در این مقاله قصد داریم مراحل اجرای فرایند مدیریت ریسک امنیت اطلاعات را بررسی نماییم. این مراحل شامل شناسایی ریسک، ارزیابی ریسک، تحلیل ریسک و مقابله با ریسکهای امنیتی میشوند. این مقاله برای مدیران و کارشناسان سازمانها که با موضوعات مرتبط با مدیریت ریسک و ISMS سر و کار دارند مفید است. همچنین دانشجویان و علاقمندان به این حوزه نیز میتوانند با مطالعه این نوشته دید جامعی از روش اجرای فرایند مدیریت ریسک بدست آورند. گامهایی که در ادامه تشریح میشوند مبتنی بر استانداردهای ایزو 27005 و ایزو 31000 طراحی و تنظیم شدهاند.
اولین گام در اجرای فرایند مدیریت ریسک همانند استقرار دیگر فرایندها و سیستم های مدیریتی ایجاد بستر پیاده سازی آن است. منظور از بستر سازی، توافق مدیران ارشد سازمان به انجام این فرایند و متعهد شدن به اجرای درست آن است. تعیین اسکوپ و محدوده سازمانی انجام مدیریت ریسک، کار بعدی در ایجاد آمادگی است. پس از این باید منابع لازم جهت پیاده سازی این فرایند تخصیص یابد و مسئولیتهای مرتبط تعریف شود. چنانچه قصد دارید پیاده سازی این فرایند را با نرم افزاری تخصصی انجام دهید در این گام باید مراحل نصب و راه اندازی آن را نیز انجام دهید.
در گام اول باید داراییهایی که در محدوده ارزیابی ریسک سازمانتان قرار دارند را مشخص نمایید. داراییهای اطلاعاتی سازمان بر اساس استاندارد ایزو 27005 در قالب دو گروه داراییهای اصلی و پشتیبان دستهبندی میشوند. داراییهای اصلی داراییهایی هستند که به عنوان خروجیهای سازمان و یا واحد مورد ارزیابی شناخته میشوند. سرویسهایی که یک سازمان به مشتریان خود ارائه میدهد در این زمره هستند. داراییهای پشتیبان داراییهایی هستند که برای تحقق دارایی اصلی ضروری هستند و از دارایی اصلی پشتیبانی میکنند. مثلا پرسنل، ابزارها، نرمافزارها و تجهیزاتی که برای عملیاتی سازی سرویس سازمانی مورد استفاده قرار میگیرند، در رده داراییهای پشتیبان قرار میگیرند.
در این گام و پس از شناسایی داراییهای اطلاعاتی در قالب فهرست داراییها نوبت به ارزش گذاری داراییها می رسد. باید توجه داشت که تمرکز ارزش گذاری با توجه به اینکه در کدام یک از دیسیپلینهای مدیریت ریسک در حال فعالیت هستیم متفاوت خواهد بود. با توجه به اینکه هدف ما در این مقاله مدیریت ریسک در حوزه امنیت اطلاعات است بنابراین ارزشگذاری نیز باید در همین حوزه به انجام رسد. ارزش گذاری امنیتی داراییها با سه پارامتر محرمانگی (Confidentiality)، صحت (Integrity)، دسترسپذیری (Availability) انجام میشود.
استاندارد ایزو 27005 معیارهای مختلفی برای ارزش گذاری معرفی میکند که بسته به نیازمندی و نوع سازمان میتواند مورد استفاده قرار گیرد. برای اندازهگیری ارزش میتوانید به صورت عمومی از معیارهای زیر استفاده نمایید.
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی ازنظر مالی بر سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی در ایجاد وقفه های کاری در سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر وجهه و اعتبار سازمان
•میزان تأثیر نقض پارامترهای امنیت اطلاعات بر روی دارایی بر نقض قوانین و مقررات کشوری و سازمانی
در این گام باید تهدیدات مرتبط با هر دارایی یا گروه داراییها شناسایی شوند. همچنین احتمال وقوع این تهدیدات باید با استفاده از روشها و معیارهای مناسب سنجیده و تخمین زده شود. این تخمین میتواند به صورت کیفی و یا کمی صورت پذیرد.
تهدیدات را مطابق استاندارد ایزو 27005 میتوانید در قالب یکی از انواع زیر تعریف نمایید:
•تهدیدات انسانی عمدی
•تهدیدات انسانی غیرعمدی
•تهدیدات طبیعی
•تهدیدات محیطی
در این مرحله باید نسبت به شناسایی کنترلهایی که در حال حاضر بر روی داراییهای خود دارید اقدام نمایید. شناسایی کنترلهای فعلی و تخمین میزان مطلوبیت آنها به روش مناسب کمک میکند تا بتوانید تخمین دقیق تر و درستتری نسبت به میزان شدت آسیبپذیریهای خود که در گام بعدی به آن پرداخته میشود داشته باشید.
در این گام باید برای هر یک از داراییها و یا گروههای دارایی، آسیب پذیری های متناظر با آنها و متناظر با تهدیدی خاص را شناسایی نمایید. در ادامه باید با استفاده از روشها و معیارهای مناسب و نیز با توجه به نتایج حاصل از گام قبلی باید میزان شدت این آسیبپذیریها را تخمین بزنید. تخمین شدت آسیبپذیریها نیز میتواند به صورت کیفی یا کمی انجام شود.
روشهای مرسوم برای تخمین و تعیین شدت آسیبپذیری عبارتند از:
•پرسشنامه
•ارزیابی آسیبپذیری و آزمون نفوذ
•مطالعه مستندات سازمان
•بازدید و ارزیابی فیزیکی
پس از تعیین تهدیدات و آسیب پذیریهای مرتبط با هر دارایی یا گروه دارایی ها، تعیین می شود که سناریوی ریسک مورد بحث (ترکیب دارایی یا گروه دارایی، تهدید و آسیبپذیریهای مرتبط) بر کدامیک از پارامترهای محرمانگی، صحت و دسترسپذیری اثر خواهد داشت. به عنوان مثال تهدید آتشسوزی پارامتر دسترسپذیری را متأثر می کند. و تهدید شنود پارامتر محرمانگی را تحت الشعاع قرار میدهد. از ترکیب بررسی این تأثیر و نیز ارزش داراییها میتوان میزان پیامد حادثه را در یک سناریوی خاص مشخص نمود. تخمین پیامد حادثه به صورت کیفی و یا کمی قابل سنجش است.
با توجه به نکات فوق باید توجه داشت که در ارزیابی ریسک یک سناریوی مشخص، لزوماً مقدار ارزشگذاری دارایی برابر با پیامد حادثه نخواهد بود. زیرا امکان دارد که تهدیدی سبب نقض تمامی پارامترهای تشکیلدهنده ارزش دارایی نشود.
در این گام و پس از مشخص شدن عوامل سازنده ریسک نوبت به ارزیابی ریسک می رسد. بر اساس چارچوب استاندارد ایزو 27005 عناصر تشکیلدهنده تابع ریسک عبارتند از:
•مقدار احتمال تهدید: بهاختصار در این نوشتار با نماد T نشان داده خواهد شد.
•مقدار شدت آسیب پذیری: بهاختصار در این نوشتار با نماد V نشان داده خواهد شد.
•مقدار پیامد حادثه: بهاختصار در این نوشتار با نماد I نشان داده خواهد شد.
•مقدار ریسک: بهاختصار در این نوشتار با نماد R نشان داده خواهد شد.
برای ترکیب این عناصر مطابق استاندارد ISO 27005، میتوان از روشها و فرمولهای متفاوتی استفاده کرد. روش ریاضی با استفاده از اپراتورهای ضرب و جمع و نیز روش ماتریسی از جمله این روشها هستند. یکی از فرمولهای مرسوم در محاسبه و ارزیابی ریسک استفاده از عملگر ضرب و به صورت زیر است:
R=T*V*I
لازم به ذکر است که ترکیب پارامترهای احتمال تهدید و شدت آسیبپذیری تعیین کننده پارامتر احتمال حادثه هستند.
با توجه به امکان تعریف سطوح مختلف برای تعیین پیامد، تعیین احتمال وقوع تهدید و نیز شدت آسیبپذیری طبیعتا بازه نتایج فرمول فوق میتواند متغیر باشد. به عنوان مثال چنانچه مفروضات تعیینشده برای محاسبه ریسک و برای پارامترهای احتمال تهدید، شدت آسیب پذیری و پیامد حادثه بهصورت خیلی کم، کم، متوسط، زیاد، خیلی زیاد که معادل کمی آن اعداد 1، 2، 3، 4 و 5 میشود، تعریف شده باشند خواهیم داشت:
1 <= R <= 125
و بر همین اساس میتوان ریسک را به عنوان مثال در 5 سطح و به صورت زیر اولویتبندی نمود.
•سطح خیلی کم (1 < R <= 5)
•سطح کم (5 < R <= 10)
•سطح متوسط (10 < R <= 30)
•سطح زیاد (30 < R <= 70)
•سطح خیلی زیاد (70 < R <= 125)
در مثال فوق، ریسک های امنیت اطلاعات در 5 سطح قرار گرفتهاند. این 5 سطح در بازههایی بین 1 تا 125 به سطوح خیلی کم، کم، متوسط، زیاد و خیلی زیاد تقسیمبندی شدند.
در این مرحله مبتنی بر مقتضیات سازمانی خود و بر اساس نتایج حاصل از ارزیابی ریسک سطوحی را که از نظر شما دارای ریسک قابل قبول هستند مشخص مینمایید. منظور از سطح قابل قبول و یا سطح پذیرش، ریسکهایی هستند که از نظر شما بدون اینکه بخواهید برایشان اقدامی انجام دهید، میپذیرید که وجود داشته باشند. مثلا سازمانی ممکن است از میان سطوح پنجگانه ریسک، سطوح خیلی کم و کم را بهعنوان سطح پذیرش، تعریف نماید.
بطور معمول و مطابق با استاندارد ایزو 27005 چهار گزینه پذیرش، کاهش، تسهیم و اجتناب بهعنوان استراتژیهای مدیریت ریسک امنیت اطلاعات در نظر گرفته میشوند. تعاریف هر یک از این استراتژیها عبارتند از:
•استراتژی پذیرش: چنانچه مقدار سناریوی ریسک موردنظر پایینتر از آستانه پذیرش باشد، سازمان ریسک را میپذیرد. طبیعتاً برای ریسکهای پذیرفته شده اقدام تقابلی انجام نمیشود.
•استراتژی کاهش: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن وجود داشته باشد، استراتژی کاهش ریسک انتخاب میشود. در این حالت باید کنترلهای مقابلهای بکار گرفته شوند.
•استراتژی تسهیم: چنانچه سناریوی ریسک خارج از بازه پذیرش باشد و امکان کاهش آن نیز توسط سازمان وجود نداشته باشد و یا بهصرفه نباشد اقدام به اشتراکگذاری ریسک با یکطرف بیرونی میشود.
•استراتژی اجتناب: چنانچه سناریوی ریسک موردنظر خارج از بازه پذیرش باشد. همچنین احتمال و پیامد ریسک هر دو بالا باشند و امکان کاهش و یا تسهیم آن نیز به هر دلیلی وجود نداشته باشد تنها گزینه باقیمانده استراتژی اجتناب خواهد بود که به معنای حذف عامل ریسک است.
برای مقابله با ریسک شامل استراتژیهای کاهش، تسهیم و اجتناب باید طرح مقابله با ریسک که به آن RTP هم گفته میشود، در نظر گرفت. یک RTP باید حداقل شامل موارد زیر باشد:
•مالک ریسک
•کنترل مقابلهای
•زمان شروع طرح
•زمان پایان طرح
پس از تدوین استراتژی ها و طرح های مقابله ای باید این طرح ها با مسئولات مرتبط در میان گذاشته شوند. مدیریت ریسک امنیت اطلاعات یک فرایند مشارکتی است که تمامی مراحل آن از شناسایی و ارزیابی تا تحلیل و کاهش ریسک، نیاز به همراهی پرسنل مرتبط سازمان دارد. طرح های مقابله باید به اطلاع مالکین ریسکها برسد و نقطه نظرات آنان دریافت شود. از آنجاییکه اجرای طرح های مقابله و کاهش ریسک به عهده مالکین ریسک است بدیهی است که آنان باید نسبت به ریسک های خود آگاه باشند و طرح ها را به تأیید برسانند.
فرایند مدیریت ریسک نیز مانند دیگر فرایندهای سیستماتیک مدیریت، فرایندی دینامیک و پویاست. پویایی این فرایند ایجاب می کند که هرگز به آن به شکل یک پروژه با آغاز و پایان مشخص نگاه نشود. بلکه این فرایند همواره باید در معرض پایش و بازبینی مستمر باشد تا بتواند خود را با تغییرات داخلی و بیرونی سازمان تطبیق دهد. به عبارتی می توان گفت که وظیفه اصلی بهبود مستمر در فرایند مدیریت ریسک امنیت اطلاعات به عهده این گام است.