مدیریت مخاطرات امنیت اطلاعات

رایان افزار پژوه / مقالات / مدیریت مخاطرات امنیت اطلاعات

واژه نامه مدیریت مخاطرات امنیت اطلاعات 
با توجه به اهمیت فراوان شناخت و درک دقیق مفاهیم و اصطلاحات مدیریت مخاطرات (ریسک) امنیت اطلاعات در راستای اجرای مطلوب این فرآیند در سازمان ، در این نوشته به ارائه واژه­نامه­ای از این حوزه می پردازیم. لازم به ذکر است ترتیب اصلاحات بر اساس ترتیب حروف البفبای فارسی است.
·    احتمال (Likelihood) : شانس اتفاق افتادن چیزی
-
 در اصطلاحات مدیریت مخاطرات واژه­ی «احتمال» به شانس اتفاق افتادن چیزی اطلاق می­شود که می­تواند به صورت عینی یا ذهنی، کمی یا کیفی تعریف ، اندازه گیری یا تعیین و با استفاده از واژه­ های عمومی یا به صورت ریاضی (مثل احتمال یا فراوانی در دوره­ای مفروض) تشریح شود.

- واژه­ ی انگلیسی «احتمال» در برخی زبان­ها معادل مستقیم ندارد و از معادل ریاضی آن یعنی علم احتمال (Probability) استفاده می­شود.

·    ارزشیابی مخاطره(Risk Evaluation) : فرآیند مقایسه نتایج تحلیل مخاطره با معیارهای مخاطره به منظور تعیین این مخاطره و یا دامنه­ی آن قابل قبول یا قابل تحمل هست یا خیر.
·    ارزیابی مخاطره (Risk Assessment) : فرآیند کلی شناسایی مخاطره ، تحلیل مخاطره و ارزشیابی مخاطره
·    پیامد (Consequence) : حاصل رخداد اثرگذار بر اهداف
-
 یک رخداد می­تواند به مجموعه­ای از پیامدها منجر شود
-
 پیامد ممکن است معین یا نامعین باشد و در زمینه­ی امنیت اطلاعات به طور معمول معنای منفی دارد.
-
 پیامد را می­توان به صورت کمی یا کیفی بیان کرد.
-
 پیامدهای اولیه ممکن است به صورت زنجیره­ای گسترش یابند.
·    تبادل اطلاعات و رایزنی مخاطره (risk communication and consultation) : فرآیندهایی مستمر و مکرر که سازمان­ها برای تدارک، اشتراک­گذاری یا به دست آوردن اطلاعات و تعامل با ذی­نفعان راجع به مدیریت مخاطرات انجام می­دهند.
·    تحلیل مخاطره (Risk Analysis) : فرآیند درک ماهیت مخاطره و تعیین سطح مخاطره.
-
 تحلیل مخاطره مبنایی جهت ارزیابی مخاطره و تصمیم در رابطه با مقابله با مخاطره را ارئه می­دهد.
-
 تحلیل مخاطره شامل تخمین مخاطره است.
·    رخداد (Event) : وقوع یا تغییر مجموعه­ی خاصی از شرایط
-
 رخداد می ­تواند یک یا چند اتفاق باشد و چندین دلیل داشته باشد.
-
 رخداد می ­تواند چیزی که اتفاق نیفتاده است ، باشد.
-  رخداد را گاهی حادثه (Incident) نیز می نامند.

·    زمینه درونی (internal Context) : محیط درونی که سازمان درپی دستیابی اهداف خود از طریق آن است که می ­تواند شامل موارد زیر  باشد:
-
 حاکمیت ، ساختار سازمانی ، نقش ها و پاسخگویی ها­؛
-
 خط‌ مشی‌ها، اهداف و راهبرد‌هایی که هدف دستیابی به آن‌ها است؛
-
 قابلیت‌هایی که بر حسب منابع و دانش شناخته می‌شود (مثل سرمایه، زمان، افراد، فرایندها، سامانه‌ها و فناوری‌ها)؛
-
 سامانه‌های اطلاعات، جریان‌های اطلاعات و فرایندهای تصمیم‌گیری (رسمی یا غیررسمی)؛
-
 رابطه با ذی نفعان درونی؛
-
 فرهنگ سازمانی؛
-
 استانداردها، رهنمودها و مدل ­های اخذ شده توسط سازمان ؛ و
-
 قالب و گستره­ی روابط پیمانی.
·    زمینه ­بیرونی (External Context) : محیط بیرونی که سازمان درپی دستیابی اهداف خود از طریق آن است و می­ تواند شامل موارد زیر باشد :
-
 محیط فرهنگی، اجتماعی، سیاسی، حقوقی، مقرراتی، مالی، فنی، اقتصادی، طبیعی و رقابتی که می‌تواند بین‌المللی، ملی، منطقه‌ای یا محلی باشد؛
-
 روندها و محرک­های کلیدی اثرگذار بر اهداف سازمان؛ و
-
 روابط با ذی ­نفعان بیرونی.
·    سطح مخاطره (Level of Risk): اندازه­مخاطره که برحسب تلفیق پیامدها و احتمال آن­ها بیان می­شود.
·    شناسایی ریسک (Risk Identification) : فرآیند یافتن ، تشخیص و تشریح مخاطرات
-
 شناسایی مخاطره شامل شناسایی منابع مخاطره ، رویدادها ، علل آن­ها و پیامدهای بالقوه ­شان است.
-
 شناسایی مخاطره می­تواند شامل داده­های تاریخی، تحلیل نظری ، نظرات اشخاص خبره و مطلع و نیازهای ذی نفعان باشد.
·    کنترل (Control): ابزار اصلاح مخاطره
-
 کنترل در امنیت اطلاعات شامل فرآیند، خط­ مشی، روش اجرایی، رهنمود، عملکرد یا ساختار سازمانی که می تواند ماهیت اداری، فنی، مدیریتی یا حقوقی داشته باشند و مخابرات امنیت اطلاعات را اصلاح کنند، می شوند.
-
 کنترل‌ها ممکن است همیشه اثر اصلاح کننده موردنظر یا فرضی را نداشته باشند.
-
 بعضا کنترل به‌ شکل مترادف برای حفاظت (Safeguard) یا اقدام متقابل (Countermeasure) به‌کار می‌رود.
·    مخاطره ، ریسک (Risk) : اثر عدم قطعیت بر اهداف
-
 اثر ، یک انحراف (مثبت و یا منفی) از انتظارات است.
-
 اهداف، جنبه های مختلفی دارنند (مثل اهداف مالی، سلامت و ایمنی، امنیت اطلاعات و اهداف محیطی) و در سطوح مختلف (مثل راهبردی، سازمانی، پروژه ای، محصول و فرایند) تعریف می شوند.
-
 مخاطره اغلب با ارجاع به رخدادهای بالقوه و پیامدها یا تلفیقی از این دو بیان می­­شود.
-
 مخاطره ی امنیت اطلاعات را اغلب بر حسب تلفیقی از پیامدهای رویداد امنیت اطلاعات و احتمال (3-9) وقوع مربوط بیان می کنند.
-
 عدم قطعیت یک وضعیت نارسایی درک یا شناخت رویداد، پیامد یا احتمال آن است.
-
 مخاطره امنیت اطلاعات ظرفیت بالقوه ای دارد که تهدیدات از آسیب پذیری هایی که با گروهی از دارایی های اطلاعاتی بهره جویی می کند و در نتیجه سبب آسیب به سازمان می شود.
·    مخاطره­ی باقی­مانده (Residual Risk) : مخاطره باقی­مانده پس از مقابله با مخاطره
-
مخاطره باقی مانده می تواند شامل مخابرات شناخته نشده نیز باشد.
·    مدیریت مخاطره (Risk Management) : فعالیت­های هماهنگ جهت هدایت و کنترل سازمان با در نظر گرفتن مخاطره
·    معیارهای مخاطره (Risk Criteria) : شاخص­های مرجع که اهمیت مخاطره برمبنای آن­ها ارزیابی می­­شود.
-
 معیارهای مخاطره مبتنی بر اهداف سازمان و زمینه بیرونی و درونی است.
-
 معیارهای مخاطره می­تواند از استانداردها، قوانین، خط ­مشی ها و سایر الزامات اسخراج شود.
·    مقابله با مخاطره (Risk Treatment) : فرآیند اصلاح مخاطره که می­تواند شامل موارد زیر باشد :
-
 پرهیز از مخاطره با آغاز نکردن یا ادامه ندادن فعالیتی که مخاطره را افزایش می­دهد؛
-
 تن دادن به مخاطره یا افزودن مخاطره به منظور استفاده از فرصت؛
-
 حذف منبع مخاطره؛
-
 تغییر دادن احتمال؛
-
 تغییر دادن پیامدها؛
-
 اشتراک گذاری مخاطره با طرف یا طرف­های دیگر (شامل قراردادها و بیمه مخاطرات)؛
-
 مهار مخاطره از طریق انتخاب آگاهانه.