در این مقاله قصد داریم مراحل اجرای فرایند مدیریت ریسک امنیت اطلاعات را بررسی نماییم. این مراحل شامل شناسایی ریسک، ارزیابی ریسک، تحلیل ریسک و مقابله با ریسکهای امنیتی میشوند. این مقاله برای مدیران و کارشناسان سازمانها که با موضوعات مرتبط با مدیریت ریسک و ISMS سر و کار دارند مفید است. همچنین دانشجویان و علاقمندان به این حوزه نیز میتوانند با مطالعه این نوشته دید جامعی از روش اجرای فرایند مدیریت ریسک بدست آورند. گامهایی که در ادامه تشریح میشوند مبتنی بر استانداردهای ایزو 27005 و ایزو 31000 طراحی و تنظیم شدهاند.
1- آماده سازی و بسترسازی
اولین گام در اجرای فرایند مدیریت ریسک همانند استقرار دیگر فرایندها و سیستم های مدیریتی ایجاد بستر پیاده سازی آن است. منظور از بستر سازی، توافق مدیران ارشد سازمان به انجام این فرایند و متعهد شدن به اجرای درست آن است. تعیین اسکوپ و محدوده سازمانی انجام مدیریت ریسک، کار بعدی در ایجاد آمادگی است. پس از این باید منابع لازم جهت پیاده سازی این فرایند تخصیص یابد و مسئولیتهای مرتبط تعریف شود. چنانچه قصد دارید پیاده سازی این فرایند را با نرم افزاری تخصصی انجام دهید در این گام باید مراحل نصب و راه اندازی آن را نیز انجام دهید.
2- تعیین داراییها
در گام اول باید داراییهایی که در محدوده ارزیابی ریسک سازمانتان قرار دارند را مشخص نمایید. داراییهای اطلاعاتی سازمان بر اساس استاندارد ایزو 27005 در قالب دو گروه داراییهای اصلی و پشتیبان دستهبندی میشوند. داراییهای اصلی داراییهایی هستند که به عنوان خروجیهای سازمان و یا واحد مورد ارزیابی شناخته میشوند. سرویسهایی که یک سازمان به مشتریان خود ارائه میدهد در این زمره هستند. داراییهای پشتیبان داراییهایی هستند که برای تحقق دارایی اصلی ضروری هستند و از دارایی اصلی پشتیبانی میکنند. مثلا پرسنل، ابزارها، نرمافزارها و تجهیزاتی که برای عملیاتی سازی سرویس سازمانی مورد استفاده قرار میگیرند، در رده داراییهای پشتیبان قرار میگیرند.
3- ارزش گذاری داراییها
در این گام و پس از شناسایی داراییهای اطلاعاتی در قالب فهرست داراییها نوبت به ارزش گذاری داراییها میرسد. باید توجه داشت که تمرکز ارزش گذاری با توجه به اینکه در کدام یک از دیسیپلینهای مدیریت ریسک در حال فعالیت هستیم متفاوت خواهد بود. با توجه به اینکه هدف ما در این مقاله مدیریت ریسک در حوزه امنیت اطلاعات است بنابراین ارزشگذاری نیز باید در همین حوزه به انجام رسد. ارزش گذاری امنیتی داراییها با سه پارامتر محرمانگی (Confidentiality)، صحت (Integrity)، دسترسپذیری (Availability) انجام میشود.
استاندارد ایزو 27005 معیارهای مختلفی برای ارزش گذاری معرفی میکند که بسته به نیازمندی و نوع سازمان میتواند مورد استفاده قرار گیرد. برای اندازهگیری ارزش میتوانید بصورت عمومی از معیارهای زیر استفاده نمایید.
- میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی ازنظر مالی بر سازمان
- میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی در ایجاد وقفههای کاری در سازمان
- میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر وجهه و اعتبار سازمان
- میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر نقض قوانین و مقررات کشوری و سازمانی
4- تعیین تهدیدات و احتمال وقوع آنها
در این گام باید تهدیدات مرتبط با هر دارایی یا گروه داراییها شناسایی شوند. همچنین احتمال وقوع این تهدیدات باید با استفاده از روشها و معیارهای مناسب سنجیده و تخمین زده شود. این تخمین میتواند بصورت کیفی و یا کمی صورت پذیرد.
تهدیدات را مطابق استاندارد ایزو 27005 میتوانید در قالب یکی از انواع زیر تعریف نمایید:
- تهدیدات انسانی عمدی
- تهدیدات انسانی غیرعمدی
- تهدیدات طبیعی
- تهدیدات محیطی
برای درک بهتر مفاهیم مرتبط با احتمال در مدیریت ریسک میتوانید به مقاله احتمال یا احتمال! بررسی تناقضهای مفهومی “احتمال” در مدیریت ریسک رجوع کنید.
5- شناسایی کنترلهای فعلی و تخمین مطلوبیت آنها
در این مرحله باید نسبت به شناسایی کنترلهایی که در حال حاضر بر روی داراییهای خود دارید اقدام نمایید. شناسایی کنترلهای فعلی و تخمین میزان مطلوبیت آنها به روش مناسب کمک میکند تا بتوانید تخمین دقیقتر و درستتری نسبت به میزان شدت آسیبپذیریهای خود که در گام بعدی به آن پرداخته میشود داشته باشید.
6- تعیین آسیبپذیریها و تخمین شدت آنها
در این گام باید برای هر یک از داراییها و یا گروههای دارایی، آسیبپذیریهای متناظر با آنها و متناظر با تهدیدی خاص را شناسایی نمایید. در ادامه باید با استفاده از روشها و معیارهای مناسب و نیز با توجه به نتایج حاصل از گام قبلی باید میزان شدت این آسیبپذیریها را تخمین بزنید. تخمین شدت آسیبپذیریها نیز میتواند بصورت کیفی یا کمی انجام شود.
روشهای مرسوم برای تخمین و تعیین شدت آسیبپذیری عبارتند از:
- پرسشنامه
- ارزیابی آسیبپذیری و آزمون نفوذ
- مطالعه مستندات سازمان
- بازدید و ارزیابی فیزیکی
7- تعیین پیامد حادثه
پس از تعیین تهدیدات و آسیب پذیریهای مرتبط با هر دارایی یا گروه داراییها، تعیین میشود که سناریوی ریسک مورد بحث (ترکیب دارایی یا گروه دارایی، تهدید و آسیبپذیریهای مرتبط) بر کدامیک از پارامترهای محرمانگی، صحت و دسترسپذیری اثر خواهد داشت. به عنوان مثال تهدید آتشسوزی پارامتر دسترسپذیری را متأثر میکند. و تهدید شنود پارامتر محرمانگی را تحت الشعاع قرار میدهد. از ترکیب بررسی این تأثیر و نیز ارزش داراییها میتوان میزان پیامد حادثه را در یک سناریوی خاص مشخص نمود. تخمین پیامد حادثه بصورت کیفی و یا کمی قابل سنجش است.
با توجه به نکات فوق باید توجه داشت که در ارزیابی ریسک یک سناریوی مشخص، لزوماً مقدار ارزشگذاری دارایی برابر با پیامد حادثه نخواهد بود. زیرا امکان دارد که تهدیدی سبب نقض تمامی پارامترهای تشکیلدهنده ارزش دارایی نشود.
8- تخمین و ارزیابی ریسک
در این گام و پس از مشخص شدن عوامل سازنده ریسک نوبت به ارزیابی ریسک میرسد. بر اساس چارچوب استاندارد ایزو 27005 عناصر تشکیلدهنده تابع ریسک عبارتند از:
- مقدار احتمال تهدید: بهاختصار در این نوشتار با نماد T نشان داده خواهد شد.
- مقدار شدت آسیبپذیری: بهاختصار در این نوشتار با نماد V نشان داده خواهد شد.
- مقدار پیامد حادثه: بهاختصار در این نوشتار با نماد I نشان داده خواهد شد.
- مقدار ریسک: بهاختصار در این نوشتار با نماد R نشان داده خواهد شد.
برای ترکیب این عناصر مطابق استاندارد ISO 27005، میتوان از روشها و فرمولهای متفاوتی استفاده کرد. روش ریاضی با استفاده از اپراتورهای ضرب و جمع و نیز روش ماتریسی از جمله این روشها هستند. یکی از فرمولهای مرسوم در محاسبه و ارزیابی ریسک استفاده از عملگر ضرب و بصورت زیر است:
R=T*V*I
لازم به ذکر است که ترکیب پارامترهای احتمال تهدید و شدت آسیبپذیری تعیین کننده پارامتر احتمال حادثه هستند.
9- ارزشیابی و اولویتبندی ریسک
با توجه به امکان تعریف سطوح مختلف برای تعیین پیامد، تعیین احتمال وقوع تهدید و نیز شدت آسیبپذیری طبیعتا بازه نتایج فرمول فوق میتواند متغیر باشد. به عنوان مثال چنانچه مفروضات تعیینشده برای محاسبه ریسک و برای پارامترهای احتمال تهدید، شدت آسیب پذیری و پیامد حادثه بهصورت خیلی کم، کم، متوسط، زیاد، خیلی زیاد که معادل کمی آن اعداد 1، 2، 3، 4 و 5 میشود، تعریف شده باشند خواهیم داشت:
1 <= R <= 125
و بر همین اساس میتوان ریسک را به عنوان مثال در 5 سطح و بصورت زیر اولویتبندی نمود.
- سطح خیلی کم (1 < R <= 5)
- سطح کم (5 < R <= 10)
- سطح متوسط (10 < R <= 30)
- سطح زیاد (30 < R <= 70)
- سطح خیلی زیاد (70 < R <= 125)
10- تعیین آستانه پذیرش
در مثال فوق، ریسک های امنیت اطلاعات در 5 سطح قرار گرفتهاند. این 5 سطح در بازههایی بین 1 تا 125 به سطوح خیلی کم، کم، متوسط، زیاد و خیلی زیاد تقسیمبندی شدند.
در این مرحله مبتنی بر مقتضیات سازمانی خود و بر اساس نتایج حاصل از ارزیابی ریسک سطوحی را که از نظر شما دارای ریسک قابل قبول هستند مشخص مینمایید. منظور از سطح قابل قبول و یا سطح پذیرش، ریسکهایی هستند که از نظر شما بدون اینکه بخواهید برایشان اقدامی انجام دهید، میپذیرید که وجود داشته باشند. مثلا سازمانی ممکن است از میان سطوح پنجگانه ریسک، سطوح خیلی کم و کم را بهعنوان سطح پذیرش، تعریف نماید.
11- استراتژیهای مقابله با ریسک
بطور معمول و مطابق با استاندارد ایزو 27005 چهار گزینه پذیرش، کاهش، تسهیم و اجتناب بهعنوان استراتژیهای مدیریت ریسک امنیت اطلاعات در نظر گرفته میشوند. تعاریف هر یک از این استراتژیها عبارتند از:
- استراتژی پذیرش: چنانچه مقدار سناریوی ریسک موردنظر پایینتر از آستانه پذیرش باشد، سازمان ریسک را میپذیرد. طبیعتاً برای ریسکهای پذیرفته شده اقدام تقابلی انجام نمیشود.
- استراتژی کاهش: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن وجود داشته باشد، استراتژی کاهش ریسک انتخاب میشود. در این حالت باید کنترلهای مقابلهای بکار گرفته شوند.
- استراتژی تسهیم: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن نیز توسط سازمان وجود نداشته باشد و یا بهصرفه نباشد اقدام به اشتراکگذاری ریسک با یکطرف بیرونی میشود.
- استراتژی اجتناب: چنانچه سناریوی ریسک موردنظر خارج از بازه پذیرش باشد. همچنین احتمال و پیامد ریسک هر دو بالا باشند و امکان کاهش و یا تسهیم آن نیز به هر دلیلی وجود نداشته باشد تنها گزینه باقیمانده استراتژی اجتناب خواهد بود که به معنای حذف عامل ریسک است.
12- طرح مقابله با ریسک (Risk Treatment Plan)
برای مقابله با ریسک شامل استراتژیهای کاهش، تسهیم و اجتناب باید طرح مقابله با ریسک که به آن RTP هم گفته میشود، در نظر گرفت. یک RTP باید حداقل شامل موارد زیر باشد:
- مالک ریسک
- کنترل مقابلهای
- زمان شروع طرح
- زمان پایان طرح
13- اطلاع رسانی در سازمان
پس از تدوین استراتژی ها و طرح های مقابله ای باید این طرح ها با مسئولات مرتبط در میان گذاشته شوند. مدیریت ریسک امنیت اطلاعات یک فرایند مشارکتی است که تمامی مراحل آن از شناسایی و ارزیابی تا تحلیل و کاهش ریسک، نیاز به همراهی پرسنل مرتبط سازمان دارد. طرح های مقابله باید به اطلاع مالکین ریسکها برسد و نقطه نظرات آنان دریافت شود. از آنجاییکه اجرای طرح های مقابله و کاهش ریسک به عهده مالکین ریسک است بدیهی است که آنان باید نسبت به ریسک های خود آگاه باشند و طرح ها را به تأیید برسانند.
14- پایش و بازنگری
فرایند مدیریت ریسک نیز مانند دیگر فرایندهای سیستماتیک مدیریت، فرایندی دینامیک و پویاست. پویایی این فرایند ایجاب میکند که هرگز به آن به شکل یک پروژه با آغاز و پایان مشخص نگاه نشود. بلکه این فرایند همواره باید در معرض پایش و بازبینی مستمر باشد تا بتواند خود را با تغییرات داخلی و بیرونی سازمان تطبیق دهد. به عبارتی میتوان گفت که وظیفه اصلی بهبود مستمر در فرایند مدیریت ریسک امنیت اطلاعات به عهده این گام است. چنانچه علاقمند به دریافت اطلاعات بیشتر در خصوص مفاهیم مرتبط با پویایی سیستم هستید مقاله زمان مهمترین عامل در پویایی مدیریت امنیت اطلاعات را مطالعه نمایید.
ما در نرم افزار مدیریت امنیت اطلاعات بادبان، فرایند مدیریت ریسک امنیت اطلاعات را مطابق استانداردهای ایزو 31000 و ایزو 27005 بصورت کاملا هوشمند طراحی کردهایم. در سامانه بادبان میتوانید تمامی گامها و مراحل بیان شده در این مقاله را بدون اینکه وارد پیچیدگیهای فنی و اجرایی شوید پیاده سازی کنید. بادبان دارای پایگاه دانش بزرگی از سناریوهای مختلف ریسک است. این پایگاه دانش برای انواع داراییها شامل انواع تهدیدات، آسیبپذیریها، کنترلها و زیرکنترلهای سیستمی و فنی است. شما پرسشنامههایی ریسک را تکمیل میکنید و بقیه کارها توسط بادبان انجام میشود. نرم افزار بادبان ریسکهای سازمانتان را با کمک موتور استنتاجی که برای آن طراحی شده است شناسایی، تحلیل، ارزیابی و اولویتبندی میکند. همچنین اقدامات مقابلهای مناسب را برای برخورد و کاهش ریسکها به شما پیشنهاد میدهد.
1 دیدگاه دربارهٔ «14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات»
عالی بود