مدیریت و ارزیابی ریسک
بررسی عوامل و تشخیص نقاط حادثه خیز و خطرآفرین در واحدهای اطلاعاتی سازمانها به منظور پیشگیری از بروز حوادث از اهمیت ویژهای برخوردار است. ریسک در پروژه رویدادها یا وضعیتهای ممکن الوقوعی هستند که در صورت وقوع، به صورت پیامدهای منفی یا مثبت بر اهداف پروژه مؤثر میباشد. هر یک از این رویدادها یا وضعیتها، دارای علل مشخص و نتایج و پیامدهای قابل تشخیص هستند. پیامدهای این رویدادها مستقیماً در زمان، هزینه و کیفیت پروژه مؤثر میباشد. بنابراین شناسایی ریسک و تعیین میزان پیامدهای مثبت و منفی آن بر اهداف پروژه از اهمیت خاصی برخوردار است.
امروزه شرکتها مواجه با افزایش پیچیدگی و عدم قطعیتی هستند که مدیریت ریسکهای تخصصی و کسب و کار را مشکل تر می نماید. تلورانسهای شکست در مدیریت ریسک از سوی جامعه و سهامداران کاهش یافتهاند. قوانین و مقررات نیز به نوبه خود الزامات سخت گیرانه تری را مطرح می نمایند. شکست در مدیریت این ریسکها میتواند مهلک باشد؛ حفظ یکپارچگی و کنترل روز به روز بحرانی تر می گردد. پس چرامی بایست به ریسک توجه کنیم .همه برنامهها کاملاً مساوی نیستند دو برنامه باROI مشابه، هزینههای مشابه و مباحث مشابه ممکن است از نظر ویژگی ریسک با هم متفاوت باشند.ارزیابی ریسک این اجازه را به شما میدهد که تفاوت بین برنامهها را مد نظر بگیرید.
فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژهای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری (Penetration Testing) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک بهشمار میآید.
ارزیابی ریسک برای پاسخ به سوالات زیر انجام میشود: -اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟ - احتمال وقوع هر ریسک چقدر است؟ - کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟
مهمترین فایده ارزیابی ریسک، کمک به تصمیمگیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولاً مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیمگیری آنها کمک میکند. ارزیابی ریسک میتواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات کند. نتایج ارزیابی ریسک به جهتگیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک میکند، همچنین میتواند در تولید و اصلاح خط مشیهای امنیت سازمان (Security Policy) استفاده شود.
تعریف مدیریت ریسک
مدیریت ریسک، فرآیندی است که به مدیران امکان میدهد میان هزینههای عملیاتی و هزینههای مالی اقدامات حفاظتی تعادل برقرار کرده و از طریق حفاظت از فرآیندهای کسب و کار که پشتیبان اهداف سازمان هستند، به منافع مربوطه دست یابند. مدیریت ریسک، یک فرآیند جامع است که به منظور تعیین، شناسایی، کنترل و حداقل نمودن تأثیرات و عواقب رویدادهای احتمالی مورد استفاده قرار میگیرد. هدف مدیریت ریسک، کاهش ریسک اجرایی برخی فعالیتها و فرآیندها به سطح قابل قبول و کسب تائید مدیریت ارشد است.
مدیریت ریسک از چهار فرآیند مجزا تشکیل شدهاست: تجزیه و تحلیل ریسک، ارزیابی ریسک، کاهش ریسک، ارزیابی آسیبپذیری و ارزیابی کنترلها.
اصطلاحات مدیریت ریسک
مدیریت ریسک(Risk Management):
هزینه کلی جهت تعیین، کنترل و حداقل نمودن تأثیر رویدادهای احتمالی. هدف مدیریت ریسک، کاهش ریسک به یک سطح قابل قبول است. حمایت از این فرآیند توسط مدیریت ارشد عامل تداوم آن خواهد بود.
تجزیه و تحلیل ریسک (Risk Analysis):
تکنیکی است جهت تعیین و ارزیابی مؤلفههایی که ممکن است موفقیت یک پروژه یا دستیابی به یک هدف را به مخاطره بیاندازند. این تکنیک همچنین به تعیین راهکارهای پیشگیرانه برای کاهش احتمال وقوع مؤلفههای مربوط و تعیین اقدامات متقابل در زمان وقوع آنها کمک میکند.
ارزیابی ریسک(Risk Assessment):
محاسبه ریسک است. ریسک در واقع تهدیدی است که نقاط آسیب پذیر را مورد بهرهبرداری قرار داده و میتواند موجب واردشدن آسیب و خسارت به یک دارایی شود. الگوریتم ریسک، ریسک را به عنوان تابعی از دارایی ها، تهدیدات و آسیبپذیریها محاسبه میکند. نمونهای از یک تابع ریسک در یک سیستم بدین صورت است: (آسیبپذیری x تهدیدx دارایی) ریسک کلی برای یک شبکه برابر با مجموع ریسک اجزاء آن است.
کاهش ریسک(Risk Mitigation):
فرآیندی که در آن، یک سازمان کنترلها و اقدامات حفاظتی را به عمل میآورد تا از وقوع ریسکهای شناسایی شده ممانعت به عمل آورد، در حالیکه بهطور همزمان ابزاری را برای بازیابی مجدد مورد استفاده قرار میدهد. چرا که در شرایط واقعی ممکن است تمامی تلاشها برای پیشگیری از وقوع ریسک با شکست مواجه شوند.
ارزیابی آسیبپذیری و ارزیابی کنترل ها:
آزمون سیستماتیک یک زیر ساخت کلیدی، سیستمهای بهم مرتبط که زیر ساخت به آن متکی است، اطلاعات یا محصول به منظور تعیین کفایت و تناسب راهکارهای امنیتی، تعیین نواقص امنیتی، ارزیابی و سنجش آلترناتیوهای امنیتی و تصدیق کفایت و تناسب راهکارهای امنیتی پس از اجرای آنها.
منابع
[1] TECHNICAL REPORT: ISO/IEC TR 13335-3:1998(E) Information technology — Guidelines for the management of IT Security -Part 3:Techniques for the management of IT Security
[2] TECHNICAL REPORT : ISO/IEC TR 13335-2: Dec 15, 1997, Information technology - Guidelines for the management of IT Security - Part 2: Managing and planning IT Security
[3] NIST Computer Security Documents :
a. Draft 800-30
b. Draft 800-50
c. Draft 800-60
d. Draft 800-61
e. Draft 800-65
[4] THE ISO 27000 SERIES :
f. ISO 27000
g. ISO 27002
h. ISO 27003
[5] NSW
مطالب مرتبط
- ارزیابی ریسک
- تجزیه و تحلیل ریسک
- تاریخ فناوری
- مهندسی فناوری اطلاعات
- فناوری اطلاعات