أجهزة الكمبيوتر شبابيك إنترنت
وسعت
الصفحة الرئيسية

طرق ومنتجات البرمجيات لتقييم المخاطر Riscis Watch. برنامج تقييم المخاطر برنامج إدارة المخاطر

لقد وصفنا ودرسنا منهجًا منهجيًا لعملية إدارة المخاطر. يرجع تعقيد النظر في هذه المسألة إلى حقيقة أننا قررنا أنه لا معنى للنظر في الأنشطة الفردية في هذا المجال من أجل إنشاء نظام تحليل وإدارة مخاطر عالي الجودة. فقط إذا تم تطبيق جميع مراحل إدارة المخاطر بشكل كامل ، يمكننا التحدث عن نظام يمكنه ضمان تحقيق الأهداف المحددة.

يعتمد البرنامج المعقد الذي نهدف إلى بدء مناقشته اليوم على المصنوعات (العمليات والأشياء) التي وصفناها سابقًا.

في وسطها:

  • إجراءات التخطيط لأنشطة إدارة المخاطر المعقدة ؛
  • أساليب وأدوات إدارة المخاطر المترابطة بطريقة تكمل و "تثري" بعضها البعض أثناء تنفيذ البرنامج قيد الدراسة.

وبالتالي ، سيكون لدينا اليوم "انغماس" إضافي في نشاط التحليل وإدارة المخاطر ، لذلك دعونا نحبس أنفاسنا ...

مقدمة

حتى الآن ، وصفنا بالفعل أنشطة تحديد وتقييم وتحليل أنواع المخاطر (النوعية والكمية) ، والتنظيم ، وبطريقة تمهيدية ، إدارة المخاطر. أهمية وضرورة تنظيم عمليات التحليل وإدارة المخاطر في برنامج شامل واحد ، والذي سيكون قادرًا على تغطية ومواءمة أجزائه الفردية في مجمع إداري وبرمجي واحد ، كما ذكرنا وأكدنا في المادة المقدمة سابقًا.

سننظر اليوم في قسم تخصص إدارة المخاطر - "برنامج إدارة المخاطر الشامل" ، الذي يحل مشكلة زيادة كفاءة الإجراءات المنظمة بالفعل ، وإدخال جديد ومبتكر وفي نفس الوقت طرق فعالةوالفني ، والحد من الخسائر الواضحة والمحتملة وتعظيم تأثير الأنشطة الرئيسية للشركة.

وتجدر الإشارة هنا إلى أن برنامج إدارة المخاطر الشامل هو أحد خيارات عملية إدارة المخاطر. يمكن اعتبار تنفيذ هذا البرنامج الشامل بديلاً عن تنفيذ إدارة المخاطر. تمثل كل مرحلة من مراحل تحليل المخاطر وعملية الإدارة التي تم النظر فيها مسبقًا المراحل الكاملة لعمليات تنفيذ إدارة المخاطر ، ويمكن استخدامها عند التخطيط لهذا النشاط في مؤسسة معينة ، مع مراعاة التكيف مع شروط معينة للشركة.

يرى العديد من الخبراء أن أهداف برامج إدارة المخاطر يجب أن تكون تحقيق النتائج التالية:

  • الاستخدام الأمثلرأس المال المتاح
  • الحصول على الحد الأقصى من الدخل ؛
  • زيادة استدامة تطوير الشركة.
  • تقليل احتمالية فقدان جزء أو كل قيمة المنتج أو الخدمة المشتقة من عمليات المجال تقنيات المعلومات، منظمة محددة.

وبالتالي ، يجب اعتبار برنامج إدارة المخاطر الشامل ليس فقط كعملية تكنولوجيا معلومات ، ولكن بالأحرى ، بالمعنى السائد لهذا النشاط ، كعنصر أعمال في موضوع إدارة المخاطر ، على التنظيم الصحيح الذي تكون النتيجة النهائية له و سيعتمد مزيد من مكانة المنظمة في السوق.

برنامج إدارة المخاطر

يجب أن يأخذ برنامج إدارة المخاطر الشامل الحديث والناجح في الاعتبار وحل المشكلات المرتبطة بالاحتياجات الحالية للشركة في مجال إدارة المخاطر ، والتي قررت تنفيذ عمليات التحليل وإدارة المخاطر.

عادة ما يكون لمؤسسات إدارة المخاطر الأهداف التالية لهذا المجال:

  • عملية ناجحة في ظروف التعرض للمخاطر ؛
  • الحماية من عوامل الخطر السلبية التي تتداخل مع تنفيذ استراتيجية الشركة وتكتيكاتها ؛
  • الاعتماد المعقول لقرارات الإدارة ، مع الأخذ في الاعتبار المعلومات المتاحة حول المخاطر الواضحة والمحتملة ؛
  • الحفاظ على أدوات وتقنيات المعلومات المتاحة وتطويرها ؛
  • تقليل حساسية الشركة للمخاطر وزيادة استقرار مجال تقنية المعلومات في بيئة محفوفة بالمخاطر.

يجب أن يؤسس برنامج إدارة المخاطر الشامل هيكل موحد للتعامل مع المخاطر ، والتي قد تختلف في خيارات تنفيذ المراحل الفردية ، ولكن في نفس الوقت ، التسلسل (الوارد في الدورة ، في شكل تسلسل عرض المواد) والنتائج (المستندات) لكل مرحلة من المراحل يجب أن تتوافق تمامًا مع تلك التي قدمناها في الدورة التدريبية لدينا:

  • جمع المعلومات ومتطلبات المخاطر:
    • قوائم الأسباب الواضحة والمحتملة التي يمكن أن تؤدي إلى المخاطر ؛
  • تعريف المخاطر:
    • سجل المخاطر؛
  • التقييم الأولي للمخاطر:
    • سجل المخاطر ذات الأولوية ؛
    • استراتيجية إدارة المخاطر
  • التحليل النوعي للمخاطر:
    • وثيقة تحتوي على معلومات عالية الجودة حول المخاطر وطرق معالجتها (التكتيكات) ؛
    • معلومات المخاطر التي يمكن استخدامها في أنشطة التحليل الكمي ؛
    • قاعدة المعرفة / البيانات حول المخاطر المحددة مسبقًا مع وصفها ؛
  • التحليل الكمي للمخاطر:
    • وثيقة تحتوي على معلومات كمية حول المخاطر وطرق معالجتها (التكتيكات) ؛
    • المعلومات الإحصائية التي يمكن استخدامها لمزيد من محاسبة المخاطر وطرق التخطيط لمعالجتها ؛
  • نظام تحليل المخاطر:
    • الإجراءات والأنظمة المطورة التي يجب أن تجمع وتستخدم المستندات التي تم استلامها مسبقًا من أجل تحقيق مؤشرات أداء إدارة المخاطر ؛
  • برنامج إدارة المخاطر الشامل:
    • وثيقة تحتوي على معلومات عن برنامج شامل لإدارة المخاطر ؛
    • خطة إجراءات إدارة المخاطر ؛
  • أنشطة أخرى:
    • خطة مراقبة المخاطر ؛
    • خطة تحسين لتحليل المخاطر وإدارتها ؛

في الوقت نفسه ، يجب تحديث كل من المستندات الموصوفة ومراقبتها في الوقت المناسب في المستقبل ، عند أداء أنشطة إدارة المخاطر في شركة معينة. بهدف بناء برنامج إدارة مخاطر شامل وفعال والتنفيذ السليم للمكونات هذا الهدفالمهام ، سيكون من الممكن السيطرة على المخاطر على جميع المستويات التنظيمية في أي منظمة.

يجب أن يكون مديرو المخاطر قادرين على تقييم الوضع المحيط والمساهمة في تطوير وتنفيذ الوثائق والإجراءات واللوائح اللازمة الموضحة أعلاه ، والتي ينبغي أن تستند إلى المبادئ التالية من مجال عمليات تحليل وإدارة المخاطر ، والتي تم تحديدها من قبل لنا في وقت سابق:

  • نهج متكامل قائم على العمليات لتحليل المخاطر وعمليات الإدارة ؛
  • النظر في أهم المخاطر:
    • إنشاء سجل للمخاطر. تحديث السجل خلال أنشطة عمليات التحليل وإدارة المخاطر ؛
  • تعريف المخاطر؛
  • تحديد "مالك" الخطر ؛
  • استخدام هيكل الدور لعملية إدارة المخاطر ؛
  • استخدام طرق / مجموعات طرق معينة لإدارة مخاطر معينة ؛
  • تعريف مستويات مقبولةالمخاطر:
    • السيطرة على حالة المخاطر ؛

قبل ذلك بقليل ، عندما تحدثنا عن ضمان أنشطة إدارة المخاطر ، تطرقنا إلى موضوع الدعم الوثائقي لمجال العمل هذا ، لكننا لم نكشف عنه بمزيد من التفصيل. في القسم المخصص لتطوير إجراءات إدارة المخاطر ، سوف نولي اهتمامًا خاصًا لهذه النقطة.

وهنا أود أن أقول إن التوثيق وتنفيذها يمثلان "معلمًا" مهمًا للغاية في تطوير برنامج شامل ، وتجاهل الأمر الذي يمكن أن يؤدي إلى حقيقة أن البرنامج المطور سيكون "حدثًا من خطوة واحدة". مثل هذا التنفيذ "يخاطر" بالبقاء في "رؤوس" محددة. سيتم "استكمال" البرنامج المعقد بمغادرة مجموعة من المتخصصين الرئيسيين ، مما يلقي بظلال من الشك على النهج المنهجي للمجال المطور ويظهر عدم فعاليته مع مثل هذا التنفيذ.

يجب أن يقال أن برنامج إدارة المخاطر الشامل يجب أن يتكون من عمليات وإجراءات وأنشطة ، إلخ. يجب مواءمة نتائج المراحل الفردية المدرجة في هذا النشاط "الزائد" مع بعضها البعض بطريقة يمكن تتبع الروابط بين الأنشطة الفردية بشكل واضح. تعتمد النتيجة النهائية لمجال المخاطر وأنشطة المنظمة ككل على مدى النجاح ، والمدروس ، جنبًا إلى جنب مع الأهداف العامة لإدارة المخاطر ، ودمج الأجزاء الفردية في كل مشترك.

تطوير إجراءات إدارة المخاطر. قواعد الاعمال

الإجراءات التي تشكل عملية إدارة المخاطر هي حلول "نموذجية" ، والغرض منها هو تقديم خيارات للاختيار في موقف معين ، وخيارات لحلول محددة مناسبة للاستخدام في موقف خطر مع بعض (معروف وغير معروف) العوامل.

سيعتمد الاختيار لصالح حالة استخدام معينة على مدى تكييف إجراء مطور معين لإدارة مجموعة مخاطر / مخاطر معينة لاحتياجات بيئة معينة (معلمات خارجية وداخلية للموقف) ، يتوافق مع محدد العمليات التي يكون فيها ظهور الخطر ممكنًا ، وستكون فعالة لهذه الحالة.

عند تطوير الإجراءات ، من المستحسن الاسترشاد بالمبادئ المنصوص عليها في أساس أنشطة الشركة. يشار إلى هذه المبادئ عادة باسم قواعد العمل. يتم تشكيل معظمها في عملية "تحقيق" تلك المسلمات التي هي "الرافعات" الدافعة للعمل. إنها ليست واضحة دائمًا (كقاعدة عامة ، لأنها في "رؤوس" عدد محدود من أصحاب المصلحة) ، لكنها تبدأ في الوجود مع بدء الأنشطة التجارية. يعتمد الاستقرار المعطى لتطور واحد أو آخر من خطوط الأعمال التي يتم تطبيقها فيها على مدى ملاحظتها.

إن قواعد العمل وديناميكيات التغيير فيها هي التي تحدد اتجاه تطوير أنظمة المعلومات وهي التي تؤثر على استقرار الشركة ، وفي هذه الحالة عنصر المخاطرة.

وفقًا لما سبق ، من المستحسن استنتاج أن قواعد العمل هي أحد المكونات التي تحدد مقدار "المخاطر" المتاح للإدارة والدراسة.

ولكن في مجتمع الأعمال الحديث ، غالبًا ما يتم تجاهل قواعد العمل و "استبدالها" لسيناريوهات تطوير محددة ، والتي "تشكل أساس" تطوير إجراءات إدارة المخاطر. يجدر هنا توضيح حقيقة أن حالات الاستخدام هي خيارات محددة لتنفيذ المخاطر ، وأن "قواعد العمل" مبادئ عالمية / "شبه عالمية" تحدد حالات الاستخدام ، لذلك من المهم جدًا مراعاة أن قواعد العمل يجب أن تكون تستخدم عند تطوير إجراءات إدارة المخاطر ... في هذه الحالة ، يمكننا التحدث عن حماية موثوقة إلى حد ما للأعمال من المخاطر.

يتم تحديد تكوين إجراءات إدارة المخاطر المطورة من خلال العديد من العوامل ، ولكنها تستند إلى عنصرين رئيسيين يحددان إجراءات إدارة وتحليل إدارة المخاطر:

  • الحالة الحالية "المحفوفة بالمخاطر" للمنظمة ؛
  • حاجة / احتياجات أصحاب المصلحة.

إن احتياجات أصحاب المصلحة هي التي تحدد كيفية تطوير إجراء معين باستخدام "الفيلم الوثائقي" وأنواع الدعم الأخرى. في بعض الحالات ، قد يشمل تطوير الإجراءات الأنشطة التالية:

  • تطوير المقترحات المتعلقة بالمجال الخطير لاستراتيجية / سياسة المؤسسة ؛
  • توثيق إجراءات إدارة المخاطر الرئيسية ؛
  • تطوير منهجية لتقييم أنواع معينة من المخاطر وإجمالي المخاطر ؛
  • إلخ.

إن إجراءات إدارة المخاطر المصممة والمطبقة على النحو الأمثل ستقلل (أو تقضي تمامًا) على الأضرار المحتملة ، وستساهم في استقرار وتطوير الشركة.

مرة أخرى ، ندرج مجموعة من الوثائق التنظيمية والمنهجية التي يجب أن توفر إجراءات إدارة المخاطر بالقاعدة القانونية والأدوات اللازمة:

  • سياسة إدارة المخاطر
  • لوائح إدارة المخاطر
  • إجراءات إدارة المخاطر
  • تعليمات منهجيةعلى وصف وتقييم المخاطر
  • مبادئ توجيهية منهجية لتقييم تأثير المخاطر على عمل الجدول الزمني
  • المبادئ التوجيهية المنهجية لتشكيل مؤشرات المخاطر
  • دليل إجراءات إدارة المخاطر
  • كتيب المخاطر النموذجية

نتيجة لذلك ، يجب القول أنه لا توجد إجراءات لإدارة المخاطر يمكن تطويرها بطريقة تدعي الشمولية والتطبيق الشامل. يجب أن يأخذ كل إجراء في الاعتبار خصوصيات موقف معين ومخاطر معينة ، والتي تم التخطيط لإدارتها باستخدام إجراءات إدارة المخاطر.

طرق إدارة المخاطر

في المقالة السابقة ، نظرنا بإيجاز إلى مجموعة متنوعة من أساليب إدارة المخاطر ، وصنفناها في الفئات الأربع التالية:

  • طرق تجنب المخاطر ؛
  • طرق توطين المخاطر ؛
  • طرق تنويع المخاطر ؛
  • طرق تعويض المخاطر.

تقدم كل طريقة من الطرق الموصوفة محددة ومتخصصة و حلول فعالةبالنسبة للمواقف "الخطرة" المصنفة بطريقة معينة (راجع المقالات الخاصة بالطريقة الكمية والنوعية لتحليل المخاطر) من العامة التي تحددها العوامل التي قد تسبب الضرر لاحقًا.

"فن" معالجة المعلومات الأولية ، والذي يمكن من خلاله عزل "الحبوب" الضرورية من البيانات المفيدة ، راجع المقالة المتعلقة بنهج منهجي لعملية إدارة المخاطر ، ولكن الحاجة إلى الاعتبار الأمثل للعوامل الحاسمة للتصنيف عوامل الخطر هي شرط للتطبيق الناجح لطريقة أو أخرى لإدارة المخاطر ، وبالتالي ، فعالية نظام إدارة المخاطر ككل.

كما تم تبريره سابقًا ، فإن الأخذ في الاعتبار تنوع مكون "المخاطر" والانتقال المحتمل لمجموعة المخاطر / المخاطر ، والتي سيكون من الصعب إلى حد ما التنبؤ باتجاهها ، يعتمد على عدد كبير من المتغيرات:

  • "داخلي" فيما يتعلق بالبيئة الخطرة ؛
  • "الخارجية" فيما يتعلق بالبيئة الخطرة ؛
  • مخاطر أخرى ، بدرجات متفاوتة من التفاعل مع الأصل ؛
  • آثار المظهر ، "الاتصال" ، "الانفصال" ، إلخ. مخاطر؛

لذلك ، فإن أهمية تجميع إحصاءات النظام حول مخاطر معينة هي أيضًا عنصر ضروري للاختيار الناجح لطريقة مؤكدة للتعامل مع المخاطر ، والتي ستضمن خفضًا منهجيًا لمستوى المخاطر. في الوقت نفسه ، يجب أن تعكس الإحصائيات "صورة" شاملة وكافية لتطور المخاطر.

في حالة كون المؤسسة التي يتم فيها تنفيذ إدارة المخاطر كبيرة بدرجة كافية ومستقرة بشكل مشروط في تطورها ، فهناك احتمال أن يتم رفض الاستجابات السريعة اللازمة للتغييرات. كقاعدة عامة ، يرجع هذا إلى فكرة "القصور الذاتي الخاطئ" للحماية الكافية من المخاطر "الناشئة ديناميكيًا" ، والتي يمكن أن تؤدي إلى عواقب وخيمة من المظاهر "القريبة" و "البعيدة" للضرر الناتج.

وتجدر الإشارة إلى أنه في معظم الحالات

(وهو في معظم الحالات يصعب التنبؤ به ، ولكنه عادة ما يكون أكثر خطورة بسبب المعلمات الإضافية غير المحددة)

في مثل هذه الحالة ، تسعى الشركات الصغيرة ، التي لا يفسدها مستوى مقبول من الاستقرار ، إلى الاستجابة بشكل أكثر دقة ومرونة للمخاطر غير المقبولة لها ، وإذا لزم الأمر ، تغيير أولويات أنشطتها ، وهو أمر مستحيل عمليًا بالنسبة للمنظمات المتوسطة والكبيرة .

يجب أن تأخذ المواقف الحقيقية ، التي تتميز بمجموعة متنوعة من عوامل الخطر ، في الاعتبار العوامل الحاسمة بالنسبة لها ، واعتمادًا على ذلك ، اختر الطريقة المثلى لإدارة المخاطر.

الشرط الإضافي الذي يفرض قيودًا على اختيار طريقة إدارة المخاطر هو شخص المدير ، الذي يعتمد قراره على الطريقة التي سيتم اختيارها في النهاية.

من المهم أن يتمكن صانع القرار هذا من النظر إلى صورة العمل بطريقة شاملة بما فيه الكفاية واتخاذ القرار الأفضل لظروف معينة.

الاستنتاجات

لذلك ، في المقالة التالية ، والتي ستكون الجزء الثاني من الموضوع قيد النظر ، سنبدأ بالتفصيل ، مع أمثلة عملية محددة ، وننظر في تصنيف طرق إدارة المخاطر ، وإخضاع "تحلل" عمليات الصيانة و تحسين مجال إدارة المخاطر ، سنحاول تسليط الضوء بالتفصيل على مجموعة الأدوات الضرورية هذه.

في هذه الملاحظة "المثيرة للاهتمام" ، نقول لك وداعًا اليوم.

كل التوفيق ونراكم قريبا أيها الزملاء الأعزاء!

استمرار موضوع تقييم وإدارة المخاطر أمن المعلوماتفي هذا المنشور أود أن أتحدث عن البرامج التي يمكن استخدامها لإجراء تقييم المخاطر. لماذا تحتاج هذا على الإطلاق البرمجيات؟ الحقيقة هي أنه بمجرد أن تغوص بعمق في هذه العملية ، سيتضح على الفور أن إجراء التقييم يرتبط بتركيبات معقدة نوعًا ما. يؤدي الجمع بين الأصول المختلفة ونقاط الضعف والتهديدات والتدابير الوقائية إلى ظهور مئات الآلاف من المجموعات الممكنة التي تصف المخاطر ، وهنا لا يمكنك الاستغناء عن الوسائل المرتجلة. ما يمكن العثور عليه الآن على الإنترنت:


vsRisk... برنامج من شركة Vigilant Software البريطانية. يتم تسويق المنتج بشكل أساسي كبرنامج لتقييم المخاطر وفقًا لمتطلبات ISO 27001 و BS7799-3 (حاليًا ISO27005). على الموقع يمكنك تنزيل نسخة تجريبية لمدة 15 يومًا (الحجم - 390 ميجا بايت). بدا لي النظام بدائيًا إلى حد ما وليس ودودًا على الإطلاق لمستخدم غير مستعد. يحتوي البرنامج ، على سبيل المثال ، على قوائم واسعة جدًا من التهديدات المحتملة ونقاط الضعف والإجراءات المضادة ، لكن النظام نفسه لا يحدد أي علاقات متبادلة بينها ، ويتم ذلك يدويًا بواسطة المستخدم نفسه. بشكل عام ، سأقيم البرنامج لـ 3-كو. لماذا يطلبون 1700 يورو هناك ؟! ثمانية-).

منطقة التجارة التفضيلية.تم تطويره بواسطة PTA Technologies . منتج ممتع للغاية في رأيي. لا يرتبط بأي معيار ويطبق آلية لتقييم المخاطر الكمية (!). بالمناسبة ، أود أن أشير إلى ذلك على أنه عيب في هذا البرنامج ، tk. النقطة المهمة هي أنه لا يمكن تقدير كل شيء بدقة للدولار ، ولا يتم توفير إمكانية التقييم النوعي. يوفر النظام أيضًا آلية مثيرة للاهتمام لتقييم فعالية الإجراءات المضادة المقترحة ، والتي يمكن على أساسها ، على سبيل المثال ، تحديد كيفية تغيير خريطة المخاطر عندما نضيف أو نزيل بعض الإجراءات المضادة.

ينص موقع الويب الخاص بالمطور على أن المنتج مدفوع وأن نسخة تجريبية مدتها 30 يومًا فقط متاحة للتنزيل. كم يكلف المنتج نفسه وكيف يمكن شراؤه - لا توجد معلومات (يبدو أن الطريقة فردية :)).

آر إس إيه آرتشر... تم تطويره بواسطة Archer ، المملوك مؤخرًا لشركة RSA العملاقة. بشكل عام ، يعد آرتشر حصادًا ضخمًا لـ GRC يتضمن العديد من الوحدات المختلفة ، أحدها يوفر إدارة المخاطر. لا توجد نسخة تجريبية للتنزيل ، توجد مقاطع فيديو للعروض التقديمية على الموقع. سعر من هذا المنتجأيضًا لم يتم وضع علامة عليه ، لكنني أعتقد أنه سيكون مكلفًا ، وكذلك كل شيء لـ RSA :)

مدير مخاطر Modulo... طور بواسطة Modulo. يتوفر فقط وصف ضعيف إلى حد ما للوظيفة على الموقع. لا توجد نسخة تجريبية ، ولا مقاطع فيديو مفصلة. ومع ذلك ، حصل المنتج على جائزة مجلة SC ، مما يعني أنه لا يزال يستحق شيئًا ما. لسوء الحظ ، لم أتمكن من التعرف عليه حتى الآن.


استوديو RM.منتج المنظمة التي تحمل نفس الاسم (موقع الكتروني). دتتوفر نسخة تجريبية مدتها 30 يومًا للتنزيل ، بالإضافة إلى ذلك ، يمكنك مشاهدة مقاطع فيديو توضح حالات استخدام المنتج على الموقع. في رأيي ، هذا البرنامج بدائي للغاية من حيث تقييم المخاطر وهو مناسب فقط لأولئك الذين يقومون بتقييم المخاطر "للعرض".


نسر... طور بواسطة الأمن الرقمي. أحضرت منتج البرنامج هذا بدلاً من الصورة العامة فقط. المنتج نفسه لم يتم دعمه من قبل المطور لسنوات عديدة. لذلك ، يمكننا القول أنه في الواقع لم يعد موجودًا بعد الآن. حتى الآن ، هذا هو التطور المحلي الوحيد في هذا المجال المعروف لي.

بصراحة ، ليس كثيرا. أدرك أن مراجعتي لا يمكن أن تدعي أنها مكتملة بنسبة 100٪ ، ولكن لا يزال ....

إذا كان شخص آخر يعرف بعض البرامج الأخرى أو طرقًا أخرى لأتمتة تقييم المخاطر - يرجى كتابة التعليقات ، وسنناقش ذلك.

تحديث مهم!أعلنت ISM SYSTEMS عن تطوير أداة لأتمتة تقييم المخاطر - مراجعة ISM: مدير المخاطر. المعلومات الأولية متاحة هنا - http://www.ismsys.ru/؟page_id=73. المنتج يبدو واعدا. أكثر مراجعة مفصلةسوف افعلها لاحقا.

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

نشر على http://www.allbest.ru/

المؤسسة التعليمية المتخصصة في الميزانية الحكومية لمنطقة روستوف "كلية روستوف أون دون للاتصالات والمعلوماتية"

GBPOU RO "RKSI"

تقرير عن الموضوع:

"طرق ومنتجات البرمجيات لتقييم المخاطر Riscis Watch"

أكمله الطالب: Zheleznichenko Artem

رقم المجموعة IB-22

معلم:

ديمتري تيمشينكو

روستوف اون دون

مقدمة

اليوم ، ليس هناك شك في الحاجة إلى الاستثمار في أمن المعلومات للأعمال التجارية الكبيرة الحديثة. السؤال الرئيسي للأعمال الحديثة هو كيفية تقييم المستوى الكافي من الاستثمارات في أمن المعلومات لضمان أقصى قدر من الكفاءة للاستثمارات في هذا المجال. لحل هذه المشكلة ، هناك طريقة واحدة فقط - استخدام أنظمة تحليل المخاطر التي تسمح بتقييم المخاطر الموجودة في النظام واختيار خيار الحماية الأكثر فعالية (وفقًا لنسبة المخاطر الموجودة في النظام إلى تكاليف المعلومات الأمان).

وفقًا للإحصاءات ، فإن أكبر عقبة أمام اتخاذ أي تدابير لضمان أمن المعلومات في شركة ما هي سببان: قيود الميزانية ونقص الدعم من الإدارة.

ينشأ كلا السببين من سوء فهم الإدارة لخطورة المشكلة وصعوبة قيام مدير تكنولوجيا المعلومات بتبرير سبب ضرورة الاستثمار في أمن المعلومات. في كثير من الأحيان ، يميل الكثير من الناس إلى الاعتقاد بأن المشكلة الرئيسية هي أن مديري تكنولوجيا المعلومات والمديرين التنفيذيين يتحدثون لغات مختلفة- تقنيًا وماليًا ، ولكن بعد كل شيء ، غالبًا ما يجد متخصصو تكنولوجيا المعلومات أنفسهم صعوبة في تقدير ما ينفقون الأموال عليه والمبلغ المطلوب لضمان قدر أكبر من الأمان لنظام الشركة حتى لا تتحول هذه التكاليف إلى عبث أو مفرط، متطرف، متهور.

إذا كان مدير تكنولوجيا المعلومات يفهم بوضوح مقدار الأموال التي يمكن أن تخسرها الشركة في حالة حدوث تهديدات ، وما هي الأماكن الأكثر عرضة للخطر في النظام ، وما هي التدابير التي يمكن اتخاذها لزيادة مستوى الأمان وفي نفس الوقت عدم إنفاق أموال إضافية ، و كل هذا موثق ، ثم يقنع حل المشكلة الإدارة بالاهتمام وتخصيص الأموال لأمن المعلومات يصبح أكثر واقعية.

لحل هذه المشكلة ، تم تطوير مجمعات برمجية لتحليل مخاطر المعلومات والتحكم فيها. أحد أنظمة البرامج هذه هو American RiskWatch (شركة RiskWatch).

1. خصائص RiskWatch

طريقة RiskWath ، التي تم تطويرها بمشاركة المعهد الوطني الأمريكي للمعايير والتكنولوجيا (US NIST) ، ووزارة الدفاع الأمريكية (US DoD) ، والقسم الكندي للدفاع الوطني الكندي (القسم الكندي للدفاع الوطني الكندي) في عام 1998 هو في الواقع المعيار القياسي للمنظمات الحكومية الأمريكية ، ليس فقط في الولايات المتحدة ، ولكن أيضًا في جميع أنحاء العالم.

يعد برنامج RiskWatch ، الذي طورته شركة RiskWatch الأمريكية ، أداة قوية لتحليل وإدارة المخاطر.

تقدم RiskWatch منتجين أساسيين: أحدهما في مجال أمن المعلومات _ أمن تكنولوجيا المعلومات ، والثاني في مجال الأمن المادي _ الأمن المادي. تم تصميم البرنامج لتحديد وتقييم الموارد المحمية والتهديدات ونقاط الضعف وإجراءات الحماية في مجال الكمبيوتر والأمن "المادي" للمؤسسة. علاوة على ذلك ، يتم اقتراحه لأنواع مختلفة من المنظمات إصدارات مختلفةالبرمجيات.

يأخذ خط المنتجات المصمم لإدارة المخاطر في الأنظمة المختلفة في الاعتبار متطلبات هذه المعايير (المستندات): ISO 17799 ، ISO 27001 ، COBIT 4.0 ، NIST 800-53 ، NIST 800-66 ، إلخ.

تشتمل عائلة RiskWatch على منتجات برمجية لأنواع مختلفة من عمليات تدقيق الأمان. يتضمن أدوات التدقيق وتحليل المخاطر التالية:

1. مراقبة المخاطر للأمن المادي - للأساليب المادية لحماية الملكية الفكرية ؛

2. مراقبة المخاطر لأنظمة المعلومات - للمخاطر المعلوماتية.

3. HIPAA-WATCH لصناعة الرعاية الصحية - لتقييم الامتثال لمتطلبات معيار HIPAA ؛

4. RiskWatch RW17799 لـ ISO17799 - لتقييم متطلبات معيار ISO17799.

2. مزايا وعيوب RiskWatch

من المزايا المهمة لـ RiskWatch من وجهة نظر المستهلك بساطتها النسبية ، وانخفاض كثافة العمالة للترويس والمرونة الكبيرة للأسلوب ، التي توفرها إمكانية تقديم فئات وأوصاف وأسئلة جديدة وما إلى ذلك. على أساس هذه الطريقة ، يمكن للمطورين المحليين إنشاء ملفات تعريف خاصة بهم ، مع مراعاة المتطلبات المحلية في مجال الأمن ، وتطوير أساليب الإدارة للتحليل وإدارة المخاطر.

على الرغم من مزاياها ، فإن RiskWatch عيوبه.

هذه الطريقة مناسبة إذا كنت بحاجة إلى إجراء تحليل للمخاطر على مستوى حماية البرامج والأجهزة ، دون مراعاة العوامل التنظيمية والإدارية. تقييمات المخاطر الناتجة (التوقع الرياضي للخسائر) بعيدة كل البعد عن استنفاد فهم المخاطر من وجهة نظر نظامية - لا تأخذ الطريقة في الاعتبار نهجًا متكاملًا لأمن المعلومات.

1. يتوفر برنامج RiskWatch باللغة الإنجليزية فقط.

2. ارتفاع تكلفة الترخيص - من 15000 دولار أمريكي لكل مقعد لشركة صغيرة ومن 125000 دولار أمريكي لترخيص الشركة.

3. منهجية تحليل المخاطر التي يقوم عليها برنامج RiskWatch

تساعدك أداة RiskWatch في إجراء تحليل للمخاطر واتخاذ خيارات مدروسة بشأن التدابير والعلاجات. التقنية المستخدمة في البرنامج تتضمن 4 مراحل:

من الضروري النظر بمزيد من التفصيل في كل مرحلة من مراحل منهجية تحليل المخاطر.

1. في المرحلة الأولى ، يتم وصف المعايير العامة للمنظمة - نوع المنظمة ، وتكوين النظام قيد الدراسة ، ومتطلبات الأمان الأساسية. تم إضفاء الطابع الرسمي على الوصف في عدد من البنود الفرعية التي يمكن تحديدها للمزيد وصف مفصلأو تخطي.

2. المرحلة الثانية هي إدخال البيانات التي تصف الخصائص المحددة للنظام. يمكن إدخال البيانات يدويًا أو استيرادها من التقارير التي تم إنشاؤها بواسطة أدوات البحث عن نقاط ضعف شبكة الكمبيوتر. في هذه المرحلة ، يتم تفصيل فئات الموارد والخسائر والحوادث.

3. المرحلة الثالثة هي تقييم المخاطر. أولاً ، يتم إنشاء روابط بين الموارد والخسائر والتهديدات ونقاط الضعف التي تم تحديدها في المراحل السابقة. بالنسبة للمخاطر ، يتم حساب التوقعات الرياضية للخسائر للسنة باستخدام الصيغة:

حيث p هي تكرار حدوث التهديد خلال العام ، v هي تكلفة المورد المعرض للخطر.

4. المرحلة الرابعة هي إعداد التقارير. أنواع التقارير: ملخصات قصيرة. تقارير كاملة وموجزة للعناصر الموضحة في المرحلتين 1 و 2 ؛ تقرير عن تكلفة الموارد المحمية والخسائر المتوقعة من تنفيذ التهديدات ؛ تقرير عن التهديدات والتدابير المضادة ؛ تقرير تدقيق الأمن.

استنتاج

برنامج أمن المعلومات

برنامج RiskWatch هو برنامج تم تطويره بواسطة شركة RiskWatch الأمريكية.

تساعدك أداة RiskWatch في إجراء تحليل للمخاطر واتخاذ خيارات مدروسة بشأن التدابير والعلاجات. على الرغم من ذلك ، هناك بعض العيوب في برنامج "ريسك ووتش": ارتفاع تكلفة الترخيص ؛ يتوفر برنامج RiskWatch باللغة الإنجليزية فقط.

يعتمد منتج RiskWatch على منهجية لتحليل المخاطر تتكون من أربع مراحل.

المرحلة الأولى هي تحديد موضوع البحث.

المرحلة الثانية هي إدخال البيانات التي تصف الخصائص المحددة للنظام.

الخطوة الثالثة والأكثر أهمية هي القياس الكمي.

المرحلة الرابعة هي توليد التقارير.

تم النشر في Allbest.ru

وثائق مماثلة

    طرق تقييم مخاطر المعلومات وخصائصها وسماتها المميزة وتقييم المزايا والعيوب. تطوير منهجية لتقييم المخاطر باستخدام مثال منهجية Microsoft ، نموذج تقييم المخاطر لأمن معلومات الشركة.

    أطروحة تمت إضافتها في 08/02/2012

    جوهر وطرق تقييم أمن المعلومات. أهداف تنفيذه. طرق تحليل مخاطر تقنية المعلومات. مؤشرات وخوارزمية لحساب مخاطر تهديد داعش. مخاطر حساب المعلومات على مثال خادم الويب لشركة تجارية.

    ورقة مصطلح ، تمت الإضافة 11/25/2013

    جوهر المعلومات وتصنيفها. المشاكل الرئيسية لضمان وتهديدات أمن المعلومات للمؤسسة. تحليل المخاطر ومبادئ أمن معلومات المؤسسة. تطوير مجموعة من الإجراءات لضمان أمن المعلومات.

    تمت إضافة ورقة مصطلح في 17/05/2016

    تطوير نظام معلومات ذكي للتعلم الذاتي لتحليل الجدارة الائتمانية للمقترض وتقييم مخاطر الائتمان على أساس نهج الحوسبة المناعية. تطبيق إجراءات التجميع والتصنيف وتشكيل تقييمات المخاطر.

    تمت إضافة ورقة مصطلح 06/09/2012

    منهجية البحث والتحليل لأدوات المراجعة أنظمة النوافذلاكتشاف وصول البرامج غير المصرح بها إلى موارد أجهزة الكمبيوتر. تحليل تهديدات أمن المعلومات. خوارزمية الأداة البرمجية.

    أطروحة تمت إضافة 06/28/2011

    البرمجيات و المواصفات الفنيةنظم المعلومات للمؤسسة. متطلبات المعلومات وتوافق البرامج. تصميم البرمجيات باستخدام حزم البرامج المتخصصة. تطوير قواعد البيانات.

    تقرير ممارسة ، تمت إضافة 04/11/2019

    تصنيف المخاطر الرئيسية وتحديدها. تخطيط وتقييم مخاطر نظام المعلومات في المنظمة ، واتخاذ الإجراءات اللازمة للقضاء على المخاطر. تحديد نقطة التعادل للمشروع. حساب تكلفة الخسائر واحتمال وقوع المخاطر.

    العمل المخبري ، أضيف بتاريخ 01/20/2016

    المفهوم والفرق الرئيسي لتطوير البرمجيات الموزعة ومزاياها وعيوبها. الحل المفاهيمي واختيار نوع التطوير. ميزات البرامج مفتوحة المصدر مصدر الرمز... فكرة مفتوحة المصدر وتطويرها.

    ورقة مصطلح ، تمت إضافة 12/14/2012

    أتمتة الأنشطة لتحليل النشاط التجاري للمؤسسة. تنفيذ المنهجية المقترحة في شكل برمجيات والمتطلبات الأساسية لها. هيكل وتكوين المجمع وحدات البرامج، دليل المستخدم.

    ورقة مصطلح ، تمت الإضافة في 05/28/2013

    تحليل مخاطر أمن المعلومات. تقييم العلاجات الحالية والمخطط لها. مجموعة من الإجراءات التنظيمية لضمان أمن المعلومات وحماية معلومات المؤسسة. حالة اختبار تنفيذ المشروع ووصفها.

متابعة لموضوع تقييم وإدارة مخاطر أمن المعلومات في هذا المنشور ، أود التحدث عن البرامج التي يمكن استخدامها لإجراء تقييم المخاطر. لماذا تحتاج هذا البرنامج على الإطلاق؟ الحقيقة هي أنه بمجرد أن تغوص بعمق في هذه العملية ، سيتضح على الفور أن إجراء التقييم يرتبط بتركيبات معقدة نوعًا ما. يؤدي الجمع بين الأصول المختلفة ونقاط الضعف والتهديدات والتدابير الوقائية إلى ظهور مئات الآلاف من المجموعات الممكنة التي تصف المخاطر ، وهنا لا يمكنك الاستغناء عن الوسائل المرتجلة. ما يمكن العثور عليه الآن على الإنترنت:


vsRisk... برنامج من شركة Vigilant Software البريطانية. يتم تسويق المنتج بشكل أساسي كبرنامج لتقييم المخاطر وفقًا لمتطلبات ISO 27001 و BS7799-3 (حاليًا ISO27005). على الموقع يمكنك تنزيل نسخة تجريبية لمدة 15 يومًا (الحجم - 390 ميجا بايت). بدا لي النظام بدائيًا إلى حد ما وليس ودودًا على الإطلاق لمستخدم غير مستعد. يحتوي البرنامج ، على سبيل المثال ، على قوائم واسعة جدًا من التهديدات المحتملة ونقاط الضعف والإجراءات المضادة ، لكن النظام نفسه لا يحدد أي علاقات متبادلة بينها ، ويتم ذلك يدويًا بواسطة المستخدم نفسه. بشكل عام ، سأقيم البرنامج لـ 3-كو. لماذا يطلبون 1700 يورو هناك ؟! ثمانية-).

منطقة التجارة التفضيلية.تم تطويره بواسطة PTA Technologies . منتج ممتع للغاية في رأيي. لا يرتبط بأي معيار ويطبق آلية لتقييم المخاطر الكمية (!). بالمناسبة ، أود أن أشير إلى ذلك على أنه عيب في هذا البرنامج ، tk. النقطة المهمة هي أنه لا يمكن تقدير كل شيء بدقة للدولار ، ولا يتم توفير إمكانية التقييم النوعي. يوفر النظام أيضًا آلية مثيرة للاهتمام لتقييم فعالية الإجراءات المضادة المقترحة ، والتي يمكن على أساسها ، على سبيل المثال ، تحديد كيفية تغيير خريطة المخاطر عندما نضيف أو نزيل بعض الإجراءات المضادة.

ينص موقع الويب الخاص بالمطور على أن المنتج مدفوع وأن نسخة تجريبية مدتها 30 يومًا فقط متاحة للتنزيل. كم يكلف المنتج نفسه وكيف يمكن شراؤه - لا توجد معلومات (يبدو أن الطريقة فردية :)).

آر إس إيه آرتشر... تم تطويره بواسطة Archer ، المملوك مؤخرًا لشركة RSA العملاقة. بشكل عام ، يعد آرتشر حصادًا ضخمًا لـ GRC يتضمن العديد من الوحدات المختلفة ، أحدها يوفر إدارة المخاطر. لا توجد نسخة تجريبية للتنزيل ، توجد مقاطع فيديو للعروض التقديمية على الموقع. لم يتم الإشارة إلى تكلفة هذا المنتج أيضًا ، لكنني أعتقد أنها ستكون باهظة الثمن ، وكذلك كل شيء بالنسبة لـ RSA :)

مدير مخاطر Modulo... طور بواسطة Modulo. يتوفر فقط وصف ضعيف إلى حد ما للوظيفة على الموقع. لا توجد نسخة تجريبية ، ولا مقاطع فيديو مفصلة. ومع ذلك ، حصل المنتج على جائزة مجلة SC ، مما يعني أنه لا يزال يستحق شيئًا ما. لسوء الحظ ، لم أتمكن من التعرف عليه حتى الآن.


استوديو RM.منتج المنظمة التي تحمل نفس الاسم (موقع الكتروني). دتتوفر نسخة تجريبية مدتها 30 يومًا للتنزيل ، بالإضافة إلى ذلك ، يمكنك مشاهدة مقاطع فيديو توضح حالات استخدام المنتج على الموقع. في رأيي ، هذا البرنامج بدائي للغاية من حيث تقييم المخاطر وهو مناسب فقط لأولئك الذين يقومون بتقييم المخاطر "للعرض".


نسر... طور بواسطة الأمن الرقمي. أحضرت منتج البرنامج هذا بدلاً من الصورة العامة فقط. المنتج نفسه لم يتم دعمه من قبل المطور لسنوات عديدة. لذلك ، يمكننا القول أنه في الواقع لم يعد موجودًا بعد الآن. حتى الآن ، هذا هو التطور المحلي الوحيد في هذا المجال المعروف لي.

بصراحة ، ليس كثيرا. أدرك أن مراجعتي لا يمكن أن تدعي أنها مكتملة بنسبة 100٪ ، ولكن لا يزال ....

إذا كان شخص آخر يعرف بعض البرامج الأخرى أو طرقًا أخرى لأتمتة تقييم المخاطر - يرجى كتابة التعليقات ، وسنناقش ذلك.

تحديث مهم!أعلنت ISM SYSTEMS عن تطوير أداة لأتمتة تقييم المخاطر - مراجعة ISM: مدير المخاطر. المعلومات الأولية متاحة هنا - http://www.ismsys.ru/؟page_id=73. المنتج يبدو واعدا. سأقوم بمراجعة أكثر تفصيلا في وقت لاحق.

إن الحاجة إلى الاستثمار في أمن المعلومات (IS) للأعمال التجارية أمر لا شك فيه. لتأكيد أهمية مهمة ضمان أمن الأعمال ، سنستخدم تقرير مكتب التحقيقات الفيدرالي الصادر على أساس مسح للشركات الأمريكية (الشركات المتوسطة والكبيرة). إحصائيات الحوادث في مجال أمن تكنولوجيا المعلومات لا ترحم. وفقًا لمكتب التحقيقات الفيدرالي ، تعرضت 56٪ من الشركات التي شملها الاستطلاع للهجوم هذا العام (الشكل 1).

ولكن كيف يمكن تقييم مستوى الاستثمار في أمن المعلومات الذي يضمن أقصى كفاءة للأموال المستثمرة؟ لحل هذه المشكلة ، هناك طريقة واحدة فقط - لاستخدام أنظمة تحليل المخاطر التي تسمح بتقييم المخاطر الموجودة في النظام واختيار خيار الحماية الأمثل من حيث الكفاءة (وفقًا لنسبة المخاطر الموجودة في النظام إلى التكاليف أمن المعلومات).

مبرر الاستثمار

وفقًا للإحصاءات ، ترتبط أخطر العقبات التي تحول دون اتخاذ أي إجراءات لضمان أمن المعلومات في الشركة لسببين: قيود الميزانية ونقص الدعم من الإدارة.

ينشأ هذان السببان من سوء فهم الإدارة لخطورة المشكلة وعدم قدرة مدير تكنولوجيا المعلومات على تبرير سبب الاستثمار في أمن المعلومات. غالبًا ما يُعتقد أن المشكلة الرئيسية تكمن في حقيقة أن مديري تكنولوجيا المعلومات والمديرين التنفيذيين يتحدثون لغات مختلفة - تقنية ومالية ، ولكن بعد كل شيء ، غالبًا ما يجد متخصصو تكنولوجيا المعلومات أنفسهم صعوبة في تقييم ما يتم إنفاق الأموال عليه ومقدارها. المطلوب لتحسين أمن نظام الشركة ، بحيث لا تضيع هذه التكاليف أو تكون مفرطة.

إذا كان مدير تكنولوجيا المعلومات يفهم بوضوح مقدار الأموال التي يمكن أن تخسرها الشركة في حالة حدوث تهديدات ، فما هي الأماكن الأكثر عرضة للخطر في النظام ، وما هي التدابير التي يمكن اتخاذها لزيادة مستوى الأمان دون إنفاق أموال إضافية ، وكل هذا موثق ، ثم تصبح مهام اتخاذ القرار الخاصة به - لإقناع الإدارة بالاهتمام وتخصيص الأموال لأمن المعلومات - أكثر واقعية.

لحل هذا النوع من المشاكل ، تم تطوير أساليب وأنظمة برمجية خاصة لتحليل مخاطر المعلومات والتحكم فيها بناءً عليها. سننظر في نظام CRAMM الخاص بالشركة البريطانية Insight Consulting (http://www.insight.co.uk) ، والشركة الأمريكية RiskWatch التي تحمل الاسم نفسه (http://www.riskwatch.com) وحزمة GRIF الروسية من الأمن الرقمي (http: // www .dsec.ru). يتم عرض خصائصها المقارنة في الجدول.

التحليل المقارن لأدوات تحليل المخاطر

معايير المقارنة كرام مراقبة المخاطر GRIF 2005 مكتب الأمن الرقمي
الدعم متاح متاح متاح
سهولة التشغيل للمستخدم يتطلب تدريبًا خاصًا ومؤهلات عالية من المراجع تستهدف الواجهة مديري تكنولوجيا المعلومات والمديرين التنفيذيين ؛ لا يتطلب معرفة خاصة في مجال أمن المعلومات
تكلفة الترخيص لكل مكان عمل واحد ، بالدولار الأمريكي 2000 إلى 5000 من 10000 من 1000
متطلبات النظام

نظام التشغيل Windows 98 / Me / NT / 2000 / XP
مساحة القرص الحرة 50 ميغا بايت

الحد الأدنى من المتطلبات:
تردد المعالج 800 ميجا هرتز ، ذاكرة 64 ميجا بايت

 نظام التشغيل Windows 2000 / XP
مساحة حرة على القرص للتثبيت 30 ميجابايت
معالج إنتلبنتيوم أو متوافق ، ذاكرة 256 ميجا بايت

نظام التشغيل Windows 2000 / XP

الحد الأدنى من المتطلبات:
مساحة خالية على القرص (للقرص مع بيانات المستخدم) 300 ميجا بايت ، 256 ميجا بايت من الذاكرة

وظائف

ادخال البيانات:

  • مصادر؛
  • قيمة الموارد ؛
  • التهديدات؛
  • نقاط ضعف النظام
  • اختيار الإجراءات المضادة المناسبة.

خيارات التقرير:

  • تقرير تحليل المخاطر
  • تقرير عام عن تحليل المخاطر ؛
  • تقرير مفصل عن تحليل المخاطر.

ادخال البيانات:

  • نوع نظام المعلومات
  • متطلبات الأمان الأساسية ؛
  • مصادر؛
  • خسائر؛
  • التهديدات؛
  • نقاط الضعف؛
  • تدابير وقائية؛
  • قيمة الموارد ؛
  • تواتر حدوث التهديدات ؛
  • اختيار الإجراءات المضادة.

خيارات التقرير:

  • ملخص قصير؛
  • تقرير عن تكلفة الموارد المحمية والخسائر المتوقعة من تنفيذ التهديدات ؛
  • تقرير ROI

ادخال البيانات:

  • مصادر؛
  • أجهزة الشبكة
  • أنواع المعلومات
  • مجموعات المستخدمين
  • العلاجات؛
  • التهديدات؛
  • نقاط الضعف؛
  • اختيار الإجراءات المضادة.

تكوين التقرير:

  • جرد الموارد
  • المخاطر حسب نوع المعلومات ؛
  • مخاطر الموارد؛
  • نسبة الضرر ومخاطر المعلومات والموارد ؛
  • إجراءات مضادة مختارة
  • توصيات الخبراء.
الطريقة الكمية / النوعية التقييم النوعي تحديد الكميات التقييم النوعي والكمي
حل الشبكة غائب غائب Enterprise Edition مكتب الأمن الرقمي 2005

كرام

تم تطوير طريقة CRAMM (تحليل المخاطر CCTA وطريقة الإدارة) من قبل وكالة الكمبيوتر والاتصالات المركزية في بريطانيا العظمى بناءً على تعليمات من الحكومة البريطانية وتم اعتمادها كمعيار حكومي. منذ عام 1985 تم استخدامه من قبل المنظمات الحكومية والتجارية في المملكة المتحدة. خلال هذا الوقت ، اكتسب CRAMM شعبية في جميع أنحاء العالم. تقوم Insight Consulting بتطوير وصيانة منتج برمجي يطبق طريقة CRAMM.

لم يتم اختيار طريقة CRAMM (http://www.cramm.com) عن طريق الخطأ من قبلنا لمزيد من الدراسة التفصيلية. حاليًا ، يعد CRAMM أداة قوية ومتعددة الاستخدامات تسمح ، بالإضافة إلى تحليل المخاطر ، بحل عدد من مهام التدقيق الأخرى ، بما في ذلك:

  • مسح IS وإصدار الوثائق المصاحبة في جميع مراحل تنفيذها ؛
  • التدقيق وفقًا لمتطلبات الحكومة البريطانية ، وكذلك BS 7799: 1995 Code of Practice لإدارة أمن المعلومات ؛
  • تطوير سياسة الأمن وخطة استمرارية الأعمال.

تعتمد طريقة CRAMM على نهج متكامل لتقييم المخاطر ، يجمع بين الأساليب الكمية والنوعية للتحليل. الطريقة عالمية ومناسبة لكل من المؤسسات الكبيرة والصغيرة في كل من القطاعين الحكومي والتجاري. تختلف إصدارات برامج CRAMM التي تستهدف أنواعًا مختلفة من المؤسسات عن بعضها البعض في قواعد المعرفة (الملفات الشخصية): هناك ملف تعريف تجاري للمؤسسات التجارية ، وملف تعريف حكومي للمؤسسات الحكومية. تسمح النسخة الحكومية من الملف الشخصي أيضًا بالتدقيق للامتثال لمتطلبات المعيار الأمريكي ITSEC ("الكتاب البرتقالي"). يظهر رسم تخطيطي مفاهيمي لمسح CRAMM في الشكل. 2.

من خلال الاستخدام الصحيح لطريقة CRAMM ، من الممكن الحصول على نتائج جيدة جدًا ، ولعل أهمها هو إمكانية التبرير الاقتصادي لتكاليف المنظمة لضمان أمن المعلومات واستمرارية الأعمال. توفر استراتيجية إدارة المخاطر السليمة اقتصاديًا الأموال في نهاية المطاف مع تجنب التكاليف غير الضرورية.

يتضمن CRAMM تقسيم الإجراء بأكمله إلى ثلاث مراحل متتالية. تتمثل مهمة المرحلة الأولى في الإجابة على السؤال: "هل تكفي حماية النظام باستخدام أدوات المستوى الأساسي التي تنفذ وظائف الأمان التقليدية ، أم أنه من الضروري إجراء تحليل أكثر تفصيلاً؟" في المرحلة الثانية ، يتم تحديد المخاطر وتقييم حجمها. في المرحلة الثالثة ، يتم تحديد مسألة اختيار التدابير المضادة المناسبة.

تحدد منهجية CRAMM لكل مرحلة مجموعة من البيانات الأولية ، وسلسلة من الأنشطة ، واستبيانات للمقابلات ، وقوائم المراجعة ومجموعة من وثائق الإبلاغ.

في المرحلة الأولى من الدراسة ، يتم تحديد وتحديد قيمة الموارد المحمية. يتم إجراء التقييم على مقياس من عشر نقاط ، ويمكن أن يكون هناك العديد من معايير التقييم - الخسائر المالية ، والأضرار التي لحقت بالسمعة ، وما إلى ذلك. توفر أوصاف CRAMM مثالاً لمقياس التصنيف هذا وفقًا لمعيار "الخسائر المالية المرتبطة بـ استعادة الموارد ":

  • نقطتان - أقل من 1000 دولار ؛
  • 6 نقاط - من 1000 دولار إلى 10000 دولار ؛
  • 8 نقاط - من 10000 دولار إلى 100000 دولار ؛
  • 10 نقاط - أكثر من 100000 دولار

مع وجود درجة منخفضة لجميع المعايير المستخدمة (3 نقاط وأقل) ، يُعتبر أن المستوى الأساسي من الحماية كافٍ للنظام قيد الدراسة (لا يتطلب هذا المستوى تقييمًا تفصيليًا لتهديدات أمن المعلومات) ، والثاني تم تخطي مرحلة الدراسة.

في المرحلة الثانية ، يتم تحديد وتقييم التهديدات في مجال أمن المعلومات ، ويتم إجراء بحث وتقييم لنقاط الضعف في النظام المحمي. يتم تقييم مستوى التهديد وفقًا للمقياس التالي: مرتفع جدًا ، مرتفع ، متوسط ​​، منخفض ، منخفض جدًا. تم تصنيف الثغرة الأمنية على أنها عالية أو متوسطة أو منخفضة. بناءً على هذه المعلومات ، يُحسب تقدير مستوى المخاطر على مقياس من سبع نقاط (الشكل 3).

في المرحلة الثالثة ، يولد CRAMM خيارات للتدابير المضادة للمخاطر المحددة. يقدم المنتج الأنواع التالية من التوصيات:

  • توصيات عامة؛
  • توصيات محددة ؛
  • أمثلة على كيفية تنظيم الحماية في هذه الحالة.

يحتوي CRAMM على قاعدة بيانات واسعة ، والتي تحتوي على أوصاف لحوالي 1000 مثال على تنفيذ أنظمة الأمان الفرعية لأنظمة الكمبيوتر المختلفة. يمكن استخدام هذه الأوصاف كقوالب.

يتم اتخاذ قرار إدخال آليات أمنية جديدة في النظام وتعديل الآليات القديمة من قبل إدارة المنظمة ، مع الأخذ في الاعتبار التكاليف المرتبطة بها ومقبوليتها والفائدة النهائية للأعمال. مهمة المدقق هي تبرير الإجراءات الموصى بها لإدارة المنظمة.

إذا تم اتخاذ قرار بإدخال إجراءات مضادة جديدة وتعديل الإجراءات القديمة ، فقد يتم تكليف المراجع بإعداد خطة تنفيذ وتقييم فعالية استخدام هذه التدابير. حل هذه المشاكل خارج نطاق طريقة CRAMM.

تشمل عيوب طريقة CRAMM ما يلي:

  • تتطلب الطريقة تدريبًا خاصًا ومؤهلات عالية من المراجع ؛
  • يعد التدقيق باستخدام طريقة CRAMM عملية شاقة إلى حد ما وقد تتطلب شهورًا من العمل المستمر للمدقق ؛
  • يعتبر CRAMM أكثر ملاءمة لمراجعة نظم المعلومات الموجودة بالفعل ، والتي يتم تشغيلها ، بدلاً من أنظمة المعلومات قيد التطوير ؛
  • تولد مجموعة أدوات برامج CRAMM قدرًا كبيرًا من الوثائق الورقية ، والتي لا تكون مفيدة دائمًا في الممارسة ؛
  • لا يسمح لك CRAMM بإنشاء قوالب التقارير الخاصة بك أو تعديل النماذج الموجودة ؛
  • لا تتوفر إمكانية إضافة إضافات إلى قاعدة معارف CRAMM للمستخدمين ، مما يسبب بعض الصعوبات في تكييف هذه الطريقة مع احتياجات مؤسسة معينة ؛
  • برنامج CRAMM غير مترجم ، موجود باللغة الإنجليزية فقط ؛
  • تكلفة ترخيص عالية - من 2000 دولار إلى 5000 دولار

مراقبة المخاطر

برنامج RiskWatch هو أداة قوية لتحليل وإدارة المخاطر. تشتمل عائلة RiskWatch على منتجات برمجية لأنواع مختلفة من عمليات تدقيق الأمان. يتضمن أدوات التدقيق وتحليل المخاطر التالية:

  • RiskWatch للأمان المادي - للطرق المادية لحماية IP ؛
  • RiskWatch لأنظمة المعلومات - لمخاطر المعلومات ؛
  • HIPAA-WATCH لصناعة الرعاية الصحية - لتقييم الامتثال لمتطلبات معيار HIPAA (قانون نقل التأمين الصحي والمساءلة في الولايات المتحدة) ؛
  • RiskWatch RW17799 لـ ISO 17799 - لتقييم الامتثال للمعيار ISO 17799.

تستخدم طريقة RiskWatch التنبؤ السنوي بالخسارة (ALE) والعائد على الاستثمار (ROI) كمعايير لتقييم وإدارة المخاطر.

تتمتع مجموعة منتجات البرامج RiskWatch بالعديد من الفوائد. تساعدك أداة RiskWatch في إجراء تحليل للمخاطر واتخاذ خيارات مدروسة بشأن التدابير والعلاجات. على عكس CRAMM ، يركز برنامج RiskWatch بشكل أكبر على التحديد الدقيق لنسبة الخسائر من التهديدات الأمنية إلى تكلفة إنشاء نظام حماية. وتجدر الإشارة أيضًا إلى أنه في هذا المنتج ، يتم النظر في المخاطر في مجال المعلومات والأمن المادي لشبكة كمبيوتر المؤسسة معًا.

يعتمد منتج RiskWatch على منهجية تحليل المخاطر ، والتي يمكن تقسيمها إلى أربع مراحل.

المرحلة الأولى هي تحديد موضوع البحث. يصف معلمات مثل نوع المنظمة ، وتكوين النظام قيد الدراسة (بعبارات عامة) ، والمتطلبات الأساسية في مجال الأمن. لتسهيل عمل المحلل ، توفر النماذج المقابلة لنوع المنظمة ("نظام المعلومات التجارية" ، "نظام المعلومات الحكومية / العسكرية" ، إلخ) قوائم بفئات الموارد المحمية ، والخسائر ، والتهديدات ، ونقاط الضعف ، وتدابير الحماية. من بين هؤلاء ، تحتاج إلى اختيار أولئك الموجودين بالفعل في المنظمة.

على سبيل المثال ، يتم توفير الفئات التالية للخسائر:

  • التأخير والحرمان من الخدمة ؛
  • الإفصاح عن المعلومات؛
  • الخسائر المباشرة (على سبيل المثال ، من تدمير المعدات بالنار) ؛
  • الحياة والصحة (الأفراد ، العملاء ، إلخ) ؛
  • تغيير البيانات
  • الخسائر غير المباشرة (على سبيل المثال ، تكاليف الاستعادة) ؛
  • سمعة.

المرحلة الثانية هي إدخال البيانات التي تصف الخصائص المحددة للنظام. يمكن إدخالها يدويًا أو استيرادها من التقارير التي تم إنشاؤها بواسطة أدوات البحث عن نقاط ضعف شبكة الكمبيوتر.

في هذه المرحلة ، يتم تفصيل فئات الموارد والخسائر والحوادث. يتم الحصول على فئات الحوادث من خلال مطابقة فئة الخسارة وفئة الموارد.

لتحديد نقاط الضعف المحتملة ، يتم استخدام استبيان ، تحتوي قاعدة البيانات الخاصة به على أكثر من 600 سؤال. الأسئلة تتعلق بفئات الموارد. يتم تحديد وتيرة حدوث كل من التهديدات المحددة ، ودرجة الضعف وقيمة الموارد. يتم استخدام كل هذا في المستقبل لحساب تأثير إدخال معدات الحماية.

المرحلة الثالثة وربما الأكثر أهمية هي التقييم الكمي. في هذه المرحلة ، يتم حساب ملف تعريف المخاطر واختيار إجراءات الأمان. أولاً ، يتم إنشاء روابط بين الموارد والخسائر والتهديدات ونقاط الضعف التي تم تحديدها في الخطوات السابقة للدراسة (يتم وصف المخاطر من خلال مزيج من هذه المعايير الأربعة).

في الواقع ، يتم تقدير المخاطر باستخدام التوقع الرياضي للخسائر للسنة. على سبيل المثال ، إذا كانت تكلفة الخادم 150 ألف دولار ، وكان احتمال تدميره بالنار في غضون عام 0.01 ، فإن الخسارة المتوقعة هي 1500 دولار.

خضعت الصيغة المعروفة m = pxv ، حيث m هو التوقع الرياضي ، و p هو احتمال وجود تهديد ، و v هي تكلفة المورد ، وقد خضعت لبعض التغييرات نظرًا لحقيقة أن RiskWatch يستخدم التقديرات التي حددها المعهد الأمريكي لـ معايير NIST ، تسمى LAFE و SAFE. يُظهر LAFE (تقدير التردد السنوي المحلي) عدد المرات سنويًا ، في المتوسط ​​، في حدوث تهديد معين في مكان معين (على سبيل المثال ، في مدينة). يُظهر SAFE (تقدير التردد السنوي القياسي) عدد المرات سنويًا ، في المتوسط ​​، الذي يحدث فيه تهديد معين في هذا "الجزء من العالم" (على سبيل المثال ، في أمريكا الشمالية). يتم أيضًا إدخال عامل تصحيح ، مما يجعل من الممكن مراعاة أنه عند حدوث تهديد ، قد لا يتم تدمير المورد المحمي بالكامل ، ولكن جزئيًا فقط.

بالإضافة إلى ذلك ، يتم النظر في سيناريوهات "ماذا لو ..." ، والتي تسمح لك بوصف مواقف مماثلة ، مع مراعاة تنفيذ الضمانات. من خلال مقارنة الخسائر المتوقعة مع وبدون تنفيذ تدابير الحماية ، من الممكن تقييم تأثير هذه التدابير.

تشتمل أداة RiskWatch على قواعد بيانات بتصنيفات LAFE و SAFE ، بالإضافة إلى وصف عام أنواع مختلفةوسائل الحماية.

عائد الاستثمار (ROI) ، الذي يقيس عائد الاستثمار خلال فترة زمنية معينة ، يحدد تأثير التدخلات الأمنية. يتم حساب هذا المؤشر باستخدام الصيغة:

حيث Costsi هي تكلفة تنفيذ وصيانة تدبير الحماية الأول ؛ الفوائد - تقييم الفوائد (التخفيض المتوقع للخسائر) التي يجلبها تنفيذ إجراء الحماية هذا ؛ NVP (صافي القيمة الحالية) يعدل للتضخم.

المرحلة الرابعة هي توليد التقارير. الأنواع التالية من التقارير متوفرة:

  • ملخص قصير؛
  • تقارير كاملة وموجزة للعناصر الموضحة في المرحلتين 1 و 2 ؛
  • تقرير عن تكلفة الموارد المحمية والخسائر المتوقعة من تنفيذ التهديدات ؛
  • تقرير عن التهديدات والتدابير المضادة ؛
  • تقرير العائد على الاستثمار
  • تقرير تدقيق الأمن.

يظهر مثال لحساب العائد على الاستثمار لتدابير الحماية المختلفة في الشكل. 5.

وبالتالي ، يسمح لك برنامج RiskWatch بتقييم ليس فقط المخاطر الموجودة حاليًا في المؤسسة ، ولكن أيضًا الفوائد التي يمكن أن يجلبها تنفيذ الوسائل والآليات المادية والتقنية والبرنامجية وغيرها من وسائل الحماية. توفر التقارير والرسوم البيانية المعدة مواد كافية لاتخاذ القرارات بشأن تغيير نظام أمان المؤسسة.

بالنسبة للمستخدمين المحليين ، تكمن المشكلة في أنه من الصعب الحصول على تقديرات مستخدمة في RiskWatch (مثل LAFE و SAFE) لظروفنا. على الرغم من أنه يمكن تطبيق المنهجية نفسها بنجاح في بلدنا.

بإيجاز ، نلاحظ أنه عند اختيار منهجية محددة لتحليل المخاطر في المؤسسة والأدوات التي تدعمها ، يجب على المرء أن يجيب على السؤال: هل من الضروري الحصول على تقييم كمي دقيق لعواقب تنفيذ التهديدات ، أو ما إذا كان التقييم على المستوى النوعي كافٍ. من الضروري أيضًا مراعاة العوامل التالية: وجود خبراء قادرين على إعطاء تقديرات موثوقة لحجم الخسائر الناجمة عن تهديدات أمن المعلومات ، وتوافر إحصاءات موثوقة للحوادث في مجال أمن المعلومات في المؤسسة .

تشمل عيوب تطبيق RiskWatch ما يلي:

  • هذه الطريقة مناسبة إذا كان مطلوبًا إجراء تحليل للمخاطر على مستوى حماية البرامج والأجهزة ، دون مراعاة العوامل التنظيمية والإدارية ؛
  • لا تستنفد تقييمات المخاطر التي تم الحصول عليها (التوقع الرياضي للخسائر) فهم المخاطر من وجهة نظر نظامية - لا تأخذ الطريقة في الاعتبار نهجًا متكاملًا لأمن المعلومات ؛
  • يتوفر برنامج RiskWatch باللغة الإنجليزية فقط ؛
  • تكلفة ترخيص عالية - من 10000 دولار لكل مقعد لشركة صغيرة.

رقبه

GRIF هو نظام شامل لتحليل وإدارة مخاطر نظام معلومات الشركة. يعطي GRIF 2005 من مكتب الأمن الرقمي (http://www.dsec.ru/products/grif/) صورة لأمن موارد المعلومات في النظام ويسمح لك باختيار الإستراتيجية المثلى لحماية معلومات الشركة.

يحلل نظام GRIF مستوى حماية الموارد ، ويقيم الضرر المحتمل من تنفيذ تهديدات IS ويساعد على إدارة المخاطر عن طريق اختيار الإجراءات المضادة.

يتم إجراء تحليل مخاطر نظم المعلومات بطريقتين: استخدام نموذج لتدفق المعلومات أو نموذج للتهديدات ونقاط الضعف ، اعتمادًا على البيانات الأولية التي يمتلكها المستخدم ، وكذلك على البيانات التي يهتم بها في المخرجات.

نموذج تدفق المعلومات

عند العمل مع نموذج تدفق المعلومات ، يقدم النظام معلومات كاملةحول جميع الموارد التي تحتوي على معلومات قيمة ، والمستخدمين الذين لديهم حق الوصول إلى هذه الموارد وأنواعها وحقوق الوصول. يتم تسجيل البيانات المتعلقة بجميع وسائل الحماية لكل مورد ، والترابط الشبكي للموارد ، وخصائص سياسة أمان الشركة. والنتيجة هي نموذج كامل لنظام المعلومات.

في المرحلة الأولى من العمل مع البرنامج ، يقوم المستخدم بإدخال جميع كائنات نظام المعلومات الخاص به: الأقسام والموارد (كائنات محددة لهذا النموذج تشمل مجموعات الشبكات ، أجهزة الشبكة، أنواع المعلومات ، مجموعات المستخدمين ، العمليات التجارية).

بعد ذلك ، يحتاج المستخدم إلى تعيين روابط ، أي لتحديد الإدارات ومجموعات الشبكة التي تنتمي إليها الموارد ، وما هي المعلومات المخزنة في المورد ومجموعات المستخدمين التي يمكنها الوصول إليها. يشير المستخدم أيضًا إلى وسائل حماية الموارد والمعلومات.

في المرحلة النهائية ، يجيب المستخدم على قائمة الأسئلة حول سياسة الأمان المطبقة في النظام ، والتي تسمح بتقييم المستوى الحقيقي لأمان النظام وتفصيل تقييمات المخاطر.

توافر الأموال حماية المعلوماتلوحظ في المرحلة الأولى ، في حد ذاته لا يجعل النظام آمنًا حتى الآن في حالة استخدامه غير الكافي وغياب سياسة أمنية شاملة تأخذ في الاعتبار جميع جوانب حماية المعلومات ، بما في ذلك الأمن ، والأمن المادي ، وأمن الموظفين ، والأعمال التجارية الاستمرارية ، إلخ.

نتيجة لتنفيذ جميع الإجراءات في هذه المراحل ، يتم تكوين نموذج كامل لنظام المعلومات من وجهة نظر أمن المعلومات عند الإخراج ، مع مراعاة الوفاء الفعلي بمتطلبات سياسة الأمان المتكاملة ، والتي تتيح لك للذهاب الى التحليل البرنامجيالبيانات المدخلة للحصول على تقييم شامل للمخاطر وتشكيل التقرير النهائي.

نموذج التهديد والضعف

يتضمن العمل مع نموذج تحليل التهديدات والضعف تحديد نقاط الضعف لكل مورد بمعلومات قيمة والتهديدات المقابلة التي يمكن إدراكها من خلال هذه الثغرات الأمنية. والنتيجة هي صورة كاملة لنقاط الضعف في نظام المعلومات والضرر الذي يمكن أن يحدث.

في المرحلة الأولى من العمل مع المنتج ، يدخل المستخدم في النظام عناصر IS الخاص به: الأقسام والموارد (تشمل الكائنات المحددة لهذا النموذج التهديدات لنظام المعلومات ونقاط الضعف التي يتم من خلالها تنفيذ التهديدات).

يتضمن GRIF 2005 كتالوجات شاملة للتهديدات ونقاط الضعف ، تحتوي على حوالي 100 تهديد و 200 نقطة ضعف. لتحقيق أقصى قدر من الاكتمال والتنوع لهذه الكتالوجات ، طور خبراء الأمن الرقمي تصنيفًا خاصًا للتهديدات ، DSECCT ، حيث يتم تنفيذ العديد من سنوات الخبرة العملية في مجال أمن المعلومات. باستخدام هذه الأدلة ، يمكن للمستخدم تحديد التهديدات ونقاط الضعف المتعلقة بنظام المعلومات الخاص به.

تحلل خوارزمية نظام GRIF 2005 النموذج المُنشأ وتُنشئ تقريرًا يحتوي على قيم المخاطر لكل مورد. يمكن أن يكون تكوين التقرير موجودًا تقريبًا ، مما يسمح لك بإنشاء تقارير موجزة للإدارة وتقارير مفصلة عن مزيد من العملمع النتائج (الشكل 6).
أرز. 6. مثال على تقرير في نظام GRIF 2005.

يحتوي نظام GRIF 2005 على وحدة إدارة مخاطر تسمح لك بتحليل جميع الأسباب التي تشير إلى أنه بعد معالجة البيانات المدخلة بواسطة الخوارزمية ، يتم الحصول على قيمة المخاطرة هذه بالضبط. وبالتالي ، مع معرفة الأسباب ، من الممكن الحصول على البيانات اللازمة لتنفيذ الإجراءات المضادة ، وبالتالي تقليل مستوى المخاطر. بعد حساب فعالية كل إجراء مضاد محتمل ، وكذلك تحديد قيمة المخاطر المتبقية ، يمكنك تحديد الإجراءات المضادة التي من شأنها تقليل المخاطر إلى المستوى المطلوب.

نتيجة للعمل مع نظام GRIF ، تم إنشاء تقرير مفصل على مستوى المخاطر لكل مورد قيم لنظام معلومات الشركة ، وتتم الإشارة إلى جميع أسباب المخاطر مع تحليل مفصل لنقاط الضعف وتقييم الاقتصادي كفاءة جميع الإجراءات المضادة الممكنة.

***

تتطلب أفضل الممارسات العالمية والمعايير الدولية الرائدة في مجال أمن المعلومات ، ولا سيما ISO 17799 ، تنفيذ نظام تحليل وإدارة المخاطر لإدارة أمن نظام المعلومات بشكل فعال. في هذه الحالة ، يمكنك استخدام أي أدوات ملائمة ، ولكن الشيء الرئيسي هو أن تفهم بوضوح دائمًا أن نظام أمن المعلومات قد تم إنشاؤه على أساس تحليل مخاطر المعلومات ، وتم التحقق منه ومبرره. يعد تحليل مخاطر المعلومات وإدارتها عاملاً أساسيًا لبناء حماية فعالة لنظام المعلومات.



لم تجد إجابة لسؤالك؟ إنظر الى هنا
البق في التفرد؟البق في التفرد؟
Just Cause 2 تعطلJust Cause 2 تعطل
Terraria لن تبدأ ، ماذا علي أن أفعل؟Terraria لن تبدأ ، ماذا علي أن أفعل؟