ایزو 27005: همه آن چیزی که باید بدانید

• برنامه ریزی: خطرات سایبری را شناسایی و ارزیابی کنید، سپس به صورت استراتژیک در مورد اقدامات کاهش ریسک مربوطه فکر کنید.
• آیا: آیا این اقدامات اجرا شده است.
• بررسی کنید: بررسی عملکرد را انجام دهید.
• قانون: از نظارت و بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.

• بنیاد ISO 27005، که به گواهینامه بنیاد ISO/CEI 27005 دارای گواهی PECB دسترسی دارد.
• مدیر ریسک گواهی ایزو 27005 با EBIOS. این آموزش مدیریت ریسک را از منظر روش EBIOS بررسی می‌کند و در دو امتحان به اوج خود می‌رسد: مدیر ریسک ISO/CEI 27005 دارای گواهی PECB و EBIOS دارای گواهی PECB.
• مدیر ریسک گواهی ایزو 27005 با MEHARI، “روش هماهنگ تجزیه و تحلیل ریسک”، توسعه یافته توسط CLUSIF در فرانسه.
• مدیریت ریسک ISO 27005 ANSSI (آژانس ملی امنیت سیستم های اطلاعاتی فرانسه).

• معیارهای ارزیابی به شما کمک می‌کنند دارایی‌هایی را که توسط خطرات سایبری تهدید می‌شوند و آستانه‌هایی که بالاتر از آن‌ها باید با خطرات مقابله شود، شناسایی کنید.
• معیارهای تأثیر با حداقل سطح پیامدها مطابقت دارد که بالاتر از آن باید یک ریسک در نظر گرفته شود.
• معیارهای پذیرش ریسک، آستانه ای را نشان می دهد که زیر آن ریسک می تواند تحمل شود.

در طول این مرحله، ابتدا عناصر در معرض خطر را تعیین می کنید: سازمان به عنوان یک کل، بلکه سیستم های اطلاعاتی، خدمات و گروه های داده. در مرحله بعد، باید تهدیدات و آسیب پذیری های اطراف این عناصر را مشخص کنید.

پس از آن، ایزو 27005 از شما می‌خواهد که آن تهدیدها و رخدادهای آنها را با نیازهای امنیتی ساختار خود مطابقت دهید. کل این فرآیند باید به شما کمک کند اولویت ها را بر اساس معیارهای ارزیابی که در مرحله اول تعریف کرده اید رتبه بندی کنید.

در حالی که استاندارد ایزو 27005 به شناسایی آسیب‌پذیری‌های امنیت سایبری کمک می‌کند، مقیاس رتبه‌بندی ریسک را ارائه نمی‌کند. تیمی که مسئول اعمال استاندارد است باید یک سیستم ارزیابی برای خود بسازد. این سیستم می‌تواند بر روش‌های برآورد کمی یا کیفی تکیه کند که روش دوم مبتنی بر هزینه‌های قابل اندازه‌گیری است. در عمل، به دلیل فقدان نسخه استاندارد ISO، تجزیه و تحلیل ها اغلب به کیفیتی ختم می شوند.

3 / استراتژی درمان ریسک

در طول این مرحله، ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کند و در عین حال نتایج به‌دست‌آمده در مرحله دو را در نظر داشته باشد. پس از تعیین این اهداف، می توانید مشخصات خود را پیش نویس کنید، که به طراحی اقدامات برای درمان خطرات کمک می کند.

در ایزو 27005، مفهوم سازی این اقدامات به معنای مقایسه یک ریسک با هزینه درمان آن است. سپس چهار احتمال ظاهر می شود:

• امتناع یا اجتناب: سازمان شما خطر سایبری را خیلی جدی می‌داند و می‌گوید که باید به هر قیمتی از آن اجتناب کرد. سپس، ممکن است تصمیم بگیرید که فعالیتی که احتمالاً باعث آن می شود را متوقف کنید.
• انتقال: ساختار شما ریسک را با یک شخص ثالث – بیمه یا پیمانکار فرعی امنیت سایبری – به اشتراک می گذارد که می تواند حداقل از نظر مالی از آن در برابر خطر محافظت کند.
• کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی می کنید تا آن را قابل تحمل تر کنید.
• حفاظت: خطر قابل تحمل تلقی می شود و به اندازه کافی تهدید نیست، ساختار شما تصمیم می گیرد به آن رسیدگی نکند.

هر گزینه شامل یک ریسک باقیمانده است که باید به طور سیستماتیک ارزیابی شود.

4 / “پذیرش ریسک”

استراتژی درمان ریسک و ریسک های باقیمانده باید از مرحله “پذیرش” عبور کنند، که در عمل به این معنی است که کل طرح درمان باید توسط مدیریت ارشد چراغ سبز نشان دهد. در طول این مرحله، روسای بخش‌ها ممکن است هزینه‌هایی را که فکر می‌کنند خیلی زیاد است، زیر سوال ببرند یا ریسک‌های خاصی را بپذیرند. این استثناها باید توجیه شوند.

متدولوژی ایزو 27005 از نظر تئوری در اینجا به پایان می رسد، اگرچه باید در نظر داشته باشید که تمام کارهایی که سازمان شما برای اجرای آن انجام داده است، می تواند به عنوان بخشی از یک روش نظارت و بازبینی استفاده شود. تاریخچه ای از خطراتی که شما شناسایی کرده اید، سناریوهایی که تصور کرده اید، تحلیل ریسکی که انجام داده اید و استراتژی های درمانی که تنظیم کرده اید را ارائه می دهد. البته اگر تهدیدها و آسیب‌پذیری‌ها شکل می‌گیرند، این روش باید تکرار شود. این کار همچنین می تواند به عنوان پشتیبان ارتباط با سهامداران شما باشد.

• این روش به تنهایی قابل استفاده است.
• تیم های شما مهارت های لازم را برای مدیریت ساختار یافته ریسک سایبری توسعه می دهند.
• نقاط ضعف و تهدیدهای مختلف برای سازمان شما مشاهده خواهد شد.
• سازمان شما شروع به بهره مندی از یک ISMS انعطاف پذیر خواهد کرد.
• این روش را می توان برای همه ساختارها، از جمله سازمان هایی که دائماً با چشم انداز دائما در حال تغییر سازگار می شوند، تنظیم کرد.
• اعتماد ذینفعان شما افزایش می یابد.

اشکال اصلی ISO 27005 عدم وجود جنبه تجویزی آن است. وقتی نوبت به تعریف محدوده مدیریت ریسک می رسد، سازمان موظف است همه چیز را به طور مستقل انجام دهد، خواه این محدوده کاربرد ISMS یا حتی معیارهای ریسک باشد. بنابراین این رویکرد فقط برای ساختارهایی مناسب است که مایلند منابع داخلی قابل توجهی را در توسعه روش‌شناسی خود سرمایه‌گذاری کنند.

با توجه به مرحله زمینه سازی مدیریت ریسک، و به طور خاص برای ایجاد معیارهای ارزیابی ریسک، ISO به شما پیشنهاد می کند معیارهای کمی را انتخاب کنید. رویکرد کمی کل هدف روشی مانند تحلیل FAIR™ (تحلیل عاملی ریسک اطلاعات) است.

این استاندارد تحلیل ریسک مبتنی بر روش های ارزیابی آماری و ریاضی برای ارزیابی و رتبه بندی ریسک ها و عوامل موثر بر پیامدهای مالی است. این یک ارتقاء قابل توجه از تقریب های ذهنی روش های ارزیابی کیفی ریسک است. این امر تصمیم گیری و اجرای یک استراتژی عینی تر را ساده می کند، که مستقیماً با واقعیت خطراتی که ساختار شما با آن مواجه است مرتبط است.