###
  • اینترنت
  • برنامه ها
  • بازی ها
  • چالش ها و مسائل
  • پنجره ها
  • رسانه های اجتماعی
  • اندروید
  • iOS

    • نرم افزار تحلیل و مدیریت ریسک روش ها و ابزارهای نوین برای تجزیه و تحلیل و کنترل ریسک های سیستم های اطلاعاتی شرکت ها

    21.11.2023 برنامه ها و خدمات

    CRAMM، RiskWatch و GRIF

    ارتباط وظیفه تضمین امنیت اطلاعات برای تجارت

    امروزه هیچ شکی در مورد نیاز به سرمایه گذاری برای تضمین امنیت اطلاعات کسب و کارهای بزرگ مدرن وجود ندارد. سوال اصلی تجارت مدرن این است که چگونه می توان سطح کافی سرمایه گذاری در امنیت اطلاعات را ارزیابی کرد تا از حداکثر کارایی سرمایه گذاری در این زمینه اطمینان حاصل شود. برای حل این مشکل، تنها یک راه وجود دارد - استفاده از سیستم های تجزیه و تحلیل ریسک که به شما امکان می دهد خطرات موجود در سیستم را ارزیابی کنید و موثرترین گزینه حفاظتی را انتخاب کنید (بر اساس نسبت خطرات موجود در سیستم به هزینه ها). امنیت اطلاعات).

    برای تأیید ارتباط وظیفه تضمین امنیت کسب و کار، از گزارش FBI برای سال 2003 استفاده خواهیم کرد. داده ها بر اساس نظرسنجی از 530 شرکت آمریکایی (تجارت های متوسط ​​و بزرگ) جمع آوری شده است.

    آمار حوادث امنیت فناوری اطلاعات بی امان است. طبق گزارش FBI، در سال 2003، 56٪ از شرکت های مورد بررسی مورد حمله قرار گرفتند:

    تلفات ناشی از انواع مختلف تأثیرات اطلاعاتی در نمودار زیر نشان داده شده است:

    توجیه لزوم سرمایه گذاری در امنیت اطلاعات شرکت

    طبق آمار، بزرگترین مانع برای انجام هرگونه اقدامی برای تضمین امنیت اطلاعات در یک شرکت دو دلیل است:

    1. محدودیت بودجه؛
    2. عدم حمایت مدیریت

    هر دو دلیل ناشی از عدم درک مدیریت از جدیت موضوع و دشواری مدیر فناوری اطلاعات در توجیه این موضوع است که چرا سرمایه گذاری در امنیت اطلاعات ضروری است. اغلب، بسیاری از مردم تمایل دارند فکر کنند که مشکل اصلی این است که مدیران و مدیران فناوری اطلاعات به زبان‌های مختلف - فنی و مالی صحبت می‌کنند، اما خود متخصصان فناوری اطلاعات اغلب ارزیابی این موضوع را دشوار می‌کنند که کجا پول خرج کنند و چه مقدار پول برای اطمینان از بیشتر مورد نیاز است. سیستم های امنیتی شرکت ها به گونه ای که این هزینه ها غیر ضروری یا بیش از حد نباشد.

    اگر مدیر فناوری اطلاعات به وضوح بفهمد که در صورت تحقق تهدیدات، شرکت چه مقدار پول می تواند از دست بدهد، چه مکان هایی در سیستم آسیب پذیرتر هستند، چه اقداماتی می توان برای افزایش سطح امنیت بدون صرف هزینه اضافی انجام داد، و همه اینها مستند باشد، پس راه حل مشکل متقاعد کردن مدیریت به توجه و تخصیص بودجه برای اطمینان از واقعی تر شدن امنیت اطلاعات است.

    برای حل این مشکل، بسته های نرم افزاری برای تجزیه و تحلیل و کنترل ریسک های اطلاعاتی توسعه یافتند: CRAMM بریتانیا (شرکت مشاور Insight)، American RiskWatch (شرکت) و GRIF روسیه (شرکت). اجازه دهید این روش ها و سیستم های نرم افزاری ساخته شده بر اساس آنها را بیشتر در نظر بگیریم.

    CRAMM

    این روش (روش تجزیه و تحلیل و مدیریت ریسک دولت بریتانیا) توسط سرویس امنیتی بریتانیا به نمایندگی از دولت بریتانیا توسعه داده شد و به عنوان یک استاندارد دولتی پذیرفته شد. از سال 1985 توسط سازمان های دولتی و تجاری در انگلستان استفاده می شود. در حال حاضر، CRAMM در سراسر جهان محبوبیت پیدا کرده است. Insight Consulting Limited در توسعه و نگهداری یک محصول نرم افزاری به همین نام که روش CRAMM را پیاده سازی می کند، مشغول است.

    ما روش CRAMM را برای بررسی دقیق تر انتخاب کردیم و این تصادفی نیست. در حال حاضر، CRAMM یک ابزار نسبتاً قدرتمند و جهانی است که علاوه بر تجزیه و تحلیل ریسک، امکان حل تعدادی از وظایف حسابرسی دیگر از جمله:

    • انجام یک بررسی IP و صدور اسناد همراه در تمام مراحل اجرای آن.
    • انجام ممیزی مطابق با الزامات دولت بریتانیا و همچنین استاندارد BS 7799:1995 - آیین نامه عملکرد مدیریت امنیت اطلاعات BS7799؛
    • توسعه سیاست امنیتی و طرح تداوم کسب و کار.

    CRAMM که روش های تحلیل کمی و کیفی را ترکیب می کند، بر اساس یک رویکرد یکپارچه برای ارزیابی ریسک است. این روش جهانی است و برای سازمان‌های بزرگ و کوچک، هم برای بخش‌های دولتی و هم برای بخش‌های تجاری مناسب است. نسخه‌های نرم‌افزار CRAMM که انواع مختلف سازمان‌ها را هدف قرار می‌دهند، از نظر پایگاه‌های دانش (پروفایل) با یکدیگر متفاوت هستند. برای سازمان های تجاری یک نمایه تجاری (نمایه تجاری) و برای سازمان های دولتی - یک نمایه دولتی (نمایه دولتی) وجود دارد. نسخه دولتی نمایه همچنین به شما امکان ممیزی برای مطابقت با الزامات استاندارد ITSEC آمریکایی ("کتاب نارنجی") را می دهد.

    استفاده صحیح از روش CRAMM به شما این امکان را می دهد که به نتایج بسیار خوبی دست یابید که شاید مهمترین آنها توانایی توجیه اقتصادی هزینه های سازمان برای اطمینان از امنیت اطلاعات و تداوم کسب و کار باشد. یک استراتژی مدیریت ریسک از نظر اقتصادی مناسب در نهایت به شما این امکان را می دهد که با اجتناب از هزینه های غیر ضروری در پول خود صرفه جویی کنید.

    CRAMM شامل تقسیم کل فرآیند به سه مرحله متوالی است. وظیفه مرحله اول پاسخ به این سوال است: "آیا حفاظت از سیستم با استفاده از ابزارهای سطح پایه که عملکردهای امنیتی سنتی را اجرا می کنند کافی است یا تجزیه و تحلیل دقیق تری لازم است؟" در مرحله دوم، خطرات شناسایی شده و بزرگی آنها ارزیابی می شود. در مرحله سوم، موضوع انتخاب اقدامات متقابل کافی حل می شود.

    روش CRAMM برای هر مرحله مجموعه ای از داده های اولیه، توالی فعالیت ها، پرسشنامه هایی برای انجام مصاحبه ها، چک لیست ها و مجموعه ای از اسناد گزارش را تعیین می کند.

    اگر با توجه به نتایج مرحله اول، مشخص شده است که سطح بحرانی بودن منابع بسیار پایین است و خطرات موجود مطمئناً از سطح اولیه خاصی تجاوز نمی کند ، سپس حداقل مجموعه ای از الزامات امنیتی به سیستم تحمیل می شود. در این مورد، بیشتر فعالیت‌های مرحله دوم انجام نمی‌شود، اما انتقال به مرحله سوم انجام می‌شود، که فهرست استانداردی از اقدامات متقابل را برای اطمینان از انطباق با یک مجموعه اساسی از الزامات امنیتی ایجاد می‌کند.

    بر مرحله دومتهدیدات و آسیب پذیری های امنیتی مورد تجزیه و تحلیل قرار می گیرند. حسابرس داده های اولیه را برای ارزیابی تهدیدها و آسیب پذیری ها از نمایندگان مجاز سازمان طی مصاحبه های مناسب دریافت می کند. برای انجام مصاحبه از پرسشنامه های تخصصی استفاده می شود.

    بر مرحله سوممشکل مدیریت ریسک حل شده است که شامل انتخاب اقدامات متقابل کافی است. تصمیم برای معرفی مکانیسم‌های امنیتی جدید به سیستم و اصلاح مکانیسم‌های قدیمی توسط مدیریت سازمان و با در نظر گرفتن هزینه‌های مرتبط، مقبولیت آنها و سود نهایی برای کسب‌وکار اتخاذ می‌شود. وظیفه حسابرس توجیه اقدامات متقابل توصیه شده برای مدیریت سازمان است.

    اگر تصمیمی برای معرفی اقدامات متقابل جدید و اصلاح اقدامات قبلی گرفته شود، ممکن است حسابرس موظف شود برنامه ای برای اجرای اقدامات متقابل جدید تهیه کند و اثربخشی استفاده از آنها را ارزیابی کند. حل این مشکلات خارج از محدوده روش CRAMM است.

    نمودار مفهومی انجام یک نظرسنجی با استفاده از روش CRAMM در نمودار نشان داده شده است:

    به معایب روش CRAMMموارد زیر را می توان نسبت داد:

    • استفاده از روش CRAMM مستلزم آموزش خاص و حسابرسان مجرب است.
    • CRAMM برای ممیزی سیستم های اطلاعاتی موجود در مرحله عملیاتی بسیار مناسب تر از سیستم های اطلاعاتی در حال توسعه است.
    • حسابرسی با استفاده از روش CRAMM یک فرآیند نسبتاً کار فشرده است و ممکن است به ماه ها کار مداوم توسط حسابرس نیاز داشته باشد.
    • ابزار نرم افزار CRAMM مقدار زیادی اسناد کاغذی تولید می کند که همیشه در عمل مفید نیست.
    • CRAMM به شما اجازه نمی دهد که الگوهای گزارش خود را ایجاد کنید یا الگوهای موجود را تغییر دهید.
    • امکان افزودن به پایگاه دانش CRAMM در دسترس کاربران نیست، که باعث ایجاد مشکلات خاصی در تطبیق این روش با نیازهای یک سازمان خاص می شود.
    • نرم افزار CRAMM فقط به زبان انگلیسی موجود است.
    • هزینه لایسنس بالا

    RiskWatch

    نرم افزار RiskWatchکه توسط یک شرکت آمریکایی توسعه یافته است، یک ابزار قدرتمند تجزیه و تحلیل ریسک و مدیریت است. خانواده RiskWatch شامل محصولات نرم افزاری برای انجام انواع ممیزی های امنیتی است. این شامل ابزارهای حسابرسی و تجزیه و تحلیل ریسک زیر است:

    • RiskWatch برای امنیت فیزیکی - برای روش های فیزیکی حفاظت از IP.
    • RiskWatch برای سیستم های اطلاعاتی - برای خطرات اطلاعاتی.
    • HIPAA-WATCH برای صنعت مراقبت های بهداشتی - برای ارزیابی انطباق با استاندارد HIPAA.
    • RiskWatch RW17799 برای ISO17799 - برای ارزیابی الزامات استاندارد ISO17799.

    روش RiskWatch از انتظار زیان سالانه (ALE) و بازده سرمایه گذاری (ROI) به عنوان معیارهای ارزیابی و مدیریت ریسک استفاده می کند. خانواده محصولات نرم افزاری RiskWatch دارای مزایای زیادی هستند.

    RiskWatch به شما کمک می کند تا تجزیه و تحلیل خطر را انجام دهید و در مورد اقدامات حفاظتی و راه حل ها انتخاب کنید. متدولوژی مورد استفاده در برنامه شامل 4 مرحله است:

    فاز اول- تعریف موضوع تحقیق. در این مرحله، پارامترهای کلی سازمان توصیف می شود - نوع سازمان، ترکیب سیستم مورد مطالعه، الزامات امنیتی اساسی. توضیحات در تعدادی زیرمجموعه رسمیت یافته است که می توان آنها را برای توضیح دقیق تر انتخاب کرد یا از آنها صرفنظر کرد.

    در زیر هر یک از موارد انتخاب شده به تفصیل توضیح داده شده است. برای تسهیل کار تحلیلگر، الگوها فهرستی از دسته بندی منابع محافظت شده، تلفات، تهدیدها، آسیب پذیری ها و اقدامات حفاظتی را ارائه می دهند. از بین این موارد، باید مواردی را انتخاب کنید که واقعاً در سازمان حضور دارند.

    فاز دوم- ورودی داده هایی که ویژگی های خاص سیستم را توصیف می کند. داده ها را می توان به صورت دستی وارد کرد یا از گزارش های تولید شده توسط ابزارهای تحقیقاتی آسیب پذیری شبکه وارد کرد. این مرحله به جزئیات منابع، تلفات و کلاس های حادثه می پردازد.

    طبقات حادثه با نگاشت دسته ضرر به دسته منابع به دست می آیند. برای شناسایی آسیب‌پذیری‌های احتمالی، از پرسشنامه‌ای استفاده می‌شود که پایگاه داده آن حاوی بیش از 600 سؤال مربوط به دسته‌های منابع است. تصحیح سؤالات، حذف یا اضافه کردن سؤالات جدید مجاز است. فراوانی وقوع هر یک از تهدیدات شناسایی شده، میزان آسیب پذیری و ارزش منابع مشخص شده است. همه اینها بعداً برای محاسبه اثربخشی اجرای تجهیزات حفاظتی استفاده می شود.

    فاز سوم- ارزیابی ریسک ابتدا ارتباط بین منابع، تلفات، تهدیدها و آسیب پذیری های شناسایی شده در مراحل قبلی ایجاد می شود. برای ریسک ها، انتظارات ریاضی زیان برای سال با استفاده از فرمول محاسبه می شود:
    m=p * v، که در آن p فراوانی وقوع تهدید در طول سال است، v هزینه منبعی است که در معرض تهدید قرار گرفته است.

    به عنوان مثال، اگر هزینه یک سرور 150000 دلار باشد و احتمال اینکه ظرف یک سال توسط آتش سوزی از بین برود 0.01 باشد، ضرر مورد انتظار 1500 دلار خواهد بود به ما اجازه می دهد تا موقعیت های مشابهی را که مشمول ابزارهای حفاظتی پیاده سازی می شوند، توصیف کنیم. با مقایسه خسارات مورد انتظار با و بدون اجرای اقدامات حفاظتی، می توان تاثیر چنین اقداماتی را ارزیابی کرد.

    فاز چهارم- تولید گزارش انواع گزارش: خلاصه; گزارش های کامل و مختصر از عناصر شرح داده شده در مراحل 1 و 2. گزارش هزینه منابع حفاظت شده و خسارات مورد انتظار ناشی از اجرای تهدیدات؛ گزارش تهدیدها و اقدامات متقابل؛ گزارش ممیزی امنیتی

    معایب RiskWatchرا می توان نسبت داد:

    • این روش در صورت نیاز به انجام تحلیل ریسک در سطح حفاظتی نرم افزاری و سخت افزاری بدون در نظر گرفتن عوامل سازمانی و اداری مناسب است. ارزیابی ریسک حاصل (انتظار ریاضی زیان) درک ریسک را از منظر سیستمی تمام نمی کند - این روش یک رویکرد یکپارچه برای امنیت اطلاعات را در نظر نمی گیرد.
    • نرم افزار RiskWatch فقط به زبان انگلیسی موجود است.
    • هزینه بالای مجوز از 15000 دلار برای هر صندلی برای یک شرکت کوچک و از 125000 دلار برای مجوز شرکت است.

    GRIF

    برای انجام تجزیه و تحلیل کامل ریسک های اطلاعاتی، ابتدا لازم است مدل کاملی از سیستم اطلاعاتی از نظر امنیت اطلاعات ساخته شود. برای حل این مشکل، بر خلاف سیستم های تحلیل ریسک غربی موجود در بازار، که کاملاً دست و پا گیر هستند و اغلب نیازی به استفاده مستقل توسط مدیران فناوری اطلاعات و مدیران سیستمی که مسئولیت تضمین امنیت سیستم های اطلاعاتی شرکت را دارند، ندارند، دارای یک رابط کاربری ساده و شهودی برای کاربر. با این حال، در پشت سادگی خارجی، یک الگوریتم تجزیه و تحلیل ریسک پیچیده نهفته است که بیش از صد پارامتر را در نظر می گیرد، که به خروجی اجازه می دهد تا ارزیابی دقیقی از خطرات موجود در سیستم اطلاعاتی را بر اساس تجزیه و تحلیل ویژگی های عملی ارائه دهد. پیاده سازی سیستم اطلاعاتی

    هدف اصلی سیستم GRIF این است که یک مدیر فناوری اطلاعات را قادر سازد تا به طور مستقل (بدون دخالت متخصصان شخص ثالث) سطح خطرات موجود در سیستم اطلاعاتی و اثربخشی شیوه های موجود را برای اطمینان از امنیت شرکت ارزیابی کند و همچنین ارائه دهد. فرصتی برای متقاعد کردن (به تعداد) مدیریت شرکت در مورد نیاز به سرمایه گذاری در امنیت اطلاعات منطقه خود.

    در مرحله اولبا استفاده از روش GRIF، یک مدیر فناوری اطلاعات برای تعیین فهرست کاملی از منابع اطلاعاتی که برای شرکت ارزشمند هستند، بررسی می‌شود.

    در مرحله دومیک مدیر فناوری اطلاعات برای وارد کردن انواع اطلاعاتی که برای شرکت ارزشمند است به سیستم GRIF نظرسنجی می شود. گروه های وارد شده از اطلاعات ارزشمند باید توسط کاربر بر روی اشیاء ذخیره سازی اطلاعات مشخص شده در مرحله قبل (سرورها، ایستگاه های کاری و غیره) قرار گیرد. مرحله نهایی نشان دهنده آسیب برای هر گروه از اطلاعات ارزشمند است که بر روی منابع مناسب، برای انواع تهدیدات قرار دارد.

    در مرحله سومهمه انواع گروه های کاربری مشخص می شوند که تعداد کاربران هر گروه را نشان می دهد. سپس ثبت می شود که هر گروه کاربری به کدام گروه از اطلاعات منابع دسترسی دارد. در نهایت، انواع (محلی و/یا راه دور) و حقوق (خواندن، نوشتن، حذف) دسترسی کاربر به تمام منابع حاوی اطلاعات ارزشمند تعیین می شود.

    در مرحله چهارمیک مدیر فناوری اطلاعات برای تعیین ابزار حفاظت از اطلاعات ارزشمند در مورد منابع مورد بررسی قرار می گیرد. علاوه بر این، سیستم اطلاعات مربوط به هزینه های یکبار مصرف برای دستیابی به کلیه ابزارهای امنیتی اطلاعات قابل اجرا و هزینه های سالانه پشتیبانی فنی آنها و همچنین هزینه های سالانه نگهداری سیستم امنیت اطلاعات شرکت را وارد می کند.

    در مرحله پایانیلازم است به سؤالاتی در مورد سیاست امنیتی اجرا شده در سیستم پاسخ داده شود، که به فرد امکان می دهد سطح واقعی امنیت سیستم را ارزیابی کرده و ارزیابی های دقیق ریسک را انجام دهد.

    وجود ابزارهای امنیت اطلاعات که در مرحله اول ذکر شد، به خودی خود سیستم را در صورت استفاده ناکافی از آنها و فقدان یک خط مشی امنیتی جامع که تمام جنبه های حفاظت از اطلاعات، از جمله مسائل امنیتی را در نظر می گیرد، ایمن نمی کند. سازمان، امنیت فیزیکی، ایمنی پرسنل، تداوم کسب و کار و غیره.

    در نتیجه انجام کلیه اقدامات در این مراحل، خروجی یک مدل کامل از سیستم اطلاعاتی از نظر امنیت اطلاعات با در نظر گرفتن اجرای واقعی الزامات یک سیاست جامع امنیتی خواهد بود که به ما امکان می دهد. حرکت به سمت تجزیه و تحلیل نرم افزاری داده های وارد شده برای به دست آوردن یک ارزیابی جامع ریسک و ایجاد گزارش نهایی.

    گزارش تفصیلی سیستمبا ارائه تصویری از خسارت احتمالی حوادث، آماده ارائه به مدیریت شرکت می باشد:

    معایب GRIFرا می توان نسبت داد:

    • عدم اتصال به فرآیندهای تجاری (برنامه ریزی برای نسخه بعدی).
    • عدم توانایی مقایسه گزارش ها در مراحل مختلف اجرای مجموعه ای از اقدامات امنیتی (برنامه ریزی شده برای نسخه بعدی).
    • عدم امکان افزودن الزامات خط مشی امنیتی خاص شرکت.
    هنگام نوشتن مقاله از ادبیات زیر استفاده شده است:
    1. فن آوری های مدرن برای تجزیه و تحلیل ریسک در سیستم های اطلاعاتی (PCWEEK N37 "2001)، سرگئی سیمونوف
    2. مواد از Jet Infosystems
    3. مواد از شرکت "دیجیتال امنیت"

    ما یک رویکرد سیستماتیک به فرآیند مدیریت ریسک را توصیف و مطالعه کرده‌ایم. پیچیدگی بررسی این موضوع به این دلیل است که ما تصمیم گرفته ایم برای ایجاد یک سیستم تجزیه و تحلیل و مدیریت ریسک با کیفیت بالا، در نظر گرفتن فعالیت های فردی این حوزه منطقی نیست. تنها در صورتی که تمام مراحل مدیریت ریسک به طور کامل اعمال شود، می توان در مورد سیستمی صحبت کرد که بتواند دستیابی به اهداف خود را تضمین کند.

    برنامه پیچیده‌ای که قصد داریم امروز بحث کنیم، بر اساس مصنوعات (فرایندها و اشیاء) است که قبلاً توضیح دادیم.

    در مرکز آن قرار دارند:

    • رویه های برنامه ریزی فعالیت های جامع مدیریت ریسک؛
    • روش ها و ابزارهای مدیریت ریسک که به گونه ای به هم پیوسته اند که در طول اجرای برنامه مورد نظر یکدیگر را تکمیل و «غنی کنند».

    بنابراین، امروز ما یک "غوطه ور شدن" اضافی در فعالیت های تجزیه و تحلیل و مدیریت ریسک داریم، پس بیایید نفس خود را حبس کنیم...

    معرفی

    تا به امروز فعالیت های شناسایی، ارزیابی، تحلیل انواع ریسک ها (کیفی و کمی)، سازماندهی و به صورت مقدماتی مدیریت ریسک را شرح داده ایم. ما ارتباط و ضرورت سازماندهی تجزیه و تحلیل ریسک و فرآیندهای مدیریت را در یک برنامه جامع واحد که قادر به پوشش و هماهنگی بخش‌های مجزا در یک مجموعه اداری و نرم‌افزاری واحد در مطالب قبلی است، تشریح و تأیید کردیم.

    امروز ما به بخش رشته مدیریت ریسک نگاه خواهیم کرد - "برنامه جامع مدیریت ریسک" که مشکلات افزایش کارایی رویه های سازمان یافته از قبل، معرفی روش ها و تکنیک های جدید، نوآورانه و در عین حال موثر، کاهش آشکار و واضح را حل می کند. زیان های احتمالی و به حداکثر رساندن اثر فعالیت های اصلی شرکت.

    در اینجا شایان ذکر است که برنامه جامع مدیریت ریسک یکی از گزینه های فرآیند مدیریت ریسک است. اجرای این برنامه جامع را می توان جایگزینی برای معرفی مدیریت ریسک دانست. هر یک از مراحل تجزیه و تحلیل ریسک و فرآیند مدیریت که قبلاً مورد بحث قرار گرفتیم نشان دهنده مراحل کامل فرآیندهای اجرای مدیریت ریسک است و می تواند هنگام برنامه ریزی این فعالیت در یک سازمان خاص، مشروط به انطباق با شرایط خاص شرکت، مورد استفاده قرار گیرد.

    به عقیده بسیاری از کارشناسان، اهداف برنامه های مدیریت ریسک باید دستیابی به نتایج زیر باشد:

    • استفاده بهینه از سرمایه موجود؛
    • کسب حداکثر درآمد؛
    • افزایش پایداری توسعه شرکت؛
    • کاهش احتمال از دست دادن بخشی یا تمام ارزش یک محصول یا خدمات به دست آمده از فرآیندهای حوزه فناوری اطلاعات یک سازمان خاص.

    بنابراین، یک برنامه جامع مدیریت ریسک نه تنها باید به عنوان یک فرآیند فناوری اطلاعات در نظر گرفته شود، بلکه به معنای غالب این فعالیت، به عنوان یک مؤلفه تجاری از موضوع مدیریت ریسک، که سازماندهی صحیح آن نتیجه نهایی و موقعیت بیشتر سازمان در بازار بستگی دارد.

    برنامه مدیریت ریسک

    یک برنامه جامع مدیریت ریسک مدرن و موفق باید مشکلات مربوط به نیازهای فعلی شرکت در زمینه مدیریت ریسک را که تصمیم به پیاده سازی فرآیندهای تجزیه و تحلیل ریسک و مدیریت دارد را در نظر گرفته و حل کند.

    سازمان هایی که مدیریت ریسک را اعمال می کنند معمولاً وظایف زیر را برای این حوزه تعیین می کنند:

    • عملیات موفقیت آمیز تحت شرایط قرار گرفتن در معرض خطر؛
    • محافظت در برابر عوامل منفی و ریسکی که در اجرای استراتژی و تاکتیک های شرکت تداخل دارند.
    • تصمیم گیری آگاهانه مدیریت، با در نظر گرفتن اطلاعات موجود در مورد خطرات آشکار و بالقوه؛
    • حفظ و توسعه ابزارها و فناوری های اطلاعاتی موجود؛
    • کاهش حساسیت شرکت نسبت به ریسک ها و افزایش پایداری حوزه فناوری اطلاعات در محیط پرخطر.

    یک برنامه جامع مدیریت ریسک باید یک ساختار واحد برای کار با ریسک ها ایجاد کند، که ممکن است در گزینه های اجرایی برای مراحل جداگانه متفاوت باشد، اما در عین حال توالی (با توجه به دوره، در قالب دنباله ای از ارائه مواد ارائه می شود. و نتایج (اسناد) هر مرحله باید دقیقاً با آنچه در دوره خود ارائه کرده ایم مطابقت داشته باشد:

    • جمع آوری اطلاعات و الزامات ریسک:
      • فهرستی از دلایل واضح و بالقوه که ممکن است منجر به خطر شود.
    • شناسایی خطر:
      • ثبت ریسک؛
    • ارزیابی اولیه ریسک:
      • ثبت ریسک اولویت بندی شده
      • استراتژی مدیریت ریسک؛
    • تحلیل ریسک کیفی:
      • سند حاوی اطلاعات با کیفیت بالا در مورد خطرات و راه های حل آنها (تاکتیک)؛
      • اطلاعات ریسک که می تواند در فعالیت های تحلیل کمی استفاده شود.
      • دانش/پایه داده در مورد خطرات شناسایی شده قبلی با توضیحات آنها؛
    • تحلیل کمی ریسک:
      • سند حاوی اطلاعات کمی در مورد خطرات و راه های حل آنها (تاکتیک)؛
      • اطلاعات آماری که می تواند برای محاسبه بیشتر خطرات و برنامه ریزی راه های حل آنها استفاده شود.
    • سیستم تحلیل ریسک:
      • رویه‌ها و مقرراتی تدوین شده که باید اسناد دریافتی قبلی را جمع‌آوری و استفاده کند تا به شاخص‌های عملکرد مدیریت ریسک دست یابد.
    • برنامه جامع مدیریت ریسک:
      • یک سند حاوی اطلاعات در مورد یک برنامه جامع مدیریت ریسک؛
      • طرح رویه های مدیریت ریسک؛
    • فعالیت های بیشتر:
      • طرح پایش ریسک؛
      • برنامه ریزی برای بهبود تجزیه و تحلیل ریسک و فعالیت های مدیریتی؛

    در عین حال، هر یک از اسناد توصیف شده باید در زمان انجام فعالیت های مدیریت ریسک در یک شرکت خاص، به موقع به روز شده و در آینده نظارت شود. با هدف ایجاد یک برنامه جامع مدیریت ریسک موثر و اجرای صحیح وظایفی که این هدف را در بر می گیرد، کنترل ریسک ها در تمامی سطوح سازمانی هر سازمانی امکان پذیر خواهد بود.

    مدیران ریسک باید بتوانند وضعیت اطراف را ارزیابی کرده و در توسعه و اجرای اسناد، رویه‌ها، مقررات لازم شرح داده شده در بالا، که باید بر اساس اصول زیر از حوزه تحلیل ریسک و فرآیندهای مدیریتی که قبلاً بیان کردیم، کمک کنند:

    • رویکرد فرآیندی یکپارچه برای تجزیه و تحلیل ریسک و فرآیندهای مدیریت؛
    • با در نظر گرفتن مهم ترین خطرات:
      • ایجاد یک ثبت ریسک به روز رسانی ثبت در طول فعالیت های تجزیه و تحلیل ریسک و فرآیندهای مدیریت.
    • شناسایی خطر؛
    • تعیین "مالک" ریسک؛
    • استفاده از ساختار نقش برای فرآیند مدیریت ریسک؛
    • استفاده از روش‌ها/گروه‌هایی از روش‌ها برای مدیریت ریسک‌های خاص؛
    • تعیین سطوح ریسک قابل قبول:
      • کنترل وضعیت خطرات؛

    کمی قبل از آن، هنگامی که در مورد اطمینان از فعالیت های مدیریت ریسک صحبت می کردیم، به موضوع پشتیبانی مستندات برای این حوزه کاری پرداختیم، اما آن را با جزئیات بیشتر فاش نکردیم. در قسمتی که به توسعه رویه های مدیریت ریسک اختصاص دارد، به این نکته توجه ویژه ای خواهیم داشت.

    در اینجا می خواهم بگویم که مستندسازی و اجرای آن یک "نقطه عطف" بسیار مهم در توسعه یک برنامه جامع است که نادیده گرفتن آن می تواند منجر به این واقعیت شود که برنامه توسعه یافته یک "رویداد یکباره" خواهد بود. چنین پیاده سازی "خطرات" باقی مانده در "سرهای" خاص است. این برنامه پیچیده با خروج گروهی از متخصصان کلیدی "تمام" خواهد شد، که رویکرد سیستماتیک به دامنه در حال توسعه را زیر سوال می برد و ناکارآمدی آن را با چنین پیاده سازی نشان می دهد.

    باید گفت که یک برنامه جامع مدیریت ریسک باید شامل فرآیندها، رویه ها، فعالیت ها و غیره باشد. نتایج مراحل تکی شامل یک فعالیت «بیش از حد» معین باید به گونه ای با یکدیگر هماهنگ شوند که ارتباطات بین فعالیت های فردی به وضوح قابل مشاهده باشد. نتیجه نهایی حوزه ریسک و فعالیت‌های سازمان به‌عنوان یک کل بستگی به این دارد که چگونه با موفقیت، متفکرانه، همراه با اهداف کلی مدیریت ریسک، ادغام بخش‌های منفرد در کل کلی سازماندهی شود.

    توسعه رویه های مدیریت ریسک. قوانین کسب و کار

    رویه‌هایی که فرآیند مدیریت ریسک را تشکیل می‌دهند، مسیرهای راه‌حل «الگو» هستند که هدف آن ارائه گزینه‌هایی برای راه‌حل‌های خاص برای انتخاب در یک موقعیت خاص است که توصیه می‌شود برای استفاده در یک موقعیت ریسک با موارد خاص (مشخص و پارامترهای ناشناخته

    انتخاب به نفع یک مورد استفاده خاص به میزانی بستگی دارد که یک روش توسعه یافته خاص برای مدیریت یک گروه خطر/خطر معین با نیازهای یک محیط خاص (پارامترهای خارجی و داخلی وضعیت) مطابقت دارد. فرآیندهایی که در آن خطر ممکن است خود را نشان دهد و برای یک مورد خاص موثر باشد.

    هنگام توسعه رویه‌ها، توصیه می‌شود با اصولی که زیربنای فعالیت‌های شرکت هستند هدایت شوند. چنین اصولی معمولاً قوانین تجاری نامیده می شوند. بسیاری از آنها در فرآیند "آگاهی" از آن فرضیه هایی که "اهرم های" محرک تجارت هستند، شکل می گیرند. آنها همیشه واضح نیستند (معمولاً به این دلیل که در "سر" تعداد محدودی از سهامداران قرار دارند)، اما همراه با شروع فعالیت تجاری شروع به وجود می کنند. ثبات توسعه یک حوزه خاص از کسب و کار که در آن اعمال می شوند بستگی به میزان رعایت آنها دارد.

    این قوانین تجاری و پویایی تغییرات آنها است که روند توسعه سیستم های اطلاعاتی را تعیین می کند و آنها هستند که بر ثبات شرکت و در این مورد جزء ریسک آن تأثیر می گذارند.

    بر این اساس، از موارد فوق، بهتر است نتیجه گیری شود که قوانین تجارت یکی از مؤلفه هایی است که میزان «ریسک» موجود برای مدیریت و مطالعه را تعیین می کند.

    اما، در جامعه تجاری مدرن، قوانین کسب و کار اغلب نادیده گرفته می شوند و با سناریوهای توسعه خاص "جایگزین" می شوند، که پایه و اساس توسعه رویه های مدیریت ریسک را تشکیل می دهند. در اینجا شایان ذکر است که سناریوهای استفاده گزینه های خاصی برای اجرای ریسک هستند و "قوانین کسب و کار" اصول جهانی / "شبه جهانی" هستند که سناریوهای استفاده را تعیین می کنند، بنابراین بسیار مهم است که در هنگام توسعه در نظر گرفته شود رویه های مدیریت ریسک، این قوانین تجاری است که باید استفاده شود. در این مورد، می توانیم در مورد محافظت نسبتاً قابل اعتماد کسب و کار در برابر خطرات صحبت کنیم.

    ترکیب رویه‌های مدیریت ریسک توسعه‌یافته توسط عوامل زیادی تعیین می‌شود، اما بر اساس ۲ مؤلفه اصلی است که رویه‌های مدیریت و تجزیه و تحلیل مدیریت ریسک را تعیین می‌کند:

    • وضعیت "خطرناک" فعلی سازمان؛
    • نیاز/های ذینفع

    این نیازهای ذینفعان است که تعیین می کند که چگونه، با چه نوع حمایتی «اسنادی» و سایر انواع حمایت ها، یک رویه خاص باید توسعه یابد. در برخی موارد، توسعه رویه ها ممکن است شامل فعالیت های زیر باشد:

    • توسعه پیشنهادات در مورد حوزه ریسک برای استراتژی/سیاست سازمانی؛
    • مستندسازی رویه های اساسی مدیریت ریسک؛
    • توسعه روشی برای ارزیابی انواع ریسک ها و ریسک کل؛
    • و غیره.

    رویه‌های مدیریت ریسک به‌طور بهینه توسعه‌یافته و اعمال‌شده، آسیب‌های احتمالی را کاهش می‌دهد (یا به طور کلی از بین می‌برد) و به تثبیت و توسعه شرکت کمک می‌کند.

    یک بار دیگر، مجموعه‌ای از اسناد نظارتی و روش‌شناختی را فهرست می‌کنیم که باید رویه‌های مدیریت ریسک را با چارچوب ابزاری و قانونی لازم ارائه دهند:

    • سیاست مدیریت ریسک
    • مقررات مدیریت ریسک
    • رویه مدیریت ریسک
    • دستورالعمل هایی برای توصیف و ارزیابی ریسک ها
    • رهنمودهایی برای ارزیابی تأثیر ریسک ها بر برنامه کاری
    • دستورالعمل برای تشکیل شاخص های ریسک
    • کتابچه راهنمای رویه مدیریت ریسک
    • راهنمای ریسک های معمولی

    در نتیجه، باید گفت که هیچ رویه مدیریت ریسک وجود ندارد که بتوان به گونه ای توسعه داد که ادعای جهانی بودن و کاربرد همه جانبه داشته باشد. هر رویه باید ویژگی های یک موقعیت خاص و ریسک های خاصی را که برای مدیریت با استفاده از روش های مدیریت ریسک برنامه ریزی شده است، در نظر بگیرد.

    روش های مدیریت ریسک

    در مقاله قبلی به طور مختصر به بررسی انواع روش های مدیریت ریسک پرداختیم و آنها را در چهار دسته زیر دسته بندی کردیم:

    • روش های اجتناب از ریسک؛
    • روش های محلی سازی ریسک؛
    • روش های متنوع سازی ریسک؛
    • روش های جبران ریسک

    هر یک از روش های توصیف شده راه حل های خاص، تخصصی و مؤثری را برای موقعیت های "خطرناک" ارائه می دهد که به روشی خاص طبقه بندی شده اند (به مقالاتی در مورد روش های کمی و کیفی تجزیه و تحلیل ریسک مراجعه کنید) از مجموعه کلی عواملی که ممکن است متعاقباً باعث آسیب شوند.

    "هنر" پردازش اطلاعات اولیه، که از آن می توانید "دانه های" ضروری داده های مفید را جدا کنید، به مقاله در مورد رویکرد سیستماتیک به فرآیند مدیریت ریسک، اما نیاز به در نظر گرفتن بهینه عوامل حیاتی برای طبقه بندی ریسک مراجعه کنید. فاکتورها شرط موفقیت استفاده از یک یا آن روش مدیریت ریسک و بر این اساس، اثربخشی سیستم مدیریت ریسک به عنوان یک کل است.

    همانطور که قبلاً توجیه شد، با در نظر گرفتن تغییرپذیری مؤلفه «ریسک» و مهاجرت احتمالی یک گروه ریسک/ریسک، که پیش‌بینی جهت آن بسیار دشوار خواهد بود، به تعداد زیادی متغیر بستگی دارد:

    • "داخلی" در رابطه با محیط ریسک؛
    • "خارجی" در رابطه با محیط خطر؛
    • سایر خطرات، درجات مختلف تعامل با نسخه اصلی؛
    • آثار تجلی، «اتصال»، «قطع» و غیره. خطرات؛

    بنابراین، اهمیت انباشت آمار سیستم در مورد یک ریسک خاص نیز جزء ضروری انتخاب موفق یک روش خاص برای کار با ریسک است که کاهش سیستماتیک سطح ریسک را تضمین می کند. در عین حال، آمار باید "تصویر" جامع و کافی از توسعه ریسک را منعکس کند.

    اگر شرکتی که مدیریت ریسک در آن انجام می شود به اندازه کافی بزرگ باشد و در توسعه آن نسبتاً پایدار باشد، این احتمال وجود دارد که پاسخ های سریع لازم به تغییرات رد شود. به عنوان یک قاعده، این به دلیل یک ایده "اینرسی نادرست" از محافظت کافی در برابر خطرات "به صورت پویا" رخ می دهد، که می تواند منجر به عواقب تهدید آمیز از مظاهر "نزدیک" و "دور" آسیب ناشی شود.

    لازم به ذکر است که در اکثر موارد

    (که در بیشتر موارد پیش‌بینی آن سخت‌تر است، اما به دلیل عدم قطعیت‌های اضافی خطرناک‌تر است)

    در چنین شرایطی، کسب‌وکارهای کوچک که در سطح قابل قبولی از ثبات خراب نمی‌شوند، تلاش می‌کنند تا به ریسک‌هایی که برایشان غیرقابل قبول است، با دقت و انعطاف بیشتری پاسخ دهند و در صورت لزوم اولویت‌های فعالیت‌های خود را تغییر دهند، که عملاً برای رسانه‌ها غیرممکن است. سازمان های بزرگ

    موقعیت‌های واقعی که با عوامل خطر گوناگون مشخص می‌شوند، باید عوامل حیاتی برای آن‌ها را در نظر بگیرند و بسته به آن، روش بهینه مدیریت ریسک را انتخاب کنند.

    یک شرط اضافی که محدودیتی را در انتخاب روش مدیریت ریسک ایجاد می کند، شخص مدیر است که تصمیم او تعیین می کند که در نهایت کدام روش انتخاب شود.

    مهم این است که این تصمیم گیرنده بتواند به طور کامل به تصویر کار نگاه کند و برای شرایط خاص تصمیم بهینه بگیرد.

    نتیجه گیری

    بنابراین، در مقاله بعدی، که قسمت دوم موضوع مورد بررسی خواهد بود، با بررسی دقیق، با مثال‌های کاربردی خاص، به طبقه‌بندی روش‌های مدیریت ریسک، در معرض «تجزیه» فرآیندهای حفظ و نگهداری و حوزه مدیریت ریسک را بهبود می بخشد و سعی می کند آنچه را که برای این مجموعه ابزار ضروری است به تفصیل پوشش دهد.

    در این یادداشت «جذاب‌کننده»، امروز با شما خداحافظی می‌کنیم.

    با آرزوی بهترین ها و به زودی شما همکاران عزیز!

    ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

    دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

    نوشته شده در http://www.allbest.ru/

    موسسه آموزشی حرفه ای بودجه دولتی منطقه روستوف "کالج ارتباطات و انفورماتیک روستوف روی دون"

    GBPOU RO "RKSI"

    گزارش در مورد موضوع:

    "روش ها و محصولات نرم افزاری برای ارزیابی ریسک Riscis Watch"

    تکمیل شده توسط دانش آموز: Zheleznichenko Artem

    گروه شماره IB-22

    معلم:

    تیمچنکو دیمیتری آناتولیویچ

    روستوف-آن-دون

    معرفی

    امروزه هیچ شکی در مورد نیاز به سرمایه گذاری برای تضمین امنیت اطلاعات کسب و کارهای بزرگ مدرن وجود ندارد. سوال اصلی تجارت مدرن این است که چگونه می توان سطح کافی سرمایه گذاری در امنیت اطلاعات را ارزیابی کرد تا از حداکثر کارایی سرمایه گذاری در این زمینه اطمینان حاصل شود. برای حل این مشکل، تنها یک راه وجود دارد - استفاده از سیستم های تجزیه و تحلیل ریسک که به شما امکان می دهد خطرات موجود در سیستم را ارزیابی کنید و موثرترین گزینه حفاظتی را انتخاب کنید (بر اساس نسبت خطرات موجود در سیستم به هزینه ها). امنیت اطلاعات).

    طبق آمار، بزرگترین مانع برای اتخاذ هرگونه تدابیر امنیتی اطلاعات در یک شرکت دو دلیل است: محدودیت بودجه و عدم حمایت مدیریت.

    هر دو دلیل ناشی از عدم درک مدیریت از جدیت موضوع و دشواری مدیر فناوری اطلاعات در توجیه این موضوع است که چرا سرمایه گذاری در امنیت اطلاعات ضروری است. اغلب، بسیاری از مردم تمایل دارند فکر کنند که مشکل اصلی این است که مدیران و مدیران فناوری اطلاعات به زبان‌های مختلف - فنی و مالی صحبت می‌کنند، اما اغلب برای خود متخصصان فناوری اطلاعات دشوار است که ارزیابی کنند برای چه چیزی باید پول خرج کنند و چقدر برای اطمینان لازم است. امنیت بیشتر سیستم شرکت به گونه ای که این هزینه ها غیر ضروری و بیش از حد نباشد.

    اگر مدیر فناوری اطلاعات به وضوح بفهمد که در صورت تحقق تهدیدات، شرکت چه مقدار پول می تواند از دست بدهد، چه مکان هایی در سیستم آسیب پذیرتر هستند، چه اقداماتی می توان برای افزایش سطح امنیت بدون صرف هزینه اضافی انجام داد، و همه اینها مستند باشد، پس راه حل مشکل متقاعد کردن مدیریت به توجه و تخصیص بودجه برای اطمینان از واقعی تر شدن امنیت اطلاعات است.

    برای حل این مشکل، سیستم های نرم افزاری برای تجزیه و تحلیل و کنترل ریسک های اطلاعاتی توسعه داده شد. یکی از این سیستم های نرم افزاری RiskWatch آمریکایی (شرکت RiskWatch) است.

    1. ویژگی های RiskWatch

    روش RiskWath که با مشارکت مؤسسه ملی استاندارد و فناوری ایالات متحده (U.S. NIST)، وزارت دفاع ایالات متحده (U.S. DoD) و وزارت دفاع ملی کانادا در سال 1998 توسعه یافت، در واقع یک استاندارد برای آمریکایی ها است. سازمان های دولتی نه تنها در ایالات متحده، بلکه در سراسر جهان.

    نرم افزار RiskWatch که توسط شرکت آمریکایی RiskWatch توسعه یافته است، یک ابزار قدرتمند تجزیه و تحلیل و مدیریت ریسک است.

    شرکت RiskWatch اساساً دو محصول ارائه می دهد: یکی در زمینه امنیت اطلاعات _ امنیت فناوری اطلاعات، دومی در زمینه امنیت فیزیکی _ امنیت فیزیکی. این نرم افزار برای شناسایی و ارزیابی منابع محافظت شده، تهدیدات، آسیب پذیری ها و اقدامات حفاظتی در زمینه کامپیوتر و امنیت "فیزیکی" یک شرکت طراحی شده است. علاوه بر این، نسخه های مختلفی از نرم افزار برای انواع مختلف سازمان ها ارائه شده است.

    خط محصولات طراحی شده برای مدیریت ریسک در سیستم های مختلف، الزامات استانداردهای زیر را در نظر می گیرد (اسناد): ISO 17799، ISO 27001، COBIT 4.0، NIST 800-53، NIST 800-66 و غیره.

    خانواده RiskWatch شامل محصولات نرم افزاری برای انجام انواع ممیزی های امنیتی است. این شامل ابزارهای حسابرسی و تجزیه و تحلیل ریسک زیر است:

    1. RiskWatch برای امنیت فیزیکی - برای روش های فیزیکی حفاظت از IP.

    2. RiskWatch برای سیستم های اطلاعاتی - برای خطرات اطلاعاتی.

    3. HIPAA-WATCH برای صنعت مراقبت های بهداشتی - برای ارزیابی انطباق با الزامات استاندارد HIPAA.

    4. RiskWatch RW17799 برای ISO17799 - برای ارزیابی الزامات استاندارد ISO17799.

    2. مزایا و معایب RiskWatch

    مزیت قابل توجه RiskWatch از دیدگاه مصرف کننده، سادگی نسبی، پیچیدگی کم روسی سازی و انعطاف پذیری بیشتر روش است که با قابلیت معرفی دسته ها، توضیحات، سوالات و غیره جدید ارائه می شود. بر اساس این روش، توسعه دهندگان داخلی می توانند پروفایل های خود را ایجاد کنند که الزامات امنیتی داخلی را در نظر می گیرد و روش های دپارتمان را برای تجزیه و تحلیل و مدیریت ریسک ها توسعه می دهد.

    RiskWatch با وجود مزایایی که دارد، معایبی نیز دارد.

    این روش در صورت نیاز به انجام تحلیل ریسک در سطح حفاظتی نرم افزاری و سخت افزاری بدون در نظر گرفتن عوامل سازمانی و اداری مناسب است. ارزیابی ریسک حاصل (انتظار ریاضی زیان) درک ریسک را از منظر سیستمی تمام نمی کند - این روش یک رویکرد یکپارچه برای امنیت اطلاعات را در نظر نمی گیرد.

    1. نرم افزار RiskWatch فقط به زبان انگلیسی موجود است.

    2. هزینه مجوز بالا - از 15000 دلار برای هر صندلی برای یک شرکت کوچک و از 125000 دلار برای مجوز شرکت.

    3. روش تجزیه و تحلیل ریسک که زیربنای RiskWatch است

    RiskWatch به شما کمک می کند تا تجزیه و تحلیل خطر را انجام دهید و در مورد اقدامات حفاظتی و راه حل ها انتخاب کنید. متدولوژی مورد استفاده در برنامه شامل 4 مرحله است:

    لازم است هر یک از مراحل روش تجزیه و تحلیل ریسک را با جزئیات بیشتری در نظر بگیرید.

    1. در مرحله اول، پارامترهای کلی سازمان توصیف می شود - نوع سازمان، ترکیب سیستم مورد مطالعه، الزامات امنیتی اساسی. توضیحات در تعدادی زیرمجموعه رسمیت یافته است که می توان آنها را برای توضیح دقیق تر انتخاب کرد یا از آنها صرفنظر کرد.

    2. مرحله دوم وارد کردن داده هایی است که ویژگی های خاص سیستم را توصیف می کند. داده ها را می توان به صورت دستی وارد کرد یا از گزارش های تولید شده توسط ابزارهای تحقیقاتی آسیب پذیری شبکه وارد کرد. این مرحله به جزئیات منابع، تلفات و کلاس های حادثه می پردازد.

    3. مرحله سوم ارزیابی ریسک است. ابتدا ارتباط بین منابع، تلفات، تهدیدها و آسیب پذیری های شناسایی شده در مراحل قبلی ایجاد می شود. برای ریسک ها، انتظارات ریاضی زیان برای سال با استفاده از فرمول محاسبه می شود:

    جایی که p فراوانی وقوع تهدید در طول سال است، v هزینه منبعی است که در معرض تهدید قرار می گیرد.

    4. مرحله چهارم تولید گزارش است. انواع گزارش: خلاصه; گزارش های کامل و مختصر از عناصر شرح داده شده در مراحل 1 و 2. گزارش هزینه منابع حفاظت شده و خسارات مورد انتظار ناشی از اجرای تهدیدات؛ گزارش تهدیدها و اقدامات متقابل؛ گزارش ممیزی امنیتی

    نتیجه

    نرم افزار امنیت اطلاعات

    RiskWatch نرم افزاری است که توسط شرکت آمریکایی RiskWatch توسعه یافته است.

    RiskWatch به شما کمک می کند تا تجزیه و تحلیل خطر را انجام دهید و در مورد اقدامات حفاظتی و راه حل ها انتخاب کنید. با وجود این، RiskWatch همچنین دارای معایبی است: هزینه مجوز بالایی دارد. نرم افزار RiskWatch فقط به زبان انگلیسی موجود است.

    محصول RiskWatch مبتنی بر روش تجزیه و تحلیل ریسک است که از چهار مرحله تشکیل شده است.

    مرحله اول تعیین موضوع تحقیق است.

    مرحله دوم ورودی داده هایی است که ویژگی های خاص سیستم را توصیف می کند.

    مرحله سوم و مهمترین مرحله ارزیابی کمی است.

    مرحله چهارم تولید گزارش است.

    ارسال شده در Allbest.ru

    اسناد مشابه

      روش های ارزیابی ریسک های اطلاعاتی، ویژگی ها و ویژگی های متمایز آنها، ارزیابی مزایا و معایب. توسعه یک روش ارزیابی ریسک بر اساس مثال روش مایکروسافت، یک مدل ارزیابی ریسک برای امنیت اطلاعات شرکت.

      پایان نامه، اضافه شده در 08/02/2012

      ماهیت و روش های ارزیابی امنیت اطلاعات. اهداف اجرای آن. روش های تحلیل ریسک های فناوری اطلاعات شاخص ها و الگوریتم محاسبه ریسک تهدیدات امنیت اطلاعات محاسبه ریسک های اطلاعاتی با استفاده از مثال سرور وب یک شرکت تجاری.

      کار دوره، اضافه شده در 2013/11/25

      ماهیت اطلاعات، طبقه بندی آن. مشکلات اصلی تضمین و تهدید امنیت اطلاعات سازمانی. تجزیه و تحلیل ریسک و اصول امنیت اطلاعات سازمانی توسعه مجموعه ای از اقدامات برای تضمین امنیت اطلاعات.

      کار دوره، اضافه شده در 2016/05/17

      توسعه یک سیستم اطلاعاتی هوشمند خودآموز برای تجزیه و تحلیل اعتبار وام گیرنده و ارزیابی ریسک های اعتباری بر اساس رویکرد محاسبات ایمنی. بکارگیری روشهای خوشه بندی، طبقه بندی و تولید ارزیابی ریسک.

      کار دوره، اضافه شده در 06/09/2012

      روش تحقیق و تجزیه و تحلیل ابزارهای ممیزی سیستم ویندوز به منظور شناسایی دسترسی غیرمجاز نرم افزار به منابع کامپیوتری. تحلیل تهدید امنیت اطلاعات الگوریتم عملکرد نرم افزار.

      پایان نامه، اضافه شده در 2011/06/28

      نرم افزار و مشخصات فنی سیستم های اطلاعات سازمانی. الزامات برای سازگاری اطلاعات و نرم افزار. طراحی نرم افزار با استفاده از بسته های نرم افزاری تخصصی. توسعه پایگاه داده

      گزارش تمرین، اضافه شده در 04/11/2019

      طبقه بندی ریسک های اصلی، شناسایی آنها. برنامه ریزی و ارزیابی ریسک های یک سیستم اطلاعاتی در یک سازمان، اتخاذ تدابیری برای حذف ریسک ها. تعیین نقطه سربه سر پروژه. محاسبه هزینه زیان و احتمال وقوع ریسک.

      کارهای آزمایشگاهی، اضافه شده در 2016/01/20

      مفهوم و تفاوت کلیدی توسعه نرم افزار توزیع شده، مزایا و معایب آن. راه حل مفهومی و انتخاب نوع توسعه. ویژگی های نرم افزار متن باز ایده و توسعه منبع باز.

      کار دوره، اضافه شده در 12/14/2012

      اتوماسیون فعالیت ها برای تجزیه و تحلیل فعالیت های تجاری یک شرکت. پیاده سازی روش پیشنهادی در قالب نرم افزار، الزامات اساسی برای آن. ساختار و ترکیب مجموعه ای از ماژول های نرم افزار، راهنمای کاربر.

      کار دوره، اضافه شده در 2013/05/28

      تجزیه و تحلیل ریسک امنیت اطلاعات ارزیابی ابزارهای حفاظتی موجود و برنامه ریزی شده. مجموعه ای از اقدامات سازمانی برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات سازمانی. نمونه تست اجرای پروژه و شرح آن.

    در مورد محصولات نرم افزاری که به شما امکان می دهد خطرات را به حداقل برسانید، باید توجه داشت که علیرغم این واقعیت که توسعه دهندگان روسی نرم افزار تخصصی برای مدیریت ریسک ارائه نمی دهند، لیست قابل توجهی از راه حل ها وجود دارد که به شما امکان می دهد از ابزارهای مدیریت ریسک خاصی استفاده کنید. از جمله محصولات نرم افزاری توسعه دهندگان و سازندگان روسی، به عنوان مثال Project Expert، بسته Alt-Invest، بسته Voronov&Maksimov MASTER PROJECTS، Investor 3.0، TEO-INVEST، FOCCAL-UNI و غیره هستند.

    قابلیت های محصولات نرم افزاری تخصصی بسیار متفاوت است و نمونه هایی از این راه حل ها شامل برنامه های EGAR Risk Systems، SAS® Risk Dimensions، Pertmaster و غیره است.

    سیستم‌های ریسک EGAR سیستم‌های بلادرنگ و خدمات مشاوره برای سازماندهی مدیریت ریسک‌های مالی - بازار، اعتبار و عملیاتی هستند که بر اساس یک رویکرد یکپارچه، روش‌شناسی مدرن (مطابق با الزامات بازل II) و برآورده کردن الزامات بانک مرکزی روسیه. این راه حل به شما امکان می دهد فرآیند مدیریت ریسک را در فناوری کلی انجام معاملات در یک سازمان مالی ادغام کنید و بخشی جدایی ناپذیر از فرآیند پردازش تراکنش (STP) است که حداکثر کارایی آن را تضمین می کند.

    ادغام با سیستم های تراکنش و پرداخت خارجی به شما امکان می دهد اطلاعات مربوط به انجام تعهدات را در زمان واقعی دریافت کنید و بنابراین موقعیت ریسک را در هر زمان به اندازه کافی شناسایی کنید. سیستم‌های ریسک EGAR جمع‌آوری سریع داده‌ها را از منابع مختلف فراهم می‌کنند، کنترل تلفیقی محدودیت‌ها را انجام می‌دهند، از مدل‌های ارزیابی ریسک ریاضی کافی و فناوری‌های تثبیت‌شده برای پردازش مستقیم معاملات استفاده می‌کنند. معرفی دقیقاً چنین سیستم های پیچیده ای در یک سازمان مالی مدرن می تواند دستیابی به هدف اصلی - کنترل و مدیریت مؤثر ریسک های مالی در تمام جلوه های آنها را تضمین کند.

    راه حل شرکت SAS - مدیریت ریسک SAS یک راه حل شناخته شده در زمینه مدیریت ریسک در سطح کل بانک است. SAS Risk Management دارای یک محیط مدیریت ریسک انعطاف پذیر، باز و قابل توسعه است که به آن اجازه می دهد تا به طور کامل مشخصات و وظایف روسیه مربوط به موسسات مالی روسیه را منعکس کند.

    مدیریت ریسک SAS یک محیط کامل و جامع برای سازماندهی دسترسی و ادغام داده های داخلی و خارجی است. برای تحقیق، تجزیه و تحلیل و ارزیابی انواع خطرات؛ برای ارائه موثر گزارش های با کیفیت ساختار بنیادی سیستم به کاربر این امکان را می دهد که بازار، اعتبار و سایر انواع ریسک های مالی را مطابق با شرایط و نیازهای خاص خود مدیریت کند.



    Pertmaster یک مدیریت ریسک است، یک محصول نرم‌افزاری ساده‌تر، که با کمک آن کارکنان شرکت ابزار کنترلی اضافی «چه می‌شود» را دریافت می‌کنند که توسعه رویدادهای پروژه را در مرحله شروع پروژه محاسبه می‌کند. Pertmaster علیرغم تخصصی بودنش چندان برتر از روسی Project Expert نیست که همین گزینه را دارد.

    Pertmaster به شما این امکان را می دهد که دستیابی به برنامه پروژه را از نظر زمان، نیروی کار و هزینه ها تجزیه و تحلیل کنید، با استفاده از برآوردهای واقع بینانه از مجریان، پروژه را از نقطه نظر خطرات احتمالی مؤثر بر طول مدت کار و هزینه های کار ارزیابی کنید، با در نظر گرفتن محیط خارجی پروژه در حال اجرا در شرایط سخت اقلیمی و نرخ ارز یک پروژه بین المللی.

    استفاده از Pertmaster (شکل 9.1) به شما امکان می دهد تا یک سناریوی واقع بینانه برای پیشرفت پروژه به دست آورید، هزینه پروژه را با تعیین نرخ بازده داخلی و خالص ارزش فعلی مدل کنید، هزینه های پروژه را با زمان بندی پرداخت متعادل کنید، و گزارشی را تهیه کنید. میزان تأثیر کار بر هزینه پروژه و همچنین استفاده از ثبت ریسک با هدف:

    · شناسایی خطرات؛

    · ارزیابی کمی و کیفی ریسک.

    انتصاب کسانی که مسئول خطرات هستند.

    · تدوین طرح واکنش به ریسک و نظارت و کنترل آن.

    در زیر شرح مختصری از تعدادی از تکنیک های رایج تجزیه و تحلیل ریسک آورده شده است. آنها را می توان به موارد زیر تقسیم کرد:

    • تکنیک هایی که از ارزیابی ریسک در سطح کیفی استفاده می کنند (به عنوان مثال، در مقیاس "بالا"، "متوسط"، "کم"). چنین تکنیک هایی به ویژه شامل FRAP است.
    • روش های کمی (ریسک از طریق یک مقدار عددی ارزیابی می شود، به عنوان مثال اندازه زیان سالانه مورد انتظار). متدولوژی RiskWatch متعلق به این کلاس است.
    • روش ها با استفاده از ارزیابی های ترکیبی (این رویکرد در روش های CRAMM، مایکروسافت و غیره استفاده می شود).

    تکنیک CRAMM

    این یکی از اولین روش های تجزیه و تحلیل ریسک در زمینه امنیت اطلاعات است - کار بر روی آن در اواسط دهه 80 آغاز شد. آژانس کامپیوتر و ارتباطات بریتانیا (CCTA).

    روش CRAMM بر اساس یک رویکرد پیچیدهبرای ارزیابی ریسک، ترکیب روش های کمی و کیفی تجزیه و تحلیل. این روش جهانی است و برای سازمان‌های بزرگ و کوچک، هم برای بخش‌های دولتی و هم برای بخش‌های تجاری مناسب است. نسخه‌های نرم‌افزار CRAMM که انواع مختلف سازمان‌ها را هدف قرار می‌دهند، از نظر پایگاه‌های دانش (پروفایل) با یکدیگر متفاوت هستند. برای سازمان های تجاری یک نمایه تجاری، برای سازمان های دولتی یک نمایه دولتی وجود دارد. نسخه دولتی نمایه همچنین به شما امکان ممیزی برای مطابقت با الزامات استاندارد ITSEC آمریکایی ("کتاب نارنجی") را می دهد.

    مطالعه یک سیستم امنیت اطلاعات با استفاده از CRAMM در سه مرحله [،،] انجام می شود.

    در مرحله اول، همه چیز مربوط به شناسایی و تعیین ارزش منابع سیستم تجزیه و تحلیل می شود. با حل مشکل تعیین مرزهای سیستم مورد مطالعه شروع می شود: اطلاعاتی در مورد پیکربندی سیستم جمع آوری می شود و چه کسی مسئول منابع فیزیکی و نرم افزاری است، چه کسی در بین کاربران سیستم است، چگونه از آن استفاده می کند یا از آن استفاده خواهد کرد.

    شناسایی منابع انجام می شود: فیزیکی، نرم افزاری و اطلاعات موجود در محدوده سیستم. هر منبع باید به یکی از کلاس های از پیش تعریف شده اختصاص داده شود. سپس مدلی از سیستم اطلاعاتی از منظر امنیت اطلاعات ساخته می شود. برای هر فرآیند اطلاعاتی که به گفته کاربر معنای مستقلی دارد و سرویس کاربر نامیده می شود، درختی از اتصالات منابع مورد استفاده ساخته می شود. مدل ساخته شده به ما اجازه می دهد تا عناصر حیاتی را شناسایی کنیم.

    ارزش منابع فیزیکیدر CRAMM با هزینه بازسازی آنها در صورت تخریب تعیین می شود.

    ارزش داده ها و نرم افزارها در شرایط زیر تعیین می شود:

    • در دسترس نبودن یک منبع برای مدت معینی؛
    • تخریب منابع - از دست دادن اطلاعات به دست آمده از آخرین نسخه پشتیبان یا از بین رفتن کامل آن.
    • نقض محرمانه بودن در موارد دسترسی غیرمجاز توسط کارکنان یا افراد غیرمجاز؛
    • اصلاح - برای موارد خطاهای جزئی پرسنل (خطاهای ورودی)، خطاهای نرم افزاری، خطاهای عمدی در نظر گرفته شده است.
    • خطاهای مرتبط با انتقال اطلاعات: امتناع از تحویل، عدم تحویل اطلاعات، تحویل به آدرس اشتباه.
    • آسیب به شهرت سازمان؛
    • نقض قوانین فعلی؛
    • آسیب به سلامت پرسنل؛
    • آسیب های مرتبط با افشای داده های شخصی افراد؛
    • زیان مالی ناشی از افشای اطلاعات؛
    • خسارات مالی مرتبط با بازیابی منابع؛
    • زیان های مرتبط با ناتوانی در انجام تعهدات؛
    • بی نظمی در فعالیت ها

    برای داده‌ها و نرم‌افزارها، معیارهای قابل اجرا برای یک IS معین انتخاب می‌شوند و آسیب در مقیاسی با مقادیر از 1 تا 10 ارزیابی می‌شود.

    در توضیحات CRAMM، به عنوان مثال، مقیاس رتبه بندی زیر برای معیار "زیان های مالی مرتبط با بازیابی منابع" ارائه شده است:

    • 2 امتیاز - کمتر از 1000 دلار؛
    • 6 امتیاز - از 1000 دلار تا 10000 دلار؛
    • 8 امتیاز - از 10000 دلار تا 100000 دلار؛
    • 10 امتیاز - بیش از 100000 دلار.

    اگر امتیاز برای همه معیارهای استفاده شده (3 امتیاز و پایین تر) پایین باشد، در نظر گرفته می شود که سیستم مورد نظر نیاز به سطح اولیه حفاظت دارد (این سطح نیازی به ارزیابی دقیق تهدیدات امنیت اطلاعات ندارد) و مرحله دوم مطالعه حذف شده است

    مرحله دوم هر چیزی را که به شناسایی و ارزیابی سطوح تهدید برای گروه‌های منابع و آسیب‌پذیری‌های آنها مربوط می‌شود، در نظر می‌گیرد. در پایان مرحله، مشتری سطوح ریسک شناسایی شده و ارزیابی شده را برای سیستم خود دریافت می کند. در این مرحله، وابستگی خدمات کاربران به گروه‌های خاصی از منابع و سطح تهدیدات و آسیب‌پذیری‌های موجود ارزیابی می‌شود، سطوح ریسک محاسبه و نتایج تحلیل می‌شوند.

    منابع بر اساس انواع تهدید و آسیب پذیری گروه بندی می شوند. به عنوان مثال، اگر خطر آتش سوزی یا سرقت وجود دارد، منطقی است که تمام منابع واقع در یک مکان (اتاق سرور، اتاق ارتباطات و ...) را به عنوان یک گروه از منابع در نظر بگیرید. سطوح تهدیدات و آسیب پذیری ها بر اساس مطالعه عوامل غیرمستقیم ارزیابی می شوند.

    نرم افزاربرای هر گروه منبع و هر یک از 36 نوع تهدید، CRAMM لیستی از سؤالات را ایجاد می کند که می توان بدون ابهام به آنها پاسخ داد. سطح تهدید بسته به پاسخ ها به صورت بسیار زیاد، زیاد، متوسط، کم و بسیار کم ارزیابی می شود. سطح آسیب‌پذیری بسته به پاسخ‌ها به‌عنوان زیاد، متوسط ​​و پایین ارزیابی می‌شود.

    بر اساس این اطلاعات، سطوح ریسک در یک مقیاس گسسته با درجه بندی از 1 تا 7 محاسبه می شود. سطوح تهدیدات، آسیب پذیری ها و خطرات حاصل تجزیه و تحلیل و با مشتری توافق می شود.

    CRAMM تهدیدها و آسیب پذیری ها را در یک ماتریس ریسک ترکیب می کند. بیایید ببینیم که این ماتریس چگونه به دست می آید و هر یک از سطوح ریسک به چه معناست.

    رویکرد اساسی برای حل این مشکل در نظر گرفتن موارد زیر است:

    • سطح تهدید (مقیاس در جدول 4.1 آورده شده است).
    • سطح آسیب پذیری (مقیاس در جدول 4.2 آورده شده است).
    • اندازه زیان های مالی مورد انتظار (به عنوان مثال در شکل 4.1).
    جدول 4.1. مقیاس ارزیابی سطوح تهدید (تکرار وقوع).
    شرح معنی
    یک حادثه به طور متوسط، نه بیشتر از هر 10 سال اتفاق می افتد خیلی کم
    یک حادثه به طور متوسط ​​هر 3 سال یک بار رخ می دهد کوتاه
    این حادثه به طور متوسط ​​یک بار در سال رخ می دهد میانگین
    یک حادثه به طور متوسط ​​هر چهار ماه یک بار رخ می دهد بالا
    این حادثه به طور متوسط ​​یک بار در ماه رخ می دهد خیلی بلند

    بر اساس برآورد هزینه منابع IP محافظت شده، ارزیابی تهدیدات و آسیب پذیری ها، "تلفات سالانه مورد انتظار" تعیین می شود. در شکل 4.1 نمونه ای از یک ماتریس برای تخمین زیان مورد انتظار را نشان می دهد. در آن، ستون دوم در سمت چپ حاوی مقادیر هزینه منابع است، ردیف بالای عنوان جدول حاوی تخمینی از فراوانی وقوع تهدید در طول سال (سطح تهدید)، خط پایین عنوان شامل برآوردی از احتمال موفقیت اجرای تهدید (سطح آسیب پذیری).


    برنج. 4.1.

    مقادیر زیان سالانه مورد انتظار (انگلیسی Annual Loss of Expectancy) بر اساس مقیاس ارائه شده در شکل، در CRAMM به نقاطی تبدیل می شود که سطح ریسک را نشان می دهد. 4.2 (در این مثال مقدار ضرر به پوند استرلینگ داده شده است).


    برنج. 4.2.

    مطابق با ماتریس زیر، ارزیابی ریسک مشتق شده است (شکل 4.3)


    برنج. 4.3.

    مرحله سوم تحقیق، یافتن اقدامات متقابل کافی است. در اصل، این جستجو برای یک گزینه سیستم امنیتی است که به بهترین وجه با نیازهای مشتری مطابقت دارد.

    در این مرحله، CRAMM چندین گزینه برای اقدامات متقابل ایجاد می‌کند که برای ریسک‌های شناسایی‌شده و سطوح آن‌ها کافی است. اقدامات متقابل را می توان به سه دسته دسته بندی کرد: حدود 300 توصیه کلی. بیش از 1000 توصیه خاص؛ حدود 900 نمونه از نحوه سازماندهی حفاظت در این شرایط.

    بنابراین، CRAMM نمونه‌ای از روش‌شناسی محاسبه است که در آن ارزیابی‌های اولیه در سطح کیفی ارائه می‌شود و سپس به ارزیابی کمی (در امتیاز) انتقال داده می‌شود.

    تکنیک FRAP

    روش فرآیند تحلیل ریسک تسهیل شده (FRAP) ارائه شده توسط Peltier and Associates (سایت اینترنتی http://www.peltierassociates.com/) توسط Thomas R. Peltier توسعه یافته و در (بخش هایی از این کتاب در وب سایت موجود است، توضیحات زیر بر اساس آنها است). در روش شناسی، ارائه IS پیشنهاد شده است که در چارچوب فرآیند مدیریت ریسک در نظر گرفته شود. مدیریت ریسک هادر زمینه امنیت اطلاعات، فرآیندی که به شرکت‌ها اجازه می‌دهد تا تعادلی بین هزینه کردن پول و تلاش برای اقدامات امنیتی و اثر ناشی از آن پیدا کنند.

    مدیریت ریسک هاباید با ارزیابی ریسک شروع شود: نتایج ارزیابی مستند به درستی مبنایی را تشکیل می‌دهد تصمیم گیریدر زمینه بهبود امنیت سیستم

    پس از تکمیل ارزیابی، تجزیه و تحلیل هزینه / فایده انجام می شود که به ما امکان می دهد اقدامات حفاظتی مورد نیاز برای کاهش خطر را به سطح قابل قبولی تعیین کنیم.

    در زیر مراحل اصلی ارزیابی ریسک آورده شده است. این لیست تا حد زیادی لیست مشابهی از روش های دیگر را تکرار می کند، اما FRAP با جزئیات بیشتری نحوه به دست آوردن داده ها در مورد سیستم و آسیب پذیری های آن را نشان می دهد.

    1. تعیین دارایی های حفاظت شده با استفاده از پرسشنامه، مطالعه مستندات سیستم و با استفاده از ابزارهای تحلیل شبکه خودکار (اسکن) انجام می شود.
    2. شناسایی تهدید. هنگام تهیه لیستی از تهدیدات، می توان از رویکردهای مختلفی استفاده کرد:
      • لیستی از تهدیدات (چک لیست) که از قبل توسط کارشناسان تهیه شده است و از بین آنها موارد مربوط به یک سیستم مشخص انتخاب می شوند.
      • تجزیه و تحلیل آمار حوادث در این IS و موارد مشابه - فراوانی وقوع آنها ارزیابی می شود. برای تعدادی از تهدیدات، به عنوان مثال، خطر آتش سوزی، چنین آماری را می توان از سازمان های دولتی مربوطه به دست آورد.
      • "طوفان فکری" که توسط کارمندان شرکت انجام شد.
    3. هنگامی که لیست تهدیدات تکمیل می شود، هر یک از آنها با احتمال وقوع مقایسه می شود. سپس آسیبی که می تواند توسط این تهدید ایجاد شود ارزیابی می شود. بر اساس مقادیر به دست آمده، سطح تهدید ارزیابی می شود.

      هنگام انجام تجزیه و تحلیل، معمولاً فرض می شود که در مرحله اولیه سیستم فاقد ابزار و مکانیسم های امنیتی است. به این ترتیب میزان ریسک اطلاعات محافظت نشده ارزیابی می شود که متعاقباً امکان نشان دادن تأثیر معرفی ابزارهای امنیت اطلاعات (ISIS) را فراهم می کند.
      برنج. 4.4.ماتریس ریسک FRAP

    4. پس از شناسایی تهدیدها و ارزیابی ریسک، باید اقدامات متقابل برای حذف خطر یا کاهش آن به سطح قابل قبول شناسایی شود. در این صورت باید محدودیت های قانونی را در نظر گرفت که آن را غیرممکن می کند یا برعکس، استفاده از ابزار و مکانیسم های حفاظتی خاصی را می طلبد. برای تعیین اثر مورد انتظار، می توان همان ریسک را ارزیابی کرد، اما مشروط به اجرای سیستم حفاظت اطلاعات پیشنهادی. اگر خطر به اندازه کافی کاهش نیابد، ممکن است نیاز به استفاده از یک وسیله محافظ دیگر باشد. همراه با تعیین ابزار حفاظت، لازم است مشخص شود که کسب و اجرای آن چه هزینه هایی را به دنبال خواهد داشت (هزینه ها می توانند مستقیم و غیرمستقیم باشند - به زیر مراجعه کنید). علاوه بر این، لازم است ارزیابی شود که آیا این ابزار خود ایمن است و آیا آسیب پذیری های جدیدی در سیستم ایجاد می کند یا خیر.

      به منظور استفاده از ابزارهای حفاظتی مقرون به صرفه، لازم است نسبت هزینه به فایده تجزیه و تحلیل شود. در این مورد، نه تنها هزینه خرید راه حل، بلکه هزینه حفظ عملکرد آن نیز ضروری است. هزینه ها ممکن است شامل موارد زیر باشد:

      • هزینه اجرای پروژه، از جمله نرم افزار و سخت افزار اضافی؛
      • کاهش کارآیی عملکرد سیستم از وظایف اصلی خود؛
      • اجرای سیاست ها و رویه های اضافی برای حفظ تاسیسات؛
      • هزینه های استخدام پرسنل اضافی یا بازآموزی پرسنل موجود.
    5. مستندات. هنگامی که ارزیابی ریسک تکمیل می شود، نتایج آن باید با جزئیات در قالب استاندارد شده مستند شود. گزارش حاصل می تواند برای تعیین سیاست ها، رویه ها، بودجه های امنیتی و غیره استفاده شود.