Effective Information Security Risk Management Framework

چگونه یک چارچوب مدیریت ریسک امنیت اطلاعات موثر ایجاد کنیم

اگر شما مسئول مدیریت ریسک امنیت اطلاعات شرکت هستید ، هر دوی ما می دانیم که کار شما سخت است. کسب‌وکارها به تولید حجم زیادی از داده‌ها ادامه می‌دهند، سیستم‌های فناوری اطلاعات به طور فزاینده‌ای پیچیده‌تر می‌شوند و تهدیدات سایبری همچنان در حال تکامل هستند. چیزی که باید با آن دست و پنجه نرم کنید ممکن است گاهی اوقات به نظر تعداد بی پایانی از چالش ها باشد و بودجه و منابع شما برای مقابله با همه آنها بسیار محدود به نظر می رسد. در میان چیزهای دیگر، به عنوان یک رهبر امنیت اطلاعات، از شما انتظار می رود:

یک رویکرد سیستماتیک به امنیت فناوری اطلاعات داشته باشید. تعیین کنید که کدام ریسک ها بیشترین تأثیر را بر سازمان شما دارند و از دارایی هایی که بیشترین اهمیت را دارند محافظت کنید. به طور فعال خطرات را کاهش دهید و آسیب های ناشی از حملات سایبری و نقض داده ها را به حداقل برسانید . اطمینان حاصل کنید که سازمان شما می تواند سریعتر و آسانتر از حوادث امنیتی بازیابی کند. توجیه سرمایه گذاری در امنیت فناوری اطلاعات به هیئت مدیره.

داشتن یک استراتژی جامع مدیریت ریسک امنیت اطلاعات (ISRM) به شما در غلبه بر این چالش ها کمک می کند. در این پست، نکاتی را در مورد چگونگی ایجاد یک استراتژی موثر ISRM و اینکه یک برنامه خوب به نظر می رسد به اشتراک خواهم گذاشت. برای راحتی شما، من همچنین یک پرسش متداول را در پایان ارائه می کنم.

مدیریت ریسک امنیت اطلاعات چیست؟ مدیریت ریسک امنیت اطلاعات فرآیند مدیریت ریسک های مرتبط با استفاده از فناوری اطلاعات است. به عبارت دیگر، سازمان ها خطرات مربوط به  محرمانه بودن، یکپارچگی و در دسترس بودن  دارایی های اطلاعاتی خود را شناسایی و ارزیابی می کنند. این فرآیند را می توان به طور کلی به دو بخش تقسیم کرد:

ارزیابی ریسک Risk assessment- فرآیند جمع‌آوری و تجزیه و تحلیل اطلاعات در مورد دارایی‌ها و کنترل‌های شما، و ترکیب آن داده‌ها با ارزیابی احتمال وقوع رویدادهایی که می‌تواند تهدیدی برای محیط فناوری اطلاعات و تأثیر بالقوه آنها باشد، به منظور تعریف و اولویت‌بندی ریسک‌های شما. درمان ریسک  Risk treatment- اقدامات (در صورت وجود) برای اصلاح، کاهش، اجتناب، پذیرش، انتقال یا مدیریت ریسک‌ها

یک رویکرد مدیریت ریسک امنیت اطلاعات خوب چیست؟ در اینجا سه معیار برای تعیین اینکه آیا استراتژی ISRM سازمان شما در بهبود وضعیت امنیتی شما موثر است یا خیر وجود دارد: این تضمین می کند که خطرات غیرقابل قبول به درستی شناسایی و رسیدگی می شوند. این تضمین می کند که پول و تلاش برای خطراتی که قابل توجه نیستند هدر نمی رود. این به مدیریت ارشد امکان مشاهده مشخصات ریسک سازمانی و اولویت های درمان ریسک را برای پشتیبانی از توانایی آنها در تصمیم گیری استراتژیک می دهد.

مطالب مرتبط دستچین شده: مراحل ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر چیست؟ تمرین نشان می دهد که یک رویکرد چند مرحله ای برای ایجاد یک برنامه ISRM موثرترین است، زیرا منجر به یک برنامه جامع تر می شود و کل  فرآیند مدیریت ریسک امنیت اطلاعات را  با تقسیم آن به چند مرحله ساده می کند. این فرآیند ISRM را قابل مدیریت تر می کند و شما را قادر می سازد تا مشکلات را راحت تر برطرف کنید. در اینجا پنج مرحله برای ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر وجود دارد:

مرحله شماره 1. همسویی کسب و کار Business alignment ابتدا باید شرایط کسب و کار سازمان خود را بشناسید، مانند ملاحظات بودجه، کارکنان و پیچیدگی فرآیندهای تجاری. نمی توانم به اندازه کافی بر اهمیت این مرحله تاکید کنم. حتی اگر بهترین تیم، ابزار و کنترل‌ها را داشته باشید، اگر تلاش‌های خود را روی مهم‌ترین چیز برای کسب‌وکار متمرکز نکنید، ممکن است شکست بخورید. در طول این مرحله، شما باید با تیم رهبری سازمان ارتباط برقرار کنید تا فرآیندهای تجاری و وابستگی آنها به دارایی های فنی و جریان داده ها را درک کنید. همچنین باید مشخصات ریسک سازمان را مستند کنید، از جمله شرح مفصلی از هر ریسکی که با آن مواجه است و همچنین ریسک پذیری آن – سطح ریسکی که برای دستیابی به اهدافش آماده پذیرش آن است. این به شما پایه‌ای را می‌دهد که می‌توانید بر اساس آن برنامه ISRM را بسازید - و پشتیبانی مدیرانی را که برای اجرای موفقیت‌آمیز آن نیاز دارید.

مرحله شماره 2. تعریف برنامه Program definition در مرحله بعد، سازمان شما باید برنامه ISRM را تعریف کند. حتما: یک برنامه سالانه تجویزی و به دنبال آن یک برنامه سه ساله سطح بالا تعریف کنید. تعیین اهداف و مقاصد خاصی که باید به صورت سالانه برآورده شوند. این طرح باید سالانه تنظیم شود تا با تغییرات در شرایط و فعالیت های تجاری سازگار شود. زمانی که همه قابلیت ها وجود داشته باشند و شرایط کسب و کار ثابت بماند، بازه زمانی معمول برای اجرای یک برنامه ISRM 30 تا 36 ماه است. نقطه ورود قابلیت ها را بر اساس ورودی مدیریت به وضوح تعریف کنید. نقطه ورود اساساً تعریفی از قابلیت‌هایی است که سازمان می‌خواهد پس از اجرای برنامه داشته باشد. شما می توانید با همکاری نزدیک با تیم رهبری برای درک اهداف آنها در مورد ISRM، نقطه ورود را شناسایی کنید. اطمینان از در دسترس بودن و توانایی کارکنان لازم برای اجرای برنامه. یک عنصر کلیدی هر برنامه ISRM کارکنان مناسب است. در اغلب موارد، سازمان ها کارکنان واجد شرایط کافی برای دستیابی به اهداف برنامه های ISRM خود را ندارند. بنابراین، ارزیابی در دسترس بودن و صلاحیت کارکنان برای اطمینان از دستیابی به تمام اهداف ضروری است. شناختی از فرهنگ سازمان به دست آورید. اگر افراد سازمان از اجرای آن حمایت نکنند، اجرای برنامه ISRM بسیار دشوارتر است. بسته به فرهنگ سازمان، باید به طور آشکار در مورد برنامه ISRM با همه طرف های ذینفع بحث کنید یا از مدیریت ارشد راهنمایی بگیرید تا برنامه را به پیش ببرید.

مرحله شماره 3. پیشرفت برنامه Program development در این مرحله، باید قابلیت‌ها و کنترل‌های عملکردی مرتبط با امنیت فناوری اطلاعات و مدیریت ریسک (به عنوان مثال، ارزیابی آسیب‌پذیری، واکنش به حادثه، آموزش و ارتباطات) را به همراه مدل حاکمیتی که تعیین می‌کند چه کسی مسئول هر حوزه است، تعریف کنید. استراتژی ISRM اگر پیاده‌سازی قابلیت‌های ISRM را به اشخاص ثالث برون‌سپاری می‌کنید، حتماً خطرات را در نظر بگیرید و از نظارت مناسب توسط کارکنان داخلی اطمینان حاصل کنید.

مرحله شماره 4. معیارها و محک زدن Metrics and benchmarking در مرحله بعد، سازمان شما باید معیارهایی را برای ارزیابی اثربخشی استراتژی ISRM تعریف کند. در اینجا دو بهترین روش برای این مرحله وجود دارد: از همسویی با استانداردها و دستورالعمل های صنعت اطمینان حاصل کنید. چندین استاندارد وجود دارد که به شما کمک می کند تا مطمئن شوید برنامه ISRM شما با مقررات صنعت مطابقت دارد، از جمله COBIT، سری سازمان بین المللی استاندارد (ISO) 27000 و موسسه ملی استانداردها و فناوری ایالات متحده (NIST) سری 800. توصیه می‌کنم  ISO/IEC 27005:2018 ، انتشارات ویژه NIST 800-37 (نسخه 2) و همچنین انتشارات ویژه NIST 800-53A (نسخه 5) را در نظر بگیرید، که دستورالعمل‌های دقیقی را در مورد نحوه ایجاد یک برنامه مدیریت ریسک ارائه می‌دهد. برای تعیین اینکه آیا برنامه ISRM شما تمام عملکردها و قابلیت های لازم را دارد یا خیر، مشورت با استانداردها و چارچوب های انطباق متعدد مهم است. از KPI ها برای اندازه گیری اثربخشی عملکردها و قابلیت های توسعه یافته از طریق برنامه ISRM استفاده کنید. هنگام توسعه شاخص های کلیدی عملکرد، باید ارزش تجاری را که می خواهید با قابلیت های ISRM به دست آورید شناسایی کنید و سپس معیارهای عینی را تعریف کنید که می تواند برای ارزیابی آن ارزش مورد استفاده قرار گیرد. سعی کنید شاخص های کلیدی عملکرد را بر اساس تأثیر بالقوه کسب و کار و دستورالعمل های نقطه ورود قرار دهید و در صورت امکان ارزش دلاری را تعیین کنید. این به شما کمک می کند وضعیت امنیتی خود را با زمینه تجاری برای رهبری سازمان مرتبط کنید. همچنین، شناسایی آستانه های قابل قبول و غیرقابل قبول برای هر KPI ضروری است.

مرحله شماره 5. اجرا و بهره برداری Implementation and operation در نهایت، شما باید استراتژی ISRM خود را پیاده سازی کنید - و عملکرد آن را برای شناسایی مسائل یا زمینه های بهبود نظارت کنید. برنامه یا شرایطی را برای بررسی برنامه تعریف کنید. تغییرات عمده در محیط IT شما، نقض داده ها در صنعت شما و تکنیک های جدید حمله سایبری، همگی دلایل معتبری هستند تا شما به برنامه ISRM خود با دیدی انتقادی نگاه کنید و در صورت لزوم آن را اصلاح کنید.

کدام چارچوب برای ایجاد یک ISRM موثر بهترین است؟ چارچوب های NIST یک منبع عالی هستند. هر سازمانی می تواند برای مدل سازی استراتژی مدیریت ریسک و خطوط پایه امنیتی خود به دستورالعمل های NIST مراجعه کند. اگر سازمان شما به دنبال بررسی کاملی از نحوه اعمال بهترین شیوه‌ها از طریق چارچوب‌های نظارتی ساختاریافته است که با انطباق‌ها نیز مطابقت دارد، با مطالعه چارچوب مدیریت ریسک NIST و چارچوب امنیت سایبری NIST به خوبی به شما کمک خواهد کرد :

چارچوب مدیریت ریسک NIST (RMF) چارچوب مدیریت ریسک NIST (RMF) ، همانطور که در نشریه ویژه NIST 800-37 (بازبینی 2) توضیح داده شده است، یک فرآیند جامع، انعطاف پذیر، قابل تکرار و قابل اندازه گیری را برای بهبود نحوه طراحی، ایمن سازی و نظارت سیستم های IT ارائه می دهد. اگرچه NIST RMF توسط وزارت دفاع ایالات متحده (DoD) ایجاد شده است، اما به عنوان یک پایه خوب برای امنیت داده ها و برنامه حفظ حریم خصوصی برای هر سازمانی عمل می کند. NIST RMF شامل 7 مرحله زیر است (توجه داشته باشید که دو مرحله آخر برای سازمان ها و سازمان های فدرال متفاوت است):

مرحله شماره 1. آماده کردن Prepare آماده سازی شامل شناسایی نقش های کلیدی مدیریت ریسک است. تعیین میزان تحمل ریسک سازمان؛ و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی برای سازمان ناشی از بهره برداری و استفاده از سیستم های فناوری اطلاعات.

مرحله شماره 2. طبقه بندی Categorize در مرحله بعد، باید سیستم های فناوری اطلاعات را بر اساس سطح ریسک دسته بندی کنید. تأثیر نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستم ها و اطلاعاتی که آنها پردازش، ذخیره یا منتقل می کنند را برآورد کنید.

مرحله شماره 3. انتخاب کنید Select بر اساس نتایج مرحله قبل، باید کنترل های مناسب را برای هر سیستم انتخاب و پیاده سازی کنید. در طول این مرحله، بر اساس اینکه ریسک های امنیتی در چه دسته ای قرار می گیرند، تصمیم می گیرید که چه کنترل های امنیتی پایه را می خواهید اجرا کنید.

مرحله شماره 4. پیاده سازی Implement گام بعدی اجرای کنترل ها برای کاهش خطرات امنیتی و حریم خصوصی سیستم است.

مرحله شماره 5. ارزیابی کنید Assess در مرحله بعد، مهم است که کنترل ها به درستی اجرا شوند و همانطور که انتظار می رود برای محافظت از سیستم ها عمل کنند.

مرحله شماره 6. مجاز کردن Authorize برای آژانس های فدرال هنگامی که کنترل‌های امنیتی شما وارد عمل شد، می‌توان به یک سیستم اجازه عملیات (ATO) را توسط دولت اعطا کرد (یا رد کرد). برای سایر سازمان ها ذینفعان داخلی یا خارجی ممکن است به فرصتی نیاز داشته باشند تا بسته مجوزی را که شامل برنامه‌های امنیتی و حریم خصوصی، نقاط عطف، گزارش‌های ارزیابی و شواهد پشتیبان یا سایر اسناد است، بررسی کنند.

مرحله شماره 7. نظارت کنید Monitor برای آژانس های فدرال کنترل های سیستم باید به طور منظم بررسی شوند. یک ATO فقط برای سه سال معتبر است و پس از آن کل فرآیند باید دوباره انجام شود. برای سایر سازمان ها سازمان باید به طور مستمر کنترل‌های خود را کنترل کند تا مطمئن شود که آنها مؤثر باقی می‌مانند و بر اساس تغییرات در محیط فناوری اطلاعات یا چشم‌انداز تهدید، در صورت نیاز به‌روزرسانی‌ها را انجام دهند.

چارچوب امنیت سایبری NIST چارچوب امنیت سایبری NIST چارچوب دیگری است که می تواند به شرکت ها در مدیریت بهتر و کاهش ریسک امنیت سایبری کمک کند. مراحل این چارچوب شامل موارد زیر است:  

شناسایی   Identify- خطرات امنیت سایبری برای سیستم ها، افراد، دارایی ها، داده های حساس و قابلیت ها را درک و اولویت بندی کنید. فعالیت ها شامل مدیریت دارایی، حاکمیت و ارزیابی ریسک است.

محافظت Protect- برای محافظت از دارایی های حیاتی در برابر تهدیدات سایبری، کنترل های امنیتی مناسب و سایر اقدامات حفاظتی را اجرا کنید. نمونه‌هایی از فعالیت‌ها در اینجا مدیریت هویت و کنترل دسترسی، ارتقای آگاهی و آموزش کارکنان است.

تشخیص Detect- مطمئن شوید که سازمان شما می تواند به سرعت رویدادهایی را که می تواند خطراتی برای امنیت داده ها ایجاد کند، شناسایی کند. تکنیک ها شامل نظارت مستمر امنیتی و تجزیه و تحلیل رفتار کاربر (UBA) است.

پاسخ  Respond- برنامه ای برای پاسخ به یک حادثه امنیت سایبری ایجاد کنید تا تأثیرات آن شامل تجزیه و تحلیل، ارتباطات و کاهش را در بر بگیرد.

بازیابی  Recover- داشتن یک استراتژی برای بازیابی قابلیت ها یا خدماتی که تحت تأثیر یک حادثه امنیتی قرار گرفته اند، به اطمینان از بازگشت سریعتر به عملیات عادی کمک می کند. حتماً طرح بازیابی را مرور کنید و بهبودهایی مانند به‌روزرسانی یا جایگزینی خط‌مشی‌ها را انجام دهید.

خلاصه درک و مدیریت ریسک های سیستم ها و داده های حساس برای موفقیت یک سازمان ضروری است. توسعه یک برنامه ISRM فرآیند مدیریت ریسک را قابل مدیریت تر می کند و به شما کمک می کند از حیاتی ترین دارایی های خود در برابر تهدیدات سایبری در حال ظهور محافظت کنید.

سوالات متداول مدیریت ریسک در امنیت سایبری چیست؟ مدیریت ریسک در امنیت سایبری مدیریت ریسک های امنیتی و حریم خصوصی مرتبط با سیستم های اطلاعاتی است. این یک فعالیت کلی نگر است که بر هر جنبه ای از سازمان از جمله برنامه ریزی ماموریت، معماری سازمانی، توسعه نرم افزار و مهندسی سیستم تأثیر می گذارد. خطرات امنیت اطلاعات چیست؟ خطرات امنیت اطلاعات تهدیدهایی هستند که می توانند باعث آسیب یا اختلال در سیستم ها یا داده های فناوری اطلاعات شوند. خطرات رایج امنیت فناوری اطلاعات افشای رمز عبور، بدافزار و نرم افزارهای جاسوسی، دسترسی غیرمجاز به شبکه و حملات مهندسی اجتماعی است. هدف از چارچوب مدیریت ریسک NIST چیست؟ چارچوب مدیریت ریسک که توسط موسسه ملی استاندارد و فناوری (NIST) ایجاد شده است به سازمان ها کمک می کند تا یک برنامه ISRM ایمن و پایدار بسازند. این به آنها کمک می کند تا خطرات سیستم و داده های خود را شناسایی و ارزیابی کنند تا بتوانند تصمیمات امنیتی IT آگاهانه و مبتنی بر ریسک را اتخاذ کنند. آیا برنامه های صدور گواهینامه برای چارچوب مدیریت ریسک NIST وجود دارد؟ گواهی RMF فقط برای سازمان های فدرال و ایالتی مورد نیاز است، اما می تواند ارزشمند باشد حتی اگر شما توسط دولت استخدام نشده باشید. در اینجا چند برنامه وجود دارد که می تواند به شما کمک کند یاد بگیرید چگونه چارچوب مدیریت ریسک را در استراتژی مدیریت ریسک خود اعمال کنید و در صورت انتخاب، گواهینامه دریافت کنید: مدیریت ریسک چگونه امنیت فناوری اطلاعات را بهبود می بخشد؟ یک فرآیند مدیریت ریسک کامل می‌تواند امنیت فناوری اطلاعات را با شناسایی ریسک‌های سیستم‌ها و داده‌های فناوری اطلاعات سازمان، و تصمیم‌گیری آگاهانه در مورد چگونگی کاهش و حذف آسیب‌پذیری‌ها، به طور قابل توجهی تقویت کند.

منبع: National Institute of Standards and Technology (NIST)
ترجمه: گوگل
گردآوری و تنظیم متن: میر علی شهیدی
ورود به صفحه انگلیسی