درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
حجت رستمی
امتیاز: 13323
رتبه:52
0
57
19
185
دانشجوی رشته اینترنت و شبکه های گسترده علاقه مند به یادگیری active شبکه پروفایل کاربر

تجزیه و تحلیل کیفی خطر و ارزش گزاری منابع در امنیت اطلاعات

تاریخ 63 ماه قبل
نظرات 1
بازدیدها 453
با سلام در این مقاله قصدمان پرداختن به تجزیه و تحلیل کیفی خطر در امنیت اطلاعات است که البته موارد کیفی آن در نقش ها و مسئولیتها در امنیت اطلاعات و مدیریت ریسک بحث شد و در واقع هدف اصلی تکمیل موضوع مربوطه است که امیدوارم مورد استفاده باشد.

Risk Assessment یا ارزیابی ریسک


در این خصوص همان طور هم که قبلا گفته شد کیفیت RA برای حفظ عناصر مهم مورد نظر ما تلاشی برای پایین آوردن هزینه های بالا انجام نمیدهد البته لازم به ذکر است که در این گام ,انالیز خطر پزیری بر اساس سناریو های از قبل طراحی شده جلو خواهد رفت و در تجزیه و تحلیل کیفی خطر یک فرکانس نموداری از تهدیدات و تاثیر آنها بر داده های مهم در نظر گرفته میشود . با این حال در ارزیابی کیفی ریسک جدی بودن تهدیدات امنیتی و حساسیت نسبی بر روی دارایی ها و داده ها با ایجاد یک رتبه بندی مشخص که قابلیت جایگزاری در یک مقیاس اندازه گیری در نظر گرفته شده برای هر نوع سناریو مشخص میشود در توصیف یک سناریو خوب باید بگویم که باید مطابق با تهدیدهایی باشد که دارایی های ما را میتواند هدف قرار دهد بنابر این شناخت تهدیدات در یک سناریو و از دست دادن بلقوه دارایی ها و انتخاب اقدامات حفاظتی مناسب برای کاهش خطر باید در نظر گرفته شود. حال با دانستن موارد بالا و به وجود آمدن یک لیست مشخص از تهدیدات موجود و ارزش دارایی ها و منابع قابل تهدید میتوانیم به مراحل تهیه سناریو بپردازیم که شامل موارد زیر است.

  1. مدیران IT ابتدا باید در سناریو خود تهدیدات عمده موجود در سازمان ها را رسیدگی مناسب بکنند.
  2. سناریو باید توسط مدیران ارشد سازمانها بر اساس واقعیتهای موجود مورد ارزیابی قرار بگیرد و به نوعی مهر تایید بر آنها بخورد.
  3. تیم های RA باید در ادامه بر اساس ارزیابی پادمان های مختلف برای هر کدام از تهدیدات توصیه های ایمنی لازم را باید به مدیران متذکر باشند. و یافته های خود را آماده و تسلیم مدیریت بکنند (هرگز به طور خود سرانه اقدام به تصمیم گیری نکنید)
  4. پس از تکمیل سناریو نهایی در جهت حفظ منابع ان را در چارچوب مشخص برای اجرا به واحد های مربوطه ارسال و بر کار آنها درحفظ پادمان های مربوطه نظارت کامل داشته باشید.

فرایند ارزش گذاری دارایی ها


توجه داشته باشید که این ارزیابی یک گام اساسی در تمام روشهای ممیزی امنیت است که در هر دو مورد کمی وکیفی مورد استفاده قرار میگیرد .سه عنصر اصلی در این فرایند شامل موارد زیر است

  1. هزینه های اولیه و مستمر سازمان شامل صدور مجوز های خرید وحمایت وتوسعه دارایی های اطلاعاتی.
  2. ارزش دارایی های سازمان شامل عملیات تولید و تحقیق و توسعه وفعال بودن مدل کسب و کار
  3. ارزش دارایی های تاسیس شده در بازار های خارجی و ارزش تخمینی از مالکیت معنوی (اسرار تجاری , اختراعات ثبت شده , کپی رایت و .....)

حال به جدول مقایسه ای زیر در مورد کیفیت و کمیتهای RA توجه کنید.
تجزیه و تحلیل کیفی خطر و ارزش گزاری منابع در امنیت اطلاعات


در قسمت PROPERTY به ترتیب از بالا به پایین شما با این موارد زیر مواجه هستید :

  1. تجزیه و تحلیل هزینه وسود
  2. هزینه های سخت مالی
  3. توانایی های خودکار
  4. حدس و گمان های درگیر با کار
  5. محاسبات پیچیده
  6. حجم اطلاعات مورد نیاز
  7. زمان
  8. درگیری های کاری
  9. سهولت ارتباطات

ضوابط انتخاب حفاظت


پس از تجزیه وتحلیل کامل خطر تدابیر و اقدامات متقابل باید مورد تحقیق و بررسی قرار بگیرد چندین اصول استاندارد وجود دارد که در انتخاب روش های حفاظتی برای حصول اطمینان از همسو بودن روش های حفاظتی با تهدیدات و انتخاب موثر ترین روشهای پیاده سازی و کنترل آنها به عنوان معیار های مهم مورد استفاده است.

1- تحلیل سود و هزینه


که از طریق فرایندی تحت عنوان Cost-Benefit مشتق میشود و شامل موارد زیر است :

  1. هزینه های خرید و توسعه و یا صدور مجوز های حفاظتی
  2. هزینه های نصب و راه اندازی های فیزیکی و اختلال درامور جاری در طول نصب و تست ادوات حفاظتی (مانند دوربین های مدار بسته)
  3. هزینه های معمول تخصیص یافته برای امور تعمیر و نگهداری سیستم ها

ساده ترین عملیات برای محاسبه سود و هزینه به قرار زیر است


(هزینه های قبل از اجرا) – (هزینه های بعد از اجرای حفاظت) – (هزینه های حفاظتی سالانه)= ارزش های حفاظتی سازمان
به عنوان مثال : اگر هزینه های آنالیز یک تهدید 10.000 $ قبل از اجرا باشد و هزینه های اجرای عملیات حفاظتی 1.000 $ باشد وهزینه های سالانه 500$ باشد پس از آن طبق فورمول بالا ارزش موارد حفاظتی سازمان برابر با 8.500$ در سال خواهد بود. این مقدار به نسبت هزینه های راه اندازی از بابت به نفع یا عدم سود مورد بررسی قرار میگیرد که آیا روش انتخابی مناسب است یا نه؟ و علاوه بر این روی اجرای برنامه های حفاظتی خاص نیز در تصمیم گیری ها موثر خواهد بود.که ناشی از به وجود آمدن یک سری مسئولیتهای قانونی به وجود آمده از تهدیدات در سازمانها خواهد بود و همچنین مقدار به دست امده برای تصمیم در مورد اجرای بعضی پادمان های امنیتی میتواند مورد استفاده باشد.

2-تهیه کتابچه راهنمای کاربر


میتوان آن را بهترین راه برای در امان ماندن از خطاهای انسانی در جهت استفاده نادرست از سیستمهای نرم افزاری دانست که باید دقیقا تمام مراحل مورد استفاده از نرم افزار ها و نکات امنیتی مربوط به حین کار د رآنها اورده شود که البته نباید استفاده از آن برای کاربر دشوار باشد ته به راحتی توسط کاربر مورد پزیرش قرار بگیرد و به عنوان یک امر عادی تلقی شود که افراد آن را جزء وضایف روزانه خود بدانند

3-حسابرسی و پاسخگویی / ممیزی


در توابع حفاظتی جایی هم باید برای تست و پاسخ گویی افراد و نرم افزار ها هم در نظر گرفته شود تا افراد در مقابل آنچه که انجام میدهند مسئولیت پذیر و پاسخگو باشند.

4-توانایی بازیابی


سیستم های حفاظتی امنیتی طراحی شده برای سازمان باید امکاناتی را فراهم کند که امکان تنظیمات مجدد با ویژگی های زیر را برای ما فراهم بکند.

  • بدون تخریب دارایی ها و منابع در تنظیمات مجدد و به روز رسانی ها
  • بدون ایجاد دسترسی به کانال های ارتباطی مخفی در تنظیمات مجدد
  • بدون از دست دادن امنیت داده ها یا افزایش جلوگیری بیش از حد در دسترسی به داده ها در تنظیمات مجدد .
  • نرفتن منابع به حالتی که اوپراتورهای مجازبدون داشتن دسترسی کامل نتوانند از انها استفاده کنند.

یک نکته : BACK DOORS : درب پشتی , (قلاب تعمیر و نگهداری) علاوه بر آنکه آن را به عنوان یک ابزار در دست هکر ها برای نفوذ به سیستم ها میشناسید با ید بگویم که اساسا یک عنصر بیگناه برنامه نویسی در نرم افزار ها است. که برنامه نویسان از آن برای دسترسی به بخشهای داخلی نرم افزار ها برای دور زدن موانع امنیتی در هنگام بروز اختلال مورد استفاده قرار میگیرد تا بتوانند به رفع ایرادات بپردازند ( یک در اضطراری برای ورود و خروج) بنابر این از این تابع پر ارزش باید متخصصین امنیت در نرم افزار ها اگاه باشند

5-روابط فروشنده


اعتبار, قابلیت اطمینان , عملکرد گذشته فروشنده و تولید کننده محصولات باید مورد بررسی قرار بگیرد. علاوه بر این open source بودن نرم افزار ها هم باید مورد بررسی قرار بگیرد تا امکانات مربوط به نحوه تغییر تنظیمات امنیتی آن ارزیابی شود در رابطه با نرم افزار های غیر open source هم که راهی برای جلو گیری ازافشای روشهای اختصاصی تولید و طراحی نرم افزار ها است باید پشتیبانی فروشنده و اسناد و مدارک تضمین های امنیتی محصول مورد توجه قراربگیرد.

6-اگاهی های امنیتی


این مورد یکی از عناصر نادیده گرفته شده از مدیریت امنیت است چرا که بسیاری از متخصصین امنیت خودشان هم دچار غفلت می شوند و فراموش می کنند که مردم اغلب ضعیف ترین حلقه در زنجیره امنیت هستند و نیازمند اموزش و آگاهی در غیر این صورت چطور میتوانند مسئله را درک کنند که تا حدود زیادی متاثر از موقعیت امنیتی کلی در سازمانها است. توجه داشته باشید که کارمندان باید از نیاز به امنیت اطلاعات و حفاظت از آنها آگاه باشند همیشه این را بدانید که اوپراتور ها نیازمند آموزش و کسب مهارتهای مورد نیاز امنیتی با توجه به نیاز شغلیشان هستند و این بر عهده دست اندر کاران امنیتی است که از این مورد برای پیاده سازی و حفظ و کنترل های امنیتی استفاده کنند. اموزش مفاهیم اصلی امنیت اطلاعات در کارکنان باعث تغییر و بهبود رفتار و نگرش آنها در جهت کمک به حفظ داده ها خواهد بود و این خود یک سرمایه گزاری مناسب در امنیت خواهد شد. به مثالهای زیر توجه شود:

  • کاهش قابل اندازه گیری اقدامات غیر مجاز پرسنل
  • افزایش قابل ملاحظه اثر بخشی کنترل های امنیتی
  • کمک برای جلو گیری از تقلب و سوءاستفاده از منابع محاسباتی سازمان و کاهش جرائم دولتی توسط افراد.

این مهم است که جلسات آگاهی های دوره ای برای کارمندان جدید الورود وتازه کار برگزار شود وتوجه کنید که مطالب تخصصی باید در حد امکان ساده سازی شده و قابل درک برای افراد باشد تا آنها بدانند که در مواجه با مخاطبانشان چطور باید از منابع سازمان محافظت کنند سعی کنید آموزش های خود را در قالب سمینارها . پوستر های اموزشی . خبر نامه های درون شرکتی . استفاده از شبکه وب درون سازمانی . فیلم های آموزشی . استفاده از بنر های بدو ورود . استفاده از متعلقات تبلیغاتی مانند لیوان , قلم و پد موس , یادداشتهای چسبنده و....... بهره ببرید.

مشخص نمودن گروه های کاری برای آموزش شامل گروه های پیشنهادی زیر :


  1. اموزش فنی امنیت برای پرسنل IT ومدیران
  2. اموزش پیشرفته امنیت اطلاعات برای متخصصین امنیت و سیستم های حسابرسان
  3. اموزش امنیت برای مدیران ارشد و مدیران عملیاتی ومدیران واحد کسب و کار
  4. اموزش اگاهی برای بخشهای خاص و یا پرسنل دارای موقعیتهای حساس امنیتی
  5. اموزشهای شغلی مرتبط با امنیت برای اپراتور ها و کاربران خاص

یک نکته: شروع خوب برای تعریف محتوای برنامه اموزشی امنیت میتواند موضوعاتی مانند سیاستهای امنیتی سازمان , استانداردها , دستورالعمل ها, روشهای در حال استفاده و استفاده از موارد اتفاق افتاده بدون سرزنش افراد در جمع و ایجاد حالات آسیب پزیری های امنیتی فرضی برای مشاهده نوع واکنش افراد در مواجه با بحران های امنیتی جهت پیشگیری و آگاه سازی مناسب است.پیروز و سربلند باشید


نویسنده : حجت رستمی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • مقاله خوبی بود مهندس بنده در تکمیل مقاله چند نکته رو فقط می گم ، ما در محیط و سناریوهای واقعی به این فرآیند تجزیه و تحلیل کیفی خطر نمی گیرم و بصورت کلی Risk Assessment یا ارزیابی ریسک می گیم که واژه شناخته شده ای بین کارشناسان امنیت اطلاعات هست و در حقیقت مهمترین و موثر ترین قسمت برای شروع یک پروژه امنیت اطلاعاتی هست.در خصوص یک جمله در ابتدای متن که فکر می کنم سوء برداشت بشه به این صورت عنوان شده مدیران IT ابتدا باید در سناریو خود تهدیدات عمده موجود در سازمان ها را آدرس دهی مناسب بکنند در حوزه امنیت اطلاعات و البته بسیاری از حوزه های دیگه منظور از واژه Address در واقع آدرس دهی نیست بلکه رسیدگی هست ، یعنی مدیران باید به تهدیداتی که در یک سازمان برای اطلاعات وجود داره رسیدگی کنند ، تحلیل سود و زیان یک پروژه کاملا به محدوده و حوزه اجرای یک پروژه و البته بودجه سازمان داره ، بعضا پروژه هایی هست که برای حوزه امنیت حاضرن میلیاردها هزینه کنند و بعضا حاضر نیستند ریالی هزینه کنند که این بستگی کامل به دارایی ها و ارزش گذاری روی اونها هست .

    ما دارایی های یک سازمان رو بصورت کلی به دو دسته تقسیم بندی می کنیم ، دارایی هایی که قابل ارزش گذاری هستند که در اصطلاح Tangible گفته میشن مثل تجهیزات و سخت افزارها و ... که براحتی می شه روشون قیمت گذاری و ارزش گذاری کرد و دارایی هایی که قابل ارزش گذاری نیستند که در اصطلاح Intangible گفته میشن ، چیزهایی مثل اعتبار یک سازمان ، نیروی انسانی و ... و معمولا در پروژه های امنیت اطلاعاتی مشکل اصلی ما در این حوزه برای ارزش گذاری هست.توجه کنید که در یک پروژه امنیت اطلاعاتی اول یک سری خط مشی ها یا Policy ها تدوین میشن و بعد توسط مدیران سازمان تایید میشن ، این خط مشی ها به کاربران اعلام میشه ، به اونها آموزش های مستمر داده میشه که به عنوان User Awareness شناخته میشه ، بعد بر اساس این خط مشی ها دستورالعمل ها تدوین میشن ، وظایف تعریف میشن و ... مهمترین نکته آموزش مستمر با انواع و اقسام روش ها هست که باید در نظر گرفته بشه مخصوصا برای کاربران ، همونطوری که گفتین امنیت شبکه ما برابر با ضعیفترین نود شبکه ما هست.

برای ارسال نظر ابتدا به سایت وارد شوید