###
  • إنترنت
  • البرامج
  • ألعاب
  • مشاكل
  • شبابيك
  • وسائل التواصل الاجتماعي
  • ذكري المظهر
  • دائرة الرقابة الداخلية

    • برامج تحليل وإدارة المخاطر. الأساليب والأدوات الحديثة لتحليل ومراقبة مخاطر نظم المعلومات في الشركات

    21.11.2023 البرامج والخدمات

    CRAMM، وRiskWatch، وGRIF

    أهمية مهمة ضمان أمن المعلومات للأعمال

    اليوم ليس هناك شك في الحاجة إلى الاستثمار في ضمان أمن المعلومات للشركات الكبيرة الحديثة. السؤال الرئيسي للأعمال الحديثة هو كيفية تقييم المستوى الكافي للاستثمار في أمن المعلومات لضمان أقصى قدر من الكفاءة للاستثمارات في هذا المجال. لحل هذه المشكلة، هناك طريقة واحدة فقط - استخدام أنظمة تحليل المخاطر التي تسمح لك بتقييم المخاطر الموجودة في النظام واختيار خيار الحماية الأكثر فعالية (استنادًا إلى نسبة المخاطر الموجودة في النظام إلى التكاليف لأمن المعلومات).

    ولتأكيد أهمية مهمة ضمان أمن الأعمال، سوف نستخدم تقرير مكتب التحقيقات الفيدرالي لعام 2003. تم جمع البيانات بناءً على مسح شمل 530 شركة أمريكية (شركات متوسطة وكبيرة).

    إحصائيات حوادث أمن تكنولوجيا المعلومات لا هوادة فيها. وفقاً لمكتب التحقيقات الفيدرالي، في عام 2003، تعرضت 56% من الشركات التي شملتها الدراسة للهجوم:

    تظهر الخسائر الناجمة عن أنواع مختلفة من تأثيرات المعلومات في الرسم البياني التالي:

    مبررات الحاجة إلى الاستثمار في أمن معلومات الشركة

    وفقًا للإحصاءات، فإن أكبر عائق أمام اتخاذ أي إجراءات لضمان أمن المعلومات في الشركة هو سببان:

    1. قيود الميزانية؛
    2. نقص الدعم من الإدارة.

    ينشأ كلا السببين من عدم فهم الإدارة لخطورة المشكلة والصعوبة التي يواجهها مدير تكنولوجيا المعلومات في تبرير سبب ضرورة الاستثمار في أمن المعلومات. في كثير من الأحيان، يميل الكثير من الناس إلى الاعتقاد بأن المشكلة الرئيسية هي أن مديري تكنولوجيا المعلومات والمديرين التنفيذيين يتحدثون لغات مختلفة - التقنية والمالية، ولكن المتخصصين في تكنولوجيا المعلومات أنفسهم غالبا ما يجدون صعوبة في تقييم مكان إنفاق الأموال ومقدار الأموال اللازمة لضمان قدر أكبر من المال. أنظمة شركة الأمن حتى لا تكون هذه النفقات غير ضرورية أو زائدة عن الحاجة.

    إذا كان مدير تكنولوجيا المعلومات يفهم بوضوح مقدار الأموال التي يمكن أن تخسرها الشركة في حالة حدوث التهديدات، وما هي الأماكن في النظام الأكثر عرضة للخطر، وما هي التدابير التي يمكن اتخاذها لزيادة مستوى الأمان دون إنفاق أموال إضافية، ويتم توثيق كل هذا، إذن إن حل المشكلة هو إقناع الإدارة بالاهتمام وتخصيص الأموال لضمان أن يصبح أمن المعلومات أكثر واقعية.

    ولحل هذه المشكلة، تم تطوير حزم برمجية لتحليل مخاطر المعلومات والسيطرة عليها: CRAMM البريطانية (شركة Insight Consulting)، وAmerican RiskWatch (شركة)، وGRIF الروسية (شركة). دعونا نفكر أكثر في هذه الأساليب وأنظمة البرمجيات المبنية على أساسها.

    كرام

    تم تطوير الطريقة (طريقة تحليل وإدارة المخاطر الحكومية في المملكة المتحدة) من قبل جهاز الأمن في المملكة المتحدة نيابة عن الحكومة البريطانية وتم اعتمادها كمعيار حكومي. وقد تم استخدامه منذ عام 1985 من قبل المنظمات الحكومية والتجارية في المملكة المتحدة. حتى الآن، اكتسب CRAMM شعبية في جميع أنحاء العالم. تعمل شركة Insight Consulting Limited في تطوير وصيانة منتج برمجي يحمل نفس الاسم والذي يطبق طريقة CRAMM.

    لقد اخترنا طريقة CRAMM لإجراء دراسة أكثر تفصيلاً، وهذا ليس من قبيل الصدفة. حاليًا، تعد CRAMM أداة قوية وعالمية إلى حد ما تسمح، بالإضافة إلى تحليل المخاطر، بحل عدد من مهام التدقيق الأخرى، بما في ذلك:

    • إجراء مسح للملكية الفكرية وإصدار الوثائق المصاحبة في جميع مراحل تنفيذه؛
    • إجراء التدقيق وفقًا لمتطلبات الحكومة البريطانية، بالإضافة إلى معيار BS 7799:1995 - قواعد الممارسة لإدارة أمن المعلومات BS7799؛
    • تطوير السياسة الأمنية وخطة استمرارية الأعمال.

    ويعتمد CRAMM، الذي يجمع بين أساليب التحليل الكمي والنوعي، على نهج متكامل لتقييم المخاطر. هذه الطريقة عالمية ومناسبة للمؤسسات الكبيرة والصغيرة، سواء في القطاع الحكومي أو التجاري. تختلف إصدارات برنامج CRAMM التي تستهدف أنواعًا مختلفة من المؤسسات عن بعضها البعض في قواعد المعرفة (ملفات التعريف) الخاصة بها. للمؤسسات التجارية يوجد ملف تجاري (Commercial Profile)، للمؤسسات الحكومية - ملف حكومي (Government Profile). تسمح لك النسخة الحكومية من الملف التعريفي أيضًا بمراجعة الامتثال لمتطلبات معيار ITSEC الأمريكي ("الكتاب البرتقالي").

    يتيح لك الاستخدام السليم لطريقة CRAMM الحصول على نتائج جيدة جدًا، ولعل أهمها هو القدرة على تبرير نفقات المنظمة اقتصاديًا لضمان أمن المعلومات واستمرارية الأعمال. تسمح لك استراتيجية إدارة المخاطر السليمة اقتصاديًا في النهاية بتوفير المال عن طريق تجنب النفقات غير الضرورية.

    يتضمن CRAMM تقسيم الإجراء بأكمله إلى ثلاث مراحل متتالية. مهمة المرحلة الأولى هي الإجابة على السؤال: "هل تكفي حماية النظام باستخدام أدوات المستوى الأساسي التي تنفذ وظائف الأمان التقليدية، أم أن التحليل الأكثر تفصيلاً ضروري؟" وفي المرحلة الثانية، يتم تحديد المخاطر وتقييم حجمها. في المرحلة الثالثة، يتم حل مسألة اختيار التدابير المضادة المناسبة.

    تحدد منهجية CRAMM لكل مرحلة مجموعة من البيانات الأولية وسلسلة من الأنشطة واستبيانات لإجراء المقابلات وقوائم المراجعة ومجموعة من وثائق التقارير.

    إذا وفقا لنتائج المرحلة الأولى، ثبت أن مستوى أهمية الموارد منخفض جدًا وأن المخاطر الحالية لن تتجاوز بالتأكيد مستوى أساسيًا معينًا، ثم يتم فرض الحد الأدنى من متطلبات الأمان على النظام. في هذه الحالة، لا يتم تنفيذ معظم الأنشطة في المرحلة الثانية، ولكن يتم الانتقال إلى المرحلة الثالثة، والتي تولد قائمة قياسية من التدابير المضادة لضمان الامتثال لمجموعة أساسية من متطلبات الأمان.

    على المرحلة الثانيةويتم تحليل التهديدات الأمنية ونقاط الضعف. يتلقى المدقق البيانات الأولية لتقييم التهديدات ونقاط الضعف من الممثلين المعتمدين للمنظمة خلال المقابلات المناسبة. وتستخدم الاستبيانات المتخصصة لإجراء المقابلات.

    على المرحلة الثالثةتم حل مشكلة إدارة المخاطر، والتي تتمثل في اختيار التدابير المضادة المناسبة. يتم اتخاذ قرار إدخال آليات أمنية جديدة في النظام وتعديل الآليات القديمة من قبل إدارة المنظمة، مع الأخذ في الاعتبار التكاليف المرتبطة بها ومقبوليتها والمنفعة النهائية للأعمال. وتتمثل مهمة المدقق في تبرير التدابير المضادة الموصى بها لإدارة المنظمة.

    إذا تم اتخاذ قرار بإدخال تدابير مضادة جديدة وتعديل التدابير القديمة، فقد يتم تكليف المدقق بإعداد خطة لتنفيذ الإجراءات المضادة الجديدة وتقييم مدى فعالية استخدامها. إن حل هذه المشكلات يقع خارج نطاق طريقة CRAMM.

    يظهر الرسم التخطيطي المفاهيمي لإجراء المسح باستخدام طريقة CRAMM في الرسم البياني:

    ل عيوب طريقة CRAMMيمكن أن يعزى ما يلي:

    • يتطلب استخدام طريقة CRAMM تدريبًا خاصًا ومدققين مؤهلين تأهيلاً عاليًا.
    • يعد CRAMM أكثر ملاءمة لمراجعة أنظمة المعلومات الحالية في المرحلة التشغيلية مقارنة بأنظمة المعلومات قيد التطوير.
    • تعتبر عملية التدقيق باستخدام طريقة CRAMM عملية كثيفة العمالة وقد تتطلب أشهرًا من العمل المتواصل من قبل المدقق.
    • تولد أداة البرنامج CRAMM كمية كبيرة من الوثائق الورقية، وهو أمر لا يكون مفيدًا دائمًا في الممارسة العملية.
    • لا يسمح لك CRAMM بإنشاء قوالب التقارير الخاصة بك أو تعديل القوالب الموجودة.
    • القدرة على إضافة إضافات إلى قاعدة معارف CRAMM غير متاحة للمستخدمين، مما يسبب صعوبات معينة في تكييف هذه الطريقة مع احتياجات مؤسسة معينة.
    • برنامج CRAMM متاح باللغة الإنجليزية فقط.
    • ارتفاع تكلفة الترخيص.

    مراقبة المخاطر

    برمجة مراقبة المخاطر، التي طورتها شركة أمريكية، هي أداة قوية لتحليل وإدارة المخاطر. تشتمل عائلة RiskWatch على منتجات برمجية لإجراء أنواع مختلفة من عمليات التدقيق الأمني. ويتضمن أدوات التدقيق وتحليل المخاطر التالية:

    • مراقبة المخاطر للأمن المادي - للطرق المادية لحماية الملكية الفكرية؛
    • مراقبة المخاطر لنظم المعلومات - لمخاطر المعلومات؛
    • HIPAA-WATCH لصناعة الرعاية الصحية - لتقييم الامتثال لمتطلبات معيار HIPAA؛
    • RiskWatch RW17799 لـ ISO17799 - لتقييم متطلبات معيار ISO17799.

    تستخدم طريقة RiskWatch "توقعات الخسارة السنوية (ALE)" و"العائد على الاستثمار" (ROI) كمعايير لتقييم المخاطر وإدارتها. تتمتع عائلة منتجات البرمجيات RiskWatch بالكثير من المزايا.

    يساعدك RiskWatch على إجراء تحليل للمخاطر واتخاذ خيارات مستنيرة بشأن التدابير الوقائية والعلاجات. تتضمن المنهجية المستخدمة في البرنامج 4 مراحل:

    الطور الأول- تعريف موضوع البحث. في هذه المرحلة، يتم وصف المعلمات العامة للمنظمة - نوع المنظمة، وتكوين النظام قيد الدراسة، ومتطلبات الأمان الأساسية. يتم إضفاء الطابع الرسمي على الوصف في عدد من البنود الفرعية، والتي يمكن اختيارها للحصول على وصف أكثر تفصيلاً أو تخطيها.

    أدناه، يتم وصف كل عنصر من العناصر المحددة بالتفصيل. لتسهيل عمل المحلل، توفر القوالب قوائم بفئات الموارد المحمية والخسائر والتهديدات ونقاط الضعف وتدابير الحماية. من بينها، تحتاج إلى تحديد أولئك الموجودين بالفعل في المنظمة.

    المرحلة الثانية- إدخال البيانات التي تصف الخصائص المحددة للنظام. يمكن إدخال البيانات يدويًا أو استيرادها من التقارير التي تم إنشاؤها بواسطة أدوات البحث عن ثغرات الشبكة. في هذه المرحلة، يتم وصف الموارد والخسائر وفئات الحوادث بالتفصيل.

    يتم الحصول على فئات الحوادث عن طريق تعيين فئة الخسارة إلى فئة الموارد. لتحديد نقاط الضعف المحتملة، يتم استخدام استبيان، تحتوي قاعدة البيانات الخاصة به على أكثر من 600 سؤال يتعلق بفئات الموارد. يُسمح بتصحيح الأسئلة أو استبعادها أو إضافة أسئلة جديدة. يتم تحديد تكرار حدوث كل من التهديدات المحددة ودرجة الضعف وقيمة الموارد. يتم استخدام كل هذا لاحقًا لحساب فعالية تنفيذ معدات الحماية.

    المرحلة الثالثة- تقييم المخاطر. أولاً، يتم إجراء الاتصالات بين الموارد والخسائر والتهديدات ونقاط الضعف المحددة في الخطوات السابقة. بالنسبة للمخاطر، يتم حساب التوقعات الرياضية لخسائر السنة باستخدام الصيغة:
    m=p * v، حيث p هو تكرار حدوث التهديد خلال العام، وv هي تكلفة المورد الذي يتعرض للتهديد.

    على سبيل المثال، إذا كانت تكلفة الخادم 150 ألف دولار، واحتمال تدميره بالنيران خلال عام هو 0.01، فإن الخسارة المتوقعة ستكون 1500 دولار، بالإضافة إلى ذلك، يتم أخذ سيناريوهات "ماذا لو ..."، والتي اسمح لنا بوصف مواقف مماثلة تخضع لتنفيذ وسائل الحماية. ومن خلال مقارنة الخسائر المتوقعة مع وبدون تنفيذ تدابير الحماية، يمكن تقييم تأثير هذه التدابير.

    المرحلة الرابعة- توليد التقارير. أنواع التقارير: ملخص؛ تقارير كاملة وموجزة عن العناصر الموصوفة في المرحلتين 1 و2؛ تقرير عن تكلفة الموارد المحمية والخسائر المتوقعة من تنفيذ التهديدات؛ تقرير عن التهديدات والتدابير المضادة؛ تقرير التدقيق الأمني.

    عيوب مراقبة المخاطريمكن أن يعزى:

    • هذه الطريقة مناسبة إذا كنت بحاجة إلى إجراء تحليل المخاطر على مستوى حماية البرامج والأجهزة، دون مراعاة العوامل التنظيمية والإدارية. ولا تستنفد تقييمات المخاطر الناتجة (التوقع الرياضي للخسائر) فهم المخاطر من منظور نظامي - ولا تأخذ الطريقة في الاعتبار النهج المتكامل لأمن المعلومات.
    • برنامج RiskWatch متاح باللغة الإنجليزية فقط.
    • التكلفة العالية للترخيص هي من 15000 دولار لكل مقعد لشركة صغيرة ومن 125000 دولار لترخيص الشركة.

    جريف

    لإجراء تحليل كامل لمخاطر المعلومات، أولا وقبل كل شيء، من الضروري بناء نموذج كامل لنظام المعلومات من وجهة نظر أمن المعلومات. لحل هذه المشكلة، على عكس أنظمة تحليل المخاطر الغربية الموجودة في السوق، والتي تعد مرهقة للغاية وغالبًا ما لا تتطلب استخدامًا مستقلاً من قبل مديري تكنولوجيا المعلومات ومسؤولي الأنظمة المسؤولين عن ضمان أمان أنظمة معلومات الشركة، فإنه يحتوي على واجهة بسيطة وبديهية لـ مستخدم. ومع ذلك، خلف البساطة الخارجية تكمن خوارزمية معقدة لتحليل المخاطر تأخذ في الاعتبار أكثر من مائة معلمة، مما يسمح للمخرجات بإعطاء تقييم دقيق للمخاطر الموجودة في نظام المعلومات، بناءً على تحليل ميزات التطبيق العملي. تنفيذ نظام المعلومات.

    الهدف الرئيسي لنظام GRIF هو تمكين مدير تكنولوجيا المعلومات من القيام بشكل مستقل (دون مشاركة خبراء خارجيين) بتقييم مستوى المخاطر في نظام المعلومات وفعالية الممارسات الحالية لضمان أمن الشركة، فضلاً عن توفير فرصة إقناع إدارة الشركة بشكل مقنع (بالأرقام) بالحاجة إلى الاستثمار في مجال أمن المعلومات الخاص بها.

    في المرحلة الأولىباستخدام طريقة GRIF، يتم مسح مدير تكنولوجيا المعلومات لتحديد قائمة كاملة بموارد المعلومات ذات القيمة بالنسبة للشركة.

    في المرحلة الثانيةيتم استقصاء مدير تكنولوجيا المعلومات لإدخال جميع أنواع المعلومات ذات القيمة بالنسبة للشركة في نظام GRIF. يجب أن يضع المستخدم مجموعات المعلومات القيمة التي تم إدخالها على كائنات تخزين المعلومات المحددة في المرحلة السابقة (الخوادم ومحطات العمل وما إلى ذلك). المرحلة النهائية هي الإشارة إلى مدى الضرر لكل مجموعة من المعلومات القيمة الموجودة على الموارد المناسبة، لجميع أنواع التهديدات.

    في المرحلة الثالثةيتم تحديد كافة أنواع مجموعات المستخدمين، مع الإشارة إلى عدد المستخدمين في كل مجموعة. ثم يتم تسجيل مجموعات المعلومات المتعلقة بالموارد التي يمكن لكل مجموعة مستخدمين الوصول إليها. وأخيرًا، يتم تحديد أنواع (محلية و/أو بعيدة) وحقوق (قراءة، كتابة، حذف) وصول المستخدم إلى جميع الموارد التي تحتوي على معلومات قيمة.

    في المرحلة الرابعةيتم مسح مدير تكنولوجيا المعلومات لتحديد وسائل حماية المعلومات القيمة على الموارد. بالإضافة إلى ذلك، يقوم النظام بإدخال معلومات حول التكاليف لمرة واحدة لشراء جميع أدوات أمن المعلومات المعمول بها والتكاليف السنوية لدعمها الفني، وكذلك التكاليف السنوية لصيانة نظام أمن المعلومات الخاص بالشركة.

    في المرحلة النهائيةمن الضروري الإجابة على الأسئلة المتعلقة بالسياسة الأمنية المطبقة في النظام، والتي ستسمح للمرء بتقييم المستوى الحقيقي لأمن النظام وتقييمات المخاطر التفصيلية.

    إن وجود أدوات أمن المعلومات، التي لوحظت في المرحلة الأولى، لا يجعل في حد ذاته النظام آمنا في حالة عدم استخدامها بالشكل الكافي وغياب سياسة أمنية شاملة تأخذ في الاعتبار جميع جوانب حماية المعلومات، بما في ذلك المسائل الأمنية التنظيم والأمن الجسدي وسلامة الموظفين واستمرارية الأعمال وما إلى ذلك.

    ونتيجة لاستكمال جميع الإجراءات في هذه المراحل، سيكون الناتج نموذجا كاملا لنظام المعلومات من وجهة نظر أمن المعلومات، مع مراعاة التنفيذ الفعلي لمتطلبات السياسة الأمنية الشاملة، مما سيسمح لنا للانتقال إلى تحليل البرمجيات للبيانات المدخلة للحصول على تقييم شامل للمخاطر وإنشاء تقرير نهائي.

    تقرير مفصل عن النظاممع إعطاء صورة للأضرار المحتملة الناجمة عن الحوادث، وهي جاهزة للعرض على إدارة الشركة:

    عيوب GRIFيمكن أن يعزى:

    • عدم وجود اتصال بالعمليات التجارية (مخطط للإصدار التالي).
    • عدم القدرة على مقارنة التقارير في مراحل مختلفة من تنفيذ مجموعة من التدابير الأمنية (المخطط لها في الإصدار القادم).
    • عدم القدرة على إضافة متطلبات سياسة الأمان الخاصة بالشركة.
    عند كتابة المقال تم استخدام الأدبيات التالية:
    1. التقنيات الحديثة لتحليل المخاطر في نظم المعلومات (PCWEEK N37 "2001)، سيرجي سيمونوف
    2. مواد من جيت إنفوسيستمز
    3. مواد من شركة “الأمن الرقمي”

    لقد قمنا بوصف ودراسة النهج المنهجي لعملية إدارة المخاطر. يرجع تعقيد النظر في هذه المشكلة إلى حقيقة أننا قررنا أنه من أجل إنشاء نظام عالي الجودة لتحليل المخاطر وإدارتها، فإن النظر في الأنشطة الفردية في هذا المجال ليس له معنى. فقط إذا تم تطبيق جميع مراحل إدارة المخاطر بشكل كامل، يمكننا التحدث عن نظام يمكنه ضمان تحقيق أهدافه.

    يعتمد البرنامج المعقد الذي نهدف إلى البدء في مناقشته اليوم على المصنوعات اليدوية (العمليات والأشياء) التي وصفناها سابقًا.

    وفي مركزها:

    • إجراءات التخطيط لأنشطة إدارة المخاطر الشاملة؛
    • أساليب وأدوات إدارة المخاطر المترابطة بطريقة تكمل و"تثري" بعضها البعض أثناء تنفيذ البرنامج المعني.

    وهكذا، لدينا اليوم "انغماس" إضافي في نشاط تحليل وإدارة المخاطر، فلنحبس أنفاسنا...

    مقدمة

    لقد قمنا حتى الآن بوصف أنشطة تحديد وتقييم وتحليل أنواع المخاطر (النوعية والكمية)، والتنظيم، وبطريقة تمهيدية، إدارة المخاطر. لقد أوضحنا وأكدنا أهمية وضرورة تنظيم عمليات تحليل المخاطر وإدارتها في برنامج شامل واحد يكون قادرًا على تغطية وتنسيق أجزائه الفردية في مجمع إداري وبرمجي واحد في المواد المقدمة مسبقًا.

    سنلقي نظرة اليوم على قسم نظام إدارة المخاطر - "برنامج إدارة المخاطر الشامل"، الذي يحل مشاكل زيادة كفاءة الإجراءات المنظمة بالفعل، وإدخال أساليب وتقنيات جديدة ومبتكرة وفعالة في نفس الوقت، والحد من الواضح و الخسائر المحتملة وتعظيم تأثير الأنشطة الرئيسية للشركة.

    ومن الجدير بالذكر هنا أن برنامج إدارة المخاطر الشامل يعد أحد خيارات عملية إدارة المخاطر. ويمكن اعتبار تنفيذ هذا البرنامج الشامل بديلاً لإدخال إدارة المخاطر. تمثل كل مرحلة من مراحل عملية تحليل وإدارة المخاطر التي ناقشناها سابقًا مراحل كاملة من عمليات تنفيذ إدارة المخاطر، ويمكن استخدامها عند التخطيط لهذا النشاط في منظمة معينة، مع مراعاة التكيف مع ظروف معينة للشركة.

    وفقاً للعديد من الخبراء فإن أهداف برامج إدارة المخاطر يجب أن تتمثل في تحقيق النتائج التالية:

    • الاستخدام الأمثل لرأس المال المتاح؛
    • الحصول على الحد الأقصى للدخل.
    • زيادة استدامة تطوير الشركة.
    • تقليل احتمالية فقدان جزء أو كل قيمة المنتج أو الخدمة التي تم الحصول عليها من عمليات مجال تكنولوجيا المعلومات في مؤسسة معينة.

    وبالتالي، ينبغي النظر إلى برنامج إدارة المخاطر الشامل ليس فقط كعملية لتكنولوجيا المعلومات، بل بالمعنى السائد لهذا النشاط، كعنصر أعمال في موضوع إدارة المخاطر، على التنظيم الصحيح الذي يتم من خلاله النتيجة النهائية والنتيجة النهائية. سيعتمد المزيد من موقف المنظمة في السوق.

    برنامج إدارة المخاطر

    يجب أن يأخذ برنامج إدارة المخاطر الشامل الحديث والناجح في الاعتبار وحل المشكلات المتعلقة بالاحتياجات الحالية للشركة في مجال إدارة المخاطر، والتي قررت تنفيذ عمليات تحليل وإدارة المخاطر.

    عادةً ما تقوم المؤسسات التي تطبق إدارة المخاطر بتعيين المهام التالية لهذا المجال:

    • عملية ناجحة في ظل ظروف التعرض للمخاطر؛
    • الحماية من عوامل الخطر السلبية التي تتعارض مع تنفيذ استراتيجية الشركة وتكتيكاتها؛
    • اتخاذ قرارات إدارية مستنيرة، مع الأخذ في الاعتبار المعلومات المتاحة حول المخاطر الواضحة والمحتملة؛
    • الحفاظ على أدوات وتقنيات المعلومات الحالية وتطويرها؛
    • تقليل حساسية الشركة للمخاطر وزيادة استقرار مجال تكنولوجيا المعلومات في بيئة محفوفة بالمخاطر.

    يجب أن ينشئ برنامج إدارة المخاطر الشامل هيكلًا موحدًا للعمل مع المخاطر، والتي قد تختلف في خيارات التنفيذ للمراحل الفردية، ولكن في نفس الوقت التسلسل (يتم تقديمه وفقًا للدورة، في شكل تسلسل عرض المواد ) ويجب أن تتوافق نتائج (وثائق) كل مرحلة تمامًا مع تلك التي قدمناها في الدورة التدريبية لدينا:

    • جمع المعلومات ومتطلبات المخاطر:
      • قائمة بالأسباب الواضحة والمحتملة التي قد تؤدي إلى المخاطر؛
    • تعريف المخاطر:
      • سجل المخاطر؛
    • التقييم الأولي للمخاطر:
      • سجل المخاطر ذات الأولوية؛
      • استراتيجية إدارة المخاطر.
    • التحليل النوعي للمخاطر:
      • وثيقة تحتوي على معلومات عالية الجودة حول المخاطر وطرق حلها (التكتيكات)؛
      • معلومات المخاطر التي يمكن استخدامها في أنشطة التحليل الكمي؛
      • قاعدة المعرفة/البيانات حول المخاطر التي تم تحديدها مسبقًا مع وصفها؛
    • تحليل المخاطر الكمية:
      • وثيقة تحتوي على معلومات كمية حول المخاطر وطرق حلها (التكتيكات)؛
      • المعلومات الإحصائية التي يمكن استخدامها لمزيد من حساب المخاطر وتخطيط طرق حلها؛
    • نظام تحليل المخاطر:
      • تطوير الإجراءات واللوائح التي ينبغي تجميع واستخدام الوثائق المستلمة مسبقًا من أجل تحقيق مؤشرات أداء إدارة المخاطر؛
    • البرنامج الشامل لإدارة المخاطر:
      • وثيقة تحتوي على معلومات حول برنامج شامل لإدارة المخاطر؛
      • خطة إجراءات إدارة المخاطر.
    • المزيد من الأنشطة:
      • خطة مراقبة المخاطر؛
      • خطة لتحسين أنشطة تحليل المخاطر وإدارتها؛

    وفي الوقت نفسه، يجب تحديث كل من المستندات الموصوفة في الوقت المناسب ومراقبتها في المستقبل، عند القيام بأنشطة إدارة المخاطر في شركة معينة. بهدف بناء برنامج فعال وشامل لإدارة المخاطر والتنفيذ السليم للمهام التي تشكل هذا الهدف، سيكون من الممكن السيطرة على المخاطر على جميع المستويات التنظيمية لأي منظمة.

    يجب أن يكون مديرو المخاطر قادرين على تقييم الوضع المحيط والمساهمة في تطوير وتنفيذ الوثائق والإجراءات واللوائح اللازمة الموضحة أعلاه، والتي ينبغي أن تستند إلى المبادئ التالية من مجال تحليل المخاطر وعمليات الإدارة التي أوضحناها سابقًا:

    • نهج عملي متكامل لتحليل المخاطر وعمليات الإدارة؛
    • مع الأخذ في الاعتبار أهم المخاطر:
      • إنشاء سجل المخاطر. تحديث السجل خلال أنشطة عمليات تحليل المخاطر وإدارتها؛
    • تعريف المخاطر؛
    • تحديد "صاحب" الخطر؛
    • استخدام هيكل الأدوار في عملية إدارة المخاطر؛
    • استخدام أساليب/مجموعات أساليب معينة لإدارة مخاطر معينة؛
    • تحديد مستويات المخاطر المقبولة:
      • السيطرة على حالة المخاطر؛

    قبل ذلك بقليل، عندما تحدثنا عن ضمان أنشطة إدارة المخاطر، تطرقنا إلى موضوع دعم التوثيق لهذا المجال من العمل، لكننا لم نكشف عنه بمزيد من التفصيل. وفي القسم المخصص لتطوير إجراءات إدارة المخاطر، سنولي اهتمامًا خاصًا لهذه النقطة.

    وهنا أود أن أقول إن التوثيق وتنفيذه يعدان "علامة فارقة" مهمة جدًا في تطوير برنامج شامل، وتجاهل ذلك قد يؤدي إلى حقيقة أن البرنامج الذي تم تطويره سيكون "حدثًا لمرة واحدة". مثل هذا التنفيذ "يخاطر" بالبقاء في "رؤوس" محددة. سيتم "الانتهاء" من البرنامج المعقد برحيل مجموعة من المتخصصين الرئيسيين، الأمر الذي يدعو إلى التشكيك في النهج المنهجي للمجال الذي يتم تطويره ويظهر عدم فعاليته في مثل هذا التنفيذ.

    ويجب القول أن البرنامج الشامل لإدارة المخاطر يجب أن يتكون من العمليات والإجراءات والأنشطة وما إلى ذلك. يجب أن تكون نتائج المراحل الفردية المضمنة في نشاط "منتهي" متناغمة مع بعضها البعض بطريقة تظهر بوضوح الروابط بين الأنشطة الفردية. تعتمد النتيجة النهائية لمجال المخاطر وأنشطة المنظمة ككل على مدى نجاح تنظيم تكامل الأجزاء الفردية في الكل بشكل مدروس، مع الأهداف العامة لإدارة المخاطر.

    تطوير إجراءات إدارة المخاطر. قواعد الاعمال

    الإجراءات التي تشكل عملية إدارة المخاطر هي مسارات حل "قالبية"، والغرض منها هو تقديم خيارات لحلول محددة للاختيار في موقف معين، والتي ينصح بالتقدم بطلب لاستخدامها في موقف خطر مع بعض (المعروفة و غير معروف) المعلمات.

    يعتمد الاختيار لصالح حالة استخدام معينة على مدى تكييف إجراء معين تم تطويره لإدارة مجموعة معينة من المخاطر/المخاطر مع احتياجات بيئة معينة (المعلمات الخارجية والداخلية للموقف)، ويتوافق مع متطلبات محددة. العمليات التي قد تظهر فيها المخاطر، وستكون فعالة في حالة معينة.

    عند تطوير الإجراءات، من المستحسن الاسترشاد بالمبادئ التي تكمن وراء أنشطة الشركة. تسمى هذه المبادئ عادةً بقواعد العمل. يتم تشكيل معظمهم في عملية "الوعي" بتلك الافتراضات التي تشكل "الرافعات" الدافعة للأعمال. إنها ليست واضحة دائمًا (عادةً لأنها موجودة في "رؤوس" عدد محدود من أصحاب المصلحة)، ولكنها تبدأ في الوجود مع بداية النشاط التجاري. يعتمد استقرار تطوير مجال معين من الأعمال التي يتم تطبيقها فيه على مدى جودة ملاحظتها.

    إن قواعد العمل وديناميكيات تغييراتها هي التي تحدد اتجاه تطوير أنظمة المعلومات وهي التي تؤثر على استقرار الشركة، وفي هذه الحالة عنصر المخاطر الخاص بها.

    وعليه، مما سبق، فإنه من المستحسن أن نستنتج أن قواعد العمل هي أحد المكونات التي تحدد مقدار “المخاطرة” المتاحة للإدارة والدراسة.

    ولكن في مجتمع الأعمال الحديث، كثيراً ما يتم تجاهل قواعد العمل و"استبدالها" بسيناريوهات تطوير محددة، والتي "تشكل" الأساس لتطوير إجراءات إدارة المخاطر. وهنا يجدر توضيح حقيقة أن سيناريوهات الاستخدام هي خيارات محددة لتنفيذ المخاطر، و"قواعد العمل" هي مبادئ عالمية/"شبه عالمية" تحدد سيناريوهات الاستخدام، لذلك من المهم جدًا مراعاة ذلك عند تطوير إجراءات إدارة المخاطر، هي قواعد العمل التي ينبغي استخدامها. في هذه الحالة، يمكننا التحدث عن حماية الأعمال الموثوقة إلى حد ما من المخاطر.

    يتم تحديد تركيبة إجراءات إدارة المخاطر المطورة من خلال العديد من العوامل، ولكنها تعتمد على مكونين رئيسيين يحددان إجراءات إدارة وتحليل إدارة المخاطر:

    • الوضع الحالي "المحفوف بالمخاطر" للمنظمة؛
    • احتياجات/احتياجات أصحاب المصلحة.

    إن احتياجات أصحاب المصلحة هي التي تحدد كيفية تطوير إجراء معين وبأي "وثائق" وأنواع أخرى من الدعم. في بعض الحالات، قد يشمل تطوير الإجراءات الأنشطة التالية:

    • تطوير المقترحات المتعلقة بمجال المخاطر لاستراتيجية/سياسة المؤسسة؛
    • توثيق الإجراءات الأساسية لإدارة المخاطر؛
    • تطوير منهجية لتقييم أنواع المخاطر الفردية والمخاطر الإجمالية؛
    • إلخ.

    ستعمل إجراءات إدارة المخاطر التي تم تطويرها وتطبيقها على النحو الأمثل على تقليل (أو القضاء تمامًا) على الأضرار المحتملة وستساهم في استقرار الشركة وتطويرها.

    مرة أخرى، نذكر مجموعة من الوثائق التنظيمية والمنهجية التي ينبغي أن توفر لإجراءات إدارة المخاطر الإطار الآلي والقانوني اللازم:

    • سياسة إدارة المخاطر
    • لوائح إدارة المخاطر
    • إجراءات إدارة المخاطر
    • المبادئ التوجيهية لوصف وتقييم المخاطر
    • المبادئ التوجيهية لتقييم تأثير المخاطر على جدول العمل
    • المبادئ التوجيهية لتشكيل مؤشرات المخاطر
    • دليل إجراءات إدارة المخاطر
    • دليل للمخاطر النموذجية

    ونتيجة لذلك، لا بد من القول أنه لا توجد إجراءات لإدارة المخاطر يمكن تطويرها بطريقة تدعي العالمية والتطبيق الشامل. يجب أن يأخذ كل إجراء في الاعتبار تفاصيل موقف معين وبعض المخاطر المخطط إدارتها باستخدام إجراءات إدارة المخاطر.

    أساليب إدارة المخاطر

    في المقالة السابقة، قمنا بدراسة موجزة لمجموعة متنوعة من أساليب إدارة المخاطر، وتصنيفها إلى الفئات الأربع التالية:

    • طرق تجنب المخاطر؛
    • طرق توطين المخاطر.
    • أساليب تنويع المخاطر.
    • طرق تعويض المخاطر.

    تقدم كل طريقة من الطرق الموصوفة حلولاً محددة ومتخصصة وفعالة للمواقف "المحفوفة بالمخاطر"، مصنفة بطريقة معينة (انظر المقالات حول الطرق الكمية والنوعية لتحليل المخاطر) من مجموعة عامة من العوامل التي قد تسبب الضرر لاحقًا.

    "فن" معالجة المعلومات الأولية، والذي يمكنك من خلاله عزل "الحبوب" الضرورية من البيانات المفيدة، راجع المقالة حول النهج المنهجي لعملية إدارة المخاطر، ولكن الحاجة إلى النظر الأمثل في العوامل الحاسمة لتصنيف المخاطر العوامل هي شرط لنجاح تطبيق طريقة أو أخرى لإدارة المخاطر، وبالتالي فعالية نظام إدارة المخاطر ككل.

    كما تم تبريره سابقًا، مع الأخذ في الاعتبار تباين عنصر "الخطر" والهجرة المحتملة لمجموعة المخاطر/المخاطر، والتي سيكون من الصعب جدًا التنبؤ باتجاهها، تعتمد على عدد كبير من المتغيرات:

    • "داخلي" فيما يتعلق ببيئة المخاطر؛
    • "الخارجية" فيما يتعلق ببيئة المخاطر؛
    • مخاطر أخرى، بدرجات متفاوتة من التفاعل مع الأصل؛
    • آثار المظهر، "الاتصال"، "الانفصال"، وما إلى ذلك. المخاطر؛

    ولذلك، فإن أهمية تجميع إحصائيات النظام حول خطر معين هي أيضًا عنصر ضروري في الاختيار الناجح لطريقة محددة للتعامل مع المخاطر، والتي ستضمن تخفيضًا منظمًا لمستوى المخاطر. وفي الوقت نفسه، يجب أن تعكس الإحصائيات "صورة" شاملة وكافية لتطور المخاطر.

    إذا كانت المؤسسة التي يتم فيها تنفيذ إدارة المخاطر كبيرة بما يكفي ومستقرة نسبيًا في تطورها، فهناك احتمال أن يتم رفض الاستجابات السريعة اللازمة للتغييرات. كقاعدة عامة، يحدث هذا بسبب فكرة "القصور الذاتي الزائفة" عن الحماية الكافية من المخاطر "الناشئة ديناميكيًا"، والتي يمكن أن تؤدي أيضًا إلى عواقب وخيمة من المظاهر "القريبة" و "البعيدة" للضرر الذي نشأ.

    وتجدر الإشارة إلى أنه في معظم الحالات

    (وهو أمر يصعب التنبؤ به في معظم الحالات، ولكنه يميل إلى أن يكون أكثر خطورة بسبب عدم اليقين الإضافي)

    في مثل هذه الحالة، تسعى الشركات الصغيرة، التي لا يفسدها مستوى مقبول من الاستقرار، إلى الاستجابة بشكل أكثر دقة ومرونة للمخاطر غير المقبولة بالنسبة لها، وإذا لزم الأمر، تغيير أولويات أنشطتها، وهو أمر مستحيل عمليا بالنسبة للمتوسطين و المنظمات الكبيرة.

    يجب أن تأخذ المواقف الحقيقية، التي تتميز بمجموعة متنوعة من عوامل الخطر، في الاعتبار العوامل الحاسمة لها، وبناء على ذلك، تحديد الطريقة المثلى لإدارة المخاطر.

    الشرط الإضافي الذي يفرض قيودًا على اختيار طريقة إدارة المخاطر هو شخص المدير، الذي يحدد قراره الطريقة التي سيتم اختيارها في النهاية.

    من المهم أن يتمكن صانع القرار من النظر إلى الصورة العملية بشكل شامل واتخاذ القرار الأمثل لظروف معينة.

    الاستنتاجات

    لذا، في المقال التالي، الذي سيكون الجزء الثاني من الموضوع محل البحث، سنبدأ بالنظر بالتفصيل، مع أمثلة عملية محددة، في تصنيف أساليب إدارة المخاطر، مع إخضاع عمليات الصيانة والصيانة إلى “التحلل”. تحسين مجال إدارة المخاطر، وسنحاول أن نغطي بالتفصيل ما هو ضروري لمجموعة الأدوات هذه.

    وعلى هذه المذكرة "المثيرة للاهتمام"، نودعكم اليوم.

    كل التوفيق ونراكم قريبا، أيها الزملاء الأعزاء!

    إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

    سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

    نشر على http://www.allbest.ru/

    المؤسسة التعليمية المهنية لميزانية الدولة في منطقة روستوف "كلية روستوف أون دون للاتصالات والمعلوماتية"

    GBPO RO "RKSI"

    تقرير عن الموضوع:

    "طرق ومنتجات برمجية لتقييم المخاطر Riscis Watch"

    أكملها الطالب: Zheleznichenko Artem

    المجموعة رقم IB-22

    مدرس:

    تيمشينكو ديمتري أناتوليفيتش

    روستوف على نهر الدون

    مقدمة

    اليوم ليس هناك شك في الحاجة إلى الاستثمار في ضمان أمن المعلومات للشركات الكبيرة الحديثة. السؤال الرئيسي للأعمال الحديثة هو كيفية تقييم المستوى الكافي للاستثمار في أمن المعلومات لضمان أقصى قدر من الكفاءة للاستثمارات في هذا المجال. لحل هذه المشكلة، هناك طريقة واحدة فقط - استخدام أنظمة تحليل المخاطر التي تسمح لك بتقييم المخاطر الموجودة في النظام واختيار خيار الحماية الأكثر فعالية (استنادًا إلى نسبة المخاطر الموجودة في النظام إلى التكاليف لأمن المعلومات).

    وفقًا للإحصاءات، فإن أكبر عائق أمام اتخاذ أي إجراءات لأمن المعلومات في الشركة هو سببان: قيود الميزانية ونقص الدعم من الإدارة.

    ينشأ كلا السببين من عدم فهم الإدارة لخطورة المشكلة والصعوبة التي يواجهها مدير تكنولوجيا المعلومات في تبرير سبب ضرورة الاستثمار في أمن المعلومات. في كثير من الأحيان، يميل الكثير من الناس إلى الاعتقاد بأن المشكلة الرئيسية تكمن في أن مديري تكنولوجيا المعلومات والمديرين التنفيذيين يتحدثون لغات مختلفة - تقنية ومالية، ولكن غالبًا ما يكون من الصعب على متخصصي تكنولوجيا المعلومات أنفسهم تقييم ما يجب إنفاق الأموال عليه والمبلغ المطلوب لضمانه مزيد من الأمان لنظام الشركة بحيث لا تكون هذه التكاليف غير ضرورية أو مفرطة.

    إذا كان مدير تكنولوجيا المعلومات يفهم بوضوح مقدار الأموال التي يمكن أن تخسرها الشركة في حالة حدوث التهديدات، وما هي الأماكن في النظام الأكثر عرضة للخطر، وما هي التدابير التي يمكن اتخاذها لزيادة مستوى الأمان دون إنفاق أموال إضافية، ويتم توثيق كل هذا، إذن إن حل المشكلة هو إقناع الإدارة بالاهتمام وتخصيص الأموال لضمان أن يصبح أمن المعلومات أكثر واقعية.

    ولحل هذه المشكلة، تم تطوير أنظمة برمجية لتحليل ومراقبة مخاطر المعلومات. أحد هذه الأنظمة البرمجية هو American RiskWatch (شركة RiskWatch).

    1. خصائص مراقبة المخاطر

    إن طريقة RiskWath، التي تم تطويرها بمشاركة المعهد الوطني الأمريكي للمعايير والتكنولوجيا (U.S. NIST)، ووزارة الدفاع الأمريكية (U.S. DoD)، والوزارة الكندية للدفاع الوطني الكندي في عام 1998، هي في الواقع معيار للمعايير الأمريكية. المنظمات الحكومية ليس فقط في الولايات المتحدة الأمريكية، ولكن أيضًا في جميع أنحاء العالم.

    يعد برنامج RiskWatch، الذي طورته شركة RiskWatch الأمريكية، أداة قوية لتحليل وإدارة المخاطر.

    تقدم شركة RiskWatch بشكل أساسي منتجين: أحدهما في مجال أمن المعلومات _ أمن تكنولوجيا المعلومات، والثاني في مجال الأمن المادي _ الأمن المادي. تم تصميم البرنامج لتحديد وتقييم الموارد المحمية والتهديدات ونقاط الضعف وتدابير الحماية في مجال الكمبيوتر والأمن "المادي" للمؤسسة. علاوة على ذلك، يتم تقديم إصدارات مختلفة من البرنامج لأنواع مختلفة من المؤسسات.

    يأخذ خط المنتجات المصممة لإدارة المخاطر في الأنظمة المختلفة في الاعتبار متطلبات المعايير (الوثائق) التالية: ISO 17799، ISO 27001، COBIT 4.0، NIST 800-53، NIST 800-66، إلخ.

    تشتمل عائلة RiskWatch على منتجات برمجية لإجراء أنواع مختلفة من عمليات التدقيق الأمني. ويتضمن أدوات التدقيق وتحليل المخاطر التالية:

    1. مراقبة المخاطر للأمن المادي - للطرق المادية لحماية الملكية الفكرية؛

    2. مراقبة المخاطر لأنظمة المعلومات - لمخاطر المعلومات؛

    3. HIPAA-WATCH لصناعة الرعاية الصحية - لتقييم الامتثال لمتطلبات معيار HIPAA؛

    4. RiskWatch RW17799 لـ ISO17799 - لتقييم متطلبات معيار ISO17799.

    2. مزايا وعيوب RiskWatch

    من المزايا المهمة لبرنامج RiskWatch من وجهة نظر المستهلك هو بساطته النسبية، والتعقيد المنخفض للترويس وزيادة مرونة الطريقة، التي توفرها القدرة على تقديم فئات وأوصاف وأسئلة جديدة، وما إلى ذلك. واستنادًا إلى هذه الطريقة، يمكن للمطورين المحليين إنشاء ملفات تعريف خاصة بهم تأخذ في الاعتبار متطلبات الأمن المحلي، وتطوير أساليب إدارية لتحليل المخاطر وإدارتها.

    على الرغم من مزاياها، فإن RiskWatch لها أيضًا عيوبها.

    هذه الطريقة مناسبة إذا كنت بحاجة إلى إجراء تحليل المخاطر على مستوى حماية البرامج والأجهزة، دون مراعاة العوامل التنظيمية والإدارية. ولا تستنفد تقييمات المخاطر الناتجة (التوقع الرياضي للخسائر) فهم المخاطر من منظور نظامي - ولا تأخذ الطريقة في الاعتبار النهج المتكامل لأمن المعلومات.

    1. برنامج RiskWatch متاح باللغة الإنجليزية فقط.

    2. تكلفة الترخيص المرتفعة - تبدأ من 15000 دولار أمريكي لكل مقعد لشركة صغيرة ومن 125000 دولار أمريكي لترخيص شركة.

    3. منهجية تحليل المخاطر التي تقوم عليها RiskWatch

    يساعدك RiskWatch على إجراء تحليل للمخاطر واتخاذ خيارات مستنيرة بشأن التدابير الوقائية والعلاجات. تتضمن المنهجية المستخدمة في البرنامج 4 مراحل:

    من الضروري النظر بمزيد من التفصيل في كل مرحلة من مراحل منهجية تحليل المخاطر.

    1. في المرحلة الأولى، يتم وصف المعلمات العامة للمنظمة - نوع المنظمة، وتكوين النظام قيد الدراسة، ومتطلبات الأمان الأساسية. يتم إضفاء الطابع الرسمي على الوصف في عدد من البنود الفرعية، والتي يمكن اختيارها للحصول على وصف أكثر تفصيلاً أو تخطيها.

    2. المرحلة الثانية هي إدخال البيانات التي تصف الخصائص المحددة للنظام. يمكن إدخال البيانات يدويًا أو استيرادها من التقارير التي تم إنشاؤها بواسطة أدوات البحث عن ثغرات الشبكة. في هذه المرحلة، يتم وصف الموارد والخسائر وفئات الحوادث بالتفصيل.

    3. المرحلة الثالثة هي تقييم المخاطر. أولاً، يتم إجراء الاتصالات بين الموارد والخسائر والتهديدات ونقاط الضعف المحددة في الخطوات السابقة. بالنسبة للمخاطر، يتم حساب التوقعات الرياضية لخسائر السنة باستخدام الصيغة:

    حيث p هو تكرار حدوث التهديد خلال العام، وv هي تكلفة المورد المعرض للتهديد.

    4. المرحلة الرابعة هي إعداد التقرير. أنواع التقارير: ملخص؛ تقارير كاملة وموجزة عن العناصر الموصوفة في المرحلتين 1 و2؛ تقرير عن تكلفة الموارد المحمية والخسائر المتوقعة من تنفيذ التهديدات؛ تقرير عن التهديدات والتدابير المضادة؛ تقرير التدقيق الأمني.

    خاتمة

    برامج أمن المعلومات

    RiskWatch هو برنامج تم تطويره من قبل شركة RiskWatch الأمريكية.

    يساعدك RiskWatch على إجراء تحليل للمخاطر واتخاذ خيارات مستنيرة بشأن التدابير الوقائية والعلاجات. على الرغم من ذلك، فإن RiskWatch أيضًا لديه بعض العيوب: هناك تكلفة ترخيص عالية؛ برنامج RiskWatch متاح باللغة الإنجليزية فقط.

    يعتمد منتج RiskWatch على منهجية تحليل المخاطر التي تتكون من أربع مراحل.

    المرحلة الأولى هي تحديد موضوع البحث.

    المرحلة الثانية هي إدخال البيانات التي تصف الخصائص المحددة للنظام.

    المرحلة الثالثة والأكثر أهمية هي التقييم الكمي.

    المرحلة الرابعة هي إعداد التقرير.

    تم النشر على موقع Allbest.ru

    وثائق مماثلة

      طرق تقييم مخاطر المعلومات وخصائصها وخصائصها المميزة وتقييم المزايا والعيوب. تطوير منهجية تقييم المخاطر باستخدام مثال منهجية مايكروسوفت، نموذج تقييم المخاطر لأمن معلومات الشركة.

      أطروحة، أضيفت في 08/02/2012

      جوهر وأساليب تقييم أمن المعلومات. أغراض تنفيذه. طرق تحليل مخاطر تكنولوجيا المعلومات. المؤشرات والخوارزمية لحساب المخاطر المتعلقة بتهديدات أمن المعلومات. حساب مخاطر المعلومات باستخدام مثال خادم الويب الخاص بشركة تجارية.

      تمت إضافة الدورة التدريبية في 25/11/2013

      جوهر المعلومات وتصنيفها. المشاكل الرئيسية لضمان والتهديدات لأمن معلومات المؤسسة. تحليل المخاطر ومبادئ أمن المعلومات في المؤسسة. تطوير مجموعة من التدابير لضمان أمن المعلومات.

      تمت إضافة الدورة التدريبية في 17/05/2016

      تطوير نظام معلومات ذكي للتعلم الذاتي لتحليل الجدارة الائتمانية للمقترض وتقييم مخاطر الائتمان على أساس نهج الحوسبة المناعية. تطبيق إجراءات التجميع والتصنيف وإنشاء تقييمات المخاطر.

      تمت إضافة الدورة التدريبية في 06/09/2012

      منهجية البحث والتحليل لأدوات تدقيق نظام Windows من أجل اكتشاف وصول البرامج غير المصرح به إلى موارد الكمبيوتر. تحليل التهديدات المتعلقة بأمن المعلومات. خوارزمية تشغيل البرنامج.

      أطروحة، أضيفت في 28/06/2011

      البرمجيات والخصائص التقنية لأنظمة معلومات المؤسسة. متطلبات المعلومات وتوافق البرامج. تصميم البرمجيات باستخدام حزم البرامج المتخصصة. تطوير قاعدة البيانات.

      تقرير الممارسة، تمت إضافته بتاريخ 11/04/2019

      تصنيف المخاطر الرئيسية وتحديدها. تخطيط وتقييم مخاطر نظام المعلومات في المنظمة، واتخاذ التدابير اللازمة للقضاء على المخاطر. تحديد نقطة التعادل للمشروع. حساب تكلفة الخسائر واحتمال حدوث المخاطر.

      تمت إضافة العمل المخبري في 20/01/2016

      المفهوم والاختلاف الرئيسي في تطوير البرمجيات الموزعة ومزاياها وعيوبها. الحل المفاهيمي واختيار نوع التطوير. مميزات البرمجيات مفتوحة المصدر. فكرة وتطور المصادر المفتوحة.

      تمت إضافة الدورة التدريبية في 14/12/2012

      أتمتة الأنشطة لتحليل النشاط التجاري للمؤسسة. تنفيذ المنهجية المقترحة على شكل برمجيات والمتطلبات الأساسية لها. هيكل وتكوين مجمع من وحدات البرمجيات، دليل المستخدم.

      تمت إضافة الدورة التدريبية في 28/05/2013

      تحليل مخاطر أمن المعلومات. تقييم وسائل الحماية الحالية والمخططة. مجموعة من التدابير التنظيمية لضمان أمن المعلومات وحماية معلومات المؤسسة. مثال اختباري لتنفيذ المشروع ووصفه.

    عند الحديث عن منتجات البرمجيات التي تسمح لك بتقليل المخاطر، تجدر الإشارة إلى أنه على الرغم من أن المطورين الروس لا يقدمون برامج متخصصة لإدارة المخاطر، إلا أن هناك قائمة كبيرة من الحلول التي تتيح لك استخدام أدوات معينة لإدارة المخاطر. من بين منتجات البرمجيات للمطورين والمصنعين الروس، على سبيل المثال، Project Expert، وحزمة Alt-Invest، وحزمة Voronov&Maksimov MASTER PROJECTS، وInvestor 3.0، وTEO-INVEST، وFOCCAL-UNI، وما إلى ذلك.

    تختلف إمكانيات المنتجات البرمجية المتخصصة بشكل كبير، وتشمل أمثلة هذه الحلول، على سبيل المثال، برامج EGAR Risk Systems، وSAS® Risk Dimensions، وPertmaster، وما إلى ذلك.

    أنظمة المخاطر EGAR هي أنظمة في الوقت الفعلي وخدمات استشارية لتنظيم إدارة المخاطر المالية - السوقية والائتمانية والتشغيلية، مبنية على أساس نهج متكامل ومنهجية حديثة (وفقًا لمتطلبات بازل 2) وتلبية متطلبات البنك المركزي الروسي. يتيح لك الحل دمج عملية إدارة المخاطر في التكنولوجيا الشاملة لإجراء المعاملات في مؤسسة مالية وهو جزء لا يتجزأ من عملية معالجة المعاملات (STP)، مما يضمن أقصى قدر من الكفاءة.

    يتيح لك التكامل مع المعاملات الخارجية وأنظمة الدفع تلقي المعلومات المتعلقة بالوفاء بالالتزامات في الوقت الفعلي وبالتالي تحديد موقف المخاطر بشكل مناسب في أي وقت. توفر أنظمة مخاطر EGAR مجموعة سريعة من البيانات من مصادر مختلفة، وتنفذ مراقبة موحدة للحدود، وتستخدم نماذج تقييم المخاطر الرياضية المناسبة والتقنيات الراسخة لمعالجة المعاملات المباشرة. إن إدخال مثل هذه الأنظمة المعقدة على وجه التحديد في منظمة مالية حديثة يمكن أن يضمن تحقيق الهدف الرئيسي - التحكم الفعال وإدارة المخاطر المالية بجميع مظاهرها.

    حل شركة SAS - إدارة المخاطر SAS هو حل معترف به على نطاق واسع في مجال إدارة المخاطر على مستوى البنك بأكمله. تتمتع إدارة المخاطر في SAS ببيئة إدارة مخاطر مرنة ومفتوحة وقابلة للتوسيع، مما يسمح لها بأن تعكس بشكل كامل المواصفات والمهام الروسية ذات الصلة بالمؤسسات المالية الروسية.

    إدارة المخاطر SAS هي بيئة كاملة وشاملة لتنظيم الوصول إلى البيانات الداخلية والخارجية وتوحيدها؛ للبحث والتحليل وتقييم جميع أنواع المخاطر؛ لتقديم تقارير الجودة بكفاءة. يسمح الهيكل الأساسي للنظام للمستخدم بإدارة مخاطر السوق والائتمان وغيرها من أنواع المخاطر المالية وفقًا لظروفه واحتياجاته المحددة.



    Pertmaster هو برنامج لإدارة المخاطر، وهو منتج برمجي أبسط، وبمساعدته يحصل موظفو الشركة على أداة تحكم إضافية "ماذا لو" تحسب تطور الأحداث في المشروع بالفعل في مرحلة بدء المشروع. على الرغم من تخصصه، فإن Pertmaster لا يتفوق كثيرًا على Project Expert الروسي، الذي يتمتع بنفس الخيار.

    يسمح لك Pertmaster بتحليل إمكانية تحقيق الجدول الزمني للمشروع من حيث الوقت والعمالة والتكاليف، وذلك باستخدام تقديرات واقعية لفناني الأداء، وتقييم المشروع من وجهة نظر المخاطر المحتملة التي تؤثر على مدة العمل وتكاليف العمالة، مع الأخذ في الاعتبار البيئة الخارجية للمشروع الذي يتم تنفيذه في ظل الظروف المناخية الصعبة، وسعر صرف العملات الخاصة بالمشروع الدولي.

    يتيح لك استخدام Pertmaster (الشكل 9.1) الحصول على سيناريو واقعي لتقدم المشروع، ونمذجة تكلفة المشروع من خلال تحديد معدل العائد الداخلي وصافي القيمة الحالية، وموازنة تكاليف المشروع مع جدول الدفع، وإنشاء تقرير عن درجة تأثير العمل على تكلفة المشروع، وأيضا استخدام سجل المخاطر بهدف:

    · تحديد المخاطر.

    · التقييم النوعي والكمي للمخاطر.

    · تعيين المسؤولين عن المخاطر.

    · وضع خطة الاستجابة للمخاطر ومراقبتها ومراقبتها.

    فيما يلي وصف موجز لعدد من تقنيات تحليل المخاطر الشائعة. ويمكن تقسيمها إلى:

    • التقنيات التي تستخدم تقييم المخاطر على المستوى النوعي (على سبيل المثال، على مقياس "مرتفع"، "متوسط"، "منخفض"). وتشمل هذه التقنيات، على وجه الخصوص، FRAP؛
    • الطرق الكمية (يتم تقييم المخاطر من خلال قيمة عددية، على سبيل المثال حجم الخسائر السنوية المتوقعة). تنتمي منهجية RiskWatch إلى هذه الفئة؛
    • الأساليب التي تستخدم التقييمات المختلطة (يُستخدم هذا الأسلوب في أساليب CRAMM وMicrosoft وما إلى ذلك).

    تقنية كرام

    تعد هذه إحدى أولى طرق تحليل المخاطر في مجال أمن المعلومات - وقد بدأ العمل عليها في منتصف الثمانينات. وكالة الكمبيوتر والاتصالات في المملكة المتحدة (CCTA).

    تعتمد طريقة CRAMM على نهج معقدلتقييم المخاطر، والجمع بين الأساليب الكمية والنوعية للتحليل. هذه الطريقة عالمية ومناسبة للمؤسسات الكبيرة والصغيرة، سواء في القطاع الحكومي أو التجاري. تختلف إصدارات برنامج CRAMM التي تستهدف أنواعًا مختلفة من المؤسسات عن بعضها البعض في قواعد المعرفة (ملفات التعريف) الخاصة بها. بالنسبة للمؤسسات التجارية هناك ملف تجاري، وبالنسبة للمؤسسات الحكومية هناك ملف حكومي. تسمح لك النسخة الحكومية من الملف الشخصي أيضًا بمراجعة الامتثال لمتطلبات معيار ITSEC الأمريكي ("الكتاب البرتقالي").

    تتم دراسة نظام أمن المعلومات باستخدام CRAMM على ثلاث مراحل [،،].

    في المرحلة الأولى يتم تحليل كل ما يتعلق بتحديد وتحديد قيمة موارد النظام. يبدأ بحل مشكلة تحديد حدود النظام قيد الدراسة: يتم جمع المعلومات حول تكوين النظام ومن المسؤول عن الموارد المادية والبرمجيات، ومن هو من بين مستخدمي النظام، وكيف يستخدمونه أو سوف استخدامه.

    يتم تحديد الموارد: المادية والبرمجيات والمعلومات الموجودة داخل حدود النظام. يجب تعيين كل مورد إلى إحدى الفئات المحددة مسبقًا. ومن ثم يتم بناء نموذج لنظام المعلومات من منظور أمن المعلومات. لكل عملية معلومات، والتي، وفقًا للمستخدم، لها معنى مستقل وتسمى خدمة المستخدم، يتم إنشاء شجرة اتصالات للموارد المستخدمة. يسمح لنا النموذج المبني بتحديد العناصر المهمة.

    قيمة موارد ماديةفي CRAMM يتم تحديدها من خلال تكلفة ترميمها في حالة التدمير.

    يتم تحديد قيمة البيانات والبرمجيات في الحالات التالية:

    • عدم توفر الموارد لفترة معينة من الزمن؛
    • تدمير الموارد - فقدان المعلومات التي تم الحصول عليها منذ آخر نسخة احتياطية، أو تدميرها بالكامل؛
    • انتهاك السرية في حالات الوصول غير المصرح به من قبل الموظفين أو الأشخاص غير المصرح لهم؛
    • التعديل - يُنظر إليه في حالات الأخطاء البسيطة للموظفين (أخطاء الإدخال)، وأخطاء البرامج، والأخطاء المتعمدة؛
    • الأخطاء المرتبطة بنقل المعلومات: رفض التسليم، عدم تسليم المعلومات، التسليم إلى عنوان خاطئ.
    • الإضرار بسمعة المنظمة؛
    • انتهاك التشريعات الحالية.
    • الأضرار التي لحقت بصحة الموظفين.
    • الأضرار المرتبطة بالكشف عن البيانات الشخصية للأفراد؛
    • الخسائر المالية الناجمة عن الكشف عن المعلومات؛
    • والخسائر المالية المرتبطة باسترداد الموارد؛
    • الخسائر المرتبطة بعدم القدرة على الوفاء بالالتزامات؛
    • عدم تنظيم الأنشطة.

    بالنسبة للبيانات والبرمجيات، يتم اختيار المعايير المطبقة على نظام معلوماتي معين، ويتم تقييم الضرر على مقياس بقيم من 1 إلى 10.

    في أوصاف CRAMM، على سبيل المثال، يتم تقديم مقياس التصنيف التالي لمعيار "الخسائر المالية المرتبطة باسترداد الموارد":

    • نقطتان - أقل من 1000 دولار؛
    • 6 نقاط - من 1000 دولار إلى 10000 دولار؛
    • 8 نقاط - من 10,000 دولار إلى 100,000 دولار؛
    • 10 نقاط - أكثر من 100.000 دولار.

    إذا كانت الدرجة منخفضة لجميع المعايير المستخدمة (3 نقاط وما دون)، يعتبر أن النظام المعني يتطلب مستوى أساسي من الحماية (هذا المستوى لا يتطلب تقييماً مفصلاً لتهديدات أمن المعلومات) والمرحلة الثانية من تم تخطي الدراسة.

    وتتناول المرحلة الثانية كل ما يتعلق بتحديد وتقييم مستويات التهديد لمجموعات الموارد ونقاط الضعف الخاصة بها. وفي نهاية المرحلة، يحصل العميل على مستويات المخاطر المحددة والمقيّمة لنظامه. في هذه المرحلة، يتم تقييم اعتماد خدمات المستخدم على مجموعات معينة من الموارد والمستوى الحالي للتهديدات ونقاط الضعف، ويتم حساب مستويات المخاطر وتحليل النتائج.

    يتم تجميع الموارد حسب أنواع التهديد والضعف. على سبيل المثال، إذا كان هناك تهديد بالحريق أو السرقة، فمن المعقول اعتبار جميع الموارد الموجودة في مكان واحد (غرفة الخادم، غرفة الاتصالات، وما إلى ذلك) كمجموعة من الموارد. ويتم تقييم مستويات التهديدات ونقاط الضعف بناءً على دراسة العوامل غير المباشرة.

    برمجةبالنسبة لكل مجموعة موارد وكل نوع من أنواع التهديدات الـ 36، يقوم CRAMM بإنشاء قائمة من الأسئلة التي يمكن الإجابة عليها بشكل لا لبس فيه. يتم تقييم مستوى التهديد، اعتمادًا على الإجابات، على أنه مرتفع جدًا ومرتفع ومتوسط ​​ومنخفض ومنخفض جدًا. يتم تقييم مستوى الضعف، اعتمادًا على الإجابات، على أنه مرتفع ومتوسط ​​ومنخفض.

    وبناءً على هذه المعلومات، يتم حساب مستويات المخاطر على مقياس منفصل بتدرجات من 1 إلى 7. ويتم تحليل المستويات الناتجة من التهديدات ونقاط الضعف والمخاطر والاتفاق عليها مع العميل.

    يجمع CRAMM بين التهديدات ونقاط الضعف في مصفوفة المخاطر. دعونا نلقي نظرة على كيفية الحصول على هذه المصفوفة وماذا يعني كل مستوى من مستويات المخاطر.

    النهج الأساسي لحل هذه المشكلة هو النظر في:

    • مستوى التهديد (يرد المقياس في الجدول 4.1)؛
    • مستوى الضعف (يرد المقياس في الجدول 4.2)؛
    • حجم الخسائر المالية المتوقعة (مثال في الشكل 4.1).
    الجدول 4.1. مقياس لتقييم مستويات التهديد (تكرار حدوثه).
    وصف معنى
    يقع حادث في المتوسط، لا يزيد عن كل 10 سنوات منخفظ جدا
    وتحدث حادثة في المتوسط ​​مرة واحدة كل 3 سنوات قصير
    وتقع هذه الحادثة في المتوسط ​​مرة واحدة في السنة متوسط
    وتقع حادثة في المتوسط ​​مرة واحدة كل أربعة أشهر عالي
    وتقع هذه الحادثة في المتوسط ​​مرة واحدة في الشهر طويل جدا

    واستنادًا إلى تقديرات تكلفة موارد الملكية الفكرية المحمية، يتم تحديد تقييمات التهديدات ونقاط الضعف، "الخسائر السنوية المتوقعة". في التين. 4.1 يوضح مثالاً لمصفوفة لتقدير الخسائر المتوقعة. فيه يحتوي العمود الثاني على اليسار على قيم تكلفة الموارد، والصف العلوي من عنوان الجدول يحتوي على تقدير لتكرار حدوث التهديد خلال العام (مستوى التهديد)، ويحتوي السطر السفلي من العنوان على تقدير لـ احتمالية نجاح تنفيذ التهديد (مستوى الضعف).


    أرز. 4.1.

    يتم تحويل قيم الخسائر السنوية المتوقعة (الإنجليزية السنوية الخسارة المتوقعة) في CRAMM إلى نقاط تشير إلى مستوى المخاطرة، وفقًا للمقياس الموضح في الشكل. 4.2 (في هذا المثال يتم تحديد مبلغ الخسائر بالجنيه الاسترليني).


    أرز. 4.2.

    وفقا للمصفوفة أدناه، يتم استخلاص تقييم المخاطر (الشكل 4.3)


    أرز. 4.3.

    المرحلة الثالثة من البحث هي إيجاد التدابير المضادة المناسبة. في الأساس، هذا هو البحث عن خيار نظام الأمان الذي يناسب متطلبات العميل.

    في هذه المرحلة، يقوم CRAMM بإنشاء العديد من الخيارات للإجراءات المضادة المناسبة للمخاطر المحددة ومستوياتها. ويمكن تجميع التدابير المضادة في ثلاث فئات: حوالي 300 توصية عامة؛ أكثر من 1000 توصية محددة؛ حوالي 900 مثال لكيفية تنظيم الحماية في هذه الحالة.

    وبالتالي، يعد CRAMM مثالاً لمنهجية الحساب التي يتم فيها تقديم التقييمات الأولية على المستوى النوعي، ثم يتم الانتقال إلى التقييم الكمي (بالنقاط).

    تقنية فراب

    تم تطوير منهجية عملية تحليل المخاطر الميسرة (FRAP) التي تقدمها شركة Peltier and Associates (موقع الإنترنت http://www.peltierassociates.com/) بواسطة Thomas R. Peltier وتم نشرها في (أجزاء من هذا الكتاب متاحة على الموقع الإلكتروني، الوصف أدناه يعتمد عليها). في المنهجية، يُقترح النظر في توفير خدمات المعلومات ضمن إطار عملية إدارة المخاطر. إدارة المخاطرفي مجال أمن المعلومات، وهي عملية تتيح للشركات إيجاد التوازن بين إنفاق المال والجهد على التدابير الأمنية والتأثير الناتج عنها.

    إدارة المخاطريجب أن يبدأ بتقييم المخاطر: ستشكل نتائج التقييم الموثقة بشكل صحيح الأساس صناعة القرارفي مجال تحسين أمن النظام.

    بعد الانتهاء من التقييم، يتم إجراء تحليل التكلفة/الفائدة، مما يسمح لنا بتحديد التدابير الوقائية اللازمة لتقليل المخاطر إلى مستوى مقبول.

    وفيما يلي الخطوات الرئيسية في تقييم المخاطر. تكرر هذه القائمة إلى حد كبير قائمة مشابهة من طرق أخرى، لكن FRAP يكشف بمزيد من التفصيل كيفية الحصول على بيانات حول النظام ونقاط ضعفه.

    1. يتم تحديد الأصول المحمية باستخدام الاستبيانات ودراسة وثائق النظام واستخدام أدوات تحليل (مسح) الشبكة الآلية.
    2. تحديد التهديد. عند تجميع قائمة التهديدات، يمكن استخدام أساليب مختلفة:
      • قوائم التهديدات (قوائم المراجعة) المعدة مسبقًا من قبل الخبراء، والتي يتم من خلالها اختيار التهديدات ذات الصلة بنظام معين؛
      • تحليل إحصائيات الحوادث في هذه الحالة وما شابهها - يتم تقييم تكرار حدوثها؛ بالنسبة لعدد من التهديدات، على سبيل المثال، التهديد بالحريق، يمكن الحصول على هذه الإحصائيات من المنظمات الحكومية ذات الصلة؛
      • "العصف الذهني" الذي يقوم به موظفو الشركة.
    3. عند اكتمال قائمة التهديدات، تتم مقارنة كل منها مع احتمالية حدوثها. ومن ثم يتم تقييم الضرر الذي يمكن أن يحدث نتيجة لهذا التهديد. وبناء على القيم التي تم الحصول عليها، يتم تقييم مستوى التهديد.

      عند إجراء التحليل، يفترض عادة أن النظام في المرحلة الأولية يفتقر إلى الوسائل والآليات الأمنية. وبهذه الطريقة، يتم تقييم مستوى المخاطرة على المعلومات غير المحمية، مما يجعل من الممكن لاحقًا إظهار تأثير إدخال أدوات أمن المعلومات (داعش).
      أرز. 4.4.مصفوفة المخاطر FRAP

    4. بمجرد تحديد التهديدات وتقييم المخاطر، يجب تحديد التدابير المضادة للقضاء على المخاطر أو تقليلها إلى مستوى مقبول. وفي هذه الحالة، يجب أن تؤخذ في الاعتبار القيود القانونية التي تجعل من المستحيل أو على العكس من ذلك، فرض استخدام وسائل وآليات معينة للحماية. ولتحديد التأثير المتوقع، من الممكن تقييم نفس المخاطر، ولكن بشرط تنفيذ نظام حماية المعلومات المقترح. إذا لم يتم تقليل المخاطر بشكل كافٍ، فقد تكون هناك حاجة لاستخدام جهاز حماية آخر. إلى جانب تحديد وسائل الحماية، من الضروري تحديد التكاليف التي سيتطلبها الحصول عليها وتنفيذها (يمكن أن تكون التكاليف مباشرة وغير مباشرة - انظر أدناه). بالإضافة إلى ذلك، من الضروري تقييم ما إذا كانت هذه الأداة نفسها آمنة وما إذا كانت تخلق نقاط ضعف جديدة في النظام.

      لاستخدام وسائل حماية فعالة من حيث التكلفة، من الضروري تحليل العلاقة بين التكاليف والتأثير الناتج. في هذه الحالة، من الضروري تقييم ليس فقط تكلفة شراء الحل، ولكن أيضًا تكلفة الحفاظ على تشغيله. قد تشمل التكاليف ما يلي:

      • تكلفة تنفيذ المشروع، بما في ذلك البرامج والأجهزة الإضافية؛
      • انخفاض كفاءة أداء النظام لمهامه الرئيسية؛
      • وتنفيذ سياسات وإجراءات إضافية لصيانة المنشأة؛
      • تكاليف توظيف موظفين إضافيين أو إعادة تدريب الموظفين الحاليين.
    5. توثيق. عند الانتهاء من تقييم المخاطر، ينبغي توثيق نتائجه بالتفصيل في شكل موحد. ويمكن استخدام التقرير الناتج لتحديد السياسات والإجراءات والميزانيات الأمنية وما إلى ذلك.