موضوع ارزیابی ریسک امنیت اطلاعات به عنوان یکی از مهمترین فرآیندهای پیاده سازی استانداردهای GRC و به ویژه ISMS، همواره مورد توجه قرار گرفته است. در این بین بکارگیری و انتخاب یک روش و متدولوژی مناسب و درخور سازمان که بتواند با صرف کمترین زمان و انرژی، به خوبی آسیب پذیری ها و تهدیدات سازمان را تحلیل و شناسایی نماید، همواره به عنوان یکی از اصلی ترین چالش های مدیران و راهبران امنیت اطلاعات بوده است. در این مقاله سعی داریم تا با معرفی شاخص ترین متدهای ارزیابی ریسک، شما را در انتخاب یک روش مناسب یاری نماییم.

هر کدام از دارایی های سازمان آسیب پذیری مخصوص به خود را دارد که منجر به یک تهدید خواهد شد و باید کلیه ضعف‌های امنیتی موجود که ممکن است توسط یک مبدأ تهدید مورداستفاده قرارگرفته و سپس منجر به ضربه به دارایی‌ها و مختل نمودن فعالیت دارایی اطلاعاتی مربوطه گردد، شناسایی ‌شود. به‌طورکلی آسیب‌پذیری‌های شناسایی‌شده  به سه دسته تقسیم بندی می شنود که عبارتند از آسیب‌پذیری‌های فرآیندی و مدیریتی، فیزیکی و محیطی، فنی.

 به همین دلیل در پیاده سازی استاندارد ISO27001  باید ریسک مربوط به دارایی ها محاسبه شود و تا حد امکان مقدار آن کاهش پیدا کند اما روش های متفاوتی برای محاسبه ریسک های دارایی های اطلاعاتی وجود دارد که بسته به نوع سازمان از آنها استفاده می شود که در این مقاله متدولوژِی های ارزیابی ریسک را معرفی خواهیم کرد که عبارتند از:

• CRAMM
• ISO/IEC 27005
• EBIOS
• OCTAVE
• CIS RAM

CRAMM

 این روش با نام CRAMM (CCTA Risk Analysis and Management Method) شناخته شده و به عنوان یک روش کیفی مطرح است. این متد ارزیابی برای اولین بار در سال 1985 توسط  CCTA  برای برطرف کردن نیازهای امنیت اطلاعات ارائه گردید که در سازمان های کشور انگلستان استفاده شده است آخرین نسخه این متد ارزیابی 5 بوده که در سال 2003  به روز رسانی شده است. اولین نسخه این روش ارزیابی ریسک براساس بهترین روش های سازمانی کشور انگلستان طراحی شده که برای سازمان های بزرگ مانند ارگان های دولتی مناسب است.

ابزاری با نام CRAMM هم موجود است که از این روش پشتیبانی می کند و باید به این نکته اشاره کرد که بدون این ابزار پیاده سازی این روش بسیار دشوار است.

مراحل این روش ارزیابی  عبارتند است :

• Risk identification: شناسایی ریسک (شناسایی و ارزیابی دارایی ها)
• Risk analysis: تجزیه و تحلیل ریسک (شناسایی تهدیدات و آسیب پذیری ها ، محاسبه ریسک)
• Risk evaluation: ارزیابی ریسک (شناسایی و اولویت بندی اقدام متقابل)

در مرحله  اول دارایی های اطلاعاتی شناسایی می شوند که به سه دسته زیر تقسیم بندی شده اند:

• Data
• Application software
• Physical assets

ارزیاب ریسک باید از طریق مصاحبه با مالکان دارایی ارزش گذاری دارایی ها را انجام دهد که از طریق اثر فقدان محرمانگی، یکپارچگی و در دسترس بودن بر روی هر یک از دارایی ها به دست می آید. مصاحبه شوندگان باید بدترین حالت را در نظر گرفته و عواقب احتمالی در دسترس نبودن، تخریب و افشاء  دارایی های اطلاعاتی را در نظر بگیرند. لازم به ذکر است نرم افزار کاربردی و دارایی های فیزیکی از طریق مصاحبه با پرسنل پشتیبانی و یا مدیر فناوری اطلاعات به راحتی ارزیابی می شوند.

در CRAMM دو روش برای ارزیابی آسیب پذیری ها و تهدید ها وجود دارد که عبارتند از Full و Rapid

در روش ارزیابی Full تهدیدها و آسیب پذیری ها با پرسش از پرسنل شناسایی می شوند و میزان تهدید برای هر یک از دارایی ها در پنج مقیاس Very Low, Low, Medium, High, Very High و میزان آسیب پذیری در سه سطح Low, Medium, High محاسبه می شوند.

در روش ارزیابی ریسک Rapid مقیاس تهدید ها و آسیب پذیری ها به صورت زیر است:

• Very low: انتظار می رود هر تهدید به طور متوسط هر 10 سال یک بار اتفاق افتد.
• Medium : انتظار می رود با احتمال 33 تا 66 درصد در بدترین حالت اتفاق افتد.

روش ارزیابی ریسک CRAMM  ریسک های مربوط به هر گروه دارایی در برابر تهدید های که نسبت به آنها آسیب پذیر هست را در مقیاس 1 تا 7 محاسبه می کند که این عمل با استفاده از یک ماتریس ریسک از پیش تعریف شده انجام می شود. که در این مقیاس عدد 1 نشان دهنده سطح پایین از نیاز امنیتی  و عدد 7 سطح بالایی از نیاز امنیتی را نشان می دهد.

در روش CRAMM پیشنهاد شده است که ارزیابی ریسک هر 1 سال یک بار با توجه به تغییراتی که در سیستم ها به وجود می آید انجام شود به دلیل اینکه ممکن است آسیب پذیری و تهدید ها تغییر پیدا کنند. جدول ماتریس ریسک در زیر نمایش داده شده است.

ISO/IEC 27005

استاندارد ISO/IEC 27005 یک دستورالعمل مدیریت ریسک امنیت اطلاعات است که قابل استفاده برای تمام سازمانها می باشد. در این استاندارد، ارزیابی ریسک به سه قسمت identification و Estimation و Evaluation تقسیم بندی می شود

این استاندارد یک رویکرد تعاملی برای ارزیابی ریسک دارد که هدف آن کاهش ریسک های امنیتی به همراه کنترل های مناسب می باشد. استاندارد ISO/IEC27005 چرخه PDCA  را که عبارت است از Plan-Do-Check-Act  پیشنهاد می دهد.

آنالیز ریسک در استاندارد ISO/IEC27005 از مجموع شناسایی ریسک به همراه برآورد ریسک حاصل می شود که در فرمول زیر نمایش داده شده است.

Risk Analysis=Risk identification + Risk estimation

برای Risk identification باید دارایی ها، آسیب پذیری ها، تهدیدها، کنترل های موجود وعواقب شناسایی شوند که در زیر به آنها اشاره شده است:

• Identification of Assets: دارایی های محدوده سیستم مدیریت امنیت اطلاعات باید شناسایی شوند.
• Identification of vulnerabilities: آسیب پذیری های مربوط به دارایی های اطلاعاتی و فرآیند های سازمانی باید شناسایی شوند.
• Identification of Threats: با توجه به آسیب پذیری های شناسایی شده و مرور حوادث اتفاق افتاده در سازمان باید تهدید های داخلی و خارجی شناسایی شود.
• Identification of exiting controls: کنترل های موجود در سازمان باید چک شوند که در برابر تهدید ها به درستی کار می کنند.
• Identification of consequences: در این قسمت باید تاثیر از دست دادن دارایی ها شناسایی شود.

برآورد ریسک(Risk Estimation) میزان ریسک را تعیین می کند که از دو معیار کیفی (Qualitative) و کمی  (Quantitate) استفاده می کند.

نکته ای که باید به آن اشاره کرد این است که پیامدهای ریسک باید در این قسمت مورد توجه قرار گیرد که می تواند شامل پروسه های دارایی ها و کسب و کار، تهدید ها و آسیب پذیری ها، سناریو های رخداد ها (Incident) باشد همچنین  تأثیر تجاری ناشی از حادثه امنیت اطلاعات نیز باید ارزیابی شود.

 تخمین ریسک شامل موارد زیر می شود:

• سناریو های رخداد ها (Incident) و پیامد های آنها.
• احتمال رخداد ها (Qualitative or Quantitate).
• برآورد ریسک برای همه سناریو های رخداد ها (Incident) انجام می شود.
• لیست ریسک ها به همراه سطح ارزش آنها ایجاد می شود.

در مرحله آخر در این استاندارد مقایسه و اولویت بندی سطح ریسک بر اساس معیارهای ارزیابی ریسک و معیارهای پذیرش ریسک انجام می شود. 

EBIOS

روش ارزیابی ریسک EBIOS توسط آژانس امنیت سایبری فرانسه ANSSI با حمایت Club EBIOS منتشر شد. در این روش جعبه ابزاری ارائه شده است که می تواند با انواع پروژه ها سازگار باشد از نظر مدیریت ریسک و امنیت سایبری با استانداردهای مرجع موجود سازگار است. در روش EBIOS ریسک های امنیتی ارزیابی شده و اقدامات امنیتی برای کاهش و مقابله با آنها ارائه می شود. همچنین اعتبار سنجی میزان ریسک قابل قبول و رویکرد بهبود مستمر آنها در این روش امکان پذیر است.  

روش EBIOS برای اهداف مختلفی می تواند استفاده شود.

• تنظیم و تقویت روند مدیریت ریسک دیجیتال در یک سازمان
• ارزیابی و برطرف کردن ریسک های مربوط به یک پروژه دیجیتال، با هدف اعتبار بخشی امنیتی
• سطح امنیتی قابل دستیابی را برای یک محصول یا خدمات با توجه به موارد استفاده از آن محصول و خطرات قابل مقابله، از منظر صدور گواهینامه یا اعتبار سنجی، تعریف می کند

روش EBIOS در پنج Workshop انجام می شود که در شکل زیر نمایش داده شده است.

با توجه به شکل بالا مراحل هر کدام از Workshop ها تشریح می شوند:

Workshop1(Scope and security baseline)

این قسمت شامل موارد زیر می شود:

• شناسایی اهداف تعیین شده
• شناسایی ماموریت های سازمان
• تعیین دارایی های تجاری
• دارایی های حمایتی(supporting assets) مربوط به اهداف تعیین شده

Workshop2 (Risk origins)

 در این قسمت risk origins (RO) یا ریشه های ریسک و اهداف سطح بالای آن که  target objectives (TO) نامیده می شود شناسایی می شوند که نتایج به دست آمده از این قسمت به صورت نقشه risk origins (RO) رسمی می شود.

Wokshop3 (Strategic scenarios)

در این قسمت یک دید واضح  به دست خواهد آمد و نقشه ای از تهدید دیجیتال با توجه به اهداف تعیین شده تهیه خواهد شد. این قسمت این امکان را به سازمان می دهد تا سناریو های سطح بالا با نام strategic scenarios را به وجود آورند که در واقع آنها نمایانگر مسیرهای حمله ای هستند که منشا ریسک برای رسیدن به هدف خود طی می کند. این سناریو ها در مقیاس اکوسیستم و دارایی های تجاری هدف تعیین شده  طراحی شده اند و از نظر شدت ارزیابی می شوند. در پایان سازمان می تواند اقدامات امنیتی را در اکوسیستم تعریف کند

Workshop4 (Operational scenarios)

هدف از این قسمت ساخت سناریو های فنی مانند تست نفوذ است که توسط منشاء ریسک برای انجام سناریو های استراتژیک استفاده می شود. این قسمت رویکرد مشابهی مانند قسمت قبل دارد با این تفاوت که بر دارایی حمایتی مهم (critical supporting assets) تمرکز دارد. در این قسمت احتمال سناریو های عملیاتی به دست آمده ارزیابی می شود.

Workshop5 (Risk treatment)

آخرین قسمت خلاصه ای از تمام ریسک های مورد مطالعه و ریسک های باقی مانده به منظور تعریف استراتژی درمان ریسک ایجاد و تعریف می شود که نتیجه آن یک برنامه امنیتی برای کاهش ریسک ها و بهبود مستمر آن است.

ارتباط بین Workshop ها در شکل زیر نمایان است

OCTAVE

OCTAVE یک روش ارزیابی ریسک برای شناسایی، مدیریت و ارزیابی خطرات امنیت اطلاعات است. روش OCTAVE در وهله اول به سمت افرادی هدایت می شود که مسئولیت مدیریت ریسک های عملیاتی سازمان را بر عهده دارند که این افراد در واحد های زیر قرار دارند:

• واحد های تجاری یک سازمان
• واحد امنیت اطلاعات
• مدیران ریسک
• واحد فناوری اطلاعات
• کلیه کارکنان شرکت کننده در فعالیت ارزیابی ریسک

نقشه راه روش OCTAVE در شکل زیر نشان داده شده است

ESTABLISH DRIVERS

در این قسمت معیار های اندازه گیری ریسک مطابق با organizational drivers یا محرک های سازمانی تعیین می شوند. این محرک ها برای ارزیابی اثرات ریسک بر روی ماموریت و اهداف سازمان استفاده می شوند.

PROFILE ASSETS

در این قسمت پروفایل دارایی های اطلاعاتی ایجاد می شود که پس از شناسایی و ایجاد پروفایل ها،  پروفایل هر دارایی در یک worksheet ثبت می شود. پروفایل یک دارایی اطلاعاتی، کیفیت و ویژگی ها و ارزش منحصر به فرد آن دارایی را نشان می دهد.

IDENTIFY THREATS

در این قسمت تهدیدات موجود برای دارایی اطلاعات از طریق یك فرآیند ساختار یافته شناسایی و مستند می شود به عبارت دیگر در این قسمت سناریو های تهدید که ممکن است برای سازمان در دنیای واقعی اتفاق افتد شناسایی می شوند.

IDENTIFY AND MITIGATE RISKS

آخرین مرحله ارزیابی ریسک است که بر اساس اطلاعات مربوط به تهدید های شناسایی شده، ریسک ها شناسایی و مورد تجزیه و تحلیل قرار می گیرند. در این قسمت ریسک های امنیتی با استفاده از تهدید های که در مرحله قبل شناسایی شده است ارزیابی و تجزیه و تحلیل می شوند.

CISRAM

محتوای اصلی این روش ارزیابی توسط HALOCK Security Labs ایجاد شده است که حاصل تجربه HALOCK در زمینه کمک های امنیت سایبری به مشتریان و نهاد های قانونی است.

CISRAM مخفف عبارت Center for Internet Security Risk Assessment Method Express می باشد که هدف آن کمک به سازمان ها برای انطباق فعالیت های خود با کنترل های CIS7.1 است تا بتوانند این کنترل ها را به صورت جزئی یا کامل پیاده سازی کنند لازم به ذکر است CIS 8 به زودی منتشر خواهد شد.

CISRAM با استاندارد های ارزیابی ریسک مانند ISO 27005 , NIST Special Publications 800-30, RISK IT انطباق دارد و آنها را تکمیل می کند

CISRAM با استفاده از CIS Control V7.1 چارچوبی را برای ارزیابی ریسک امنیت اطلاعات فراهم می کند، از جمله راهنمایی مفید برای تعیین معیارهای تجزیه و تحلیل ریسک و پذیرش ریسک.

این روش ارزیابی از DOCRA که خلاصه عبارت Duty of Care Risk Analysis Standard می باشد به عنوان پایه و اساس خود استفاده می کند که در واقع به مراقبت از اجرای کنترل ها اشاره دارد.

فرآیند ارزیابی ریسک CIARAM به شرح زیر است:

Developing the Risk Assessment Criteria and Risk Acceptance Criteria

در این قسمت معیارهای ارزیابی و پذیرش ریسک تعیین و تعریف می شود

Modeling the Risks

 در این قسمت ارزیابی و پیاده سازی کنترل های موجود CIS که تهدید های قابل پیش بینی را شناسایی و از وقوع آنها جلوگیری می کند.

Evaluating the Risks

 در این مرحله احتمال و تاثیر نقض امنیت برای رسیدن به سطح ریسک تخمین زده می شود و سپس تعیین می شود که ریسک های شناسایی شده قابل قبول هستند یا خیر؟

Recommending Safeguards

در این قسمت کنترل های CIS پیشنهاد می شنود که می تواند ریسک ها را کاهش دهد

Evaluating Recommended Safeguards

در این قسمت ریسک های مربوط به کنترل های پیشنهادی بررسی می شود تا از تهدید های که ممکن است سازمان را درگیر کند اطمینان حاصل شود.

CISRAM با استفاده از فرمول زیر ریسک را ارزیابی می کند

Risk = Impact x Likelihood

اثر ریسک یا Impact به صورت جدول زیر انتخاب می شود

در این مرحله باید اثر هر یک از سناریوهای ریسک بر روی سه المان مأموریت سازمان، اهداف سازمان و تعهدات سرویس بین سطح 1 تا 5 انتخاب شود.

احتمال هم بر اساس جدول زیر تعریف می شود

 در این مرحله سازمان ها می توانند پایه پذیرش ریسک را تعیین کنند که عدد 9 برای ریسک پذیرفته شده در نظر گرفته می شود.

مدل ارزیابی ریسک در CISRAM به صورت زیر است

ارزیابی Safeguard برای ریسک به صورت زیر انجام می شود.

مدل CISRAM یک مدل بسیار کارآمد برای ارزیابی ریسک در سازمان ها به حساب می آید که تمام آسیب پذیری های فنی را پوشش می دهد و یکی از مزیت های این روش Safeguard Risk می باشد که ریسک های موجود در روش مقابله با ریسک را بررسی می کند به عبارتی دیگر در یک سازمان روشی برای کاهش ریسک پیشنهاد شده است که با استفاده از Safeguard Risk ریسک پیاده سازی روش پیشنهادی بررسی شده و در صورت امکان اجازه پیاده سازی آن داده می شود.

نتیجه گیری

 در این مقاله روش های ارزیابی ریسک معرفی شد که سازمان ها باید با توجه به ساختار داخلی و دارایی های خود یکی از روش ها را برای ارزیابی انتخاب کنند لکن باید به این نکته توجه داشت که روش ISO27005 و CIARAM بسیار پرکاربرد بوده به دلیل اینکه تمام آسیب پذیری های فنی را پوشش می دهند و باید ذکر شود که روش CRAMM قدیمی بوده و سازمان های کمی از آن استفاده می کنند.

محمد شروین جعفرزاده