عند تنفيذ نظام إدارة أمان المعلومات (SWIB) في تنظيم أحد النقاط الرئيسية العثرة، أصبح نظام إدارة المخاطر عادة. إن حجج إدارة مخاطر أمن المعلومات تشبه مشكلة UFO. من ناحية، يبدو أن أي من المحيط يبدو أنه رأى هذا والحدث نفسه يبدو غير مرجح، من ناحية أخرى، هناك الكثير من الأدلة، وقد كتب مئات الكتب، وهناك حتى التخصصات العلمية ذات الصلة وتوحد العلماء المشاركين في هذه العملية البحثية، وكذلك المعتاد، والخدمات الخاصة تمتلك في هذا المجال، معرفة سرية خاصة.
ألكسندر أستاخوف، سيسا، 2006
من بين أخصائيي أمن المعلومات في قضايا إدارة المخاطر لا يوجد إجماع. شخص ما ينفي أساليب تقييم المخاطر الكمية، وتنفي شخص ما عالي الجودة، فإن شخصا ما ينكر بشكل عام الجدوى وإمكانية تقييم المخاطر، يتهم شخص ما بإدارة المنظمة في تحقيق عدم كفاية أهمية القضايا الأمنية أو يشكو من الصعوبات المرتبطة بها الحصول على تقييم قيمة الموضوعية. معينة من الأصول، مثل سمعة المنظمة. إن الآخرين، دون رؤية إمكانية تبرير تكاليف الأمن، يشيرون إلى التعامل معه كنوع من الإجراء الصحي وإنفاق الكثير من المال على هذا الإجراء لأنه لا يشعر بالأسف أو مقدار ما لا يزال في الميزانية.
مهما كانت الآراء حول إدارة مخاطر IB وبغض النظر عن الطريقة التي نصل بها هذه المخاطر واضحة شيء واحد تكمن هذه القضية جوهر الأنشطة متعددة الأوجه للمتخصصين في IB، توصيلها مباشرة بعمل تجاري يعطي معنى معقول والسرقة. تحدد هذه المقالة واحدة من الأساليب المحتملة لإدارة المخاطر وتعطى لمسألة لماذا تتعلق المنظمات المختلفة بمخاطر أمن المعلومات وإدارتها بطرق مختلفة.
تحدث عن مخاطر الأعمال التجارية، نعني إمكانية احتمال معينة تحمل أضرار معينة. يمكن أن يكون كل من الأضرار المادية المباشرة والأضرار غير المباشرة، والتي تم التعبير عنها، على سبيل المثال، في الفائدة المفقودة، حتى الخروج من الأعمال، لأنه إذا لم يكن المخاطر غير إدارته، فيمكن ضياع العمل.
في الواقع، جوهر السؤال هو أن المنظمة لديها وتستخدم العديد من فئات الموارد الرئيسية (المشار إليها فيما يلي لأغراض عملها لتحقيق نتائجها (فيما يلي باستخدام مفهوم الأصول ذات الصلة مباشرة بالعمل). نشط هو كل ما لديه قيمة للمنظمة ويؤدي دخله (بمعنى آخر، هذا هو ما يخلق تدفق مالي إيجابي، أو يحفظ الأموال)
التمييز بين المواد والمالية والبشرية والإعلامية. المعايير الدولية الحديثة تحدد أيضا فئة أخرى من الأصول - هذه هي العمليات. العملية هي أحد الأصول المجمعة التي تدير جميع الأصول الأخرى للشركة لتحقيق أهداف العمل. باعتبارها واحدة من أهم الأصول، تعتبر صورة وسمعة الشركة أيضا. هذه الأصول الرئيسية لأي منظمة ليست أكثر من نوع خاص من أصول المعلومات، لأن الشركة وسمعة الشركة ليست أكثر من محتوى المعلومات المفتوحة والاستضالية حول هذا الموضوع. يشارك أمان المعلومات في قضايا التصوير بقدر أمن المنظمة، وكذلك تسرب المعلومات السرية، تتأثر سلبا للغاية بالصورة.
تتأثر نتائج الأعمال بالعوامل الخارجية والداخلية المختلفة المتعلقة بفئة المخاطر. التأثيرات التي يتم التعبير عنها في تأثير سلبي على واحد أو في نفس الوقت عدة مجموعات من أصول المنظمة. على سبيل المثال، يؤثر فشل الخادم على توافر المعلومات المخزنة عليه والتطبيقات، وإصلاحها يصرف الموارد البشرية، وخلق عجزها في مجال معين من العمل والتسبب في عدم إظهار عمليات تسجيل الأعمال التجارية، في حين أن عدم توفر خدمات العملاء المؤقتة تؤثر سلبا على صورة الشركة.
بحكم التعريف، تعد جميع أنواع الأصول مهمة لتنظيم. ومع ذلك، فإن كل منظمة لديها أصول حيوية أساسية وأصول مساعدة. تحديد الأصول التي هي بسيطة جدا، ل هذه هي الأصول التي تم بناءها حولها منظمة الأعمال التجارية. لذلك، يمكن أن تستند منظمة الأعمال التجارية إلى حيازة واستخدام الأصول المادية (على سبيل المثال، الأرض والعقارات والمعدات والمعادن)، ويمكن أيضا أن يتم بناء العمل في إدارة الأصول المالية (الأنشطة الائتمانية والتأمين والاستثمار)، يمكن للأعمال تستند إلى الكفاءة وسلطة المتخصصين المحددين (الاستشارات والتدقيق والتدريب وصناعات التكنولوجيا الفائقة والتكنولوجيا الفائقة) أو الأعمال يمكن أن تدور حول أصول المعلومات (تطوير البرمجيات، منتجات المعلومات، التجارة الإلكترونية، الأعمال التجارية عبر الإنترنت). إن مخاطر الأصول الرئيسية محفوفة بفقدان الخسائر التجارية التي لا غنى عنها، وبالتالي، في هذه المخاطر، انتباه أصحاب الأعمال، وهم يركزون شخصيا على هذه المخاطر. عادة ما تؤدي مخاطر الأصول الإضافية عادة إلى التحيز وهي ليست الأولوية الرئيسية في نظام إدارة المنظمة. عادة ما يتم تشغيل الأشخاص المعينين خصيصا في التحكم في هذه المخاطر، أو يتم نقل هذه المخاطر إلى مؤسسة تابعة لجهة خارجية، مثل شركة خارجية أو شركة تأمين. بالنسبة للمنظمة، فمن السؤال بدلا من كفاءة الإدارة من البقاء.
نظرا لأن مخاطر أمن المعلومات أمر أساسي من جميع المنظمات، فإن ثلاثة مناهج رئيسية لإدارة هذه المخاطر، تختلف عمقا ومستوى الشكليات، تمارس.
بالنسبة للأنظمة غير الحرجة، عندما تكون الأصول المعلوماتية مساعدة، فإن مستوى التعريفي ليس مرتفعا، وهو نموذج نموذجي لمعظم الشركات الروسية الحديثة، هناك حاجة إلى الحد الأدنى لتقييم المخاطر. في هذه المنظمات، ينبغي مناقشته من خلال مستوى أساسي معين من IB، الذي حددته المعايير والمعايير الحالية وأفضل الممارسات والخبرات وكيف يتم ذلك في معظم المنظمات الأخرى. ومع ذلك، فإن المعايير الحالية التي تصف بعض مجموعة متطلبات السلامة والآليات الأساسية، تتفاوض دائما على الحاجة إلى تقييم المخاطر والجدوى الاقتصادية لتطبيق بعض آليات الرقابة من أجل الاختيار من بين مجموعة عامة من المتطلبات والآليات التي تنطبق عليها منظمة معينة.
بالنسبة للنظم الحرجة التي لا تكون فيها أصول المعلومات الأساسية، ومع ذلك، فإن مستوى العمليات التجارية مرتفعة للغاية، ويمكن أن تؤثر مخاطر المعلومات بشكل كبير على العمليات التجارية الرئيسية، من الضروري تطبيق تقييم المخاطر، ولكن في هذه الحالة من المستحسن الحد النهج النوعية غير الرسمية لحل هذه المهمة، مما يدفع اهتماما خاصا إلى أنظمة أكثر أهمية.
عندما يتم بناء أعمال المنظمة حول أصول المعلومات، فإن مخاطر أمن المعلومات هي الرئيسية، لتقييم هذه المخاطر من الضروري تطبيق نهج رسمي وأساليب كمية.
في العديد من الشركات، في الوقت نفسه، قد تكون عدة أنواع من الأصول حيوية، على سبيل المثال، عندما تعمل شركة تجارية متنوعة أو شركة منخرطة في إنشاء منتجات المعلومات والموارد البشرية والمعلومات نفسها بنفس القدر بالنسبة لذلك. في هذه الحالة، تتمثل النهج الرشيد في إجراء تقييم رفيع المستوى من المخاطر، من أجل تحديد الأنظمة التي تخضع للمخاطر إلى درجة عالية والتي تهم العمليات التجارية، تليها تقييم مفصل للمخاطر للنظم المخصصة. بالنسبة لجميع الأنظمة الأخرى غير الهامة، من المستحسن أن تحد من أنفسنا لتطبيق النهج الأساسي، واتخاذ قرارات إدارة المخاطر على أساس الخبرة القائمة وآراء الخبراء وأفضل الممارسات.
يؤثر اختيار النهج على تقييم المخاطر في المنظمة، بالإضافة إلى طبيعة أعماله ومستوى العمليات التجارية، على مستوى استحقاقه. إدارة مخاطر IB هي مهمة عمل، التي بدأتها إدارة المنظمة بحكم وعيها ودرجة الوعي بمشاكل IB، والمعنى الذي هو حماية الأعمال التجارية من تهديدات IB الحالية القائمة حقا. وفقا لدرجة الوعي، يتم تتبع عدة مستويات من تاريخ استحقاق المنظمات، والتي ترتبط إلى حد ما مع مستويات النضج المحددة في COBIT ومعايير أخرى:
في مارس من هذا العام، تم اعتماد معيار بريطاني جديد BS 7799 الجزء 3 - أنظمة إدارة أمن المعلومات - قواعد إدارة المخاطر العملية لأمن المعلومات. في انتظار نهاية عام 2007، سيوافق ISO على هذه الوثيقة كمعيار دولي. يحدد BS 7799-3 عمليات تقييم وإدارة المخاطر كعنصر متكامل لنظام إدارة المنظمات باستخدام نفس نموذج العملية كمعايير مراقبة أخرى، والتي تتضمن أربع مجموعات من العمليات: التخطيط والتنفيذ والتحقق من الإجراءات (PRD) دورة قياسية من أي عمليات التحكم. في حين أن ISO 27001 يصف دورة إدارة الأمن المستمرة الشاملة، فإن BS 7799-3 يحتوي على إسقاطها على عمليات إدارة مخاطر IB.
في نظام إدارة المخاطر في مرحلة التخطيط، يتم تحديد منهجية السياسات وإدارة المخاطر، ويتم إجراء تقييم المخاطر، والذي يشمل مخزون الأصول، ووضع ملفات تعريف التهديدات والضعف، وتقييم فعالية التدابير المضادة والأضرار المحتملة، وتصميم المستوى المسموح به للمخاطر المتبقية.
عند مرحلة التنفيذ، يتم إجراء معالجة المخاطر وتنفيذ آليات الرقابة المعدة لتقليلها. تأخذ إدارة المنظمة واحدة من الحلول الأربعة لكل مخاطر محددة: لتجاهل أو تجنب أو نقل الخارج أو التقليل من ذلك. بعد ذلك، يتم تطوير خطة معالجة المخاطر وتنفيذها.
عند مرحلة الاختيار، تتم مراقبة أداء آليات التحكم أو تغييرات في عوامل الخطر (الأصول والتهديدات والضعف) مراقبة، يتم إجراء عمليات التدقيق وإجراءات التحكم المختلفة.
في مرحلة العمل بشأن نتائج الرصد والتفتيش المستمر، يتم تنفيذ الإجراءات التصحيحية اللازمة التي قد تشمل، على وجه الخصوص، إعادة تقييم المخاطر، وتصحيح منهجية السياسات وإدارة المخاطر، وكذلك خطة معالجة المخاطر.
جوهر أي نهج لإدارة المخاطر هو تحليل عوامل الخطر وحلول معالجة المخاطر الكافية. عوامل الخطر هي المعلمات الرئيسية التي نعمل عند تقييم المخاطر. لا يوجد سوى سبعة من هذه المعلمات:
يتم تحديد أساليب تحليل وتقييم هذه المعلمات من خلال منهجية تقييم المخاطر المستخدمة في المنظمة. في هذه الحالة، فإن النهج العام ومخطط التفكير هو نفسه، أيا كان منهجية لا تستخدم. تتضمن عملية تقييم المخاطر (التقييم) مرحلتين. في المرحلة الأولى، التي يتم تحديدها في المعايير كتحليل للمخاطر (تحليل)، من الضروري الإجابة على الأسئلة التالية:
في المرحلة الثانية، التي تحدد حسب المعايير كتقييم المخاطر (التقييم)، من الضروري الإجابة على السؤال: ما هو مستوى المخاطر (متوسط \u200b\u200bالخسارة السنوية) مقبولة في المنظمة، بناء على ذلك، الذي يتجاوز هذا المستوى وبعد
وبالتالي، وفقا لنتائج تقييم المخاطر، نحصل على وصف للمخاطر التي تتجاوز المستوى المسموح به، وتقييم حجم هذه المخاطر، والذي يحدده حجم متوسط \u200b\u200bالخسارة السنوية. بعد ذلك، من الضروري اتخاذ قرار بشأن معالجة المخاطر، أي. الرد على الأسئلة التالية:
يبدو أن إخراج هذه العملية خطة معالجة المخاطر تحدد أساليب معالجة المخاطر، وتكلفة التدابير المضادة، وكذلك الفترة والمسؤولة عن تنفيذ التدابير المضادة.
إن اتخاذ القرارات من معالجة المخاطر هي اللحظة الرئيسية والأكثر مسؤولية في عملية إدارة المخاطر. من أجل أن تتخذ القيادة القرار الصحيح، يجب على الموظف المسؤول عن إدارة المخاطر في المنظمة تزويده بالمعلومات ذات الصلة. يتم تحديد شكل هذه المعلومات من خلال الخوارزمية القياسية للاتصالات التجارية، والتي تشمل أربعة عناصر رئيسية:
قد تختلف الفقرات 1 و 2، وكذلك 3 و 4، في أماكن، اعتمادا على الوضع المحدد.
هناك مبلغ كاف من الأساليب المثبتة بشكل جيد وعدم الاستخدام إلى حد ما لتقييم وإدارة المخاطر. واحدة من هذه الأساليب هي اوكتاف وضعت في جامعة كارنيجي البطيخ للاستخدام الداخلي في المنظمة. اوكتاف - تقييم التهديدات الحرجة والأصول والضعف (التهديد الحرج للأصل، والأصل، وتقييم الضعف) لديه عدد من التعديلات المصممة لمؤسسات أحجام مختلفة ومجالات النشاط. جوهر هذه الطريقة هو أن التسلسل يستخدم لتقييم المخاطر الندوات الداخلية المنظمة (ورش العمل). يتم تقييم المخاطر في ثلاث مراحل، والتي تسبقها مجموعة من الأنشطة التحضيرية التي تشمل مواءمة جدول الندوات والوجهات من الأدوار والتخطيط والتنسيق بين المشاركين في فريق المشروع.
في المرحلة الأولى، خلال حلقات دراسية عملية، تطوير ملفات تعريف التهديد، بما في ذلك جرد وتقييم قيمة الأصول، وتحديد المتطلبات المطبقة للتشريع والإطار التنظيمي، وتحديد تهديدات وتقييم احتمالاتهم، وكذلك تحديد يتم تنفيذ نظام التدابير التنظيمية للحفاظ على نظام نظام IB.
في المرحلة الثانية، تحليل فني لموجزات الضعف في نظم المعلومات المنظمة فيما يتعلق بالتهديدات التي تم تطوير ملفات التعريف الخاصة بها في المرحلة السابقة، والتي تشمل تحديد مواطن الضعف الحالية لأنظمة المعلومات المنظمة وتقييمها.
في المرحلة الثالثة، يتم تقييم مخاطر IB ومعالجتها، والتي تشمل تعريف قيمة وحتميات الأضرار نتيجة لتهديدات السلامة التي تستخدم نقاط الضعف التي تم تحديدها في المراحل السابقة، وتحديد استراتيجية الحماية، وكذلك اختيار خيارات وصنع القرار من المخاطر. يتم تعريف مقدار المخاطر على أنه بلغ متوسط \u200b\u200bالقيمة الخسارة السنوية للمنظمة نتيجة لتنفيذ تهديدات السلامة.
كما يتم استخدام نهج مماثل أيضا في طريقة معروفة على نطاق واسع لتقييم خطر الإيمان، المتقدمة في وقت واحد بأمر الحكومة البريطانية. في كرم، فإن الطريقة الرئيسية لتقييم المخاطر مخطط لها بعناية المقابلات التي تستخدم الاستبيانات التفصيلية. يستخدم Cramm في آلاف المنظمات في جميع أنحاء العالم، وذلك بفضل، من بين أمور أخرى، ووجود أداة برمجية متطورة للغاية، تحتوي على قاعدة بيانات معرفة المخاطر وآليات التقليل، وسيلة جمع المعلومات، وكذلك تشكيل التقارير، وكذلك تنفيذ الخوارزميات لحساب حجم المخاطر.
على عكس طريقة OPTAVE، يستخدم Cramm تسلسل مختلف قليلا من الإجراءات والأساليب لتحديد حجم المخاطر. أولا، يتم تحديد جدوى تقييم المخاطر على الإطلاق، وإذا لم يكن نظام معلومات المنظمة أمرا بالغ الأهمية، فسيتم تطبيق مجموعة قياسية من آليات الرقابة الموصوفة بالمعايير الدولية وترد في معرفة كرم.
في المرحلة الأولى، في طريقة CRAMM، نموذج موارد نظام المعلومات، الذي يصف العلاقة بين المعلومات الإعلامية والبرامج والموارد الفنية، ويقدر أيضا قيمة الموارد، بناء على الأضرار المحتملة، والتي قد يتم تكبد المنظمة نتيجة لذلك من المساواة.
في المرحلة الثانية، يتم إجراء تقييم المخاطر، بما في ذلك تحديد وتقييم احتمال التهديدات، وتقييم قيمة نقاط الضعف وحساب المخاطر الخاصة بكل رحلة: الموارد - التهديد هو ضعف. يتم تقييم Cramm من قبل المخاطر "النظيفة"، بغض النظر عن آليات الرقابة المنفذة في النظام. في مرحلة تقييم المخاطر، يفترض أن التدابير المضادة لا تنطبق ومجموعة التدابير المضادة الموصى بها لتقليل المخاطر التي يتم تشكيلها، بناء على هذا الافتراض.
في المرحلة النهائية، يتم تشكيل مجموعة أدوات CramM بواسطة مجموعة من تدابير الرقابة لتقليل المخاطر المحددة والمقارنة بين التدابير المضادة الموصى بها والمتوسطة، وبعد ذلك يتم تشكيل خطة معالجة المخاطر.
في عملية تقييم المخاطر، نمر عددا من المراحل المتتالية، مما أدى بشكل دوري إلى المراحل السابقة، على سبيل المثال، المبالغة في تقدير مخاطر معينة بعد اختيار تدابير مضادة محددة لتقليلها. في كل مرحلة، من الضروري الحصول على استبيانات وقوائم التهديدات والضعف وتسجيل الموارد والمخاطر والوثائق والاجتماعات والمعايير والمبادئ التوجيهية. في هذا الصدد، هناك حاجة إلى خوارزمية مبرمجة معينة، قاعدة بيانات وواجهة للعمل مع هذه البيانات المتنوعة.
للسيطرة على مخاطر IB، يمكن استخدام مجموعة الأدوات، على سبيل المثال، كما في طريقة CRAMM، أو RA2 (كما هو موضح في الشكل)، ولكن هذا ليس إلزاميا. كما قال أيضا في معيار BS 7799-3. قد تكون فائدة استخدام مجموعة الأدوات أنها تحتوي على خوارزمية مبرمجة لسير عمل التقييم وإدارة المخاطر، والتي تبسط العمل في أخصائي عديم الخبرة.
يتيح لك استخدام مجموعة الأدوات توحيد منهجية وتبسيط استخدام النتائج لإعادة تقييم المخاطر، حتى لو تم تنفيذها من قبل متخصصين آخرين. بفضل استخدام مجموعة الأدوات، من الممكن تبسيط تخزين البيانات والعمل مع طراز مورد، ملامح التهديد، نقاط الضعف والمخاطر.
بالإضافة إلى الوسيلة الفعلية لتقييم وإدارة المخاطر، قد تحتوي صك البرمجيات أيضا على وسيلة إضافية لتوثيق SWIB، وتحليل التناقضات مع متطلبات المعايير، وتطوير إدارة الموارد، وكذلك الوسائل الأخرى اللازمة لتنفيذ وتشغيل الصويا وبعد
يتم تحديد اختيار الأساليب عالية الجودة أو الكمية لتقييم المخاطر من خلال طبيعة أعمال المنظمة ومستوى المعلوماتية الخاصة بها، I.E. أهمية أصول المعلومات بالنسبة له، وكذلك مستوى استحقاق المنظمة.
عند تنفيذ نهج رسمي لإدارة المخاطر في المنظمة، من الضروري الاعتماد، أولا وقبل كل شيء، المعايير الحالية، المعايير الحالية (على سبيل المثال، BS 7799-3) ومنهجيات مثبتة جيدا (على سبيل المثال، اوكتاف أو كرمان) وبعد قد يكون من المفيد استخدام أدوات البرمجيات لهذه الأغراض، والتي تنفذ المنهجيات المناسبة وتعظيم تلبية متطلبات المعايير (على سبيل المثال، RA2).
يتم تحديد فعالية عملية إدارة مخاطر IB من خلال دقة واكتمال تحليل وتقييم عوامل الخطر، وكذلك فعالية آليات إدارة القرارات الإدارية والسيطرة على إعدامها.
يتم تحديد قيمة المعلومات من خلال تعقيد إعدادها (جمعها)، تكلفة دعمها (الصيانة)، مبلغ الضرر المحتمل في حالة فقدانه أو تدميره، تكلفة الأشخاص الآخرين (المنافسين، المهاجمون) على استعداد لدفع ثمنها، وكذلك حجم العواقب والغرامات المحتملة، في حالة فقدانها (تسرب). بدون تقييم المعلومات، من المستحيل تقييم جدوى المال والموارد بشكل كاف على حمايته. يجب أن تؤخذ قيمة القيمة في الاعتبار عند اختيار تدابير وقائية.
يمكن إجراء تقييم الأصول بطرق كمية وعالية الجودة. يتم تحديد القيمة الفعلية للأصل على أساس قيمة الاستحواذ والتطوير والدعم. يتم تحديد قيمة الأصل بمعناه أنه يحتوي على أصحاب المستخدمين المعتمدين وغير المصرح لهم. بعض المعلومات مهمة بالنسبة للشركة ويتم تعيينها للخصوصية.
على سبيل المثال، فإن قيمة الخادم هي 4000 دولار، ولكن هذه ليست قيمتها مأخوذة في الاعتبار عند تقييم المخاطر. يتم تحديد القيمة من خلال تكاليف استبدالها أو إصلاحها، وفقدانها بسبب الحد من الأداء أو تلف أو فقدان البيانات المخزنة عليها. سيحدد ذلك الأضرار التي لحقت الشركة في حالة تلف أو فقدان الخادم لسبب أو آخر.
يجب أن تؤخذ الأسئلة التالية في الاعتبار عند تحديد قيمة الأصول:
تحديد قيمة الأصول مفيد للشركة لأسباب متنوعة، بما في ذلك ما يلي:
كما ذكرنا سابقا، فإن الخطر هو احتمال أن يستفيد مصدر التهديد من الضعف، مما سيؤدي إلى تأثير سلبي على الأعمال التجارية. هناك أنواع كثيرة من مصادر التهديدات التي يمكن أن تستخدم أنواع مختلفة من نقاط الضعف، والتي يمكن أن تؤدي إلى تهديدات معينة. وتظهر بعض المخاطر في الجدول 1-2.
الجدول 1-2. علاقة التهديدات والضعف
هناك الآخر، أكثر تعقيدا لتحديد التهديدات التي يمكن أن تحدث في بيئة الكمبيوتر. ترتبط هذه التهديدات بأخطاء في التطبيقات وأخطاء المستخدمين. ومع ذلك، مع المنظمة المناسبة للسيطرة ومراجعة تصرفات المستخدمين من أخطائهم (متعمد أو عشوائي)، لتحديد أسهل بشكل كبير.
بعد تحديد نقاط الضعف والتهديدات المرتبطة بها، يجب تحليل عواقب استخدامها، أي مخاطر الأضرار المحتملة. قد يرتبط الضرر بالأضرار التي لحقت بالبيانات أو الأنظمة (الكائنات)، والإفصاح غير المصرح به للمعلومات السرية، وأداء أداء، إلخ. عند تحليل المخاطر، يجب أن تنظر المجموعة أيضا على الأرجح أضرار الضرر(تأخر الخسارة)، والتي يمكن أن تحدث بعد وقت ما (من 15 دقيقة إلى عدة سنوات) بعد أن تحقق المخاطر. قد يكون سبب الأضرار المتأخرة، على سبيل المثال، انخفاض في أداء العمل بعد فترة زمنية معينة، انخفاض في دخل الشركة، والأضرار التي لحقت سمعتها ونهائيات التخزين والتكاليف الإضافية لاستعادة البيئة، وتعليق تلقي الأموال من العملاء ، إلخ.
على سبيل المثال، إذا كنتيجة للهجوم على خوادم الويب الخاصة بالشركة، فقد توقفت عن خدمة العملاء، يمكن أن يكون تلف البيانات ضرر مباشر، وتكاليف وقت العمل لاستعادة تشغيل تشغيل الخادم، وتحديث البرامج المستضعفين عليها. بالإضافة إلى ذلك، ستفقد الشركة بعض الدخل بسبب استحالة خدمة العملاء خلال الوقت، فسيطلب من ذلك استعادة عمل خوادم الويب الخاصة به. إذا كان العمل الاسترداد سوف يستغرق وقتا كبيرا (على سبيل المثال، في الأسبوع)، فيمكن للشركة أن تفقد كمية كبيرة من الربح، والتي لن تكون قادرة على دفع الفواتير والنفقات الأخرى. سيتم تأجيل هذا الأضرار. وإذا، من بين أشياء أخرى، تفقد الشركة أيضا ثقة العملاء، يمكن أن تفقد أعمالها بالكامل (لفترة من الوقت أو إلى الأبد). هذه حالة متطرفة من الأضرار المؤجلة.
يعقد هذا النوع من القضايا بشكل كبير التقييم الكمي للضرر، ولكن يجب مراعاتهم في الحصول على تقييم موثوق.
طرق تقييم المخاطر.تستخدم العديد من التقنيات المختلفة لتقييم المخاطر. دعونا ننظر إلى بعضهم.
NIST SP 800-30. و 800-66 هي المنهجيات التي يمكن استخدامها من قبل الشركات التجارية، على الرغم من أن 800-66 تم تطويره في البداية للرعاية الصحية وغيرها من الصناعات المنظمة. يأخذ نهج NIST في الاعتبار تهديدات تكنولوجيا المعلومات والمخاطر المقابلة لأمن المعلومات. يوفر الخطوات التالية:
- وصف خصائص النظام
- تحديد التهديدات
- تحديد نقاط الضعف
- تحليل التدابير الحماية
- تعريف الاحتمالات
- تحليل التأثير
- تحديد المخاطر
- توصيات التدابير الوقائية
- توثيق النتائج
غالبا ما تستخدم منهجية تقييم المخاطر NIST SP 800-30 من قبل الاستشاريين ومتخصصي الأمن، وإدارات تكنولوجيا المعلومات الداخلية. تركز بشكل أساسي على أنظمة الكمبيوتر. افصل الأشخاص أو المجموعات الصغيرة جمع البيانات من الشبكة، من ممارسات السلامة المستخدمة، وكذلك من الأشخاص الذين يعملون في الشركة. يتم استخدام البيانات التي تم جمعها كبيانات مصدر لتنفيذ خطوات تحليل المخاطر الموضحة في المستند 800-30.
منهجية تقييم المخاطر الأخرى فراب (عملية تحليل المخاطر التيسير - مجموعة تحليل المخاطر). تم تصميمه لإجراء تقييم نوعي للمخاطر من خلال طريقة تسمح لك بالتحقق من جوانب مختلفة واستخدام منهجيات مختلفة. ويوفر طرقا تسمح للشركات باتخاذ قرارات بشأن اتجاه الإجراءات والإجراءات المحددة في ظروف محددة لحساب مشاكل مختلفة. هذا يجعل من خلال الاختيار الأولية لتحديد تلك المناطق في الشركة التي تحتاج حقا إلى المخاطر. بنيت FRAP بطريقة يمكن لأي شخص لديه مهارات جيدة في تنظيم عمل المجموعة يمكن تحليل المخاطر بنجاح على هذه التقنية.
نوع آخر من المنهجية هو اوكتاف (التهديد الحرج العملي، أصول، وتقييم الضعف - تقييم التهديدات والأصول والنثر النقديين). يجب تطبيق هذه المنهجية في الحالات التي تنفذ فيها موظفو الشركة بأكملها من مخاطر أمن المعلومات من قبل موظفي الشركة (دون جذب الاستشاريين الخارجيين). يعتمد على فكرة أن موظفي الشركة يفهمون أفضل أنه يحتاج حقا إلى شركة، وفي مواجهة ما يخاطر بتكلفة تكنولوجيا المعلومات. يقرر الموظفون المختارون للمشاركة في العملية أنفسهم النهج هو الأفضل لتقييم سلامة شركتهم.
بينما تهدف منهجيات NIST و OPTAVE إلى تهديدات تكنولوجيا المعلومات ومخاطر أمن المعلومات، كما / nzs 4360 يستخدم نهج أكبر بكثير لإدارة المخاطر. يمكن استخدام هذه المنهجية لفهم مخاطر الشركة في مجال التمويل، وحماية الأشخاص، مما يجعل حلول الأعمال، إلخ. لم يتم تصميمه خصيصا لتحليل المخاطر الأمنية، على الرغم من أنه يمكن استخدامه بنجاح لهذا الغرض.
ملاحظة. يمكنك العثور على معلومات إضافية حول هذه الأساليب لتحليل المخاطر واستخدامها في المادة SEAN HARRIS على الصفحة http://searchsecurity.techtarget.com/generic/0.295582/sid14_gci1191926.00.html.كرم. (طريقة التحليل وإدارة المخاطر CCTA - طريقة تحليل وإدارة مخاطر الوكالة المركزية لأجهزة الكمبيوتر والاتصالات السلكية واللاسلكية (CCTA) في المملكة المتحدة) تنقسم إلى ثلاثة قطاعات: تحديد وتقييم الأصول، وتحليل التهديدات والضعف، اختيار التدابير المضادة. تأخذ هذه التقنية في الاعتبار الجوانب الفنية للشركة وغير التقنية.
تحليل شجرة الموثق (تحليل الأشجار الممتدة) هو منهجية تخلق شجرة من جميع التهديدات والعيوب المحتملة التي يمكن أن تعطيل تشغيل النظام. كل فرع هو موضوع أو فئة معممة، يمكن حذف الفروع غير المطبقة في عملية إجراء المخاطر.
FMEA (أوضاع الفشل وتحليل تأثير) - هذه طريقة لتحديد الوظائف، وتحديد العيوب الوظيفية، وتقييم أسباب العيب وعواقبه باستخدام عملية منظمة. يسمح لك استخدام هذه العملية في حالة العيوب المستمرة تحديد المكان الذي من المحتمل أن يحدث الخطأ فيه. إنه يساعد على تحديد الأماكن الضعيفة لتحديد حدود نقاط الضعف وعواقب تشغيلها. بدوره، لا يسمح فقط بتبسيط تطبيق التصحيحات التي تزيل نقاط الضعف، ولكن أيضا لضمان الاستخدام الأكثر كفاءة للموارد في هذه المهمة.
بعد تسلسل معين من الخطوات، يمكنك تحقيق أفضل النتائج في تحليل العيب.
يوضح الجدول 1-3 مثالا وتوثيق FMEA. على الرغم من أن معظم الشركات لا تملك موارد لمثل هذه الدراسة التفصيلية لكل نظام ومراقبة، إلا أنه ينبغي تنفيذ الوظائف والأنظمة الحرجة التي يمكن أن يكون لها تأثير كبير على الشركة. من المهم للغاية تحليل التدبير الوقائي أو نظام المستوى الجزئي الدقيق من أجل فهم كامل حيث يمكن تحديد نقاط الضعف أو العيوب المحتملة وما هي عواقب تشغيل هذه العيوب قد تكون. قد يتكون كل نظام كمبيوتر من مجموعة متنوعة من القنابل الزمنية المختلفة على مستويات مختلفة من هيكلها. في مستوى المكون، قد يكون هذا مكونات تجاوزا مؤقتا أو مكونات خطرة من ActiveX، والتي يمكن أن تسمح للمهاجمين بتحكم في النظام عبر النظام باستخدام الضعف. على مستوى البرنامج، قد يكون التطبيق غير آمن لتنفيذ إذن أو قد لا يحمي مفاتيح التشفير الخاصة به بشكل صحيح. على مستوى النظام، قد يكون لدى نواة نظام التشغيل أوجه القصور، والتي ستسمح للمهاجم دون صعوبة في الحصول على وصول إداري. قد تحدث العديد من الأشياء الرهيبة على أي مستوى، لذلك هذا النهج التفصيلي ضروري.
الجدول 1-3. مثال وتوثيق FMEA
في البداية، تم تصميم FMEA لدراسة الأنظمة. هدفها هو استكشاف العيوب المحتملة في المنتجات والعمليات ذات الصلة. كان هذا النهج ناجحا وتم تكييفه للاستخدام في تقييم الأولويات في مجال إدارة المخاطر وتقليل نقاط ضعف التهديدات المعروفة.
ومع ذلك، فإن FMEA غير فعالة بما فيه الكفاية عند تحديد العيوب المعقدة التي يمكن فيها مشاركة العديد من الأنظمة أو النظم الفرعية المختلفة. في هذه الحالة، من المستحسن استخدام تحليل شجرة الإخفاقات (تحليل شجرة الخطأ). للتحليل مع فشل الأشجار، يتم اتخاذ العملية الرئيسية. كما جذرها (أعلى عنصر في هذه الشجرة المنطقية)، يشار إلى حدث غير مرغوب فيه. ثم، كفروع، يتم إضافة عدد من التعبيرات والأحداث المنطقية، والتي يمكن أن تؤدي إلى تنفيذ حدث أعلى غير مرغوب فيه. بعد ذلك، يتم تمييز شجرة الفشل بالأرقام المقابلة لحتميات الفشل (عادة ما يتم ذلك باستخدام برامج كمبيوتر متخصصة يمكنها حساب احتمالية في شجرة الفشل). يوضح الشكل 1-7 شجرة فشل مبسطة وعلامات منطقية مختلفة تستخدم لتمثيل ما يجب أن يحدث للتسبب في الفشل.
الشكل 1-7. شجرة الإخفاقات والعناصر المنطقية
تظهر أدناه بعض إخفاقات البرامج الأكثر شيوعا والتي يمكن التحقيق بها من خلال تحليل شجرة الفشل:
حاليا، تستخدم أساليب مختلفة لتقييم مخاطر المعلومات الخاصة بشركات وإدارةها. يمكن إجراء تقييم مخاطر المعلومات الخاصة بالشركة وفقا للخطة التالية:
1) تحديد الهوية والتقييم الكمي لموارد معلومات الشركة ذات مغزى للعمل.
2) تقدير التهديدات المحتملة.
3) تقييم نقاط الضعف الحالية.
4) تقييم فعالية أدوات أمن المعلومات.
يفترض أن موارد المعلومات الضعيفة الهامة في الشركة معرضة للخطر إذا كانت هناك أي تهديدات فيما يتعلق بها. وبعبارة أخرى، فإن المخاطر التي تميز الخطر التي يمكن أن تهدد مكونات نظام معلومات الشركات. في الوقت نفسه، تعتمد مخاطر المعلومات في الشركة على:
مؤشرات قيمة موارد المعلومات؛
احتمال تحقيق التهديدات المتعلقة بالموارد؛
كفاءة أدوات أمان المعلومات الحالية أو المخطط لها.
الغرض من تقييم المخاطر هو تحديد خصائص مخاطر نظام معلومات الشركة ومواردها. بعد تقييم المخاطر، يمكنك اختيار الأدوات التي تضمن المستوى المطلوب من أمن المعلومات للشركة. عند تقييم المخاطر، فإن مثل هذه العوامل كقيمة الموارد وأهمية التهديدات والضعف، تؤخذ فعالية وسائل الحماية الحالية والمخططة في الاعتبار. يقدر احتمال وجود تهديد لمورد معين للشركة احتمال تنفيذه لفترة زمنية معينة. في هذه الحالة، يحدد احتمال تنفيذ التهديد من خلال العوامل الرئيسية التالية:
جاذبية المورد (مراعاتها عند النظر في التهديد من التأثير المتعمد من جانب الشخص)؛
إمكانية استخدام مورد للدخل (في حالة وجود تهديد من التأثير المتعمد على جزء شخص)؛
القدرات التقنية لتنفيذ التهديد بالتأثير المتعمد على جزء من الشخص؛
درجة السهولة التي يمكن بها استخدام الضعف.
حاليا، تعد إدارة مخاطر المعلومات واحدة من أكثر المناطق إلحاحية وتطوير الإدارة بشكل حيوي في مجال الإدارة الإستراتيجية والتشغيلية في مجال حماية المعلومات. مهمتها الرئيسية هي تحديد وتقييم مخاطر معلومات الشركة الأكثر أهمية في الشركة، وكذلك كفاية أدوات مكافحة المخاطر المستخدمة لزيادة كفاءة وربحية النشاط الاقتصادي للشركة. لذلك، بموجب مصطلح "إدارة مخاطر المعلومات"، عادة ما يتم فهم عملية النظامية للتحكم والسيطرة على المعلومات والحد من مخاطر المعلومات الخاصة بالشركات وفقا لقيود معينة للإطار التنظيمي الروسي في مجال حماية المعلومات وأمن الشركات الخاصة بها سياسات. ويعتقد أن إدارة المخاطر عالية الجودة تجعل من الممكن استخدام الأمثل والتكاليف للتحكم في المخاطر ووسائل حماية المعلومات، كافية للأهداف الحالية والأهداف التجارية للشركة.
ليس من السري أن يكون هناك حاليا تعزيز واسع النطاق للاعتماد على صناعة الأعمال الناجحة للشركات المحلية من التدابير التنظيمية والوسائل التقنية للسيطرة والحد من المخاطر. بالنسبة لإدارة مخاطر المعلومات الفعالة، تم تطوير تقنيات خاصة، مثل المعايير الدولية ISO 15408، ISO 17799 (BS7799)، BSI؛ بالإضافة إلى المعايير الوطنية NIST 80030، SAC و COSO و SAS 55/78 وبعضها البعض مماثلة لها. وفقا لهذه الأساليب، تنطوي إدارة مخاطر المعلومات في أي شركة على ما يلي. أولا، تحديد الأهداف والمهام الرئيسية لحماية أصول المعلومات الخاصة بالشركة. المرتبطة، وخلق نظام التقييم الفعال ومخاطر المعلومات. ثالثا، حساب مجمل مفصل ليس فقط الجودة، ولكن أيضا تقييمات مخاطر كمية كافية للأهداف التجارية المعلنة. جزئيا، تطبيق أدوات تقييم المخاطر الخاصة وإدارة المخاطر الخاصة.
تقنيات إدارة مخاطر الجودة
يتم اعتماد تقنيات إدارة المخاطر النوعية في البلدان المتقدمة من الناحية التكنولوجية من قبل الجيش العديد من الجيش الدولي للمؤسسات الداخلية والخارجية. هذه التقنيات تحظى بشعبية كبيرة وبسيطة نسبيا، وعادة ما تكون مصممة، بناء على متطلبات المعيار الدولي ISO 177992002.
معيار ISO 17799 يحتوي على جزأين.
في الجزء 1: توصيات عملية بشأن إدارة أمن المعلومات، 2002، حددت الجوانب الرئيسية لمنظمة نظام أمن المعلومات في الشركة: سياسة الأمن. تنظيم الحماية. تصنيف وإدارة موارد المعلومات. إدارة شؤون الموظفين. الأمن المادي. إدارة أنظمة الكمبيوتر والشبكات. التحكم في الوصول إلى الأنظمة. تطوير وصيانة النظم. تخطط لتنظيم غير متقطع للمنظمة. التحقق من نظام الامتثال لمتطلبات IB.
الجزء 2: المواصفات، 2002، تعتبر هذه الجوانب من وجهة نظر شهادة وضع أمن المعلومات للشركة للامتثال لمتطلبات المعيار. من وجهة نظر عملية، فإن هذا الجزء هو أداة لتثباتها وتسمح لك بإجراء تدقيق داخلي أو خارجي بسرعة لأمن المعلومات لأي شركة.
تتضمن أساليب إدارة المخاطر النوعية بناء على متطلبات ISO 17999 تقنيات أداة COBRA و RA. دعونا نفكر لفترة وجيزة في هذه التقنيات.
تتيح لك هذه التقنية إجراء أبسط خيار لتقدير مخاطر المعلومات في أي شركة في وضع آلي. للقيام بذلك، يقترح استخدام قواعد وإجراءات المعرفة الإلكترونية الخاصة الموجهة للمخرجات المنطقية لمتطلبات ISO 17799. من الضروري أنه إذا رغبت في ذلك، يمكن استكمال قائمة المتطلبات ذات الصلة بمتطلبات مختلفة من السلطات التنظيمية التنظيمية المحلية، ل مثال، متطلبات الوثائق التوجيهية (RD) من مجلس الدولة للاتحاد الروسي.
تقدم منهجية كوبرا متطلبات معيار ISO 17799 في شكل استبيانات مواضيعية (قائمة الاختيار)، والتي يجب الإجابة عليها أثناء تقييم مخاطر أصول المعلومات والخدمات الإلكترونية للشركة ( تين. 1. - مثال على المجموعة المواضيعية من أسئلة كوبرا). تتم معالجة الاستجابات التالية تلقائيا، وبمساعدة قواعد الإخراج المنطقي المناسبة، يتم تشكيل تقرير نهائي بالتقييمات الحالية لمخاطر المعلومات والتوصيات الخاصة بالشركة لإدارتها.
أداة برامج RA
منهجية أداة أداة أداة RA ( تين. 2. - طرق الوحدات الأساسية أساليب أداة برامج RA) بناء على متطلبات المعايير الدولية ISO 17999 و ISO 13335 (الجزء 3 و 4)، وكذلك بشأن متطلبات بعض المعهد الوطني البريطاني لمعهد المعايير (BSI)، على سبيل المثال، PD 3002 (دليل إدارة المخاطر) ، PD 3003 (تقييم شركات الاستعداد للتدقيق وفقا ل BS 7799)، PD 3005 (المبادئ التوجيهية لاختيار نظام الحماية)، إلخ.
تتيح لنا هذه التقنية تقييم مخاطر المعلومات (الوحدات النمطية 4 و 5) وفقا لمتطلبات ISO 17799، وإذا رغبت في ذلك، وفقا لمواصفات أكثر تفصيلا للقيادة PD 3002 للمعهد البريطاني للمعايير.
تقنيات إدارة المخاطر الكمية
تشكل المجموعة الثانية من تقنيات إدارة المخاطر تقنيات كمية، والتي يرجع أهمية إلى الحاجة إلى حل مهام التحسين المختلفة التي غالبا ما تنشأ في الحياة الحقيقية. يتم تقليل جوهر هذه المهام إلى البحث عن الحل الأمثل الوحيد، من مجموعة متنوعة من تلك الموجودة. على سبيل المثال، من الضروري الإجابة على الأسئلة التالية: "كيف، المتبقية في إطار الميزانية السنوية (الفصلية) المعتمدة لأمن المعلومات، لتحقيق أقصى درجة من أمن أصول معلومات الشركة؟" أو "ماذا عن بدائل بناء حماية معلومات الشركات (موقع WWW المحمي أو البريد الإلكتروني للشركات) للاختيار، مع مراعاة القيود المعروفة للأعمال التجارية للشركة؟" لحل هذه المشاكل وتطوير أساليب وطرق التقييم الكمي وإدارة المخاطر على أساس الأساليب الهيكلية والأقل تتراكم لتحليل النظام والتصميم (تحليل وتصميم النظم الهيكلية SSADM). في الممارسة العملية، تتيح تقنيات إدارة المخاطر هذه: إنشاء نماذج من شركات أصول المعلومات من حيث الأمن؛ تصنيف وتقييم قيمة الأصول؛ ارسم قوائم أهم التهديدات والضعف الأمني؛ تصنيف التهديدات والضعف الأمني؛ تبرير الأموال وتدابير مكافحة المخاطر؛ تقييم فعالية / تكلفة خيارات الحماية المختلفة؛ إضفاء الطابع الرسمي على وإجراءات تقييم المخاطر وإجراءات الإدارة.
واحدة من أكثر الطرق الشهرة لهذه الفئة هي تقنية كرم.
أولا، تم إنشاء الطريقة، ثم طريقة CRAMS لنفس الأسماء (تحليل المخاطر والتحكم) التي تتوافق مع متطلبات CCA. ثم ظهر هناك عدد قليل من الإصدارات من المنهجية التي تركز على متطلبات مختلف المنظمات والهياكل الحكومية والتجارية. انتشر أحد إصدارات "الملف الشخصي التجاري" على نطاق واسع في السوق لحماية المعلومات.
الأهداف الرئيسية لمنهجية CRAMS هي: إضفاء الطابع الرسمي على إجراءات وأتمتة إجراءات تحليل وإدارة المخاطر؛ تحسين النفقات للسيطرة والحماية؛ التخطيط الشامل وإدارة المخاطر في جميع مراحل دورة حياة نظم المعلومات؛ تقليل الوقت لتطوير وصيانة نظام حماية معلومات الشركات؛ تبرير فعالية التدابير الأمنية المقترحة والضوابط؛ إدارة التغييرات والحوادث؛ دعم استمرارية الأعمال اتخاذ القرارات التشغيلية بشأن قضايا إدارة الأمن، إلخ.
يتم إجراء إدارة المخاطر في طريقة CrapM في عدة مراحل (الشكل 3).
في المرحلة الأولى من البدء - "بدء" - حدود الدراسة قيد الدراسة لنظام المعلومات للشركة، وتكوين وتنظيم أصول ومعاملات المعلومات الرئيسية لها مصممة.
في مرحلة تحديد وتقييم الموارد - تحديد وتقييم الأصول - يتم تحديد الأصول بوضوح وتكلفةها مصممة. يسمح لك حساب تكلفة أصول المعلومات بشكل لا لبس فيه بتحديد حاجة واكتفاء وسائل السيطرة والحماية المقترحة.
في مرحلة تقدير التهديدات والضعف - "تقييم التهديد والضعف" - يتم تحديد التهديدات والضعف في أصول معلومات الشركة وتقييمها.
مرحلة تحليل المخاطر هي "تحليل المخاطر" - تتيح لك الحصول على تقييمات عالية الجودة والكمية.
في مرحلة إدارة المخاطر - "إدارة المخاطر" - يتم تقديم تدابير ووسائل تقليل أو تخاطر التهرب.
دعونا نلقي نظرة على إمكانيات Cramm في المثال التالي. واسمحوا تقييم مخاطر المعلومات لنظام معلومات الشركات التالي (الشكل 4).
في هذا المخطط، سنختار مشروط العناصر التالية للنظام: الوظائف التي يدخل المشغلون المعلومات التي تدخل العالم الخارجي؛ خادم البريد المعلومات التي تأتي مع عقد شبكة عن بعد عبر الإنترنت؛ خادم المعالجة المثبت عليه DBMS؛ خادم النسخ الاحتياطي أماكن العمل فريق استجابة الوظيفة؛ مكان عمل مسؤول الأمن؛ قاعدة بيانات المسؤول في مكان العمل.
يتم تنفيذ نظام النظام على النحو التالي. يتم إرسال البيانات التي تم إدخالها من وظائف المستخدم وإدخال خادم البريد إلى خادم معالجة الشركات. ثم تأتي البيانات إلى أماكن عمل مجموعة الاستجابة التشغيلية وتتخذ القرارات المناسبة هناك.
دعونا الآن إجراء تحليل للمخاطر باستخدام تقنية Cramm ويقدم بعض وسائل التحكم وإدارة المخاطر، كافية لأهداف وأهداف أعمال الشركة.
تعريف حدود الدراسة. تبدأ المرحلة بحل مشكلة تحديد حدود النظام قيد الدراسة. لهذا، يتم جمع المعلومات التالية: مسؤولة عن الموارد الفيزيائية والبرمجيات؛ من هو المستخدم وكيف يستخدم المستخدمون أو يستخدمون النظام؛ أعدادات النظام. يتم جمع المعلومات الأساسية في عملية المحادثات مع مديري المشاريع أو مدير المستخدم أو الموظفين الآخرين.
تحديد الموارد وبناء نموذج النظام من وجهة نظر IB. يتم تنفيذ تحديد الموارد: المواد والبرامج والمعلومات الواردة في حدود النظام. يجب أن يعزى كل مورد إلى واحدة من الفئات المحددة مسبقا. يتم توفير تصنيف الموارد المادية في التطبيق. ثم يتم بناء نموذج نظام المعلومات من وجهة نظر IB. لكل عملية معلومات لها قيمة مستقلة من وجهة نظر المستخدم وتسمى خدمة المستخدم (Enduserservice)، يتم بناء سندات الموارد المستخدمة. في المثال، سيكون المثال هو الخدمة المماثلة الوحيدة (الشكل 5). يتيح لك النموذج المنشد تسليط الضوء على العناصر الحرجة.
قيمة الموارد. تسمح لك هذه التقنية بتحديد قيمة الموارد. هذه الخطوة إلزامية في النسخة الكاملة من تحليل المخاطر. يتم تحديد قيمة الموارد المادية في هذه الطريقة بسعر انتعاشها في حالة الدمار. يتم تحديد قيمة البيانات والبرامج في المواقف التالية: عدم إمكانية الوصول إلى المورد لفترة زمنية معينة؛ تدمير الموارد - فقدان المعلومات التي تم الحصول عليها منذ النسخ الاحتياطي الأخير أو تدميرها التام؛ انتهاك السرية في حالات الوصول غير المصرح به للموظفين بدوام كامل أو الأشخاص غير المصرح لهم؛ يتم اعتبار التعديل لحالات أخطاء الموظفين الصغيرة (أخطاء الإدخال)، أخطاء البرنامج، أخطاء متعمدة؛ الأخطاء المتعلقة بنقل المعلومات: فشل التسليم، عدم وجود المعلومات، التسليم عن طريق عنوان غير صحيح. لتقييم الضرر المحتمل الذي يقترح استخدام المعايير التالية: الأضرار التي لحقت سمعة المنظمة؛ انتهاك التشريعات الحالية؛ الأضرار التي لحقت صحة الموظفين؛ الأضرار المتعلقة بالإفصاح عن البيانات الشخصية للأفراد؛ الخسائر المالية من الكشف عن المعلومات؛ الخسائر المالية المتعلقة باستعادة الموارد؛ الخسائر المرتبطة باستحالة الوفاء بالالتزامات؛ عدم تنظيم النشاط.
يتم استخدام المجموعة المذكورة أعلاه من المعايير في الإصدار التجاري من الطريقة (الملف الشخصي القياسي). في الإصدارات الأخرى، ستكون المجموع مختلفا، على سبيل المثال، في الإصدار المستخدم في الوكالات الحكومية، تعكس المعلمات مجالات مثل الأمن القومي ويتم إضافة العلاقات الدولية.
بالنسبة للبيانات والبرامج، يتم اختيار المعايير المطبقة على هذا IC، يتم إجراء الضرر على نطاق بقيم من 1 إلى 10.
على سبيل المثال، إذا كانت البيانات تحتوي على تفاصيل المعلومات السرية التجارية (الحرجة)، فإن خبير يحمل دراسة، يسأل عن السؤال: كيف يمكن الوصول غير المصرح به إلى الأشخاص غير المصرح لهم في المنظمة؟
هذه الإجابة ممكنة: الفشل في وقت واحد في العديد من المعلمات في تلك المذكورة أعلاه، وينبغي اعتبار كل جانب مزيد من التفاصيل وتعيين أعلى تقديرات محتملة.
ثم يتم تطوير المقاييس لنظام المعلمات المحدد. قد تبدو مثل هذا.
الأضرار التي لحقت سمعة المنظمة: 2 - رد الفعل السلبي للمسؤولين الأفراد والشخصيات العامة؛ 4 - النقد في وسائل الإعلام، وليس وجود صدى عام واسع؛ 6 - رد الفعل السلبي للنواب الفرديين في مجلس الدوما، مجلس الاتحاد؛ 8 - انتقاد في وسائل الإعلام، وجود عواقب في شكل فضائح كبير، جلسات الاستماع البرلمانية، الشيكات على نطاق واسع، إلخ؛ 10 - رد فعل سلبي على مستوى الرئيس والحكومة.
الأضرار التي لحقت بصحة الموظفين: 2 - الحد الأدنى من الأضرار (العواقب غير مرتبطة بالمستشفى أو العلاج على المدى الطويل)؛ 4 - الأضرار التي لحقت بالحجم المتوسط \u200b\u200b(العلاج ضروري لأحد الموظفين أو عدة موظفين، ولكن لا توجد عواقب سلبية طويلة)؛ 6 - عواقب وخيمة (الاستشفاء على المدى الطويل أو إعاقة واحدة أو عدة موظفين)؛ 10 - وفاة الناس.
الخسائر المالية المرتبطة باسترداد الموارد: 2 - أقل من 1000 دولار؛ 6 - من 1000 دولار إلى 10،000 دولار؛ 8 - من 10،000 دولار إلى 100،000 دولار؛ 10 - أكثر من 100000 دولار.
منظم أنشطة الاتصالات مع عدم إمكانية الوصول إلى البيانات: 2 - عدم الوصول إلى المعلومات تصل إلى 15 دقيقة؛ 4 - عدم الوصول إلى المعلومات حتى ساعة واحدة؛ 6 - عدم الوصول إلى المعلومات تصل إلى 3 ساعات؛ 8 - عدم الوصول إلى المعلومات من 12 ساعة؛ 10 - عدم الوصول إلى المعلومات لأكثر من يوم.
في هذه المرحلة، يمكن إعداد عدة أنواع من التقارير (حدود النظام، نموذج، تقدير قيمة الموارد). إذا كانت قيم الموارد منخفضة، فيمكنك استخدام خيار الأمان الأساسي. في هذه الحالة، يمكن للباحث الانتقال من هذه المرحلة مباشرة إلى مرحلة تحليل المخاطر. ومع ذلك، بالنسبة للمحاسبة الكافية للتأثير المحتمل لبعض التهديد أو نقاط الضعف أو مزيج من التهديدات والضعف التي لها مستويات عالية، ينبغي استخدام النسخة المختصرة من مراحل تقييم التهديدات والضعف. يتيح لك ذلك تطوير نظام أكثر كفاءة لنظام أمان المعلومات.
بمعدل تقدير التهديدات والأجهزة، يتم تقييم اعتمادات خدمات المستخدمين من مجموعات معينة من الموارد والمستوى الحالي للتهديدات والضعف.
بعد ذلك، يتم تجميع أصول الشركة من وجهة نظر التهديدات والضعف. على سبيل المثال، في حالة تهديد بالنار أو السرقة، كفريق موارد، من المعقول النظر في جميع الموارد في مكان واحد ( غرفة الخادم، غرفة الاتصالات، إلخ).
في الوقت نفسه، يمكن إجراء تقييم مستويات التهديدات والضعف على أساس العوامل غير المباشرة أو على أساس التقديرات المباشرة للخبراء. في الحالة الأولى، يولد برنامج Cramm لكل مجموعة موارد وكل منهما قائمة بالأسئلة التي تعترف بإجابة لا لبس فيها ( تين. 8. - التنازل عن مستوى تهديد السلامة للعوامل غير المباشرة).
يقدر مستوى التهديدات، اعتمادا على الإجابات، بصيغته: عالية جدا؛ طويل؛ وسط؛ قليل؛ منخفظ جدا.
يقدر مستوى الضعف، اعتمادا على الإجابات، بصيغتها: عالية؛ وسط؛ قليل؛ غائب.
من الممكن إجراء تصحيح النتائج أو استخدام طرق التقييم الأخرى. بناء على هذه المعلومات، يتم حساب مستويات المخاطر في نطاق منفصل مع التدرجات من 1 إلى 7 (مرحلة تحليل المخاطر). يتم تحليل المستويات الناتجة من التهديدات والضعف والمخاطر وتنسيقها مع العميل. عندها فقط يمكن نقلها إلى المرحلة النهائية من الطريقة.
إدارة المخاطر. يتم تقديم الخطوات الرئيسية لمرحلة إدارة المخاطر في الشكل. تسع.
في هذه المرحلة، يولد Cramm العديد من الخيارات لمواجهة مكافحة المخاطر الواحدة ومستوياتها. تنقسم التدابير المضادة إلى مجموعات ومجموعات فرعية في الفئات التالية: الأمان على مستوى الشبكة. توفير الأمن الجسدي. ضمان أمن الدعم للبنية التحتية. التدابير الأمنية على مستوى مسؤول النظام.
نتيجة لتنفيذ هذه المرحلة، يتم تشكيل عدة أنواع من التقارير.
وبالتالي، فإن المنهجية التي تعتبر تحليل وإدارة المخاطر قابلة للتطبيق بالكامل وفي الظروف الروسية، على الرغم من حقيقة أن مؤشرات أمن NSD للمعلومات ومتطلبات حماية المعلومات تختلف في الكمبيوتر الروسي والمعايير الأجنبية. استخدام الأدوات مثل طريقة CRAMS الخاصة بطريقة CRAMS عند تحليل مخاطر نظم المعلومات ذات المتطلبات المرتفعة في مجال IB مفيد بشكل خاص. يتيح لك ذلك الحصول على تقييمات مدعومة للمستويات الحالية والمجولة للتهديدات والضعف وكفاءة الحماية.
تقنية المنبه
طورت المنهجية تقنيات التقييم الخاصة بها وإدارة المخاطر وأصدرت عددا من الأدوات ذات الصلة. وتشمل هذه الأموال: حول التحليل وإدارة المخاطر في منشئ المخاطر التشغيلية واستشار المخاطر. تتوافق التقنية مع معيار إدارة المخاطر الأسترالي / النيوزيلندي الأسترالي (AS / NZS 4360: 1999) ومعيار ISO17799. إدارة دورة حياة تكنولوجيا المعلومات وفقا ل COBIT Advisor 3RD Edition (التدقيق) ومستشار إدارة EDITION COBIT 3RD. في كتيبات COBIT، يتم دفع مكان مهم للتحليل وإدارة المخاطر. برنامج لأتمتة بناء مجموعة متنوعة من استبيانات بناء الاستبيان.
دعنا نعتبر بإيجاز إمكانيات مستشار المخاطر. يتم وضع ذلك كتحليلات أو مدير في مجال أمن المعلومات. يتم تنفيذ تقنية لتعيين نموذج نظام المعلومات من وجهة نظر أمن المعلومات، وتحديد المخاطر والتهديدات والخسارة نتيجة للحوادث. المراحل الرئيسية للعمل هي: وصف السياق، وتحديد المخاطر، وتقييم التهديدات والأضرار المحتملة، وتطوير تأثيرات السيطرة وتطوير خطة للانتعاش والإجراءات في حالات الطوارئ. دعونا نلقي نظرة على الخطوات المدرجة أكثر. وصف المخاطر. مخاطر مصفوفة ( تين. 10. - تحديد وتحديد المخاطر في مستشار المخاطر) بناء على بعض القالب. يتم تقدير المخاطر على نطاق الجودة وتنقسم إلى مقبول وغير مقبول ( تين. 11. - فصل المخاطرة للمقررين وغير المقبول في مستشار المخاطر). ثم يتم تحديد التعرض للتحكم (التدابير المضادة)، مع مراعاة نظام المعايير المسجلة سابقا، فعالية التدابير المضادة وتكلفتها. يتم تقييم التكلفة والفعالية أيضا في جداول عالية الجودة.
وصف التهديدات. في البداية، يتم تشكيل قائمة بالتهديدات. يتم تصنيف التهديدات بالتأكيد، ثم يتم وصف العلاقة بين المخاطر والتهديدات. يتم وصف الوصف أيضا على مستوى نوعي ويسمح لك بإصلاح علاقاتهم.
وصف الخسائر. يتم وصف الأحداث (العواقب) المتعلقة بانتهاك وضع أمان المعلومات. يتم تقييم الخسائر في نظام المعايير المحددة.
تحليل النتائج. نتيجة لبناء النموذج، يمكنك تشكيل تقرير مفصل (حوالي 100 أقسام)، انظر إلى الأوصاف المجمعة الشاشة في شكل Grappharis.
تتيح لك المنهجية التي تعتبرها أتمتة جوانب مختلفة من إدارة مخاطر الشركة. في هذه الحالة، يتم تقديم تقييمات المخاطر في جداول عالية الجودة. لا يتم توفير تحليل مفصل لعوامل الخطر. إن قوة الطريقة التي تم النظر فيها هي القدرة على وصف الروابط المختلفة، مع مراعاة العديد من عوامل الخطر وكثافة العمالة أقل بكثير مقارنة بالكرام.
استنتاج
الأساليب الحديثة وتكنولوجيات إدارة مخاطر المعلومات تجعل من الممكن تقدير المستوى الحالي لمخاطر المعلومات المتبقية في الشركات المحلية. هذا مهم بشكل خاص في الحالات التي يفرض فيها نظام المعلومات للشركة متطلبات زيادة المعلومات المتعلقة بحماية المعلومات واستمرارية الأعمال. اليوم هناك عدد من تقنيات تحليل المخاطر، بما في ذلك استخدام الحالات، والاستخدام المتكيف في الظروف المحلية. من الضروري أن يؤدي التحليل النوعي لأداء مخاطر المعلومات، من الممكن إجراء تحليل مقارن ل "كفاءة وتكرار" خيارات الحماية المختلفة، واختيار التدابير المضادة والضوابط المناسبة، وتقييم مستوى المخاطر المتبقية. بالإضافة إلى ذلك، تتيح أدوات تحليل المخاطر القائمة على قواعد المعرفة الحديثة وإجراءات الإخراج المنطقي بناء نماذج هيكلية وموجهة نحو الكائنات من أصول المعلومات للشركة، ونماذج التهديدات والمخاطر المرتبطة بالمعلومات الفردية وجريق الأعمال، وبالتالي تحديد هذه أصول المعلومات للشركة، خطر انتهاك الأمن الذي هو أمر بالغ الأهمية، وهذا أمر غير مقبول. توفر هذه الأدوات الأساسية فرصة لبناء نماذج مختلفة لحماية أصول المعلومات الخاصة بالشركة، ومقارنة المتغيرات المختلفة لتدابير الحماية والرقابة، ومراقبة الوفاء بمتطلبات تنظيم نظام أمن المعلومات للشركة المحلية.
ITMO، ***** @ *** كوم
العالم - د. T.N.، أستاذ إيتمو، ***** @
حاشية. ملاحظة
تناقش المقالة أساليب حساب خطر أمن المعلومات، مقارنة مع مؤشر العيوب الحرجة. يتم تقديم اقتراح لاستخدام طريقة تقييم المخاطر.
الكلمات الدالة: المخاطر، نظام المعلومات، أمن المعلومات، طريقة حساب المخاطر، تقييم المخاطر، أصول المعلومات.
مقدمة
نظام إدارة مخاطر أمن المعلومات (IB) هو مهمة عاجلة في جميع مراحل تشغيل مجمع حماية المعلومات. في الوقت نفسه، من المستحيل إدارة المخاطر قبل أن لا يقدرهم، والتي بدورها يجب أن يتم إنتاجها وفقا لأي تقنية. في مرحلة تقييم المخاطر، فإن بيانات الصيغ وإدخالها لحساب قيمة المخاطر هي أكبر اهتمام. تحلل المقالة عدة طرق مختلفة لحساب المخاطر وقدمت تقنيةها الخاصة. الهدف من العمل هو استخلاص الصيغة لحساب مخاطر أمن المعلومات، والذي يسمح بالحصول على مجموعة من المخاطر الحالية وتقييم الخسارة في المعادلة النقدية.
يتم تعريف خطر أمن المعلومات في النموذج الكلاسيكي كدالة من ثلاثة متغيرات:
إذا كانت أي من هذه المتغيرات تقترب من الصفر، فإن المخاطر الكاملة تسعى جاهدة أيضا مقابل صفر.
طرق تقييم المخاطر
ISO / IEC 27001. فيما يتعلق بمنهجية حساب قيمة المخاطر، يقال: يجب أن تضمن المنهجية المحددة أن تقييمات المخاطر تعطي نتائج مماثلة ومؤثرات قابلة للتكرار. في الوقت نفسه، لا يوفر المعيار صيغة محددة للحساب.
يوفر NIST 800-30 صيغة حساب مخاطر الكلاسيكية:
حيث ص هي قيمة المخاطرة؛
P (T) هو احتمال تهديد IB (مزيج من النطاق العالي الجودة والكمية)؛
S هي درجة تأثير التهديد بالأصل (سعر الأصل في نطاق الجودة والكمية).
نتيجة لذلك، يتم احتساب قيمة المخاطر في الوحدات النسبية، والتي يمكن تصنيفها وفقا لدرجة الأهمية لإجراءات إدارة مخاطر أمن المعلومات.
GOST R ISO / IEC ثم 7. حساب المخاطر، على عكس الحدوث معيار NIST 800-30 في ثلاثة عوامل:
r \u003d p (t) * p (v) * s،
حيث ص هي قيمة المخاطرة؛
P (T) - احتمال تنفيذ تهديد IB؛
P (V) هو احتمال الضعف؛
S هي قيمة الأصل.
كمثال على قيم الاحتمالات P (T) و P (V)، يتم تقديم مقياس عالية الجودة مع ثلاثة مستويات: منخفضة ومتوسطة وعالية. لتقدير قيمة قيمة الأصول S، يتم تقديم القيم الرقمية في النطاق من 0 إلى 4. ينبغي أن يتم إجراء مقارنة بينها القيم النوعية من قبل منظمة يتم فيها تقييم مخاطر أمن المعلومات.
BS 7799. يتم احتساب مستوى المخاطر بناء على ثلاثة مؤشرات - قيم المورد، مستوى التهديد ودرجة الضعف. مع زيادة قيم هذه المعلمات الثلاثة، تزداد المخاطر، وبالتالي، يمكن تمثيل الصيغة على النحو التالي:
r \u003d s * l (t) * l (v)،
حيث ص هي قيمة المخاطرة؛
S هي قيمة الأصول / المورد؛
ل (ر) - مستوى التهديد؛
L (v) - المستوى / درجة من الضعف.
في الممارسة العملية، يحدث حساب مخاطر IB على جدول تحديد موقع قيم مستوى التهديدات، ودرجة احتمال استخدام مدى الضعف وتكلفة الأصل. قد تختلف قيمة المخاطر في النطاق من 0 إلى 8، نتيجة لذلك، لكل أصول، يتم الحصول على قائمة بالتهديدات ذات القيم المخاطر المختلفة. أيضا، يوفر المعيار موازين تصنيف المخاطر: منخفض (0-2)، متوسط \u200b\u200b(3-5) وعالية (6-8)، مما يسمح لك بتحديد المخاطر الأكثر أهمية.
stob ibbs. وفقا للتقدير القياسي لدرجة إمكانية تنفيذ تهديد IB، يتم إنتاجه وفقا لمقياس نوعي ومنطقي، والتهديد غير القابل للجدل - 0٪، متوسط \u200b\u200b- من 21٪ إلى 50٪، إلخ. التصميم من شدة عواقب أنواع مختلفة من أصول المعلومات، يقترح أيضا تقييمها باستخدام مقياس نوعيا، أي ضئيلة - 0.5٪ من رأس مال البنك، مرتفع - من 1.5٪ إلى 3٪ من رأس مال البنك.
للقيام بتقييم نوعي لمخاطر أمن المعلومات، يتم استخدام جدول توافق شدة العواقب واحتمال وجود تهديد. إذا كنت بحاجة إلى تحديد، فيمكن تمثيل الصيغة ك:
حيث ص هي قيمة المخاطرة؛
P (V) هو احتمال تنفيذ تهديد IB؛
S هي قيمة الأصل (شدة العواقب).
الطريقة المقترحة
بعد أن نظرت في جميع الأساليب المذكورة أعلاه لتقييم المخاطر من حيث حساب قيمة مخاطر أمن المعلومات، تجدر الإشارة إلى أن حساب المخاطر يتم تنفيذه باستخدام قيمة التهديدات وقيمة الأصول. عيب كبير هو تقييم قيمة الأصول (حجم الضرر) كقيم مشروطة. لا تحتوي القيم التقليدية على وحدات القياسات المطبقة في الممارسة العملية، وخاصة ليست مكافئة نقدية. نتيجة لذلك، هذا لا يعطي تمثيلا حقيقيا لمستوى المخاطر، والتي من الممكن نقلها إلى الأصول الحقيقية لكائن الحماية.
وبالتالي، يقترح تقسيم الإجراء لحساب المخاطر إلى مرحلتين:
1. حساب قيمة المخاطر التقنية.
2. حساب الضرر المحتمل.
بموجب المخاطر الفنية، فهو يعني أهمية خطر أمن المعلومات تتألف من احتمالات تنفيذ التهديدات واستخدام نقاط الضعف لكل عنصر من مكونات البنية التحتية للمعلومات، مع مراعاة مستوى سريته ونزاهتها وإمكانية الوصول إليها. للمرحلة الأولى لدينا الصيغ الثلاثة التالية:
RC \u003d KC * P (T) * p (v)، ri \u003d ki * p (t) * p (v)،
ra \u003d ka * p (t) * p (v)،
حيث RC هي قيمة خطر السرية؛
ري - قيمة خطر النزاهة؛
RA - قيمة مخاطر الوصول؛
KC - نسبة الخصوصية لأصل المعلومات؛
كي - معامل النزاهة لأصل المعلومات؛
كا - معامل توافر أصول المعلومات؛
P (T) هو احتمال التهديد؛
P (V) هو احتمال الضعف.
إن استخدام هذه الخوارزمية سيجعل من الممكن إنتاج تقييم أكثر تفصيلا للمخاطر، والاستقبال عند إخراج القيمة الأبعاد التي لا احتمالية خطر خطر الإصابة بأوصي كل المعلومات بشكل منفصل.
بعد ذلك، من الممكن حساب قيمة الضرر، ولهذا يستخدم قيمة متوسط \u200b\u200bلخطر كل أصول المعلومات وحجم الخسائر المحتملة:
حيث تكون قيمة الضرر؛
RCR - متوسط \u200b\u200bقيمة المخاطر؛
S - الخسارة (في معادل نقدية).
تتيح لك التقنية المقترحة تقدير قيمة مخاطر أمن المعلومات وتغيير الخسائر النقدية في حالة حوادث السلامة.
المؤلفات
1. ISO / IEC 27001. يحتوي المعيار الدولي على متطلبات أمن المعلومات لإنشاء نظام إدارة أمن المعلومات وتطوير والحفاظ عليه. 20C.
2. GOST R ISO / IEC ثم 7. المعيار الوطني للاتحاد الروسي. الأساليب والأدوات الأمنية. الجزء 3. طرق إدارة سلامة تكنولوجيا المعلومات. موسكو. 20C.
3. BS 7799-2: 2005 مواصفات نظام إدارة أمن المعلومات. إنكلترا. 20C.
4. rs br ibbs-2.2-200. ضمان أمن المعلومات من مؤسسات النظام المصرفي للاتحاد الروسي. طرق لتقييم مخاطر انتهاكات أمن المعلومات. موسكو. 20C.
5. دليل إدارة المخاطر لأنظمة تكنولوجيا المعلومات. توصيات المعهد الوطني للمعايير والتكنولوجيا. الولايات المتحدة الأمريكية. 20C.
6. مصدر إلكتروني ل Wikipedia، المادة "خطر".
من المعروف أن الخطر هو احتمال تنفيذ تهديد أمن المعلومات. في العرض التقديمي الكلاسيكي، يشتمل تقييم المخاطر على تقييم للتهديدات والضعف والأضرار المطبقة في تنفيذها. يتمثل تحليل المخاطر في نموذج صورة ظهور هذه الظروف الأكثر غير مواتية من خلال مراعاة جميع العوامل الممكنة التي تحدد المخاطر على هذا النحو. من وجهة نظر رياضية، عند تحليل المخاطر، يمكن اعتبار هذه العوامل معلمات المدخلات.
قائمة هذه المعلمات:
1) الأصول - المكونات الرئيسية للبنية التحتية للنظام المشاركة في عملية تجارية وتوضع قيمة معينة؛
2) التهديدات، تنفيذ ما هو ممكن من خلال استخدام الضعف؛
3) نقاط الضعف - ضعف في وسائل الحماية الناجمة عن الأخطاء أو النقص في الإجراءات، المشروع، التنفيذ، والتي يمكن استخدامها للاختراق في النظام؛
4) الضرر الذي يتم تقييمه مع مراعاة تكاليف استعادة النظام في الحالة الأولية بعد الحادثة المحتملة ل IB.
وبالتالي، فإن الخطوة الأولى في إجراء تحليل مخاطر متعددة الاستخدامات هو تحديد وتصنيف معلمات المدخلات التي تم تحليلها. بعد ذلك، من الضروري إجراء تدرج كل معلمة من خلال مستويات الأهمية (على سبيل المثال: مرتفع، متوسط، منخفض). في المرحلة الأخيرة من النمذجة من المخاطر المحتملة (قبل الحصول على مستويات المخاطر العددية)، هناك ملزمة للتهديدات والضعف المحددة في المكونات المحددة للبنية التحتية لتكنولوجيا المعلومات (قد تعني مثل هذه الملزمة، على سبيل المثال، تحليل المخاطر، مع الأخذ في الاعتبار ودون مراعاة وجود حماية النظام، فإن احتمال تعرضه للنظام للخطر بسبب العوامل غير المستخدمة، إلخ). دعونا ننظر في عملية النمذجة المخاطر خطوة بخطوة. للقيام بذلك، أولا وقبل كل شيء، الانتباه إلى أصول الشركة.
جرد أصول الشركة
(توصيف النظام)
بادئ ذي بدء، من الضروري تحديد ما هو أحد الأصول القيمة للشركة من حيث أمن المعلومات. يصف معيار ISO 17799 إجراءات نظام التحكم في IB بالتفصيل، وتخصص الأنواع التالية من الأصول:
وبعد موارد المعلومات (قواعد البيانات وملفات البيانات، والعقود والاتفاقيات، وثائق النظام، ومعلومات البحث، والوثائق، والمواد التدريبية، وما إلى ذلك)؛
وبعد البرمجيات؛
وبعد أصول المواد (معدات الكمبيوتر ومعدات الاتصالات، إلخ)؛
وبعد الخدمات (خدمات الاتصالات السلكية واللاسلكية، سبل العيش، إلخ)؛
وبعد موظفون الشركة، مؤهلاتهم وخبرتهم؛
وبعد الموارد غير الملموسة (سمعة الشركة والصورة).
يجب تحديد ذلك، انتهاك أمن المعلومات قد تلحق الضرر بالشركة. في هذه الحالة، سيتم اعتبار الأصل قيمة، وسيكون من الضروري مراعاة عند تحليل مخاطر المعلومات. الجرد هو تجميع قائمة بأصول قيمة للشركة. كقاعدة عامة، يتم تنفيذ هذه العملية من قبل مالكي الأصول. يعرف مفهوم "المالك" الأشخاص أو الأطراف الذين لديهم الالتزامات التي وافقت عليها إدارة الشركة وتطويرها وصيانتها واستخدامها وحمايتها.
في عملية تصنيف الأصول، من الضروري تقييم أهمية أصول العمليات التجارية للشركة أو، بمعنى آخر، لتحديد الأضرار التي ستتحمل في حالة انتهاك لأمن المعلومات للأصول. هذه العملية تسبب أكبر تعقيد، لأن يتم تحديد قيمة الموجودات على أساس تقييمات الخبراء لأصحابها. خلال هذه المرحلة، تعقد المناقشات غالبا بين الاستشاريين في تطوير نظام إدارة وأصحاب الأصول. يساعد ذلك أصحاب الأصول لفهم كيفية تحديد قيمة الأصول من وجهة نظر أمن المعلومات (كقاعدة عامة، وعملية تحديد الأصول الأخصائية هي للمالك الجديد وغير التافه). بالإضافة إلى ذلك، يتم تطوير تقنيات التقييم المختلفة لأصحاب الأصول. على وجه الخصوص، قد تحتوي هذه التقنيات على معايير محددة (ذات صلة بهذه الشركة)، والتي ينبغي النظر فيها عند تقييم الأهمية.
تقييم الأصول التقييم
يتم إجراء تقييم حردة الأصول في ثلاثة معلمات: السرية والنزاهة وإمكانية الوصول إليها. أولئك. يجب تقييم الضرر أن الشركة ستتحمل في انتهاك للسرية والنزاهة أو توفر الأصول. يمكن إجراء تقييم للأصول الأصول في وحدات نقدية وفي المستويات. ومع ذلك، بالنظر إلى حقيقة أن تحليل المخاطر الإعلامية، هناك حاجة إلى القيم في وحدات نقدية، في حالة تقييم أهمية الأصول في المستويات، من الضروري تحديد تقدير كل مستوى في الأموال.
وفقا لتصنيف موثوق Nist المدرج في دليل إدارة المخاطر لأنظمة تكنولوجيا المعلومات، تصنف وتقييم التهديدات، فإن الهوية المباشرة لمصادرها مسبق. لذلك، وفقا للتصنيف المذكور أعلاه، يمكن تمييز المصادر الرئيسية للتهديدات، من بينها:
وبعد تهديدات الأصل الطبيعي (الزلزال والفيضان وما إلى ذلك)؛
وبعد تهديدات تنبعث منها من الرجل (الوصول غير المصرح به، هجمات الشبكة، أخطاء المستخدم، إلخ)؛
وبعد تهديدات من أصل الإنسان (حوادث أنواع مختلفة، فصل امدادات الطاقة، التلوث الكيميائي، إلخ).
قد يتم تصنيف التصنيف أعلاه مزيدا من التفاصيل.
لذلك، إلى فئات مستقلة من مصادر التهديدات التي نشأت من شخص ما، وفقا لتصنيف NIST المذكور ما يلي:
- المتسللين؛
- الهياكل الجنائية؛
- الإرهابيون؛
- الشركات المشاركة في التجسس الصناعي؛
- المطلعين.
يجب أن يكون كل من التهديدات المدرجة، بدوره، مفصل وتقييمه على نطاق من الأهمية (على سبيل المثال: منخفض، متوسط، مرتفع).
من الواضح أن تحليل التهديدات ينبغي النظر في صلة وثيقة مع نقاط ضعف النظام قيد الدراسة. تتمثل مهمة مرحلة إدارة المخاطر هذه في وضع قائمة بضعف النوادي الممكنة وتصنيف نقاط الضعف هذه، مع مراعاة "سلطتها". لذلك، وفقا للممارسة العالمية، يمكن تقسيم تصنيف نقاط الضعف من المستويات: حرجة، عالية، متوسطة، منخفضة. النظر في هذه المستويات بمزيد من التفاصيل:
1. المستوى الحرج للخطر. إلى هذا المستوى من الخطر يشمل نقاط الضعف التي تسمح لك بإجراء حل وسط عن بعد للنظام دون التأثير الإضافي للمستخدم المستهدف ويتم استغلالها بنشاط في الوقت الحاضر. هذا المستوى من الخطر يعني أن الاستغلال في الشؤون العامة.
2. درجة عالية من الخطر. بالنسبة إلى هذا المستوى من الخطر يتعلق بضعف نقاط الضعف التي تتيح لك تنفيذ نظام حل وسط عن بعد. كقاعدة عامة، لا يوجد استغلال في الوصول العام لهذه الضعف.
3. متوسط \u200b\u200bدرجة الخطر. إلى هذا المستوى، يشتمل الخطر على نقاط الضعف التي تتيح لك إجراء رفض عن بعد للصيانة، والوصول غير المصرح به إلى البيانات أو إجراء شفرة تعسفية مع تفاعل مباشر مع المستخدم (على سبيل المثال، من خلال الاتصال بخادم ضار مع تطبيق ضعيف).
4. خطر منخفض. يتضمن هذا المستوى جميع نقاط الضعف التي تعمل محليا، بالإضافة إلى نقاط الضعف، تكون العملية صعبة أو لها تأثير ضئيل (على سبيل المثال، XSS، رفض الحفاظ على تطبيق العميل).
يجب أن يكون مصدر إعداد هذه القائمة / قائمة نقاط الضعف:
وبعد الشركات العادية المنشورة علنا \u200b\u200bمن نقاط الضعف (كمثال: www.securitylab.ru)؛
وبعد الشركات الضعف التي نشرتها الشركة المصنعة للبرامج (كمثال: www.apache.org)؛
وبعد نتائج اختبارات الاختراق (كمثال: www.site-sec.com)؛
وبعد تحليل تقارير ماسحة التأثر (التي أجريتها مسؤول الأمن داخل الشركة).
بشكل عام، يمكن تصنيف نقاط الضعف على النحو التالي:
وبعد كشف نظام التشغيل ونظام التشغيل (أخطاء التعليمات البرمجية) التي تم اكتشافها بواسطة منتج أو خبراء مستقلين (في وقت كتابة المقال إجمالي عدد نقاط الضعف التي وصلت إلى علامة حوالي ~ 1900 - هنا تضمنت نقاط الضعف المنشورة في "Bagtecs" على XakeP.ru، SecurityLab، Milw0rm .com والأمن Labus .com).
وبعد نقاط الضعف في النظام المرتبطة بالأخطاء الإدارية (عدم كفاية المناطق المحيطة بخادم الويب أو إعدادات PHP، غير مغلقة بواسطة المنافذ ذات الخدمات الضعيفة، إلخ).
وبعد نقاط الضعف التي قد تصبح مصادرها حوادث غير متصلة بسياسات الأمن، وكذلك الأحداث الحادية عشرة. كمثال مشرق للضعف على نطاق واسع لنظام التشغيل، ويمكن الإشارة إلى تجاوز الفضاء المخزن المؤقت. بالمناسبة، يجب أن يقال، الغالبية المطلقة من المباحث الحالي الحالية تنفذ فئة نقاط الضعف في تجاوز الفائض المخزن المؤقت.
طرق تقييم المخاطر العددية
إن أبسط تقييم المخاطر الإعلامية هي حساب المخاطر التي تنفذ مع الأخذ في الاعتبار معلومات حول مهمة الأصول، وكذلك احتمالات تنفيذ نقاط الضعف.
صيغة تقييم المخاطر الكلاسيكية:
R \u003d D * P (V)، حيث ص مخاطر المعلومات؛
د - مهمة الأصول (الضرر)؛
P (V) هو احتمال تحقيق الضعف.
ومن الأمثلة على التنفيذ العملي للنهج الموضح أعلاه لتحديد مستويات المخاطر هو مصفوفة المخاطر التي اقترحها NIST.
| تهديد تهديد تهديد (احتمالها) | تأثير الضرر | ||
| منخفض (منخفض) - 10 | متوسطة (متوسطة) -50 | عالية (عالية) -100 | |
| عالية (عالية) - 1 | منخفض (منخفض) 10x1 \u003d 10 | متوسط \u200b\u200b(متوسط) 50x1 \u003d 50 | عالية (عالية) 100x1 \u003d 100 |
| متوسط \u200b\u200b(متوسط) - 0.5 | منخفض (منخفض) 10x0.5 \u003d 5 | متوسط \u200b\u200b(متوسط) 50x0.5 \u003d 25 | متوسط \u200b\u200b(متوسط) 100x0.5 \u003d 50 |
| منخفض (منخفض) - 0.1 | منخفض (منخفض) 10x0.1 \u003d 1 | منخفض (منخفض) 50x0.1 \u003d 5 | منخفض (منخفض) 100x0.1 \u003d 10 |
| مستوى المخاطر: ارتفاع (من 50 إلى 100)؛ متوسطة (من 10 إلى 50)؛ منخفض (من 1 إلى 10). | |||
يتم وصف كل من معلمات الإدخال المحتملة (على سبيل المثال، الثغرة الأمنية والتهديد والأصل والأصل) من خلال وظيفتها التبعي، مع مراعاة المعامل المقابل.
تقييم المخاطر على أساس المنطق الغامض
تتضمن آليات تقييم المخاطر القائمة على منطق غامض سلسلة من الخطوات، يتم استخدام كل منها نتائج الخطوة السابقة. تسلسل هذه الخطوات هو ما يلي:
وبعد إدخال قواعد البرمجة في شكل قواعد المنتج ("إذا، ... أن") يعكس علاقة مستوى بيانات الإدخال ومستوى المخاطر عند الإخراج.
وبعد تحديد وظائف متغيرات الإدخال (كمثال - بمساعدة البرامج المتخصصة مثل "Fuzyy Logic" - في هذا المثال، استخدمنا Matlab).
وبعد الحصول على النتيجة الأساسية لتقديرات متغيرات المدخلات.
وبعد قم بتخصيص تقديرات متغيرات المدخلات (العثور على قيم محددة لوظائف الملحقات).
وبعد التجميع (يعني التحقق من حقيقة الظروف عن طريق تحويل وظائف الملحقات من خلال التشويش والانفصال الغامض).
وبعد التنشيط البيئي (العثور على الأوزان لكل من قواعد ووظائف الحقيقة).
وبعد بطارية الاستنتاجات (العثور على وظيفة الملحقات لكل متغيرات الإخراج).
وبعد Defasification (إيجاد متغيرات إخراج واضحة).
وبالتالي، في المثال أعلاه (الجدول 1.1) في الواقع، تم النظر في خوارزمية تقييم مخاطر مستويين مع معلمات إدخال ثلاثية المستوى. حيث:
وبعد بالنسبة لقيم المدخلات والمخاطر، تم تعيين مقاييس من ثلاثة مستويات، والتي تكون مصطلحات غامضة (تتوافق مع قيم "كبيرة" و "منخفضة" و "منخفضة" للمتغيرات - انظر الشكل 1)؛
وبعد أهمية جميع القواعد المنطقية للإخراج هي نفسها (جميع معاملات الوزن لقواعد الإنتاج تساوي واحدة).
تين. 1. ميزات شبه منحدرة الثغرات ثلاثية المستوى
من الواضح أن خوارزمية ذات المعلمة اثنين، التي توفر دخول اثنين من متغيرات المدخلات، لا يمكن أن توفر نتيجة موضوعية لتحليل المخاطر، خاصة مع الأخذ في الاعتبار مجموعة العوامل - متغيرات الإدخال، والتي تعكس، بالمناسبة الصورة الحقيقية من تقييم المخاطر ل IB.
أربع خوارزمية حديثة
لنفترض أنه بمساعدة القواعد الإنتاجية من المنطق الغامض، من الضروري إعادة إنتاج آلية الإخراج استنادا إلى أربعة متغيرات مدخلات. مثل هذه المتغيرات في هذه الحالة هي:
وبعد أصول؛
وبعد القابلية للتأثر؛
وبعد التهديد (أو بالأحرى، احتمال وجوده)؛
وبعد تلف.
يتم تقدير كل من متغيرات الإدخال المدرجة على نطاقها. لذلك، لنفترض أنه على أساس التحليل الأولية، تم الحصول على بعض تقديرات متغيرات المدخلات (الشكل 2.):
تين. 2. إدخال تقديرات متغيرة وآلية الإخراج
على مثال أبسط، فكر في نوع قواعد المنتج لبعض الحالات مع مقياس من ثلاثة مستويات:
تين. 3. قواعد إنتاج خوارزمية الأربعة المعلمة
تتيح لك الواجهة الرسومية الغاضبة Toolbox Toolbox في هذه الحالة عرض الرسوم البيانية للاعتماد على المخاطر على احتمال التهديد وبالتالي بمثابة متغيرات مدخلات أخرى.
fig.4. الاعتماد على المخاطر على احتمال التهديد
تين. 5. الاعتماد على المخاطر على الضرر
يشير الرسم البياني الأنيق والون أوتون ل "منحنى الإخراج" إلى كفاية واتساق قواعد الإخراج المستخدمة. يتيح لك تمثيل الرسوم البصرية تقييم كفاية خصائص آلية الإخراج بالمتطلبات. في هذه الحالة، يشير "منحنى الاستنتاج" إلى أن آلية الإخراج مستحسن الاستخدام فقط في مجال قيم الاحتمالات المنخفضة، أي. عندما يكون أقل من 0.5. ما الذي يمكن تفسيره بهذا "التحدي" في قيم الاحتمالية أكبر من 0.5؟ من المحتمل أن يستخدم استخدام مقياس ثلاثة مستويات، كقاعدة عامة، على حساسية الخوارزمية في مجال قيم الاحتمالات العالية.
مراجعة بعض أدوات تحليل المخاطر مع مراعاة مجموعة العوامل
عند إجراء تحليل كامل للمخاطر، مع مراعاة مجموعة العوامل، يجب حل عدد من المشاكل المعقدة:
وبعد كيفية تحديد قيمة الموارد؟
وبعد كيفية تقديم قائمة كاملة من تهديدات IB وتقييم معاييرها؟
وبعد كيفية اختيار اختيار التدابير المضادة وتقييم فعاليتها؟
لحل هذه المشاكل، هناك أدوات مصممة خصيصا مبنية باستخدام الأساليب الهيكلية لتحليل النظام والتصميم (تحليل وتصميم الأنظمة الهيكلية SSADM)، والتي توفر:
- بناء نموذج IP من وجهة نظر IB؛
- طرق لتقييم قيمة الموارد؛
- أدوات لوضع قائمة بالتهديدات وتقييم احتمالاتها؛
- اختيار التدابير المضادة وتحليل فعاليتها؛
- تحليل خيارات الحماية
- الوثائق (جيل التقرير).
حاليا، هناك العديد من منتجات البرمجيات في هذه الفئة في السوق. الأكثر شعبية بالنسبة لهم هو cramm. النظر باختصار ذلك أدناه.
طريقة cramm
في عام 1985، بدأت الوكالة المركزية لأجهزة الكمبيوتر والاتصالات السلكية واللاسلكية (CCTA) في المملكة المتحدة دراسة أساليب تحليل IB الحالية من أجل التوصية بطرق مناسبة للاستخدام في الوكالات الحكومية العاملة في معالجة غير مصلحة، ولكن المعلومات الهامة. لا توجد من الأساليب التي كانت معينة. لذلك، تم تطوير طريقة جديدة تلبي متطلبات CCTA. تلقت اسم Cramm - طريقة تحليل CCTA ومكافحة المخاطر. ثم كانت هناك عدة إصدارات من الطريقة التي تركز عليها متطلبات وزارة الدفاع والوكالات الحكومية المدنية والمؤسسات المالية والمنظمات الخاصة. أحد الإصدارات هو "الملف الشخصي التجاري" - هو منتج تجاري. حاليا، يحكم Cramm، من خلال عدد المراجع بالإنترنت، الطريقة الأكثر شيوعا للتحليل ومكافحة المخاطر. يتضمن تحليل المخاطر تحديد وحساب مستويات المخاطر (التدابير) بناء على التقديرات المخصصة للموارد والتهديدات والضعف في الموارد. يتكون مكافحة المخاطر في تحديد واختيار التدابير المضادة التي تقلل من المخاطر على مستوى مقبول. يجب أن تتيح لك الطريقة الرسمية بناء على هذا المفهوم التأكد من أن الحماية تغطي النظام بأكمله، وهناك ثقة في أن:
يتم تحديد جميع المخاطر الممكنة؛
وبعد يتم تحديد نقاط ضعف الموارد وتقدر مستوياتها؛
وبعد يتم تحديد التهديدات، وتقدر مستوياتها؛
وبعد التدابير المضادة فعالة؛
وبعد التكاليف المرتبطة IB مبررة.
OLEG Foytsev، رئيس "الأمن السيربر // تحليل أمن موقعك"
