چهارده گام اجرای فرایند مدیریت ریسک امنیت اطلاعات

در این مقاله قصد داریم مراحل اجرای فرایند مدیریت ریسک امنیت اطلاعات را بررسی نماییم. این مراحل شامل شناسایی ریسک، ارزیابی ریسک، تحلیل ریسک و مقابله با ریسک‌های امنیتی می‌شوند. این مقاله برای مدیران و کارشناسان سازمانها که با موضوعات مرتبط با مدیریت ریسک و ISMS سر و کار دارند مفید است. همچنین دانشجویان و علاقمندان به این حوزه نیز می‌توانند با مطالعه این نوشته دید جامعی از روش اجرای فرایند مدیریت ریسک بدست آورند. گام‌هایی که در ادامه تشریح می‌شوند مبتنی بر استانداردهای ایزو 27005 و ایزو 31000 طراحی و تنظیم شده‌اند.

1- آماده سازی و بسترسازی

اولین گام در اجرای فرایند مدیریت ریسک همانند استقرار دیگر فرایندها و سیستم های مدیریتی ایجاد بستر پیاده سازی آن است. منظور از بستر سازی، توافق مدیران ارشد سازمان به انجام این فرایند و متعهد شدن به اجرای درست آن است. تعیین اسکوپ و محدوده سازمانی انجام مدیریت ریسک، کار بعدی در ایجاد آمادگی است. پس از این باید منابع لازم جهت پیاده سازی این فرایند تخصیص یابد و مسئولیتهای مرتبط تعریف شود. چنانچه قصد دارید پیاده سازی این فرایند را با نرم افزاری تخصصی انجام دهید در این گام باید مراحل نصب و راه اندازی آن را نیز انجام دهید.

2- تعیین دارایی‌ها

در گام اول باید دارایی‌هایی که در محدوده ارزیابی ریسک سازمانتان قرار دارند را مشخص نمایید. دارایی‌های اطلاعاتی سازمان بر اساس استاندارد ایزو 27005 در قالب دو گروه دارایی‌های اصلی و پشتیبان دسته‌بندی می‌شوند. دارایی‌های اصلی دارایی‌هایی هستند که به عنوان خروجی‌های سازمان و یا واحد مورد ارزیابی شناخته می‌شوند. سرویس‌هایی که یک سازمان به مشتریان خود ارائه می‌دهد در این زمره هستند. دارایی‌های پشتیبان دارایی‌هایی هستند که برای تحقق دارایی اصلی ضروری هستند و از دارایی اصلی پشتیبانی می‌کنند. مثلا پرسنل، ابزارها، نرم‌افزارها و تجهیزاتی که برای عملیاتی سازی سرویس سازمانی مورد استفاده قرار می‌گیرند، در رده دارایی‌های پشتیبان قرار می‌گیرند.

3- ارزش گذاری دارایی‌ها

در این گام و پس از شناسایی دارایی‌های اطلاعاتی در قالب فهرست دارایی‌ها نوبت به ارزش گذاری دارایی‌ها می رسد. باید توجه داشت که تمرکز ارزش گذاری با توجه به اینکه در کدام یک از دیسیپلین‌های مدیریت ریسک در حال فعالیت هستیم متفاوت خواهد بود. با توجه به اینکه هدف ما در این مقاله مدیریت ریسک در حوزه امنیت اطلاعات است بنابراین ارزش‌گذاری نیز باید در همین حوزه به انجام رسد. ارزش گذاری امنیتی دارایی‌ها با سه پارامتر محرمانگی (Confidentiality)، صحت (Integrity)، دسترس‌پذیری (Availability) انجام می‌شود.

استاندارد ایزو 27005 معیارهای مختلفی برای ارزش گذاری معرفی می‌کند که بسته به نیازمندی و نوع سازمان میتواند مورد استفاده قرار گیرد. برای اندازه‌گیری ارزش می‌توانید به صورت عمومی از معیارهای زیر استفاده نمایید.


•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی ازنظر مالی بر سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی در ایجاد وقفه­ های کاری در سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر وجهه و اعتبار سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر نقض قوانین و مقررات کشوری و سازمانی

4- تعیین تهدیدات و احتمال وقوع آنها

در این گام باید تهدیدات مرتبط با هر دارایی‌ یا گروه دارایی‌ها شناسایی شوند. همچنین احتمال وقوع این تهدیدات باید با استفاده از روش‌ها و معیارهای مناسب سنجیده و تخمین زده شود. این تخمین می‌تواند به صورت کیفی و یا کمی صورت پذیرد.

 تهدیدات را مطابق استاندارد ایزو 27005 می‌توانید در قالب یکی از انواع زیر تعریف نمایید:


•تهدیدات انسانی عمدی
•تهدیدات انسانی غیرعمدی
•تهدیدات طبیعی
•تهدیدات محیطی

5- شناسایی کنترل‌های فعلی و تخمین مطلوبیت آنها

در این مرحله باید نسبت به شناسایی کنترل‌هایی که در حال حاضر بر روی دارایی‌های خود دارید اقدام نمایید. شناسایی کنترل‌های فعلی و تخمین میزان مطلوبیت آنها به روش مناسب کمک می‌کند تا بتوانید تخمین دقیق تر و درست‌تری نسبت به میزان شدت آسیب‌پذیری‌های خود که در گام بعدی به آن پرداخته می‌شود داشته باشید.

6- تعیین آسیب‌پذیری‌ها و تخمین شدت آنها

در این گام باید برای هر یک از دارایی‌ها و یا گروه‌های دارایی، آسیب­ پذیری ­های متناظر با آن‌ها و متناظر با تهدیدی خاص را شناسایی نمایید. در ادامه باید با استفاده از روش‌ها و معیارهای مناسب و نیز با توجه به نتایج حاصل از گام قبلی باید میزان شدت این آسیب‌پذیری‌ها را تخمین بزنید. تخمین شدت آسیب‌پذیری‌ها نیز می‌تواند به صورت کیفی یا کمی انجام شود.

روش‌های مرسوم برای تخمین و تعیین شدت آسیب‌پذیری عبارتند از:


•پرسشنامه
•ارزیابی آسیب‌پذیری و آزمون نفوذ
•مطالعه مستندات سازمان
•بازدید و ارزیابی‌‌‌‌‌‌ ‌‌فیزیکی

7- تعیین پیامد حادثه

پس از تعیین تهدیدات و آسیب­ پذیری­های مرتبط با هر دارایی یا گروه دارایی ­ها، تعیین می­ شود که سناریوی ریسک مورد بحث (ترکیب دارایی یا گروه دارایی، تهدید و آسیب‌پذیری‌های مرتبط) بر کدام‌یک از پارامترهای محرمانگی، صحت و دسترس­پذیری اثر خواهد داشت. به عنوان مثال تهدید آتش‌سوزی پارامتر دسترس‌پذیری را متأثر می کند. و تهدید شنود پارامتر محرمانگی را تحت الشعاع قرار می‌دهد. از ترکیب بررسی این تأثیر و نیز ارزش دارایی‌ها می‌توان میزان پیامد حادثه را در یک سناریوی خاص مشخص نمود. تخمین پیامد حادثه به صورت کیفی و یا کمی قابل سنجش است.

با توجه به نکات فوق باید توجه داشت که در ارزیابی ریسک یک سناریوی مشخص، لزوماً مقدار ارزش‌گذاری دارایی برابر با پیامد حادثه نخواهد بود. زیرا امکان دارد که تهدیدی سبب نقض تمامی پارامترهای تشکیل‌دهنده ارزش دارایی نشود.

8- تخمین و ارزیابی ریسک

در این گام و پس از مشخص شدن عوامل سازنده ریسک نوبت به ارزیابی ریسک می رسد. بر اساس چارچوب استاندارد ایزو 27005 عناصر تشکیل‌دهنده تابع ریسک عبارتند از:


•مقدار احتمال تهدید: به‌اختصار در این نوشتار با نماد T نشان داده خواهد شد.
•مقدار شدت آسیب­ پذیری: به‌اختصار در این نوشتار با نماد V نشان داده خواهد شد.
•مقدار پیامد حادثه: به‌اختصار در این نوشتار با نماد I نشان داده خواهد شد.
•مقدار ریسک: به‌اختصار در این نوشتار با نماد R نشان داده خواهد شد.

برای ترکیب این عناصر مطابق استاندارد ISO 27005، می‌توان از روش‌ها و فرمول‌های متفاوتی استفاده کرد. روش ریاضی با استفاده از اپراتورهای ضرب و جمع و نیز روش ماتریسی از جمله این روش‌ها هستند. یکی از فرمول‌های مرسوم در محاسبه و ارزیابی ریسک استفاده از عملگر ضرب و به صورت زیر است:

R=T*V*I

لازم به ذکر است که ترکیب پارامترهای احتمال تهدید و شدت آسیب‌پذیری تعیین کننده پارامتر احتمال حادثه هستند.

9- ارزشیابی و اولویت‌بندی ریسک

با توجه به امکان تعریف سطوح مختلف برای تعیین پیامد، تعیین احتمال وقوع تهدید و نیز شدت آسیب‌پذیری طبیعتا بازه نتایج فرمول فوق می‌تواند متغیر باشد. به عنوان مثال چنانچه مفروضات تعیین‌شده برای محاسبه ریسک و برای پارامترهای احتمال تهدید، شدت آسیب پذیری و پیامد حادثه به‌صورت خیلی کم، کم، متوسط، زیاد، خیلی زیاد که معادل کمی آن اعداد 1، 2، 3، 4 و 5 می‌شود، تعریف شده باشند خواهیم داشت:

1 <= R <= 125

و بر همین اساس می‌توان ریسک را به عنوان مثال در 5 سطح و به صورت زیر اولویت‌بندی نمود.


•سطح خیلی کم (1 < R <= 5)
•سطح کم (5 < R <= 10)
•سطح متوسط (10 < R <= 30)
•سطح زیاد (30 < R <= 70)
•سطح خیلی زیاد (70 < R <= 125)

10- تعیین آستانه پذیرش

در مثال فوق، ریسک های امنیت اطلاعات در 5 سطح قرار گرفته‌اند. این 5 سطح در بازه‌هایی بین 1 تا 125 به سطوح خیلی کم، کم، متوسط، زیاد و خیلی زیاد تقسیم‌بندی شدند.

در این مرحله مبتنی بر مقتضیات سازمانی خود و بر اساس نتایج حاصل از ارزیابی ریسک سطوحی را که از نظر شما دارای ریسک قابل قبول هستند مشخص می‌نمایید. منظور از سطح قابل قبول و یا سطح پذیرش، ریسک‌هایی هستند که از نظر شما بدون اینکه بخواهید برایشان اقدامی انجام دهید، می‌پذیرید که وجود داشته باشند. مثلا سازمانی ممکن است از میان سطوح پنج‌گانه ریسک، سطوح خیلی کم و کم را به‌عنوان سطح پذیرش، تعریف نماید.

11- استراتژی‌های مقابله با ریسک

بطور معمول و مطابق با استاندارد ایزو 27005 چهار گزینه پذیرش، کاهش، تسهیم و اجتناب به‌عنوان استراتژی‌های مدیریت ریسک امنیت اطلاعات در نظر گرفته می‌شوند. تعاریف هر یک از این استراتژی‌ها عبارتند از:


•استراتژی پذیرش: چنانچه مقدار سناریوی ریسک موردنظر پایینتر از آستانه پذیرش باشد، سازمان ریسک را می‌پذیرد. طبیعتاً برای ریسک‌های پذیرفته شده اقدام تقابلی انجام نمی‌شود.
•استراتژی کاهش: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن وجود داشته باشد، استراتژی کاهش ریسک انتخاب می‌شود. در این حالت باید کنترل‌های مقابله‌ای بکار گرفته شوند.
•استراتژی تسهیم: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن نیز توسط سازمان وجود نداشته باشد و یا به‌صرفه نباشد اقدام به اشتراک‌گذاری ریسک با یک‌طرف بیرونی می‌شود.
•استراتژی اجتناب: چنانچه سناریوی ریسک موردنظر خارج از بازه پذیرش باشد. همچنین احتمال و پیامد ریسک هر دو بالا باشند و امکان کاهش و یا تسهیم آن نیز به هر دلیلی وجود نداشته باشد تنها گزینه باقیمانده استراتژی اجتناب خواهد بود که به معنای حذف عامل ریسک است.

12- طرح مقابله با ریسک (Risk Treatment Plan)

برای مقابله با ریسک شامل استراتژی‌های کاهش، تسهیم و اجتناب باید طرح مقابله با ریسک که به آن RTP هم گفته می‌شود، در نظر گرفت. یک RTP باید حداقل شامل موارد زیر باشد:


•مالک ریسک
•کنترل مقابله‌ای
•زمان شروع طرح
•زمان پایان طرح

13- اطلاع رسانی در سازمان

پس از تدوین استراتژی ها و طرح های مقابله ای باید این طرح ها با مسئولات مرتبط در میان گذاشته شوند. مدیریت ریسک امنیت اطلاعات یک فرایند مشارکتی است که تمامی مراحل آن از شناسایی و ارزیابی تا تحلیل و کاهش ریسک، نیاز به همراهی پرسنل مرتبط سازمان دارد. طرح های مقابله باید به اطلاع مالکین ریسکها برسد و نقطه نظرات آنان دریافت شود. از آنجاییکه اجرای طرح های مقابله و کاهش ریسک به عهده مالکین ریسک است بدیهی است که آنان باید نسبت به ریسک های خود آگاه باشند و طرح ها را به تأیید برسانند.

14- پایش و بازنگری

فرایند مدیریت ریسک نیز مانند دیگر فرایندهای سیستماتیک مدیریت، فرایندی دینامیک و پویاست. پویایی این فرایند ایجاب می کند که هرگز به آن به شکل یک پروژه با آغاز و پایان مشخص نگاه نشود. بلکه این فرایند همواره باید در معرض پایش و بازبینی مستمر باشد تا بتواند خود را با تغییرات داخلی و بیرونی سازمان تطبیق دهد. به عبارتی می توان گفت که وظیفه اصلی بهبود مستمر در فرایند مدیریت ریسک امنیت اطلاعات به عهده این گام است.

ورود به صفحه انگلیسی