توسعه روزافزون بهکارگیری فناوری اطلاعات در فرآیندهای کسبوکار موجب شده است که اطلاعات و داراییهای اطلاعاتی به یکی از منابع حیاتی سازمانها تبدیل شود. استفاده مناسب از این اطلاعات و داراییهای اطلاعاتی به یکی از نیازهای اساسی برای دستیابی به اهداف سازمانی تبدیل شدهاست و حفظ محرمانگی، صحت و دسترسپذیری اطلاعات از مشخصههای مهم برای حفظ حیات و تداوم کسبوکار تلقی میشود.
پیشرفت سیستمهای رایانهای، رایانش ابری، خدمات شبکههای اجتماعی و وابستگی کسبوکارها به فناوری اطلاعات، آنها را در معرض خطرات زیادی از جمله سرقت، از بین رفتن و یا تخریب اطلاعات قرار داده است. از این منظر باید گفت تامین امنیت اطلاعات مهمترین دغدغه و چالش این دوران است. از مهمترین موضوعات در حوزه امنیت اطلاعات، شناسایی و مدیریت مخاطره است. مدیریت مخاطرهها را میتوان بهعنوان سنگبنای تصمیمهای مدیران و متخصصان امنیتی دانست. مدیریت مخاطره یک فرآیند نظاممند است که به سازمانها در درک اینکه مخاطره چیست، چه کسانی در معرض مخاطره قرار دارند و اینکه کنترلهای فعلی برای این مخاطرهها و قضاوتهای موجود در خصوص کفایت این کنترلها مناسب هستند یا خیر، کمک میکند. در صورتیکه این کنترلهای موجود مناسب و کافی نباشند، برای ارتقای کنترل و مدیریت سطح مخاطره به یک سطح قابل قبول و معقول، نیاز است اقدامهایی انجام شود. امروزه پیادهسازی یک سیستم مدیریت امنیت اطلاعات مبتنی بر مدیریت مخاطره مناسب در سازمانها، به خصوص سازمانهای بزرگ، بیش از هرگونه تعهد اخلاقی برای محافظت از کارکنان، به یک الزام قانونی تبدیل شده است.
یکی از کارکردهای مهم حاکمیت مدیریت فناوری اطلاعات، مدیریت مخاطره (ریسک) است که هدف آن ایجاد یک محیط امن برای کسبوکارهای الکترونیکی و تجارت الکترونیکی است. در حمایت از این کارکرد، سازمانهای گوناگون علاقمند به پیادهسازی استانداردهایی هستند که روشهای گوناگون مدیریت مخاطره را منتشر کردهاند. این روشها، در قالب دستورالعملها/ راهنماها، استانداردها و چارچوبهای ملی و بینالمللی از خاستگاههای گوناگون کاربردی و پژوهشی و به منظور ارزیابی مخاطره امنیت اطلاعات طراحی، و به منظور شناسایی، تحلیل و کاهش مخاطرههای مرتبط با فناوری اطلاعات از سوی سازمانها مورد استفاده قرار میگیرد. به رغم تعداد روزافزون روشهای ارزیابی و مدیریت مخاطره، گزارشهای گوناگون، نظرسنجیها و ادبیات این حوزه نشان میدهد که گسترش کاربرد این روشها در حال حاضر در سازمانها به دلیل کمبود آگاهی، هزینههای بالا، نیاز به تخصص و فرآیند طولانی بسیار محدود است. از سوی دیگر در حوزه کاربرد در ایران شاهد آن هستیم که علیرغم وجود تنوع زیاد روشهای ارزیابی مخاطره امنیت اطلاعات، هم از سوی مشاوران و هم از سوی بهرهبرداران دانش و آگاهی کافی در خصوص این روشها وجود ندارد و تنها تعداد محدودی از آنها مورد استفاده قرار میگیرد. با این توضیحات، این کتاب با هدف مقایسه جامع و مصورسازی روشهای ارزیابی و مدیریت مخاطره امنیت اطلاعات، در چهار فصل به شرح زیر منتشر شده است:
۱_ مفاهیم پایه مدیریت مخاطره امنیت اطلاعات: در این فصل سعی شده است روند شکلگیری مفهوم مدیریت امنیت اطلاعات، اهمیت و ضرورت توجه به امنیت اطلاعات، و مفاهیم پایهای از جمله امنیت، امنیت اطلاعات، مدیرت امنیت اطلاعات، مخاطره، مدیریت مخاطره معرفی شود.
۲_ روشهای ارزیابی مخاطره: در این فصل نُه روش اصلی مدیریت مخاطره در مفهوم کلی آن (نه در موضوع امنیت اطلاعات) معرفی و تشریح شدهاند.
۳_ روشهای ارزیابی مخاطره امنیت اطلاعات: در این فصل بر اساس روش پژوهش بیان شده در کتاب، ۵۰ روش مدیریت و ارزیابی مخاطره امنیت اطلاعات مورد بررسی قرار گرفته و بر اساس یک روش ارزیابی مشخص، ۱۸ روش جاری برتر در سطح دنیا در سه دسته و در قالب شناسنامه علمی معرفی شدهاند.
۴_ مقایسه روشهای ارزیابی مخاطره امنیت اطلاعات: در این فصل ۱۸ روش منتخب در بخش قبل بر اساس یک چارچوب مقایسه حاوی ۱۹ معیار شامل ـ نوع، ماهیت، سازمان ارائه دهنده، اندازه سازمان هدف، سطح کاربری، سطح تخصص، فرآیند تطبیق مراحل مدیریت و ارزیابی مخاطره، رویکردهای تخمین مخاطره، شیوه ارزیابی مخاطره، پشتیبانی ابزارها، پشتیبانی از زبانهای رایج، میزان سازگاری با استانداردها و مستندات، پوشش تعاریف و اصطلاحات، سرعت، سهولت استفاده، فرآیند روشن و شفاف و تکرارپذیری ـ مورد بررسی قرار گرفته و در جداول جداگانه نتایح ارزیابی ارائه شده است. در انتها نیز در قالب یک مصورسازی جامع، نتایج این مقایسه ارائه شده است.
«شرکت فنیومهندسی امنپردازان کویر» یکی از پیشروان حوزه امنیت شبکه و اطلاعات در کشور و جز سه شرکت برتر ارائهدهنده خدمات، محصولات و راهکارهای بومی در زمینه مدیریت مخاطرات امنیت اطلاعات در ایران است. ما معتقدیم”ارزیابی مخاطره امنیت اطلاعات” و راهکارهای فنی مبتنی بر آن، باید همواره بهعنوان سنگبنای پیادهسازی استانداردهای “سیستم مدیریت امنیت اطلاعات” مورد توجه سازمانها و کسبوکارها قرار گیرد. اگرچه هماکنون تنوع روشهای ارزیابی و مدیریت مخاطره امنیت اطلاعات، همچنین عدم توافق در معیارهای مرجع مورد تأیید و نبود چارچوب مقایسهای برای ارزیابی آنها، سازمانها را در فرآیند انتخاب و استفاده از این روشها با چالشهایی جدی مواجه کرده است. در همین راستا امیدواریم این اثر بتواند برای مدیران اجرایی، ممیزان، مشاوران و سران تیمهای امنیتی در استفاده بهینه از یک چارچوب ارزیابی مقایسهای، با هدف بهکارگیری مناسب روشهای ارزیابی و مدیریت مخاطره امنیت اطلاعات مفید بوده و با کاهش چالشهای سازمانها در این حوزه، به ذینفعان این اطمینان خاطر را دهد که مخاطرهها به شکل بهینه مدیریت میشوند.
|
فرم دانلود کتاب |