Get best of the week

تحليل الوثائق الدولية حول إدارة مخاطر أمن المعلومات. الجزء 2

في الجزء السابق ، قمنا بوصف المفهوم العام لإدارة المخاطر وطرق إدارة المخاطر التي تم الكشف عنها وفقًا لوثائق سلسلة NIST SP 800. في هذا الجزء سنستمر في مراجعة الوثائق الدولية حول إدارة مخاطر أمن المعلومات: لدينا معايير ISO 27005 و 31010 في خط الأنابيب. فلنبدأ!

صورة

تقدم المنشورات الخاصة التي تمت مراجعتها سابقًا NIST SP 800-39 و NIST SP 800-37 و NIST SP 800-30 نهجًا منهجيًا متماسكًا لتقييم المخاطر ومعالجتها ، بينما تقدم NIST SP 800-53 و NIST SP 800-53A و NIST SP 800-137 تقديم تدابير محددة لتقليل مخاطر أمن المعلومات. ومع ذلك ، يجب أن يوضع في الاعتبار أن هذه المستندات هي في الأساس استشارية بطبيعتها وليست معايير (على سبيل المثال ، على عكس وثائق NIST FIPS) ، وأيضًا أنها تم تطويرها في الأصل للشركات والمؤسسات من الولايات المتحدة. يفرض هذا قيودًا معينة على استخدامها: على سبيل المثال ، لا يمكن للمنظمات الحصول على شهادة دولية لتنفيذ أحكام هذه المستندات ، وقد يثبت أن استخدام مجموعة كاملة من أطر عمل NIST ذات الصلة تتطلب عمالة مفرطة وغير عملية.غالبًا ما تختار الشركات مسار الشهادة وفقًا لمتطلبات المنظمة الدولية للتوحيد القياسي (ISO) ، وتتلقى ، على سبيل المثال ، حالة "ISO 27001 Certified" المعترف بها في جميع أنحاء العالم. تتضمن سلسلة معايير ISO 27000 وثائق حول أمن المعلومات وإدارة المخاطر. خذ بعين الاعتبار الوثيقة الرئيسية لهذه السلسلة حول إدارة مخاطر IS: المعيار ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


المعيار ISO / IEC 27005: 2018 "تكنولوجيا المعلومات - تقنيات الأمان - إدارة مخاطر أمن المعلومات"("تكنولوجيا المعلومات - تقنيات الأمان - إدارة مخاطر أمن المعلومات") هي المراجعة الثالثة: تم نشر الإصدار الأول من المعيار في عام 2005 ، والثاني في عام 2011. تقدم الوثيقة العديد من المصطلحات الخاصة بالمخاطر. لذا ، فإن وسيلة الحماية (التحكم باللغة الإنجليزية) هي إجراء يغير المخاطر. يتضمن مفهوم السياقات (السياق الإنجليزي) السياق الخارجي ، مما يعني البيئة الخارجية للشركة (على سبيل المثال ، البيئة السياسية والاقتصادية والثقافية ، بالإضافة إلى العلاقات مع أصحاب المصلحة الخارجيين) ، والسياق الداخلي ، مما يعني البيئة الداخلية للشركة (العمليات الداخلية والسياسات ، معايير وأنظمة وأهداف وثقافة المنظمة ، والعلاقات مع أصحاب المصلحة الداخليين ، وكذلك الالتزامات التعاقدية).

خطر- هذا هو نتيجة عدم الدقة (عدم اليقين الإنجليزية) في تحقيق الأهداف ؛ ومع ذلك ، فإن عدم الدقة يعني حالة من نقص المعلومات المتعلقة بحدث معين ، أو عواقبه أو احتمال حدوثه. تحت مستوى الخطر (Eng. مستوى الخطر) يُفهم حجم الخطر ، ويُعبر عنه كمنتج لتأثيرات الأحداث الهامة واحتمال حدوث هذه الأحداث. المخاطر المتبقية (المهندس. المخاطر المتبقية ) - الخطر المتبقي بعد إجراء معالجة المخاطر. تحت تقييم المخاطر(تقييم المخاطر باللغة الإنجليزية) فهم العملية العامة لتحديد المخاطر (أي البحث عن المخاطر وتعريفها ووصفها) والتحليل (أي فهم طبيعة المخاطر وتحديد مستواها) وتقييم المخاطر (أي مقارنة نتائج تحليل المخاطر مع معايير المخاطر لتحديد مقبولية قيمته) المخاطر. علاج المخاطر هو عملية تعديل للمخاطر التي قد تشمل:

  • تجنب المخاطر عن طريق تجنب الإجراءات التي قد تؤدي إلى المخاطر ؛
  • قبول أو زيادة المخاطر من أجل تحقيق أهداف العمل ؛
  • القضاء على مصادر المخاطر ؛
  • تغيير في احتمالية حدوث المخاطر ؛
  • التغيير في العواقب المتوقعة لتنفيذ المخاطر ؛
  • نقل المخاطر (التقسيم) ؛
  • الحفاظ على المخاطر.

يجب أن تتميز عملية إدارة مخاطر IS من وجهة نظر مؤلفي معيار ISO / IEC 27005: 2018 بالميزات التالية:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

تتكون عملية إدارة المخاطر نفسها من الخطوات (العمليات) التالية التي تتوافق مع نهج PDCA (Plan - Do - Check - Act) المعتمد في ISO 27001:

  1. تعريف السياق.
  2. تقييم المخاطر.
  3. ضع خطة لعلاج المخاطر.
  4. المخاطرة
  5. تنفيذ خطة معالجة المخاطر المتقدمة.
  6. المراقبة المستمرة ومراجعة المخاطر.
  7. دعم وتحسين عملية إدارة مخاطر نظم المعلومات.

علاوة على ذلك ، سننظر في كل خطوة من هذه الخطوات بمزيد من التفصيل.

1. تعريف السياق


عند تحديد السياق ، فإن بيانات الإدخال هي جميع المعلومات حول الشركة ذات الصلة بإدارة المخاطر. كجزء من هذه العملية ، يتم اختيار نهج لإدارة المخاطر ، والذي يجب أن يتضمن معايير تقييم المخاطر ، ومعايير تقييم الأثر السلبي (تأثير اللغة الإنجليزية) ، ومعايير قبول المخاطر. بالإضافة إلى ذلك ، يجب تقييم الموارد اللازمة لتنفيذ هذه العملية وتخصيصها. يجب وضع

معايير تقييم المخاطر لتقييم مخاطر نظم المعلومات في الشركة ويجب أن تأخذ في الاعتبار قيمة أصول المعلومات ، ومتطلبات السرية ، والنزاهة ، وإمكانية الوصول ، ودور عمليات الأعمال المعلوماتية ، ومتطلبات التشريعات والالتزامات التعاقدية ، وتوقعات أصحاب المصلحة ، والعواقب السلبية المحتملة للشهرة والسمعة. شركة.

يجب أن تأخذ معايير تقييم التأثير السلبي في الاعتبار مستوى الضرر أو نفقات الشركة للتعافي من مخاطر أمن المعلومات المحققة ، مع الأخذ في الاعتبار مستوى أهمية أصول تكنولوجيا المعلومات ، وانتهاك أمن المعلومات (أي فقدان خصوصية الأصول ، وسلامتها ، وخصائص إمكانية الوصول) ، وتعطل عملية الأعمال القسرية ، والخسائر الاقتصادية وانتهاك الخطط والمواعيد النهائية والإضرار بالسمعة وانتهاك المتطلبات القانونية والالتزامات التعاقدية.

معايير قبول المخاطريمكن التعبير عنها كنسبة من الفوائد التجارية المتوقعة إلى المخاطر المتوقعة. في الوقت نفسه ، يمكن تطبيق معايير مختلفة لفئات مختلفة من المخاطر: على سبيل المثال ، قد لا يتم قبول مخاطر عدم الامتثال للقانون من حيث المبدأ ، ويمكن قبول المخاطر المالية العالية إذا كانت جزءًا من الالتزامات التعاقدية. بالإضافة إلى ذلك ، يجب أن تؤخذ في الاعتبار الفترة الزمنية المتوقعة ذات الصلة بالمخاطر (المخاطر طويلة المدى وقصيرة المدى). يجب وضع معايير لقبول المخاطر ، مع مراعاة مستوى المخاطر (المستهدف) المطلوب مع إمكانية قبول الإدارة العليا للمخاطر فوق هذا المستوى في ظروف معينة ، بالإضافة إلى إمكانية قبول المخاطر الخاضعة للمعالجة اللاحقة للمخاطر خلال الفترة الزمنية المحددة.

بالإضافة إلى المعايير المذكورة أعلاه ، كجزء من عملية تحديد السياق ، يجب مراعاة حدود ونطاق عملية إدارة مخاطر نظم المعلومات: أهداف الأعمال وعمليات الأعمال وخطط وسياسات الشركة ، وهيكل ووظائف المنظمة ، والتشريعات المعمول بها وغيرها المتطلبات ، أصول المعلومات ، توقعات أصحاب المصلحة ، التفاعل مع الأطراف المقابلة. يمكنك التفكير في عملية إدارة المخاطر داخل نظام تكنولوجيا معلومات معين أو بنية أساسية أو عملية تجارية أو داخل جزء محدد من الشركة بأكملها.

2. تقييم المخاطر


كجزء من عملية تقييم المخاطر ، يجب على الشركة تقييم قيمة أصول المعلومات ، وتحديد التهديدات ونقاط الضعف الحالية ، والحصول على معلومات حول العلاجات الحالية وفعاليتها ، وتحديد العواقب المحتملة للمخاطر. نتيجة لتقييم المخاطر ، يجب أن تتلقى الشركة تقييما للمخاطر الكمية أو النوعية ، فضلا عن تحديد أولويات هذه المخاطر ، مع مراعاة معايير تقييم مخاطر المخاطر وأهداف الشركة. تتكون عملية تقييم المخاطر نفسها من تحديد المخاطر وتحليل المخاطر وتقييم المخاطر.

2.1. تعريف المخاطر


الغرض من تحديد المخاطر هو تحديد ما يمكن أن يحدث ويؤدي إلى ضرر محتمل ، واكتساب فهم كيف وأين ولماذا يمكن أن يحدث هذا الضرر. في هذه الحالة ، يجب على المرء أن يأخذ في الاعتبار المخاطر ، بغض النظر عما إذا كان مصدر هذه المخاطر تحت سيطرة المنظمة أم لا. كجزء من هذه العملية ، ينبغي القيام بما يلي:

  1. تحديد (جرد) الأصول ، مما ينتج عنه قائمة بأصول تكنولوجيا المعلومات وعمليات الأعمال ؛
  2. تحديد التهديدات ، في حين أنه من الضروري مراعاة التهديدات المتعمدة والعشوائية ، يمكن الحصول على مصادر التهديدات الخارجية والداخلية والمعلومات حول التهديدات المحتملة من المصادر الداخلية في المنظمة (المحامين ، الموارد البشرية ، تكنولوجيا المعلومات ، إلخ) ومن الخارجية (التأمين) الشركات والاستشاريين الخارجيين والمعلومات الإحصائية ، وما إلى ذلك) ؛
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


يمكن إجراء تحليل للمخاطر بأعماق مختلفة ، اعتمادًا على مدى أهمية الأصول ، وعدد الثغرات المعروفة ، وكذلك مع مراعاة الحوادث السابقة. يمكن أن تكون منهجية تحليل المخاطر نوعية وكمية على حد سواء: كقاعدة ، يتم أولاً استخدام التحليل النوعي لتسليط الضوء على المخاطر ذات الأولوية العالية ، ثم يتم تطبيق التحليل الكمي على المخاطر المحددة ، والتي تستغرق وقتًا أطول وتعطي نتائج أكثر دقة.

عند استخدام التحليل النوعي ، يعمل المتخصصون على نطاق تقييم وصفي للمخاطر (على سبيل المثال ، منخفض ، متوسط ​​، مرتفع) من العواقب المحتملة لأحداث معينة واحتمال هذه العواقب.

عند استخدام طرق التحليل الكمييتم تطبيق القيم العددية بالفعل ، مع الأخذ في الاعتبار البيانات التاريخية عن الحوادث التي وقعت بالفعل. يجب أن يوضع في الاعتبار أنه في حالة عدم وجود حقائق موثوقة ويمكن التحقق منها ، فإن التقييم الكمي للمخاطر يمكن أن يعطي فقط وهم الدقة.

عند إجراء عملية تحليل المخاطر نفسها ، يتم أولاً تقييم النتائج المحتملة لحوادث نظم المعلومات: يتم تقييم مستوى تأثيرها السلبي على الشركة مع الأخذ في الاعتبار عواقب انتهاكات سرية المعلومات وسلامتها وتوفرها. يتم فحص الأصول الموجودة ومراجعتها بهدف تصنيفها وفقًا لأهميتها ، كما يتم أيضًا تقييم التأثير السلبي المحتمل لانتهاكات أمن المعلومات لهذه الأصول على الأعمال (يفضل من الناحية النقدية). يتم تقييم الأصول كجزء من تحليل التأثير السلبي على الأعمال التجارية (تحليل تأثير الأعمال) ويمكن حسابه بناءً على تكلفة استبدال الأصول / المعلومات أو استعادتها ، بالإضافة إلى عواقب فقدان أو تسوية الأصول / المعلومات: الجوانب المالية والقانونية والسمعة.يجب أن يوضع في الاعتبار أيضًا أن التهديدات يمكن أن تؤثر على واحد أو أكثر من الأصول المترابطة أو تؤثر على الأصول بشكل جزئي فقط.

بعد ذلك ، تقييم احتمالية وقوع حادث ، أي جميع سيناريوهات التهديد المحتملة. من الضروري أن تؤخذ في الاعتبار تواتر التهديد وسهولة استغلال نقاط الضعف ، مسترشدة بالمعلومات الإحصائية حول التهديدات المماثلة ، بالإضافة إلى البيانات المتعلقة بدوافع وإمكانيات المصادر المتعمدة للتهديدات (بناء نموذج للدخيل) ، وجاذبية الأصول للمهاجمين ، ونقاط الضعف الحالية ، وتدابير الحماية المطبقة ، وفي حالة النظر في غير مقصود التهديدات - ضع في الاعتبار الموقع وظروف الطقس وميزات المعدات والأخطاء البشرية وما إلى ذلك. اعتمادًا على الدقة المطلوبة للتقييم ، يمكن تجميع الأصول أو تقسيمها من حيث سيناريوهات الهجوم المطبقة عليها.

أخيرًا ، يتم تحديد مستوى الخطر لجميع السيناريوهات من قائمة سيناريوهات الهجوم المتقدمة. إن حجم المخاطر المتوقعة هو نتاج احتمالية سيناريو الحادث وعواقبه.

2.3. تقييم المخاطر


كجزء من عملية تقييم مخاطر المخاطر ، تتم مقارنة مستويات المخاطر التي تم الحصول عليها في المرحلة السابقة بمعايير مقارنة المخاطر ومعايير قبول المخاطر التي تم الحصول عليها في مرحلة تحديد السياق. عند اتخاذ القرارات ، ينبغي أن تؤخذ في الاعتبار عواقب تنفيذ التهديدات ، واحتمالية العواقب السلبية ، ومستوى الثقة الشخصية في صحة تحديد وتحليل المخاطر. من الضروري مراعاة خصائص أصول نظم المعلومات (على سبيل المثال ، إذا لم يكن فقدان السرية ذا صلة بالمنظمة ، فيمكن عندئذ التخلص من جميع المخاطر التي تنتهك هذه الملكية) ، بالإضافة إلى أهمية العمليات التجارية التي تخدمها أصول معينة (على سبيل المثال ، المخاطر التي تؤثر على عملية تجارية غير مهمة قد تكون معترف بها كأولوية منخفضة).

3. هو علاج المخاطر


في بداية هذه العملية الفرعية ، لدينا بالفعل قائمة بالمخاطر ذات الأولوية وفقًا لمعايير تقييم مخاطر المخاطر المرتبطة بسيناريوهات الحوادث التي قد تؤدي إلى تحقيق هذه المخاطر. نتيجة لخوض مرحلة معالجة المخاطر ، يجب أن نختار تدابير الحماية المصممة لتعديل (الاحتفاظ) ، والحفاظ على (تجنب) أو نقل المخاطر (حصة) ، ومعالجة المخاطر والشكل المتبقي خطة معالجة المخاطر.

يجب تحديد خيارات معالجة المخاطر المشار إليها (التعديل أو الحفظ أو التجنب أو التحويل) اعتمادًا على نتائج عملية تقييم المخاطر وتقدير التكلفة المتوقعة لتنفيذ التدابير الوقائية والفوائد المتوقعة لكل خيار ، ويمكن دمجها (على سبيل المثال ، تعديل احتمالية المخاطر ونقل المخاطر المتبقية ) يجب إعطاء الأفضلية للتدابير سهلة التنفيذ وقليلة الميزانية ، والتي تعطي في نفس الوقت تأثيرًا كبيرًا للحد من المخاطر وتغطي عددًا أكبر من التهديدات ، وإذا لزم الأمر ، فإن استخدام الحلول المكلفة يجب أن يعطي مبررًا اقتصاديًا لتطبيقها. بشكل عام ، يجب على المرء أن يسعى للحد من العواقب السلبية ، وكذلك مراعاة المخاطر النادرة ولكن المدمرة.

ونتيجة لذلك ، يجب على الأشخاص المسؤولين صياغة خطة لمعالجة المخاطر تحدد بوضوح الأولوية والفاصل الزمني الذي يتم بموجبه تنفيذ طريقة معالجة كل خطر. يمكن تحديد الأولويات بناءً على نتائج تصنيف المخاطر وتحليل التكلفة والفائدة. إذا تم تنفيذ أي تدابير حماية بالفعل في المنظمة ، فسيكون من المعقول تحليل مدى ملاءمتها وتكلفة ملكيتها ، مع مراعاة العلاقة بين تدابير الحماية والتهديدات التي تم تطبيق هذه التدابير من أجلها.

في نهاية خطة معالجة المخاطر ، يجب تحديد المخاطر المتبقية. قد يتطلب ذلك تحديث أو إعادة إجراء تقييم للمخاطر مع مراعاة الآثار المتوقعة لأساليب معالجة المخاطر المقترحة.

بعد ذلك ، ننظر بمزيد من التفصيل في الخيارات الممكنة لمعالجة المخاطر.

3.1. تعديل المخاطر


ينطوي تعديل المخاطر على إدارة المخاطر هذه من خلال تطبيق أو تغيير تدابير الحماية ، مما يؤدي إلى تقييم المخاطر المتبقية على النحو المقبول. عند استخدام خيار تعديل المخاطر ، يتم تحديد تدابير الحماية المبررة وذات الصلة التي تلبي المتطلبات المحددة في مراحل تقييم المخاطر ومعالجتها. يجب أن تؤخذ مجموعة متنوعة من القيود بعين الاعتبار ، مثل تكلفة ملكية المعدات الواقية (مع مراعاة التنفيذ والإدارة والتأثير على البنية التحتية) ، والوقت والإطار المالي ، والحاجة إلى خدمة الأفراد لهذه المعدات الواقية ، ومتطلبات التكامل مع التدابير الأمنية الحالية والجديدة. من الضروري أيضًا مقارنة تكلفة التكاليف المشار إليها مع قيمة الأصل المحمي. وتشمل تدابير الحماية: التصحيح ، والإزالة ، والوقاية ، وتقليل التأثير السلبي ،منع المخالفين المحتملين ؛ الكشف عن الموظفين واستعادتهم ومراقبتهم وزيادة وعيهم.

يجب أن تكون نتيجة خطوة "تعديل المخاطر" قائمة بتدابير الحماية الممكنة مع تكلفتها ، الفوائد المقترحة وأولوية التنفيذ.

3.2. الحفاظ على المخاطر


يعني الحفاظ على المخاطر أنه بناءً على نتائج تقييم مخاطر المخاطر ، فقد تقرر أنه لا يلزم اتخاذ مزيد من الخطوات لمعالجتها ، أي يفي المستوى المقدر للمخاطر المتوقعة بمعايير قبول المخاطر. لاحظ أن هذا الخيار يختلف اختلافًا كبيرًا عن الممارسة الشريرة لتجاهل المخاطر ، حيث لا تتم معالجة المخاطر التي تم تحديدها وتقييمها بالفعل بأي شكل من الأشكال ، أي لم يتم اعتماد قرار اعتماده رسميًا ، مما يترك الخطر في حالة "معلقة".

3.3. تجنب المخاطر


عند اختيار هذا الخيار ، يتم اتخاذ قرار بعدم إجراء نشاط معين أو تغيير شروط سلوكه لتجنب المخاطر المرتبطة بهذا النشاط. يمكن اتخاذ هذا القرار في حالة المخاطر العالية أو إذا تجاوزت تكلفة تنفيذ التدابير الوقائية الفوائد المتوقعة. على سبيل المثال ، قد ترفض شركة تزويد المستخدمين ببعض الخدمات عبر الإنترنت المتعلقة بالبيانات الشخصية ، بناءً على نتائج تحليل للمخاطر المحتملة لتسرب هذه المعلومات وتكلفة تنفيذ تدابير الحماية المناسبة.

3.4. نقل المخاطر


يمكن نقل المخاطر إلى المنظمة التي يمكنها إدارتها بشكل أكثر فعالية. وبالتالي ، بناءً على تقييم المخاطر ، يتم اتخاذ قرار بنقل بعض المخاطر إلى شخص آخر ، على سبيل المثال ، عن طريق التأمين على المخاطر السيبرانية (وهي خدمة تكتسب شعبية في روسيا ، لكنها لا تزال متأخرة عدة مرات عن حجم هذه السوق ، على سبيل المثال ، في الولايات المتحدة الأمريكية) أو عن طريق نقل المسؤوليات لرصد والاستجابة لحوادث IS إلى MSSP (موفر خدمة الأمن المدارة) أو MDR (الكشف والاستجابة المدارة) ، أي في شركة نفط الجنوب التجارية. عند اختيار خيار تحويل المخاطر ، تجدر الإشارة إلى أن نقل المخاطر نفسه يمكن أن يكون خطرًا ، بالإضافة إلى حقيقة أن مسؤولية إدارة المخاطر يمكن نقلها إلى شركة أخرى ، ولكن لا يمكن نقل المسؤولية عن العواقب السلبية لحادث محتمل إليها.

4. قبول المخاطر


ستكون البيانات المدخلة لهذه المرحلة هي خطط معالجة المخاطر التي تم وضعها في الخطوة السابقة وتقييم المخاطر المتبقية. يجب أن تصف خطط إدارة المخاطر كيفية معالجة المخاطر التي تم تقييمها للوفاء بمعايير قبول المخاطر. يحلل الأشخاص المسؤولون ويوافقون على خطط معالجة المخاطر المقترحة والمخاطر المتبقية المتبقية ، بالإضافة إلى الإشارة إلى جميع الشروط التي تتم بموجبها هذه الموافقة. في نموذج مبسط ، يتم إجراء مقارنة تافهة للمخاطر المتبقية مع مستوى مقبول محدد مسبقًا. ومع ذلك ، يجب أن يوضع في الاعتبار أنه في بعض الحالات قد يكون من الضروري مراجعة معايير قبول المخاطر التي لا تأخذ في الاعتبار الظروف أو الظروف الجديدة. في هذه الحالة ، قد يضطر المسؤولون إلى قبول مثل هذه المخاطر ،الإشارة إلى الأساس المنطقي والتعليق على قرار عدم الامتثال لمعايير قبول المخاطر في حالة معينة.

ونتيجة لذلك ، يتم تشكيل قائمة المخاطر المقبولة مع تبرير لأولئك الذين لا يستوفون المعايير المحددة مسبقًا لقبول المخاطر.

5. تنفيذ خطة معالجة المخاطر المتقدمة. الاتصال بالمخاطر


في هذه المرحلة ، يتم تنفيذ خطة معالجة المخاطر المطورة بشكل مباشر: وفقًا للقرارات المتخذة ، يتم شراء معدات ومعدات الحماية وتكوينها ، وإبرام عقود للتأمين السيبراني والاستجابة للحوادث ، وتنفيذ الأعمال القانونية مع المقاولين. وفي الوقت نفسه ، يتم إبلاغ المعلومات وأصحاب المصلحة بالمعلومات المتعلقة بمخاطر نظم المعلومات والتدابير المتخذة لمعالجتها من أجل تحقيق فهم مشترك للأنشطة.
يتم تطوير خطط الاتصال الخاصة بمخاطر أمن المعلومات من أجل الأنشطة المنسقة في الحالات العادية والطارئة (على سبيل المثال ، في حالة وقوع حادث كبير لأمن المعلومات).

6. المراقبة والمراجعة المستمرة للمخاطر


يجب أن يوضع في الاعتبار أن المخاطر يمكن أن تتغير بهدوء بمرور الوقت: الأصول وتغير قيمتها ، تظهر التهديدات ونقاط الضعف الجديدة ، واحتمال التهديدات ومستوى تغيراتها السلبية. لذلك ، من الضروري مراقبة التغييرات الجارية باستمرار ، بما في ذلك بمشاركة أطراف خارجية متخصصة في تحليل التهديدات الحالية لتنظيم الدولة الإسلامية. مطلوب إجراء مراجعة منتظمة لكل من مخاطر نظم المعلومات والطرق المستخدمة لمعالجتها من أجل ملاءمة وكفاية حالة متغيرة محتملة. يجب إيلاء اهتمام خاص لهذه العملية في وقت حدوث تغييرات كبيرة في عمل الشركة وعمليات الأعمال الجارية (على سبيل المثال ، أثناء عمليات الدمج / الاستحواذ ، وإطلاق خدمات جديدة ، والتغيرات في هيكل ملكية الشركة ، وما إلى ذلك).

7. دعم وتحسين عملية إدارة مخاطر نظم المعلومات


على غرار المراقبة المستمرة للمخاطر ، يجب الحفاظ على عملية إدارة المخاطر نفسها وتحسينها باستمرار بحيث يظل السياق والتقييم وخطة العلاج ذات صلة بالوضع والظروف الحالية. يجب الاتفاق مع جميع الأطراف المعنية على جميع التغييرات والتحسينات. يجب أن تتوافق معايير تقييم وقبول المخاطر وتقييم قيمة الأصول والموارد المتاحة ونشاط المنافسين والتغييرات في التشريعات والالتزامات التعاقدية مع العمليات التجارية الحالية والأهداف الحالية للشركة. إذا لزم الأمر ، فمن الضروري تغيير أو تحسين النهج الحالي ، ومنهجية وأدوات إدارة مخاطر نظم المعلومات.

IEC 31010: 2019


نراجع الآن بإيجاز معيار IEC 31010: 2019 "إدارة المخاطر - تقنيات تقييم المخاطر" .

هذا المعيار هو جزء من سلسلة من معايير إدارة مخاطر الأعمال التي لا ترتبط بشكل خاص بمخاطر نظم المعلومات. معيار "العنوان" هو ISO 31000: 2018 ، "إدارة المخاطر - إرشادات" ، الذي يصف الإطار والمبادئ وعملية إدارة المخاطر نفسها. تشبه عملية إدارة المخاطر الموضحة في هذه الوثيقة تلك التي تمت مناقشتها أعلاه: يتم تحديد السياق والحدود والمعايير ، ويتم تقييم المخاطر (يتكون من التحديد والتحليل وتقييم مخاطر المخاطر) ، ثم تتم معالجة المخاطر ، تليها الاتصالات والإبلاغ والرصد والمراجعة.

تجدر الإشارة إلى معيار IEC 31010: 2019 من حيث أنه يوفر أكثر من 40 تقنية مختلفة لتقييم المخاطر ، كل منها يقدم شرحًا ، وطريقة تطبيق لجميع العمليات الفرعية لتقييم المخاطر (تحديد المخاطر ، وتحديد مصادر وأسباب المخاطر ، وتحليل تدابير الحماية ، والتحليل العواقب والاحتمالات والعلاقات والتفاعلات ، وقياس وتقييم مستوى المخاطر ، واختيار تدابير الحماية ، والإبلاغ) ، وبالنسبة لبعض التقنيات ، يتم تقديم أمثلة عملية على الاستخدام. بالإضافة إلى ذلك ، بالنسبة لهذا المعيار في نسخته المحلية ، GOST R ISO / IEC 31010-2011 "إدارة المخاطر. تشير طرق تقييم المخاطر "607-P من البنك المركزي للاتحاد الروسي" حول متطلبات إجراء ضمان التشغيل المستمر لنظام الدفع ، ومؤشرات التشغيل المتواصل لنظام الدفع وطرق تحليل المخاطر في نظام الدفع ، بما في ذلك ملفات تعريف المخاطر ".

More articles:


All Articles