HSE و بهداشت حرفه ای

ارزيابي ريسک، فرآيندي است که نيازمند تجربه، تخصص و دقت بالا بوده و مي بايست در قالب کار گروهي و با بهره گيري از توان مسؤولين و کارشناسان ذيربط انجام پذيرد. اين فعاليت تيمي نيز زماني به نتيجه مطلوب دست خواهد يافت که تيم ارزياب، علاوه بر برخورداري از تجربه و تخصص لازم، از زبان مشترکي نيز در درک مفاهيم و روشهاي مورد استفاده برخوردار باشند. در اين متن سعي شده است تا ضمن ارائه تعاريف و تشريح مفاهيم مورد استفاده در ارزيابي ريسک، نمونه‌ها و ليستهاي مرجعي نيز جهت استفاده کارشناسان ارائه شود.

 تعاريف:

تهديد: حادثه اي که بطور بالقوه امکان دارد سبب ايجاد يک واقعه ناگوار (از قبيل دسترسي غير مجاز، دستکاري، افشاء يا خرابکاري) بر روي دارايي هاي اطلاعاتي موجود در سازمان گردد.

آسيب پذيري: ضعف موجود در يک سيستم، برنامه کاربردي، زيرساختار، کنترل يا طراحي است که مي تواند در جهت مختل کردن تماميت سيستمهاي موجود و روالهاي کاري و سازماني و مأموريتها و فعاليتهاي سازمان، از سوي تهديد مورد استفاده و بهره برداري قرار گيرد.

ريسک: احتمال اينکه يک تهديد مشخص بتواند از يک آسيب پذيري (نقطه ضعف) خاص موجود در سيستمهاي سازمان استفاده نمايد.

ارزيابي ريسک: مراحل مورد نياز براي شناسايي حوزه و دارايي هاي موجود در آن، تهديدهاي موجود عليه دارايي ها، اولويت بندي نقاط ضعف مربوط به تهديدها و مشخص نمودن سطح ريسک ها و کنترلهاي مناسب را گويند.

 روش اجرا

نخستين گام اجراي فرآيند ارزيابي ريسک، شناسايي تمامي دارايي هاي اطلاعاتي موجود در حوزه مورد بررسي است تا پس از آن بتوان ريسکهاي متوجه هر يک از آنها را بطور کامل مشخص نمود.دارايي ها به چهار دسته دارايي هاي اطلاعاتي، نرم افزاري، سخت افزاري و انساني تقسيم شده و براي هر يک، نمونه هايي ذکر شده است.

- دسته بندي داراييها:

سرمايه عبارتست از دارايي فيزيکي يا اطلاعاتي که براي سازمان داراي ارزش و اهميت بوده و بايد بطور خاص مورد محافظت قرار گيرد.

الف- دارايي هاي سخت افزاري

شامل سرورها، کامپيوترهاي شخصي، انواع CD، فلاپي، پرينتر، اسکنر، نوت بوک، Flash memory، درايور هاي قابل حمل، اجزاء شبکه ارتباطي از قبيل روترها، مودم، سوئيچ، ...

ب- داراييهاي نرم افزاري

- نرم افزارهايي که در داخل سازمان توليد شده و در راستاي مأموريت و فعاليتهاي سازمان مورد استفاده قرار مي گيرند. - نرم افزارهايي که در خارج از سازمان تهيه شده و در راستاي مأموريت و فعاليتهاي سازمان مورد استفاده قرار مي گيرند مانند سيستمهاي اتوماسيون اداري، نرم افزارهاي مالي، انبارداري و .... - نرم افزارهاي معمول وموجود در بازار که براي انجام امور عادي و روزمره مورد استفاده قرار مي گيرند مانند نرم افزارهاي تايپ و صفحه گسترده، نقشه کشي و ... . - ساير موارد.

ج- سرمايه هاي اطلاعاتي

شامل هر نوع اطلاعات (چه فيزيکي از قبيل کاغذ و نامه و ...) و چه غير فيزيکي (داده ها) که براي سازمان داراي ارزش باشند. - اطلاعات کاري و سازماني از قبيل سوابق پروژه‌ها و فعاليتهاي انجام شده، مأموريت و گزارشات سازماني موجود، روندها و طرحهاي سازماني و ... - اطلاعات پرسنلي از قبيل اطلاعات حقوقي، اطلاعات شخصي، سوابق کاري و خدمتي، شماره حسابهاي بانکي و ... - اطلاعات امنيتي از قبيل کلمات عبور، اطلاعات مربوط به رمزنگاري و احراز صلاحيت و احراز هويت کاربران و ... - بانکهاي اطلاعاتي موجود بر روي سرورها، فايلهاي اطلاعاتي ذخيره شده بر روي سرورها يا کامپيوترهاي کاربران - ساير موارد.

د- سرمايه هاي انساني

سرمايه هاي انساني شامل تمامي کارکناني مي شود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرايي سازمان و روالهاي کاري و سازماني لطمه وارد خواهد شد. نظير: - مديران ارشد قسمتهاي مختلف سازمان و جانشينان و معاونين آنها - رؤساي بخشها و دواير - پرسنل متخصص و با سابقه - مديران و کارشناسان بخش IT و امنيت اطلاعات - پرسنل متخصص و تکنيکي موجود در دواير و بخشها - ساير موارد.

پس از تعيين و شناسايي دارايي ها، تيم ارزيابي اقدام به شناسايي ريسکهاي مربوط به هر يک از دارايي ها مي نمايد. همانطور که از تعريف ارائه شده براي ريسک استنباط مي شود، هر ريسک از سه عنصر يا جزء تشکيل شده است. لذا تعريف ريسک به معني تعيين دقيق اين سه عنصر است. اين سه عنصر عبارتند از عامل تهديد، سرمايه و اثر تهديد. بعبارت ديگر:

ريسک = عامل تهديد + سرمايه + اثر تهديد

همانگونه که از رابطه فوق بر مي آيد، با تغيير هر يک از اجزاء موجود در طرف چپ تساوي فوق، ريسک جديدي حاصل مي شود. در نتيجه در اغلب موارد امکان دارد که براي يک دارايي مشخص، چندين ريسک مختلف را با توجه به نوع عامل تهديد و انواع اثرات آن، بتوان شناسايي نمود. در اينصورت، براي هر مورد، يک شناسنامه ريسک بطور مجزا تهيه خواهد شد. در ادامه به مشخص کردن انواع عوامل تهديد قابل اعمال بر روي دارايي هاي اطلاعاتي ،و نيز اثرات ناشي از آنها می پردازيم.

 2- دسته بندي عوامل تهديد:

- تهديدات طبيعي:

o طوفان، زمين لرزه، گردباد، رانش زمين، بهمن، طوفانهاي الکتريکي و رويدادهاي مشابه.

- تهديدات انساني:

o رويدادها و اتفاقاتي که منشاء انساني غير عمدي دارند ( اشتباهات و غفلتها) مانند عدم بکارگيري صحيح تجهيزات، عدم نصب صحيح نرم افزارها و برنامه هاي کاربردي، آلوده نمودن غير عمدي شبکه به ويروس، دسترسي ناخواسته به اطلاعات محرمانه و ...

o رويدادها و اتفاقاتي که منشاء انساني عمدي دارند چه از داخل سازمان و چه از خارج از آن (سوء استفاده، نرم افزار مخرب، دسترسي غيرمجاز، کدهاي مخرب، ويروس، بمبها، اخلال گري الکترونيکي، آتش سوزي عمدي، قطع برق عمدي و ...). بر طبق آمار، تهديداتي که موجب وارد شدن بيشترين آسيب به منابع اطلاعاتي مي شوند، داراي منشاء انساني هستند.

- تهديدات محيطي:

o قطع طولاني مدت برق، آلودگي، مواد شيميايي، نشت مايعات، آتش سوزي غير عمدي، استهلاک تجهيزات و لوازم و ...

3-انواع اثرات تهديدات:

اثر تهديد به نتايج و پيامدهاي منفي حاصل از وقوع تهديد گفته مي شود که مي توانند بر روي سرمايه هاي اطلاعاتي سازمان، تأثير منفي در پي داشته باشند.

- سوء استفاده از دارايي اطلاعاتي - دستکاري غير مجاز - افشاء غير مجاز - سرقت - عدم سرويس دهي يا قطع مقطعي آن - کپي و تکثير غير مجاز - تخطي از قواعد و قوانين سازماني - کاهش کارايي سازمان - کاهش ايمني افراد - از دست رفتن جامعيت اطلاعات - از دست رفتن دسترس پذيري اطلاعات (در زمان لزوم، در مکان مورد نياز نباشد) - فعاليتهاي بيهوده مالي (زيان مالي) - تهديدهاي مربوط به محيط زيست - اختلال در فرآيندهاي سازماني - از بين رفتن دارايي

در پايان اين مرحله، بايد براي تمامي دارايي هاي موجود در حوزه بررسي، ريسکهاي مربوطه مطابق فرمول فوق الذکر شناسايي شده و در بخش اول شناسنامه ثبت شوند. بعنوان مثال، برخي از ريسکهاي شناسايي شده ممکن است بصورت زير ثبت شوند:

1. کاربران به دليل بي توجهي (سهل انگاري) باعث خراب شدن هارد کامپيوتر سرور دبيرخانه شوند.

2. به دليل ويروسي شدن، هارد کامپيوتر سرور اينترنت قابل استفاده و دسترسي نباشد.

تعداد بيشتري از ريسکها ي ممکن در ذيل ارائه شده است.

نمونه اي از ريسکها قابل شناسايي در سازمان:

اعضاي تيم ارزيابي ريسک مي توانند از اين فهرست نمونه اي ريسکها بعنوان نقطه شروعي جهت شناسايي انواع ريسکها قابل اعمال بر دارايي هاي اطلاعاتي سازمان مطبوع خود استفاده نمايند. نکته اي که در اينجا ذکر آن ضروري است اين است که اين فهرست تنها بعنوان نمونه و نه يک ليست جامع و کامل از تمامي ريسکها موجود و محتمل مي باشد و اعضاي تيم مي بايست بر اساس تجربه و تخصص خود و با استفاده از سوابق مربوط به حوادث گذشته، تمامي ريسکها محتمل قابل اعمال بر مجموعه تحت بررسي خود را شناسايي نمايند. در هنگام مشخص نمودن ريسکها، توجه به اين نکته نيز ضروري است که تنها از ريسکهايي مي توان چشم پوشي نمود که احتمال آنها صفر (غير ممکن و محال) باشد. در غير اينصورت حتي کم احتمال ترين ريسکها نيز مي بايست ثبت شوند. نکته ديگر اين است که برخي از ريسکها ممکن است از سوي عوامل مختلف اعمال شوند که همانگونه که پيش از اين نيز گفته شد، براي هر يک از آنها مي بايست شناسنامه جداگانه اي تهيه شود.

 فهرست نمونه اي از انواع ريسکهاي قابل اعمال بر سازمان مبتني بر IT:

- خرابي هارد کامپيوتر سرور/ شخصي بدليل سهل انگاري مسئول/ کاربر مربوطه - خرابي هارد کامپيوتر سرور/ شخصي بدليل نفوذ ويروس از طريق اينترنت - خرابي هارد کامپيوتر سرور/ شخصي بدليل نفوذ ويروس از طريق کاربران - دسترسي غير مجاز به اطلاعات موجود در کامپيوتر سرور/ شخصي توسط کاربران داخلي - دسترسي غير مجاز به اطلاعات موجود در کامپيوتر سرور/ شخصي از طريق اينترنت - افشاء غير مجاز اطلاعات موجود در کامپيوتر سرور/ شخصي به دليل سهل انگاري کاربر مجاز - افشاء غير مجاز اطلاعات موجود در کامپيوتر سرور/ شخصي از طريق اينترنت - سرقت اطلاعات موجود در کامپيوتر سرور/ شخصي از طريق اينترنت - سرقت اطلاعات موجود در کامپيوتر سرور/ شخصي به دليل سهل انگاري کاربر مجاز - عدم سرويس دهي کامپيوتر سرور/ شخصي بعلت نفوذ ويروس از طريق اينترنت - عدم سرويس دهي کامپيوتر سرور/ شخصي بعلت نفوذ ويروس از طريق کاربر مجاز - عدم سرويس دهي کامپيوتر سرور/ شخصي بعلت قطع برق و نبود UPS

شرح ريسكهاي مرتبط با محرمانگي سرمايه هاي اطلاعاتي سازمان:

- داده / اطلاعات بطور نادرستي توسط مسئول مربوطه يا كاربر برچسب گذاري شود. - داده / اطلاعات بطور نادرستي توسط مسئول مربوطه يا كاربر دسته بندي شود. - داده / اطلاعات قبل از اينكه از طريق كانالهاي مناسب انتشار يابد به اشتراك گذاشته شود. - استفاده از سيستمهاي غير امن براي انتقال داده / اطلاعات حساس - افشاي اطلاعات و نقض قوانين حريم شخصي و مالكيت - عدم وجود توضيحات شفاف در مورد قوانين محرمانگي - محافظت نامناسب از فهرست كلمات عبور - وجود backdoor در نرم افزارها داده‌ها و برنامه هاي كاربردي - مدير اجرايي عصباني وناراضي كه داراي امتيازات و توانايي هاي امنيتي بالايي باشد. - عدم بررسي كامل اثرات نهفته و مخفي قبل از اعمال نمودن تغييرات مورد نياز بر روي سيستم ها و برنامه هاي مورد استفاده سازمان - توانايي حدس زدن مشخصات فردي ديگر توسط كاربران سازمان يا هكرها - كارمندان و افراد از طريقه نحوه صحيح انتشار يا ذخيره كردن اطلاعات موجود بر روي وب ناآگاه باشند. - دستپاچه و گيج شدن مسئولين امنيتي شبكه در مورد جايي كه اطلاعات حساس در آنجا ذخيره شده است. - دادن قابليت دسترسي به افرادي كه از نظر شغلي نيازي به داشتن اين امتياز نداشته باشند. - اطلاعات مربوط به سيستمهاي داخلي بطور سهوي انتشار يابند كه ممكن است در آينده براي حمله به سيستم مورد استفاده قرار گيرند. - استفاده ازID هاي مشترك توسط كاربران سازمان - دسترسي به فايلهاي پشتيباني كننده توسط مدير اجرايي سيستم بطور مناسبي كنترل نشود. - تكنولوژيهاي جديد باعث نفوذ در مسايل محرمانگي شوند. - تلاشها وتصميماتي براي تغيير دادن مدل امنيتي صورت گيرد. - عدم تشريح مسايل محرمانگي براي افراد غير كارمند موجود در سازمان - رديابي بسته‌ها توسط افراد غير مجاز از خارج سايت اينترنتي سازمان - جريمه هاي در نظر گرفته شده براي تخطي كردن از مقررات امنيتي آنقدر كافي نباشد كه باعث جلوگيري كردن از فعاليتهاي نامناسب افراد گردد. - امكان وجود تجهيزات استراق سمع الكترونيكي در محلهاي مختلف مجموعه مورد نظر

شرح ريسكهاي مرتبط با تماميت سرمايه هاي اطلاعاتي سازمان:

- پايگاه داده توسط خطاي سخت افزاري ،نرم افزار بد ،يا نادرست خراب شود. - عدم گزارش كردن نكات و موارد مربوط به تماميت توسط كاربران سازمان - اجراي ناقص يك روند يا عدم توانايي در اجراي صحيح روند توسط افراد باعث خراب شدن داده شود. - نبود پردازشهاي داخلي براي ايجاد كنترل و مديريت داده در حين انجام فعاليتهاي مختلف - عدم تشخيص و اعلام مشكلات تماميت بوجود آمده توسط كاربران و مسئولين امنيتي شبكه سازمان - امكان دسترسي اشخاص ثالث به اطلاعات محرمانه موجود در سازمان - عدم تعيين صلاحيت منشأ تقاضا كننده درخواست در روالها و سياستهاي موجود در سازمان - عدم قابليت دسترسي به اطلاعاتي كه مجاز به دسترسي به آنها مي باشيد. - كارمندان مربوطه آموزشهاي لازم براي انجام تغييرات مورد نياز را دريافت نكرده باشند. - عدم پاسخ دهي مناسب به تقاضاهاي انجام شده در مدت زمان مورد نظر - تغييرات انجام شده در داده/نرم افزارهاي سيستم يا برنامه هاي كاربردي ذخيره نشده باشند. - استفاده كاربران از كپي هايي از داده كه از رده خارج شده باشند. - وجود مشكلات همسان سازي و يكنواخت كردن در هنگام استفاده از وسيله هاي جبران ساز و بازگرداننده توسط كاربران - تغيير داده‌ها بعلت وجود ويروس - عدم گزارش كردن بموقع وضعيت كاربران، توسعه دهندگان، پشتيباني كنندگان وغيره... توسط مسئولين مربوطه

شرح ريسكهاي مرتبط با در دسترس بودن سرمايه هاي اطلاعاتي سازمان:

- هكرها سايت مجموعه مورد نظر را تعطيل نمايند. - نفوذكنندگان قادر به دسترسي فيزيكي به تجهيزات و امكانات مجموعه مورد نظر شوند. - وجود خطاي سخت افزاري در مورد سرور اينترنت - ارتباطات موجود با تهيه كننده سرويس قطع شود. - سايت ميزبان، محافظهاي فيزيكي مناسبي براي اطلاعات نداشته باشد. - ارتباط با سيستمهاي پشتيبان اداره قطع شود. - طراحي كلي سيستم پيچيده باشد. - ايجاد تغييرات نادرست نرم افزار يا سخت افزار سيستم توسط كاربران مجاز - مقادير وپيش بيني هاي مورد استفاده و معمول غير قابل انتظار باشند. - روندهاي برنامه استمرارپذيري سازمان آزمايش نشده باشند. - هيچ تضميني براي آماده بودن سرور توسط تهيه كننده سرويس داده نشده باشد. - اقدامات و اعتصابهايي در سازمان تهيه كننده سرويس، بوقوع بپيوندد. - تعمير و نگهداري برنامه ريزي شده معمولي، باعث آماده و در دسترس نبودن سرويس شود. - طراحي توپولوژي مانع كارايي / قابل قبول بودن ميزان در دسترس بودن سرويسهاي عمومي شود. - سرمايه گذاريهاي نامناسب سازمان براي قابليتهاي پشتيباني - حملات برنامه ريزي شده توسط معترضان و مخالفين سازمان - ساختار بندي سيستم براي در دسترس بودن زياد مناسب نباشد. - منابع و افراد تكنيكي سازمان آموزشهاي مناسب نديده باشند. - تراكم موجود در اينترنت باعث عدم رضايت كاربران شود. - بعلت وجود ويروس، ممكن است داده / اطلاعات در دسترس نباشند. - بعلت عدم نظارت كافي بر سايت وب سازمان، ممكن است آماده نبودن سيستم گزارش نشود. - بعلت نقص در روتر يا ديواره آتش، ممكنست دسترسي به سرويسها امكان پذير نباشد. - پشتيبانهاي موجود در سازمان كافي نباشند. - سوء استفاده كاربران از امكانات شبكه، كلمات عبور ساير افراد

حوزه ريسک:

منظور تعيين گروه دارايي مورد بررسي است. همانگونه که پيش از اين نيز ذکر شد، حوزه ريسک مي تواند يکي از حوزه هاي کلي سخت افزار، نرم افزار، نيروي انساني و اطلاعات باشد.

تعيين طبيعت ريسک:

ريسکها را مي توان با توجه به ماهيت وجودي خود و با توجه به ابعاد، حوزه و گستره اثرگذاري، دسته بندي نمود. اين دسته بندي که به تعيين «طبيعت ريسک» موسوم است، به ارزياب کمک مي کند تا با توجه به حوزه هاي اثرگذاري ريسک، قادر باشد با دقت بيشتري به شناسايي اثرات و عواقب تهديد اقدام نمايد. بطور کلي، ريسکها را مي توان به حوزه هاي زير تقسيم نمود: - استراتژيک: ريسکهايي که تماميت، موجوديت و بقاي سازمان را با خطر مواجه مي کنند مانند فقدان اطلاعات کليدي و استراتژيک - مالي: اثرات و عواقب مالي به‌دنبال دارند نظير غير قابل استفاده شدن سخت افزارها و تجهيزات - عملياتي: در انجام فعاليتها و فرآيندهاي سازمان خلل ايجاد مي کنند مانند قطع سرويس سرور - تکنولوژيکي: اطلاعات فني يا سخت افزارهاي کليدي را مورد هجوم قرار مي دهند - محيطي: بر نيروي انساني يا شرايط زيست محيطي سازمان تأثيرگذار هستند نظير آتش سوزي از آنجاييکه اغلب هر تهديد (ريسک) بيش از يک اثر به‌دنبال خواهد داشت، لذا با توجه به تنوع اثرات، ممکن است طبيعت يک ريسک در بيش از يک حوزه يا حتي تمامي حوزه‌ها قرار گيرد.

 زيان ديدگان (ذينفعان) ريسک:

منظور از زيان ديده، تمامي افراد يا واحدهايي از سازمان است که بطور مستقيم يا غير مستقيم تحت تأثير نتايج تهديد قرار مي گيرند. اين ذينفعان ممکن است يک يا تمامي موارد ذيل باشند:

- کاربر - مسئول واحد - مديريت ارشد سازمان - کارکنان واحد - تمامي کارکنان سازمان - سهامداران - جامعه - ...

 تعيين آثار ريسک:

كليه نتايج و عواقب بروز ريسك است كه مي‌تواند هر يك از ذينفعان اطلاعات يا ويژگي‌هاي آنرا تحت تأثير قرار دهد، در اين بخش در نظر گرفته مي‌شود. بهتر است در اين بند، بيشتر به اثرات مستقيم ريسک اشاره شود و در صورت وجود ابهام يا کلي گويي، به توالي تبعات و اثرات آن اشاره نمود. اين اثرات را مي توان در يک يا چند مورد از انواع ذکر شده ، جستجو نمود.

 تعيين مشخصه هاي کمي ريسک:

1- ريسک سخت افزار:

براي تعيين مشخصه هاي کمي ريسک (احتمال و اثر) دارايي هاي سخت افزاري، بايد از جداول 1و2 استفاده نمود. در اين جداول، هر دو مشخصه احتمال و اثر، با توجه به تعاريف و مثالهاي ارائه شده، در گستره 1 تا 10 طبقه بندي شده اند.

لازم به ذکر است که جداول مذکور، استاندارد بوده و بر اساس روش ارزيابي ريسک FMEA، بومي سازي شده اند.

2- ريسک نرم افزار:

مشابه تعيين مشخصه هاي کمي ريسک دارايي هاي سخت افزاري انجام خواهد شد.

3- ريسک اطلاعات:

همانند دو دارايي قبل انجام مي شود.

4- ريسک نيروي انساني:

در مورد دارايي هاي انساني، با توجه به تفاوت ماهيت اين نوع دارایی با دارايي هاي قبلي، از روش جداگانه اي استفاده خواهد شد. در اين روش، هفت مؤلفه به عنوان مؤلفه هاي ارزش نيروي انساني تعيين مي شوئد که عبارتند از: تخصص، سابقه، رتبه، سختي کار، مدرک تحصيلي، وجود جايگزين و سطح دسترسي. هر يک از کارکنان سازمان، مطابق راهنماي ارائه شده صفحه بعد، در هر يک از موارد مذکور، امتيازي بين 1 تا 10 دريافت خواهند کرد.