مثال تجزیه و تحلیل ریسک: نحوه ارزیابی خطرات

سازمان ها در جبهه های مختلف از جمله امنیت سایبری ، مسئولیت ، سرمایه گذاری و موارد دیگر با خطرات روبرو هستند. تجزیه و تحلیل ریسک یا ارزیابی ریسک ، اولین قدم در فرایند مدیریت ریسک است. تجزیه و تحلیل ریسک IT بر خطراتی که تهدیدهای داخلی و خارجی در دسترس بودن ، محرمانه بودن و یکپارچگی داده های شما قرار می دهد ، متمرکز است. در طول تجزیه و تحلیل ریسک ، یک شرکت خطرات و میزان عواقب ، مانند ضررهای احتمالی در تجارت را در صورت بروز حادثه مشخص می کند.

فرآیند تجزیه و تحلیل ریسک شامل تعریف دارایی ها (سیستم های IT و داده ها) در معرض خطر ، تهدیدات پیش روی هر دارایی ، هر تهدید چقدر مهم است و سیستم در برابر آن تهدید چقدر آسیب پذیر است. عاقلانه است که یک رویکرد ساخت یافته و مبتنی بر پروژه برای تجزیه و تحلیل ریسک ، مانند موارد ارائه شده در NIST SP 800-30 یا ISO/IEC 27005: 2018 و 31010: 2019 ارائه دهید.

تجزیه و تحلیل ریسک به دلایل مختلف مهم است. متخصصان فناوری اطلاعات که مسئولیت کاهش خطرات در زیرساخت ها را بر عهده دارند ، اغلب در تصمیم گیری در مورد اینکه خطرات باید در اسرع وقت حل شوند ، مشکل دارند و بعداً می توان به آنها رسیدگی کرد. تجزیه و تحلیل ریسک به آنها کمک می کند تا به درستی در اولویت قرار بگیرند. علاوه بر این ، بسیاری از الزامات نظارتی و انطباق شامل ارزیابی ریسک امنیتی به عنوان یک مؤلفه اجباری است.

در این مقاله ، ما به یک مثال تجزیه و تحلیل ریسک خواهیم پرداخت و مؤلفه های اصلی فرآیند تحلیل ریسک IT را شرح خواهیم داد.

مثال تجزیه و تحلیل خطر

بخش های زیر مؤلفه های اصلی یک سند تجزیه و تحلیل ریسک را بیان می کنند.

معرفی

این بخش توضیح می دهد که چرا و چگونه روند ارزیابی انجام شده است. این شامل شرح سیستم های مورد بررسی و تعیین تکلیف مسئولیت های لازم برای تهیه و جمع آوری اطلاعات و تجزیه و تحلیل آن است.

هدف

در این بخش ، هدف از ارزیابی دقیق یک سیستم IT را تعریف می کنید. در اینجا یک مثال آورده شده است:

با توجه به ارزیابی ریسک سالانه شرکت ، به عنوان یک سیستم بالقوه پرخطر بالقوه شناخته شد. هدف از ارزیابی ریسک شناسایی تهدیدها و آسیب پذیری های مربوط به و شناسایی برنامه هایی برای کاهش آن خطرات است.

محدوده

در این بخش ، دامنه ارزیابی سیستم IT را تعریف می کنید. مؤلفه های سیستم ، کاربران و سایر جزئیات سیستم را که باید در ارزیابی ریسک در نظر گرفته شود ، شرح دهید.

دامنه این ارزیابی ریسک ، ارزیابی استفاده از منابع و کنترل ها (اجرا شده یا برنامه ریزی شده) برای از بین بردن و/یا مدیریت آسیب پذیری های قابل بهره برداری از تهدیدهای داخلی و خارجی است.

شرح سیستم

سیستم ها ، سخت افزار ، نرم افزار ، رابط ها یا داده هایی را که مورد بررسی قرار می گیرند لیست کنید و کدام یک از آنها از محدوده ارزیابی خارج است. این امر برای تجزیه و تحلیل بیشتر مرزهای سیستم ، توابع ، سیستم و حساسیت و حساسیت داده ها ضروری است. به عنوان مثال:

شركت كنندگان

این بخش شامل لیستی از نام شرکت کنندگان و نقش آنها است. این باید شامل صاحبان دارایی ها ، تیم های IT و امنیت و تیم ارزیابی ریسک باشد.

رویکرد ارزیابی

در این بخش کلیه روشها و تکنیکهای مورد استفاده برای ارزیابی ریسک توضیح داده شده است. مثلا:

ریسک بر اساس یک رویداد تهدید ، احتمال وقوع آن واقعه تهدید ، آسیب پذیری های شناخته شده سیستم ، عوامل کاهش دهنده و تأثیرگذاری بر رسالت شرکت تعیین می شود.

مرحله جمع آوری داده ها شامل شناسایی و مصاحبه با پرسنل کلیدی در سازمان و انجام بررسی های اسناد است. مصاحبه ها روی محیط عملیاتی متمرکز خواهند شد. بررسی اسناد ، تیم ارزیابی ریسک را برای ارزیابی رعایت سیاست ها و رویه ها فراهم می کند.

شناسایی و ارزیابی ریسک

در اینجا بخش اصلی ارزیابی ریسک امنیت اطلاعات ، جایی که نتایج کار میدانی ارزیابی خود را گردآوری می کنید ، آغاز می شود.

محتوای مرتبط با دستگیره:

• چگونه می توان ارزیابی ریسک GDPR را شروع کرد

موجودی داده ها

کلیه دارایی های ارزشمند را در دامنه شناسایی و تعریف کنید: سرورها ، داده های مهم ، داده های تنظیم شده یا داده های دیگر که قرار گرفتن در معرض آنها تأثیر عمده ای در عملیات تجاری خواهد داشت. مثلا:

کاربران سیستم

توصیف کنید که چه کسی از سیستم ها استفاده می کند ، با جزئیات در مورد مکان کاربر و سطح دسترسی. می توانید از مثال زیر استفاده کنید:

شناسایی تهدید

یک کاتالوگ منابع تهدید را تهیه کنید. به طور خلاصه خطرات را که می تواند بر عملکرد سازمان تأثیر منفی بگذارد ، از نقض امنیتی و اشتباهات فنی گرفته تا خطاهای انسانی و خرابی زیرساخت ها توضیح دهید:

• از دست دادن اعتماد به نفس از کارمندان
• آسیب به شهرت شرکت

• خاتمه نادرست کارگران و اقدامات مجدد

شناسایی آسیب پذیری

ارزیابی کنید که آسیب پذیری ها و ضعف ها می تواند تهدیدات را برای نقض امنیت شما فراهم کند. در اینجا یک مثال آورده شده است:

تعیین خطر

در اینجا ، شما این احتمال را ارزیابی می کنید که تهدیدات و آسیب پذیری ها باعث آسیب و میزان آن عواقب می شوند.

تعیین احتمال خطر

در طی این مرحله ، بر ارزیابی احتمال خطر تمرکز کنید - احتمال بروز یک ریسک.

آنالیز تاثیرات

در صورت وقوع حادثه ، تجزیه و تحلیل تأثیر ریسک را انجام دهید تا عواقب مربوط به تجارت را درک کنید. تجزیه و تحلیل ریسک می تواند شامل ارزیابی های کیفی ریسک برای شناسایی خطراتی باشد که بیشترین خطر را ایجاد می کند ، مانند از دست دادن داده ها ، خرابی سیستم و پیامدهای قانونی. ارزیابی ریسک کمی اختیاری است و برای اندازه گیری تأثیر از نظر مالی استفاده می شود.

این حادثه ممکن است منجر به از دست دادن پرهزینه دارایی ها یا منابع عمده ملموس شود و ممکن است به طور قابل توجهی نقض ، آسیب یا مانع مأموریت ، شهرت یا علایق سازمان شود.

سازمان قادر به انجام وظایف اصلی خود است ، اما اثربخشی توابع به طور قابل توجهی کاهش می یابد.

سازمان قادر به انجام وظایف اصلی خود است ، اما اثربخشی توابع به طور قابل ملاحظه ای کاهش می یابد.

ارزیابی سطح ریسک

در طی این مرحله ، نتایج تجزیه و تحلیل ریسک با معیارهای ارزیابی ریسک مقایسه می شود. نتایج برای اولویت بندی خطرات با توجه به سطح خطر استفاده می شود.

نتایج ارزیابی ریسک

خطرات موجود در جدول نتایج ارزیابی ریسک را لیست کنید. این گزارش باید تهدیدها و آسیب پذیری ها را توصیف کند ، ریسک را اندازه گیری کند و توصیه هایی را برای اجرای کنترل ارائه دهد.

نتیجه

تجزیه و تحلیل ریسک شما را قادر می سازد بدانید که خطرات اولویت اصلی شما چیست. با مرور مداوم زمینه های کلیدی ، مانند مجوزها ، خط مشی ، داده و کاربران ، می توانید تعیین کنید که تهدیدات بیشترین خطر را برای اکوسیستم IT شما ارسال کرده و کنترل های لازم را برای بهبود امنیت و انطباق تنظیم می کند.

تبشیر محصول در شرکت Netwrix ، نویسنده و مجری. رایان در تبخیر از امنیت سایبری و ارتقاء اهمیت دید در تغییرات IT و دسترسی به داده ها تخصص دارد. به عنوان یک نویسنده ، رایان بر روندهای امنیتی IT ، نظرسنجی ها و بینش صنعت تمرکز دارد.