حجت رستمی
دانشجوی رشته شبکه و متخصص Passive

ارزیابی ریسک چیست؟ نکات مهم در ارزش گذاری دارایی در امنیت اطلاعات

با سلام در این مقاله قصدمان پرداختن به تجزیه و تحلیل کیفی خطر در امنیت اطلاعات است که البته موارد کیفی آن در نقش ها و مسئولیتها در امنیت اطلاعات و مدیریت ریسک بحث شد و در واقع هدف اصلی تکمیل موضوع مربوطه است که امیدوارم مورد استفاده باشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

Risk Assessment یا ارزیابی ریسک

در این خصوص همان طور هم که قبلا گفته شد کیفیت RA برای حفظ عناصر مهم مورد نظر ما تلاشی برای پایین آوردن هزینه های بالا انجام نمیدهد البته لازم به ذکر است که در این گام ,انالیز خطر پزیری بر اساس سناریو های از قبل طراحی شده جلو خواهد رفت و در تجزیه و تحلیل کیفی خطر یک فرکانس نموداری از تهدیدات و تاثیر آنها بر داده های مهم در نظر گرفته میشود .

با این حال در ارزیابی کیفی ریسک جدی بودن تهدیدات امنیتی و حساسیت نسبی بر روی دارایی ها و داده ها با ایجاد یک رتبه بندی مشخص که قابلیت جایگزاری در یک مقیاس اندازه گیری در نظر گرفته شده برای هر نوع سناریو مشخص میشود در توصیف یک سناریو خوب باید بگویم که باید مطابق با تهدیدهایی باشد که دارایی های ما را میتواند هدف قرار دهد بنابر این شناخت تهدیدات در یک سناریو و از دست دادن بلقوه دارایی ها و انتخاب اقدامات حفاظتی مناسب برای کاهش خطر باید در نظر گرفته شود. حال با دانستن موارد بالا و به وجود آمدن یک لیست مشخص از تهدیدات موجود و ارزش دارایی ها و منابع قابل تهدید میتوانیم به مراحل تهیه سناریو بپردازیم که شامل موارد زیر است.

  1. مدیران IT ابتدا باید در سناریو خود تهدیدات عمده موجود در سازمان ها را رسیدگی مناسب بکنند.
  2. سناریو باید توسط مدیران ارشد سازمانها بر اساس واقعیتهای موجود مورد ارزیابی قرار بگیرد و به نوعی مهر تایید بر آنها بخورد.
  3. تیم های RA باید در ادامه بر اساس ارزیابی پادمان های مختلف برای هر کدام از تهدیدات توصیه های ایمنی لازم را باید به مدیران متذکر باشند. و یافته های خود را آماده و تسلیم مدیریت بکنند (هرگز به طور خود سرانه اقدام به تصمیم گیری نکنید)
  4. پس از تکمیل سناریو نهایی در جهت حفظ منابع ان را در چارچوب مشخص برای اجرا به واحد های مربوطه ارسال و بر کار آنها درحفظ پادمان های مربوطه نظارت کامل داشته باشید.

فرایند ارزش گذاری دارایی ها

توجه داشته باشید که این ارزیابی یک گام اساسی در تمام روشهای ممیزی امنیت است که در هر دو مورد کمی وکیفی مورد استفاده قرار میگیرد .سه عنصر اصلی در این فرایند شامل موارد زیر است

  1. هزینه های اولیه و مستمر سازمان شامل صدور مجوز های خرید وحمایت وتوسعه دارایی های اطلاعاتی.
  2. ارزش دارایی های سازمان شامل عملیات تولید و تحقیق و توسعه وفعال بودن مدل کسب و کار
  3. ارزش دارایی های تاسیس شده در بازار های خارجی و ارزش تخمینی از مالکیت معنوی (اسرار تجاری , اختراعات ثبت شده , کپی رایت و .....)

حال به جدول مقایسه ای زیر در مورد کیفیت و کمیتهای RA توجه کنید.

وب سایت توسینسو

در قسمت PROPERTY به ترتیب از بالا به پایین شما با این موارد زیر مواجه هستید :

  1. تجزیه و تحلیل هزینه وسود
  2. هزینه های سخت مالی
  3. توانایی های خودکار
  4. حدس و گمان های درگیر با کار
  5. محاسبات پیچیده
  6. حجم اطلاعات مورد نیاز
  7. زمان
  8. درگیری های کاری
  9. سهولت ارتباطات

ضوابط انتخاب حفاظت

پس از تجزیه وتحلیل کامل خطر تدابیر و اقدامات متقابل باید مورد تحقیق و بررسی قرار بگیرد چندین اصول استاندارد وجود دارد که در انتخاب روش های حفاظتی برای حصول اطمینان از همسو بودن روش های حفاظتی با تهدیدات و انتخاب موثر ترین روشهای پیاده سازی و کنترل آنها به عنوان معیار های مهم مورد استفاده است.

1- تحلیل سود و هزینه

که از طریق فرایندی تحت عنوان Cost-Benefit مشتق میشود و شامل موارد زیر است :

  1. هزینه های خرید و توسعه و یا صدور مجوز های حفاظتی
  2. هزینه های نصب و راه اندازی های فیزیکی و اختلال درامور جاری در طول نصب و تست ادوات حفاظتی (مانند دوربین های مدار بسته)
  3. هزینه های معمول تخصیص یافته برای امور تعمیر و نگهداری سیستم ها

ساده ترین عملیات برای محاسبه سود و هزینه به قرار زیر است

(هزینه های قبل از اجرا) – (هزینه های بعد از اجرای حفاظت) – (هزینه های حفاظتی سالانه)= ارزش های حفاظتی سازمان

به عنوان مثال : اگر هزینه های آنالیز یک تهدید 10.000 $ قبل از اجرا باشد و هزینه های اجرای عملیات حفاظتی 1.000 $ باشد وهزینه های سالانه 500$ باشد پس از آن طبق فورمول بالا ارزش موارد حفاظتی سازمان برابر با 8.500$ در سال خواهد بود. این مقدار به نسبت هزینه های راه اندازی از بابت به نفع یا عدم سود مورد بررسی قرار میگیرد که آیا روش انتخابی مناسب است یا نه؟ و علاوه بر این روی اجرای برنامه های حفاظتی خاص نیز در تصمیم گیری ها موثر خواهد بود.که ناشی از به وجود آمدن یک سری مسئولیتهای قانونی به وجود آمده از تهدیدات در سازمانها خواهد بود و همچنین مقدار به دست امده برای تصمیم در مورد اجرای بعضی پادمان های امنیتی میتواند مورد استفاده باشد.

2-تهیه کتابچه راهنمای کاربر

میتوان آن را بهترین راه برای در امان ماندن از خطاهای انسانی در جهت استفاده نادرست از سیستمهای نرم افزاری دانست که باید دقیقا تمام مراحل مورد استفاده از نرم افزار ها و نکات امنیتی مربوط به حین کار د رآنها اورده شود که البته نباید استفاده از آن برای کاربر دشوار باشد ته به راحتی توسط کاربر مورد پزیرش قرار بگیرد و به عنوان یک امر عادی تلقی شود که افراد آن را جزء وضایف روزانه خود بدانند

3-حسابرسی و پاسخگویی / ممیزی

در توابع حفاظتی جایی هم باید برای تست و پاسخ گویی افراد و نرم افزار ها هم در نظر گرفته شود تا افراد در مقابل آنچه که انجام میدهند مسئولیت پذیر و پاسخگو باشند.

4-توانایی بازیابی

سیستم های حفاظتی امنیتی طراحی شده برای سازمان باید امکاناتی را فراهم کند که امکان تنظیمات مجدد با ویژگی های زیر را برای ما فراهم بکند.

  • بدون تخریب دارایی ها و منابع در تنظیمات مجدد و به روز رسانی ها
  • بدون ایجاد دسترسی به کانال های ارتباطی مخفی در تنظیمات مجدد
  • بدون از دست دادن امنیت داده ها یا افزایش جلوگیری بیش از حد در دسترسی به داده ها در تنظیمات مجدد .
  • نرفتن منابع به حالتی که اوپراتورهای مجازبدون داشتن دسترسی کامل نتوانند از انها استفاده کنند.

یک نکته : BACK DOORS : درب پشتی , (قلاب تعمیر و نگهداری) علاوه بر آنکه آن را به عنوان یک ابزار در دست هکر ها برای نفوذ به سیستم ها میشناسید با ید بگویم که اساسا یک عنصر بیگناه برنامه نویسی در نرم افزار ها است. که برنامه نویسان از آن برای دسترسی به بخشهای داخلی نرم افزار ها برای دور زدن موانع امنیتی در هنگام بروز اختلال مورد استفاده قرار میگیرد تا بتوانند به رفع ایرادات بپردازند ( یک در اضطراری برای ورود و خروج) بنابر این از این تابع پر ارزش باید متخصصین امنیت در نرم افزار ها اگاه باشند

5-روابط فروشنده

اعتبار, قابلیت اطمینان , عملکرد گذشته فروشنده و تولید کننده محصولات باید مورد بررسی قرار بگیرد. علاوه بر این open source بودن نرم افزار ها هم باید مورد بررسی قرار بگیرد تا امکانات مربوط به نحوه تغییر تنظیمات امنیتی آن ارزیابی شود در رابطه با نرم افزار های غیر open source هم که راهی برای جلو گیری ازافشای روشهای اختصاصی تولید و طراحی نرم افزار ها است باید پشتیبانی فروشنده و اسناد و مدارک تضمین های امنیتی محصول مورد توجه قراربگیرد.

6-اگاهی های امنیتی

این مورد یکی از عناصر نادیده گرفته شده از مدیریت امنیت است چرا که بسیاری از متخصصین امنیت خودشان هم دچار غفلت می شوند و فراموش می کنند که مردم اغلب ضعیف ترین حلقه در زنجیره امنیت هستند و نیازمند اموزش و آگاهی در غیر این صورت چطور میتوانند مسئله را درک کنند که تا حدود زیادی متاثر از موقعیت امنیتی کلی در سازمانها است. توجه داشته باشید که کارمندان باید از نیاز به امنیت اطلاعات و حفاظت از آنها آگاه باشند همیشه این را بدانید که اوپراتور ها نیازمند آموزش و کسب مهارتهای مورد نیاز امنیتی با توجه به نیاز شغلیشان هستند و این بر عهده دست اندر کاران امنیتی است که از این مورد برای پیاده سازی و حفظ و کنترل های امنیتی استفاده کنند. اموزش مفاهیم اصلی امنیت اطلاعات در کارکنان باعث تغییر و بهبود رفتار و نگرش آنها در جهت کمک به حفظ داده ها خواهد بود و این خود یک سرمایه گزاری مناسب در امنیت خواهد شد. به مثالهای زیر توجه شود:

  • کاهش قابل اندازه گیری اقدامات غیر مجاز پرسنل
  • افزایش قابل ملاحظه اثر بخشی کنترل های امنیتی
  • کمک برای جلو گیری از تقلب و سوءاستفاده از منابع محاسباتی سازمان و کاهش جرائم دولتی توسط افراد.

این مهم است که جلسات آگاهی های دوره ای برای کارمندان جدید الورود وتازه کار برگزار شود وتوجه کنید که مطالب تخصصی باید در حد امکان ساده سازی شده و قابل درک برای افراد باشد تا آنها بدانند که در مواجه با مخاطبانشان چطور باید از منابع سازمان محافظت کنند سعی کنید آموزش های خود را در قالب سمینارها . پوستر های اموزشی . خبر نامه های درون شرکتی . استفاده از شبکه وب درون سازمانی . فیلم های آموزشی . استفاده از بنر های بدو ورود . استفاده از متعلقات تبلیغاتی مانند لیوان , قلم و پد موس , یادداشتهای چسبنده و....... بهره ببرید.

مشخص نمودن گروه های کاری برای آموزش شامل گروه های پیشنهادی زیر :

  1. اموزش فنی امنیت برای پرسنل IT ومدیران
  2. اموزش پیشرفته امنیت اطلاعات برای متخصصین امنیت و سیستم های حسابرسان
  3. اموزش امنیت برای مدیران ارشد و مدیران عملیاتی ومدیران واحد کسب و کار
  4. اموزش اگاهی برای بخشهای خاص و یا پرسنل دارای موقعیتهای حساس امنیتی
  5. اموزشهای شغلی مرتبط با امنیت برای اپراتور ها و کاربران خاص

یک نکته: شروع خوب برای تعریف محتوای برنامه اموزشی امنیت میتواند موضوعاتی مانند سیاستهای امنیتی سازمان , استانداردها , دستورالعمل ها, روشهای در حال استفاده و استفاده از موارد اتفاق افتاده بدون سرزنش افراد در جمع و ایجاد حالات آسیب پزیری های امنیتی فرضی برای مشاهده نوع واکنش افراد در مواجه با بحران های امنیتی جهت پیشگیری و آگاه سازی مناسب است.پیروز و سربلند باشید

نویسنده : حجت رستمی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد


حجت رستمی
حجت رستمی

دانشجوی رشته شبکه و متخصص Passive

دانشجوی رشته اینترنت و شبکه های گسترده علاقه مند به یادگیری active شبکه

نظرات