در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

معرفی نقش ها و مسئولیت ها در مدیریت ریسک امنیت اطلاعات

با سلام در این قسمت از مفاهیم امنیت اطلاعات سعی دارم به مفاهیمی در رابطه با مسئولیت سازمانی افراد در امنیت اطلاعات در ادامه مقالات قبلی ارائه شده با عناوین مزایای طبقه بندی اطلاعات و سیاستهای امنیتی و اهداف طبقه بندی اطلاعات و مفاهیم مرتبط بپردازم ونهایتا وارد مفاهیم مدیریت ریسک وخطر پذیری شوم .

نقش ها و مسئولیت ها

نقشها و مسئولیتها یک عبارت متداول در امنیت اطلاعلت است به طوری که در کنترلهای امنیت اطلاعات وظایف یک کارمند را تعریف میکنند و هرکدام از این نقشها دسترسی ها و مسئولیتهایی را در قبال امنیت داده ها بر عهده دارند نقش ها ومسئولیتها ی اصلی و مرکزی دارای تفکیک وظایف میباشند تا این مفهوم را به وجود آورند که امنیت از طرق تقسیم مسئولیت ها افزایش خواهد یافت و این مهم است که هر فرد به وضوح با نقش خود ارتباط برقرار کرده و آن را درک کند. ما به اختصار در مورد هرکدام توضیح میدهیم.

  1. مدیریت ارشد : که شامل افراد با وظایف اجرایی یا در سطح مدیران ارشد که مسئولیت کلی امنیت اطلاعات به انها واگزار یا اصطلاحا (delegate) شده باشد.
  2. سیستم امنیت اطلاعات حرفه ای : افرادی که به عنوان حرفه ای های امنیت اطلاعات هستند در این گروه قرار میگیرند و و اجرای این مسئولیت توسط مدیران ارشد به آنها محول میشود که دارای وظایفی مانند طراحی , مدیریت , اجرا , بررسی سیاستهای امنیتی سازمان , استانداردها دستورالعمل ها و روشها را بر عهده دارند .
  3. صاحبان داده ها : همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات صحبت کردیم که در درجه اول تایین سطح حساسیت ویا طبقه بندی داده ها را بر عهده دارند که به همین جهت مسئولیت حفظ داده ها را بر عهده دارند
  4. کاربران : و باز همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات اشاره کردیم به عنوان مصرف کنندگان نهایی در برنامه سیاستهای امنیتی سازمان نقش حفاظت از داده های در اختیار را بر عهده دارند
  5. سیستم های اطلاعاتی حسابرسان : که مسئول ارائه گزارشات به مدیران ارشد میباشند و اثر بخشی کنترل های امنیتی را با بررسی منظم سیاستهای امنیتی , دستورالعمل ها , استانداردها , و روشهای موثر در اهداف بیان شده امنیت اطلاعات را بر عهده دارند.

مدیریت ریسک

از جزئیات اصلی امنیت اطلاعات مدیریت ریسک یا Risk Management ) RM) است که تابع اصلی برای کاهش خطر است , کاهش خطر به میزانی که قابل قبول برای یک سازمان باشد ما میتوانیم RM را به عنوان شناسایی , تجزیه و تحلیل , کنترل و به حداکثر رساندن از دست دادن رویدادها تعریف بکنیم بنابراین شناسایی احتمال خطرات مورد توجه یک سازمان به تعریف عناصر اصلی زیرمنتهی میشود:

  1. تهدید واقعی
  2. عواقب و نتیجه احتمالی تهدیدات
  3. فرکانس احتمالی وقوع یک تهدید
  4. میزان و چگونگی به خطر افتادن اعتماد به نفس ما

نکته قابل توجه اینکه بسیاری از فورمول ها و فرایند های طراحی شده برای کمک به پاسخ دادن به پرسش های مطرح شده به دلیل تغییر و تحول دائمی در زندگی افراد و محیطی که در آن قرار داریم به طور حتم کارساز نخواهد بود و هدف RM در این است که تا جای ممکن در آینده کاری یک شرکت این تهدیدات را به حداقل ممکن برساند در کاهش ریسک این مهم است که شما بدانید که این بدان معنی است که ما تا چه سطح با خیال راحت میتوانیم به طور موئثر, ریسک در یک سرمایه گذاری را بپذیریم.


اصول مدیریت ریسک

کار RM دارای چند عنصر مختلف میباشد که در درجه اول موارد زیر قابل توجه است.

  1. انجام تجزیه و تحلیل خطر از جمله تحلیل هزینه و سود.
  2. پیاده سازی , بازنگری و حفظ حمایت

برای فعال کردن این فرایند , شما نیازمند تعیین برخی عناصر مختلف مانند ارزش دارایی ها و تهدید ها و احتمال حوادث میباشید در واقع بخش اصلی فرایند RM به اختصاص مقادیر به این تهدید ها و چگونگی احتمال رخ دادن آنها برمیگردد برای انجام این کار فورمولها و اصطلاحاتی به وجود آمده اند که در زیر تحت عنوان Risk Analysis (RA) تعریف شده اند . هدف از تجزیه و تحلیل خطر: هدف از انجام تجزیه و تحلیل خطر در واقع برای تعیین کمیت اثر تهدیدات بلقوه میباشد.

که برای مشخص نمودن ارزش هزینه های عملکردی یک کسب و کاراست و دو نتیجه اصلی RA شناسایی خطرات و توجیه هزینه / و منفعت متقابل است که برای ایجاد یک استراتﮊی کاهش ریسک , حیاتی و مهم به نظر میرسد. مزایای متعددی برای RA وجود دارد که روشن شدن هزینه ها به نسبت حمایتهای امنیتی که تحت تاثیر از روند تصمیمات قابل برخورد با پیکر بندی سخت افزاری و طراحی سیستم های نرم افزاری و نیز کمک به تمرکز منابع امنیتی و حتی تصمیم گیری در باره ساخت و ساز مانند انتخاب سایت و طراحی ساختمان را شامل میشود اصطلاحاتی که باید در این ضمینه بدانیم :

  1. Asset : دارایی ) شامل منابع اطلاعاتی فرایند تولید محصول و زیرساخت های محاسباتی که میتوان این موارد را تحت مثالهایی مانند اطلاعات توسعه , پشتیبانی , جایگزینی محصولات, اعتبارات عمومی و هزینه های در نظر گرفته شده, که مستقیما با حیات سازمان مربوطه در ارتباط است معرفی نمود که از دست دادن دارایی میتواند C.I.A را که همان مفاهیم اصلی امنیت اطلاعات یعنی محرمانگی و یکپارچگی و در دسترس بودن است را به خطر اندازد.
  2. Threat: تهدید ) به عبارت ساده هر نوع حضور بلقوه ای که باعث ایجاد تاثیرات نامطلوب و به خطر افتادن امنیت منابع اطلاعاتی سازمانی ما شود. خواه انسانی و یا ماشینی (رباط و یا هر نوع نرم افزار)
  3. Vulnerability :آسیب پذیری ) این طور میتوان گفت که آسیب پزیری در نتیجه فقدان و یا ضعف حفاظت به وجود می اید باید در نظر داشته باشید که یک تهدید جزئی دارای پتانسیل تبدیل شدن به یک تهدید بزرگتر است.
  4. Safeguard :حفاظت ) برای کنترل و کاهش خطر در ارتباط با یک تهدید خاص و یا گروهی از تهدیدات است.
  5. ef) Exposure Factor) نشان دهنده درصد ارزش از دست دادن یک دارایی مشخص در اثر یک تهدید است مانند اثر از دست دادن برخی از سخت افزار ها یا از دست دادن فاجعه بار تمام منابع محاسباتی
  6. SLE) Single Loss Expectancy )پیش بینی کاهش واحد : SLE رقمی است که به یک پدیده واحد اختصاص یافته است. و نشان دهنده کاهش یک تهدید در سازمان است و از فورمول زیر به دست میاید .Asset Value ($)×Exposure Factor (EF) = SLE (توضیحات شماره یک و پنج )
  7. ARO) Annualized Rate of Occurrence) نرخ وقوع سالانه : نشان دهنده فرکانس براورد شده ای است که از یک تهدید انتظار میرود رخ دهد و دامنه این مقدار از (0.0) هرگز بیشتر نمیشود (برای تهدیدات جزئی از جمله غلط املایی در ثبت داده ها به کار میرود) چگونگی به دست آمدن این تعداد پیچیده است ومعمولا بر اساس احتمال رویداد و تعداد کارکنان در ایجاد خطایی که رخ میدهد مورد بررسی قرار میگیرد و خسارات وارده چندان جای نگرانی ندارد.

مروری بر تجزیه وتحلیل خطر

که دارای چهار مرحله اصلی زیر میباشد.

  1. تجزیه و تحلیل کمی خطر
  2. تجزیه و تحلیل کیفی خطر
  3. فرایند ارزش گزاری دارایی ها
  4. انتخاب حفاظت

Quantitative Risk Analysis : تجزیه و تحلیل کمی خطر

تفاوت بین کمی و کیفی RA نسبتا ساده است هدف RA تلاش برای اختصاص مقادیر عددی به کمیتها شامل مولفه های ارزیابی ریسک وارزیابی زیان های بلقوه است که تکیه بر ارزش ناملموس از دست دادن داده ها و تمرکز بر مسائل هزینه های بالای ناخالص دارد . وقتی که تمام عناصر (ارزش دارایی ها فرکانس خطر, حفاظت از اثر, هزینه های حفاظت, عدم قطعیت و احتمال ) اندازه گیری و از نظر اختصاص رتبه به ارزش داده ها به طور کامل انجام شد به این فرایند کامل بحث کمی گفته میشود و این نکته را هم باید در نظر داشت که تجزیه و تحلیل کامل کمی خطر به طور مطلق امکانپذیر نمیباشد. با این حال به دلایل کیفی باید اعمال شود بنابراین هر چند که جزئیات به طور دقیق بر روی کاغذ آورده شود اما باز امکان پیش بینی آینده به طور قابل اطمینان میثر نیست. فرایند تجزیه و تحلیل یک پروﮊه بسیار بزرگ است و نیازمند اختصاص یک مدیربرنامه برای مدیریت بخش اصلی عناصر اصلی تجزیه وتحلیل و زمان بندی مناسب برای طرح های مورد نظر را در گروه یا تیم RA دارد.

Preliminary Security Examination : بررسی امنیت مقدماتی (PSE)) قبل از انجام عملیات RA کمک میکند تا شما نیازمندی های لازم را به دست آورید بنابراین PSE کمک به تمرکز عناصر RA میکند عناصری که در طول این فاز تعریف میشوند شامل ارزش دارایی ها وهزینه ها و مورد مهم اینکه لیستی از تهدیدات مختلف موجود در یک سازمان مورد شناسایی قرار میگیرد (شرایط تهدید به هر دو مورد کارمندان و محیط کاراشاره دارد) امنیت اسناد و مدارک موجود و اقدامات موجود انجام شده در مورد آنها به طور معمول مورد بررسی قرار میگیرد.

مراحل تجزیه وتحلیل خطر: شامل سه مرحله اصلی میشود که البته لازم به ذکر است که سناریو های متعددی میتواند وجود داشته باشد.

1- برآورد ضرر وزیان بلقوه دارایی ها و تایین ارزش آنها: به منظور برآورد خسارتهای احتمالی وارده در طول تحقق یک تهدید دارایی ها باید به طور معمول با استفاده از نوعی از استاندارد ها ارزش گزاری شوند. که این کار با ایجاد یک پایگاه داده در اجرای فرایند میتواند با سرعت و دقت بیشتری کاربران را قادر به انجام محاسبات به منظور براورد خسارات احتمالی آینده بکند.که به نفع پادمان اجرا کننده است

2- تجزیه و تحلیل تهدیدات داراییهای با ارزش : در اینجا به چگونگی تهدیدات احتمالی و نحوه رخ دادن آنها میپردازیم به همین جهت برای تعریف درست تهدیدات باید درک درستی از ارزش دارایی هایمان و نقاط آسیب پذیر آنها که مورد هدف تهدیدات هستند را داشته باشیم. انواع تهدیدات باید بدون در نظر گرفتن احتمال کم یا زیاد رخ دادن آنها در این بخش قرار بگیرند در مناطق مختلف سازمانهایی وجود دارد که یک نمودار از تهدیدات و حملات به وقوع پیوسته در مکان های مختلف را ارائه میدهند که استفاده از آنها خالی از لطف نیست برخی از این تهدیدات را به شکل زیر میتوان معرفی کرد.

1-2) طبقه بندی نادرست اطلاعات سازمانی که به دلیل تجمع داده یا غلظت مسئولیت (فقدان تفکیک وظایف)به وجود می اید که نتایجی مانند استنباط نادرست از اطلاعات و دست کاری مخفی کانال های ارتباطی داده ها با استفاده از کد های مخرب ویروسها اسب تروا/ بمب منطقی به وجود میاورد

2-2) جنگ های اطلاعاتی : چه از طرق تروریسم و یا فرامین نظامی دولتی در جهت انجام امور جاسوسی برای به دست آوردن داده های اقتصادی یا فنی .....

3-2) پرسنل : دسترسی به سیستم های غیر مجاز و یا غیر قابل کنترل, سوء استفاده ازفناوری های مجاز, دستکاری شده توسط کارمندان ناراضی البته با دسترسی مجازو یا جعل داده های ورودی

4-2) برنامه ها و نرم افزار های امنیتی بی اثر: که منجر به خطاهای بی رویه و یا ورود اطلاعات اشتباه و آنالیز های نادرست از شبکه تحت کنترل میشود

5-2) تهدیدات جنایی : تخریب فیزیکی و یا خراب کاری , سرقت دارایی و یا اطلاعات, سرقت های سازماندهی شده توسط افراد مجاز و شناخته شده , سرقت مسلحانه و اسیب فیزیکی به پرسنل دارای هویت علمی یا شخصیتهای که دارای رده بندی مدیریتی استراتژیک سازمانی هستند.

6-2) تهدیدات محیطی : مثلا قطع سرویسهای مهم در حال اجرا در اثر بلایای طبیعی سیل و زلزله

7-2) زیرساختهای کامپیوتری : مانند نقص در تجهیزات سخت افزاری خطاهای برنامه نقص سیستم عامل و یا اختلال در سیستم های ارتباطی

8-2) تاخیر در پردازش های مالی : که باعث کاهش بهره وری یک مجموعه میشود ونتایج دیگری را خود به همراه خواهد داشت مانند کاهش درامدها و افزایش هزینه ها

3- تعریف امید به از دست دادن ارزش دارایی های سالانه سازمان (ALE) (به توضیحات SLE پیش بینی کاهش واحد مراجعه شود) این دو دارای یک مفهوم همپوشانی هستند.

  • نتایج : پس ازانجام تجزیه وتحلیل خطر, نتایج باید دارای حاوی موارد زیر باشند.

1- ارزیابی درست از داراییها و هزینه ها ی بالا

2- فهرستی از تهدیدات قابل توجه

3- احتمال و میزان وقوع هر کدام از تهدیدات

4- نرسانات بازار های مالی مانند نرخ دلار بر ارزش دارایی های سازمانی که قابلیت ارزه و تقاضا در بازار را داشته باشند

5- تشخیص نوع اقدامات حفاظتی مورد نیازویا اقدامات متقابل درمانی توصیه شده در توضیح این قسمت باید اضافه کنم که میتواند سه مفهوم را در بر داشته باشد

الف) کاهش خطربا در نظر گرفتن معیارهایی برای تغییر یا بهبود موقعیت خطر یک دارایی در سراسر یک شرکت

ب) انتقال ریسک شامل تایین و انتقال هزینه های بلقوه از دست دادن دارایی ها به طرفی دیگر مانند استفاده ازشرکتهای بیمه

ج) پذ یرش خطر: پذیرش از دست دادن دارایی ها با شرط حفظ هزینه های سالانه لازم برای حفظ و حیات یک شرکت.

در انتها باید عرض کنم که تجزیه و تحلیل کیفی خطر و بررسی مفاهیم مرتبط با آن را در مقاله بعدی با شما همراه خواهم بود.

پیروز و سربلند باشید

نویسنده : حجت رستمی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد

#تجزیه_و_تحلیل_کمی_خطر #مدیریت_ریسک #نقشها_ی_مدیران_امنیتی #ارزیابی_ریسک #ارزیابی_امنیت
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....