخاطرات و آسیب پذیری ها پیدا کنید، مقاله شناسایی مخاطرات در ISMS را مطالعه کنید. در مورد هر تهدید یا مخاطره دو مورد را باید در نظر گرفت: 1-احتمال وقوع و 2-شناسایی راه کارهای برطرف سازی مخاطرات.

در اصطلاح کلی می توان مدیریت ریسک یا مدیریت و ارزیابی مخاطرات را بدین صورت توصیف کرد که فرآیندی است برای شناسایی، تشخیص و ارزیابی مخاطرات و تهدیدات، و کاهش اثرات ناشی از وقوع مخاطرات در یک محیط سازمانی.
بدین ترتیب با برآورد احتمال وقوع، راهکارهای لازم برای مقابله و برآورد هزینه تامین امنیت سازمان پیشنهاد می شود. راهکارهای ارزیابی مخاطرات شرایطی را فراهم می آورد تا یک مدیر سازمان بتواند از خطرات کسب و کار خود آگاهی پیدا کند و با توجه به شرایط تدابیر لازم را اتخاذ نماید.

بررسی ریسک

پس از شناسایی تهدید ها و آسیب پذیری ها لازم است احتمال بهره برداری تهدید از یک مخاطره مورد محاسبه قرار گیرد. با توجه به متد ارزیابی مخاطرات، حتما باید شرایط فعلی سازمان و سوابق سازمان در نظر گرفته شود.
احتمال وقوع ریسک را اغلب به شکل چند سطح مختلف دسته بندی می کنند. تعداد این سطوح مختلف معمولا 4 یا 5 سطح می باشد. می توان از اعداد نیز بجای سطوح استفاده کرد. جدول زیر یک نمونه از احتمال وقوع ریسک را نشان می دهد. این مقادیر با توجه به دو عامل شرایط فعلی سازمان و سوابق سازمان، در هر سازمانی متفاوت است.

احتمال وقوع ریسک
نامحتمل (هر 4 سال یک بار) 1
کم محتمل (یک بار در سال) 2
محتمل (6 بار در سال) 3
بسیار محتمل (بیش از 6 بار در سال) 4

تحلیل و ارزیابی مخاطرات

برای تحلیل و ارزیابی مخاطرات باید سه مورد را در نظر بگیرید:

  • برآورد تاثیرات کسب و کار جهت ارزیابی مخاطرات
    در این مرحله باید با توجه به از دست دادن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از دارایی ها، و همچنین با توجه به نقص های امنیتی که در سازمان ممکن است وجود داشته باشد، تاثیر مخاطرات بر کسب و کار را برآورد کنید.
  • برآورد واقع گرایانه احتمال بروز چنین نقیصه های امنیتی
    در این مرحله باید با در نظر گرفتن تهدیدها و آسیب پذیری ها، آسیب های وابسته به دارایی ها و کنترل هایی که در حال حاضر پیاده سازی شده اند، یک برآورد واقع گرایانه از تاثیر مخاطرات بر کسب و کار داشت.
  • تخمین سطوح مخاطرات جهت ارزیابی مخاطرات
    در این مرحله باید تعیین کنیم که مخاطرات در حد قابل قبول هستند یا اینکه نیازمند برطرف سازی هستند. که برای برطرف سازی باید با استفاده از معیارهای پذیرش مخاطرات ایجاد شده بعد از ارزیابی مخاطرات، اقدام به برطرف سازی نمود.

راه های برطرف سازی مخاطرات

  • اجتناب از مخاطرات (Avoid)
    در این بخش تلاش بر حذف دلیل یا منبع ریسک است. یا آن را در حدی کاهش می دهند که برای سازمان قابل قبول باشد. سه متد رایجبرای اجتناب از مخاطره عبارتند از: بکارگیری خط مشی، آموزش و تحصیل و بکارگیری فناوری.
  • انتقال مخاطرات(Transfer)
    این مرحله ریسک به بخش دیگری از سازمان که دارای تاثیرات کمتری است، انتقال داده می شود. در این بخش ریسک را به بخش دیگری انتقال می دهند مانند تامین کنندگان و بیمه گزاران. رایج ترین روش استفاده از بیمه است که به سازمان اجازه می دهد در مقابل پرداخت هزینه ای ثابت به بیمه، از ضررهای بالقوه فاجعه بار جلوگیری شود.
  • پذیرش مخاطرات(Accept)
    این گزینه  بدین معنی است که تصمیم بگیرید که یک ریسک در حالت قبلی خودش باقی بماند بدون آنکه کنترلی بر آن اعمال شود. در واقع پیامد بروز مخاطره به صورت آگاهانه پذیرفته می شود. این تصمیم در حالتی گرفته می شود که یا سطح ریسک در حد معیارهای پذیرش باشد و یا اعمال کنترل ها برای سازمان توجیه اقتصادی نداشته باشد.
  • بکار گرفتن کنترل های مناسب یا کاهش مخاطرات(Apply/Mitigate)
    در این مرحله تلاش می شود کنترل هایی اعمال شود که مخاطرات را کاهش دهد. فرآیند کاهش ریسک راه حلی است که با بکارگیری کنترل های مناسب با توجه به استاندارد، بتوان سطح ریسک را کاهش داد. موفقیت این استراتژی به این امر بستگی دارد که سیستم مدیریت امنیت اطلاعات توان کشف مخاطرات و پاسخگویی به آنها را در اسرع وقت داشته باشد.

روش ارزیابی مخاطرات و آسیب پذیری

آسیب پذیری کسب و کار

((هر سازمان، با پیگیری یک ماموریت خاص، از سیستم‌های فناوری خودکار برای ارزیابی مخاطرات و بهبود حمایت از اهداف خود استفاده می‌کند. به همین دلیل، مدیریت ریسک نقش بسیار حیاتی در حفاظت از دارایی‌های سازمان دارد. و در نتیجه، در انجام ماموریت‌های سازمان تاثیرگذار است. قابلیت یک سازمان برای حفظ و ادامه فعالیت‌های اصلی و حیاتی خود پس از وقوع حوادث، همچنین سرعت بازیابی و بازگشت به وضعیت عادی، ممکن است عوامل کلیدی موفقیت یا شکست یک سازمان باشد. اگر هدف از ارزیابی مخاطرات تامین امنیت است، لازم است تنها به مسئله امنیت توجه کرد، زیرا امنیت یک فرآیند است و نه یک محصول. بدون شک، باید تلاش کرد تا استمرار کسب و کار نیز تضمین شود. با توجه به رقابت فزاینده در صنعت، ضرورت ایجاد یکپارچگی درون‌ سازمانی و بین‌ سازمانی روشن است. یک سازمان یکپارچه، که از سطح بالای امنیت برخوردار باشد، با ارزیابی مخاطرات به یک سازمان قدرتمند و موفق تبدیل می‌شود.

 

مفهوم امنیت به وضعیتی اشاره دارد که نیروهای محافظت کننده، قدرت محافظت از تهدیدهای شناخته شده را دارند. امنیت یک مسئله بسیار حیاتی است که نباید به صورت جداگانه مورد توجه قرار گیرد، بلکه باید در راستای استمرار کسب و کار، که خود موجب ایجاد امنیت می‌شود، مدنظر قرار گیرد. از آنجا که استمرار کسب و کار یکی از اهداف اصلی هر سازمان است، نادیده گرفتن امنیت می‌تواند منجر به اختلالات جدی در فعالیت‌های سازمانی شود.

 

اشتباه شایع این است که امنیت و کسب و کار به عنوان دو مسئله جداگانه در نظر گرفته می‌شوند. در حقیقت، امنیت باید به عنوان یک جزء حیاتی از فرآیند کسب و کار سازمان در نظر گرفته شود. فرآیند کسب و کار باید به گونه‌ای تغییر یابد یا گسترش یابد که در نهایت احساس امنیت شود. باید پیش‌بینی شود که استمرار کسب و کار سازمان چگونه باشد و سیاست‌های امنیتی مناسب باید در جایگاه‌های مناسب اعمال شود تا فرآیند کسب و کار با بهینه‌سازی مسائل امنیتی پیش برود.

 

اصول و اساسات بنیادین برای استمرار کسب و کار

همه فعالیت‌های یک کسب و کار با احتمال انقطاع مواجه خواهند شد. از جمله این انقطاعات می‌توان به اختلالات تکنولوژیکی، سیل، قطعی تجهیزات، حملات تروریستی و رکود اقتصادی اشاره کرد. توانایی یک سازمان در حفظ و استمرار فعالیت‌های مرکزی و حیاتی خود پس از وقوع یک حادثه، همچنین سرعت بازیابی و بازگشت به وضعیت عادی می‌تواند عوامل اصلی تعیین‌کننده موفقیت یا شکست یک سازمان باشد.

امروزه، نیاز به اطمینان از استمرار خدمات در سازمان‌ها به حداکثر میزان رسیده است. به دلیل فعالیت ۲۴ ساعته و هفت روز هفته سازمان‌های نوین، وابستگی و دامنه قابل تحمل برای در دسترس بودن برخی از خدمات فناوری اطلاعات به زمان کمتر از یک ساعت محدود شده است. این وضعیت نشان دهنده اهمیت بالای استمرار کسب و کار و نقش آن در موفقیت سازمان‌ها است.

 

استمرار کسب و کار، به عنوان یک جنبه اساسی در مدیریت سازمان‌ها، به منظور اطمینان حاصل کردن از دسترسی پایدار به خدمات حیاتی برای مشتریان، تأمین‌کنندگان و سایر ذینفعان انجام می‌شود. فرآیند ارزیابی مخاطرات شامل فعالیت‌های روزمره‌ای است که برای حفظ سرویس، سازگاری و بازیابی سریع از حوادث غیرمنتظره انجام می‌شود.

هنگام ارزیابی مخاطرات برای حفظ پایداری و استمراری کسب و کار، ابتدا باید استراتژی‌های مناسبی را تدوین و مشخص کنیم. استراتژی‌های حاصل از ارزیابی مخاطرات ، باید به عنوان چشم‌اندازهایی دورانداز و غیرقابل دستیابی باشند. که معمولا بر اساس ماموریت و چشم‌انداز سازمان تعیین می‌شوند. این استراتژی‌ها، اساسی‌ترین مفهوم ذهنی و مستندی هستند. که هدف اصلی سازمان را شامل می‌شوند.

پس از تعیین استراتژی‌های ارزیابی مخاطرات ، آن‌ها به اهداف قابل اندازه‌گیری تبدیل می‌شوند. برای تعریف اهداف سازمانی، مدل‌های مختلفی وجود دارد. که ممکن است یک یا چندین مدل در نظر گرفته شود. اهداف باید به صورت دقیق و قابل اجرا باشند. و باید بر اساس استراتژی ارزیابی مخاطرات تعریف شده باشند. پس از ارزیابی مخاطرات برای عملیاتی کردن و اجرای یک راهبرد، اهداف بلندمدت، میان‌مدت و کوتاه‌مدت، به همراه اهداف مقطعی بر اساس باید تعیین شوند.

 

پایه ها و اصول مبنا برای استمرار کسب و کار

در مرحله بعدی ارزیابی مخاطرات، اهداف سیاست ها مطرح میشوند. که به تعریف آنچه برای دستیابی به اهداف باید انجام شود کمک میکنند. و در واقع ناشی از منطق و استراتژیهای کسب و کار میباشند.

سیاست ها قوانین و اصول کسب و کار یک سازمان نتیجه ارزیابی مخاطرات هستند. که از پیوستگی و برآوردن مسیر و اهداف سازمان اطمینان می دهند. سیاستها قوانین کسب و کاری که تحت آن سازمان و واحدها کار و خواهند کرد را طرح ریزی و چیدمان جهت ارزیابی مخاطرات می کنند.))

جمع بندی

با توجه به ذات محیط های اطلاعاتی که بطور پیوسته در حال تغییرات وسیع هستند، فرآیند مدیریت ریسک و ارزیابی مخاطرات یک امر پیوسته است. و برای اینکه طرح های امنیتی از این فرآیند در حال تغییر، عقب نمانند، باید در فواصل زمانی مختلف مورد بازبینی و ارزیابی قرار گیرد. بطور معمول برای چنین ارزیابی مهمی از چک لیست استفاده می شود که با توجه به دارایی ها و نیاز سازمان تهیه می شود.

 

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=43958
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد ارزیابی مخاطرات در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.