درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات دوره آموزشی
    اطلاعات مطلب
      مدرس/نویسنده
      محمد ایزانلو
      امتیاز: 4074
      رتبه:380
      0
      11
      0
      6

      دیباچه کوتاهی بر مدیریت ریسک و جایگاه آن در امنیت اطلاعات

      تاریخ 5 ماه قبل
      نظرات 0
      بازدیدها 72
      از سپیده دم تاریخ تا کنون ، خطر و تهدید همزاد همیشگی آدمی بوده و در تمامی جنبه های زندگی ، او را به چالش کشیده است. هرچند که در گذار زمان و از دورانی به دوران دیگر پا به پای پیشرفت های بشری و دگرگونی های رخ داده در زندگی نوع بشر رنگ عوض کرده و تغییر ماهیت داده است اما همچنان بسان جنگ آوری سلحشور انسان را در تمامی گستره زندگی به مبارزه ای بی پایان فرا می خواند . چنانکه به رغم تمامی پیشرفتهای علمی و فنی بشر و دگرگونی های عمیق رخ داده در روابط بین الملل ، خطر جنگ همچنان بر زندگی بشر سایه انداخته است و به یمن دانش و فن آوری های نوین ، زندگی و صلح را قدرتمند تر از همیشه تهدید می کند و انسان همچنان در برابر خطر حوادث طبیعی مانند سونامی و زلزله ناتوان و آسیب پذیر است.
      ورود کاروان تمدن بشری به عصر اطلاعات و در هم تنیدگی گسترده و عمیق جنبه های گوناگون جوامع بشری از اقتصاد و تجارت گرفته تا سیاست و روابط اجتماعی با فن آوری اطلاعات و نیز ارائه گسترده خدمات وتوزیع انبوه دانش و اطلاعات در بستر شبکه جهانی اینترنت و تبدیل این شبکه عظیم به مهم ترین پل ارتباطی افراد ، سازمانها و دولتها ، سرآغاز آفرینش فصل تازه ای در تمدن بشری بوده است ، فصلی که اساسی ترین مولفه و حیاتی ترین عنصرتشکیل دهنده آن اطلاعات است . ازاین رو تهدیداتی جدید و با ماهیتی بسیار متفاوت از گذشته فراروی انسان هزاره سوم قرار گرفته که با شدتی هرچه تمامتر و پیچیدگی روزافزون بر پایه های لرزان زیر ساخت های فنی ، انسانی و سازمانی فن آوری اطلاعات و ارتباطات می تازد و آرمانی جز به زانو درآوردن مولفه های بنیادین امنیت اطلاعت یعنی : محرمانگی ، دسترس پذیری و یکپارچگی را در سر نمی پروراند. چنانکه امواج سهمگین حملات DDOS که می تواند سامانه های بزرگ مبتنی بر فن آوری اطلاعات را به جهان تاریک سکوت و خاموشی واپس زند ویا تهدید شیوه های پیچیده مهندسی اجتماعی در به زانو درآوردن سازوکارهای دفاعی و امنیتی ، مشتی نمونه خروار از تهدیداتی است که انسان عصر جدید با آن دست به گریبان است. تهدیداتی که در گذشته و پیش از ورود تمدن بشری به عصر اطلاعات ، هرگز وجود نداشته است . از این منظر دور از حقیقت نیست اگرکه امنیت اطلاعات را یکی از بزرگترین چالش های پیش روی انسان در هزاره سوم بدانیم .
      بدین سان هنر تحلیل ریسک و دانش مدیریت آن برای سازمان های پویا و پیشتاز عصر حاضرکه در محیطی پر از رقابت و چالش برانگیز فعالیت دارند و فن آوری اطلاعات یکی از مهمترین و حیاتی ترین منابع حفظ و ایجاد مزیت رقابتی برای شرکتها و سازمانهاست ، از زاویه امنیت اطلاعات و در نتیجه حفظ مزیت رقابتی اهمیتی حیاتی دارد و یگانه راهی است که یا به امنیت و تداوم حضور در بازار می انجامد یا به نابودی و حذف شدن توسط رقبا ، از این رو مساله ، بودن یا نبودن است و به هیچ وجه نمی توان آنرا نادیده انگاشت . برخی از مهم ترین دلایل اهمیت و جایگاه ارزنده تحلیل و مدیریت ریسک در امنیت اطلاعات عبارتند از :
      ١ - امنیت اطلاعات پیچیده و پرهزینه است و منابعی که سازمان در اختیار دارد محدود است و اندک از این رو با انجام یک تحلیل ریسک جامع و دقیق منابع محدود و کمیاب سازمان در مسیر حفاظت صحیح از دارائیها و سرمایه های اطلاعاتی ارزشمند هزینه شده و از اتلاف منابع جلوگیری خواهد شد.
      ٢- سرآغاز شکست و ناکامی بسیاری از طرح های امنیت اطلاعات ، حفاظت نادرست از چیز های درست و یا حفاظت درست از چیزهای نادرست است به زبان ساده تر، طرح شکست می خورد زیرا طراحان آن زحمت شناسایی دارایی های ارزشمند و سرمایه های اطلاعاتی راهبردی سازمان را به خود نداده و بدون هیچ گونه شناخت و یا با آگاهی اندک از تهدیدات فرارو و پیامدهای رخداد انها بر ماموریت ها و اهداف سازمان اقدام به طراحی و پیاده سازی برنامه های امنیت اطلاعات می نمایند در نتیجه طرح تهیه شده از پاسخ به پرسشهای مهمی چون : از چه چیزی و به چه میزان باید حفاظت شود ناتوان خواهد بود. از این رو درک و شناسایی درست ریسک های موجود و توانایی در بکار گیری داده های به دست آمده از ارزیابی و تحلیل ریسک می تواند نقطه پایانی باشد بر طراحی سست و بی پایه و سرآغازی بر طراحی اثر بخش و کارامد مبتنی بر حقایق و آگاهی عمیق از سرمایه و دارایی های پرارزش ، تهدیدات فراروی انها ، شدت اثر و پیامد تهدیدات بر اهداف و ماموریت های سازمان و در نهایت انتخاب ابزارها و رویه های مناسب و به صرفه برای مهار و کاهش تهدیدات. و انتخاب راهبردهای مناسب مدیریت ریسک نظیر پذیرش ، اجتناب ، کاهش و یا انتقال ریسک به دیگران.
      در حقیقت بنیان مهندسی امنیت اطلاعات ، درک درست تهدیدات فراروی اطلاعات و پیاده سازی اقدامات حفاظتی مناسب و به صرفه برای مهار(Control) یا کاهش تهدیدات است از این رو اجرای سیستم مدیریت امنیت اطلاعات در سازمان بر پایه مدیریت و ارزیابی ریسک بنا نهاده می شود و بدون وجود یک برنامه منظم و جامع تحلیل ، ارزیابی و بهبود ریسک امکان دستیابی به اهداف سیستم مدیرییت امنیت اطلاعات وجود نخواهد داشت و به همین دلیل است که الزامات مربوط به ارزیابی و کاهش ریسک ، بخش بزرگی از مفاد استانداردهای سیستم مدیریت امنیت اطلاعات را تشکیل می دهد. برخی از مهمترین استانداردهای موجود عبارتند از : استاندار BS7799 که قدیمی ترین استاندارد تدوین شده در خصوص سیستم مدیریت امنیت اطلاعات است و بسیاری از استانداردهای جهانی از آن الهام گرفته و یا به صورت کامل از آن مشتق شده اند و نیز سری استانداردهای 27000 ISOکاملترین استاندار جهانی تدوین شده در این حوزه است.


      برچسب ها
      ردیفعنوان
      1چند باور ارزشمند در باره امنیت اطلاعات
      2امن کردن یا مقاوم سازی دیواره آتش (ّFireWall Hardening)
      3مهار SYN Flood با PfSense
      4معرفی دادگان Kdd CUP 99 و معیار های ارزیابی الگوریتم های پیشنهادی سيستمهاي تشخيص نفوذ مورد آزمون قرار گرفته با این دادگان
      5دیباچه کوتاهی بر مدیریت ریسک و جایگاه آن در امنیت اطلاعات
      6آشنایی با مولفه های ریسک
      7مولفه های ریسک بخش دوم و پایانی
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow