فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری (Penetration Testing) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار میآید.
ارزیابی ریسک برای پاسخ به سوالات زیر انجام میشود:
الف: اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟
ب: احتمال وقوع هر ریسک چقدر است؟
ج: کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟
طبق استاندارد BS7799 فعالیتهای زیر برای ارزیابی ریسکهای امنیتی انجام میگیرد:
الف: تعیین داراییهای اطلاعاتی (Information Assets) و تخصیص ارزش به آنها.
ب: تعیین تهدیدها (Threats) و احتمال رخداد آنها.
ج: تعیین آسیب پذیریها (vulnerabilities) که میتواند به بروز تهدید منجر شود.
د: ارزیابی مکانیزمهای امنیتی فعلی (وضع موجود)
ه: برآورد کمی (معمولا عددی) ریسکهای به دست آمده.
بسته به مورد، فرمولهای مختلفی برای تعیین عدد فوق وجود دارد. البته گاهی از طبقه بندیهای غیر عددی مثل critical، high، medium و low هم استفاده میشود.
مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولا مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک میکند.
فواید دیگر فرآیند ارزیابی ریسک عبارت است از:
الف: معمولا راه حلهای امنیتی نه تنها مستقیما درآمدی برای سازمان ندارند، بلکه هزینه بر هم هستند. ارزیابی ریسک میتواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات میکند.
ب: نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک میکند.
ج: نتایج ارزیابی میتواند در تولید و اصلاح خط مشی های امنیت سازمان (Security Policy) استفاده شود.
این مطلب در وبلاگ WhiteHat Nomads