![[-]](https://www.occupationalhealth.ir/images/netpen/collapse.png "[-]")
ارزیابی ریسک
ارزیابی ریسک یک روش منطقی برای تعیین اندازه کمّی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی بر روی افراد، مواد، تجهیزات و محیط است. در حقیقت از این طریق میزان کارآمدی روشهای کنترلی موجود مشخص شده و دادههای باارزشی برای تصمیمگیری در زمینه کاهش ریسک، خطرات، بهسازی سیستمهای کنترلی و برنامه ریزی برای واکنش به آنها فراهم میشود.[۱]
ارزیابی ریسک کمی نیازمند محاسبه دو مولفه ریسک یعنی شدت پیامد رخداد و احتمال روی دادن آن رخداد میباشد. برای بدست آوردن وزن احتمال و یا وزن شدت پیامد سه نوع راهکار وجود دارد.[۲]
روشهای عددی (به انگلیسی: Quantitative) که نتیجه در نهایت به یک عدد منتهی میشود
روشهای کیفی (به انگلیسی: Qualitative) که نتیجه حاکی از کیفیت خاصی در زمینه ریسک خواهد بود.
روشهای نیمه کمی (به انگلیسی: Semi-Quantitative) که در بیشتر این روشها از ماتریس ریسک استفاده میشود.
ارزیابی ریسک، فرایندی است که نیازمند تجربه، تخصص و دقت بالا بوده و میبایست در قالب کار تیمی و با بهرهگیری از توان مسئولین و کارشناسان انجام پذیرد. این فعالیت تیمی نیز زمانی به نتیجه دلخواه دست خواهد یافت که تیم ارزیاب، علاوه بر برخورداری از تجربه و تخصص لازم، از زبان مشترکی نیز در درک مفاهیم و روشهای مورد استفاده برخوردار باشند.
برآورد میزان ریسک، تعاریف و روش اجرا
دسته بندی دارایی ها، داراییهای سختافزاری، دارایی های نرمافزاری، سرمایههای اطلاعاتی، سرمایههای انسانی
دسته بندی عوامل تهدید: تهدیدات طبیعی، تهدیدات انسانی، تهدیدات محیطی، انواع اثرات تهدیدات
فهرست نمونهای از انواع ریسکهای قابل اعمال بر سازمان مبتنی بر IT
شرح ریسکهای مرتبط با محرمانگی سرمایههای اطلاعاتی سازمان
شرح ریسکهای مرتبط با تمامیت سرمایههای اطلاعاتی سازمان
شرح ریسکهای مرتبط با در دسترس بودن سرمایههای اطلاعاتی سازمان
حوزه ریسک
تعیین طبیعت ریسک
زیان دیدگان (ذینفعان) ریسک
تعیین آثار ریسک
تعیین مشخصههای کمی ریسک
برآورد میزان ریسک
افراد مختلف از یک ریسک مشخص، برداشتهایی گوناگون دارند. برآورد میزان ریسک از سوی افراد غیرعلمی با نتایج آماری و معادلات ریاضی ریسک همخوانی ندارد. مفهوم ریسک دو جنبه گوناگون را در بر میگیرد[۳]:
برداشت افراد غیرعلمی از میزان ریسک که به آن ریسک ذهنی(یا درکی) میگویند.
برآورد علمی بر پایه اطلاعات آماری از میزان ریسک، که به آن ریسک واقعی میگویند.
ریسک ذهنی ممکن است بیشتر یا کمتر از ریسک واقعی باشد. ارزیابی ریسک ممکن است آگاهانه یا ناآگاهانه صورت گیرد. در این بین عواملی وجود دارند که بر قضاوت ناصحیح افراد موثر هستند و برای اصلاح سطح ریسک پذیری، لازم است این عوامل شناخته شوند.
تعاریف خطر: شرایطی که بطور بالقوه امکان دارد سبب ایجاد یک واقعه ناگوار (از قبیل دسترسی غیر مجاز، دستکاری، افشاء یا خرابکاری) بر روی داراییهای اطلاعاتی موجود در سازمان گردد.
آسیب پذیری: ضعف موجود در یک سیستم، برنامه کاربردی، زیرساختار، کنترل یا طراحی است که میتواند در جهت مختل کردن تمامیت سیستمهای موجود و روالهای کاری و سازمانی و مأموریتها و فعالیتهای سازمان، از سوی خطر مورد استفاده و بهرهبرداری قرار گیرد.
ریسک: احتمال اینکه یک خطر مشخص بتواند از یک آسیب پذیری (نقطه ضعف) خاص موجود در سیستمهای سازمان استفاده نماید.
ارزیابی ریسک: مراحل مورد نیاز برای شناسایی حوزه و داراییهای موجود در آن، تهدیدهای موجود علیه داراییها، اولویت بندی نقاط ضعف مربوط به تهدیدها و مشخص نمودن سطح ریسکها و کنترلهای مناسب را گویند.
روش اجرا: نخستین گام اجرای فرایند ارزیابی ریسک، شناسایی تمامی داراییهای اطلاعاتی موجود در حوزه مورد بررسی است تا پس از آن بتوان ریسکهای متوجه هر یک از آنها را بطور کامل مشخص نمود. داراییها به چهار دسته داراییهای اطلاعاتی، نرمافزاری، سختافزاری و انسانی تقسیم شده و برای هر یک، نمونههایی ذکر شدهاست.
دسته بندی داراییها: سرمایه عبارتست از دارایی فیزیکی یا اطلاعاتی که برای سازمان دارای ارزش و اهمیت بوده و باید بطور خاص مورد محافظت قرار گیرد.
داراییهای سختافزاری: شامل سرورها، کامپیوترهای شخصی، انواع CD، فلاپی، پرینتر، اسکنر، نوت بوک، Flash memory، درایورهای قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ، ...
دارایی های نرمافزاری: نرمافزارهایی که در داخل سازمان تولید شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند. - نرمافزارهایی که در خارج از سازمان تهیه شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند مانند سیستمهای اتوماسیون اداری، نرمافزارهای مالی، انبارداری و .... - نرمافزارهای معمول و موجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار میگیرند مانند نرمافزارهای تایپ و صفحه گسترده، نقشه کشی و ... . - سایر موارد.
سرمایههای اطلاعاتی: شامل هر نوع اطلاعات (چه فیزیکی از قبیل کاغذ و نامه و ...) و چه غیر فیزیکی (دادهها) که برای سازمان دارای ارزش باشند. - اطلاعات کاری و سازمانی از قبیل سوابق پروژهها و فعالیتهای انجام شده، مأموریت و گزارشها سازمانی موجود، روندها و طرحهای سازمانی و ... - اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حسابهای بانکی و ... - اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احراز صلاحیت و احراز هویت کاربران و ... - بانکهای اطلاعاتی موجود بر روی سرورها، فایلهای اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران - سایر موارد.
سرمایههای انسانی: سرمایههای انسانی شامل تمامی کارکنانی میشود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روالهای کاری و سازمانی لطمه وارد خواهد شد. نظیر: - مدیران ارشد قسمتهای مختلف سازمان و جانشینان و معاونین آنها - رؤسای بخشها و دوایر - پرسنل متخصص و با سابقه - مدیران و کارشناسان بخش IT و امنیت اطلاعات - پرسنل متخصص و تکنیکی موجود در دوایر و بخشها - سایر موارد.
پس از تعیین و شناسایی داراییها، تیم ارزیابی اقدام به شناسایی ریسکهای مربوط به هر یک از داراییها مینماید. همانطور که از تعریف ارائه شده برای ریسک استنباط میشود، هر ریسک از سه عنصر یا جزء تشکیل شدهاست. لذا تعریف ریسک به معنی تعیین دقیق این سه عنصر است. این سه عنصر عبارتند از عامل تهدید، سرمایه و اثر تهدید. بعبارت دیگر:
ریسک = عامل تهدید + سرمایه + اثر تهدید
همانگونه که از رابطه فوق بر میآید، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی فوق، ریسک جدیدی حاصل میشود. در نتیجه در اغلب موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. در این صورت، برای هر مورد، یک شناسنامه ریسک بطور مجزا تهیه خواهد شد. در ادامه به مشخص کردن انواع عوامل تهدید قابل اعمال بر روی داراییهای اطلاعاتی، و نیز اثرات ناشی از آنها میپردازیم.
دسته بندی عوامل تهدید
تهدیدات طبیعی: طوفان، زمین لرزه، گردباد، رانش زمین، بهمن، طوفانهای الکتریکی و رویدادهای مشابه.
تهدیدات انسانی: رویدادها و اتفاقاتی که منشاء انسانی غیر عمدی دارند (اشتباهات و غفلتها) مانند عدم بکارگیری صحیح تجهیزات، عدم نصب صحیح نرمافزارها و برنامههای کاربردی، آلوده نمودن غیر عمدی شبکه به ویروس، دسترسی ناخواسته به اطلاعات محرمانه و ...
رویدادها و اتفاقاتی که منشاء انسانی عمدی دارند چه از داخل سازمان و چه از خارج از آن (سوء استفاده، نرمافزار مخرب، دسترسی غیرمجاز، کدهای مخرب، ویروس، بمبها، اخلال گری الکترونیکی، آتشسوزی عمدی، قطع برق عمدی و ...). بر طبق آمار، تهدیداتی که موجب وارد شدن بیشترین آسیب به منابع اطلاعاتی میشوند، دارای منشاء انسانی هستند.
تهدیدات محیطی: قطع طولانی مدت برق، آلودگی، مواد شیمیایی، نشت مایعات، آتشسوزی غیر عمدی، استهلاک تجهیزات و لوازم و ...
انواع اثرات تهدیدات: اثر تهدید به نتایج و پیامدهای منفی حاصل از وقوع تهدید گفته میشود که میتوانند بر روی سرمایههای اطلاعاتی سازمان، تأثیر منفی در پی داشته باشند. سوء استفاده از دارایی اطلاعاتی - دستکاری غیر مجاز - افشاء غیر مجاز - سرقت - عدم سرویس دهی یا قطع مقطعی آن - کپی و تکثیر غیر مجاز - تخطی از قواعد و قوانین سازمانی - کاهش کارایی سازمان - کاهش ایمنی افراد - از دست رفتن جامعیت اطلاعات - از دست رفتن دسترس پذیری اطلاعات (در زمان لزوم، در مکان مورد نیاز نباشد) - فعالیتهای بیهوده مالی (زیان مالی) - تهدیدهای مربوط به محیط زیست - اختلال در فرایندهای سازمانی - از بین رفتن دارایی در پایان این مرحله، باید برای تمامی داراییهای موجود در حوزه بررسی، ریسکهای مربوطه مطابق فرمول فوقالذکر شناسایی شده و در بخش اول شناسنامه ثبت شوند. بعنوان مثال، برخی از ریسکهای شناسایی شده ممکن است بصورت زیر ثبت شوند:
کاربران به دلیل بی توجهی (سهل انگاری) باعث خراب شدن هارد کامپیوتر سرور دبیرخانه شوند.
به دلیل ویروسی شدن، هارد کامپیوتر سرور اینترنت قابل استفاده و دسترسی نباشد.
تعداد بیشتری از ریسکها ی ممکن در ذیل ارائه شدهاست.
نمونهای از ریسکها قابل شناسایی در سازمان:
اعضای تیم ارزیابی ریسک میتوانند از این فهرست نمونهای ریسکها بعنوان نقطه شروعی جهت شناسایی انواع ریسکها قابل اعمال بر داراییهای اطلاعاتی سازمان مطبوع خود استفاده نمایند. نکتهای که در اینجا ذکر آن ضروری است این است که این فهرست تنها بعنوان نمونه و نه یک فهرست جامع و کامل از تمامی ریسکها موجود و محتمل میباشد و اعضای تیم میبایست بر اساس تجربه و تخصص خود و با استفاده از سوابق مربوط به حوادث گذشته، تمامی ریسکها محتمل قابل اعمال بر مجموعه تحت بررسی خود را شناسایی نمایند. در هنگام مشخص نمودن ریسکها، توجه به این نکته نیز ضروری است که تنها از ریسکهایی میتوان چشم پوشی نمود که احتمال آنها صفر (غیر ممکن و محال) باشد. در غیر این صورت حتی کم احتمال ترین ریسکها نیز میبایست ثبت شوند. نکته دیگر این است که برخی از ریسکها ممکن است از سوی عوامل مختلف اعمال شوند که همانگونه که پیش از این نیز گفته شد، برای هر یک از آنها میبایست شناسنامه جداگانهای تهیه شود.
فهرست نمونهای از انواع ریسکهای قابل اعمال بر سازمان مبتنی بر IT
خرابی هارد کامپیوتر سرور/ شخصی بدلیل سهل انگاری مسئول/ کاربر مربوطه
خرابی هارد کامپیوتر سرور/ شخصی بدلیل نفوذ ویروس از طریق اینترنت
خرابی هارد کامپیوتر سرور/ شخصی بدلیل نفوذ ویروس از طریق کاربران
دسترسی غیر مجاز به اطلاعات موجود در کامپیوتر سرور/ شخصی توسط کاربران داخلی
دسترسی غیر مجاز به اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
افشاء غیر مجاز اطلاعات موجود در کامپیوتر سرور/ شخصی به دلیل سهل انگاری کاربر مجاز
افشاء غیر مجاز اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
سرقت اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
سرقت اطلاعات موجود در کامپیوتر سرور/ شخصی به دلیل سهل انگاری کاربر مجاز
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت نفوذ ویروس از طریق اینترنت،
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت نفوذ ویروس از طریق کاربر مجاز
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت قطع برق و نبود UPS
شرح ریسکهای مرتبط با محرمانگی سرمایههای اطلاعاتی سازمان
داده / اطلاعات بطور نادرستی توسط مسئول مربوطه یا کاربر برچسب گذاری شود.
داده / اطلاعات بطور نادرستی توسط مسئول مربوطه یا کاربر دسته بندی شود.
داده / اطلاعات قبل از اینکه از طریق کانالهای مناسب انتشار یابد به اشتراک گذاشته شود.
استفاده از سیستمهای غیر امن برای انتقال داده / اطلاعات حساس
افشای اطلاعات و نقض قوانین حریم شخصی و مالکیت
عدم وجود توضیحات شفاف در مورد قوانین محرمانگی
محافظت نامناسب از فهرست کلمات عبور
وجود backdoor در نرمافزارها دادهها و برنامههای کاربردی
مدیر اجرایی عصبانی و ناراضی که دارای امتیازات و تواناییهای امنیتی بالایی باشد.
عدم بررسی کامل اثرات نهفته و مخفی قبل از اعمال نمودن تغییرات مورد نیاز بر روی سیستمها و برنامههای مورد استفاده سازمان
توانایی حدس زدن مشخصات فردی دیگر توسط کاربران سازمان یا هکرها
کارمندان و افراد از طریقه نحوه صحیح انتشار یا ذخیره کردن اطلاعات موجود بر روی وب ناآگاه باشند.
دستپاچه و گیج شدن مسئولین امنیتی شبکه در مورد جایی که اطلاعات حساس در آنجا ذخیره شدهاست.
دادن قابلیت دسترسی به افرادی که از نظر شغلی نیازی به داشتن این امتیاز نداشته باشند.
اطلاعات مربوط به سیستمهای داخلی بطور سهوی انتشار یابند که ممکن است در آینده برای حمله به سیستم مورد استفاده قرار گیرند.
استفاده ازIDهای مشترک توسط کاربران سازمان
دسترسی به فایلهای پشتیبانی کننده توسط مدیر اجرایی سیستم بطور مناسبی کنترل نشود.
تکنولوژیهای جدید باعث نفوذ در مسائل محرمانگی شوند.
تلاشها و تصمیماتی برای تغییر دادن مدل امنیتی صورت گیرد.
عدم تشریح مسائل محرمانگی برای افراد غیر کارمند موجود در سازمان
ردیابی بستهها توسط افراد غیر مجاز از خارج سایت اینترنتی سازمان
جریمههای در نظر گرفته شده برای تخطی کردن از مقررات امنیتی آنقدر کافی نباشد که باعث جلوگیری کردن از فعالیتهای نامناسب افراد گردد.
امکان وجود تجهیزات استراق سمع الکترونیکی در محلهای مختلف مجموعه مورد نظر
شرح ریسکهای مرتبط با تمامیت سرمایههای اطلاعاتی سازمان
پایگاه داده توسط خطای سختافزاری، نرمافزار بد، یا نادرست خراب شود. عدم گزارش کردن نکات و موارد مربوط به تمامیت توسط کاربران سازمان اجرای ناقص یک روند یا عدم توانایی در اجرای صحیح روند توسط افراد باعث خراب شدن داده شود. - نبود پردازشهای داخلی برای ایجاد کنترل و مدیریت داده در حین انجام فعالیتهای مختلف - عدم تشخیص و اعلام مشکلات تمامیت به وجود آمده توسط کاربران و مسئولین امنیتی شبکه سازمان - امکان دسترسی اشخاص ثالث به اطلاعات محرمانه موجود در سازمان - عدم تعیین صلاحیت منشأ تقاضا کننده درخواست در روالها و سیاستهای موجود در سازمان - عدم قابلیت دسترسی به اطلاعاتی که مجاز به دسترسی به آنها میباشید. - کارمندان مربوطه آموزشهای لازم برای انجام تغییرات مورد نیاز را دریافت نکرده باشند. - عدم پاسخ دهی مناسب به تقاضاهای انجام شده در مدت زمان مورد نظر - تغییرات انجام شده در داده/نرمافزارهای سیستم یا برنامههای کاربردی ذخیره نشده باشند. - استفاده کاربران از کپیهایی از داده که از رده خارج شده باشند. - وجود مشکلات همسان سازی و یکنواخت کردن در هنگام استفاده از وسیلههای جبران ساز و بازگرداننده توسط کاربران - تغییر دادهها بعلت وجود ویروس - عدم گزارش کردن بموقع وضعیت کاربران، توسعه دهندگان، پشتیبانی کنندگان وغیره... توسط مسئولین مربوطه
شرح ریسکهای مرتبط با در دسترس بودن سرمایههای اطلاعاتی سازمان
هکرها سایت مجموعه مورد نظر را تعطیل نمایند.
نفوذ کنندگان قادر به دسترسی فیزیکی به تجهیزات و امکانات مجموعه مورد نظر شوند.
وجود خطای سختافزاری در مورد سرور اینترنت
ارتباطات موجود با تهیه کننده سرویس قطع شود.
سایت میزبان، محافظهای فیزیکی مناسبی برای اطلاعات نداشته باشد.
ارتباط با سیستمهای پشتیبان اداره قطع شود.
طراحی کلی سیستم پیچیده باشد.
ایجاد تغییرات نادرست نرمافزار یا سختافزار سیستم توسط کاربران مجاز
مقادیر و پیش بینیهای مورد استفاده و معمول غیر قابل انتظار باشند.
روندهای برنامه استمرار پذیری سازمان آزمایش نشده باشند.
هیچ تضمینی برای آماده بودن سرور توسط تهیه کننده سرویس داده نشده باشد.
اقدامات و اعتصابهایی در سازمان تهیه کننده سرویس، به وقوع بپیوندد.
تعمیر و نگهداری برنامه ریزی شده معمولی، باعث آماده و در دسترس نبودن سرویس شود.
طراحی توپولوژی مانع کارایی / قابل قبول بودن میزان در دسترس بودن سرویسهای عمومی شود.
سرمایه گذاری های نامناسب سازمان برای قابلیتهای پشتیبانی
حملات برنامه ریزی شده توسط معترضان و مخالفین سازمان
ساختار بندی سیستم برای در دسترس بودن زیاد مناسب نباشد.
منابع و افراد تکنیکی سازمان آموزشهای مناسب ندیده باشند.
تراکم موجود در اینترنت باعث عدم رضایت کاربران شود.
بعلت وجود ویروس، ممکن است داده / اطلاعات در دسترس نباشند.
بعلت عدم نظارت کافی بر سایت وب سازمان، ممکن است آماده نبودن سیستم گزارش نشود.
بعلت نقص در روتر یا دیواره آتش، ممکنست دسترسی به سرویسها امکانپذیر نباشد.
پشتیبانهای موجود در سازمان کافی نباشند.
سوء استفاده کاربران از امکانات شبکه، کلمات عبور سایر افراد
حوزه ریسک: منظور تعیین گروه دارایی مورد بررسی است. همانگونه که پیش از این نیز ذکر شد، حوزه ریسک میتواند یکی از حوزههای کلی سختافزار، نرمافزار، نیروی انسانی و اطلاعات باشد.
تعیین طبیعت ریسک: ریسکها را میتوان با توجه به ماهیت وجودی خود و با توجه به ابعاد، حوزه و گستره اثرگذاری، دسته بندی نمود. این دسته بندی که به تعیین «طبیعت ریسک» موسوم است، به ارزیاب کمک میکند تا با توجه به حوزههای اثرگذاری ریسک، قادر باشد با دقت بیشتری به شناسایی اثرات و عواقب تهدید اقدام نماید. بطور کلی، ریسکها را میتوان به حوزههای زیر تقسیم نمود:
استراتژیک: ریسکهایی که تمامیت، موجودیت و بقای سازمان را با خطر مواجه میکنند مانند فقدان اطلاعات کلیدی و استراتژیک
مالی: اثرات و عواقب مالی به دنبال دارند نظیر غیر قابل استفاده شدن سختافزارها و تجهیزات - عملیاتی: در انجام فعالیتها و فرایندهای سازمان خلل ایجاد میکنند مانند قطع سرویس سرور
تکنولوژیکی: اطلاعات فنی یا سختافزارهای کلیدی را مورد هجوم قرار میدهند
محیطی: بر نیروی انسانی یا شرایط زیست محیطی سازمان تأثیرگذار هستند نظیر آتشسوزی از آنجای که اغلب هر تهدید (ریسک) بیش از یک اثر به دنبال خواهد داشت، لذا با توجه به تنوع اثرات، ممکن است طبیعت یک ریسک در بیش از یک حوزه یا حتی تمامی حوزهها قرار گیرد.
زیان دیدگان (ذینفعان) ریسک منظور از زیان دیده، تمامی افراد یا واحدهایی از سازمان است که بطور مستقیم یا غیر مستقیم تحت تأثیر نتایج تهدید قرار میگیرند. این ذینفعان ممکن است یک یا تمامی موارد ذیل باشند:
کاربر، مسئول بخش، مدیریت ارشد سازمان، کارکنان بخش، تمامی کارکنان سازمان، سهامداران، جامعه
تعیین آثار ریسک: کلیه نتایج و عواقب بروز ریسک است که میتواند هر یک از ذینفعان اطلاعات یا ویژگیهای آنرا تحت تأثیر قرار دهد، در این بخش در نظر گرفته میشود. بهتر است در این بند، بیشتر به اثرات مستقیم ریسک اشاره شود و در صورت وجود ابهام یا کلی گویی، به توالی تبعات و اثرات آن اشاره نمود. این اثرات را میتوان در یک یا چند مورد از انواع ذکر شده، جستجو نمود.
تعیین مشخصههای کمی ریسک
ریسک سختافزار: برای تعیین مشخصههای کمی ریسک (احتمال و اثر) داراییهای سختافزاری، باید از جداول 1و2 استفاده نمود. در این جداول، هر دو مشخصه احتمال و اثر، با توجه به تعاریف و مثالهای ارائه شده، در گستره 1 تا 10 طبقه بندی شدهاند.
لازم به ذکر است که جداول مذکور، استاندارد بوده و بر اساس روش ارزیابی ریسک FEMA، بومی سازی شدهاند.
ریسک نرمافزار: مشابه تعیین مشخصههای کمی ریسک داراییهای سختافزاری انجام خواهد شد.
ریسک اطلاعات: همانند دو دارایی قبل انجام میشود.
ریسک نیروی انسانی: در مورد داراییهای انسانی، با توجه به تفاوت ماهیت این نوع دارایی با داراییهای قبلی، از روش جداگانهای استفاده خواهد شد. در این روش، هفت مؤلفه به عنوان مؤلفه های ارزش نیروی انسانی تعیین می شوند که عبارتند از: تخصص، سابقه، رتبه، سختی کار، مدرک تحصیلی، وجود جایگزین و سطح دسترسی. هر یک از کارکنان سازمان، مطابق راهنمای ارائه شده صفحه بعد، در هر یک از موارد مذکور، امتیازی بین 1 تا 10 دریافت خواهند کرد.
ارزیابی ریسک یک روش منطقی برای تعیین اندازه کمّی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی بر روی افراد، مواد، تجهیزات و محیط است. در حقیقت از این طریق میزان کارآمدی روشهای کنترلی موجود مشخص شده و دادههای باارزشی برای تصمیمگیری در زمینه کاهش ریسک، خطرات، بهسازی سیستمهای کنترلی و برنامه ریزی برای واکنش به آنها فراهم میشود.[۱]
ارزیابی ریسک کمی نیازمند محاسبه دو مولفه ریسک یعنی شدت پیامد رخداد و احتمال روی دادن آن رخداد میباشد. برای بدست آوردن وزن احتمال و یا وزن شدت پیامد سه نوع راهکار وجود دارد.[۲]
روشهای عددی (به انگلیسی: Quantitative) که نتیجه در نهایت به یک عدد منتهی میشود
روشهای کیفی (به انگلیسی: Qualitative) که نتیجه حاکی از کیفیت خاصی در زمینه ریسک خواهد بود.
روشهای نیمه کمی (به انگلیسی: Semi-Quantitative) که در بیشتر این روشها از ماتریس ریسک استفاده میشود.
ارزیابی ریسک، فرایندی است که نیازمند تجربه، تخصص و دقت بالا بوده و میبایست در قالب کار تیمی و با بهرهگیری از توان مسئولین و کارشناسان انجام پذیرد. این فعالیت تیمی نیز زمانی به نتیجه دلخواه دست خواهد یافت که تیم ارزیاب، علاوه بر برخورداری از تجربه و تخصص لازم، از زبان مشترکی نیز در درک مفاهیم و روشهای مورد استفاده برخوردار باشند.
برآورد میزان ریسک، تعاریف و روش اجرا
دسته بندی دارایی ها، داراییهای سختافزاری، دارایی های نرمافزاری، سرمایههای اطلاعاتی، سرمایههای انسانی
دسته بندی عوامل تهدید: تهدیدات طبیعی، تهدیدات انسانی، تهدیدات محیطی، انواع اثرات تهدیدات
فهرست نمونهای از انواع ریسکهای قابل اعمال بر سازمان مبتنی بر IT
شرح ریسکهای مرتبط با محرمانگی سرمایههای اطلاعاتی سازمان
شرح ریسکهای مرتبط با تمامیت سرمایههای اطلاعاتی سازمان
شرح ریسکهای مرتبط با در دسترس بودن سرمایههای اطلاعاتی سازمان
حوزه ریسک
تعیین طبیعت ریسک
زیان دیدگان (ذینفعان) ریسک
تعیین آثار ریسک
تعیین مشخصههای کمی ریسک
برآورد میزان ریسک
افراد مختلف از یک ریسک مشخص، برداشتهایی گوناگون دارند. برآورد میزان ریسک از سوی افراد غیرعلمی با نتایج آماری و معادلات ریاضی ریسک همخوانی ندارد. مفهوم ریسک دو جنبه گوناگون را در بر میگیرد[۳]:
برداشت افراد غیرعلمی از میزان ریسک که به آن ریسک ذهنی(یا درکی) میگویند.
برآورد علمی بر پایه اطلاعات آماری از میزان ریسک، که به آن ریسک واقعی میگویند.
ریسک ذهنی ممکن است بیشتر یا کمتر از ریسک واقعی باشد. ارزیابی ریسک ممکن است آگاهانه یا ناآگاهانه صورت گیرد. در این بین عواملی وجود دارند که بر قضاوت ناصحیح افراد موثر هستند و برای اصلاح سطح ریسک پذیری، لازم است این عوامل شناخته شوند.
تعاریف خطر: شرایطی که بطور بالقوه امکان دارد سبب ایجاد یک واقعه ناگوار (از قبیل دسترسی غیر مجاز، دستکاری، افشاء یا خرابکاری) بر روی داراییهای اطلاعاتی موجود در سازمان گردد.
آسیب پذیری: ضعف موجود در یک سیستم، برنامه کاربردی، زیرساختار، کنترل یا طراحی است که میتواند در جهت مختل کردن تمامیت سیستمهای موجود و روالهای کاری و سازمانی و مأموریتها و فعالیتهای سازمان، از سوی خطر مورد استفاده و بهرهبرداری قرار گیرد.
ریسک: احتمال اینکه یک خطر مشخص بتواند از یک آسیب پذیری (نقطه ضعف) خاص موجود در سیستمهای سازمان استفاده نماید.
ارزیابی ریسک: مراحل مورد نیاز برای شناسایی حوزه و داراییهای موجود در آن، تهدیدهای موجود علیه داراییها، اولویت بندی نقاط ضعف مربوط به تهدیدها و مشخص نمودن سطح ریسکها و کنترلهای مناسب را گویند.
روش اجرا: نخستین گام اجرای فرایند ارزیابی ریسک، شناسایی تمامی داراییهای اطلاعاتی موجود در حوزه مورد بررسی است تا پس از آن بتوان ریسکهای متوجه هر یک از آنها را بطور کامل مشخص نمود. داراییها به چهار دسته داراییهای اطلاعاتی، نرمافزاری، سختافزاری و انسانی تقسیم شده و برای هر یک، نمونههایی ذکر شدهاست.
دسته بندی داراییها: سرمایه عبارتست از دارایی فیزیکی یا اطلاعاتی که برای سازمان دارای ارزش و اهمیت بوده و باید بطور خاص مورد محافظت قرار گیرد.
داراییهای سختافزاری: شامل سرورها، کامپیوترهای شخصی، انواع CD، فلاپی، پرینتر، اسکنر، نوت بوک، Flash memory، درایورهای قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ، ...
دارایی های نرمافزاری: نرمافزارهایی که در داخل سازمان تولید شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند. - نرمافزارهایی که در خارج از سازمان تهیه شده و در راستای مأموریت و فعالیتهای سازمان مورد استفاده قرار میگیرند مانند سیستمهای اتوماسیون اداری، نرمافزارهای مالی، انبارداری و .... - نرمافزارهای معمول و موجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار میگیرند مانند نرمافزارهای تایپ و صفحه گسترده، نقشه کشی و ... . - سایر موارد.
سرمایههای اطلاعاتی: شامل هر نوع اطلاعات (چه فیزیکی از قبیل کاغذ و نامه و ...) و چه غیر فیزیکی (دادهها) که برای سازمان دارای ارزش باشند. - اطلاعات کاری و سازمانی از قبیل سوابق پروژهها و فعالیتهای انجام شده، مأموریت و گزارشها سازمانی موجود، روندها و طرحهای سازمانی و ... - اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حسابهای بانکی و ... - اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احراز صلاحیت و احراز هویت کاربران و ... - بانکهای اطلاعاتی موجود بر روی سرورها، فایلهای اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران - سایر موارد.
سرمایههای انسانی: سرمایههای انسانی شامل تمامی کارکنانی میشود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روالهای کاری و سازمانی لطمه وارد خواهد شد. نظیر: - مدیران ارشد قسمتهای مختلف سازمان و جانشینان و معاونین آنها - رؤسای بخشها و دوایر - پرسنل متخصص و با سابقه - مدیران و کارشناسان بخش IT و امنیت اطلاعات - پرسنل متخصص و تکنیکی موجود در دوایر و بخشها - سایر موارد.
پس از تعیین و شناسایی داراییها، تیم ارزیابی اقدام به شناسایی ریسکهای مربوط به هر یک از داراییها مینماید. همانطور که از تعریف ارائه شده برای ریسک استنباط میشود، هر ریسک از سه عنصر یا جزء تشکیل شدهاست. لذا تعریف ریسک به معنی تعیین دقیق این سه عنصر است. این سه عنصر عبارتند از عامل تهدید، سرمایه و اثر تهدید. بعبارت دیگر:
ریسک = عامل تهدید + سرمایه + اثر تهدید
همانگونه که از رابطه فوق بر میآید، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی فوق، ریسک جدیدی حاصل میشود. در نتیجه در اغلب موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. در این صورت، برای هر مورد، یک شناسنامه ریسک بطور مجزا تهیه خواهد شد. در ادامه به مشخص کردن انواع عوامل تهدید قابل اعمال بر روی داراییهای اطلاعاتی، و نیز اثرات ناشی از آنها میپردازیم.
دسته بندی عوامل تهدید
تهدیدات طبیعی: طوفان، زمین لرزه، گردباد، رانش زمین، بهمن، طوفانهای الکتریکی و رویدادهای مشابه.
تهدیدات انسانی: رویدادها و اتفاقاتی که منشاء انسانی غیر عمدی دارند (اشتباهات و غفلتها) مانند عدم بکارگیری صحیح تجهیزات، عدم نصب صحیح نرمافزارها و برنامههای کاربردی، آلوده نمودن غیر عمدی شبکه به ویروس، دسترسی ناخواسته به اطلاعات محرمانه و ...
رویدادها و اتفاقاتی که منشاء انسانی عمدی دارند چه از داخل سازمان و چه از خارج از آن (سوء استفاده، نرمافزار مخرب، دسترسی غیرمجاز، کدهای مخرب، ویروس، بمبها، اخلال گری الکترونیکی، آتشسوزی عمدی، قطع برق عمدی و ...). بر طبق آمار، تهدیداتی که موجب وارد شدن بیشترین آسیب به منابع اطلاعاتی میشوند، دارای منشاء انسانی هستند.
تهدیدات محیطی: قطع طولانی مدت برق، آلودگی، مواد شیمیایی، نشت مایعات، آتشسوزی غیر عمدی، استهلاک تجهیزات و لوازم و ...
انواع اثرات تهدیدات: اثر تهدید به نتایج و پیامدهای منفی حاصل از وقوع تهدید گفته میشود که میتوانند بر روی سرمایههای اطلاعاتی سازمان، تأثیر منفی در پی داشته باشند. سوء استفاده از دارایی اطلاعاتی - دستکاری غیر مجاز - افشاء غیر مجاز - سرقت - عدم سرویس دهی یا قطع مقطعی آن - کپی و تکثیر غیر مجاز - تخطی از قواعد و قوانین سازمانی - کاهش کارایی سازمان - کاهش ایمنی افراد - از دست رفتن جامعیت اطلاعات - از دست رفتن دسترس پذیری اطلاعات (در زمان لزوم، در مکان مورد نیاز نباشد) - فعالیتهای بیهوده مالی (زیان مالی) - تهدیدهای مربوط به محیط زیست - اختلال در فرایندهای سازمانی - از بین رفتن دارایی در پایان این مرحله، باید برای تمامی داراییهای موجود در حوزه بررسی، ریسکهای مربوطه مطابق فرمول فوقالذکر شناسایی شده و در بخش اول شناسنامه ثبت شوند. بعنوان مثال، برخی از ریسکهای شناسایی شده ممکن است بصورت زیر ثبت شوند:
کاربران به دلیل بی توجهی (سهل انگاری) باعث خراب شدن هارد کامپیوتر سرور دبیرخانه شوند.
به دلیل ویروسی شدن، هارد کامپیوتر سرور اینترنت قابل استفاده و دسترسی نباشد.
تعداد بیشتری از ریسکها ی ممکن در ذیل ارائه شدهاست.
نمونهای از ریسکها قابل شناسایی در سازمان:
اعضای تیم ارزیابی ریسک میتوانند از این فهرست نمونهای ریسکها بعنوان نقطه شروعی جهت شناسایی انواع ریسکها قابل اعمال بر داراییهای اطلاعاتی سازمان مطبوع خود استفاده نمایند. نکتهای که در اینجا ذکر آن ضروری است این است که این فهرست تنها بعنوان نمونه و نه یک فهرست جامع و کامل از تمامی ریسکها موجود و محتمل میباشد و اعضای تیم میبایست بر اساس تجربه و تخصص خود و با استفاده از سوابق مربوط به حوادث گذشته، تمامی ریسکها محتمل قابل اعمال بر مجموعه تحت بررسی خود را شناسایی نمایند. در هنگام مشخص نمودن ریسکها، توجه به این نکته نیز ضروری است که تنها از ریسکهایی میتوان چشم پوشی نمود که احتمال آنها صفر (غیر ممکن و محال) باشد. در غیر این صورت حتی کم احتمال ترین ریسکها نیز میبایست ثبت شوند. نکته دیگر این است که برخی از ریسکها ممکن است از سوی عوامل مختلف اعمال شوند که همانگونه که پیش از این نیز گفته شد، برای هر یک از آنها میبایست شناسنامه جداگانهای تهیه شود.
فهرست نمونهای از انواع ریسکهای قابل اعمال بر سازمان مبتنی بر IT
خرابی هارد کامپیوتر سرور/ شخصی بدلیل سهل انگاری مسئول/ کاربر مربوطه
خرابی هارد کامپیوتر سرور/ شخصی بدلیل نفوذ ویروس از طریق اینترنت
خرابی هارد کامپیوتر سرور/ شخصی بدلیل نفوذ ویروس از طریق کاربران
دسترسی غیر مجاز به اطلاعات موجود در کامپیوتر سرور/ شخصی توسط کاربران داخلی
دسترسی غیر مجاز به اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
افشاء غیر مجاز اطلاعات موجود در کامپیوتر سرور/ شخصی به دلیل سهل انگاری کاربر مجاز
افشاء غیر مجاز اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
سرقت اطلاعات موجود در کامپیوتر سرور/ شخصی از طریق اینترنت
سرقت اطلاعات موجود در کامپیوتر سرور/ شخصی به دلیل سهل انگاری کاربر مجاز
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت نفوذ ویروس از طریق اینترنت،
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت نفوذ ویروس از طریق کاربر مجاز
عدم سرویس دهی کامپیوتر سرور/ شخصی بعلت قطع برق و نبود UPS
شرح ریسکهای مرتبط با محرمانگی سرمایههای اطلاعاتی سازمان
داده / اطلاعات بطور نادرستی توسط مسئول مربوطه یا کاربر برچسب گذاری شود.
داده / اطلاعات بطور نادرستی توسط مسئول مربوطه یا کاربر دسته بندی شود.
داده / اطلاعات قبل از اینکه از طریق کانالهای مناسب انتشار یابد به اشتراک گذاشته شود.
استفاده از سیستمهای غیر امن برای انتقال داده / اطلاعات حساس
افشای اطلاعات و نقض قوانین حریم شخصی و مالکیت
عدم وجود توضیحات شفاف در مورد قوانین محرمانگی
محافظت نامناسب از فهرست کلمات عبور
وجود backdoor در نرمافزارها دادهها و برنامههای کاربردی
مدیر اجرایی عصبانی و ناراضی که دارای امتیازات و تواناییهای امنیتی بالایی باشد.
عدم بررسی کامل اثرات نهفته و مخفی قبل از اعمال نمودن تغییرات مورد نیاز بر روی سیستمها و برنامههای مورد استفاده سازمان
توانایی حدس زدن مشخصات فردی دیگر توسط کاربران سازمان یا هکرها
کارمندان و افراد از طریقه نحوه صحیح انتشار یا ذخیره کردن اطلاعات موجود بر روی وب ناآگاه باشند.
دستپاچه و گیج شدن مسئولین امنیتی شبکه در مورد جایی که اطلاعات حساس در آنجا ذخیره شدهاست.
دادن قابلیت دسترسی به افرادی که از نظر شغلی نیازی به داشتن این امتیاز نداشته باشند.
اطلاعات مربوط به سیستمهای داخلی بطور سهوی انتشار یابند که ممکن است در آینده برای حمله به سیستم مورد استفاده قرار گیرند.
استفاده ازIDهای مشترک توسط کاربران سازمان
دسترسی به فایلهای پشتیبانی کننده توسط مدیر اجرایی سیستم بطور مناسبی کنترل نشود.
تکنولوژیهای جدید باعث نفوذ در مسائل محرمانگی شوند.
تلاشها و تصمیماتی برای تغییر دادن مدل امنیتی صورت گیرد.
عدم تشریح مسائل محرمانگی برای افراد غیر کارمند موجود در سازمان
ردیابی بستهها توسط افراد غیر مجاز از خارج سایت اینترنتی سازمان
جریمههای در نظر گرفته شده برای تخطی کردن از مقررات امنیتی آنقدر کافی نباشد که باعث جلوگیری کردن از فعالیتهای نامناسب افراد گردد.
امکان وجود تجهیزات استراق سمع الکترونیکی در محلهای مختلف مجموعه مورد نظر
شرح ریسکهای مرتبط با تمامیت سرمایههای اطلاعاتی سازمان
پایگاه داده توسط خطای سختافزاری، نرمافزار بد، یا نادرست خراب شود. عدم گزارش کردن نکات و موارد مربوط به تمامیت توسط کاربران سازمان اجرای ناقص یک روند یا عدم توانایی در اجرای صحیح روند توسط افراد باعث خراب شدن داده شود. - نبود پردازشهای داخلی برای ایجاد کنترل و مدیریت داده در حین انجام فعالیتهای مختلف - عدم تشخیص و اعلام مشکلات تمامیت به وجود آمده توسط کاربران و مسئولین امنیتی شبکه سازمان - امکان دسترسی اشخاص ثالث به اطلاعات محرمانه موجود در سازمان - عدم تعیین صلاحیت منشأ تقاضا کننده درخواست در روالها و سیاستهای موجود در سازمان - عدم قابلیت دسترسی به اطلاعاتی که مجاز به دسترسی به آنها میباشید. - کارمندان مربوطه آموزشهای لازم برای انجام تغییرات مورد نیاز را دریافت نکرده باشند. - عدم پاسخ دهی مناسب به تقاضاهای انجام شده در مدت زمان مورد نظر - تغییرات انجام شده در داده/نرمافزارهای سیستم یا برنامههای کاربردی ذخیره نشده باشند. - استفاده کاربران از کپیهایی از داده که از رده خارج شده باشند. - وجود مشکلات همسان سازی و یکنواخت کردن در هنگام استفاده از وسیلههای جبران ساز و بازگرداننده توسط کاربران - تغییر دادهها بعلت وجود ویروس - عدم گزارش کردن بموقع وضعیت کاربران، توسعه دهندگان، پشتیبانی کنندگان وغیره... توسط مسئولین مربوطه
شرح ریسکهای مرتبط با در دسترس بودن سرمایههای اطلاعاتی سازمان
هکرها سایت مجموعه مورد نظر را تعطیل نمایند.
نفوذ کنندگان قادر به دسترسی فیزیکی به تجهیزات و امکانات مجموعه مورد نظر شوند.
وجود خطای سختافزاری در مورد سرور اینترنت
ارتباطات موجود با تهیه کننده سرویس قطع شود.
سایت میزبان، محافظهای فیزیکی مناسبی برای اطلاعات نداشته باشد.
ارتباط با سیستمهای پشتیبان اداره قطع شود.
طراحی کلی سیستم پیچیده باشد.
ایجاد تغییرات نادرست نرمافزار یا سختافزار سیستم توسط کاربران مجاز
مقادیر و پیش بینیهای مورد استفاده و معمول غیر قابل انتظار باشند.
روندهای برنامه استمرار پذیری سازمان آزمایش نشده باشند.
هیچ تضمینی برای آماده بودن سرور توسط تهیه کننده سرویس داده نشده باشد.
اقدامات و اعتصابهایی در سازمان تهیه کننده سرویس، به وقوع بپیوندد.
تعمیر و نگهداری برنامه ریزی شده معمولی، باعث آماده و در دسترس نبودن سرویس شود.
طراحی توپولوژی مانع کارایی / قابل قبول بودن میزان در دسترس بودن سرویسهای عمومی شود.
سرمایه گذاری های نامناسب سازمان برای قابلیتهای پشتیبانی
حملات برنامه ریزی شده توسط معترضان و مخالفین سازمان
ساختار بندی سیستم برای در دسترس بودن زیاد مناسب نباشد.
منابع و افراد تکنیکی سازمان آموزشهای مناسب ندیده باشند.
تراکم موجود در اینترنت باعث عدم رضایت کاربران شود.
بعلت وجود ویروس، ممکن است داده / اطلاعات در دسترس نباشند.
بعلت عدم نظارت کافی بر سایت وب سازمان، ممکن است آماده نبودن سیستم گزارش نشود.
بعلت نقص در روتر یا دیواره آتش، ممکنست دسترسی به سرویسها امکانپذیر نباشد.
پشتیبانهای موجود در سازمان کافی نباشند.
سوء استفاده کاربران از امکانات شبکه، کلمات عبور سایر افراد
حوزه ریسک: منظور تعیین گروه دارایی مورد بررسی است. همانگونه که پیش از این نیز ذکر شد، حوزه ریسک میتواند یکی از حوزههای کلی سختافزار، نرمافزار، نیروی انسانی و اطلاعات باشد.
تعیین طبیعت ریسک: ریسکها را میتوان با توجه به ماهیت وجودی خود و با توجه به ابعاد، حوزه و گستره اثرگذاری، دسته بندی نمود. این دسته بندی که به تعیین «طبیعت ریسک» موسوم است، به ارزیاب کمک میکند تا با توجه به حوزههای اثرگذاری ریسک، قادر باشد با دقت بیشتری به شناسایی اثرات و عواقب تهدید اقدام نماید. بطور کلی، ریسکها را میتوان به حوزههای زیر تقسیم نمود:
استراتژیک: ریسکهایی که تمامیت، موجودیت و بقای سازمان را با خطر مواجه میکنند مانند فقدان اطلاعات کلیدی و استراتژیک
مالی: اثرات و عواقب مالی به دنبال دارند نظیر غیر قابل استفاده شدن سختافزارها و تجهیزات - عملیاتی: در انجام فعالیتها و فرایندهای سازمان خلل ایجاد میکنند مانند قطع سرویس سرور
تکنولوژیکی: اطلاعات فنی یا سختافزارهای کلیدی را مورد هجوم قرار میدهند
محیطی: بر نیروی انسانی یا شرایط زیست محیطی سازمان تأثیرگذار هستند نظیر آتشسوزی از آنجای که اغلب هر تهدید (ریسک) بیش از یک اثر به دنبال خواهد داشت، لذا با توجه به تنوع اثرات، ممکن است طبیعت یک ریسک در بیش از یک حوزه یا حتی تمامی حوزهها قرار گیرد.
زیان دیدگان (ذینفعان) ریسک منظور از زیان دیده، تمامی افراد یا واحدهایی از سازمان است که بطور مستقیم یا غیر مستقیم تحت تأثیر نتایج تهدید قرار میگیرند. این ذینفعان ممکن است یک یا تمامی موارد ذیل باشند:
کاربر، مسئول بخش، مدیریت ارشد سازمان، کارکنان بخش، تمامی کارکنان سازمان، سهامداران، جامعه
تعیین آثار ریسک: کلیه نتایج و عواقب بروز ریسک است که میتواند هر یک از ذینفعان اطلاعات یا ویژگیهای آنرا تحت تأثیر قرار دهد، در این بخش در نظر گرفته میشود. بهتر است در این بند، بیشتر به اثرات مستقیم ریسک اشاره شود و در صورت وجود ابهام یا کلی گویی، به توالی تبعات و اثرات آن اشاره نمود. این اثرات را میتوان در یک یا چند مورد از انواع ذکر شده، جستجو نمود.
تعیین مشخصههای کمی ریسک
ریسک سختافزار: برای تعیین مشخصههای کمی ریسک (احتمال و اثر) داراییهای سختافزاری، باید از جداول 1و2 استفاده نمود. در این جداول، هر دو مشخصه احتمال و اثر، با توجه به تعاریف و مثالهای ارائه شده، در گستره 1 تا 10 طبقه بندی شدهاند.
لازم به ذکر است که جداول مذکور، استاندارد بوده و بر اساس روش ارزیابی ریسک FEMA، بومی سازی شدهاند.
ریسک نرمافزار: مشابه تعیین مشخصههای کمی ریسک داراییهای سختافزاری انجام خواهد شد.
ریسک اطلاعات: همانند دو دارایی قبل انجام میشود.
ریسک نیروی انسانی: در مورد داراییهای انسانی، با توجه به تفاوت ماهیت این نوع دارایی با داراییهای قبلی، از روش جداگانهای استفاده خواهد شد. در این روش، هفت مؤلفه به عنوان مؤلفه های ارزش نیروی انسانی تعیین می شوند که عبارتند از: تخصص، سابقه، رتبه، سختی کار، مدرک تحصیلی، وجود جایگزین و سطح دسترسی. هر یک از کارکنان سازمان، مطابق راهنمای ارائه شده صفحه بعد، در هر یک از موارد مذکور، امتیازی بین 1 تا 10 دریافت خواهند کرد.
منابع مورد استفاده:ابوالفضل قهرمانی. «ارزیابی ریسک آتشسوزی». پژوهشگاه علوم انسانی.
مهران قلعه نوی. «تکنیکهای ارزیابی ریسک ابزاری کارآمد و گمراه کننده». بهداشت حرفهای و ایمنی صنعتی.
شیرازه ارقامی. «عوامل مؤثر بر ریسک پذیری
کتاب شناسایی مخاطرات فرایندی به روش HAZOP STUDY
[1] TECHNICAL REPORT: ISO/IEC TR 13335-3:1998 (E) Information technology — Guidelines for the management of IT Security -Part 3:Techniques for the management of IT Security[2] TECHNICAL REPORT: ISO/IEC TR 13335-2: Dec 15، 1997، Information technology - Guidelines for the management of IT Security - Part 2: Managing and planning IT Security[3] NIST Computer Security Documentsa. Draft 800-30b. Draft 800-50c. Draft 800-60d. Draft 800-61e. Draft 800-65[4] THE ISO 27000 SERIESf. ISO 27000g. ISO 27002h. ISO 27003[5] NSW