خطرفناوری اطلاعات

خطر IT^[۱]، خطر مربوط به IT و یا خطر سایبری، هرگونه خطری در ارتباط با فناوری اطلاعات است. در حالی که اطلاعات به عنوان یک دارایی ارزشمند و مهم احساس شده‌است، رشد اقتصاد دانش و انقلاب دیجیتال منجر به افزایش سازماندهی به‌طور کامل وابسته به اطلاعات، پردازش اطلاعات و به ویژه فناوری اطلاعات شده‌است. بنابراین، رویدادهای مختلف یا حوادثی که به نوعی فناوری اطلاعات را به خطر می اندازند، می‌توانند تأثیرات نامطلوب و مضری از مقادیر ناچیز تا فاجعه بار در فرایندهای تجاری یا مأموریت‌های تجاری سازمان را اعمال کنند.

ارزیابی احتمالی امکان وقوع رویدادها و حوادث مختلف با تأثیرات پیش‌بینی شده یا عواقب آن، راه‌های معمولی برای ارزیابی و اندازه‌گیری خطرات IT است. روش‌های دیگر اندازه‌گیری ریسک فناوری اطلاعات، به‌طور نمونه وارد کردن ارزیابی سایر عوامل کمک کنده مثل تهدید، آسیب پذیری، قرار گرفتن در معرض و ارزش دارایی است .^[۲]^[۳]

خطر IT[ویرایش]

عاملی که یک تهدید مشخص از آسیب‌پذیری یک دارایی یا گروهی از دارایی‌ها بهره‌برداری می‌کند و به این ترتیب باعث آسیب رساندن به سازمان شود. از نظر ترکیبی از احتمال رخداد یک رویداد و پیامد آن،اندازه‌گیری می‌شود.^[۴]

کمیته امنیت ملی[ویرایش]

کمیته سیستم‌های امنیت ملی ایالات متحده آمریکا در اسناد مختلف ریسک را تعریف کرد:

از دستورالعمل CNSS شماره 4009 از تاریخ 26 آوریل 2010 که بیشتر بر تعریف پایه و فنی متمرکز است:

ریسک : احتمال اینکه یک تهدید خاص با استفاده از یک آسیب‌پذیری خاص بطور معکوس بر روی IS تأثیر بگذارد.

امنیت ملی مخابرات و ساختار امنیت سیستم‌های اطلاعاتی(NISTISSI شماره 1000) یک جنبه احتمال، بسیار شبیه به NIST SP 800-30 را معرفی می‌کند:

ریسک: ترکیبی از احتمال وجود یک تهدید، که منتج به اثر منفی و شدت تأثیرات ناشی از آن خواهد شد.

مرکز تدریس و آموزش اطمینان ملی، ریسک را در زمینه فناوری اطلاعات اینگونه تعریف می‌کند:

پتانسیل تلفاتی که در نتیجه جفت آسیب‌پذیری و تهدید وجود دارد. کاهش تهدید یا آسیب پذیری، خطر را کاهش می‌دهد.

تردید در از دست دادن سریع از نظر احتمال چنین زیان.

احتمال اینکه نهادهای مخالف به‌طور موفقیت آمیز از یک سیستم مخابراتی خاص یا سیستم COMSEC برای اهداف اطلاعاتی استفاده کنند؛ عوامل آن تهدید و آسیب‌پذیری است.

ترکیبی از احتمال وجود یک تهدید، احتمال وقوع تهدید، منجر به تأثیر منفی و شدت تأثیر ناشی از آن خواهد شد.

احتمال اینکه یک تهدید خاص از آسیب‌پذیری خاصی از سیستم بهره ببرد

اندازه گیری خطر تکنولوژی اطلاعات[ویرایش]

شما نمی‌توانید به‌طور مؤثر و پیوسته مدیریت کنید آنچه را نمی‌توانید اندازه‌گیری کنید و شما نمی‌توانید آنچه را که تعریف نکرده اید اندازه‌گیری کنید.^[۵]

اندازه‌گیری خطر IT (یا خطر سایبری) می‌تواند در بسیاری از سطوح رخ دهد. در سطح کسب و کار و تجاری، خطرات به صورت دسته ای مدیریت می‌شوند. اداره‌های IT و اداره فدرال فرانسوی تمایل دارند که ریسک‌های فردی و شخصی را با احتیاط اندازه‌گیری کنند. مدیریت ارتباط بین آن‌ها نقش کلیدی برای CISO مدرن است.

هنگام اندازه‌گیری هر نوع خطر، انتخاب معادله درست برای یک تهدید، دارایی و داده‌های موجود، گام مهمی است. انجام این کار به خودی خود موضوع مهمی است، اما اجزاء مشترکی در معادلات خطر وجود دارد که برای درک این موضوع، مفید است.

چهار نیروی اساسی درگیر در مدیریت ریسک وجود دارد که در مورد امنیت سایبری نیز کاربرد دارند. آن‌ها شامل : دارایی، تأثیر، تهدید و احتمال هستند. شما دانش درونی و مقادیر عادلانه ای از کنترل دارایی‌ها دارید که به صورت ملموس و ناملموس می‌باشند که ارزش دارند. شما همچنین برخی از تأثیرات را تحت کنترل خود دارید که اشاره به از دست رفتن یا آسیب دیدن یک دارایی می‌باشد . با این حال، تهدیداتی که نمایندگان دشمنان و روش‌های حمله آن‌ها هستند، خارج از کنترل شما هستند. احتمال نیز، کارت ریسک در گروه است. احتمالات تعیین می‌کنند که هنگامی که یک تهدید به اجرا درآید، موفق می‌شود، و آسیب می‌رساند. در حالی که هرگز به‌طور کامل تحت کنترل شما نیست، احتمال‌ها می‌توانند شکل گرفته و شما را تحت تأثیر قرار دهند که خطر را کنترل کنید.

خطر= P(دارایی، تهدید)× d(دارایی، تهدید)^[۶]

که P احتمال وجود یک تهدید در مقابل دارایی و (d) احتمال سطح آسیب‌های مختلفی است که ممکن است رخ دهد.

زمینه مدیریت ریسک فناوری اطلاعات، تعدادی از اصطلاحات و تکنیک‌هایی را که منحصر به صنعت آن است، ایجاد کرده‌است. بعضی اصطلاحات صنعتی قرار است که انجمنی شوند.. به عنوان مثال، اصطلاح آسیب‌پذیری اغلب به عنوان تعویض با احتمال وقوع، که می‌تواند مشکل ساز باشد، استفاده می‌شود. شرایط و تکنیک‌های مدیریت ریسک IT شامل موارد زیر می‌شود:

رویداد امنیت اطلاعات[ویرایش]

یک رخداد مشخص شده از یک سیستم، سرویس یا وضعیت شبکه که نشان دهنده نقض احتمالی خط مشی امنیت اطلاعات یا عدم امنیت است، یا یک وضعیت ناشناخته که ممکن است مربوط به امنیت باشد.

وجود یک مجموعه خاص از شرایط:

این رویداد می‌تواند مطمئن یا نامطمئن باشد.

این رویداد می‌تواند یک رخداد واحد یا یک سری وقایع باشد. : (راهنمای ISO / IEC 73)

حادثه امنیتی اطلاعات[ویرایش]

با یک رویداد امنیتی یا یک سری رویدادهای امنیتی اطلاعات ناخواسته نشان داده می‌شود که احتمال بروز عملیات تجاری را دارا می‌باشد و امنیت اطلاعات را تهدید می‌کند.

یک رویداد [G.11] که به عنوان یک تأثیر واقعی یا بالقوه بر امنیت یا عملکرد یک سیستم تعیین شده‌است.

تاثیر[ویرایش]

نتیجه یک حادثه ناخواسته [G.17]. (ISO / IEC PDTR 13335-1)

پیامد[ویرایش]

خروجی یک رویداد [G.11] ممکن است بیش از یک نتیجه از یک رویداد داشته باشد.

پیامدهای آن می‌تواند از مثبت تا منفی باشد.

پیامدهایی را می‌توان به صورت کیفی یا کمی بیان کرد (راهنمای ISO / IEC 73)

خطر R حاصل احتمالL تأثیرات I زمان‌های وقوع یک حادثه امنیتی است که بار منفی را که به علت حادثه به سازمان مربوط می‌شود، یعنی:

R = L × I

نتیجه وقوع حادثه امنیتی تابعی از تأثیرات احتمالی است که مربوط به حادثه سازمان می‌شود، به عنوان یک نتیجه از صدمه ای که سازمان‌ها به آن‌ها تحمیل خواهند کرد، عمل می‌کند. آسیب به ارزش دارایی‌های سازمان مربوط می‌شود؛ همان دارایی می‌تواند مقادیر مختلفی برای سازمان‌های مختلف داشته باشد.

بنابراین R می‌تواندتابعی از چهار عامل باشد:

A : ارزش دارایی ها

T : احتمال تهدید

V : ماهیت آسیب پذیری، یعنی احتمال که می‌تواند مورد سوء استفاده قرار گیرد

I : تأثیر احتمالی، میزان آسیب

اگر مقادیر عددی (پول برای تأثیر و احتمالات برای عوامل دیگر)، خطر را می‌توان در شرایط پولی بیان کرد و با هزینه اقدامات مخدوش و خطر باقی مانده پس از اعمال کنترل امنیتی مقایسه کرد. این روش برای بیان ارزش‌ها همیشه عملی نیست، بنابراین در مرحله اول ارزیابی ریسک، در سه یا پنج مقیاس ریسک بدون اندازه قرار می‌گیرند.

احتمال و تأثیرگذاری در یک مقیاس کم، متوسط، بلند، فرض کنید که کمتر از 3 کم، 3 تا کمتر از 6 متوسط است و 6 تا 9 بالا است.

منابع[ویرایش]

[۱][۲][۳][۴][۵][۶]

↑ "IT risk". Wikipedia (به انگلیسی). 2018-06-26.
↑ «3 Types Of Cybersecurity Assessments - Threat Sketch» (به انگلیسی). Threat Sketch. ۲۰۱۶-۰۵-۱۶. بایگانی‌شده از اصلی در ۷ نوامبر ۲۰۱۸. دریافت‌شده در ۲۰۱۸-۰۷-۰۳.
↑ «Information Security Assessment Types - Daniel Miessler» (به انگلیسی). Daniel Miessler. دریافت‌شده در ۲۰۱۸-۰۷-۰۳.
↑ "IT risk". Wikipedia (به انگلیسی). 2018-06-26.
↑ http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک); پیوند خارجی در |وبگاه= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک)
↑ Arnold, Rob (2017-09-26). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (به انگلیسی). Threat Sketch, LLC.

[1] "IT risk". Wikipedia (به انگلیسی). 2018-06-26.

[2] «3 Types Of Cybersecurity Assessments - Threat Sketch» (به انگلیسی). Threat Sketch. ۲۰۱۶-۰۵-۱۶. بایگانی‌شده از اصلی در ۷ نوامبر ۲۰۱۸. دریافت‌شده در ۲۰۱۸-۰۷-۰۳.

[3] «Information Security Assessment Types - Daniel Miessler» (به انگلیسی). Daniel Miessler. دریافت‌شده در ۲۰۱۸-۰۷-۰۳.

[4] "IT risk". Wikipedia (به انگلیسی). 2018-06-26.

[5] http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک); پیوند خارجی در |وبگاه= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک)

[6] Arnold, Rob (2017-09-26). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (به انگلیسی). Threat Sketch, LLC.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]