ISMS - FUMblog - دانشگاه فردوسی مشهد

Download Report

Transcript ISMS - FUMblog - دانشگاه فردوسی مشهد 

ISMS
INFORMATION SECURITY
MANAGEMENT SYSTEM
Mansooreh Jalalyazdi
‫‪ISMS‬چیست؟‬
‫‪ ‬مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده‬
‫های حساس یک سازمان‪ ، ،‬به طور سیستماتیک‪ ،‬استفاده می شود‪.‬‬
‫‪ ‬هدف ‪ ISMS‬کمینه کردن ریسک است‪.‬‬
‫گامهای الزم برای ارزیابی مخاطرات‬
‫‪ ‬گام اول‪ :‬شناخت دارایي ها‬
‫‪ ‬گام دوم‪ :‬ارزش گذاري دارایي ها‬
‫‪ ‬گام سوم‪ :‬تعیین آسیب پذیري‬
‫‪ ‬گام چهارم‪ :‬محاسبه تهدید‬
‫‪ ‬گام پنجم‪ :‬محاسبه میزان ریسک‬
‫تعاریف استفاده شده در این مستند از ‪ ISO/IEC TR 13335-1‬اخذ‬
‫شده است‪.‬‬
‫گام اول‪ :‬شناخت دارایيها‬
‫کلیه دارایی ها شناخته شده و در ‪ ۵‬گروه طبقه بندی می شود‪.‬‬
‫‪‬‬
‫دارایي هاي اطالعاتي‬
‫فایل هاي الکترونیکي‪ ،‬پایگاه هاي داده مربوط به نرم افزارهاي موجود در سازمان‬
‫‪‬‬
‫دارایي هاي کاغذي‬
‫مستندات مکتوب مانند قراردادها‪ ،‬راهنماهاي کاربري و ‪...‬‬
‫‪‬‬
‫دارایي هاي پرسنلي‬
‫کارمندان‪ ،‬کارشناسان و مدیران‬
‫‪‬‬
‫دارایي هاي نرم افزاري‬
‫نرم افزارهاي کاربردي‪ ،‬سیستم هاي عامل و ‪. . .‬‬
‫‪‬‬
‫دارایي هاي سخت افزاري‬
‫تجهیزات مرتبط با فناوري اطالعات مانند‪ :‬سرور‪ ،‬سوییچ‪ ،‬روتر و ‪. .‬‬
‫گام دوم‪ :‬ارزش گذاري دارایيها‬
‫از سه مولفه استفاده می شود‪.‬‬
‫ارزش هر دارایي ترکیبي از میزان اهمیت هر یک از مولفه ها براي آن‬
‫دارایي مي باشد‪.‬‬
‫‪ ‬محرمانگي (‪)Confidentiality‬‬
‫امکان دسترسي به اطالعات و دارایي ها فقط براي افراد مجاز‬
‫‪ ‬صحت (‪)Integrity‬‬
‫حفظ دارایي ها و درستي و کامل بودن آنها‬
‫‪ ‬دسترسي (‪)Availability‬‬
‫امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز‬
‫گام دوم – روش ارزش گذاری‬
‫‪ ‬هر یک از مولفه ها ارزشی بین ‪ ۱‬تا ‪۳‬‬
‫‪ ‬پارامترهاي تأثیرگذار در ارزش گذاري دارایي‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تاثیر دارایي بر اهداف و فعالیتهاي اصلي کسب و کار‬
‫تاثیر دارایي بر وجهه و اعتبار‬
‫تاثیر دارایي در ایجاد وقفه هاي کاري‬
‫میزان تاثیر دارایي از نظر مالي و تجاري‬
‫گام دوم –ارزش گذاری – ارزش ‪۱‬‬
‫ارزش ‪: 1‬‬
‫‪ ‬محرمانگي‬
‫در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند‪ ،‬با توجه به‬
‫پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت‪.‬‬
‫‪ ‬صحت‬
‫در صورتي که درستي و یکپارچگي دارایي از بین برود ‪ ،‬با توجه به‬
‫پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت‪.‬‬
‫‪ ‬دسترسي‬
‫در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي‬
‫پیدا کنند‪ ،‬با توجه به پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت‪.‬‬
‫گام دوم –ارزش گذاری – ارزش ‪۲‬‬
‫ارزش ‪: 2‬‬
‫‪ ‬محرمانگي‬
‫در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند‪ ،‬با توجه به‬
‫پارامترهاي تاثیر گذار تاثیر سوء متوسط یا نسبتا زیادي خواهد داشت‪.‬‬
‫‪ ‬صحت‬
‫در صورتي که درستي و یکپارچگي دارایي از بین برود با توجه به پارامترهاي‬
‫تاثیر گذار تاثیر سوء متوسط یا نسبتا زیادي خواهد داشت‪.‬‬
‫‪ ‬دسترسي‬
‫در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي‬
‫پیدا کنند‪ ،‬با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء متوسط یا‬
‫نسبتا زیادي خواهد داشت‪.‬‬
‫گام دوم –ارزش گذاری – ارزش ‪۳‬‬
‫ارزش ‪: ۳‬‬
‫‪ ‬محرمانگي‬
‫در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند‪ ،‬با توجه به‬
‫پارامترهاي تاثیر گذار تاثیر سوء بسیار زیادي خواهد داشت‪.‬‬
‫‪ ‬صحت‬
‫در صورتي که درستي دارایي از بین برود ‪ ،‬با توجه به پارامترهاي تاثیر گذار‬
‫تاثیر سوء بسیار زیادي خواهد داشت‪.‬‬
‫‪ ‬دسترسي‬
‫در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي‬
‫پیدا کنند‪ ،‬با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء بسیار زیادي‬
‫خواهد داشت‪.‬‬
‫گام دوم –ارزش گذاری – ارزش کل دارایی‬
‫ارزش دارایي برابر است با ‪ :‬صحت ‪ +‬محرمانگي ‪+‬‬
‫دسترسي‬
‫گام دوم –ارزش گذاری – جدول ارزش کل دارایی‬
‫گروه‬
‫دارایی‬
‫نام دارایی‬
‫صحت‬
‫محرمانگی دسترسی‬
‫ارزش‬
‫دارایی‬
‫گام سوم‪ :‬تعیین آسیب پذیري‬
‫براي هر گروه از دارایي ها‪:‬‬
‫‪ ‬شناخت آسیب پذیري ها‬
‫‪ ‬شدت آسیب پذیري‪ :‬عددي بین ‪ 1‬تا ‪3‬‬
‫‪1‬‬
‫این آسیب پذیري نقطه ضعفي است که عامل کوچکي براي در معرض خطر قرار‬
‫دادن دارایي محسوب مي شود‪.‬‬
‫‪2‬‬
‫این آسیب پذیري نقطه ضعفي است که عامل متوسطي براي در معرض خطر‬
‫قرار دادن دارایي محسوب مي شود‪.‬‬
‫‪3‬‬
‫این آسیب پذیري ‪ ،‬نقطه ضعفي است که عامل بزرگي براي در معرض خطر‬
‫قرار دادن دارایي محسوب مي شود‬
‫گام سوم‪ :‬تعیین آسیب پذیري ‪ -‬جدول‬
‫دارایی‬
‫عنوان آسیب پذیری‬
‫شدت آسیب پذیری‬
‫گام سوم‪ :‬انواع آسیب پذیریها ‪ -‬آسیب پذیریهاي داراییهاي‬
‫اطالعاتي‬
‫آسیب پذیریهاي داراییهاي اطالعاتي‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي‬
‫فقدان پیگیري ممیزي‬
‫آموزش ناکافي امنیتی‬
‫فقدان نسخه هاي پشتیبان‬
‫فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر‬
‫فقدان شناسایي و اعتبار دهي به فرستنده و گیرنده‬
‫فقدان مکانیزمهاي نظارتي‬
‫فقدان خط مشي هایي براي استفاده صحیح از رسانه هاي مخابراتي و پیام رساني‬
‫عدم قابلیت اثبات ارسال یا دریافت یک پیام‬
‫فقدان آگاهي رساني امنیتي‬
‫مدیریت ضعیف کلمات عبور‬
‫حساسیت به تشعشع الکترو مغناطیسي‬
‫انتقال کلمات عبور به صورت ‪Clear Text‬‬
‫نسخه برداري کنترل نشده‬
‫گام سوم‪ :‬انواع آسیب پذیریها ‪ -‬آسیب پذیریهاي داراییهاي‬
‫نرم افزاری‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫واسط کاربري پیچیده‬
‫استفاده نادرست از سخت افزار و نرم افزار‬
‫نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي‬
‫آموزش ناکافي امنیتی‬
‫فقدان پیگیري ممیزي‬
‫فقدان نسخه هاي پشتیبان‬
‫فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر‬
‫فقدان مکانیزمهاي نظارتي‬
‫فقدان آگاهي رساني امنیتي‬
‫عدم خروج از سیستم (‪ )Log out‬هنگام ترک ایستگاه کاري‬
‫فقدان آزمایش یا آزمایش ناکافي نرم افزار‬
‫مدیریت ضعیف کلمات عبور‬
‫انتقال کلمات عبور به صورت ‪Clear Text‬‬
‫دانلود و استفاده بدون کنترل از نرم افزار‬
‫وجود رخنه هاي مشخص در نرم افزار‬
‫تخصیص اشتباه حق دسترسي‬
‫گام سوم‪ :‬انواع آسیب پذیریها ‪ -‬آسیب پذیریهاي داراییهاي‬
‫سخت افزاری‬
‫‪ ‬شرایط جوي نامناسب‬
‫‪ ‬استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان ها و‬
‫اتاق ها‬
‫‪ ‬رویه های نامناسب استخدام کارکنان‬
‫‪ ‬آموزش ناکافی امنیتی‬
‫‪ ‬فقدان آگاهي رساني امنیتي‬
‫‪ ‬حساسیت به رطوبت و گرد و خاک‬
‫‪ ‬حساسیت به تغییرات جوی‬
‫‪ ‬حساسیت به تغییرات ولتاژ‬
‫‪ ‬انبار بی حفاظ‬
‫‪ ‬عدم نظارت بر کار کارکنان نظافت یا کارکنان بیروني‬
‫گام چهارم‪ :‬محاسبه تهدید‬
‫‪ ‬آسیب پذیري ها در مرحله قبل مشخص شده است‪.‬‬
‫‪ ‬هر تهدید متناظر با آسیب پذیري خاصي ميباشد‪.‬‬
‫‪ ‬محاسبه احتمال هر تهدید‬
‫‪ ‬محاسبه پیامد هر تهدید‬
‫گام چهارم‪ :‬محاسبه تهدید – احتمال تهدید‬
‫‪‬‬
‫‪1‬‬
‫احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي‬
‫کارشناسي انجام شده پایین ميباشد (مثال هر چند سال یکبار)‬
‫‪‬‬
‫‪2‬‬
‫احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي‬
‫کارشناسي انجام شده در حد متوسط ميباشد (مثال هر سال یکبار)‬
‫‪‬‬
‫‪3‬‬
‫احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي‬
‫کارشناسي انجام شده باال ميباشد (مثال هر سال چند بار)‬
‫گام چهارم‪ :‬محاسبه تهدید – پیامد تهدید‬
‫‪ ‬این پیامد روي کدام یک از سه مولفه صحت‪ ،‬محرمانگي و دسترسي‬
‫تاثیر گذار است‪.‬‬
‫‪ ‬بر اساس تاثیر روي هر یک به ارزش دارایي مراجعه کرده و اعدادي که‬
‫در آنجا به هر یک نسبت داده ایم را براي پیامد آنها محاسبه مي کنیم‪.‬‬
‫‪ ‬این قسمت رابطه مستقیمي با ارزش دارایي دارد‪.‬‬
‫پیامد تهدید برابر است با ‪ :‬صحت ‪ +‬محرمانگي ‪ +‬دسترسي‬
‫گام چهارم‪ :‬محاسبه تهدید – پیامد تهدید‬
‫‪ 1 ‬تا ‪3‬‬
‫حوادث بوجود آمده از تهدیدات در این سطح چندان جدي نميباشند‪ .‬عوارض این‬
‫نوع حوادث‪ ،‬وقفه هاي کاري کوتاه مدت و یا زیان مالي اندک به سازمان‬
‫است که با واکنش مناسب و با هزینه اندک قابل جبران است‪.‬‬
‫‪ 4 ‬تا ‪6‬‬
‫حوادث بوجود آمده از تهدیدات در این سطح نسبتا جدي ميباشند‪ .‬عوارض این‬
‫نوع حوادث‪ ،‬وقفه در کسب و کار سازمان ‪ ،‬زیان مالي و خدشه به اعتبار‬
‫سازمان است که با صرف هزینه نسبتا باالیي قابل جبران است‪.‬‬
‫‪‬‬
‫‪ 7‬تا ‪9‬‬
‫حوادث بوجود آمده از تهدیدات در این سطح بسیار جدي ميباشند‪ .‬عوارض این‬
‫نوع حوادث‪ ،‬وقفه هاي بلند مدت و تاثیرگذار کاري ‪ ،‬زیان مالي گزاف و از‬
‫دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف‬
‫هزینه هاي بسیار زیاد هم قابل جبران نیستند‪.‬‬
‫گام چهارم‪ :‬محاسبه تهدید – پیامد تهدید‬
‫نام‬
‫دارایی‬
‫آسیب‬
‫پذیری‬
‫تهدید‬
‫احتمال‬
‫تهدید‬
‫صحت‬
‫محرمانگی‬
‫قابلیت‬
‫دسترسی‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای اطالعاتی‬
‫‪ - ‬نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي‬
‫خرابي رسانه هاي ذخیره سازي و خطاي نگهداري‬
‫‪ - ‬فقدان پیگیري ممیزي‬
‫استفاده غیر مجاز از نرم افزار‬
‫‪ - ‬آموزش ناکافي امنیت‬
‫خطاي کارکنان پشتیبان و عملیاتي‬
‫‪ - ‬فقدان نسخه هاي پشتیبان‬
‫آتش‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای اطالعاتی‬
‫‪ - ‬فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر‬
‫استفاده غیر قانوني از نرم افزار‬
‫پوشیدگي هویت کاربر‬
‫‪ - ‬فقدان شناسایي و اعتبار دهي به فرستنده و گیرنده‬
‫پوشش هویت کاربر‬
‫مسیر دهي و گروه بندي مجدد پیغام ها‬
‫مسیر دهي مجدد پیام ها‬
‫‪ - ‬فقدان مکانیزمهاي نظارتي‬
‫ورود و خروج غیر قانوني نرم افزار‬
‫استفاده غیر مجاز از نرم افزارها‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای اطالعاتی‬
‫‪‬‬
‫ فقدان خط مشي هایي براي استفاده صحیح از رسانه هاي مخابراتي و پیام رساني‬‫استقاده غیر مجاز از امکانات شبکه‬
‫‪‬‬
‫ عدم اثبات ارسال یا دریافت یک پیام‬‫انکار (سرویس ها‪ ،‬تعامالت و ارسال پیام)‬
‫‪‬‬
‫ فقدان آگاهي رساني امنیتي‬‫خطاهاي کاربر‬
‫‪‬‬
‫ مدیریت ضعیف کلمات عبور‬‫استفاده غیر قانوني از نرم افزار‬
‫پوشیدگي هویت کاربر‬
‫‪‬‬
‫ حساسیت به تشعشع الکترو مغناطیسي‬‫تشعشع الکترومغناطیسي‬
‫شارژ الکتریسیته ساکن‬
‫‪‬‬
‫ انتقال کلمات عبور به صورت ‪Clear Text‬‬‫دسترسي به شبکه به وسیله افراد غیر مجاز‬
‫‪‬‬
‫ نسخه برداري کنترل نشده‬‫سرقت‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای کاغذی‬
‫‪ - ‬شرایط جوي نامناسب‬
‫خرابي دستگاه تهویه‬
‫زلزله‬
‫طوفان‬
‫رعد و برق‬
‫‪ - ‬استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان ها‬
‫و اتاق ها‬
‫بمب گذاری‬
‫سواستفاده از منابع‬
‫استفاده غیر مجاز از رسانه ها‬
‫آسیب رساني عمدي‬
‫‪ - ‬آموزش ناکافي امنیت‬
‫خطاي کارکنان پشتیبان و عملیاتي‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای کاغذی‬
‫‪ - ‬عدم مستند سازي‬
‫اشتباه کارکنان پشتیبان و عملیاتي‬
‫‪ - ‬عدم حفاظت فیزیکي از ساختمان درها و پنجره ها‬
‫حمله با بمب‬
‫سرقت‬
‫‪ - ‬عدم نظارت بر کار کارکنان نظافت یا کارکنان بیروني‬
‫سرقت‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای نرم افزاری‬
‫‪ - ‬واسط کاربري پیچیده‬
‫خطاي کارکنان پشتیبان و عملیاتي‬
‫‪ - ‬استفاده نادرست از سخت افزار و نرم افزار‬
‫ورود و خروج غیر قانوني نرم افزار‬
‫خطاي کارکنان پشتیبان و عملیاتي‬
‫‪ - ‬نگهداري نامناسب جا جایگذاري نامناسب رسانه هاي ذخیره سازي‬
‫خرابي رسانه هاي ذخیره سازي و خطاي نگهداري‬
‫‪ - ‬آموزش ناکافي امنیت‬
‫خطاي کارکنان پشتیبانی و عملیاتي‬
‫‪ - ‬عدم یا فقدان پیگیري ممیزي ها‬
‫استفاده غیر مجاز از نرم افزارها‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای نرم افزاری‬
‫‪ - ‬فقدان نسخه هاي پشتیبان‬
‫آتش‬
‫نرم افزار مخرب‬
‫‪ - ‬فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر‬
‫استفاده غیر قانوني از نرم افزار‬
‫پوشیدگي هویت کاربر‬
‫‪ - ‬فقدان مکانیزمهاي نظارتي‬
‫ورود و خروج غیر قانوني نرم افزار‬
‫استفاده غیر مجاز از نرم افزارها‬
‫‪ - ‬فقدان آگاهي رساني امنیتي‬
‫خطاهاي کاربر‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای نرم افزاری‬
‫‪ - ‬عدم خروج از سیستم (‪ )Log out‬هنگام ترک ایستگاه کاري‬
‫استفاده از نرم افزار به وسیله کاربران غیر مجاز‬
‫‪ - ‬فقدان آزمایش یا آزمایش ناکافي نرم افزار‬
‫استفاده از نرم افزار به وسیله کاربران غیر مجاز‬
‫‪ - ‬مدیریت ضعیف کلمات عبور‬
‫استفاده غیر قانوني از نرم افزار‬
‫پوشیدگي هویت کاربر‬
‫ انتقال کلمات عبور به صورت ‪Clear Text‬‬‫دسترسي به شبکه به وسیله افراد غیر مجاز‬
‫‪ - ‬دانلود و استفاده بدون کنترل از نرم افزار‬
‫ورود و خروج غیر قانوني نرم افزار‬
‫نرم افزار مخرب‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای نرم افزاری‬
‫‪ - ‬وجود رخنه هاي مشخص در نرم افزار‬
‫استفاده غیر قانوني از نرم افزار‬
‫استفاده از نرم افزار به وسیله کاربران غیر مجاز‬
‫‪ - ‬تخصیص اشتباه حق دسترسي‬
‫ورود و خروج غیر قانوني نرم افزار‬
‫استفاده غیر مجاز از نرم افزارها‬
‫‪ - ‬آموزش ناکافي امنیت‬
‫خطاي کارکنان پشتیبانی و عملیاتي‬
‫‪ - ‬عدم دقت در امحا‬
‫سرقت‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای سخت افزاری‬
‫‪‬‬
‫ شرایط جوي نامناسب‬‫خرابي دستگاه تهویه‬
‫زلزله‬
‫طوفان‬
‫رعد و برق‬
‫‪‬‬
‫ استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان ها‬‫و اتاق ها‬
‫بمب گذاری‬
‫سواستفاده از منابع‬
‫استفاده غیر مجاز از رسانه ها‬
‫آسیب رساني عمدي‬
‫‪‬‬
‫ رویه های نامناسب استخدام کارمندان‬‫آسیب رسانی عمدی‬
‫بمب گذاری‬
‫سوء استفاده مالی و تجاری‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای سخت افزاری‬
‫‪‬‬
‫ آموزش ناکافي امنیت‬‫خطاي کارکنان پشتیبانی و عملیاتي‬
‫‪‬‬
‫‪‬‬
‫ فقدان آگاهي رساني امنیتي‬‫خطاهاي کاربر‬
‫ عدم دقت در امحاء‬‫سرقت‬
‫‪‬‬
‫ حساسیت به رطوبت و گرد و خاک‬‫خرابي دستگاه تهویه‬
‫گرد و خاک‬
‫‪‬‬
‫ حساسیت به تغییرات جوی‬‫خرابي دستگاه تهویه‬
‫دما یا رطوبت بیش از اندازه‬
‫تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با‬
‫گروه داراییهای سخت افزاری‬
‫‪‬‬
‫ حساسیت به تغییرات ولتاژ‬‫نوسانات برق‬
‫‪‬‬
‫ انبار بی حفاظ‬‫سرقت‬
‫‪‬‬
‫ عدم نظارت بر کار کارکنان نظافت یا کارکنان بیروني‬‫سرقت‬
‫گام پنجم‪ :‬محاسبه میزان ریسک‬
‫میزان ریسک برابر است با ‪ :‬پیامد تهدید * احتمال وقوع تهدید‬
‫* شدت آسیب پذیري‬
‫گام پنجم‪ :‬محاسبه میزان ریسک‬
‫بیشترین عدد بدست آمده براي ریسک عدد ‪3 × 3 × 9 = 81‬‬
‫مي باشد‬
‫جهت تبدیل آن به درصد آنرا در عدد ( ‪)100/ 81 = 1.234‬‬
‫ضرب ميکنیم‪.‬‬
‫گام پنجم‪ :‬محاسبه میزان ریسک‬
‫نام‬
‫گروه‬
‫دارایی دارایی‬
‫آسیب‬
‫پذیری‬
‫شدت‬
‫آسیب‬
‫پذیری‬
‫نهدید احتمال صحت‬
‫تهدید‬
‫محرمانگی‬
‫دسترسی ریسک‬
‫مثال‬
‫نام‬
‫گروه‬
‫دارایی دارایی‬
‫اطالعا‬
‫تی‬
‫‪X‬‬
‫آسیب‬
‫پذیری‬
‫آموزش‬
‫ناکافی‬
‫امنیت‬
‫شدت‬
‫آسیب‬
‫پذیری‬
‫‪۳‬‬
‫نهدید‬
‫خطای‬
‫کارکنان‬
‫پشتیبانی‬
‫و‬
‫عملیاتی‬
‫احتمال صحت‬
‫تهدید‬
‫‪۳‬‬
‫×‬
‫محرمانگی‬
‫×‬
‫دسترسی‬
‫ریسک‬
‫‪۷۲‬‬
‫‪۵۵.۵۳‬‬
‫‪%‬‬
‫با تشکر از دانشگاه فردوسی مشهد‬
‫متشکرم‬