طبق تعریف شرکت مایکروسافت:
ریسک در فناوری اطلاعات، احتمال رخنه کردن آسیبپذیریهایی در فضای کار است که منجر به از دست رفتن بخشی از قابلیت اعتماد، صحت و دسترسی پذیری یک منبع یا دارایی (سختافزار، نرمافزار، اطلاعات و غیره) میگردد.
در نتیجه مدیریت ریسک، میزان آمادگی یک سازمان، شرکت یا گروه برای مقابله و جلوگیری، پذیرش یا اصلاح یک ریسک یا تبعات آن میباشد.
مبحث مدیریت ریسک در امنیت اطلاعات (ITS) یکی از استانداردهای مهمی است که هر سازمان مرتبط با IT باید در استقرار آن کوشا باشد. این استانداردها در رده ISO 27000 تا 27011 قرار میگیرند. در این رابطه مستندات و آزمونهای زیادی از شرکت Microsoft منتشر شده است که خلاصه یکی از آنها به صورت زیر است. (یک مورد کلی)
برای بررسی میزان آمادگی سازمان خود جهت استقرار یک سیستم مدیریت ریسک جامع، 17 مورد زیر را مطالعه نموده و در هر مورد به خود امتیازی از 0 تا 5 اختصاص دهید. معیار امتیاز دهی در هر مورد به صورت زیر است:
0: چنین روالی در سازمان ما وجود ندارد. (Non-existent)
1: بدون برنامه قبلی و به صورت موردی انجام شده است. (Ad-Hoc)
2: بدون برنامه صحیح، گاهی تکرار میشود. (Repeatable)
3: روال تعریف شدهای وجود دارد. (Defined Process)
4: روال تعریف شده و به خوبی مدیریت میگردد. (Managed)
5: به خوبی و به بهترین شکل ممکن انجام میشود. (Optimized)
موارد مورد بررسی:
- روالها و خط مشیهای امنیت اطلاعات در این سازمان، روشن، صریح، کامل و مستند شده هستند.
- تمامی مسئولین و کارکنانی که موقعیت شغلی آنها در ارتباط مستقیم با امنیت اطلاعات است، به خوبی با مسئولیت و نقش خود در این راستا آشنا شدهاند.
- سیاست و خط مشی امنیتی کاملا روشن و مستند شدهای در رابطه با اشخاص ثالث (Third party) وضع شده است. به عنوان مثال شرکتهای ثالثی که در حال طراحی یک نرمافزار یا ابزار خاص برای منابع درونی سازمان هستند، از حق دسترسی کافی نسبت به منابع سازمان و اطلاعات مربوطه برخوردار هستند. اما این حق دسترسی فقط به اندازه حداقل نیاز آنها تعریف شده است.
- فهرست داراییها و منابع (IT) سازمان مانند انواع سختافزارها، نرمافزارها و پایگاههای دادهای (انباره اطلاعات) کاملا دقیق و بروز میباشد.
- برای جلوگیری از دسترسی غیر مجاز افراد داخلی و خارجی به اطلاعات محرمانه سازمان، روندهای کنترلی مناسبی تدارک دیده شده است.
- به منظور اطلاع رسانی و آگاهی کاربران از خط مشیها و ملزومات امنیت اطلاعات، ندابیر مناسبی مانند خبرنامهها، نشریه یا برنامههای آموزشی تدارک دیده شده است.
- دسترسی فیزیکی به شبکه کامپیوتری و دیگر منابع امنیتی اطلاعاتی، تنها با عبور از کنترلهای موثر و مناسب امکانپذیر است.
- تمامی سیستمهای کامپیوتری جدید سازمان، با استفاده از روالها و ابزارهای خودکار (مانند سیستم پشتیبانگیری یا غیره) به استاندارد امنیتی تعریف شده در سازمان مقید میشوند.
- برای بروز رسانی و نصب وصلههای امنیتی مناسب نرمافزارها، از سیستم خودکار و موثری استفاده میشود که بخش عمده کامپیوترهای سازمان از آن تغذیه میشوند.
- گروهی برای واکنش نسبت به حوادث امنیتی و بررسی علل آنها تدارک دیده شده است. تمامی وقایع امنیتی توسط این گروه ثبت و بررسی شده تا ریشه بروز آنها کاملا شناسایی شود.
- سازمان از یک برنامه ضد ویروس جامع و قدرتمند با چندین لایه حفاظتی استفاده مینماید.
- خط مشی کنترل کاربران سازمان، جامع و مستند شده بوده و از راهکارهای خودکار (مثلا برنامههای اتوماسیونی و یا اکتیودایرکتوری) برای اعطای حق دسترسی مناسب به کارکنان و یا لغو حق دسترسی ثبت شده استفاده میکند.
- روند کنترل و مانیتورینگ مناسبی برای بررسی دسترسیها به منابع شبکه، دادهها و سیستمها وجود داشته که در صورت کشف نفوذ، میتوان فرد خاطی را شناسایی نمود.
- توسعه دهندگان سیستمها نسبت به استانداردهای امنیتی و روندهای بررسی کیفیت کار، آگاهی کاملی داشته و برای رعایت آنها به خوبی آموزش دیدهاند.
- برنامههای حفظ امنیت کاری به صورت مستمر مورد تمرین قرار میگیرند.
- مستندات، برنامه و شرح کار مناسبی برای بررسی میزان انطباق فرآیندهای سازمان با خط مشیهای امنیتی تعریف شده وجود دارد.
- از بازرسی و ممیزی خارجی با زمانبندی مناسب برای کشف عدم انطباق نسبت به استانداردها استفاده میگردد.
در پایان امتیازات ثبت شده را جمع نموده و با اعداد زیر مقایسه کنید:
امتیاز کمتر از 35: بهتر است که نسبت به ایجاد یک کارگروه مدیریت ریسک در سازمان اقدام نموده و کار آنها را با بررسی یکی از واحدها یا فرآیندهای سازمان آغاز کنید.
امنیاز 35 تا 50: اقدامات موثر و مفیدی انجام شده است. باید بررسی ریسک را در مابقی فرآیندهای سازمان نیز به انجام برسانید.
امتیاز بیش از 50: سازمان شما برای استفاده کامل از یک سیستم مدیریت ریسک امنیتی آماده است.
هیچ نظری موجود نیست:
ارسال یک نظر