کنترل های امنیتی برای کاهش مخاطرات
868 بازدید
کنترل های امنیتی برای کاهش مخاطرات
کنترل های امنیتی برای کاهش مخاطرات: در یک سازمان که با مخاطره ای در حوزه امنیتی مواجه شده است، در ابتدای امر باید دارایی های حیاتی و مخاطرات آن را شناسایی کرد. پس از آن به تحلیل مخاطره پرداخت و سپس نوبت به راه کارهای برطرف سازی و کاهش مخاطرات می رسد. مهم است که شما بتوانید شناخت درستی از دارایی ها و مخاطرات و متدولوژی ارزیابی مخاطرات داشته باشید تا بتوانید یک پروژه ISMS را به درستی پیش ببرید. نکته دیگری که در بدست آوردن این دانش و شناخت باید به آن توجه کرد استفاده از کنترل های امنیتی برای کاهش مخاطرات است. که اهمیت آن در انتخاب کنترل های مناسب در کاهش مخاطرات بسیار به چشم می آید.
کاهش مخاطرات
شاید برای شما سوال پیش بیاید که کاهش مخاطرات چیست و اصلا چرا باید بجای برطرف کردن یک مخاطره، در پی کاهش آن باشیم؟! برای رسیدن به جواب این سوال، بهتر است قبل از ادامه این مطلب، مقاله ارزیابی مخاطرات در ISMS را مطالعه کنید. فرآیند کاهش مخاطرات یا ریسک را می توان اینطور تعریف کرد؛ راه حلی است تا با بکارگیری کنترل های مناسب بتوان سطح ریسک را کاهش داده و در صورتی که میزان منافع سطح قابل پذیرش ریسک، بیشتر از هزینه ای باشد که برای آن صرف شده است، آنگاه می توانیم بگوییم به موفقیت نزدیک شده ایم.
در واقع می توان گفت در این امر دنبال این هستیم که مخاطرات را در حد قابل قبولی کاهش دهیم. که برای اینکار کنترل هایی پیاده سازی می شوند تا اثر ریسک یا تعداد رخدادهای مورد انتظار، کاهش یابد.
انتخاب کنترل های مناسب
برای انتخاب کنترل های امنیتی برای کاهش مخاطرات از 4 مرحله زیر باید استفاده شود:
مرحله 1: انتخاب و پیاده سازی کنترل ها و اهداف کنترل
اینکار برای برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات و ریسک انجام می شود. در این مرحله توجه به دو نکته ضروریست بدین جهت که تمامی کنترل ها برای هر موقعیتی مناسب نمی باشند.
- در نظر گرفتن محدودیت های فنی یا محیطی
- مناسب بودن کنترل ها برای هر کاربر در سازمان
مرحله 2: بازنگری کنترل هایی که از قبل در سازمان پیاده سازی شده اند
در این مرحله با بازنگری کنترل های قبلی، می توانید دو راهکار را برگزینید: 1-حذف کنید 2-بهبود ببخشید.
مرحله 3: پیاده سازی کنترل های اضافه
بنا بر صلاحدید ممکن است سازمان در نظر بگیرد که کنترل ها و اهداف کنترلی اضافی ضروری است و باید در سازمان پیاده سازی شود. در اینصورت به درخواست سازمان کنترل های اضافی مدنظر باید اعمال شود.
کنترل ها و اهداف کنترلی
کنترل ها و اهداف کنترلی در واقع استاندارد ISO/IEC 27001:2013 می باشد (در برخی منابع با عنوان پیوست الف نام برده می شود) که شامل 14 مرحله زیر است که در مقاله کنترل ها و اهداف کنترلی در ISMS به شرح این مراحل پرداخته شده است:
- A.5.خط مشی امنیت اطلاعات
- A.6.ساختار امنیت اطلاعات
- A.7.امنیت منابع انسانی
- A.8.مدیریت دارایی ها
- A.9.کنترل دسترسی
- A.10.رمزنگاری
- A.11.امنیت فیزیکی و محیطی
- A.12.امنیت اطلاعات
- A.13.امنیت ارتباطات
- A.14.اکتساب، توسعه و نگهداری سیستم امنیت اطلاعات
- A.15.ارتباطات برونسپاری
- A.16.مدیریت حوادث امنیت اطلاعات
- A.17.مدیریت تداوم کسب و کار
- A.18.انطباق
تدوین بیانیه کاربست پذیری (SOA)
بیانیه کاربست پذیری یا Statement Of Applicability ، بیانیه مستند شده ای است که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. این بیانیه شامل موارد زیر است:
- اهداف کنترلی و کنترل های انتخاب شده و دلایل برگزیدن آن ها
- اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند
- کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آن ها
در اصل این بیانیه جمع بندی تصمیمات گرفته شده در خصوص برطرف سازی مخاطرات است و توجیهات کنارگذاری بررسی مضاعفی ایجاد می کند که هیچ کنترلی، بطور سهوی از قلم نیفتد.
اما چه دلایلی باعث می شود که یک کنترل و هدف کنترلی کنار گذاشته شود؟! از جمله دلایل این امر عبارتنداز:
- ریسک: عدم توجیه به دلیل قرار گرفتن در معرض ریسک
- بودجه: محدودیت های مالی
- محیط: تاثیر گذاشتن بر اقدامات کنترلی، آب و هوا، فضا و …
- تکنولوژی: برخی از معیارها از نظر فنی شدنی نیستند
- فرهنگ: محدودیت های فرهنگی و جامعه
- زمان: برخی از اقدامات را در زمان فعلی نمی توان پیاده سازی کرد
- و … .
در جدول زیر یک نمونه از بیانیه کاربست پذیری را مشاهده می کنید. در این جدول هر یک از اهداف کنترلی به جزییات بررسی می شوند و انتخاب شدن یا نشدن، محل بکارگیری آن هدف کنترلی و نیز دلیل کنار گذاشتن هر یک از اهداف کنترلی مشخص می شود.
| کنترل و اهداف کنترلی | انتخاب شده | محل بکارگیری | توجیه کنار گذاری | |
| بله | خیر | |||
| A.5.1.1سند خط مشی امنیت اطلاعات | √ | خط مشی امنیت | – | |
| A.5.1.2.بازنگری خط مشی امنیت اطلاعات | √ | روش اجرایی باز نگری مدیریت | – | |
| . . . |
||||
| A.6.2.2. کار از راه دور | × | – | عدم استفاده از دورکاری | |
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.