Get best of the week

تحليل الوثائق الدولية حول إدارة مخاطر أمن المعلومات. الجزء الأول

الأصدقاء ، في وظيفة سابقةاستعرضنا الوثائق التنظيمية بشأن حماية المعلومات في قطاع الائتمان والمالية الروسي ، والتي يشير بعضها إلى تقييم مخاطر أمن المعلومات ومنهجيات الإدارة. بشكل عام ، من منظور الأعمال ، إدارة أمن المعلومات هي عملية فرعية لعملية إدارة مخاطر أوسع: إذا خلصت شركة ، بعد تحليل وتقييم جميع مخاطر أعمالها ، إلى أن مخاطر أمن المعلومات ذات صلة ، فإن حماية المعلومات نفسها تدخل في الاعتبار كوسيلة لتقليل بعض المخاطر. تسمح لك إدارة المخاطر ببناء عمليات نظم المعلومات بكفاءة وعقلانية وتخصيص الموارد لحماية أصول الشركة ، ويسمح لك تقييم المخاطر بتطبيق التدابير المناسبة لتقليلها: للحماية من التهديدات الكبيرة وذات الصلة ، سيكون من المنطقي استخدام حلول أكثر تكلفة ،من مواجهة التهديدات غير المهمة أو التي يصعب تنفيذها.

بالإضافة إلى ذلك ، ستتيح عملية إدارة مخاطر أمن المعلومات المضمنة تطوير خطط واضحة لضمان استمرارية الأعمال واستعادة القدرة على العمل بعد الكوارث (استعادة استمرارية الأعمال والتعافي من الكوارث) وتطبيقها إذا لزم الأمر: ستساعد الدراسة العميقة للمخاطر المختلفة في مراعاة ، على سبيل المثال ، الحاجة المفاجئة للوصول عن بُعد لعدد كبير من الموظفين ، حيث قد يحدث هذا في حالة حدوث وباء أو انهيار نظام النقل. لذا ، في هذا المنشور - تحليل الوثائق الدولية حول إدارة مخاطر أمن المعلومات. استمتع بالقراءة!

صورة

المفهوم العام لإدارة مخاطر نظم المعلومات


يُفهم خطر أمن المعلومات ، أو المخاطر السيبرانية ، على أنه يعني الاحتمال المحتمل لاستغلال ثغرات الأصول كتهديد محدد لإلحاق الضرر بالمنظمة. تعني قيمة المخاطر بشكل مشروط منتج احتمالية وقوع حدث سلبي ومقدار الضرر. في المقابل ، يُفهم احتمال وقوع حدث على أنه نتاج احتمالية التهديد وخطر التعرض ، معبرًا عنه بشكل نوعي أو كمي. بشكل
تقليدي ، يمكننا التعبير عن ذلك بالصيغة المنطقية: ValueRisk = احتمال وقوع حدث * حجم الضرر ، حيث احتمال وقوع حدث = احتمال التهديدات * قيمة الضعف


هناك أيضًا تصنيفات مشروطة للمخاطر: حسب مصدر الخطر (على سبيل المثال ، هجمات المتسللين أو المطلعين ، والأخطاء المالية ، وتأثير الجهات التنظيمية الحكومية ، والمطالبات القانونية من قبل المقاولين ، والتأثير الإعلامي السلبي للمنافسين) ؛ حسب الغرض (أصول المعلومات ، والأصول المادية ، والسمعة ، والعمليات التجارية) ؛ حسب مدة التأثير (العملياتية والتكتيكية والاستراتيجية).

تتمثل أهداف تحليل مخاطر نظم المعلومات فيما يلي:

  1. تحديد الأصول وتقييم قيمتها.
  2. تحديد التهديدات للأصول والثغرات الأمنية.
  3. احسب احتمال التهديدات وتأثيرها على الأعمال.
  4. الحفاظ على التوازن بين تكلفة العواقب السلبية المحتملة وتكلفة تدابير الحماية ، وإعطاء توصيات لإدارة الشركة بشأن معالجة المخاطر المحددة.

الخطوات من 1 إلى 3 هي تقييم للمخاطر وهي عبارة عن مجموعة من المعلومات المتاحة. المرحلة 4 هي بالفعل تحليل مباشر للمخاطر (تحليل المخاطر باللغة الإنجليزية) ، أي دراسة البيانات التي تم جمعها وإصدار النتائج / الاتجاهات لمزيد من العمل. من المهم أن تفهم مستوى ثقتك في صحة التقييم. في المرحلة 4 ، يتم أيضًا اقتراح طرق المعالجة لكل من المخاطر ذات الصلة: النقل (على سبيل المثال ، من خلال التأمين) ، التجنب (على سبيل المثال ، رفض إدخال تقنية أو خدمة معينة) ، القبول (الرغبة الواعية في تحمل الضرر في حالة الخطر) ، التقليل ( تطبيق تدابير لتقليل احتمالية وقوع حدث سلبي يؤدي إلى إدراك الخطر).بعد الانتهاء من جميع مراحل تحليل المخاطر ، يجب عليك تحديد مستوى مقبول للمخاطر للشركة ، وتحديد الحد الأدنى من مستوى الأمان الممكن (خطوط الأساس الإنجليزية للأداء) ، ثم تنفيذ الإجراءات المضادة وتقييمها بشكل أكبر من حيث إمكانية تحقيق الحد الأدنى الممكن من المستوى الممكن الأمان.

يمكن أن يكون الضرر الناتج عن تنفيذ هجوم مباشر أو غير مباشر . الضرر

المباشر هو الخسارة المباشرة الواضحة والتي يمكن التنبؤ بها بسهولة للشركة ، مثل فقدان حقوق الملكية الفكرية ، والكشف عن أسرار الإنتاج ، وخفض قيمة الأصول أو تدميرها جزئيًا أو كليًا ، والتكاليف القانونية ودفع الغرامات والتعويضات ، إلخ. يمكن أن يؤدي الضرر

غير المباشر إلى خسارة في الجودة أو غير مباشرة . يمكن أن تكون الخسائر
النوعية تعليقًا أو انخفاضًا في كفاءة الشركة ، أو فقدان العملاء ، أو انخفاض جودة السلع المصنعة أو الخدمات المقدمة. غير مباشرالخسائر ، على سبيل المثال ، خسارة الأرباح ، وفقدان الشهرة ، والنفقات الإضافية المتكبدة. بالإضافة إلى ذلك ، فإن الأدبيات الأجنبية حيث يوجد شيء مثل الخطر الكلي (Eng. Total Risk) ، الموجود ، إذا لم يتم تنفيذ أي تدابير أمنية على الإطلاق ، بالإضافة إلى المخاطر المتبقية (Eng. المخاطر المتبقية) ، الموجودة ، إذا تم تحقيق التهديد ، على الرغم من تدابير الحماية المنفذة.

تحليل المخاطر يمكن أن تكون الكمي و النوعي .

فكر في إحدى طرق التحليل الكمي للمخاطر. المؤشرات الرئيسية هي القيم التالية:

ALE - توقع الخسارة السنوية ؛ "التكلفة" لجميع الحوادث في السنة.
SLE - توقع خسارة واحدة ، خسائر متوقعة لمرة واحدة ، أي "تكلفة" حادثة واحدة.
EF - عامل التعرض وعامل الانفتاح على التهديد ، أي ما النسبة المئوية للأصل الذي سيدمره التهديد إذا تم تنفيذه بنجاح.
ARO - معدل الحدوث السنوي ، متوسط ​​عدد الحوادث في السنة وفقًا للإحصاءات.

يتم حساب قيمة SLE كمنتج لقيمة الأصول المقدرة وقيمة EF ، أي SLE = AssetValue * EF . في الوقت نفسه ، يجب أن تشمل تكلفة الأصل عقوبات على حمايته غير الكافية.

يتم حساب قيمة ALE كمنتج SLE و ARO ، أي ALE = SLE * ARO. ستساعد قيمة ALE في ترتيب المخاطر - ستكون المخاطر ذات ALE المرتفعة هي الأكثر أهمية. علاوة على ذلك ، يمكن استخدام قيمة ALE المحسوبة لتحديد التكلفة القصوى لتدابير الحماية المنفذة ، نظرًا لأنه وفقًا للنهج المقبول بشكل عام ، يجب ألا تتجاوز تكلفة تدابير الحماية قيمة الأصل أو مقدار الضرر المتوقع ، ويجب أن تكون التكلفة المعقولة المقدرة للهجوم للمهاجم أقل من الربح المتوقع من تنفيذ هذا الهجوم. يمكن أيضًا تحديد قيمة تدابير الحماية بطرح من قيمة ALE المحسوبة قبل تنفيذ التدابير الوقائية قيمة قيمة ALE المحسوبة بعد تنفيذ تدابير الحماية ، وكذلك من خلال طرح التكاليف السنوية لتنفيذ هذه التدابير. اكتب هذا التعبير بشروط كما يلي:

(قيمة تدابير الحماية للشركة) = (ALE قبل تنفيذ تدابير الحماية) - (ALE بعد تنفيذ تدابير الحماية) - (التكاليف السنوية لتنفيذ تدابير الحماية) يمكن أن تكون

أمثلة على التحليل النوعي للمخاطر ، على سبيل المثال ، طريقة دلفي ، حيث يتم إجراء مسح مجهول للخبراء في العديد من التكرارات حتى يتم التوصل إلى توافق في الآراء ، بالإضافة إلى العصف الذهني وأمثلة أخرى على ما يسمى التقييم "طريقة خبير".

بعد ذلك ، نقدم قائمة مختصرة وغير حصرية لمختلف منهجيات إدارة المخاطر ، وأكثرها شيوعًا سننظر فيها بمزيد من التفصيل أدناه.

1. يتضمن إطار إدارة مخاطر NIST المستند إلى وثائق الحكومة الأمريكية NIST (المعهد الوطني للمعايير والتكنولوجيا والمعهد الوطني للمعايير والتكنولوجيا بالولايات المتحدة الأمريكية) مجموعة من ما يسمى مترابطة "منشورات خاصة" (المهندس الخاص للنشر الخاص (SP) ، سنطلق عليها معايير سهولة الإدراك):

1.1. يقدم معيار NIST SP 800-39 "إدارة مخاطر أمن المعلومات" نهجًا ثلاثي المستويات لإدارة المخاطر: التنظيم والعمليات التجارية وأنظمة المعلومات. يصف هذا المعيار منهجية عملية إدارة المخاطر: تحديد وتقييم والاستجابة ومراقبة المخاطر.
1.2. يقترح NIST SP 800-37 ، إطار إدارة المخاطر لنظم المعلومات والمؤسسات ، نهج إدارة دورة حياة النظام للأمان والخصوصية.
1.3. يركز معيار NIST SP 800-30 ، دليل إجراء تقييمات المخاطر ، على تكنولوجيا المعلومات ونظم المعلومات والمخاطر التشغيلية. يصف نهجًا لعمليات إعداد وإجراء تقييم المخاطر ، وإبلاغ نتائج التقييم ، ودعم عملية التقييم بشكل أكبر.
1.4. يصف معيار NIST SP 800-137 "المراقبة المستمرة لأمن المعلومات" نهجًا لعملية مراقبة أنظمة المعلومات وبيئات تكنولوجيا المعلومات من أجل التحكم في إجراءات إدارة مخاطر أمن المعلومات المطبقة والحاجة لمراجعتها.

2. معايير المنظمة الدولية للتوحيد القياسي ISO (المنظمة الدولية للتوحيد القياسي):

2.1. المعيار ISO / IEC 27005: 2018 "تكنولوجيا المعلومات - تقنيات الأمان - إدارة مخاطر أمن المعلومات" ("تكنولوجيا المعلومات. الأساليب وأدوات الأمان. إدارة مخاطر أمن المعلومات") هي جزء من سلسلة من معايير ISO 27000 ومترابطة منطقياً مع معايير أخرى IB من هذه السلسلة. يركز هذا المعيار على أمن المعلومات عند التفكير في عمليات إدارة المخاطر.
2.2. يوفر معيار ISO / IEC 27102: 2019 القياسي "إدارة أمن المعلومات - إرشادات التأمين السيبراني" مناهج لتقييم الحاجة إلى الحصول على التأمين السيبراني كإجراء لعلاج المخاطر ، بالإضافة إلى تقييم شركة التأمين والتفاعل معها.
2.3. تصف سلسلة معايير ISO / IEC 31000: 2018 نهجًا لإدارة المخاطر دون الارتباط بتكنولوجيا المعلومات / نظم المعلومات. في هذه السلسلة ، تجدر الإشارة إلى المعيار ISO / IEC 31010: 2019 "إدارة المخاطر - تقنيات تقييم المخاطر" - لهذا المعيار في نسخته المحلية GOST R ISO / IEC 31010-2011 "إدارة المخاطر. تشير طرق تقييم المخاطر "607-P من البنك المركزي للاتحاد الروسي" حول متطلبات إجراء ضمان التشغيل المستمر لنظام الدفع ، ومؤشرات التشغيل المتواصل لنظام الدفع وطرق تحليل المخاطر في نظام الدفع ، بما في ذلك ملفات تعريف المخاطر ".

3. منهجية FRAP (عملية تحليل المخاطر الميسرة) هي طريقة مبسطة نسبيًا لتقييم المخاطر ، مع التركيز على الأصول الأكثر أهمية فقط. يتم إجراء التحليل النوعي باستخدام حكم الخبراء.

4. تركز منهجية OCTAVE (تقييم المخاطر الحرجة من الناحية التشغيلية والأصول وتقييم نقاط الضعف) على العمل المستقل لأعضاء وحدات الأعمال. يتم استخدامه لتقييم على نطاق واسع لجميع نظم المعلومات والعمليات التجارية للشركة.

5. AS / NZS 4360 هو معيار أسترالي ونيوزيلندي مع التركيز ليس فقط على أنظمة تكنولوجيا المعلومات ، ولكن أيضًا على صحة أعمال الشركة ، أي يقدم نهجا أكثر عالمية لإدارة المخاطر. لاحظ أن هذا المعيار يتم استبداله حاليًا بـ AS / NZS ISO 31000-2009.

6. تقدم منهجية FMEA (طرق الفشل وتحليل التأثير) تقييمًا للنظام من حيث نقاط ضعفه للعثور على عناصر غير موثوقة.

7. تقترح منهجية CRAMM (طريقة تحليل وإدارة مخاطر الوكالة المركزية للحوسبة والاتصالات) استخدام أدوات إدارة المخاطر المؤتمتة.

8. تعد منهجية FAIR (تحليل عوامل مخاطر المعلومات) إطارًا خاصًا لإجراء التحليل الكمي للمخاطر ، والذي يقدم نموذجًا لبناء نظام إدارة المخاطر على أساس نهج فعال من حيث التكلفة ، واتخاذ قرارات مستنيرة ، ومقارنة تدابير إدارة المخاطر ، والمؤشرات المالية ونماذج المخاطر الدقيقة.

9. يصف مفهوم COSO ERM (إدارة مخاطر المؤسسة) طرقًا لدمج إدارة المخاطر مع الإستراتيجية والأداء المالي للشركة ويركز على أهمية علاقتهما. تصف الوثيقة مكونات إدارة المخاطر مثل الاستراتيجية وتحديد الأهداف ، والكفاءة الاقتصادية للشركة ، وتحليل المخاطر ومراجعتها ، وحوكمة الشركات وثقافتها ، بالإضافة إلى المعلومات ، والاتصال والإبلاغ.

NIST إطار إدارة المخاطر


ستكون المجموعة الأولى من الوثائق هي إطار إدارة المخاطر للمعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST). يصدر هذا المعهد وثائق أمن المعلومات كجزء من سلسلة توصيات FIPS (معايير معالجة المعلومات الفيدرالية) و SP (منشورات خاصة ، سلسلة 800). تتميز هذه السلسلة من المنشورات بالترابط المنطقي والتفاصيل وقاعدة مصطلحات واحدة. من بين الوثائق المتعلقة بإدارة مخاطر أمن المعلومات ، يجب ملاحظة NIST SP 800-39 و 800-37 و 800-30 و 800-137 و 800-53 / 53a.

كان إنشاء هذه المجموعة من الوثائق نتيجة لاعتماد قانون إدارة أمن المعلومات الفيدرالي الأمريكي (FISMA ، 2002) وقانون تحديث أمن المعلومات الفيدرالي الأمريكي (FISMA ، 2014). على الرغم من "الالتزام" المعلن بمعايير المعهد القومي للمعايير والتقارير والمنشورات لقانون الولايات المتحدة والتنفيذ الإلزامي لها للوكالات الحكومية الأمريكية ، يمكن اعتبار هذه المستندات مناسبة لأي شركة تسعى إلى تحسين إدارة تنظيم الدولة ، بغض النظر عن الاختصاص القضائي وشكل الملكية.

NIST SP 800-39


لذا ، يقدم NIST SP 800-39 "إدارة مخاطر أمن المعلومات: طريقة عرض المنظمة والرسالة ونظام المعلومات" نهجًا مستقلاً ومنظمًا ومرنًا يعتمد على البائع إدارة مخاطر نظم المعلومات في سياق عمليات الشركة والأصول والأفراد والأطراف المقابلة. في الوقت نفسه ، يجب أن تكون إدارة المخاطر عملية شاملة تؤثر على المنظمة بأكملها حيث يتم ممارسة صنع القرار القائم على المخاطر على جميع المستويات. تُعرَّف إدارة المخاطر في هذه الوثيقة بأنها عملية شاملة تتضمن خطوات تحديد (الإطار) وتقييم (التقييم) ومعالجة (الاستجابة) ومراقبة (مراقبة) المخاطر. فكر في هذه الخطوات بمزيد من التفصيل.

1. في مرحلة تحديد مخاطر المنظمة يجب تحديد:

  • افتراضات المخاطر ، أي تحديد التهديدات الحالية ونقاط الضعف والعواقب واحتمالية المخاطر ؛
  • حدود المخاطر ، أي قدرات التقييم والاستجابة والمراقبة ؛
  • تحمل المخاطر ، أي تحمل المخاطر - أنواع ومستويات مقبولة من المخاطر ، وكذلك مستوى مقبول من عدم اليقين في قضايا إدارة المخاطر ؛
  • الأولويات والتنازلات المحتملة ، أي من الضروري تحديد أولويات العمليات التجارية ، لدراسة المقايضات التي يمكن أن تقوم بها المؤسسة عند معالجة المخاطر ، بالإضافة إلى قيود الوقت والشكوك التي تصاحب هذه العملية.

2 - في مرحلة تقييم المخاطر ، ينبغي للمنظمة أن تحدد ما يلي:

  • تهديدات IS ، أي الإجراءات أو الأشخاص أو الكيانات المحددة التي قد تشكل تهديدات للمنظمة نفسها أو قد يتم توجيهها إلى منظمات أخرى ؛
  • نقاط الضعف الداخلية والخارجية ، بما في ذلك نقاط الضعف التنظيمية في عمليات إدارة أعمال الشركة ، وبنية أنظمة تكنولوجيا المعلومات ، وما إلى ذلك ؛
  • الضرر الذي يلحق بالمنظمة ، مع مراعاة إمكانيات استغلال نقاط الضعف من خلال التهديدات ؛
  • احتمال الضرر.

ونتيجة لذلك ، تتلقى المنظمة محددات المخاطر ، أي مستوى الضرر واحتمال حدوث الضرر لكل خطر.

لضمان عملية تقييم المخاطر ، تحدد المنظمة مسبقًا:

  • الأدوات والتقنيات والمنهجيات المستخدمة لتقييم المخاطر ؛
  • الافتراضات المتعلقة بتقييم المخاطر ؛
  • القيود التي قد تؤثر على تقييمات المخاطر ؛
  • الادوار والمسؤوليات؛
  • طرق جمع ومعالجة ونقل معلومات تقييم المخاطر داخل المنظمة ؛
  • طرق إجراء تقييم المخاطر في المنظمة ؛
  • تواتر تقييم المخاطر ؛
  • طرق الحصول على معلومات حول التهديدات (المصادر والأساليب).

3 - في مرحلة الاستجابة للمخاطر ، تقوم المنظمة بالأنشطة التالية:

  • تطوير خطط الاستجابة المحتملة للمخاطر ؛
  • تقييم خطط الاستجابة المحتملة للمخاطر ؛
  • تحديد خطط الاستجابة للمخاطر مقبولة من وجهة نظر تحمل المنظمة للمخاطر ؛
  • تنفيذ خطط الاستجابة للمخاطر المقبولة.

من أجل أن تكون قادرة على الاستجابة للمخاطر ، تحدد المنظمة أنواع معالجة المخاطر المحتملة (قبول المخاطر أو تجنبها أو التقليل منها أو مشاركتها أو نقلها) ، وكذلك الأدوات والتقنيات والمنهجيات لتطوير خطط الاستجابة وطرق تقييم خطط الاستجابة وطرق الإخطار بتدابير الاستجابة المتخذة ضمن المنظمات و / أو الأطراف المقابلة الخارجية.

4. في مرحلة مراقبة المخاطر ، يتم حل المهام التالية:

  • التحقق من تنفيذ خطط الاستجابة للمخاطر المعتمدة والامتثال لمتطلبات نظم المعلومات ؛
  • تحديد الفعالية الحالية لتدابير الاستجابة للمخاطر ؛
  • - - , , , - , -, , - ..

تصف المنظمات طرق تقييم الامتثال التنظيمي وفعالية الاستجابات للمخاطر ، وكذلك كيفية التحكم في التغييرات التي يمكن أن تؤثر على فعالية الاستجابات للمخاطر.

تتم إدارة المخاطر على مستويات التنظيم والعمليات التجارية ونظم المعلومات ، في حين يجب ضمان الربط المتبادل وتبادل المعلومات بين هذه المستويات من أجل التحسين المستمر لفعالية الإجراءات المتخذة وإبلاغ المخاطر لجميع أصحاب المصلحة. على المستوى الأعلى (مستوى المؤسسة) ، يتم اتخاذ القرارات لتحديد المخاطر ، والتي تؤثر بشكل مباشر على العمليات التي تتم على المستويات الأدنى (العمليات التجارية ونظم المعلومات) ، وكذلك تمويل هذه العمليات.

مستوى التنظيميتم تنفيذ وتطوير وظائف الإدارة التي تتوافق مع أهداف العمل والمتطلبات التنظيمية للمنظمة: إنشاء وظيفة إدارة المخاطر ، وتعيين المسؤولين ، وتنفيذ استراتيجية إدارة المخاطر وتحديد تحمل المخاطر ، ووضع وتنفيذ استراتيجيات الاستثمار في مجال تكنولوجيا المعلومات وأمن المعلومات.

على مستوى العمليات التجارية ، يتم تحديد وإنشاء عمليات الأعمال الموجهة نحو المخاطر والبنية التنظيمية ، والتي يجب أن تستند إلى التقسيم ، حجز الموارد وغياب نقاط الفشل الفردية. بالإضافة إلى ذلك ، يتم على هذا المستوى تطوير بنية أمن المعلومات ، والتي ستضمن التنفيذ الفعال لمتطلبات أمن المعلومات وتنفيذ جميع التدابير ووسائل الحماية اللازمة.

على مستوى نظم المعلوماتمن الضروري ضمان تنفيذ القرارات المتخذة على مستويات أعلى ، أي ضمان إدارة مخاطر نظم المعلومات في جميع مراحل دورة حياة النظم: التهيئة ، التطوير أو الاستحواذ ، التنفيذ ، الاستخدام وإيقاف التشغيل. تؤكد الوثيقة على أهمية مرونة أنظمة تكنولوجيا المعلومات ، والتي تعد مؤشراً على جدوى وظائف عمل الشركة.

لاحظ أنه في الملحق "H" للوثيقة التي تم تناولها في هذا المستند ، يتم وصف كل من طرق معالجة المخاطر المدرجة في مرحلة الاستجابة للمخاطر. لذلك ، يشار إلى أنه يجب أن يكون لدى المنظمة استراتيجية عامة لاختيار طريقة محددة لمعالجة المخاطر في حالة معينة ، واستراتيجيات منفصلة لكل من طرق معالجة المخاطر. يشار إلى المبادئ الأساسية لاختيار نهج أو آخر لإدارة المخاطر:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

كما تولي الوثيقة اهتمامًا كبيرًا للثقافة التنظيمية والثقة في الموردين / المقاولين كعوامل لنجاح إدارة المخاطر. على وجه الخصوص ، يقال أن الثقافة التنظيمية وكبار المديرين في الشركة تؤثر بشكل مباشر على القرارات المختارة لإدارة المخاطر ، وبالتالي ، يجب أن تأخذ استراتيجية إدارة المخاطر الشاملة في الاعتبار شهية المخاطر للشركة وتعكس الأساليب الفعلية لإدارة المخاطر. تم وصف نماذج بناء الثقة مع الأطراف المقابلة والموردين في الملحق "G": النماذج التي تستند إلى فحوصات المقاولين (على سبيل المثال ، من خلال عمليات المراجعة) ، والثقة التاريخية (عندما لم يقم الطرف المقابل بأي انتهاكات خلال تاريخ العلاقات على المدى الطويل) ، والثقة لطرف ثالث ( التي تجري تقييما مستقلا للأطراف المقابلة) ، على ثقة الاعتماد (في الحالةعندما تحدد المتطلبات التنظيمية متطلبات الثقة لمثل هذا المورد) ، بالإضافة إلى نموذج هجين.

NIST SP 800-37


لننتقل الآن إلى NIST SP 800-37 "إطار إدارة المخاطر لنظم المعلومات والمؤسسات: نهج دورة حياة النظام للأمن والخصوصية" ("إطار إدارة المخاطر لنظم المعلومات والمنظمات: دورة حياة أنظمة الأمان والخصوصية") .

تحتوي الوثيقة الحالية على المراجعة №2 وتم تحديثها في ديسمبر 2018 من أجل مراعاة المشهد الحديث للتهديدات والتأكيد على أهمية إدارة المخاطر على مستوى رؤساء الشركات ، للتأكيد على الصلة بين إطار إدارة المخاطر (إطار إدارة المخاطر ، RMF) وإطار الأمن السيبراني ( الأمن السيبراني إطار العمل، CSF) ، الإشارة إلى أهمية دمج عمليات إدارة الخصوصية وإدارة مخاطر سلسلة التوريد (SCRM) ، وكذلك ربط منطقيا قائمة تدابير الحماية (الضوابط) المقترحة إلى وثيقة NIST 800-53 ليرة سورية. بالإضافة إلى ذلك ، يمكن استخدام تطبيق NIST SP 800-37 إذا لزم الأمر لإجراء تقييم متبادل لإجراءات إدارة المخاطر للشركات في الحالات التي تحتاج فيها هذه الشركات إلى تبادل البيانات أو الموارد. قياسا على NIST SP 800-39 ، تعتبر إدارة المخاطر على مستويات التنظيم ، المهمة ، نظم المعلومات.

تنص NIST SP 800-37 على أن إطار إدارة المخاطر ككل يشير إلى أهمية تطوير وتنفيذ قدرات الأمان والسرية في أنظمة تكنولوجيا المعلومات طوال دورة الحياة بأكملها (دورة حياة تطوير النظام ، SDLC) ، والدعم المستمر للوعي بالأوضاع حول حالة حماية أنظمة تكنولوجيا المعلومات باستخدام عمليات المراقبة المستمرة (CM) وتوفير المعلومات للإدارة لاتخاذ قرارات مستنيرة قائمة على المخاطر. تم تحديد الأنواع التالية من المخاطر في RMF: مخاطر البرنامج ، مخاطر عدم الامتثال ، المخاطر المالية ، المخاطر القانونية ، مخاطر الأعمال ، المخاطر السياسية ، مخاطر الأمن والسرية (بما في ذلك مخاطر سلسلة التوريد) ، مخاطر المشروع ، مخاطر السمعة ، مخاطر سلامة الحياة ، المخاطر الاستراتيجية التخطيط.

بالإضافة إلى ذلك ، فإن إطار إدارة المخاطر:

  • يوفر عملية قابلة للتكرار لحماية المعلومات ونظم المعلومات على أساس المخاطر ؛
  • يشدد على أهمية الأنشطة التحضيرية لإدارة الأمن والخصوصية ؛
  • يوفر تصنيف المعلومات ونظم المعلومات ، فضلا عن اختيار وتنفيذ وتقييم ورصد معدات الحماية ؛
  • يقترح استخدام أدوات الأتمتة لإدارة المخاطر وتدابير الحماية في الوضع شبه الحقيقي ، بالإضافة إلى مقاييس الوقت ذات الصلة لتوفير المعلومات للإدارة لاتخاذ القرار ؛
  • يربط عمليات إدارة المخاطر على مختلف المستويات ويشير إلى أهمية اختيار المسؤولين عن اتخاذ تدابير وقائية.

يحتوي المستند على 7 خطوات لتطبيق RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

علاوة على ذلك ، يسرد منشور NIST SP 800-37 المهام التي يجب القيام بها في كل مرحلة من مراحل تطبيق RMF. لكل مهمة ، يشار إلى اسم المهمة (التحكم) ، يتم إدراج بيانات المدخلات والمخرجات (الناتجة) للعملية بالإشارة إلى فئات عناصر التحكم المقابلة لـ CSF ، وقائمة بالأدوار المسؤولة والإضافية ، ووصف إضافي للمهمة ، وأيضًا ، إذا لزم الأمر ، يتم إعطاء روابط إلى مستندات NIST ذات الصلة.

نسرد أدناه المهام لكل مرحلة من مراحل تطبيق RMF.

تتضمن أهداف مرحلة " الإعداد " على مستوى المنظمة ما يلي:

  • تحديد أدوار إدارة المخاطر ؛
  • إنشاء إستراتيجية لإدارة المخاطر ، مع مراعاة تحمل المنظمة للمخاطر ؛
  • تقييم المخاطر؛
  • اختيار القيم المستهدفة لتدابير الحماية و / أو ملفات التعريف من وثيقة إطار الأمن السيبراني ؛
  • تعريف أنظمة تكنولوجيا المعلومات لإجراءات الحماية العامة التي يمكن أن ترث من مستويات أعلى (على سبيل المثال ، من مستوى التنظيم أو العمليات التجارية)
  • تحديد أولويات نظم تكنولوجيا المعلومات ؛
  • وضع وتنفيذ استراتيجية للرصد المستمر لفعالية تدابير الحماية.

تتضمن مهام مرحلة " الإعداد " على مستوى أنظمة تكنولوجيا المعلومات ما يلي:

  • تحديد وظائف الأعمال والعمليات التي يدعمها كل نظام تكنولوجيا المعلومات
  • تحديد الأشخاص (أصحاب المصلحة) المهتمين بإنشاء الأنظمة وتنفيذها وتقييمها وتشغيلها ودعمها وإيقاف تشغيلها ؛
  • تحديد الأصول التي تتطلب الحماية ؛
  • تحديد حدود التفويض للنظام
  • تحديد أنواع المعلومات المجهزة / المنقولة / المخزنة في النظام ؛
  • تحديد وتحليل دورة حياة جميع أنواع المعلومات المعالجة / المنقولة / المخزنة في النظام ؛
  • إجراء تقييمات المخاطر على مستوى أنظمة تكنولوجيا المعلومات وتحديث قائمة نتائج التقييم ؛
  • تحديد متطلبات الأمن والسرية للأنظمة والبيئات التشغيلية
  • موقع الأنظمة في العمارة الشاملة للشركة ؛
  • توزيع نقاط تطبيق متطلبات الأمن والسرية للأنظمة والبيئات التشغيلية ؛
  • التسجيل الرسمي لأنظمة تكنولوجيا المعلومات في الإدارات والوثائق ذات الصلة.

تشمل مهام مرحلة " التصنيف " ما يلي:

  • توثيق خصائص النظام ؛
  • تصنيف النظام وتوثيق نتائج التصنيف وفقًا لمتطلبات السلامة ؛
  • مراجعة واعتماد النتائج والقرارات المتعلقة بالتصنيف وفقًا لمتطلبات السلامة.

تشمل مهام المرحلة " اختيار مجموعة من التدابير الوقائية " ما يلي:

  • اختيار تدابير الحماية للنظام وبيئته العاملة ؛
  • توضيح (تكييف) تدابير الحماية المختارة للنظام وبيئته العاملة ؛
  • توزيع نقاط تطبيق تدابير الأمن والسرية على النظام وبيئة عمله ؛
  • توثيق الإجراءات المخططة لضمان أمن وسرية النظام وبيئته في الخطط ذات الصلة ؛
  • وضع وتنفيذ إستراتيجية لرصد فعالية تدابير الحماية المطبقة ، والتي ترتبط منطقياً باستراتيجية المراقبة التنظيمية الشاملة وتكملها ؛
  • مراجعة واعتماد الخطط لضمان أمن وسرية النظام وبيئته التشغيلية.

تشمل مهام مرحلة " تنفيذ تدابير الحماية " ما يلي:

  1. تنفيذ الإجراءات الأمنية وفقًا لخطط الأمن والسرية ؛
  2. توثيق التغييرات في الإجراءات الوقائية المخططة بعد وقوعها ، بناءً على نتيجة التنفيذ الفعلي.

تشمل مهام المرحلة " تقييم التدابير الأمنية المنفذة " ما يلي:

  • اختيار مثمن أو فريق تقييم مناسب لنوع التقييم الجاري ؛
  • وضع ومراجعة واعتماد خطط لتقييم تدابير الحماية المنفذة ؛
  • تقييم تدابير الحماية وفقاً لإجراءات التقييم الموضحة في خطط التقييم ؛
  • إعداد تقارير التقييم التي تحتوي على العيوب الموجودة وتوصيات للقضاء عليها ؛
  • اتخاذ الإجراءات التصحيحية بتدابير الحماية وإعادة تقييم الإجراءات المصححة ؛
  • إعداد خطة عمل على أساس أوجه القصور الموجودة وتوصيات من تقارير التقييم.

تتضمن مهام مرحلة " الترخيص " ما يلي:

  • جمع حزمة تفويض من المستندات وإرسالها إلى الشخص المسؤول للحصول على إذن ؛
  • تحليل وتحديد مخاطر استخدام النظام أو تطبيق تدابير الحماية ؛
  • تحديد وتنفيذ خطة عمل مفضلة استجابة للمخاطر المحددة ؛
  • تحديد مقبولية مخاطر استخدام النظام أو تطبيق تدابير الحماية ؛
  • الإبلاغ عن نتائج التفويض وأي نقص في التدابير الأمنية التي تشكل خطرًا كبيرًا على الأمن أو الخصوصية.

تشمل مهام مرحلة " المراقبة المستمرة " ما يلي:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


يركز الدليل الخاص NIST SP 800-30 لإجراء تقييمات المخاطر على عملية تقييم المخاطر ، والتي تعد مكونًا أساسيًا في عملية إدارة المخاطر في المنظمة وفقًا لـ NIST SP 800-39 ، جنبًا إلى جنب مع تعريف معالجة ورصد المخاطر. تُستخدم إجراءات تقييم المخاطر لتحديد وتقييم وتحديد أولويات المخاطر الناشئة عن استخدام أنظمة المعلومات للأنشطة التشغيلية للمؤسسة وأصولها وموظفيها. أهداف تقييم المخاطر هي إعلام صناع القرار ودعم عملية الاستجابة للمخاطر من خلال تحديد:

  • التهديدات الفعلية على حد سواء للمنظمة نفسها وبشكل غير مباشر للمنظمات الأخرى ؛
  • نقاط الضعف الداخلية والخارجية ؛
  • الضرر المحتمل للمنظمة ، مع الأخذ في الاعتبار إمكانيات استغلال نقاط الضعف عن طريق التهديدات ؛
  • احتمالية حدوث هذا الضرر.

النتيجة النهائية هي حساب محدد (قيمة) الخطر ، أي وظائف مقدار الضرر واحتمالية الضرر. يمكن إجراء تقييم المخاطر على جميع مستويات إدارة المخاطر الثلاثة (مستويات التنظيم والرسالة ونظم المعلومات) ، عن طريق القياس مع النهج المستخدم في NIST SP 800-39 و NIST SP 800-37. يتم التأكيد على أن تقييم المخاطر هو عملية مستمرة تؤثر على جميع مستويات إدارة المخاطر في المنظمة ، وتتطلب أيضًا تضمينها في دورة حياة تطوير النظام (SDLC) وتنفيذها بوتيرة مناسبة لأهداف ونطاق التقييم.

تتضمن عملية تقييم المخاطر:

  • التحضير لتقييم المخاطر ؛
  • تقييم المخاطر؛
  • توصيل نتائج التقييم ونقل المعلومات داخل المنظمة ؛
  • الحفاظ على النتائج المحققة.

تقول الوثيقة عن أهمية تجميع منهجية تقييم المخاطر ، التي تم تطويرها من قبل المنظمة في مرحلة تحديد المخاطر. يشار إلى أن المنظمة يمكن أن تختار واحدة أو أكثر من منهجيات تقييم المخاطر ، اعتمادًا على الموارد المتاحة ، ومرحلة SDLC ، وتعقيد ونضج العمليات التجارية ، وأهمية / أهمية المعلومات التي تتم معالجتها. وفي الوقت نفسه ، من خلال إنشاء المنهجية الصحيحة ، تعمل المنظمة على تحسين جودة تقييمات المخاطر المحققة وقابليتها للتكرار. تتضمن منهجية تقييم المخاطر عادة ما يلي:

  • وصف عملية تقييم المخاطر ؛
  • نموذج مخاطر يصف عوامل الخطر التي يتم تقييمها والعلاقات بينها ؛
  • طريقة تقييم المخاطر (على سبيل المثال ، النوعية أو الكمية) التي تصف القيم التي يمكن أن تتخذها عوامل الخطر وكيف يمكن معالجة مجموعات هذه العوامل ؛
  • طريقة تحليل (على سبيل المثال ، مركزية التهديد ، تركز على الأصول أو نقاط الضعف) التي تصف كيفية تحديد وتحليل مجموعات عوامل الخطر.

يصف نموذج المخاطر عوامل الخطر المقدرة والعلاقات بينها. عوامل الخطر هي الخصائص المستخدمة في نماذج المخاطر كمدخل لتحديد مستويات المخاطر عند إجراء تقييم المخاطر. بالإضافة إلى ذلك ، يتم استخدام عوامل الخطر في إيصال المخاطر لإبراز تلك العوامل التي تؤثر بشكل كبير على مستويات المخاطر في مواقف وسياقات معينة. تشمل عوامل الخطر النموذجية ما يلي:

  • التهديدات؛
  • نقاط الضعف؛
  • التأثير السلبي؛
  • احتمالا؛
  • شروط مسبقة.

ومع ذلك ، يمكن أن تتحلل بعض عوامل الخطر إلى خصائص أكثر تفصيلاً ، على سبيل المثال ، يمكن أن تتحلل التهديدات إلى مصادر التهديد وأحداث التهديد.

التهديد هو أي ظرف أو حدث يمكن أن يؤثر سلبًا على العمليات التجارية أو الأصول أو الموظفين أو المنظمات الأخرى من خلال الوصول غير المصرح به أو تدمير المعلومات أو الكشف عنها أو تعديلها و / أو رفض الخدمة. يتم إنشاء أحداث التهديد من مصادر التهديد. قد يكون مصدر التهديدات إجراءً متعمدًا يهدف إلى استغلال الثغرة الأمنية ، أو إجراء غير مقصود ، ونتيجة لذلك تم استغلال الثغرة عن طريق الخطأ. بشكل عام ، تشمل أنواع مصادر التهديد ما يلي:

  • ;
  • ;
  • , ;
  • .

تعتمد تفاصيل تحديد أحداث التهديد على عمق بناء نموذج المخاطر. في حالة دراسة تفصيلية لنموذج المخاطر ، من الممكن بناء سيناريوهات للتهديد ، وهي مجموعة من العديد من أحداث التهديد التي تؤدي إلى آثار سلبية تنسب إلى مصدر محدد للتهديدات (أو عدة مصادر) ومرتبة حسب الوقت ؛ وفي الوقت نفسه ، يُنظر في الاحتمال المحتمل للاستغلال المتسلسل للعديد من نقاط الضعف التي تؤدي إلى التنفيذ الناجح للهجوم. تتميز التهديدات بالأحداث في الهجمات السيبرانية أو الجسدية بمجموعة من التكتيكات والتقنيات والإجراءات (تكتيكات وتقنيات وإجراءات ، TTPs) ، التي قلنا عنها سابقًا .

كما تتحدث الوثيقة قيد النظر عن مفهوم مثل " التحيز في التهديد"(Eng. Threat shifting) ، الذي يُفهم على أنه المهاجمون يغيرون TTPs الخاصة بهم اعتمادًا على تدابير الحماية التي تتخذها الشركة ويحددها المهاجمون. يمكن تنفيذ تحويل التهديد في مجال مؤقت (على سبيل المثال ، محاولات الهجوم في وقت آخر أو تمديد الهجوم في الوقت المناسب) ، في مجال مستهدف (على سبيل المثال ، اختيار هدف أقل أمانًا) ، مجال الموارد (على سبيل المثال ، استخدام موارد إضافية للمهاجمين لاقتحام هدف) ، مجال طريقة التخطيط أو الهجوم (على سبيل المثال ، استخدام أدوات قرصنة أخرى أو محاولة الهجوم باستخدام طرق أخرى). بالإضافة إلى ذلك ، تم التأكيد على أن المهاجمين غالبًا ما يفضلون المسار الأقل مقاومة لتحقيق أهدافهم ، أي اختيار أضعف حلقة في سلسلة الحماية.

عالي التأثر- يعد هذا ضعفًا في نظام المعلومات أو الإجراءات الأمنية أو طرق الحماية الداخلية أو في ميزات تطبيق / تنفيذ معين لتكنولوجيا أو نظام معين. يتميز الضعف بخطره في سياق الأهمية المحسوبة لإصلاحه ؛ في الوقت نفسه ، يمكن تحديد الخطر اعتمادًا على التأثير السلبي المتوقع من استغلال هذه الثغرة الأمنية. تنشأ معظم نقاط الضعف في أنظمة معلومات المؤسسة إما بسبب إجراءات نظم المعلومات التي لم يتم تطبيقها (سواء عن طريق الخطأ أو عن عمد) أو تم تطبيقها بشكل غير صحيح. من المهم أيضًا تذكر تطور التهديدات والأنظمة المحمية نفسها - يحدث كلا التغيرين بمرور الوقت ، والذي يجب أخذه في الاعتبار عند إعادة تقييم المخاطر. بالإضافة إلى نقاط الضعف التقنية في أنظمة تكنولوجيا المعلومات ،أخطاء في إدارة المنظمة وبنية النظام ينبغي أيضا النظر فيها.

إن الشرط المهيأ في سياق تقييم المخاطر هو شرط موجود في عملية تجارية أو بنية أو نظام تكنولوجيا معلومات يؤثر على (ينقص أو يزيد) احتمالية حدوث الضرر بسبب التهديد. المرادفات المنطقية هي مصطلح "القابلية للتأثر" (القابلية للإنجليزية) أو "الانفتاح" (التعرض للغة الإنجليزية) للمخاطر ، مما يعني أنه يمكن استغلال الثغرة عن طريق التهديد بالضرر. على سبيل المثال ، من المحتمل أن يكون خادم SQL عرضة لضعف إدخال SQL. بالإضافة إلى الشروط التقنية المسبقة ، يجب أن تؤخذ الشروط التنظيمية في الاعتبار: على سبيل المثال ، يزيد موقع المكتب في الأراضي المنخفضة من خطر الفيضانات ، كما أن نقص الاتصال بين الموظفين عند تطوير نظام تكنولوجيا المعلومات يزيد من خطر كسرها في المستقبل.

احتمال وقوع(احتمالية حدوث الإنجليزية) للتهديدات - عامل خطر محسوب على أساس تحليل احتمالية إمكانية استغلال ثغرة معينة (أو مجموعة من الثغرات) من خلال تهديد معين ، مع الأخذ في الاعتبار احتمال أن يؤدي التهديد في النهاية إلى ضرر حقيقي. بالنسبة للتهديدات المتعمدة ، يتم عادةً تقييم تقييم احتمالية الحدوث بناءً على نوايا وقدرات وأهداف المهاجم. بالنسبة للتهديدات غير المقصودة ، عادة ما يعتمد تقييم احتمالية الحدوث على البيانات التجريبية والتاريخية. علاوة على ذلك ، يتم تقدير احتمالية الحدوث لمنظور زمني معين - على سبيل المثال ، للسنة التالية أو لفترة إعداد التقرير. إذا كان التهديد بالكامل تقريبًا تم إطلاقه أو تنفيذه خلال فترة زمنية معينة ،عند تقييم المخاطر ، ينبغي مراعاة التكرار المتوقع لتنفيذه. عند تقييم احتمالية وجود تهديد ، يجب مراعاة حالة إدارة المؤسسة وعملياتها التجارية ، والشروط المسبقة ، ووجود وفعالية تدابير الحماية الحالية. احتمالية التأثير السلبي تعني إمكانية حدوث أي ضرر أثناء تنفيذ التهديد ، بغض النظر عن حجمه. يمكن استخدام الخطوات الثلاث التالية لتحديد الاحتمال العام لحدوث أحداث التهديد:يمكن استخدام الخطوات الثلاث التالية لتحديد الاحتمال العام لحدوث أحداث التهديد:يمكن استخدام الخطوات الثلاث التالية لتحديد الاحتمال العام لحدوث أحداث التهديد:

  1. , - ( ) ( ).
  2. , , , .
  3. .

بالإضافة إلى هذا النهج ، توصي الوثيقة بعدم البحث عن جميع التهديدات ونقاط الضعف ذات الصلة على الإطلاق ، ولكن التركيز على تلك التي يمكن استخدامها حقًا في الهجمات ، وكذلك على العمليات والوظائف التجارية مع تدابير الحماية غير الكافية.

إن مستوى التأثير السلبي ( الأثر الهندسي) لحدث التهديد هو مقدار الضرر المتوقع من الكشف غير المصرح به أو الوصول أو التغيير أو فقدان المعلومات أو عدم إمكانية الوصول إلى نظم المعلومات. تحدد المنظمات بشكل صريح:

  1. العملية المستخدمة لتحديد الأثر السلبي.
  2. الافتراضات المستخدمة لتحديد الآثار الضارة.
  3. مصادر وطرق الحصول على معلومات عن الأثر السلبي.
  4. الأساس المنطقي المستخدم لتحديد الأثر السلبي.

بالإضافة إلى ذلك ، عند حساب التأثير السلبي ، يجب على المؤسسات أن تأخذ في الاعتبار قيمة الأصول والمعلومات: يمكنك استخدام النظام المقبول للشركة لتصنيف المعلومات حسب مستوى الأهمية أو نتائج تقييمات تأثير الخصوصية.

عند تقييم المخاطر ، هناك عامل مهم هو درجة عدم الدقة (عدم اليقين باللغة الإنجليزية) التي تنشأ بسبب القيود الطبيعية التالية بشكل عام ، مثل عدم القدرة على التنبؤ بالأحداث المستقبلية بدقة ؛ عدم كفاية المعلومات المتاحة حول التهديدات ؛ نقاط ضعف غير معروفة ؛ الاعتماد المتبادل غير المعترف بها.

بناءً على ما سبق ، يمكن وصف نموذج المخاطر على أنه الهيكل المنطقي التالي:

مصدر التهديد(مع بعض الخصائص) مع بعض درجة من الاحتمال يبادر حدث التهديد الذي يستغل ضعف (وجود درجة معينة من الخطر، مع الأخذ بعين الاعتبار شروط مسبقة والتحايل الناجح لتدابير وقائية)، ونتيجة لذلك من تأثير سلبي يتم إنشاء (مع وجود قدر معين من المخاطر بوصفها وظيفة من مقدار الضرر واحتمال الضرر) الذي يؤدي إلى المخاطر .

كما تقدم الوثيقة توصيات بشأن استخدام عملية تجميع المخاطر .(تجميع مخاطر اللغة الإنجليزية) من أجل الجمع بين العديد من المخاطر المجزأة أو منخفضة المستوى في واحدة أكثر عمومية: على سبيل المثال ، يمكن تجميع مخاطر أنظمة تكنولوجيا المعلومات الفردية في خطر مشترك لنظام الأعمال بأكمله الذي تدعمه. مع هذا المزيج ، يجب أن يوضع في الاعتبار أن بعض المخاطر قد تحدث في وقت واحد أو في كثير من الأحيان أكثر من المتوقع. من الضروري أيضًا مراعاة العلاقة بين المخاطر المتباينة وإما دمجها ، أو ، على العكس ، فصلها.

يصف NIST SP 800-30 أيضًا الطرق الرئيسية لتقييم المخاطر : الكمي (الإنجليزية الكمية) ، النوعي (النوعي الإنجليزي) وشبه الكمي (الإنجليزية شبه الكمية).

كمييعمل التحليل بأرقام محددة (التكلفة ، ووقت التوقف ، والتكاليف ، وما إلى ذلك) وهو الأنسب لتحليل التكلفة والفائدة ، ومع ذلك فهو مكثف للغاية للموارد. يستخدم التحليل

النوعي خصائص وصفية (على سبيل المثال ، عالية ، متوسطة ، منخفضة) ، والتي يمكن أن تؤدي إلى استنتاجات غير صحيحة بسبب العدد الصغير للتقديرات الممكنة وذاتية تقديمها.

شبه كميالطريقة هي خيار وسيط ، تقدم استخدام نطاق أكبر من التصنيفات المحتملة (على سبيل المثال ، على مقياس من 1 إلى 10) لتقييم وتحليل نتائج أكثر دقة. يعتمد تطبيق طريقة محددة لتقييم المخاطر على كل من مجال نشاط المنظمة (على سبيل المثال ، يمكن تطبيق تحليل كمي أكثر صرامة في القطاع المصرفي) وعلى مرحلة دورة حياة النظام (على سبيل المثال ، لا يمكن إجراء تقييم نوعي للمخاطر إلا في المراحل الأولى من الدورة ، ولكن في مراحل أكثر نضجًا) - الكمية بالفعل).

وأخيرًا ، تصف الوثيقة أيضًا ثلاث طرق رئيسية لتحليل عوامل الخطر: تتمحور حول التهديدات (الإنجليزية الموجهة للتهديدات) أو الموجهة للأصول (الأصول الإنجليزية / الموجهة للتأثير) أو الضعف (الإنجليزية الموجهة للضعف).

محوره التهديدتركز الطريقة على إنشاء سيناريوهات التهديد وتبدأ بتحديد مصادر التهديدات وأحداث التهديد ؛ علاوة على ذلك ، يتم تحديد نقاط الضعف في سياق التهديدات ، ويرتبط التأثير السلبي بنوايا المهاجم. تتضمن

الطريقة الموجهة للأصول تحديد أحداث التهديد ومصادر التهديدات التي يمكن أن يكون لها تأثير سلبي على الأصول ؛ الأضرار المحتملة للأصول في طليعة.

تطبيق طريقة مبنية على الثغرات الأمنيةيبدأ بتحليل مجموعة من الشروط المسبقة ونقاط الضعف / الضعف التي يمكن استغلالها ؛ علاوة على ذلك ، يتم تحديد الأحداث المحتملة للتهديدات وعواقب استغلال نقاط ضعفهم. تحتوي الوثيقة على توصيات لدمج طرق التحليل الموصوفة للحصول على صورة أكثر موضوعية للتهديدات في تقييم المخاطر.

لذا ، كما أشرنا سابقًا ، وفقًا لـ NIST SP 800-30 ، فإن عملية تقييم المخاطر مقسمة إلى 4 خطوات:

  • التحضير لتقييم المخاطر ؛
  • تقييم المخاطر؛
  • توصيل نتائج التقييم ونقل المعلومات داخل المنظمة ؛
  • الحفاظ على النتائج المحققة.

دعونا نفكر بمزيد من التفصيل في المهام المنفذة في كل مرحلة.

1. التحضير لتقييم المخاطر.

استعدادًا لتقييم المخاطر ، يتم تنفيذ المهام التالية:

1.1. تحديد الغرض من تقييم المخاطر: ما هي المعلومات المتوقعة نتيجة للتقييم ، وما هي القرارات التي تمليها نتيجة التقييم.
1.2. تحديد نطاق تقييم المخاطر في سياق الانطباق على منظمة معينة ، والإطار الزمني ، ومعلومات حول البنية والتقنيات المستخدمة
1.3. تحديد الافتراضات والقيود المحددة ، مع مراعاة تقييم المخاطر الذي يتم إجراؤه. كجزء من هذه المهمة ، يتم تعريف الافتراضات والقيود في عناصر مثل مصادر التهديدات ، وأحداث التهديد ، ونقاط الضعف ، والشروط المسبقة ، واحتمالية الحدوث ، والأثر السلبي ، والتسامح مع المخاطر ، ومستوى عدم الدقة ، بالإضافة إلى طريقة التحليل المختارة.
1.4. تحديد مصادر المعلومات الأولية ومصادر التهديدات ونقاط الضعف ، فضلاً عن معلومات حول التأثيرات السلبية التي سيتم استخدامها في تقييم المخاطر. في هذه العملية ، يمكن أن تكون مصادر المعلومات إما داخلية (مثل تقارير الحوادث والتدقيق ، وسجلات الأمان ونتائج المراقبة) ، أو خارجية (على سبيل المثال ، تقارير CERT ، ونتائج البحث ، والمعلومات الأخرى ذات الصلة المتاحة للجمهور).
1.5. تحديد نموذج المخاطر وطريقة تقييم المخاطر ونهج التحليل لاستخدامها في تقييم المخاطر.

2. إجراء تقييم للمخاطر.

كجزء من تقييم المخاطر ، يتم تنفيذ المهام التالية:

2.1. تحديد وتوصيف مصادر التهديدات الحالية ، بما في ذلك قدرات ونوايا وأهداف التهديدات المقصودة ، وكذلك الآثار المحتملة للتهديدات غير المقصودة.
2.2. تحديد أحداث التهديد المحتملة ، وأهمية هذه الأحداث ، وكذلك مصادر التهديدات التي يمكن أن تؤدي إلى أحداث التهديد.
2.3. تحديد نقاط الضعف والشروط المسبقة التي تؤثر على احتمالية أن تؤدي أحداث التهديد الحالية إلى تأثير سلبي. والغرض منه هو تحديد مدى تعرض عمليات الأعمال ونظم المعلومات لمصادر التهديدات التي تم تحديدها سابقًا وكيف يمكن أن يتم تشغيل التهديدات المحددة بالفعل من خلال مصادر التهديدات هذه.
2.4. تحديد احتمال أن تؤدي أحداث التهديد الحالية إلى تأثير سلبي ، مع مراعاة خصائص مصادر التهديدات ونقاط الضعف والشروط المسبقة ، بالإضافة إلى تعرض المنظمة لهذه التهديدات ، مع مراعاة تدابير الحماية المنفذة.
2.5. تحديد الأثر السلبي الناشئ عن مصادر التهديدات ، مع مراعاة خصائص مصادر التهديدات ونقاط الضعف والشروط المسبقة ، وكذلك تعرض المنظمة لهذه التهديدات ، مع مراعاة تدابير الحماية المنفذة.
2.6. تحديد المخاطر من تنفيذ أحداث التهديد الحالية ، مع الأخذ في الاعتبار مستوى التأثير السلبي من هذه الأحداث واحتمال وقوع هذه الأحداث. يحتوي الملحق "I" لهذه المواصفة القياسية على الجدول I-2 لحساب مستوى المخاطر اعتمادًا على مستويات الاحتمال والأثر السلبي.

3. إيصال نتائج تقييم المخاطر ونقل المعلومات.

في إطار إيصال نتائج تقييم المخاطر ونقل المعلومات ، يتم تنفيذ المهام التالية:

3.1. توصيل نتائج تقييم المخاطر لصناع القرار للاستجابة للمخاطر.
3.2. نقل المعلومات المتعلقة بالمخاطر التي تم تحديدها كنتيجة للتقييم إلى الأطراف المعنية.

4. الحفاظ على النتائج المحققة.

في إطار الحفاظ على النتائج المحققة ، يتم تنفيذ المهام التالية:

4.1. إجراء مراقبة مستمرة لعوامل الخطر التي تؤثر على المخاطر في الأنشطة التشغيلية للمؤسسة وأصولها وموظفيها والمنظمات الأخرى. هذه المهمة مخصصة لمعيار NIST SP 800-137 ، والذي سننظر فيه أكثر.
4.2. تحديث تقييم المخاطر باستخدام نتائج عملية المراقبة المستمرة لعوامل الخطر.

كما ترى ، تقدم وثيقة NIST SP 800-30 نهجًا مفصلاً إلى حد ما لنمذجة التهديد وحساب المخاطر. تعتبر مرفقات هذا المعيار ذات قيمة أيضًا ، وتحتوي على أمثلة على الحسابات لكل من المهام الفرعية لتقييم المخاطر ، بالإضافة إلى قوائم المصادر المحتملة للتهديدات وأحداث التهديدات ونقاط الضعف والظروف المسبقة.

NIST SP 800-137


ننتقل الآن إلى مراجعة الوثيقة NIST SP 800-137 "المراقبة المستمرة لأمن المعلومات لأنظمة ومؤسسات المعلومات الفيدرالية" ("المراقبة المستمرة لأمن المعلومات لنظم ومؤسسات المعلومات الفيدرالية").

تتمثل مهمة بناء إستراتيجية للرصد المستمر لأمن المعلومات في تقييم فعالية التدابير الأمنية والحالة الأمنية للأنظمة من أجل الاستجابة للتحديات والمهام المتغيرة باستمرار في مجال أمن المعلومات. يساعد نظام المراقبة المستمرة لأمن المعلومات على توفير الوعي الظرفي بالحالة الأمنية لأنظمة معلومات الشركة بناءً على المعلومات التي تم جمعها من مختلف الموارد (مثل الأصول والعمليات والتقنيات والموظفين) ، بالإضافة إلى القدرات المتاحة للاستجابة للتغيرات في الوضع. هذا النظام هو أحد التكتيكات في استراتيجية إدارة المخاطر الشاملة.

يوفر هذا المنشور ، مثل المستندات الأخرى لسلسلة SP ، نهج العملية الموصى به لبناء نظام مراقبة أمن المعلومات ، والذي يتكون من:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

كما تقدم الوثيقة التوصيات التالية لاختيار أدوات لضمان المراقبة المستمرة لأمن المعلومات:

  • دعمهم لعدد كبير من مصادر البيانات ؛
  • استخدام المواصفات المفتوحة والعامة (على سبيل المثال ، SCAP - بروتوكول أتمتة محتوى الأمان) ؛
  • التكامل مع البرامج الأخرى ، مثل أنظمة مكتب المساعدة وأنظمة إدارة المخزون والتكوين وأنظمة الاستجابة للحوادث ؛
  • دعم عملية تحليل الامتثال بالقوانين المعمول بها ؛
  • عملية إعداد تقارير مرنة ، والقدرة على "الفشل" (التوغل بالإنجليزية) في عمق البيانات قيد النظر ؛
  • دعم أنظمة معلومات الأمان وإدارة الأحداث (SIEM) وأنظمة تصور البيانات.


حدث: استمرار هذا المقال هنا .

More articles:


All Articles