تا %60 تخفیف خرید برای 3 نفر با صدور مدرک فقط تا
00 00 00

دوره آموزشی مقدماتی CompTIA Security قسمت سوم

درس امروزمون تحت عنوان اندازه گیری و سنجش خطر هستش که میشه فصل اول کتاب ، قسمت هایی که در این فصل اموزش داده میشه:

1- توضیح اهمیت مفاهیم مرتبط با ریسک

  • الف- انواع کنترل : فنی-مدیریتی-عملیاتی
  • ب- مثبت کاذب (مثلا شما یک برنامه مینویسید که بهتون جواب میده ولی جواب درست نیست)
  • ج-منفی کاذب (شما از یک برنامه نتیجه میگیرید اما غلط هست هیچ برنامه به شما میگه داده هاتون مشکل داره)
  • د- اهمیت سیاست در کاهش خطر: سیاست حفظ حریم خصوصی-استفاده قابل قبول؛ سیاست امنیتی؛ قطع اجباری-چرخش کار؛ تفکیک وظایف؛ حداقل امتیاز
  • چ- محاسبه خطر: احتمالات-ALE- impact-SLE-ARO-MTTR-MTTF-MTBF
  • ه- کمیت در برابر کیفیت
  • خ- اسیب پذیری
  • ر- بردار های تهدید
  • ث- احتمال و احتمالات تهدید
  • ص- اجتناب از خطر، انتقال، پذیرش، کاهش و بازدارندگی
  • ض- خطرات مرتبط با رایانش ابری و مجازی سازی
  • ط- زمان بازسازی هدف و بازیابی نقطه هدف

2- طراحی و پیاده سازی ریسک و استراتژی های کاهش خطر

  • الف- مدیریت تغییر
  • ب- مدیریت حادثه
  • پ- حقوق کاربران و مجوز های دسترسی
  • ج- انجام ممیزی های معمول
  • چ- اجرای سیاست ها و روش هایی برای جلوگیری از از دست دادن داده و یا سرقت انها
  • ه- اجرای کنترل های فن آوری: پیشگیری از دست دادن داده ها یا DLP

3- خلاصه مدیریت ریسک بهترین روش ها

الف- مفاهیم تداوم کسب و کار: تجزیه و تحلیل تاثیر کسب و کار- شناسایی سیستم و اجزا-از بین بردن نقاط منفرد از شکست-تداوم کسب و کار برنامه ریزی و آزمایش کردن-ارزیابی ریسک، تداوم عملیات-بهبود فاجعه-برنامه ریزی احتمالی فناوری اطلاعات؛ برنامه ریزی جانشینی؛ دسترسی بالا؛ افزونگی؛ بررسی جدولهای برتر

مقدمه

اگر شما در یک سازمان مشغول یه کار باشید شما حتما اینو میدونید خطرات کار با داده ها وجود دارد. و اینو هم میدونید که داده ها میتونن خراب باشن و یا اینکه ناقص باشند و یا اینکه میتون ارزش داده ها رو تغییر داد و... خب حالا اگه شما فکر میکنید با داشتن دانش بالا میتونید درایو هاتون رو تغییر بدین و یا اینکه سیستم هاتون رو از هر اسیب پذیری در امان نگه دارین این یه فکر اشتباه است.حالا یکی از اقداماتی که شما یا مدیر مربوطه میتونه انجام بده اینه که رخ داد هایی رو که در سیستم ها اتفاق میوفته رو بپذیریم و بتونیم اونا رو به مدیر بالایی ارجاع بدیم.

حالا اگر پیش خودتون فکر میکنید که هزینه پیشگیری از یک خطر برای شما بیشتر از اتفاق افتادن اون خطر هستش پس کاملا در اشتباه هستین اگه مثل من فکر نمیکنین دست رو دست بزارین ببینین سازمانتون چطور میره رو هوا.محاسبه خطر سنجش یک تهدید بالقوه هستش علیه احتمال ان یا احتمال رخ داد ان.البته به نظر میرسه که شما باید این واقعیت رو قبول کنید برخی از خطرات واقعا باید بمونن و شما باید یاد بگیرید که چطور در برابر خطرات مختلف واکنش نشون بدید تا بتونین در برابر اونا مقابله کنید و اونا رو از بین ببرید.

ارزیابی ریسک

ببینید ارزیابی ریسک مثل مدیریت ریسک هستش و یا این که مث محاسبه ریسک.حالا برای یکنواختی در سیستم یا سازمان میتونیم ارزیابی ریسک رو برای سازمانمون انتخاب کنیم این بحث میتونه خیلی مورد استفاده قرار بگیره.حالا خود ارزیابی ریسک یعنی معاملاتی با تهدید ها و اسیب پذیری ها و یا اثراتی که میتونه از دست دادن پردازش اطلاعات داشته باشه داشته باشه و یا اینکه اگه اطلاعاتمون از دستمون در بیاد چی میشه.

ببینید یک اسیب پذیری یک ضعفه که میتونه توسط یک تهدید مورد سو استفاده قرار بگیره.خطرات زیادی وجود دارن که میتونیم اونا رو شناسایی کنیم و بعد از شناسایی توصیف ارزیابی برای احتمال رخ داد اون انجام بدیم. حالا کلید کار اینجاست که ما فکر میکنیم اغلب خطر ها بیرون از سازمان اتفاق میوفته تهدید ها و خطرات با توجه به ارزیابی ریسک خیلی محدود هستن و اگه بخواییم مولفه های کلیدی از یک ارزیابی فرایند ریسک رو براتون نشون بدیم:

ببینید اگه شما به این فکر باشید که خطر همیشه شما رو تهدید میکنه پس باید همیشهسناریو های مختلف خطر رو برای خودتون طراحی کنید و که بتونید در محیط های واقعی به اونا عکس العمل نشون بدین حالا اگه شما برای خودتون یه برنامه منظم طراحی کنید که بتونید به بهترین نحو با این خطرات مقابلهکنید که خیلی بهتره.

خب حالا سازمان شما برنامه ای که طراحی میکنه چیه اینه که با سناریو هایی که در محیط مجازی انجام میده که میتونید در برابر خطرات ایتادگی رو داشته باشید حالا این خطرات چیه خطراتی مثل جاسوسی اطلاعات شما یا سرقت اطلاعات شما بدون ان که ردی از سارق به جا بماند و... پس شما باید تمرکزتون رو بزارین رو اینطور خطرات نه این که با خودتون فکر کنید اگه سونامی بیاد اتاق سرور میتونه در برابر سونامی ایستادگی لازم رو داشته باشه یا نه و اینطور افکار که باعث میشه شما از اصل داستان دور باشین.

هماهنگی با BIA : ببینید ارزیابی ریسک در کسب و کار میتونه جزئی از کسب و کار شما باشه یعنی اگه خطراتی که شما رو در کسب و کارتون تهدید میکنه میتونه در سنارو های شما یک تصویر دقیقی رو به وجود بیاره پس شما باید حتما یک ارزیابی ریسک در کسب و کارتون داشته باشین و به صورت همیشگی خطرات ناشی که از هر جهت شما رو تهدید میکنه رو در سناریو های خودتون طراحی کنید که بتونید در محیط واقعی بااونا مقابله کنید.

خب حالا بریم سراغ یک سناریو در دنیای واقعی

انجام یک ارزیابی ریسک ، از شما خواسته شده که برای برقراری امنیت در شرکتتون یک چشم انداز از ارزیابی ریسک در شرکت رو انجام بدین؟ چه اقداماتی میتویند برای توسعه شرکت ارائه بدین که مشکلات رو کامل مرور کنید و اونا رو حل کنید؟ خب میدونید چیه پاسخ های متفاوتی بنا به سلیقه ها وجو داره اما اونایی که خیلی مهمه جواب هایی است که در زیر لیست میشه:

  1. اولین کاری که مکنم میرم با مدیر ارشد صاحبان داده ها مصاحبه میکنم چون اونا همیشه برای اینکه داده هاشون رو حفظ کنند احساس خطر میکنن و راه کار های امنیتی خودشون رو ارائه میدن.
  2. ارزیابی زیر ساخت های شبکه سازمان برای شناسایی اسیب پذیری ها و همچنین تهدید ها برای مقابله با اونا.
  3. انجام ارزیابی خطرات ناشی از محیط فیزیکی برای حفظ امنیت فیزیکی و بررسی خطراتی که محیط فیزیکی و تهدید میکنه و چطوری میشه با اونا مقابله کرد.

مسلما با این اطلاعاتی که در اختیار شما قرار گرفت شما میتونید در برابر تهدید هایی که شما رو مورد حمله میتونه قرار بده میتونید مقابله کنید و امنیت لازم رو برقرار کنید.

ارزیابی محاسبات ریسک

هنگامی که شما در حال ارزیابی ریسک هستید بهترین کاری که باید انجام بدین اولویت بندی هستش.همه چیز در ارزیابی ریسک وزن یکسانی ندارد زیرا ممکن است رخی اتفاقات احتمال وقوع انها بیشتر باشد.علاوه بر این یک شرکت میتواند یک ریسک را قبول کند در حالی که همان ریسک میتواند برای دیگران فاجعه به بار اورد.

  • نکته : یک سند موسسه ملی استاندارد و فناوری منتشر کرد درباره همین موضوع (ارزیابی ریسک) که میتونه به شما کمک شایانی کنه:

لینک دریافت سند منتشر شده

شایان ذکر است که تجدید نظری هم در مورد این سند شد که در درجه اول مدیریت ریسک مهم نیست بلکه مهمتر از ان ارزیابی ریسک است.

محاسبه خطر

برای محاسبه خطر شما باید بتوانید در هر دو دنیا چه مجازی و چه فیزیکی امتحانات لازم رو به عمل بیارید و خود را با تعدادی از شرایط روبه رو کنید که بتونید برای مقابله با اونا راه کار ارائه بدین.

  • ALE : ارزش از دست دادن امید سالانه است. مثلا یک معیار ولی که شما در سال از دست میدهید چه مقدار ارز کل پول شماست.
  • SLE : ارزش پولی دیگر است که برای شما چقدر طول میکشد تا یک پول دیگر را از دست بدهید که خود این موضوع از دو بخش تشکیل شده:
  • (AV (asset value : ارزش دارایی
  • (EF (exposure factor : عامل قرار گرفتن در معرض
  • ARO: هم یک احتمال است که اغلب از داده های تاریخی تشکیل شده است که یک روی داد در حال وقوع است که به ان نرخ سالانه وقوع هم گفته میشود.وقتی شما محاسبه میکنید ارزیابی ریسک رو به این فرمول میرسید که میگه:
SLE × ARO = ALE

برای مثال اگر ارزش از دست دادن امید سالانه شما 300 تومان باشد و احتمال میدهید 10 درصد این اتفاق برای شما رخ دهد پس میشود:300*100=30000 شما این مبلغ را از کل پولتون از دست میدید.ببینید این یک سری از محاسبات ریسک معمول بود که اتفاق میوفته. برای یاد گرفتن محاسبات ریسک بیشتر میتونید به سایت هایی مثل یوتیوب مراجعه کنید و فیلم های اموزشی رو ببینید تا بهتر یاد بگیرین

ارزیابی ریسک کمی در برابرارزیابی ریسک کیفی

ارزیابی ریسک میتواند به صورت کیفی (مبتنی بر نظر و ذهنی باشد) و یا این که به صورت کمی (مبتنی بر هزینه و هدف) ، ببینید اگر بخواهیم ارزیابی ها را به صورت تکی به کار ببریم اشتباه کرده ایم زیرا که این ارزیابی ها مکمل یکدیگر هستند و اینکه با هم میتوانند ما را به پاسخ مورد نظر برسانند برای مثال به سرور شما حمله شده و اطلاعاتی از شما به سرقت رفته خب شما باید چکار کنید؟ کاری که میکنید این است که از دیگران کمک بخواهید تا اطلاعات شما را پیگیری کنند و جایی که از انجا به شنود اطلاعات شما پرداخته شده را بدست اورید یا اینکه تنها به پیگیری همه این قضایا میپردازید قطعا بهتر است که بیایید هر دو روش را به کار ببرید که اول از طریق خود سازمان را کامل کنترل کنید وبیرون از سازمان را به دست دیگران بدهید تا اینکه اطلاعات مورد نظر را بدست اورید.

یا علی مدد حق نگهدارتون

نویسنده : مصطفی چگنی

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی اس

عنوان
1 دوره آموزشی مقدماتی CompTIA Security قسمت اول رایگان
2 دوره آموزشی مقدماتی CompTIA Security قسمت دوم رایگان
3 دوره آموزشی مقدماتی CompTIA Security قسمت سوم رایگان
4 دوره آموزشی مقدماتی CompTIA Security قسمت چهارم رایگان
5 دوره آموزشی مقدماتی CompTIA Security قسمت پنجم رایگان
6 دوره آموزشی مقدماتی CompTIA Security قسمت ششم رایگان
7 دوره آموزشی مقدماتی CompTIA Security قسمت هفتم رایگان
8 دوره آموزشی مقدماتی CompTIA Security قسمت هشتم رایگان
زمان و قیمت کل 0″ 0
1 نظر
رضا فولادوندی

بسیار عالی آقای چگنی ممنون از مطالبتون موفق باشی دوست عزیز

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر