ریسک عبارت است از انحراف در پیشامدهای ممکن آینده . اگر تنها یک پیشامد ممکن باشد ، انحراف و ریسک کمتر می شود . مدیریت ریسک چیست ، ما در دنیای مخاطرات و ریسک زندگی می کنیم . باید ریسک ها را تحلیل کنیم ، اگر با آنها بر خورد داریم باید آنها را شناسایی و در مجموع تمام ریسک ها و نتایج آنها را ارزیابی کنیم . مدیریت ریسک عبارت است از فرایند مستند سازی تصمیمات نهایی اتخاذ شده و به کار گیری معیارهایی که می توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد . به عبارت دیگر فرآیند شناسائی ، ارزیابی ، انجام اقدامات کنترلی و اصلاح ریسک های اتفاقی بالقوه ای که مشخصآ پیشامدهای ممکن آن خسارت با عدم تغییر در وضع موجود می باشد . مدیریت ریسک مجموعه ای را قادر می سازد که به نحو بهتری ریسک های متداول در فعالیتهای روزمره را مدیریت نموده و با خیالی آسوده از خسارات تصادفی ، بطور جامعتر و مؤثرتر فعالیتهای روزمره خود را ادامه دهد ، ضمن اینکه ما را قادر می سازد به نتایج قابل قبول با حداقل هزینه نایل گردیم .

مدیریت ریسک چیست

شناخت ریسک ها مستلزم شناخت هر یک از نقاط این زنجیره است که عوامل خسارت آفرین ( حادثه ها و .... ) ، منابع خسارت پذیر ( پرسنل ، اموال ، مسئولیتها و درآمدها ) و نوع تأثیر عامل اول برعامل دوم ( انواع خسارت ها ) را بطور دقیق در بر می گیرد . مدیریت ریسک کمک به انسانها برای حفاظت مستمر از خود ، داراییها و فعالیتها یشان در برابر حادثه هایی است که در طول تاریخ زندگی انسانها ، همواره او را با مخاطره روبرو کرده است . آموزش نتورک پلاس ، این علم ضابطه ها وروشهایی را بدست داده است که اشخاص ، مؤسسه ها ی اقتصادی ( صنعتی و تجاری ) و غیر انتفاعی و دولتها با استفاده از آنها می تواند وظیفه آینده نگری را در ارزیابی ، کنترل و تأمین مالی خسارتها انجام دهند . براین پایه مدیریت ریسک برخوردی نظام یافته با ریسک ها را سامان می دهد . بدین منظور همواره در کار پاسخ گفتن به دو پرسش اساسی در باره پیش آمدهای احتمالی آینده است . نخستین پرسش اینکه (( چه خواهد شد ؟ )) و دوم اینکه (( چه باید کرد ؟ )) .

مدیریت ریسک همواره در کنار برنامه ریزی برای رویارویی با رویدادهای احتمالی آینده است . بنابر ضابطه هایی که مدیریت ریسک بدست داده است ، ایمن کردن سازمانها و سرمایه گذاریها در برابر خطرها و خسارتها نیازمند شکل گیری نظامی فکری و عملی است که بوسیله آن سیاست گذاری در برابر ریسکها یکپارچه شود . چنین نظامی به شکل مستمر در کارشناسی مشکل های مؤسسه های در معرض خطر و یافتن راه حل های مناسب و مؤثر برای حل آنهاست . بر این پایه ، نظام یادشده باید مشکل های موجود را تشخیص دهد ، تعریف کند و تحلیل ساختاری از آنها بدست دهد و با گردآوردن اطلاعات مربوط و طبقه بندی شده ، مناسبترین شیوه های پیشگیری ، کنترل و تأ مین مالی ریسکها را ارائه دهد.

گردش عملیات مدیریت ریسک

تشخیص مشکلها ( ریسکها )

تشخیص و تعریف نیازها

تجزیه و تحلیل ساختارمشکلها ( ریسکها )

گردآوری و طبقه بندی اطلاعات

تدوین استراتژی رویارویی با ریسکها

نظارت و پیگیری

برداشتی که از مدیریت ریسک ارائه شد ضرورت آگاهی از ریسکها را درجامعه و مؤسسه های اقتصادی آشکار می کند . تنها در پرتو چنین آگاهی هایی می توان نظام مدیریت ریسک را در جامعه و تمامی مؤسسه های مربوط سازمان داده و به فعالیت واداشت . آشکاراست که ایفای وظایف مدیریت ریسک را می توان بر حسب اندازه و وسعت هر مؤسسه ، توسط یک واحد سازمانی و زیر نظر مدیر مربوط که مدیر ریسک نامیده می شود ، انجام داد و راهبری کرد . برای شناخت انواع ریسک هایی که هر مؤسسه در معرض آنها قراردارد ، می توان با روشهایی مشخص در میان منابع درون سازمان وبرون آن به جستجو پرداخت . از دیدگاه مدیریت ریسک منابع درون سازمان همه چیزهایی است که در هر مؤسسه موجود است و امکان بهره برداری از آنها وجود دارد .

پس از شناخت ریسک های هر مؤسسه ، باید میزان تأثیر وقوع هرخسارت را برتمامی مؤسسه بررسی کرد و این کار نیازمند آن است که مشخص شود ،اولآ هریک ازخسارت ها با چه احتمال روی دادنی روبروست وثانیآ در صورت وقوع چه مبالغی را تشکیل می دهد ، واین مبالغ چه تأثیری برساختار مالی مؤسسه خواهد گذاشت . به بیان دیگر اقدام های مرحله اول ( شناسایی ریسک ها ) مجموعه ای از داده ها ( اطلاعات خام ) را درمورد ریسک هایی که مؤسسه در معرض آنها قراردارد به دست می دهد و مرحله بعد یافته های به دست آمده ( داده های یاد شده ) ، برپایه شالوده نظام مدیریت ریسک در مؤسسه ، طبقه بندی و پردازش می شوند که به فرآوری اطلاعات سنجیده ، معتبرو اولویت بندی شده می انجامد .

گام های اصلی در فرآیند مدیریت ریسک

تعریف هدف مشخصی از مدیریت ریسک

شناسائی ریسک ها

ارزیابی خسارت

انتخاب روش های مقابله با مشکلات ریسک

انتقال خسارت به طرف دیگر مثل سازمان بیمه گر

کاهش احتمال وقوع خسارت و در صورت لزوم جلوگیری از توسعه آن

معرفی نقش ها و مسئولیت ها در مدیریت ریسک امنیت اطلاعات

با سلام در این قسمت از مفاهیم امنیت اطلاعات سعی دارم به مفاهیمی در رابطه با مسئولیت سازمانی افراد در امنیت اطلاعات در ادامه مقالات قبلی ارائه شده با عناوین مزایای طبقه بندی اطلاعات و سیاستهای امنیتی و اهداف طبقه بندی اطلاعات و مفاهیم مرتبط بپردازم ونهایتا وارد مفاهیم مدیریت ریسک وخطر پذیری شوم .

نقش ها و مسئولیت ها

نقشها و مسئولیتها یک عبارت متداول در امنیت اطلاعلت است به طوری که در کنترلهای امنیت اطلاعات وظایف یک کارمند را تعریف میکنند و هرکدام از این نقشها دسترسی ها و مسئولیتهایی را در قبال امنیت داده ها بر عهده دارند نقش ها ومسئولیتها ی اصلی و مرکزی دارای تفکیک وظایف میباشند تا این مفهوم را به وجود آورند که امنیت از طرق تقسیم مسئولیت ها افزایش خواهد یافت و این مهم است که هر فرد به وضوح با نقش خود ارتباط برقرار کرده و آن را درک کند. ما به اختصار در مورد هرکدام توضیح میدهیم.

مدیریت ارشد : که شامل افراد با وظایف اجرایی یا در سطح مدیران ارشد که مسئولیت کلی امنیت اطلاعات به انها واگزار یا اصطلاحا (delegate) شده باشد.

سیستم امنیت اطلاعات حرفه ای : افرادی که به عنوان حرفه ای های امنیت اطلاعات هستند در این گروه قرار میگیرند و و اجرای این مسئولیت توسط مدیران ارشد به آنها محول میشود که دارای وظایفی مانند طراحی , مدیریت , اجرا , بررسی سیاستهای امنیتی سازمان , استانداردها دستورالعمل ها و روشها را بر عهده دارند .

صاحبان داده ها : همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات صحبت کردیم که در درجه اول تایین سطح حساسیت ویا طبقه بندی داده ها را بر عهده دارند که به همین جهت مسئولیت حفظ داده ها را بر عهده دارند

کاربران : و باز همان طور که قبلا در نقش افراد در طبقه بندی اطلاعات اشاره کردیم به عنوان مصرف کنندگان نهایی در برنامه سیاستهای امنیتی سازمان نقش حفاظت از داده های در اختیار را بر عهده دارند

سیستم های اطلاعاتی حسابرسان : که مسئول ارائه گزارشات به مدیران ارشد میباشند و اثر بخشی کنترل های امنیتی را با بررسی منظم سیاستهای امنیتی , دستورالعمل ها , استانداردها , و روشهای موثر در اهداف بیان شده امنیت اطلاعات را بر عهده دارند.

مدیریت ریسک

از جزئیات اصلی امنیت اطلاعات مدیریت ریسک یا Risk Management ) RM) است که تابع اصلی برای کاهش خطر است , کاهش خطر به میزانی که قابل قبول برای یک سازمان باشد ما میتوانیم RM را به عنوان شناسایی , تجزیه و تحلیل , کنترل و به حداکثر رساندن از دست دادن رویدادها تعریف بکنیم بنابراین شناسایی احتمال خطرات مورد توجه یک سازمان به تعریف عناصر اصلی زیرمنتهی میشود:

تهدید واقعی

عواقب و نتیجه احتمالی تهدیدات

فرکانس احتمالی وقوع یک تهدید

میزان و چگونگی به خطر افتادن اعتماد به نفس ما

نکته قابل توجه اینکه بسیاری از فورمول ها و فرایند های طراحی شده برای کمک به پاسخ دادن به پرسش های مطرح شده به دلیل تغییر و تحول دائمی در زندگی افراد و محیطی که در آن قرار داریم به طور حتم کارساز نخواهد بود و هدف RM در این است که تا جای ممکن در آینده کاری یک شرکت این تهدیدات را به حداقل ممکن برساند در کاهش ریسک این مهم است که شما بدانید که این بدان معنی است که ما تا چه سطح با خیال راحت میتوانیم به طور موئثر, ریسک در یک سرمایه گذاری را بپذیریم.

اصول مدیریت ریسک

کار RM دارای چند عنصر مختلف میباشد که در درجه اول موارد زیر قابل توجه است.

انجام تجزیه و تحلیل خطر از جمله تحلیل هزینه و سود.

پیاده سازی , بازنگری و حفظ حمایت

برای فعال کردن این فرایند , شما نیازمند تعیین برخی عناصر مختلف مانند ارزش دارایی ها و تهدید ها و احتمال حوادث میباشید در واقع بخش اصلی فرایند RM به اختصاص مقادیر به این تهدید ها و چگونگی احتمال رخ دادن آنها برمیگردد برای انجام این کار فورمولها و اصطلاحاتی به وجود آمده اند که در زیر تحت عنوان Risk Analysis (RA) تعریف شده اند . هدف از تجزیه و تحلیل خطر: هدف از انجام تجزیه و تحلیل خطر در واقع برای تعیین کمیت اثر تهدیدات بلقوه میباشد.

که برای مشخص نمودن ارزش هزینه های عملکردی یک کسب و کاراست و دو نتیجه اصلی RA شناسایی خطرات و توجیه هزینه / و منفعت متقابل است که برای ایجاد یک استراتﮊی کاهش ریسک , حیاتی و مهم به نظر میرسد. مزایای متعددی برای RA وجود دارد که روشن شدن هزینه ها به نسبت حمایتهای امنیتی که تحت تاثیر از روند تصمیمات قابل برخورد با پیکر بندی سخت افزاری و طراحی سیستم های نرم افزاری و نیز کمک به تمرکز منابع امنیتی و حتی تصمیم گیری در باره ساخت و ساز مانند انتخاب سایت و طراحی ساختمان را شامل میشود اصطلاحاتی که باید در این ضمینه بدانیم :

Asset : دارایی ) شامل منابع اطلاعاتی فرایند تولید محصول و زیرساخت های محاسباتی که میتوان این موارد را تحت مثالهایی مانند اطلاعات توسعه , پشتیبانی , جایگزینی محصولات, اعتبارات عمومی و هزینه های در نظر گرفته شده, که مستقیما با حیات سازمان مربوطه در ارتباط است معرفی نمود که از دست دادن دارایی میتواند C.I.A را که همان مفاهیم اصلی امنیت اطلاعات یعنی محرمانگی و یکپارچگی و در دسترس بودن است را به خطر اندازد.

Threat: تهدید ) به عبارت ساده هر نوع حضور بلقوه ای که باعث ایجاد تاثیرات نامطلوب و به خطر افتادن امنیت منابع اطلاعاتی سازمانی ما شود. خواه انسانی و یا ماشینی (رباط و یا هر نوع نرم افزار)

Vulnerability :آسیب پذیری ) این طور میتوان گفت که آسیب پزیری در نتیجه فقدان و یا ضعف حفاظت به وجود می اید باید در نظر داشته باشید که یک تهدید جزئی دارای پتانسیل تبدیل شدن به یک تهدید بزرگتر است.

Safeguard :حفاظت ) برای کنترل و کاهش خطر در ارتباط با یک تهدید خاص و یا گروهی از تهدیدات است.

ef) Exposure Factor) نشان دهنده درصد ارزش از دست دادن یک دارایی مشخص در اثر یک تهدید است مانند اثر از دست دادن برخی از سخت افزار ها یا از دست دادن فاجعه بار تمام منابع محاسباتی

SLE) Single Loss Expectancy )پیش بینی کاهش واحد : SLE رقمی است که به یک پدیده واحد اختصاص یافته است. و نشان دهنده کاهش یک تهدید در سازمان است و از فورمول زیر به دست میاید .Asset Value ($)×Exposure Factor (EF) = SLE (توضیحات شماره یک و پنج )

ARO) Annualized Rate of Occurrence) نرخ وقوع سالانه : نشان دهنده فرکانس براورد شده ای است که از یک تهدید انتظار میرود رخ دهد و دامنه این مقدار از (0.0) هرگز بیشتر نمیشود (برای تهدیدات جزئی از جمله غلط املایی در ثبت داده ها به کار میرود) چگونگی به دست آمدن این تعداد پیچیده است ومعمولا بر اساس احتمال رویداد و تعداد کارکنان در ایجاد خطایی که رخ میدهد مورد بررسی قرار میگیرد و خسارات وارده چندان جای نگرانی ندارد.

مروری بر تجزیه وتحلیل خطر

که دارای چهار مرحله اصلی زیر میباشد.

تجزیه و تحلیل کمی خطر

تجزیه و تحلیل کیفی خطر