ارزیابی مخاطرات

فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری (Penetration Testing) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار می­آید.

ارزیابی ریسک برای پاسخ به سوالات زیر انجام می­شود:

الف: اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟

ب: احتمال وقوع هر ریسک چقدر است؟

ج: کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟

طبق استاندارد BS7799 فعالیتهای زیر برای ارزیابی ریسکهای امنیتی انجام می­گیرد:

الف: تعیین داراییهای اطلاعاتی (Information Assets) و تخصیص ارزش به آنها.

ب: تعیین تهدیدها (Threats) و احتمال رخداد آنها.

ج: تعیین آسیب پذیریها (vulnerabilities) که می­تواند به بروز تهدید منجر شود.

د: ارزیابی مکانیزمهای امنیتی فعلی (وضع موجود)

ه: برآورد کمی (معمولا عددی) ریسکهای به دست آمده.

بسته به مورد، فرمولهای مختلفی برای تعیین عدد فوق وجود دارد. البته گاهی از طبقه بندیهای غیر عددی مثل critical، high، medium و low هم استفاده می­شود.

مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولا مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک می­کند.

فواید دیگر فرآیند ارزیابی ریسک عبارت است از:

الف: معمولا راه حلهای امنیتی نه تنها مستقیما درآمدی برای سازمان ندارند، بلکه هزینه بر هم هستند. ارزیابی ریسک می­تواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات می­کند.

ب: نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک می­کند.

ج: نتایج ارزیابی می­تواند در تولید و اصلاح خط مشی های امنیت سازمان (Security Policy) استفاده شود.   

مقاله ای برای اطلاعات بیشتر

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.