ایزو 27005: همه آن چیزی که باید بدانید
ایزو 27005 یک استاندارد بین المللی ضروری در زمینه مدیریت ریسک فناوری اطلاعات است. این به سازمان ها کمک می کند تا حفاظت از داده های حساس را منطقی کرده و پیامدهای حملات سایبری و جرایم سایبری را پیش بینی کنند. به عنوان یک گواهینامه بین المللی مشهور، ISO 27005 در سال 2021 به خوبی مورد استفاده قرار گرفت، سالی که طی آن شرکت ها مجبور بودند با خطرات سایبری پیچیده تر مقابله کنند. این استاندارد ISO چگونه کار می کند؟ برای کیست؟ چگونه می توانید برای آن تمرین کنید؟ و محدودیت های احتمالی آن چیست؟
ایزو 27005 درباره چیست؟
عنوان دقیق ایزو 27005 همانطور که در وب سایت ISO ارائه شده است “فناوری اطلاعات – تکنیک های امنیتی – مدیریت ریسک امنیت اطلاعات” است. به این ترتیب، این استاندارد به شرکت ها کمک می کند تا ریسک های مربوط به امنیت اطلاعات را مدیریت کنند.
تعریف ایزو 27005
همانطور که از نام آن پیداست، ISO/IEC 27005 یک استاندارد بین المللی است که توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است. به طور دقیق تر، از امنیت اطلاعات بر اساس رویکرد مدیریت ریسک پشتیبانی می کند. برخلاف روش هایی مانند چارچوب امنیت سایبری NIST، این استاندارد مشمول صدور گواهی است.
ایزو 27005 همچنین بر اساس دستورالعمل های تعیین شده در ISO/IEC 27001 و ISO/IEC 27002 است. در ابتدا در ژوئن 2008 با نام اختصاری ISO/IEC 27005:2008 منتشر شد، در سال 2011 مجدداً منتشر شد و دوباره در سال 2018 منتشر شد. به این آخرین نسخه مراجعه کنید.
در اینجا خلاصه ای از مفاهیم ارائه شده در ایزو 27005 آمده است: فصل ششم تا دوازدهم یک رویکرد مدیریت ریسک سیستم های اطلاعاتی را توسعه می دهد. فصل هفتم به طور خاص به تجزیه و تحلیل ریسک می پردازد، که ستون فقرات یک استراتژی مناسب امنیت سایبری باقی می ماند. فصل هشتم بر ارزیابی ریسک تمرکز دارد. و فصل نهم تا دوازدهم نحوه اجرای استراتژی درمان خطر و نحوه پیگیری آن را شرح می دهد.
کاربر مورد نظر این استاندارد ISO کیست؟
سازمان بین المللی استاندارد استاندارد ایزو 27005 را به شرکت ها و همچنین به مؤسسات عمومی مانند “سازمان های دولتی” و NPO ها (سازمان های غیرانتفاعی) توصیه می کند.
در عمل، این استاندارد امنیت اطلاعات برای اطمینان از محرمانه بودن داده ها و در دسترس بودن و یکپارچگی دارایی های اطلاعاتی کلیدی یک سازمان استفاده می شود. این برای تمام ساختارهایی طراحی شده است که تحت تأثیر خطرات سایبری و افزایش مداوم داده ها در خدمات آنها قرار می گیرند.
هدف دقیق استاندارد ISO/IEC 27005 چیست؟
برای پشتیبانی از اجرای رضایت بخش امنیت اطلاعات بر اساس رویکرد مدیریت ریسک طراحی شده است. به طور کلی آموزش کارمندان به منظور کمک به آنها برای توسعه مهارت های انجام فرآیندهای مدیریت ریسک امنیت اطلاعات موثر مورد نیاز است. افرادی که در ایزو 27005 آموزش دیده اند از نظر تئوری قادر به شناسایی، تجزیه و تحلیل، اندازه گیری و درمان خطرات هستند.
هدف این استاندارد کمک به شرکت شما در راه اندازی ISMS (سیستم مدیریت امنیت اطلاعات) نیز می باشد. ISMS مستلزم ایجاد فرآیندها و سیاستهای امنیت سایبری است و در عین حال به طور مداوم مدیریت ریسک را بهبود میبخشد و عوامل انسانی و فنی را در طول فرآیند در نظر میگیرد.
برای این منظور، استاندارد ایزو 27005 از منطقی پیروی می کند که یادآور روش PDCA (طرح، انجام، بررسی، عمل) برای بهبود مستمر است:
- برنامه ریزی: خطرات سایبری را شناسایی و ارزیابی کنید، سپس به صورت استراتژیک در مورد اقدامات کاهش ریسک مربوطه فکر کنید.
- آیا: آیا این اقدامات اجرا شده است.
- بررسی کنید: بررسی عملکرد را انجام دهید.
- قانون: از نظارت و بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.
دوره های آموزشی ISO 27005 چیست؟
چندین دوره صدور گواهینامه برای آموزش ایزو 27005 وجود دارد:
- بنیاد ISO 27005، که به گواهینامه بنیاد ISO/CEI 27005 دارای گواهی PECB دسترسی دارد.
- مدیر ریسک گواهی ایزو 27005 با EBIOS. این آموزش مدیریت ریسک را از منظر روش EBIOS بررسی میکند و در دو امتحان به اوج خود میرسد: مدیر ریسک ISO/CEI 27005 دارای گواهی PECB و EBIOS دارای گواهی PECB.
- مدیر ریسک گواهی ایزو 27005 با MEHARI، “روش هماهنگ تجزیه و تحلیل ریسک”، توسعه یافته توسط CLUSIF در فرانسه.
- مدیریت ریسک ISO 27005 ANSSI (آژانس ملی امنیت سیستم های اطلاعاتی فرانسه).
ISO 27005 چگونه کار می کند؟
این استاندارد بین المللی شامل بیش از 20 صفحه از رویکردهای مدیریت ریسک امنیت اطلاعات است. با این حال، به طور کلی، این سند مفاهیم کلی روش را از طریق چهار مرحله اصلی پشتیبانی می کند:
1/ زمینه سازی مدیریت ریسک
زمینه سازی تحلیل ریسک شامل تعیین محل شروع مدیریت ریسک و پایان آن است. همچنین این زمان برای تنظیم یک سری معیارها است:
- معیارهای ارزیابی به شما کمک میکنند داراییهایی را که توسط خطرات سایبری تهدید میشوند و آستانههایی که بالاتر از آنها باید با خطرات مقابله شود، شناسایی کنید.
- معیارهای تأثیر با حداقل سطح پیامدها مطابقت دارد که بالاتر از آن باید یک ریسک در نظر گرفته شود.
- معیارهای پذیرش ریسک، آستانه ای را نشان می دهد که زیر آن ریسک می تواند تحمل شود.
2 / ارزیابی ریسک
در طول این مرحله، ابتدا عناصر در معرض خطر را تعیین می کنید: سازمان به عنوان یک کل، بلکه سیستم های اطلاعاتی، خدمات و گروه های داده. در مرحله بعد، باید تهدیدات و آسیب پذیری های اطراف این عناصر را مشخص کنید.
پس از آن، ایزو 27005 از شما میخواهد که آن تهدیدها و رخدادهای آنها را با نیازهای امنیتی ساختار خود مطابقت دهید. کل این فرآیند باید به شما کمک کند اولویت ها را بر اساس معیارهای ارزیابی که در مرحله اول تعریف کرده اید رتبه بندی کنید.
در حالی که استاندارد ایزو 27005 به شناسایی آسیبپذیریهای امنیت سایبری کمک میکند، مقیاس رتبهبندی ریسک را ارائه نمیکند. تیمی که مسئول اعمال استاندارد است باید یک سیستم ارزیابی برای خود بسازد. این سیستم میتواند بر روشهای برآورد کمی یا کیفی تکیه کند که روش دوم مبتنی بر هزینههای قابل اندازهگیری است. در عمل، به دلیل فقدان نسخه استاندارد ISO، تجزیه و تحلیل ها اغلب به کیفیتی ختم می شوند.
3 / استراتژی درمان ریسک
در طول این مرحله، ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کند و در عین حال نتایج بهدستآمده در مرحله دو را در نظر داشته باشد. پس از تعیین این اهداف، می توانید مشخصات خود را پیش نویس کنید، که به طراحی اقدامات برای درمان خطرات کمک می کند.
در ایزو 27005، مفهوم سازی این اقدامات به معنای مقایسه یک ریسک با هزینه درمان آن است. سپس چهار احتمال ظاهر می شود:
- امتناع یا اجتناب: سازمان شما خطر سایبری را خیلی جدی میداند و میگوید که باید به هر قیمتی از آن اجتناب کرد. سپس، ممکن است تصمیم بگیرید که فعالیتی که احتمالاً باعث آن می شود را متوقف کنید.
- انتقال: ساختار شما ریسک را با یک شخص ثالث – بیمه یا پیمانکار فرعی امنیت سایبری – به اشتراک می گذارد که می تواند حداقل از نظر مالی از آن در برابر خطر محافظت کند.
- کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی می کنید تا آن را قابل تحمل تر کنید.
- حفاظت: خطر قابل تحمل تلقی می شود و به اندازه کافی تهدید نیست، ساختار شما تصمیم می گیرد به آن رسیدگی نکند.
هر گزینه شامل یک ریسک باقیمانده است که باید به طور سیستماتیک ارزیابی شود.
4 / “پذیرش ریسک”
استراتژی درمان ریسک و ریسک های باقیمانده باید از مرحله “پذیرش” عبور کنند، که در عمل به این معنی است که کل طرح درمان باید توسط مدیریت ارشد چراغ سبز نشان دهد. در طول این مرحله، روسای بخشها ممکن است هزینههایی را که فکر میکنند خیلی زیاد است، زیر سوال ببرند یا ریسکهای خاصی را بپذیرند. این استثناها باید توجیه شوند.
متدولوژی ایزو 27005 از نظر تئوری در اینجا به پایان می رسد، اگرچه باید در نظر داشته باشید که تمام کارهایی که سازمان شما برای اجرای آن انجام داده است، می تواند به عنوان بخشی از یک روش نظارت و بازبینی استفاده شود. تاریخچه ای از خطراتی که شما شناسایی کرده اید، سناریوهایی که تصور کرده اید، تحلیل ریسکی که انجام داده اید و استراتژی های درمانی که تنظیم کرده اید را ارائه می دهد. البته اگر تهدیدها و آسیبپذیریها شکل میگیرند، این روش باید تکرار شود. این کار همچنین می تواند به عنوان پشتیبان ارتباط با سهامداران شما باشد.
ایزو 27005: مزایا و معایب
این استاندارد مدیریت ریسک سایبری دارای چندین مزیت است که یکی از قابل توجه ترین آنها سازگاری آن با انواع مختلف ساختارها است. با این حال، از نظر معیارهای تجزیه و تحلیل ریسک، فاقد بعد تجویزی است.
مزایای روش مدیریت ریسک ایزو 27005
سازمان شما می تواند از راه های مختلفی از استاندارد ISO/CEI 27005 بهره مند شود:
- این روش به تنهایی قابل استفاده است.
- تیم های شما مهارت های لازم را برای مدیریت ساختار یافته ریسک سایبری توسعه می دهند.
- نقاط ضعف و تهدیدهای مختلف برای سازمان شما مشاهده خواهد شد.
- سازمان شما شروع به بهره مندی از یک ISMS انعطاف پذیر خواهد کرد.
- این روش را می توان برای همه ساختارها، از جمله سازمان هایی که دائماً با چشم انداز دائما در حال تغییر سازگار می شوند، تنظیم کرد.
- اعتماد ذینفعان شما افزایش می یابد.
معایب ISO 27005
اشکال اصلی ISO 27005 عدم وجود جنبه تجویزی آن است. وقتی نوبت به تعریف محدوده مدیریت ریسک می رسد، سازمان موظف است همه چیز را به طور مستقل انجام دهد، خواه این محدوده کاربرد ISMS یا حتی معیارهای ریسک باشد. بنابراین این رویکرد فقط برای ساختارهایی مناسب است که مایلند منابع داخلی قابل توجهی را در توسعه روششناسی خود سرمایهگذاری کنند.
با توجه به مرحله زمینه سازی مدیریت ریسک، و به طور خاص برای ایجاد معیارهای ارزیابی ریسک، ISO به شما پیشنهاد می کند معیارهای کمی را انتخاب کنید. رویکرد کمی کل هدف روشی مانند تحلیل FAIR™ (تحلیل عاملی ریسک اطلاعات) است.
این استاندارد تحلیل ریسک مبتنی بر روش های ارزیابی آماری و ریاضی برای ارزیابی و رتبه بندی ریسک ها و عوامل موثر بر پیامدهای مالی است. این یک ارتقاء قابل توجه از تقریب های ذهنی روش های ارزیابی کیفی ریسک است. این امر تصمیم گیری و اجرای یک استراتژی عینی تر را ساده می کند، که مستقیماً با واقعیت خطراتی که ساختار شما با آن مواجه است مرتبط است.
ISO 27005 چیست؟
ISO 27005 یک استاندارد بین المللی امنیت اطلاعات است که روش و بهترین روش ها را برای ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد. این برای محافظت از ساختار شما در برابر تهدیدات سایبری و جلوگیری از از دست رفتن یا خراب شدن داده های حساس طراحی شده است.
ISO 27005 برای چه مواردی استفاده می شود؟
ISO 27005 به سازمان ها کمک می کند تا از سیستم های اطلاعاتی خود محافظت کنند تا از خراب شدن، حذف یا سرقت داده های حیاتی جلوگیری کنند.
آیا برای استفاده از ISO 27005 پیش نیازی وجود دارد؟
ممکن است بخواهید آموزش های پایه ای در زمینه امنیت سایبری داشته باشید و آنچه را که در مورد مطابقت با ISO 27001 می دانید بررسی کنید.