راهنمای جامع ارزیابی ریسک: مبانی و فرایندها (NIST 800-30)

مقدمه‌ای بر ارزیابی ریسک در امنیت اطلاعات

ارزیابی ریسک یکی از اجزای بنیادین در فرایند مدیریت ریسک سازمانی است که در نشریه ویژه NIST 800-39 تشریح شده است. سازمان‌ها در بخش‌های دولتی و خصوصی برای انجام موفقیت‌آمیز ماموریت‌ها و عملکردهای تجاری خود به فناوری اطلاعات و سیستم‌های اطلاعاتی وابسته هستند. این سیستم‌ها با تهدیدات جدی روبرو هستند که می‌توانند با بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده و ناشناخته، محرمانگی، یکپارچگی یا در دسترس بودن اطلاعات را به خطر اندازند و اثرات نامطلوبی بر عملیات و دارایی‌های سازمانی، افراد و حتی امنیت ملی داشته باشند.

هدف اصلی از ارزیابی ریسک، اطلاع‌رسانی به تصمیم‌گیرندگان و حمایت از اقدامات واکنشی به ریسک از طریق شناسایی موارد زیر است:

• تهدیدات مرتبط با سازمان
• آسیب‌پذیری‌های داخلی و خارجی
• تأثیر (آسیب) احتمالی ناشی از بهره‌برداری تهدیدها از آسیب‌پذیری‌ها
• احتمال وقوع آسیب

نتیجه نهایی این فرایند، تعیین سطح ریسک است که معمولاً تابعی از درجه آسیب و احتمال وقوع آن می‌باشد.

مبانی کلیدی در فرایند مدیریت و ارزیابی ریسک

برای درک عمیق‌تر، لازم است با مفاهیم اساسی و ارتباط آن‌ها با یکدیگر آشنا شویم. ارزیابی ریسک بخشی جدایی‌ناپذیر از یک چرخه مدیریتی بزرگتر است.

۱. فرایند مدیریت ریسک

مدیریت ریسک یک فرایند جامع و مستمر برای مدیریت ریسک‌های مرتبط با سیستم‌های اطلاعاتی است که در سه سطح سلسله‌مراتبی سازمان، ماموریت/فرایند کسب‌وکار و سیستم اطلاعاتی اجرا می‌شود. ارزیابی‌های ریسک، با فراهم کردن اطلاعات حیاتی برای تصمیم‌گیری، نقشی کلیدی در این فرایند ایفا می‌کنند.

۲. مفاهیم کلیدی ریسک

درک مفاهیم زیر برای انجام یک ارزیابی ریسک دقیق ضروری است:

• تهدید (Threat): هر رویداد یا عاملی که پتانسیل آسیب رساندن به عملیات سازمانی، دارایی‌ها یا افراد را از طریق یک سیستم اطلاعاتی داشته باشد. منابع تهدید می‌توانند انسانی (مانند حملات هدفمند) یا غیرانسانی (مانند بلایای طبیعی) باشند.
• آسیب‌پذیری (Vulnerability): ضعف در سیستم اطلاعاتی، رویه‌های امنیتی، کنترل‌های داخلی یا پیاده‌سازی که می‌تواند توسط یک منبع تهدید مورد بهره‌برداری قرار گیرد.
• تأثیر (Impact): نتیجه نامطلوب ناشی از وقوع یک رویداد. این تأثیر می‌تواند بر محرمانگی، یکپارچگی و در دسترس بودن اطلاعات و سیستم‌ها باشد.
• احتمال وقوع (Likelihood): تخمینی از امکان وقوع یک رویداد تهدیدآمیز. این احتمال بر اساس تحلیل منابع تهدید، آسیب‌پذیری‌ها و کنترل‌های موجود تعیین می‌شود.
• ریسک (Risk): معیاری از میزان آسیب به دارایی‌ها که تابعی از احتمال وقوع یک رویداد تهدیدآمیز و تأثیر نامطلوب ناشی از آن است.

فرایند چهار مرحله‌ای ارزیابی ریسک

بر اساس راهنمای NIST، فرایند ارزیابی ریسک شامل چهار مرحله اصلی است که به صورت چرخه‌ای و مستمر انجام می‌شود:

1. آماده‌سازی برای ارزیابی: این مرحله شامل شناسایی هدف، محدوده، مفروضات، محدودیت‌ها، منابع و اطلاعات مورد نیاز برای انجام ارزیابی است.
2. انجام ارزیابی: در این مرحله، تهدیدها و آسیب‌پذیری‌ها شناسایی شده، کنترل‌های موجود تحلیل می‌شوند و احتمال وقوع و تأثیر بالقوه تعیین می‌گردد تا سطح کلی ریسک مشخص شود.
3. ارتباط و اشتراک‌گذاری اطلاعات: نتایج ارزیابی باید به طور مؤثر با تصمیم‌گیرندگان کلیدی در تمام سطوح سازمان به اشتراک گذاشته شود تا اقدامات مناسب برای مدیریت ریسک اتخاذ گردد.
4. نگهداری و پایش ارزیابی: ریسک‌ها ثابت نیستند. این مرحله شامل نظارت مستمر بر ریسک‌های شناسایی‌شده و انجام ارزیابی‌های دوره‌ای برای اطمینان از به‌روز بودن و اثربخشی آن است.

سازمان‌ها باید توجه داشته باشند که ارزیابی ریسک ابزاری دقیق برای اندازه‌گیری نیست و نتایج آن تحت تأثیر محدودیت‌های روش‌شناسی، کیفیت داده‌ها و تخصص افراد درگیر در فرایند قرار دارد. برای اطلاعات بیشتر و مطالعه کامل این راهنما، می‌توانید به سند اصلی نشریه ویژه NIST 800-30 مراجعه کنید.

منبع: این مقاله بر اساس راهنمای NIST Special Publication 800-30 Revision 1 با عنوان “Guide for Conducting Risk Assessments” تهیه شده است.