یک ارزیابی خطر امنیتی، پارامترهای اصلی برنامهها را شناسایی، ارزیابی و ثبت میکند. همچنین بر پیشگیری از نقص امنیتی و آسیبپذیری برنامهها تمرکز دارد. انجام یک ارزیابی خطر به یک سازمان اجازه میدهد تا برنامهها را به طور جامع از دیدگاه یک حمله کننده مشاهده کند. اجرای ارزیابی خطر، یک بخش حیاتی از فرآیند مدیریت خطر یک سازمان است که به تخصیص دقیق منابع و اتخاذ تصمیمات مناسب امنیتی کمک میکند.
یک ارزیابی خطر امنیتی شامل چه فعالیتهایی است؟
یک ارزیابی امنیتی جامع اجازههای زیر را به سازمان میدهد:
- داراییها در محدوده سازمان را شناسایی کند (مانند شبکه، سرورها، برنامهها، مرکزهای داده، ابزارها و …).
- یک پروفایل خطر برای هر دارایی بسازد.
- درک کند که چه دادههایی بوسیله این داراییها ایجاد، ذخیره و منتقل شدهاند.
- داراییها را به طور حساس درباره فعالیتهای تجاری ارزیابی کند. این شامل تاثیر کلی بر درآمد، اعتبار و احتمال در معرض خطر قرار گرفتن یک شرکت است.
- اندازهگیری رتبهبندی خطر برای داراییها و اولویتبندی آنها برای ارزیابی
- کاهش کنترلها بر هر دارایی و بر اساس نتایج ارزیابی
توجه داشته باشید که ارزیابی خطر امنیتی یک پروژه امنیتی یکباره نیست. ترجیحا، یک فعالیت پیوسته است که باید حداقل هر یک سال در میان اجرا شود. ارزیابی پیوسته برای یک سازمان یک تصویر لحظهای بهروز از خطرات و تهدیداتی که در معرض آن قرار دارد را فراهم میکند.
در پیراسک ما ارزیابی سالانه خطرات حیاتی با تأثیر بالا و احتمال خطر را پیشنهاد میکنیم. فرآیند ارزیابی، اطلاعات متنوعی را جمعآوری میکند. برخی از این اطلاعات شامل:
- ساخت یک نمونهکار برنامه برای تمامی برنامهها و ابزارهای کاربردی
- مکتوب کردن نیازمندیهای امنیتی، سیاستها و فرآیندها
- ایجاد یک مجموعه از معماری سیستم، نمودار شبکه، دادههای ذخیره شده یا منتقل شده بوسیله سیستم و تعامل با سرویسها و فروشندگان خارجی
- توسعه یک انبار دارایی از داراییهای فیزیکی (مانند سخت افزار، شبکه و اجزاء ارتباطی و پیرامونی)
- جاگذاری اطلاعات بر سیستمهای عامل (مانند کامپیوتر شخصی و سرور سیستمهای عامل).
- اطلاعات درباره:
- انبار دادهها (مانند سیستمهای مدیریت پایگاه داده، فایلها و …)
- کنترلهای امنیتی جاری (مانند سیستمهای احراز هویت، سیستمهای کنترل دسترسی، آنتی ویروس، کنترلهای هرزنامه، نظارت شبکه، دیوارهای آتش (Firewall)، تشخیص نفوذ به سیستمها).
- عملیاتهای اولیه جاری و نیازمندیهای امنیتی مربوط به توافق دستگاههای قانونگذاری
- داراییها، تهدیدات و آسیب پذیریها (شامل تاثیر و احتمال آنها).
- بررسیهای فنی و اجرای برنامههای پیشین، سیاستها، سیستمهای شبکه و …
- ثبت کنترلهای کاهش برای هر خطر شناسایی شده برای یک دارایی.
چه صنایعی نیازمند ارزیابی خطر هستند؟
اکثر سازمانها نیازمند سطحی از اطلاعات قابل شناسایی شخصی (PII) یا اطلاعات سلامتی پرسنل (PHI) برای عملیاتهای تجاری هستند. این اطلاعات از شرکا، موکلها و مشتریان میآید. اطلاعاتی مانند شماره ملی، شماره مالیاتی، تاریخ تولد، شماره گواهینامه رانندگی، اطلاعات پاسپورت، تاریخچه پزشکی و … اطلاعاتی محرمانه تلقی میشوند.
همینطور، سازمانهایی که اطلاعات محرمانه را میسازند و ذخیره یا منتقل میکنند باید تحت یک ارزیابی خطر قرار گیرند. ارزیابیهای خطر نیازمند یک سری از قوانین، مقررات و استانداردها است. برخی از دستگاههای قانون گذار که نیازمند ارزیابی خطر هستند شامل HIPAA، PCI-DSS، قانون عمومی ماساچوست فصل 93H قانون 201 CMR 17.00، استاندارد حسابرسی ساربینز-اوکسلی 5 و اعلامیه مدیریت امنیتی اطلاعات فدرال (FISMA) هستند.
سازمانها اغلب نیاز به تطابق و تبعیت از این مقررات را زیر سوال میبرند. در پیراسک، ما تشخیص میدهیم که آیا یک سازمان نیاز دارد تا تحت یک ارزیابی خطر امنیتی قرار گیرد و با یک مجموعه یکپارچه از کنترلهای امنیتی سازگار بماند. در واقع، این کنترلها در میان چندین صنعت، موافقت و پیاده سازی شده است. آنها یک پلتفرم برای سنجش وضعیت امنیتی کلی یک سازمان فراهم میکنند. موجودیتهای قانونگذاری همچنین اجرای یک ارزیابی برای هر دارایی شامل داده محرمانه را پیشنهاد میکنند. ارزیابیها باید دوسال یک بار، سالانه یا در هر بهروزرسانی انجام شود.