مقاله فرایند امنیتی اطلاعات شامل 43 صفحه به صورت فایل ورد و قابل ویرایش می باشد که یکی از مقاله   های جامع و کامل در مورد  فرایند امنیتی اطلاعات می باشد

روش شناسی معیار خطر

ظاهرا در زمان سنجش خطر میزان پرسش‌ها بسیار بیش از پاسخ‌هاست. اگر بتوان این خطرها را بر حسب ارزش مالی تعیین کرد این فرآیند بسیار ساده تر خواهد بود. اما واقعیت چیز دیگری و اینکار عملا ممکن نیست. بنابراین باید از اطلاعات موجود در جهت سنجش خطر بهره جست. برای هر خطر خلاصه ای از بهترین ، بدترین و محکمترین وضعیت تهیه کنید. سپس برای هر معیار خطر (پول،زمان،منابع،شهرت و زیان تجاری) میزان آسیب هر وضعیت را مشخص کنید. شرح کار خود را بر اساس این معیارها تنظیم کنید.

بهترین وضعیت:‌ سازمان بلافاصله متوجه نفوذ می‌شود. مشکل سریعا برطرف می‌شود و اطلاعات در بیرون سازمان درز  می‌کند. کل خسارت ناچیز است.

بدترین وضعیت:‌ یکی از مشتریان متوجه نفوذ می‌شود و این قضیه را به اطلاع سازمان می‌رساند. مشکل بلافاصله برطرف نمی‌شود. اطلاعات مربوط به این نفوذ در اختیار رسانه‌ها قرار گرفته و در مطبوعات چاپ می‌شود. هزینه کل خسارت بالاست.

محتمل ترین وضعیت:‌ نفوذ بعد از مدتی تشخیص داده می‌شود. برخی اطلاعات مربوط به این حادثه به مشتریان درز می‌کند نه کل آن لذا سازمان قادر به کنترل بخش اعظم اطلاعات است. میزان کل خسارت متوسط است.

ویژگی‌های محتمل ترین وضعیت را می‌توان بر اساس شرایط/  امنیتی  حقیقتی حاکم بر سازمان تعیین نمود. در برخی موارد محتمل ترین وضعیت بدترین وضعیت است.

اکنون برای هر خطر معین نتایج احتمالی هر معیار خطر را مشخص نمائید. پرسش‌های زیر را بپرسید:

– هزینه یک نفوذ موفق چقدر است؟ زمان گفتگو و ردیابی کارکنان، زمان مشاوره و هزینه تجهیزات جدید

– اصلاح یک نفوذ موفق چقدر زمان می‌برد؟ آیا یک نفوذ موفق بر محصول جدید یا برنامه‌های تولید موجود تاثیر می‌گذارد؟

– این حادثه چه تاثیری نام و شهرت سازمان دارد؟

– آیا یک نفوذ موفق باعث شکست تجاری می‌شود؟ اگر بله، چه مقدار و به چه صورت؟

زمانی که به هر سوال پاسخ میدهید جدولی بکشید که نتایج احتمالی هر خطر را نشان دهد. سپس می‌توانید از این اطلاعات برای گسترش روش‌های مناسب مدیریت خطر استفاده کنید.

درس ۷ فرآیند امنیتی اطلاعات

ایمنی اطلاعات یک فرآیند پویشگرا در مدیریت خطر است. بر خلاف یک الگوی واکنشی که در آن سازمان قبل از اقدام برای محافظت از منابع اطلاعاتی حادثه ای را تجربه می‌کند، مدل پویشگرا قبل از بروز تخلف اقدام می‌کند. در مدل واکنش میزان کل هزینه مربوط به امور امنیتی نامشخص است.

کل هزینه ایمنی= هزینه حادثه+ هزینه چاره جوئی

متاسفانه هزینه حادثه تا زمان وقوع آن نامشخص است. از آنجائیکه سازمان قبل از بروز حادثه هیچ اقدا می‌نکرده است ن می‌توان هزینه بروز احتمالی حادثه را تخمین زد. لذا مادامیکه حادثه ای بروز نکرده میزان ریسک سازمان نامشخص است.

خوشبختانه، سازمان‌ها می‌توانند هزینه امنیت اطلاعات را کاهش دهند. برنامه ریزی مناسب ومدیریت خطر هزینه بروز یک حادثه را اگر از بین نبرد به میزان قابل ملاحظه ای کاهش می‌دهد. چنانچه سازمان بیش از بروز حادثه اقدامات لازم را انجام داده و از بروز حادثه ممانعت به عمل آورده باشد هزینه آن چنین برآورد می‌شود.

هزینه امنیت اطلاعات= هزینه چاره جوئی

توجه داشته باشید که:

هزینه حادثه + هزینه چاره جوئی << هزینه چاره جوئی است.

انجام اقدام مناسب پیش از بروز یک روش پویشگر در امنیت اطلاعات است. در این روش سازمان نقاط ضعف خود را مشخص می‌کند و میزان خطری را که سازمان در زمان بروز حادثه با آن مواجه خواهد شد را مشخص  می‌کند.اکنون سازمان  می‌تواند راه حل‌های مقرون به صرفه را برگزیند. این نخستین قدم در فرآیند امنیت اطلاعات است.

فرآیند امنیت اطلاعات (رجوع کنید به شکل ۱-۷) یک فرایند متفاوت است که از ۵ مرحله مهم تشکیل یافته است:

۱- ارزیابی وتشخیص       ۲- سیاست و تدبیر    ۳- اجرا و به کار       ۴- آموزش   ۵- حسابرسی

هرکدام از این مراحل به تنهائی برای سازمان ارزش و اعتبار به همراه دارند هر چند زمانی که همه با هم به خدمت گرفته شوند بنیانی را به وجود  می‌آورندکه سازمان  می‌تواند بر اساس آن خطر بروز حوادث امنیت اطلاعات را به نحوی کارآمد کنترل و مدیریت نماید.

نوع ارزیابی سازمان تغییری در این اهداف ایجاد ن می‌کند. البته میزان نیل به هدف نیز به محدوده کار بستگی دارد. بطور کلی ۵ نوع ارزیابی وجوددارد:

ارزیابی آسیب پذیری در سطح سیستم

سیستمهای رایانه ای از نظر آسیب پذیری‌های مشخص و اجرای سیاست اولیه مورد بررسی قرار  می‌گیرند.

ارزیابی خطر در سطح شبکه

کل شبکه رایانه ای و شالوده اطلاعات سازمان از نظر مناطق خطر مورد ارزیابی قرار  می‌گیرد.

ارزیابی خطر در سطح سازمان

کل سازمان مورد تجزیه و تحلیل قرار  می‌گیرد تا خطراتی را که مستقیما دارائی‌های سازمان را تهدید  می‌کنند مشخص کند. کلیه انواع اطلاعات از جمله اطلاعات الکترونیکی و فیزیکی بررسی  می‌شوند.


جهت دانلود متن کامل مقاله فرایند امنیتی اطلاعات کلیک نمایید