در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

دوره آموزشی مقدماتی CompTIA Security قسمت سوم

به نام خداوند بخشنده و مهربان

عرض سلام و خسته نباشید خدمت همگی ایشاا.. کیفتون کوک باشه و سرحال و ردیف اماده یادگیری باشین


دوره آموزشی مقدماتی CompTIA Security قسمت سوم

درس امروزمون تحت عنوان اندازه گیری و سنجش خطر هستش که میشه فصل اول کتاب

دوره آموزشی مقدماتی CompTIA Security قسمت سوم


قسمت هایی که در این فصل اموزش داده میشه:


دوره آموزشی مقدماتی CompTIA Security قسمت سوم

1- توضیح اهمیت مفاهیم مرتبط با ریسک

الف- انواع کنترل : فنی-مدیریتی-عملیاتی

ب- مثبت کاذب (مثلا شما یک برنامه مینویسید که بهتون جواب میده ولی جواب درست نیست)

ج-منفی کاذب (شما از یک برنامه نتیجه میگیرید اما غلط هست هیچ برنامه به شما میگه داده هاتون مشکل داره)

د- اهمیت سیاست در کاهش خطر: سیاست حفظ حریم خصوصی-استفاده قابل قبول؛ سیاست امنیتی؛ قطع اجباری-چرخش کار؛ تفکیک وظایف؛ حداقل امتیاز

چ- محاسبه خطر: احتمالات-ALE- impact-SLE-ARO-MTTR-MTTF-MTBF

ه- کمیت در برابر کیفیت

خ- اسیب پذیری

ر- بردار های تهدید

ث- احتمال و احتمالات تهدید

ص- اجتناب از خطر، انتقال، پذیرش، کاهش و بازدارندگی

ض- خطرات مرتبط با رایانش ابری و مجازی سازی

ط- زمان بازسازی هدف و بازیابی نقطه هدف


2- طراحی و پیاده سازی ریسک و استراتژی های کاهش خطر

الف- مدیریت تغییر

ب- مدیریت حادثه

پ- حقوق کاربران و مجوز های دسترسی

ج- انجام ممیزی های معمول

چ- اجرای سیاست ها و روش هایی برای جلوگیری از از دست دادن داده و یا سرقت انها

ه- اجرای کنترل های فن آوری: پیشگیری از دست دادن داده ها یا DLP


3- خلاصه مدیریت ریسک بهترین روش ها

الف- مفاهیم تداوم کسب و کار: تجزیه و تحلیل تاثیر کسب و کار- شناسایی سیستم و اجزا-از بین بردن نقاط منفرد از شکست-تداوم کسب و کار برنامه ریزی و آزمایش کردن-ارزیابی ریسک، تداوم عملیات-بهبود فاجعه-برنامه ریزی احتمالی فناوری اطلاعات؛ برنامه ریزی جانشینی؛ دسترسی بالا؛ افزونگی؛ بررسی جدولهای برتر


مقدمه :

اگر شما در یک سازمان مشغول یه کار باشید شما حتما اینو میدونید خطرات کار با داده ها وجود دارد. و اینو هم میدونید که داده ها میتونن خراب باشن و یا اینکه ناقص باشند و یا اینکه میتون ارزش داده ها رو تغییر داد و... خب حالا اگه شما فکر میکنید با داشتن دانش بالا میتونید درایو هاتون رو تغییر بدین و یا اینکه سیستم هاتون رو از هر اسیب پذیری در امان نگه دارین این یه فکر اشتباه است.حالا یکی از اقداماتی که شما یا مدیر مربوطه میتونه انجام بده اینه که رخ داد هایی رو که در سیستم ها اتفاق میوفته رو بپذیریم و بتونیم اونا رو به مدیر بالایی ارجاع بدیم. حالا اگر پیش خودتون فکر میکنید که هزینه پیشگیری از یک خطر برای شما بیشتر از اتفاق افتادن اون خطر هستش پس کاملا در اشتباه هستین اگه مثل من فکر نمیکنین دست رو دست بزارین ببینین سازمانتون چطور میره رو هوا.محاسبه خطر سنجش یک تهدید بالقوه هستش علیه احتمال ان یا احتمال رخ داد ان.البته به نظر میرسه که شما باید این واقعیت رو قبول کنید برخی از خطرات واقعا باید بمونن و شما باید یاد بگیرید که چطور در برابر خطرات مختلف واکنش نشون بدید تا بتونین در برابر اونا مقابله کنید و اونا رو از بین ببرید.


ارزیابی ریسک


ببینید ارزیابی ریسک مثل مدیریت ریسک هستش و یا این که مث محاسبه ریسک.حالا برای یکنواختی در سیستم یا سازمان میتونیم ارزیابی ریسک رو برای سازمانمون انتخاب کنیم این بحث میتونه خیلی مورد استفاده قرار بگیره.حالا خود ارزیابی ریسک یعنی معاملاتی با تهدید ها و اسیب پذیری ها و یا اثراتی که میتونه از دست دادن پردازش اطلاعات داشته باشه داشته باشه و یا اینکه اگه اطلاعاتمون از دستمون در بیاد چی میشه. ببینید یک اسیب پذیری یک ضعفه که میتونه توسط یک تهدید مورد سو استفاده قرار بگیره.خطرات زیادی وجود دارن که میتونیم اونا رو شناسایی کنیم و بعد از شناسایی توصیف ارزیابی برای احتمال رخ داد اون انجام بدیم. حالا کلید کار اینجاست که ما فکر میکنیم اغلب خطر ها بیرون از سازمان اتفاق میوفته تهدید ها و خطرات با توجه به ارزیابی ریسک خیلی محدود هستن و اگه بخواییم مولفه های کلیدی از یک ارزیابی فرایند ریسک رو براتون نشون بدیم:

ببینید اگه شما به این فکر باشید که خطر همیشه شما رو تهدید میکنه پس باید همیشهسناریو های مختلف خطر رو برای خودتون طراحی کنید و که بتونید در محیط های واقعی به اونا عکس العمل نشون بدین حالا اگه شما برای خودتون یه برنامه منظم طراحی کنید که بتونید به بهترین نحو با این خطرات مقابلهکنید که خیلی بهتره.

خب حالا سازمان شما برنامه ای که طراحی میکنه چیه اینه که با سناریو هایی که در محیط مجازی انجام میده که میتونید در برابر خطرات ایتادگی رو داشته باشید حالا این خطرات چیه خطراتی مثل جاسوسی اطلاعات شما یا سرقت اطلاعات شما بدون ان که ردی از سارق به جا بماند و... پس شما باید تمرکزتون رو بزارین رو اینطور خطرات نه این که با خودتون فکر کنید اگه سونامی بیاد اتاق سرور میتونه در برابر سونامی ایستادگی لازم رو داشته باشه یا نه و اینطور افکار که باعث میشه شما از اصل داستان دور باشین.

هماهنگی با BIA : ببینید ارزیابی ریسک در کسب و کار میتونه جزئی از کسب و کار شما باشه یعنی اگه خطراتی که شما رو در کسب و کارتون تهدید میکنه میتونه در سنارو های شما یک تصویر دقیقی رو به وجود بیاره پس شما باید حتما یک ارزیابی ریسک در کسب و کارتون داشته باشین و به صورت همیشگی خطرات ناشی که از هر جهت شما رو تهدید میکنه رو در سناریو های خودتون طراحی کنید که بتونید در محیط واقعی بااونا مقابله کنید.


خب حالا بریم سراغ یک سناریو در دنیای واقعی

انجام یک ارزیابی ریسک

از شما خواسته شده که برای برقراری امنیت در شرکتتون یک چشم انداز از ارزیابی ریسک در شرکت رو انجام بدین؟

چه اقداماتی میتویند برای توسعه شرکت ارائه بدین که مشکلات رو کامل مرور کنید و اونا رو حل کنید؟

خب میدونید چیه پاسخ های متفاوتی بنا به سلیقه ها وجو داره اما اونایی که خیلی مهمه جواب هایی است که در زیر لیست میشه:

1- اولین کاری که مکنم میرم با مدیر ارشد صاحبان داده ها مصاحبه میکنم چون اونا همیشه برای اینکه داده هاشون رو حفظ کنند احساس خطر میکنن و راه کار های امنیتی خودشون رو ارائه میدن.

2- ارزیابی زیر ساخت های شبکه سازمان برای شناسایی اسیب پذیری ها و همچنین تهدید ها برای مقابله با اونا.

3- انجام ارزیابی خطرات ناشی از محیط فیزیکی برای حفظ امنیت فیزیکی و بررسی خطراتی که محیط فیزیکی و تهدید میکنه و چطوری میشه با اونا مقابله کرد.

مسلما با این اطلاعاتی که در اختیار شما قرار گرفت شما میتونید در برابر تهدید هایی که شما رو مورد حمله میتونه قرار بده میتونید مقابله کنید و امنیت لازم رو برقرار کنید.


ارزیابی محاسبات ریسک

هنگامی که شما در حال ارزیابی ریسک هستید بهترین کاری که باید انجام بدین اولویت بندی هستش.همه چیز در ارزیابی ریسک وزن یکسانی ندارد زیرا ممکن است رخی اتفاقات احتمال وقوع انها بیشتر باشد.علاوه بر این یک شرکت میتواند یک ریسک را قبول کند در حالی که همان ریسک میتواند برای دیگران فاجعه به بار اورد.


نکته:یک سند موسسه ملی استاندارد و فناوری منتشر کرد درباره همین موضوع (ارزیابی ریسک) که میتونه به شما کمک شایانی کنه:

لینک دریافت سند منتشر شده

شایان ذکر است که تجدید نظری هم در مورد این سند شد که در درجه اول مدیریت ریسک مهم نیست بلکه مهمتر از ان ارزیابی ریسک است.


محاسبه خطر

برای محاسبه خطر شما باید بتوانید در هر دو دنیا چه مجازی و چه فیزیکی امتحانات لازم رو به عمل بیارید و خود را با تعدادی از شرایط روبه رو کنید که بتونید برای مقابله با اونا راه کار ارائه بدین.

ALE : ارزش از دست دادن امید سالانه است. مثلا یک معیار ولی که شما در سال از دست میدهید چه مقدار ارز کل پول شماست.

SLE : ارزش پولی دیگر است که برای شما چقدر طول میکشد تا یک پول دیگر را از دست بدهید که خود این موضوع از دو بخش تشکیل شده:

(AV (asset value : ارزش دارایی

(EF (exposure factor : عامل قرار گرفتن در معرض

ARO: هم یک احتمال است که اغلب از داده های تاریخی تشکیل شده است که یک روی داد در حال وقوع است که به ان نرخ سالانه وقوع هم گفته میشود.

وقتی شما محاسبه میکنید ارزیابی ریسک رو به این فرمول میرسید که میگه:

SLE × ARO = ALE

برای مثال اگر ارزش از دست دادن امید سالانه شما 300 تومان باشد و احتمال میدهید 10 درصد این اتفاق برای شما رخ دهد پس میشود:

300*100=30000 شما این مبلغ را از کل پولتون از دست میدید.

ببینید این یک سری از محاسبات ریسک معمول بود که اتفاق میوفته. برای یاد گرفتن محاسبات ریسک بیشتر میتونید به سایت هایی مثل یوتیوب مراجعه کنید و فیلم های اموزشی رو ببینید تا بهتر یاد بگیرین


ارزیابی ریسک کمی در برابرارزیابی ریسک کیفی:

ارزیابی ریسک میتواند به صورت کیفی (مبتنی بر نظر و ذهنی باشد)و یا این که به صورت کمی (مبتنی بر هزینه و هدف)

ببینید اگر بخواهیم ارزیابی ها را به صورت تکی به کار ببریم اشتباه کرده ایم زیرا که این ارزیابی ها مکمل یکدیگر هستند و اینکه با هم میتوانند ما را به پاسخ مورد نظر برسانند برای مثال به سرور شما حمله شده و اطلاعاتی از شما به سرقت رفته خب شما باید چکار کنید؟ کاری که میکنید این است که از دیگران کمک بخواهید تا اطلاعات شما را پیگیری کنند و جایی که از انجا به شنود اطلاعات شما پرداخته شده را بدست اورید یا اینکه تنها به پیگیری همه این قضایا میپردازید قطعا بهتر است که بیایید هر دو روش را به کار ببرید که اول از طریق خود سازمان را کامل کنترل کنید وبیرون از سازمان را به دست دیگران بدهید تا اینکه اطلاعات مورد نظر را بدست اورید.


الم.در وحی بودن و حقانیت این کتاب هیچ شکی نیست سراسرش برای پرهیزگارن با عظمت است.انان که به غیب ایمان دارند ونماز را به پا میدارند و از انچه به انان روزی داده ایم انفاق میکنند.و انان که انچه به سوی تو و انچه پیش از تو نازل شده مومن هستند و به اخرت یقین دارند.انان که از سوی پروردگارشان بر راه هدایت اند و انان اند که رستگارند.بیتردید رای کسانی که به خدا وایاتش کافرند مساوی است چه از عذاب یمشان دهی یا بیمشان ندهی ایمان نمی اورند.خدا به کیفر کفرشان بر دل ها و گوش هایشان مهر تیره بختی نهاده و ر چشماهایشان پرده ای از تاریکی که فروغ هدایت را نمیبینند و برای انها عذابی بزرگ است.وگروهی از مردم که اهل انفاق اند میگویند ما به روز قیامت ایمان اوردیم در حالی که انها مومن نیستند.به گمان باطلشان میخواهند خدا و اهل ایمان را فریب دهند در حالی که جز خودشان را فریب نمیدهندولی این حقیقت را درک نمیکنند در دل انها بیماری سختی از نفاق است پس خدا به کیفرنفاقشان بر بیماریشان افزود و برای انان در برابر انچه همواره دروغ میگفتند عذابی دردناک است. ایه 1 تا 10 سوره بقره


یا علی مدد حق نگهدارتون

نویسنده : مصطفی چگنی

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

#مدیریت_ریسک #دوره_کامل_security+ #مدیریت_خطر #اموزش_کامل_دوره_security+ #ارزیابی_ریسک #آموزش_دوره_security+ #ارزیابی_خطر #کتاب_security+
عنوان
1 دوره آموزشی مقدماتی CompTIA Security قسمت اول رایگان
2 دوره آموزشی مقدماتی CompTIA Security قسمت دوم رایگان
3 دوره آموزشی مقدماتی CompTIA Security قسمت سوم رایگان
4 دوره آموزشی مقدماتی CompTIA Security قسمت چهارم رایگان
5 دوره آموزشی مقدماتی CompTIA Security قسمت پنجم رایگان
6 دوره آموزشی مقدماتی CompTIA Security قسمت ششم رایگان
7 دوره آموزشی مقدماتی CompTIA Security قسمت هفتم رایگان
8 دوره آموزشی مقدماتی CompTIA Security قسمت هشتم رایگان
زمان و قیمت کل 0″ 0
1 نظر
رضا فولادوندی

بسیار عالی آقای چگنی ممنون از مطالبتون موفق باشی دوست عزیز

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....