0

ارزیابی مخاطرات در ISMS

390 بازدید
ارزیابی مخاطرات

ارزیابی مخاطرات در ISMS

ارزیابی مخاطرات در ISMS: یک آسیب پذیری به خودی خود باعث صدمه نمی شود بلکه شرایطی را ایجاد می نماید که تهدید یا مخاطره بتواند دارایی را تحت تاثیر قرار دهد. بنابراین مهم است که یک مخاطره را مورد ارزیابی قرار دهید. اما برای ارزیابی مخاطرات در ISMS ابتدا بایدآن ها را بشناسید. اگر آشنایی کافی در زمینه تهدیدات در سیستم مدیریت امنیت اطلاعات ندارید پیشنهاد می شود، برای اینکه بتوانید دید کلی نسبت به مخاطرات و آسیب پذیری ها پیدا کنید، مقاله شناسایی مخاطرات در ISMS را مطالعه کنید. در مورد هر تهدید یا مخاطره دو مورد را باید در نظر گرفت: 1-احتمال وقوع و 2-شناسایی راه کارهای برطرف سازی مخاطرات.

در اصطلاح کلی می توان مدیریت ریسک یا مدیریت مخاطرات را بدین صورت توصیف کرد که فرآیندی است برای شناسایی، تشخیص و ارزیابی تهدیدات و مخاطرات، و کاهش اثرات ناشی از وقوع مخاطرات در یک محیط سازمانی.
بدین ترتیب با برآورد احتمال وقوع، راهکارهای لازم برای مقابله و برآورد هزینه تامین امنیت سازمان پیشنهاد می شود. این راهکار شرایطی را فراهم می آورد تا یک مدیر سازمان بتواند از خطرات کسب و کار خود آگاهی پیدا کند و با توجه به شرایط تدابیر لازم را اتخاذ نماید.

بررسی ریسک

پس از شناسایی تهدید ها و آسیب پذیری ها لازم است احتمال بهره برداری تهدید از یک مخاطره مورد محاسبه قرار گیرد. با توجه به متد ارزیابی مخاطرات، حتما باید شرایط فعلی سازمان و سوابق سازمان در نظر گرفته شود.
احتمال وقوع ریسک را اغلب به شکل چند سطح مختلف دسته بندی می کنند. تعداد این سطوح مختلف معمولا 4 یا 5 سطح می باشد. می توان از اعداد نیز بجای سطوح استفاده کرد. جدول زیر یک نمونه از احتمال وقوع ریسک را نشان می دهد. این مقادیر با توجه به دو عامل شرایط فعلی سازمان و سوابق سازمان، در هر سازمانی متفاوت است.

احتمال وقوع ریسک
نامحتمل (هر 4 سال یک بار) 1
کم محتمل (یک بار در سال) 2
محتمل (6 بار در سال) 3
بسیار محتمل (بیش از 6 بار در سال) 4

تحلیل و ارزیابی مخاطرات

برای تحلیل و ارزیابی مخاطرات باید سه مورد را در نظر بگیرید:

  • برآورد تاثیرات کسب و کار
    در این مرحله باید با توجه به از دست دادن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از دارایی ها، و همچنین با توجه به نقص های امنیتی که در سازمان ممکن است وجود داشته باشد، تاثیر مخاطرات بر کسب و کار را برآورد کنید.
  • برآورد واقع گرایانه احتمال بروز چنین نقیصه های امنیتی
    در این مرحله باید با در نظر گرفتن تهدیدها و آسیب پذیری ها، آسیب های وابسته به دارایی ها و کنترل هایی که در حال حاضر پیاده سازی شده اند، یک برآورد واقع گرایانه از تاثیر مخاطرات بر کسب و کار داشت.
  • تخمین سطوح مخاطرات
    در این مرحله باید تعیین کنیم که مخاطرات در حد قابل قبول هستند یا اینکه نیازمند برطرف سازی هستند. که برای برطرف سازی باید با استفاده از معیارهای پذیرش مخاطرات ایجاد شده، اقدام به برطرف سازی نمود.

راه های برطرف سازی مخاطرات

  • اجتناب از مخاطرات (Avoid)
    در این بخش تلاش بر حذف دلیل یا منبع ریسک است. یا آن را در حدی کاهش می دهند که برای سازمان قابل قبول باشد. سه متد رایجبرای اجتناب از مخاطره عبارتند از: بکارگیری خط مشی، آموزش و تحصیل و بکارگیری فناوری.
  • انتقال مخاطرات(Transfer)
    این مرحله ریسک به بخش دیگری از سازمان که دارای تاثیرات کمتری است، انتقال داده می شود. در این بخش ریسک را به بخش دیگری انتقال می دهند مانند تامین کنندگان و بیمه گزاران. رایج ترین روش استفاده از بیمه است که به سازمان اجازه می دهد در مقابل پرداخت هزینه ای ثابت به بیمه، از ضررهای بالقوه فاجعه بار جلوگیری شود.
  • پذیرش مخاطرات(Accept)
    این گزینه  بدین معنی است که تصمیم بگیرید که یک ریسک در حالت قبلی خودش باقی بماند بدون آنکه کنترلی بر آن اعمال شود. در واقع پیامد بروز مخاطره به صورت آگاهانه پذیرفته می شود. این تصمیم در حالتی گرفته می شود که یا سطح ریسک در حد معیارهای پذیرش باشد و یا اعمال کنترل ها برای سازمان توجیه اقتصادی نداشته باشد.
  • بکار گرفتن کنترل های مناسب یا کاهش مخاطرات(Apply/Mitigate)
    در این مرحله تلاش می شود کنترل هایی اعمال شود که مخاطرات را کاهش دهد. فرآیند کاهش ریسک راه حلی است که با بکارگیری کنترل های مناسب با توجه به استاندارد، بتوان سطح ریسک را کاهش داد. موفقیت این استراتژی به این امر بستگی دارد که سیستم مدیریت امنیت اطلاعات توان کشف مخاطرات و پاسخگویی به آنها را در اسرع وقت داشته باشد.

جمع بندی

با توجه به ذات محیط های اطلاعاتی که بطور پیوسته در حال تغییرات وسیع هستند، فرآیند مدیریت ریسک و ارزیابی مخاطرات یک امر پیوسته است. و برای اینکه طرح های امنیتی از این فرآیند در حال تغییر، عقب نمانند، باید در فواصل زمانی مختلف مورد بازبینی و ارزیابی قرار گیرد. بطور معمول برای چنین ارزیابی مهمی از چک لیست استفاده می شود که با توجه به دارایی ها و نیاز سازمان تهیه می شود.

 

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=43958
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد ارزیابی مخاطرات در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.