محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

مدیریت ریسک چیست ؟ معرفی فرآیند Risk Management

ریسک عبارت است از انحراف در پیشامدهای ممکن آینده . اگر تنها یک پیشامد ممکن باشد ، انحراف و ریسک کمتر می شود .ما در دنیای مخاطرات و ریسک زندگی می کنیم . باید ریسک ها را تحلیل کنیم ، اگر با آنها بر خورد داریم باید آنها را شناسایی و در مجموع تمام ریسک ها و نتایج آنها را ارزیابی کنیم . مدیریت ریسک عبارت است از فرایند مستند سازی تصمیمات نهایی اتخاذ شده و به کار گیری معیارهایی که می توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

به عبارت دیگر فرآیند شناسائی ، ارزیابی ، انجام اقدامات کنترلی و اصلاح ریسک های اتفاقی بالقوه ای که مشخصآ پیشامدهای ممکن آن خسارت با عدم تغییر در وضع موجود می باشد . مدیریت ریسک مجموعه ای را قادر می سازد که به نحو بهتری ریسک های متداول در فعالیتهای روزمره را مدیریت نموده و با خیالی آسوده از خسارات تصادفی ، بطور جامعتر و مؤثرتر فعالیتهای روزمره خود را ادامه دهد ، ضمن اینکه ما را قادر می سازد به نتایج قابل قبول با حداقل هزینه نایل گردیم .

مدیریت ریسک چیست

شناخت ریسک ها مستلزم شناخت هر یک از نقاط این زنجیره است که عوامل خسارت آفرین ( حادثه ها و .... ) ، منابع خسارت پذیر ( پرسنل ، اموال ، مسئولیتها و درآمدها ) و نوع تأثیر عامل اول برعامل دوم ( انواع خسارت ها ) را بطور دقیق در بر می گیرد . مدیریت ریسک کمک به انسانها برای حفاظت مستمر از خود ، داراییها و فعالیتها یشان در برابر حادثه هایی است که در طول تاریخ زندگی انسانها ، همواره او را با مخاطره روبرو کرده است .

این علم ضابطه ها وروشهایی را بدست داده است که اشخاص ، مؤسسه ها ی اقتصادی ( صنعتی و تجاری ) و غیر انتفاعی و دولتها با استفاده از آنها می تواند وظیفه آینده نگری را در ارزیابی ، کنترل و تأمین مالی خسارتها انجام دهند . براین پایه مدیریت ریسک برخوردی نظام یافته با ریسک ها را سامان می دهد . بدین منظور همواره در کار پاسخ گفتن به دو پرسش اساسی در باره پیش آمدهای احتمالی آینده است . نخستین پرسش اینکه (( چه خواهد شد ؟ )) و دوم اینکه (( چه باید کرد ؟ )) .

مدیریت ریسک همواره در کنار برنامه ریزی برای رویارویی با رویدادهای احتمالی آینده است . بنابر ضابطه هایی که مدیریت ریسک بدست داده است ، ایمن کردن سازمانها و سرمایه گذاریها در برابر خطرها و خسارتها نیازمند شکل گیری نظامی فکری و عملی است که بوسیله آن سیاست گذاری در برابر ریسکها یکپارچه شود . چنین نظامی به شکل مستمر در کارشناسی مشکل های مؤسسه های در معرض خطر و یافتن راه حل های مناسب و مؤثر برای حل آنهاست . بر این پایه ، نظام یادشده باید مشکل های موجود را تشخیص دهد ، تعریف کند و تحلیل ساختاری از آنها بدست دهد و با گردآوردن اطلاعات مربوط و طبقه بندی شده ، مناسبترین شیوه های پیشگیری ، کنترل و تأ مین مالی ریسکها را ارائه دهد.

گردش عملیات مدیریت ریسک

  1. تشخیص مشکلها ( ریسکها )
  2. تشخیص و تعریف نیازها
  3. تجزیه و تحلیل ساختارمشکلها ( ریسکها )
  4. گردآوری و طبقه بندی اطلاعات
  5. تدوین استراتژی رویارویی با ریسکها
  6. نظارت و پیگیری

برداشتی که از مدیریت ریسک ارائه شد ضرورت آگاهی از ریسکها را درجامعه و مؤسسه های اقتصادی آشکار می کند . تنها در پرتو چنین آگاهی هایی می توان نظام مدیریت ریسک را در جامعه و تمامی مؤسسه های مربوط سازمان داده و به فعالیت واداشت . آشکاراست که ایفای وظایف مدیریت ریسک را می توان بر حسب اندازه و وسعت هر مؤسسه ، توسط یک واحد سازمانی و زیر نظر مدیر مربوط که مدیر ریسک نامیده می شود ، انجام داد و راهبری کرد . برای شناخت انواع ریسک هایی که هر مؤسسه در معرض آنها قراردارد ، می توان با روشهایی مشخص در میان منابع درون سازمان وبرون آن به جستجو پرداخت . از دیدگاه مدیریت ریسک منابع درون سازمان همه چیزهایی است که در هر مؤسسه موجود است و امکان بهره برداری از آنها وجود دارد .

پس از شناخت ریسک های هر مؤسسه ، باید میزان تأثیر وقوع هرخسارت را برتمامی مؤسسه بررسی کرد و این کار نیازمند آن است که مشخص شود ،اولآ هریک ازخسارت ها با چه احتمال روی دادنی روبروست وثانیآ در صورت وقوع چه مبالغی را تشکیل می دهد ، واین مبالغ چه تأثیری برساختار مالی مؤسسه خواهد گذاشت . به بیان دیگر اقدام های مرحله اول ( شناسایی ریسک ها ) مجموعه ای از داده ها ( اطلاعات خام ) را درمورد ریسک هایی که مؤسسه در معرض آنها قراردارد به دست می دهد و مرحله بعد یافته های به دست آمده ( داده های یاد شده ) ، برپایه شالوده نظام مدیریت ریسک در مؤسسه ، طبقه بندی و پردازش می شوند که به فرآوری اطلاعات سنجیده ، معتبرو اولویت بندی شده می انجامد .

گام های اصلی در فرآیند مدیریت ریسک

  • تعریف هدف مشخصی از مدیریت ریسک
  • شناسائی ریسک ها
  • ارزیابی خسارت
  • انتخاب روش های مقابله با مشکلات ریسک
  • انتقال خسارت به طرف دیگر مثل سازمان بیمه گر
  • کاهش احتمال وقوع خسارت و در صورت لزوم جلوگیری از توسعه آن

معرفی نقش ها و مسئولیت ها در مدیریت ریسک امنیت اطلاعات

با سلام در این قسمت از مفاهیم امنیت اطلاعات سعی دارم به مفاهیمی در رابطه با مسئولیت سازمانی افراد در امنیت اطلاعات در ادامه مقالات قبلی ارائه شده با عناوین مزایای طبقه بندی اطلاعات و سیاستهای امنیتی و اهداف طبقه بندی اطلاعات و مفاهیم مرتبط بپردازم ونهایتا وارد مفاهیم مدیریت ریسک وخطر پذیری شوم .

نقش ها و مسئولیت ها

نقشها و مسئولیتها یک عبارت متداول در امنیت اطلاعلت است به طوری که در کنترلهای امنیت اطلاعات وظایف یک کارمند را تعریف میکنند و هرکدام از این نقشها دسترسی ها و مسئولیتهایی را در قبال امنیت داده ها بر عهده دارند نقش ها ومسئولیتها ی اصلی و مرکزی دارای تفکیک وظایف میباشند تا این مفهوم را به وجود آورند که امنیت از طرق تقسیم مسئولیت ها افزایش خواهد یافت و این مهم است که هر فرد به وضوح با نقش خود ارتباط برقرار کرده و آن را درک کند. ما به اختصار در مورد هرکدام توضیح میدهیم.

  1. مدیریت ارشد : که شامل افراد با وظایف اجرایی یا در سطح مدیران ارشد که مسئولیت کلی امنیت اطلاعات به انها واگزار یا اصطلاحا (delegate) شده باشد.
  2. سیستم امنیت اطلاعات حرفه ای : افرادی که به عنوان حرفه ای های امنیت اطلاعات هستند در این گروه قرار میگیرند و و اجرای این مسئولیت توسط مدیران ارشد به آنها محول میشود که دارای وظایفی مانند طراحی , مدیریت , اجرا , بررسی سیاستهای امنیتی سازمان , استانداردها دستورالعمل ها و روشها را بر عهده دارند .
  3. صاحبان داده ها : همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات صحبت کردیم که در درجه اول تایین سطح حساسیت ویا طبقه بندی داده ها را بر عهده دارند که به همین جهت مسئولیت حفظ داده ها را بر عهده دارند
  4. کاربران : و باز همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات اشاره کردیم به عنوان مصرف کنندگان نهایی در برنامه سیاستهای امنیتی سازمان نقش حفاظت از داده های در اختیار را بر عهده دارند
  5. سیستم های اطلاعاتی حسابرسان : که مسئول ارائه گزارشات به مدیران ارشد میباشند و اثر بخشی کنترل های امنیتی را با بررسی منظم سیاستهای امنیتی , دستورالعمل ها , استانداردها , و روشهای موثر در اهداف بیان شده امنیت اطلاعات را بر عهده دارند.

مدیریت ریسک

از جزئیات اصلی امنیت اطلاعات مدیریت ریسک یا Risk Management ) RM) است که تابع اصلی برای کاهش خطر است , کاهش خطر به میزانی که قابل قبول برای یک سازمان باشد ما میتوانیم RM را به عنوان شناسایی , تجزیه و تحلیل , کنترل و به حداکثر رساندن از دست دادن رویدادها تعریف بکنیم بنابراین شناسایی احتمال خطرات مورد توجه یک سازمان به تعریف عناصر اصلی زیرمنتهی میشود:

  1. تهدید واقعی
  2. عواقب و نتیجه احتمالی تهدیدات
  3. فرکانس احتمالی وقوع یک تهدید
  4. میزان و چگونگی به خطر افتادن اعتماد به نفس ما

نکته قابل توجه اینکه بسیاری از فورمول ها و فرایند های طراحی شده برای کمک به پاسخ دادن به پرسش های مطرح شده به دلیل تغییر و تحول دائمی در زندگی افراد و محیطی که در آن قرار داریم به طور حتم کارساز نخواهد بود و هدف RM در این است که تا جای ممکن در آینده کاری یک شرکت این تهدیدات را به حداقل ممکن برساند در کاهش ریسک این مهم است که شما بدانید که این بدان معنی است که ما تا چه سطح با خیال راحت میتوانیم به طور موئثر, ریسک در یک سرمایه گذاری را بپذیریم.

اصول مدیریت ریسک

کار RM دارای چند عنصر مختلف میباشد که در درجه اول موارد زیر قابل توجه است.

  1. انجام تجزیه و تحلیل خطر از جمله تحلیل هزینه و سود.
  2. پیاده سازی , بازنگری و حفظ حمایت

برای فعال کردن این فرایند , شما نیازمند تعیین برخی عناصر مختلف مانند ارزش دارایی ها و تهدید ها و احتمال حوادث میباشید در واقع بخش اصلی فرایند RM به اختصاص مقادیر به این تهدید ها و چگونگی احتمال رخ دادن آنها برمیگردد برای انجام این کار فورمولها و اصطلاحاتی به وجود آمده اند که در زیر تحت عنوان Risk Analysis (RA) تعریف شده اند . هدف از تجزیه و تحلیل خطر: هدف از انجام تجزیه و تحلیل خطر در واقع برای تعیین کمیت اثر تهدیدات بلقوه میباشد.

که برای مشخص نمودن ارزش هزینه های عملکردی یک کسب و کاراست و دو نتیجه اصلی RA شناسایی خطرات و توجیه هزینه / و منفعت متقابل است که برای ایجاد یک استراتﮊی کاهش ریسک , حیاتی و مهم به نظر میرسد. مزایای متعددی برای RA وجود دارد که روشن شدن هزینه ها به نسبت حمایتهای امنیتی که تحت تاثیر از روند تصمیمات قابل برخورد با پیکر بندی سخت افزاری و طراحی سیستم های نرم افزاری و نیز کمک به تمرکز منابع امنیتی و حتی تصمیم گیری در باره ساخت و ساز مانند انتخاب سایت و طراحی ساختمان را شامل میشود اصطلاحاتی که باید در این ضمینه بدانیم :

  1. Asset : دارایی ) شامل منابع اطلاعاتی فرایند تولید محصول و زیرساخت های محاسباتی که میتوان این موارد را تحت مثالهایی مانند اطلاعات توسعه , پشتیبانی , جایگزینی محصولات, اعتبارات عمومی و هزینه های در نظر گرفته شده, که مستقیما با حیات سازمان مربوطه در ارتباط است معرفی نمود که از دست دادن دارایی میتواند C.I.A را که همان مفاهیم اصلی امنیت اطلاعات یعنی محرمانگی و یکپارچگی و در دسترس بودن است را به خطر اندازد.
  2. Threat: تهدید ) به عبارت ساده هر نوع حضور بلقوه ای که باعث ایجاد تاثیرات نامطلوب و به خطر افتادن امنیت منابع اطلاعاتی سازمانی ما شود. خواه انسانی و یا ماشینی (رباط و یا هر نوع نرم افزار)
  3. Vulnerability :آسیب پذیری ) این طور میتوان گفت که آسیب پزیری در نتیجه فقدان و یا ضعف حفاظت به وجود می اید باید در نظر داشته باشید که یک تهدید جزئی دارای پتانسیل تبدیل شدن به یک تهدید بزرگتر است.
  4. Safeguard :حفاظت ) برای کنترل و کاهش خطر در ارتباط با یک تهدید خاص و یا گروهی از تهدیدات است.
  5. ef) Exposure Factor) نشان دهنده درصد ارزش از دست دادن یک دارایی مشخص در اثر یک تهدید است مانند اثر از دست دادن برخی از سخت افزار ها یا از دست دادن فاجعه بار تمام منابع محاسباتی
  6. SLE) Single Loss Expectancy )پیش بینی کاهش واحد : SLE رقمی است که به یک پدیده واحد اختصاص یافته است. و نشان دهنده کاهش یک تهدید در سازمان است و از فورمول زیر به دست میاید .Asset Value ($)×Exposure Factor (EF) = SLE (توضیحات شماره یک و پنج )
  7. ARO) Annualized Rate of Occurrence) نرخ وقوع سالانه : نشان دهنده فرکانس براورد شده ای است که از یک تهدید انتظار میرود رخ دهد و دامنه این مقدار از (0.0) هرگز بیشتر نمیشود (برای تهدیدات جزئی از جمله غلط املایی در ثبت داده ها به کار میرود) چگونگی به دست آمدن این تعداد پیچیده است ومعمولا بر اساس احتمال رویداد و تعداد کارکنان در ایجاد خطایی که رخ میدهد مورد بررسی قرار میگیرد و خسارات وارده چندان جای نگرانی ندارد.

مروری بر تجزیه وتحلیل خطر

که دارای چهار مرحله اصلی زیر میباشد.

  1. تجزیه و تحلیل کمی خطر
  2. تجزیه و تحلیل کیفی خطر
  3. فرایند ارزش گزاری دارایی ها
  4. انتخاب حفاظت

Quantitative Risk Analysis : تجزیه و تحلیل کمی خطر

تفاوت بین کمی و کیفی RA نسبتا ساده است هدف RA تلاش برای اختصاص مقادیر عددی به کمیتها شامل مولفه های ارزیابی ریسک وارزیابی زیان های بلقوه است که تکیه بر ارزش ناملموس از دست دادن داده ها و تمرکز بر مسائل هزینه های بالای ناخالص دارد . وقتی که تمام عناصر (ارزش دارایی ها فرکانس خطر, حفاظت از اثر, هزینه های حفاظت, عدم قطعیت و احتمال ) اندازه گیری و از نظر اختصاص رتبه به ارزش داده ها به طور کامل انجام شد به این فرایند کامل بحث کمی گفته میشود و این نکته را هم باید در نظر داشت که تجزیه و تحلیل کامل کمی خطر به طور مطلق امکانپذیر نمیباشد. با این حال به دلایل کیفی باید اعمال شود بنابراین هر چند که جزئیات به طور دقیق بر روی کاغذ آورده شود اما باز امکان پیش بینی آینده به طور قابل اطمینان میثر نیست. فرایند تجزیه و تحلیل یک پروﮊه بسیار بزرگ است و نیازمند اختصاص یک مدیربرنامه برای مدیریت بخش اصلی عناصر اصلی تجزیه وتحلیل و زمان بندی مناسب برای طرح های مورد نظر را در گروه یا تیم RA دارد.

Preliminary Security Examination : بررسی امنیت مقدماتی (PSE)) قبل از انجام عملیات RA کمک میکند تا شما نیازمندی های لازم را به دست آورید بنابراین PSE کمک به تمرکز عناصر RA میکند عناصری که در طول این فاز تعریف میشوند شامل ارزش دارایی ها وهزینه ها و مورد مهم اینکه لیستی از تهدیدات مختلف موجود در یک سازمان مورد شناسایی قرار میگیرد (شرایط تهدید به هر دو مورد کارمندان و محیط کاراشاره دارد) امنیت اسناد و مدارک موجود و اقدامات موجود انجام شده در مورد آنها به طور معمول مورد بررسی قرار میگیرد.

مراحل تجزیه وتحلیل خطر : شامل سه مرحله اصلی میشود که البته لازم به ذکر است که سناریو های متعددی میتواند وجود داشته باشد.

1- برآورد ضرر وزیان بلقوه دارایی ها و تایین ارزش آنها: به منظور برآورد خسارتهای احتمالی وارده در طول تحقق یک تهدید دارایی ها باید به طور معمول با استفاده از نوعی از استاندارد ها ارزش گزاری شوند. که این کار با ایجاد یک پایگاه داده در اجرای فرایند میتواند با سرعت و دقت بیشتری کاربران را قادر به انجام محاسبات به منظور براورد خسارات احتمالی آینده بکند.که به نفع پادمان اجرا کننده است

2- تجزیه و تحلیل تهدیدات داراییهای با ارزش : در اینجا به چگونگی تهدیدات احتمالی و نحوه رخ دادن آنها میپردازیم به همین جهت برای تعریف درست تهدیدات باید درک درستی از ارزش دارایی هایمان و نقاط آسیب پذیر آنها که مورد هدف تهدیدات هستند را داشته باشیم. انواع تهدیدات باید بدون در نظر گرفتن احتمال کم یا زیاد رخ دادن آنها در این بخش قرار بگیرند در مناطق مختلف سازمانهایی وجود دارد که یک نمودار از تهدیدات و حملات به وقوع پیوسته در مکان های مختلف را ارائه میدهند که استفاده از آنها خالی از لطف نیست برخی از این تهدیدات را به شکل زیر میتوان معرفی کرد.

1-2) طبقه بندی نادرست اطلاعات سازمانی که به دلیل تجمع داده یا غلظت مسئولیت (فقدان تفکیک وظایف)به وجود می اید که نتایجی مانند استنباط نادرست از اطلاعات و دست کاری مخفی کانال های ارتباطی داده ها با استفاده از کد های مخرب ویروسها اسب تروا/ بمب منطقی به وجود میاورد

2-2) جنگ های اطلاعاتی : چه از طرق تروریسم و یا فرامین نظامی دولتی در جهت انجام امور جاسوسی برای به دست آوردن داده های اقتصادی یا فنی .....

3-2) پرسنل : دسترسی به سیستم های غیر مجاز و یا غیر قابل کنترل, سوء استفاده ازفناوری های مجاز, دستکاری شده توسط کارمندان ناراضی البته با دسترسی مجازو یا جعل داده های ورودی

4-2) برنامه ها و نرم افزار های امنیتی بی اثر: که منجر به خطاهای بی رویه و یا ورود اطلاعات اشتباه و آنالیز های نادرست از شبکه تحت کنترل میشود

5-2) تهدیدات جنایی : تخریب فیزیکی و یا خراب کاری , سرقت دارایی و یا اطلاعات, سرقت های سازماندهی شده توسط افراد مجاز و شناخته شده , سرقت مسلحانه و اسیب فیزیکی به پرسنل دارای هویت علمی یا شخصیتهای که دارای رده بندی مدیریتی استراتژیک سازمانی هستند.

6-2) تهدیدات محیطی : مثلا قطع سرویسهای مهم در حال اجرا در اثر بلایای طبیعی سیل و زلزله

7-2) زیرساختهای کامپیوتری : مانند نقص در تجهیزات سخت افزاری خطاهای برنامه نقص سیستم عامل و یا اختلال در سیستم های ارتباطی

8-2) تاخیر در پردازش های مالی : که باعث کاهش بهره وری یک مجموعه میشود ونتایج دیگری را خود به همراه خواهد داشت مانند کاهش درامدها و افزایش هزینه ها

3- تعریف امید به از دست دادن ارزش دارایی های سالانه سازمان (ALE) (به توضیحات SLE پیش بینی کاهش واحد مراجعه شود) این دو دارای یک مفهوم همپوشانی هستند.

نتایج : پس ازانجام تجزیه وتحلیل خطر, نتایج باید دارای حاوی موارد زیر باشند.

  1. ارزیابی درست از داراییها و هزینه ها ی بالا
  2. فهرستی از تهدیدات قابل توجه
  3. احتمال و میزان وقوع هر کدام از تهدیدات
  4. نرسانات بازار های مالی مانند نرخ دلار بر ارزش دارایی های سازمانی که قابلیت ارزه و تقاضا در بازار را داشته باشند
  5. تشخیص نوع اقدامات حفاظتی مورد نیازویا اقدامات متقابل درمانی توصیه شده در توضیح این قسمت باید اضافه کنم که میتواند سه مفهوم را در بر داشته باشد

الف) کاهش خطربا در نظر گرفتن معیارهایی برای تغییر یا بهبود موقعیت خطر یک دارایی در سراسر یک شرکت

ب) انتقال ریسک شامل تایین و انتقال هزینه های بلقوه از دست دادن دارایی ها به طرفی دیگر مانند استفاده ازشرکتهای بیمه

ج) پذ یرش خطر: پذیرش از دست دادن دارایی ها با شرط حفظ هزینه های سالانه لازم برای حفظ و حیات یک شرکت.

بررسی جایگاه مدیریت ریسک در امنیت اطلاعات : Risk Management

از سپیده دم تاریخ تا کنون ، خطر و تهدید همزاد همیشگی آدمی بوده و در تمامی جنبه های زندگی ، او را به چالش کشیده است. هرچند که در گذار زمان و از دورانی به دوران دیگر پا به پای پیشرفت های بشری و دگرگونی های رخ داده در زندگی نوع بشر رنگ عوض کرده و تغییر ماهیت داده است اما همچنان بسان جنگ آوری سلحشور انسان را در تمامی گستره زندگی به مبارزه ای بی پایان فرا می خواند .

چنانکه به رغم تمامی پیشرفتهای علمی و فنی بشر و دگرگونی های عمیق رخ داده در روابط بین الملل ، خطر جنگ همچنان بر زندگی بشر سایه انداخته است و به یمن دانش و فن آوری های نوین ، زندگی و صلح را قدرتمند تر از همیشه تهدید می کند و انسان همچنان در برابر خطر حوادث طبیعی مانند سونامی و زلزله ناتوان و آسیب پذیر است.

مدیریت ریسک

ورود کاروان تمدن بشری به عصر اطلاعات و در هم تنیدگی گسترده و عمیق جنبه های گوناگون جوامع بشری از اقتصاد و تجارت گرفته تا سیاست و روابط اجتماعی با فن آوری اطلاعات و نیز ارائه گسترده خدمات وتوزیع انبوه دانش و اطلاعات در بستر شبکه جهانی اینترنت و تبدیل این شبکه عظیم به مهم ترین پل ارتباطی افراد ، سازمانها و دولتها ، سرآغاز آفرینش فصل تازه ای در تمدن بشری بوده است ، فصلی که اساسی ترین مولفه و حیاتی ترین عنصرتشکیل دهنده آن اطلاعات است .

از این رو تهدیداتی جدید و با ماهیتی بسیار متفاوت از گذشته فراروی انسان هزاره سوم قرار گرفته که با شدتی هرچه تمامتر و پیچیدگی روزافزون بر پایه های لرزان زیر ساخت های فنی ، انسانی و سازمانی فن آوری اطلاعات و ارتباطات می تازد و آرمانی جز به زانو درآوردن مولفه های بنیادین امنیت اطلاعت یعنی : محرمانگی ، دسترس پذیری و یکپارچگی را در سر نمی پروراند.

چنانکه امواج سهمگین حملات DDOS که می تواند سامانه های بزرگ مبتنی بر فن آوری اطلاعات را به جهان تاریک سکوت و خاموشی واپس زند ویا تهدید شیوه های پیچیده مهندسی اجتماعی در به زانو درآوردن سازوکارهای دفاعی و امنیتی ، مشتی نمونه خروار از تهدیداتی است که انسان عصر جدید با آن دست به گریبان است. تهدیداتی که در گذشته و پیش از ورود تمدن بشری به عصر اطلاعات ، هرگز وجود نداشته است . از این منظر دور از حقیقت نیست اگرکه امنیت اطلاعات را یکی از بزرگترین چالش های پیش روی انسان در هزاره سوم بدانیم .

مدیریت ریسک چیست

بدین سان هنر تحلیل ریسک و دانش مدیریت آن برای سازمان های پویا و پیشتاز عصر حاضرکه در محیطی پر از رقابت و چالش برانگیز فعالیت دارند و فن آوری اطلاعات یکی از مهمترین و حیاتی ترین منابع حفظ و ایجاد مزیت رقابتی برای شرکتها و سازمانهاست ، از زاویه امنیت اطلاعات و در نتیجه حفظ مزیت رقابتی اهمیتی حیاتی دارد و یگانه راهی است که یا به امنیت و تداوم حضور در بازار می انجامد یا به نابودی و حذف شدن توسط رقبا ، از این رو مساله ، بودن یا نبودن است و به هیچ وجه نمی توان آنرا نادیده انگاشت . برخی از مهم ترین دلایل اهمیت و جایگاه ارزنده تحلیل و مدیریت ریسک در امنیت اطلاعات عبارتند از :

  1. امنیت اطلاعات پیچیده و پرهزینه است و منابعی که سازمان در اختیار دارد محدود است و اندک از این رو با انجام یک تحلیل ریسک جامع و دقیق منابع محدود و کمیاب سازمان در مسیر حفاظت صحیح از دارائیها و سرمایه های اطلاعاتی ارزشمند هزینه شده و از اتلاف منابع جلوگیری خواهد شد.
  2. سرآغاز شکست و ناکامی بسیاری از طرح های امنیت اطلاعات ، حفاظت نادرست از چیز های درست و یا حفاظت درست از چیزهای نادرست است به زبان ساده تر، طرح شکست می خورد زیرا طراحان آن زحمت شناسایی دارایی های ارزشمند و سرمایه های اطلاعاتی راهبردی سازمان را به خود نداده و بدون هیچ گونه شناخت و یا با آگاهی اندک از تهدیدات فرارو و پیامدهای رخداد انها بر ماموریت ها و اهداف سازمان اقدام به طراحی و پیاده سازی برنامه های امنیت اطلاعات می نمایند در نتیجه طرح تهیه شده از پاسخ به پرسشهای مهمی چون : از چه چیزی و به چه میزان باید حفاظت شود ناتوان خواهد بود. از این رو درک و شناسایی درست ریسک های موجود و توانایی در بکار گیری داده های به دست آمده از ارزیابی و تحلیل ریسک می تواند نقطه پایانی باشد بر طراحی سست و بی پایه و سرآغازی بر طراحی اثر بخش و کارامد مبتنی بر حقایق و آگاهی عمیق از سرمایه و دارایی های پرارزش ، تهدیدات فراروی انها ، شدت اثر و پیامد تهدیدات بر اهداف و ماموریت های سازمان و در نهایت انتخاب ابزارها و رویه های مناسب و به صرفه برای مهار و کاهش تهدیدات. و انتخاب راهبردهای مناسب مدیریت ریسک نظیر پذیرش ، اجتناب ، کاهش و یا انتقال ریسک به دیگران.
مدیریت ریسک چیست

در حقیقت بنیان مهندسی امنیت اطلاعات ، درک درست تهدیدات فراروی اطلاعات و پیاده سازی اقدامات حفاظتی مناسب و به صرفه برای مهار(Control) یا کاهش تهدیدات است از این رو اجرای سیستم مدیریت امنیت اطلاعات در سازمان بر پایه مدیریت و ارزیابی ریسک بنا نهاده می شود و بدون وجود یک برنامه منظم و جامع تحلیل ، ارزیابی و بهبود ریسک امکان دستیابی به اهداف سیستم مدیریت امنیت اطلاعات وجود نخواهد داشت

و به همین دلیل است که الزامات مربوط به ارزیابی و کاهش ریسک ، بخش بزرگی از مفاد استانداردهای سیستم مدیریت امنیت اطلاعات را تشکیل می دهد. برخی از مهمترین استانداردهای موجود عبارتند از : استاندار BS7799 که قدیمی ترین استاندارد تدوین شده در خصوص سیستم مدیریت امنیت اطلاعات است و بسیاری از استانداردهای جهانی از آن الهام گرفته و یا به صورت کامل از آن مشتق شده اند و نیز سری استانداردهای 27000 ISOکاملترین استاندار جهانی تدوین شده در این حوزه است.

معرفی اجزای اصلی مدیریت ریسک ( Risk Management ) در امنیت اطلاعات

در مقاله دیباچه کوتاهی بر مدیریت ریسک و جایگاه آن در امنیت اطلاعات به اهمیت و جایگاه مدیریت ریسک در امنیت اطلاعات اشاره گردید و آشنایی ابتدایی و مفیدی با این موضوع مهم و حیاتی پیدا کردیم در این مقاله تلاش می شود تا پیش از بیان هر تعریفی از مفهوم ریسک ، مولفه های اساسی تشکیل دهنده آنرا شناخته و تا حد امکان توصیف کنیم .

چرا که هر ریسکی صرف نظر از خاستگاه و ماهیت آن همواره شامل پنج مولفه زیر است و در حقیقت بخش مهمی از دانش و هنر تحلیل ریسک بر شناسایی و برآورد این پنج مولفه بنیادین استوار است که به شدت به دانش افراد خبره ، خرد جمعی و کارگروهی مبتنی است :

  1. دارایی (Asset)
  2. تهدید (Threat)
  3. منبع یا عامل تهدید (Threat Source or Threat Agent)
  4. احتمال وقوع تهدید (Threat Likelihood)
  5. شدت اثر یا پیامد تهدید (Threat Impact)

برای درک ساده و توجه به تفاوت برخی از این مفاهیم به تصویر زیر دقت بفرمایید در این تصویر مفاهیم تهدید ، منبع تهدید و آسیب پذیری در خصوص یک دارایی خاص که در بسیاری از سازمانها به اشتباه یکسان و هم معنی در نظر گرفته می شوند به روشنی نمایش داده شده است و با توجه به آن می توان گفت که دارایی در معرض تهدید قرار گرفته سرمایه انسانی سازمان است , عامل تهدید جانوری است درنده به نام تمساح ، آسیب پذیری می تواند ناتوانی یا مهارت اندک نیروی انسانی در حفظ تعادل خود باشد ، تهدید ، افتادن در کام جانور است و پیامد آن خواندن غزل خداحافظی با زندگی است.

مدیریت ریسک چیست

تهدید ( Threat ) چیست؟

از دیدگاه امنیت اطلاعات ، هر رویداد ، شرایط یا پدیده ای که در ارتباط و برهم کنش با سامانه های اطلاعاتی ، زیرساخت های فن آوری اطلاعات و محیط پردازشی ومحاسباتی سازمان بوده و دارای توانایی نهفته و استعداد خفته برای تاثیرگذاری زیانبار و نیز وارد ساختن خسارت برعملیات سازمان ، دارائیهای اطلاعاتی و سرمایه انسانی آن باشد را تهدید در نظر می گیریم.

به زبان ساده تر ، تهدید قابلیت یک عامل تهدید در بهره کشی و سوء استفاده برنامه ریزی شده یا تصادفی از یک آسیب پذیری است. از این رو لازم به گفتن است که یک تهدید به خودی خود یک اقدام نیست و تنها زمانی خطرناک است و توانایی خفته آن در وارد کردن خسارت به سازمان ، بیدار می گردد که با یک منبع یا عامل تهدید همراه گردد .

یعنی یک تهدید توسط منبع تهدید فعال می شود. بنابراین در نظر گرفتن تفاوت این دو مفهوم به هنگام ارزیابی و مدیریت ریسک اهمیت زیادی دارد. برای مثال قطع برق (Power Failure) و یا افزایش لحظه ای ولتاژ (Power Surge) دو تهدید جداگانه هستندکه منبع تهدید یا عامل تهدید آنها می تواند اختلال در خطوط انتقال شبکه توزیع برق و یا مشکل رخ داده در سیم کشی سمت مشترک باشد.

همچنین دسترسی غیر مجاز به منابع حفاظت شده موجود در File Server سازمان که یک دارایی اطلاعاتی است یک تهدید است اما عامل این تهدید ممکن است یک مهاجم خارجی و یا یک کاربر بداندیش داخلی باشد . منبع یا عامل تهدید هرآن چیزی است که بهره کشی و سوء استفاده از یک آسیب پذیری را به صورتی خواسته یا ناخواسته ، تصادفی یا برنامه ریزی شده وجهه همت خود قرار می دهد

بنابراین می تواند قصد و نیت یک راهبر(Administrator) ناراضی شبکه باشد که با برنامه قبلی در پی بهره برداری از آسیب پذیری های شناخته شده است و یا ممکن است یک کاربر عادی سازمان باشد که به سبب خطایی ناخواسته و تصادفی موجب از دسترس خارج شدن یک سرویس خاص می گردد در همین حال منبع تهدید می تواند وضعیتی چون اختلال ایجاد شده در شبکه توزیع برق منطقه ای در بازه زمانی اوج مصرف مشترکین خانگی در روزهای گرم تابستان باشد و یا یک روال امنیتی باشدکه به صورتی کاملا تصادفی از آسیب پذیری خاصی سوء استفاده کرده و موجب فعال شدن تهدیدی برعلیه سازمان می گردد.

لازم به گفتن است که گاهی یک تهدید می تواند توسط چندین منبع تهدید فعال گردد برای مثال ممکن است سرور های فیزیکی سازمان که در حال اجرای Web Server کسب و کار هستند توسط عوامل تهدیدی چون یک راهبر بداندیش و ناراضی ، خطای مدیریتی و راهبری ، اشتباه سهوی یک کارمند بخش پشتیبانی ، خرابی سخت افزار و یا اختلال در شبکه توزیع برق با تهدید خاموشی و قطع برق مواجه شوند.

آسیب پذیری (Vulnerability) هر ضعف ، سستی و یا کاستی موجود در مولفه های یک محیط پردازشی و محاسباتی و زیرساخت های فن آوری اطلاعات و ارتباطات سازمان است که می تواند توسط یک منبع تهدید مورد بهره کشی و سوء استفاده قرار گیرد .

مهم است بدانیم که از دید امنیت اطلاعات ، آسیب پذیری ،تمامی چرخه حیات هر یک ازمولفه های فنی ، انسانی و سازمانی فن آوری اطلاعات شامل طراحی ، پیاده سازی ، اجرا و پشتیبانی را در بر می گیرد و از سامانه های اطلاعاتی و سیستم های عامل گرفته تا خطی مشی امنیتی و جنبه های استخدام و بکارگیری نیروی انسانی و نیز برنامه های مهار و نظارت داخلی را شامل می شود.

بنابراین بد نیست بدانیم که بسیاری از آسیب پذیری های موجود در سیستم های فن آوری اطلاعات مربوط به کنترل های امنیتی است که خواسته یا ناخواسته در سازمان اعمال نشده اند و یا به صورتی ناقص به کار گرفته شده اند و نمی توانند برخی از آسیب پذیری ها را پوشش دهند.

همچنین لازم است اشاره شود که آسیب پذیری ها نباید تنها در سیستم های اطلاعاتی شناسایی شوند بلکه به هنگام شناسایی آنها باید زمینه گسترده تری شامل ساختار اداره و مدیریت کسب و کار ، روابط خارجی و تعامل سازمان با محیط خارج را در نظر گرفت برای مثال برخی از آسیب پذیری های سطح کلان سازمانی عبارتند از : تصمیمات متناقض در خصوص فعالیت ها و ماموریت های راهبردی سازمان ، فقدان راهبردهای مدیریت ریسک اثربخش ،عدم انطباق ساختار سازمان با ماموریت های آن ، وابستگی کسب و کار به یک زنجیره تامین مشخص ، وابستگی کسب و کار به فراهم کنندگان سرویسها ، خدمات ، تجهیزات و نرم افزارهای فن آوری اطلاعات خاص .در ادامه چند نمونه تهدید به همراه منابع تهدید آن و آسیب پذیری های بهره برداری شده توسط منبع تهدید آورده می شود :

تهدید : دسترسی غیر مجاز به اطلاعات

  • منبع تهدید : کاربر بدانیش داخلی برای مثال یک کارمند ناراضی

مهاجم خارجی برای مثال یک دولت متخاصم یا یک گروه هکری

  • آسیب پذیری : غیر فعال نشدن نام کاربری افرادی که سازمان را ترک کرده اند.

استفاده از گذرواژه های ضعیف و قابل حدس

تغییر نیافتن نام کاربری و گذرواه پیش فرض

تهدید : باج افزار

  • منبع تهدید : تبهکاران سایبری ( در برخی از موارد نامشخص و نیازمند بررسی بین المللی)
  • آسیب پذیری : فقدان یک سیاست روشن و مشخص در خصوص پشتیبان گیری از اطلاعات
  • ناآگاهی کاربران و ارائه نشدن آموزش های کافی به آنان
  • فقدان یک خط مشی مشخص در بروزرسانی نرم افزار و سخت افزار
  • ترس سازمانها در تاثیر مخرب اعلام آلودگی به باج افزار بر حسن شهرت و عواقب قانونی
  • به روز نبودن ضد ویروس ، فقدان سیاست های روشن و مشخص در خصوص دانلود و پیوست های مشکوک پست الکترونیک

احتمال وقوع تهدید ( Threat Likelihood ) و پیامد تهدید ( Threat Impact ) چیست؟

دو مولفه باقی مانده ریسک یعنی احتمال وقوع تهدید (Threat Likelihood) و شدت اثر یا پیامد تهدید(Threat Impact) مولفه هایی وزن دار و مبتنی بر تحلیل هستند و لازم است تا توسط افراد خبره و چیره دست در لایه های مدیریتی و فنی سازمان و دریک طی یک فرآیند تصمیم گیری مبتنی بر کارگروهی و خرد جمعی تخمین زده شده و برآورد گردند.

  • Threat Likelihood : برآیند سه احتمال است : 1- احتمال آنکه یک تهدید مشخص رخ دهد . این احتمال به طور معمول با در نظر گرفتن یک بازه زمانی معین برای مثال سالانه و به صورت درصد احتمال و یا بسامد رخ دادن تهدید بیان می شود.2- احتمال آنکه تهدید رخ داده بتواند از یک یا چند آسیب پذیری موجود بهره کشی و سوء استفاده کند. 3- احتمال آنکه پیامد یا پیامدهای یک تهدید محقق گردد.

به عنوان یک مثال ساده می توان به تهدید قطع برق شهری که انرژی الکتریکی مورد نیاز سرور x (دارایی) را تامین می کند اشاره کرد ، بر اساس اطلاعات ارائه شده توسط شرکت برق منطقه ای احتمال رخ دادن این تهدید 25 درصد و یا 4 بار در سال است . حال به فرض آنکه آسیب پذیری موجود ، عدم بهره گیری سازمان از منبع برق وقفه ناپذیر (UPS) باشد ، احتمال سوء استفاده و بهره برداری تهدید یاد شده از این ضعف ، قطعی (100 درصد) است.

اما چنانچه سازمان برای سرور مورد نظر ups پیش بینی کرده باشد احتمال خاموش شدن سرور به بودن یا نبودن آسیب پذیری ها و شرایط تسهیل کننده دیگری چون : میانگین زمان قطع برق شهری در هر قطعی ، انتخاب نامناسب زمان برق دهی (Ups Backup Time) یعنی مدت زمانی که ups می تواند جریان الکتریکی مورد نیازسرور را از باطری ها تامین کند و پیش بینی نشدن ژنراتورهای تامین برق اضطراری بستگی خواهد داشت .

حال با فرض آنکه تهدید گفته شده یعنی قطع برق و خاموش شدن سرور یاد شده محقق گردد ، ممکن است پیامدهایی چون ازدست رفتن داده ها ، خرابی نرم افزار و سرویس های در حال اجرا ، خرابی سخت افزار و یا ایجاد وقفه در دسترسی کاربران به سرویسهای مورد نیاز را برای سازمان به همراه داشته باشد.

اما احتمال محقق شدن تمامی و یا برخی از این خسارت ها به شرایط بسیاری چون پیش بینی یا عدم پیش بینی افزونگی (Redundancy) و مقاومت در برابر خرابی (Failover) سخت افزار و نرم افزار ، وجود یا عدم وجود خط مشی پشتیبان گیری از اطلاعات ، مقدار در نظر گرفته شده برای دو سنجه بسیار مهم (Recovery point objective RPO) و( Recovery Time Objective RTO) در طرح بازیافت پس از فاجعه (Disaster Recovery ) سازمان که اولی بیشینه حجم داده ای که سازمان پذیرش از دست دادن آنها را دارد و دومی بیشینه زمان مورد نیاز برای بازیافت داده های از دست رفته را نشان می دهد و ... بستگی خواهد داشت.

از این رو آنچه که در ابتدا بسیار ساده و سرراست می نمایاند ممکن است در عمل پیچیدگی های بسیار داشته باشد و توان و زمان زیادی برای برآورد و تخمین آن مورد نیاز باشد. شدت اثر یا پیامد تهدید (Threat Impact) : میزان زیان وارد شده یا خسارت به بار آمده ، که انتظار می رود با محقق شدن یک تهدید و مخدوش شدن مولفه های بنیادین امنیت اطلاعات یعنی : محرمانگی ، دسترس پذیری و صحت و یکپارچگی داده ها و در نتیجه : افشاء ، تخریب ، تغییر و ازدست رفتن داده ها متوجه سازمان و افراد گردد.

بسته به ماهیت کسب و کار و روش ارزیابی و برآوردی که سازمان در تعیین شدت اثر یک تهدید برمی گزیند و می تواند شامل برآورد عددی یا کمی (Quantitative) و برآورد کیفی (Qualitative) شدت ریسک باشد ، میزان زیان و خسارت به بار آمده ممکن است با واحد های پولی رایج ملی و بین المللی برای مثال ریال یا دلار بیان گردد و یا با واژه هایی چون کم (Low) ، زیاد (High) ، متوسط (Moderate) ، خیلی کم (Very Low) و ... توصیف شود.

رابطه و برهم کنش مولفه های ریسک



در دوره آموزش نتورک پلاس و سکیوریتی پلاس در خصوص مفاهیم مدیریت ریسک بحث می شود.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات