بررسی مؤلفه‌های ارزش‌گذاری دارایی‌ها در مدیریت ریسک امنیت اطلاعات
  • نویسنده: سارا رحیمی
  • تاریخ انتشار: دوشنبه ، ۲۹ خرداد ماه ۹۶
  • تعداد بازدید: 6277
  • تعداد نظرها: 10
  • دسته بندی: مدیریت ریسک

هدف مدیریت امنیت اطلاعات در هر سازمان، حفظ سرمایه‌های سازمان اعم از دارایی‌های نرم‌افزاری، سخت‌افزاری، اطلاعاتی و ارتباطی و نیروی انسانی در برابر هرگونه تهدید است و برای دستیابی به این هدف به برنامه منسجمی نیاز دارد. سیستم مدیریت امنیت اطلاعات(ISMS) بخشی از مدیریت اطلاعات است که ضمن تعیین اهداف امنیت و بررسی موانع رسیدن به این اهداف، راهکارهایی را برای تحقق آن ارائه می‌دهد.

اگر نقص در امنیت اطلاعات ، پیامدهای منفی قابل توجهی برای سازمان، دارایی‌ها یا فرایندهای کسب و کار در پی داشته باشد، سازمان با ریسک امنیت اطلاعات مواجه شده است و باید به شناسایی و ارزیابی ریسک‌ها بپردازد.

مدیریت ریسک امنیت اطلاعات که زیربنای سیستم مدیریت امنیت اطلاعات(ISMS) به‌ شمار می‌رود، فرایندی است برای درک ریسک‌های بالقوه و برنامه‌ریزی به‌منظور از بین بردن، کاهش اثر یا بهره‌برداری از این ریسک‌ها! فرایند مدیریت ریسک شامل سه گام اساسی شناسایی ریسک، ارزیابی ریسک و برنامه‌ریزی کاهش ریسک است و در گام نخست آن، می‌بایست شناخت دارایی‌های اطلاعاتی سازمان، تعیین مالک هر دارایی و نیز ارزش‌گذاری دارایی‌های اطلاعاتی صورت گیرد. برای کسب اطلاعات بیشتر به مقاله مراحل مدیریت ریسک امنیت اطلاعات و استراتژی های برخورد با ریسک رجوع شود.

 

ارزش‌گذاری امنیتی دارایی‌های اطلاعاتی

پس از شناسایی و دسته‌بندی دارایی‌های سازمان و نیز تعیین مالک دارایی‌ها، هر یک از دارایی‌های اطلاعاتی می‌بایست ارزش‌گذاری شوند. تجزیه و تحلیل و ارزش‌گذاری صحیح دارایی‌ها نه‌تنها اهمیت دارایی برای سازمان را نشان می‌دهد، بلکه روابط و وابستگی‌های بین این دارایی با دیگر دارایی‌های سازمان را نیز مشخص می‌کند.

 

براي ارزش‌گذاری دارايي­ها از سه مؤلفه اصلی امنیت اطلاعات (C.I.A) استفاده می‌شود که عبارتند از:

  • محرمانگی (Confidentiality)
  • یکپارچگی (Integrity)
  • در دسترس بودن (Availability)


در روش ارزیابی که در این مقاله بررسی می شود، هر یک از این مؤلفه‌ها 4 سطح مختلف زیاد (High)، متوسط (Medium)، کم (Low) و بدون اهمیت یا کاربرد ناپذیر (Not Applicable) را به خود اختصاص می‌دهند.

 

شکل 1: سه مؤلفه اصلی امنیت اطلاعات

محرمانگی: به معنای محافظت از اطلاعات در برابر دسترسی غیرمجاز است. در این بعد دارایی اطلاعاتی از منظر اهمیت محرمانگی ارزش­گذاری می­شود. جهت ارزش­گذاری یک دارایی از نظر محرمانگی، می‌بایست اثر محرمانگی این دارایی در کسب و کار و اعتبار سازمان و نیز الزامات محدوده اطلاع افراد نسبت به آن دارایی را مورد بررسی قرار داد.

 

       سطح محرمانگي

                                                   توضیحات

             زیاد

اطلاعاتي که خيلي حساس يا خصوصي هستند، از ارزش بالايي براي سازمان برخوردار هستند و فقط براي افرادي که نام برده شده‌اند قابل استفاده هستند. افشاي غيرمجاز اين اطلاعات می‌تواند منجر به ضرر شديدي براي سازمان شود. به‌عنوان مثال: مسئوليت مالي و حقوقي، تأثیر سوء رقابتي، از بين رفتن نام تجاري.

            متوسط

اطلاعاتي که متعلق به سازمان هستند و براي قرار دادن در معرض عموم يا اشخاص ثالث نيستند. افشاي غيرمجاز اين اطلاعات می‌تواند منجر به ضرر محدودي براي سازمان شود. به‌عنوان مثال: چارت سازماني، شماره تماس پرسنل سازمان.

             کم

اطلاعات غيرحساس در دسترس عموم هستند. تأثیرات افشاي غيرمجاز امثال اين اطلاعات به هیچ‌وجه براي سازمان ضرري ندارد. به‌عنوان مثال: اعلامیه‌های رسمي، خبرنامه سازمان مانند اطلاعات عمومی منتشرشده در وب‌سایت سازمان.

جدول 1: راهنمای شناسایی و تعیین سطح محرمانگی

 

يکپارچگی: منظور از یکپارچگی(صحت) حفظ دارايي­ها و درستي و کامل بودن آن‌هاست. اگر بر روي داده‌ها يا سیستم‌های فناوري اطلاعات به‌صورت عمدي يا غيرعمدي تغييرات غيرمجاز اعمال شود، يکپارچگي از بين می‌رود. اگر يکپارچگي داده‌ها بازيابي نشود، استفاده پيوسته از داده‌های نامعتبر می‌تواند منجر به‌اشتباه، فريب يا تصميمات نادرست شود. جهت ارزش‌گذاری یک دارایی از نظر یکپارچگی، می‌بایست اثر یکپارچگی این دارایی در کسب و کار و اعتبار سازمان را مورد بررسی قرار داد.

       سطح يکپارچگي

                                                   توضیحات

              زیاد

آن دسته از دارایی‌های اطلاعاتی که در صورت عدم یکپارچگی و یا تغییر غیرمجاز، تأثیرات ناشی از آن فراتر از محدوده سازمان خواهد بود و آثار برون‌سازمانی دارد.

            متوسط

آن دسته از دارایی‌های اطلاعاتی که در صورت عدم یکپارچگی و یا تغییر غیرمجاز تأثیرات ناشی از آن باعث مخدوش شدن اعتبار در سطح سازمان می‌گردد.

                کم

آن دسته از دارایی‌های اطلاعاتی که در صورت عدم یکپارچگی و یا تغییر غیرمجاز، دارای تأثیرات درون‌سازمانی خواهد بود.

 جدول 2: راهنمای شناسایی و تعیین سطح یکپارچگی

 

در دسترس بودن: به اين معناست که افراد مجاز بتوانند در زمان نيازشان به دارايي­ها دسترسي داشته باشند. اگر اطلاعات مهم در دسترس کاربران مجاز نباشد، مأموریت سازمان تحت تأثیر قرار می‌گیرد. جهت ارزش‌گذاری از نظر در دسترس بودن، می‌بایست محدوده کاربران سرویس و زمان انقطاع قابل پذیرش و نیز وضعیت جایگزین‌های این دارایی اطلاعاتی را مورد بررسی قرار داد.

 

    سطح در دسترس بودن

                                                توضیحات

                زیاد

دارایی‌ اطلاعاتی که زمان انقطاع قابل پذیرش سرویس‌دهی آن‌ در هر مرحله انقطاع کمتر از نیم ساعت می‌باشد. اگر دارايي براي کمتر از مدت زمان محدودی(به عنوان مثال کمتر از نیم ساعت) در دسترس نباشد، تأثیر مهمي بر کسب و کار دارد؛ به عبارت دیگر شامل دارايي يا اطلاعاتی که به‌صورت شبانه‌روزی موردنیاز است.

              متوسط

اگر دارايي يا اطلاعات براي مدت زمان متوسط(به عنوان مثال یک تا دو روز) در دسترس نباشند، تأثیر مهمي بر کسب و کار دارد.

                 کم

اگر دارايي يا اطلاعات براي مدت زمان زیادی(به عنوان مثال بیش از یک هفته) در دسترس نباشند، تأثیر کمي بر کسب و کار دارد.

 جدول 3 : راهنمای شناسایی و تعیین سطح در دسترس بودن

همچنین در مواردی که مؤلفه مورد نظر برای دارایی اطلاعاتی کاربرد ناپذیر باشد، از Not Applicable استفاده می‌شود. به‌منظور گسسته‌سازی این سطوح در مراحل بعدی فرآیند ارزش‌گذاری، به ترتیب مقادیر 3 تا 0 برای زیاد (High)، متوسط (Medium)، کم (Low) و کاربرد ناپذیر (Not Applicable) در نظر گرفته می‌شود. البته در حوزه در دسترس بودن سطح 0 بی‌معناست.

ارزش هر دارايي ترکيبی از ميزان اهميت هر يک از مؤلفه‌ها براي آن دارايی مي­باشد که از مجموع مقادیر اختصاص‌یافته به هر سه مؤلفه، محاسبه می‌شود.

ارزش دارايی برابر است با: محرمانگی+ يکپارچگی + دسترس‌پذیری

 

آنچه در این مقاله بررسی شد، یک مدل پیشنهادی جهت ارزش گذاری دارایی ها با توجه به اهمیت آن دارایی نسبت به سطوح مولفه های اصلی امنیت اطلاعات بود. بدیهی است تعریف سطوح مختلف برای هر سه مولفه ی محرمانگی، یکپارچگی و در دسترس بودن در قالب مدل های دیگری نیز امکان پذیر است، لذا انتخاب یک مدل بهینه و تعیین معیارها و پارامترهای مؤثر در هر سطح، بستگی به ماهیت فرایندها و تنوع دارایی های اطلاعاتی سازمان دارد و تصمیم نهایی در این خصوص به عهده ی مدیر امنیت اطلاعات سازمان می باشد.

خروجی ارزش­گذاری دارایی‌ها، در روند تجزیه و تحلیل ریسک استفاده می‌شود که نقش مهمی در تأمین امنیت فرآیندهای کسب و کار سازمان ایفا می‌کند.


 

برچسب ها:
دارایی اطلاعاتی ارزش‌گذاری دارایی‌ها محرمانگی یکپارچگی دسترس‌پذیری مدیریت ریسک امنیت اطلاعات Asset Valuation Security Risk Confidentiality Integrity Availability
نویسنده: سارا رحیمی دسته بندی: مدیریت ریسک
نظرات کاربران

علی

چهارشنبه ، ۰۹ مهر ماه ۹۹

0

با سلام

در انواع دارایی ها یک دارایی به اسم تکنولوژی وجود دارد.منظور از دارایی تکنولوژی چیست؟

ممنون

سیدمحسن هادوی

یک‌شنبه ، ۲۶ خرداد ماه ۹۸

0

با عرض سلام

در مورد مراجعی که برای شناسایی آسیب پذیری جدید و شناسایی تهدیدات جدید دارایی ها جهت بروزرسانی ریسک دارایی راهنمایی می خواستم.

با تشکر از مطالب خوبتون

م. علامه

دوشنبه ، ۰۳ اردیبهشت ماه ۹۷

0

به نظر حقیر ارزش یک دارایی به خودی خود قابل اندازه گیری نیست و بسته به سناریوی ریسک متفاوت خواهد بود . به عنوان مثال پیامد از دست دادن محرمانگی مخاطره سرقت رسانه ذخیره ساز قابل حمل در سناریوی سرقت رسانه توسط یک دوست با سناریوی سرقت رسانه توسط رقیب یا یک جاسوس سرویس هاس اطلاعاتی متفاوت خواهد بود. مگر آنکه ارزش دارایی بر اساس هر سناریو بطور مجزا محاسبه گردد.

با سپاس از شما بابت درج مقالاتی چنین ارزشمند.

سارا رحیمی

شنبه ، ۰۸ اردیبهشت ماه ۹۷

0

با سلام و سپاس از نظرات شما

بله، البته مواردی که اشاره نمودید برای ارزیابی ریسک کاملا مهم هست و بسته به سناریوهای مختلف ارزش ریسک هر دارایی متفاوت خواهد بود. اما پیش از آنکه میزان ریسک هر دارایی رو محاسبه کنیم. دانستن این موضوع هم مهم هست که خود دارایی (فارغ از سناریویی که برای اون متصور هستیم) تا چه اندازه برای سازمان تاثیرگذار هست. اگر مثال خودتون رو مدنظر داشته باشیم در یک سازمان درجه اهمیت رسانه ذخیره ساز اطلاعات ورود و خروج کارمندان با رسانه ذخیره ساز اطلاعات امور مالی سازمان متفاوت هست یعنی هر کدام از این اطلاعات پیش از آنکه سناریوی سرقت را برای آنها متصور شویم از نظر محرمانگی، دسترس پذیری، یکپارچگی و نیز با توجه به سطوحی که در این مقاله تعریف شده، دارای ارزش های متفاوتی برای سازمان هستند. که این موضوع در میزان ریسک نهایی و ضرری که سازمان متحمل می شود، تاثیرگذار خواهد بود. لذا ارزش یک دارایی به خودی خود اهمیت دارد و ترکیب آن با سناریوهای مختلف، ارزیابی ریسک موثر و دقیق تری را میسر می سازد.

فرزانه عابدی

یک‌شنبه ، ۰۴ تیر ماه ۹۶

0

ممنون از مطلب ارائه شده پیشنهاد میشود به مباحث زیر المان هایی برای ارزش گذاری دقیق دارایی های اطلاعاتی با توجه به CIA هم به صورت مجزا پرداخته شود.

سارا رحیمی

شنبه ، ۱۰ تیر ماه ۹۶

0

سپاس از توجه و پیشنهاد شما.

میلاد یداللهی

سه‌شنبه ، ۳۰ خرداد ماه ۹۶

0

با تشکر از شما، به نظرم در این خصوص می توان به زیرالمان های ارزشگذاری و همچنین سنجه هایی بمنظور تدقیق فرآیند ارزشگذاری دارایی های اطلاعاتی نیز اشاره نمود

سارا رحیمی

شنبه ، ۱۰ تیر ماه ۹۶

0

سپاس فراوان از نظرات شما، بدون شک پرداختن به زیرالمان ها، ارزش گذاری دقیق تر و در نتیجه ارزیابی ریسک کامل تری را به دنبال خواهد داشت.در مقالات آتی از نظرات ارزشمند شما استفاده خواهیم نمود.

امیر خوانی

دوشنبه ، ۲۹ خرداد ماه ۹۶

0

با تشکر از مقاله ارائه شده. آیا امکان جزئی تر نمودن ارزشگذاری المان یکپارچگی یا صحت وجود دارد

سارا رحیمی

شنبه ، ۱۰ تیر ماه ۹۶

0

ممنون از توجه شما.بله، با توجه به نوع دارایی های سازمان می توان مولفه ی یکپارچگی را به صورت جزئی تر نیز در نظر گرفت و اثر صحت دارایی را در کسب و کار سازمان مورد بررسی قرار داد.