راه کارهای برطرف سازی مخاطرات
آخرین مرحله که در طرح مدیریت مخاطرات در پیاده سازی ISMS باید طی شود برطرف سازی مخاطرات است. بنابراین پس از شناسایی مخاطرات و مالکان آن ها و نیز تحلیل و ارزیابی مخاطرات، نوبت به شناسایی و ارزیابی راهکار های برطرف سازی مخاطرات می رسد. برای برطرف سازی مخاطرات ابتدا باید یک طرحی برای این کار تهیه شود که به آن Risk Treatment Plan یا به اختصار RTP یا همان طرح برطرف سازی مخاطرات می گویند. محتوای این پلن شامل مواردی است که در ادامه به آن می پردازیم.
تهیه طرح برطرف سازی مخاطرات
اولین قدم در مدیریت و برطرف سازی مخاطرات تهیه طرحی جامع برای شناسایی، اولویت بندی و مدیریت هر یک از مخاطرات است. این طرح باید حاوی اطلاعاتی دقیق درباره نوع مخاطره، تاثیر احتمالی و راهکار های پیشنهادی برای کاهش یا حذف مخاطره باشد. مهم ترین مراحل در تهیه این طرح عبارتاند از:
- تحلیل مخاطرات شناسایی شده: تعیین شدت و احتمال وقوع هر مخاطره و ارزیابی اولویت هر یک از آن ها.
- تعریف استراتژی های مقابله: انتخاب راهبرد های مناسب برای برطرف سازی یا کاهش اثر مخاطرات مانند: جلوگیری، کاهش، انتقال یا پذیرش مخاطره.
- اختصاص منابع و زمانبندی: تعیین منابع مورد نیاز ( مالی، انسانی، فنی) و جدول زمانی برای هر مرحله از اجرای طرح با توجه به میزان اولویت و حساسیت ها
در جدول زیر نمونه ای از یک طرح برطرف سازی مخاطرات را مشاهده می کنید که با توجه به موارد فوق طرح ریزی شده است.
| تهدید | دارایی | کنترل یا اهداف کنترلی | منابع | هزینه | برنامه اجرا |
| عملکرد ضعیف سیستم | زیرساخت شبکه | A.10.3.1 | 1. ملزومات شبکه 2. … |
*** ریال | فاز اول: … فاز دوم: … |
| خطای کاربر | مشتریان | A.8.2.2 | 1. کارشناس آموزش 2. … |
*** ریال | فاز اول: … فاز دوم: …. |
قاعدهمند کردن و پیاده سازی طرح
پس از آن که RTP تهیه شد باید آن را بر اساس یک سری اصول و قواعد پایه ریزی کرد و سپس اقدام به عمل نمود. بنابراین در گام اول باید به شناسایی اقدامات مناسب مدیریتی برطرف سازی مخاطرات امنیت اطلاعات پرداخت. این بخش شامل سه مرحله اساسی است:
- تعیین مسئولیت ها و نقش ها: تعریف دقیق وظایف هر یک از اعضای تیم و تعیین افرادی که مسئول نظارت و اجرای طرح برطرف سازی مخاطرات هستنند.
- ایجاد و نگهداری مستندات: مستند سازی کلیه فرایند ها و اقدامات انجام شده در راستای برطرف سازی مخاطرات، به گونه ای که امکان بازبینی و بهبود مداوم فراهم شود.
- پیگیری و ارزیابی مستمر: پس از اجرای هر مرحله از طرح، نتایج حاصل را ارزیابی کرده و در صورت نیاز، اقدمات اصلاحی را به طرح اضافه کنید.
از آن جایی که رسیدن به امنیت صد درصدی امکانپذیر نیست، همواره پس از اعمال طرح برطرف سازی مخاطرات، میزانی از مخاطرات را باید انتظار داشت. با دریافت تاییدیه مالکان ریسک برای RTP و نیز مخاطرات باقی مانده، کار برطرف سازی مخاطرات پایان می یابد.
پس از اینکه روبرو شدن با مخاطرات اتمام یافت، لازم است برای برقراری امنیت اطلاعات، دو طرح آموزش و پشتیبانی مورد توجه قرار بگیرد. در طرح آموزش نیاز است آگاهی رسانی، آموزش و تربیت نیروی انسانی صورت بگیرد. در این امر باید مواردی از جمله تعیین اهداف آموزشی، مخاطبین آموزشی بر اساس نوع آموزش، مسئولیت های افراد، مواد آموزشی در سطوح مقدماتی- متوسط- پیشرفته، انتخاب نوع آموزش، پیاده سازی طرح آموزشی و نظارت بر نحوه اجرای آن، مستند سازی فعالیت آموزشی انجام شده مدنظر قرار داده شود.
در طرح پشتیبانی باید مواردی از جمله پشتیبانی از حوادث امنیتی شامل دسته بندی حوادث احتمالی و راه های مقابله با آن ها، تدوین ساختار سازمانی تیم پشتیبانی کننده از آسیب دیدگان در حوادث، نوع خدمات و سرویس هایی که می خواهیم ارائه دهیم، مدنظر قرار داده شود.
آموزش و آگاه سازی امنیت
پس از پشت سر نهادن فرآیند برطرف سازی مخاطرات، باید به فاز آموزش، تحصیل و آگاه سازی امنیت (Security Awareness & Training) پرداخت. این فاز آموزش باید ابعاد مختلفی را در بر بگیرد. اول اینکه آموزش برای چه افرادی و دوم شامل چه مواردی باشد. تهیه یک برنامه آموزش و آگاه سازی امنیت باید برای افراد زیر تدوین گردد:
- کارکنان تمام وقت یا پاره وقت داخل دامنه
- مدیران یا سرپرستان
- کارکنان فنی و غیر فنی
- پرسنل خارج از دامنه که با دامنه در ارتباط هستند
- مشتریان
- تأمین کنندگان
یک برنامه SAT باید شامل موارد زیر باشد:
- آموزش سیاست ها و مقررات امنیتی سازمان: پرسنل باید با سیاست های امنیت اطلاعات سازمان و قوانین مربوطه آشنا شوند تا بتوانند به درستی آن ها را اجرا کنند.
- آگاهی از تهدیدات و روش های مقابله با آن ها: آموزش تشخیص تهدیدات و راه های پیشگیری از آن ها مانند مقابله با حملات فیشینگ یا رعایت اصول امنیت رمز عبور.
- شبیه سازی حملات امنیتی و تمرین واکنش سریع: با برگزاری شبیه سازی حملات، کارمندان میتوانند تجربه عملی در واکنش به تهدیدات واقعی را کسب کنند.
ارزیابی و بهروزرسانی طرح برطرف سازی مخاطرات
هر طرح برطرف سازی مخاطرات نیازمند بررسی و اریابی مداوم است تا با تغییرات محیطی، تهدیدات جدید و بهروزرسانی های فنی هماهنگ باشد. توصیه می شود به صورت دوره ای :
- بازنگری مخاطرات شناسایی شده انجام شود و مخاطرات جدید به طرح اضافه گردند.
- ارزیابی اثرات اجرای طرح برای بررسی کارایی و اصلاح نقاط ضعف انجام شود.
- بهروزرسانی های فنی و سیاست های جدید مطابق با استاندارد های امنیتی روز در طرح اعمال شود.
نتیجهگیری
برطرف سازی مخاطرات، فرایندی پویا و دائمی است که در هر مرحله از پیاده سازی سیستم مدیریت امنیت اطلاعات نیازمند دقت و پایبندی به دستورالعمل های مشخص است. با تهیه و اجرای صحیح طرح برطرف سازی مخاطرات، آموزش و آگاه سازی پرسنل و بهروزرسانی مستمر، سازمان ها می توانند از امنیت اطلاعات خود اطمینان حاصل کنند و ریسک های امنیتی را به حداقل برسانند. این مراحل به شما کمک می کنند که مدیریت امنیت اطلاعات را در سازمان به شکلی جامع و یکپارچه پیاده سازی کنید و به نتیجه مطلوب دست یابید.
هیواشبکه
ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استان های همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.