یک ارزیابی خطر امنیتی، پارامترهای اصلی برنامه‌ها را شناسایی، ارزیابی و ثبت می‌کند. همچنین بر پیشگیری از نقص امنیتی و آسیب‌پذیری برنامه‌ها تمرکز دارد. انجام یک ارزیابی خطر به یک سازمان اجازه می‌دهد تا برنامه‌ها را به طور جامع از دیدگاه یک حمله کننده مشاهده کند. اجرای ارزیابی خطر، یک بخش حیاتی از فرآیند مدیریت خطر یک سازمان است که به تخصیص دقیق منابع و اتخاذ تصمیمات مناسب امنیتی کمک می‌کند.

 یک ارزیابی خطر امنیتی شامل چه فعالیت‌هایی است؟

یک ارزیابی امنیتی جامع اجازه‌های زیر را به سازمان می‌دهد:

  • دارایی‌ها در محدوده سازمان را شناسایی کند (مانند شبکه، سرورها، برنامه‌ها، مرکز‌های داده، ابزارها و …).
  • یک پروفایل خطر برای هر دارایی بسازد.
  • درک کند که چه داده‌هایی بوسیله این دارایی‌ها ایجاد، ذخیره و  منتقل شده‌اند.
  • دارایی‌ها را به طور حساس درباره‌ فعالیت‌های تجاری ارزیابی کند. این شامل تاثیر کلی بر درآمد، اعتبار و احتمال در معرض خطر قرار گرفتن یک شرکت است.
  • اندازه‌گیری رتبه‌بندی خطر برای دارایی‌ها و اولویت‌بندی آن‌ها برای ارزیابی
  • کاهش کنترل‌ها بر هر دارایی و بر اساس نتایج ارزیابی

توجه داشته باشید که ارزیابی خطر امنیتی یک پروژه امنیتی یکباره نیست. ترجیحا، یک فعالیت پیوسته است که باید حداقل هر یک سال در میان اجرا شود. ارزیابی پیوسته برای یک سازمان یک تصویر لحظه‌ای به‌روز از خطرات و تهدیداتی که در معرض آن قرار دارد را فراهم می‌کند.

در پیراسک ما ارزیابی سالانه خطرات حیاتی با تأثیر بالا و احتمال خطر را پیشنهاد می‌کنیم. فرآیند ارزیابی، اطلاعات متنوعی را جمع‌آوری می‌کند. برخی از این اطلاعات شامل:

  • ساخت یک نمونه‌کار برنامه برای تمامی برنامه‌ها و ابزارهای کاربردی
  • مکتوب کردن نیازمندی‌های امنیتی، سیاست‌ها و فرآیندها
  • ایجاد یک مجموعه از معماری سیستم، نمودار شبکه، داده‌های ذخیره شده یا منتقل شده بوسیله سیستم و تعامل با سرویس‌ها و فروشندگان خارجی
  • توسعه یک انبار دارایی از دارایی‌های فیزیکی (مانند سخت افزار، شبکه و اجزاء ارتباطی و پیرامونی)
  • جاگذاری اطلاعات بر سیستم‌های عامل (مانند کامپیوتر شخصی و سرور سیستم‌های عامل).
  • اطلاعات درباره‌:
    • انبار داده‌ها (مانند سیستم‌های مدیریت پایگاه داده، فایل‌ها و …)
    • کنترل‌های امنیتی جاری (مانند سیستم‌های احراز هویت، سیستم‌های کنترل دسترسی، آنتی ویروس، کنترل‌های هرزنامه، نظارت شبکه، دیوارهای آتش (Firewall)، تشخیص نفوذ به سیستم‌ها).
    • عملیات‌های اولیه جاری و نیازمندی‌های امنیتی مربوط به توافق دستگاه‌های قانون‌گذاری
    • دارایی‌ها، تهدیدات و آسیب پذیری‌ها (شامل تاثیر و احتمال آن‌ها).
    • بررسی‌های فنی و اجرای برنامه‌های پیشین، سیاست‌ها، سیستم‌های شبکه و …
    • ثبت کنترل‌های کاهش برای هر خطر شناسایی شده برای یک دارایی.

چه صنایعی نیازمند ارزیابی خطر هستند؟

اکثر سازمان‌ها نیازمند سطحی از اطلاعات قابل شناسایی شخصی (PII) یا اطلاعات سلامتی پرسنل (PHI) برای عملیات‌های تجاری هستند. این اطلاعات از شرکا، موکل‌ها و مشتریان می‌آید. اطلاعاتی مانند شماره ملی، شماره مالیاتی، تاریخ تولد، شماره گواهینامه رانندگی، اطلاعات پاسپورت، تاریخچه پزشکی و … اطلاعاتی محرمانه تلقی می‌شوند.

همینطور، سازمان‌هایی که اطلاعات محرمانه را می‌سازند و ذخیره یا منتقل می‌کنند باید تحت یک ارزیابی خطر قرار گیرند. ارزیابی‌های خطر نیازمند یک سری از قوانین، مقررات و استانداردها است. برخی از دستگاه‌های قانون گذار که نیازمند ارزیابی خطر هستند شامل HIPAA، PCI-DSS، قانون عمومی ماساچوست فصل 93H  قانون 201 CMR 17.00، استاندارد حسابرسی ساربینز-اوکسلی 5 و اعلامیه مدیریت امنیتی اطلاعات فدرال (FISMA) هستند.

سازمان‌ها اغلب نیاز به تطابق و تبعیت از این مقررات را زیر سوال می‌برند. در پیراسک، ما تشخیص می‌دهیم که آیا یک سازمان نیاز دارد تا تحت یک ارزیابی خطر امنیتی قرار گیرد و با یک مجموعه یکپارچه از کنترل‌های امنیتی سازگار بماند. در واقع، این کنترل‌ها در میان چندین صنعت، موافقت و پیاده سازی شده است. آن‌ها یک پلتفرم برای سنجش وضعیت امنیتی کلی یک سازمان فراهم می‌کنند. موجودیت‌های قانون‌گذاری همچنین اجرای یک ارزیابی برای هر دارایی شامل داده محرمانه را پیشنهاد می‌کنند. ارزیابی‌ها باید دوسال یک بار، سالانه یا در هر به‌روزرسانی انجام شود.