Chapter 4FFF

Information Security Management
430603
By
Associate Prof. Adnan Al-Helali
Risk Management:
Controlling Risk
:‫إدارة المخاطر‬
‫السيطرة على المخاطر‬
Risk Control Strategies‫استراتيجيات التحكم بالمخاطر‬
Choose basic risk control strategy :
A- Unacceptable the Risk:
• Avoidance: applying safeguards that eliminate or reduce the
remaining uncontrolled risks for the vulnerability
• Transference: shifting the risk to other areas or to outside
entities
• Mitigation: reducing the impact should the vulnerability be
exploited
B- Acceptance: understanding the consequences and accept the
risk without control or mitigation
:‫اختر اإلستراتيجية األساسية للتحكم في المخاطر‬
‫ تطبيق الحمايات التي تقضي أو تقلل من المخاطر المتبقية غير المسيطر عليها و للسيطرة الضعف‬:‫التجنب‬ •
‫ تحويل المخاطر إلى مناطق أخرى أو إلى كيانات خارجية‬:‫التحويل‬ •
‫ تقليل التأثير في حالة استغالل الضعف‬:‫التخفيف‬ •
.‫ فهم العواقب وقبول المخاطر دون رقابة أو تخفيف‬:‫القبول‬ •
1. Avoidance
• Avoidance: Attempts to prevent the exploitation of the vulnerability
• Accomplished through:
1. Application of policy
2. Application of training and education
3. Countering threats
4. Implementation of technical security controls and safeguards
‫ محاوالت لمنع استغالل الضعف‬:‫التجنب‬
:‫يتم تنفيذها من خالل‬
‫ تطبيق السياسة‬.5
‫ تطبيق التدريب والتعليم‬.6
‫ مواجهة التهديدات‬.7
‫ تنفيذ الضوابط والضمانات األمنية الفنية‬.8
3. Transference ‫التحويل‬
Transference: Attempts to shift the risk to other assets, other processes, or other
organizations
May be accomplished by:
1. Rethinking how services are offered
2. Revising deployment models
3. Outsourcing to other organizations
4. Purchasing insurance
5. Implementing service contracts with providers
‫ محاوالت لتحويل المخاطر إلى أصول أخرى أو عمليات أخرى أو مؤسسات أخرى‬:‫التحويل‬
:‫يمكن تحقيقه من خالل‬
‫ إعادة التفكير في كيفية تقديم الخدمات‬.6
‫ مراجعة نماذج النشر‬.7
‫ االستعانة بمصادر خارجية لمؤسسات أخرى‬.8
‫ تأمين المشتريات‬.9
‫ تنفيذ عقود الخدمة مع مقدمي الخدمة‬.10
3. Mitigation ‫التخفيف‬
Mitigation: Attempts to reduce the damage caused by the exploitation of
vulnerability) by means of planning and preparation(,
• Includes three types of plans:
1. Disaster recovery plan (DRP)
2. Incident response plan (IRP)
3. Business continuity plan (BCP)
• Depends upon the ability to detect and respond to an attack as quickly as
possible.
) ‫ محاوالت للحد من الضرر الناجم عن استغالل الضعف ( عن طريق التخطيط واإلعداد‬:‫التخفيف‬
:‫• يشمل ثالثة أنواع من الخطط‬
))DRP ‫ خطة التعافي من الكوارث‬.1
))IRP ‫ خطة االستجابة للحوادث‬.2
)BCP( ‫ خطة استمرارية األعمال‬.3
‫• يعتمد على القدرة على اكتشاف الهجوم واالستجابة له بأسرع ما يمكن‬
4. Acceptance‫القبول‬
Acceptance: understanding the consequences and
accept the risk without control or mitigation
‫ فهم العواقب وقبول المخاطر دون رقابة أو تخفيف‬:‫القبول‬
Risk Control Strategy Selection
‫اختيار استراتيجية التحكم في المخاطر‬
Risk control involves :
1- Unacceptable of risk: selecting one of the four risk control strategies for the
vulnerabilities present within the organization
2- Acceptance of risk
• If the loss is within the range of losses the organization can absorb, or
• if the attacker’s gain is less than expected costs of the attack,
3- Otherwise, one of the other control strategies will have to be selected
:‫تتضمن السيطرة على المخاطر ما يلي‬
‫ اختيار واحدة من أربع استراتيجيات للتحكم في المخاطر لنقاط الضعف الموجودة داخل المؤسسة‬-1
‫ قبول المخاطرة‬-2
، ‫• إذا كانت الخسارة ضمن نطاق الخسائر التي يمكن للمؤسسة استيعابها‬
، ‫• أوإذا كان ربح المهاجم أقل من التكاليف المصروفة على الهجوم‬
‫ يجب تحديد إحدى استراتيجيات التحكم األخرى‬، ‫ خالف ذلك‬-3
Risk Handling Action Points‫نقاط عمل للتعامل مع الخطر‬
The Risk Control Cycle ‫دورة التحكم في المخاطر‬
Feasibility Studies and Cost Benefit Analysis (CBA)
‫دراسات الجدوى وتحليل التكلفة والمزايا‬
1. Before deciding on the strategy for a specific vulnerability, you
must be discovered information about the consequences of the
vulnerability.
2. Determine advantage or disadvantage of a specific control
• These based on the value of information assets that control is
designed to protect
‫ يجب أن يتم‬، ‫ قبل اتخاذ قرار بشأن اإلستراتيجية الخاصة بالثغرة األمنية المحددة‬.1
.‫استكشاف معلومات حول عواقب الثغرة األمنية‬
‫ تحديد ميزة أو عيب عنصر تحكم معين‬.2
‫• هذه تستند على قيمة أصول المعلومات التي يتم التحكم فيها من أجل الحماية‬
Cost Benefit Analysis (CBA) ‫تحليل التكلفة والمزايا‬
Economic Feasibility ‫الجدوى االقتصادية‬
• criterion most commonly used when evaluating a project that implements
information security controls and safeguards
‫• المعيار األكثر استخداًم ا عند تقييم مشروع يطبق ضوابط وضمانات أمن المعلومات‬
Should begin a CBA by evaluating
• Worth of the information assets to be protected
• Loss in value if those information assets are compromised
‫يجب أن يبدأ تحليل التكلفة والمزيا بالتقييم‬
‫تقييم هل تستحق حماية أصول المعلومات‬ •
‫تقييم الخسارة في القيمة إذا تم اختراق أصول المعلومات هذه‬ •
Cost Benefit Analysis or Economic Feasibility Study

Cost‫الكلفة‬
1- It is difficult
• to determine the value of information,
• to determine the cost of safeguarding it
2- Some of the items that affect the cost of a control or safeguard include:
• Cost of development or acquisition of hardware, software, and services
• Training fees
• Cost of implementation
• Service costs
• Cost of maintenance
‫ وصعوبة تحديد تكلفة لحمايتها‬، ‫ صعوبة تحديد قيمة المعلومات‬-1
:‫ بعض االغراض تؤثر على تكلفة التحكم أو الحماية وكما يلي‬-2
‫• كلفة تطوير أو الحصول على األجهزة والبرامج والخدمات‬
‫• رسوم التدريب‬
‫• كلفة التنفيذ‬
‫• كاليف الخدمة‬
‫• كلفة الصيانة‬
Benefit‫فائدة‬
1- Benefit: is the value to the organization of using controls to prevent losses
associated with a specific vulnerability.
‫ هي القيمة التي تعود على المؤسسة من استخدام الضوابط لمنع الخسائر المرتبطة بنقطة‬: ‫ الفائدة‬-1
.‫ضعف معينة‬
Usually determined by -2:
• Valuing the information assets exposed by vulnerability
• Determining how much of that value is at risk and how much risk there is for
the asset
‫ عادة ما يتم تحيده من خالل‬-2
‫• تقييم أصول المعلومات التي تتعرض لها نقاط الضعف‬
‫• تحديد مقدار هذه القيمة المعرضة للخطر ومقدار المخاطرة لألصل‬
3- This is expressed as
• Annualized Loss Expectancy (ALE)
‫ يتم التعبير عن هذا‬-3
ALE ‫• كـتوقع الخسارة السنوية‬
Asset Valuation (AV) ‫تقييم األصول‬
1- Asset valuation is
• Is a process of assigning financial value to each information asset
2- Valuation of assets involves:
• Estimation of real and perceived costs associated with design,
development, installation, maintenance, protection, recovery, and
defense against loss and litigation
‫ تقييم األصول هي عملية تخصيص القيمة المالية لكل أصل معلومات‬-1
:‫ يشمل تقييم األصول‬-2
‫• تقدير التكاليف الحقيقية والمتصورة المرتبطة بالتصميم والتطوير والتركيب والصيانة‬
‫والحماية واالسترداد والدفاع ضد الخسارة والتقاضي‬
Asset Valuation Techniques‫تقنيات تقييم األصول‬
Single loss expectancy (SLE): ‫توقع خسارة واحدة‬
• value associated with most likely loss from an attack
• Based on estimated asset value and expected percentage of loss that would
occur from attack:
‫• القيمة المرتبطة بالخسارة المحتملة من أي هجوم‬
:‫• بناًء على قيمة األصول المقدرة والنسبة المئوية المتوقعة للخسارة التي قد تحدث من الهجوم‬
SLE = asset value (AV) x exposure factor (EF) ‫عامل التعرض‬
• EF = the percentage loss that would occur from a given vulnerability being
exploited
‫ عامل التعرض = النسبة المئوية للخسارة التي قد تحدث من ثغرة معينة يتم استغاللها‬EF = •
Annualized rate of occurrence (ARO) ‫( معدل الحدوث السنوي‬
• probability of an attack within a given time frame, annualized per year
‫ سنوًيا كل عام‬، ‫احتمال وقوع هجوم خالل إطار زمني معين‬ •
Annualized loss expectancy (ALE ‫( توقع الخسارة السنوية‬
ALE = SLE x ARO
The Cost Benefit Analysis (CBA) Formula
CBAs may be calculated
• Before a control or safeguard is implemented to determine if
the control is worth implementing OR
• After controls have been implemented and have been
functioning for a time:
CBA = ALE(prior) – ALE(post) – ACS
ACS is the annual cost of the safeguard
CBAs ‫يمكن حساب‬
‫• قبل تنفيذ الضوابط أو اإلجراءات الوقائية لتحديد ما إذا كانت المراقبة تستحق‬
‫التنفيذ أو‬
:‫• بعد تنفيذ الضوابط وتشغيلها لبعض الوقت‬
CBA = ALE(prior) – ALE(post) – ACS
‫ هي التكلفة السنوية للحماية‬ACS
Examples
Laptop – Theft/Loss (unencrypted).
The Laptop ($1,000) + PII ($9,000) per loss (AV).
It is a 100% loss, it is gone (EF)
Loss per laptop is $10,000 (AV) x 100% EF) = (SLE)
The organization loses 25 Laptops Per Year (ARO)
The annualized loss is $250,000 (ALE)
Data Center – Flooding
The Data Center is valued at $10,000,000 (AV)
If a flooding happens 15% of the DC is compromised (EF)
Loss per Flooding is $10,000,000 (AV) x 15% (EF) = (SLE)
The flooding happens one time every 4 years = 0.25 (ARO)
The annualized loss is $375,000 (ALE)
Examples
Risk Assessment and Management‫تقييم‬
‫المخاطر وإدارتها‬
 Risk assessment
 Examines asset values, threat
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
levels, and total cost of
compromise versus the value of
the resource and the cost of the
protection
‫تقييم المخاطر‬
‫ يفحص القيم لالصل ومستويات التهديد والتكلفة‬
‫اإلجمالية للخرق مقابل قيم المورد وتكلفة‬
.‫الحماية‬
Risk Assessment and Management
(Cont.)
1- Determine the overall value of the resource or asset. Known as the asset value (AV), this
calculation should include both tangible and intangible costs and value.
‫ يجب أن يتضمن هذا الحساب التكاليف والقيمة‬، AV ‫ المعروف باسم قيمة األصول‬.‫ أحسب القيمة اإلجمالية للمورد أو األصل‬- 1
.‫المادية (الملموسة )وغير الملموسة‬
2- Determine the threats that the asset faces. For each threat, calculate the Exposure Factor
(EF), or the amount of potential harm expressed as a percentage. This will create a list of
asset–threat pairs with a corresponding EF.
‫ أو مقدار الضرر المحتمل معبرا عنه كنسبة‬، EF ‫ احسب عامل التعرض‬، ‫ لكل تهديد‬.‫ أحسب التهديدات التي يواجهها األصل‬- 2
.‫ المقابل‬EF ‫التهديدات مع‬- ‫ سيؤدي هذا إلى إنشاء قائمة بأزواج األصول‬.‫مئوية‬
3- Calculate the Single Loss Expectancy (SLE): SLE = AV × EF. This is the amount of potential
loss that could be experienced due to a single occurrence of compromise against this asset for
a specific threat. This will add an SLE value to each asset–threat pair.
‫ هذا هو مقدار الخسارة المحتملة التي يمكن أن تحدث بسبب حدوث‬SLE : SLE = AV × EF ‫ أحسب توقع الخسارة الفردية‬-3
.‫التهديدات‬- ‫ إلى كل زوج من األصول‬SLE ‫ سيؤدي ذلك إلى إضافة قيمة‬.‫تهديد واحد ضد هذا األصل وهولتهديد معين‬
(Cont.)
4. For each threat, calculate the potential number of times the threat could be a realized
attack within a year’s time. This is known as the Annualized Rate of Occurrence (ARO).
‫ يعرف هذا باسم معدل‬.‫ احسب العدد المحتمل للمرات التي يمكن أن يكون فيها التهديد هجوما محققا في غضون عام‬، ‫ لكل تهديد‬- 4
.ARO ‫الحدوث السنوي‬
5. Calculate the Annualized Loss Expectancy (ALE): ALE = SLE × ARO. This is the amount of
potential loss that can be experienced due to any compromise of this asset for a specific threat
within a year. This will add an ALE value to each asset–threat pair.
‫ هذا هو مقدار الخسارة المحتملة التي يمكن أن تحدث بسبب أي‬ALE : (ALE = SLE × ARO( ‫ احسب الخسارة السنوية المتوقعة‬-5
.‫ إلى كل زوج من األصول والتهديدات‬ALE ‫ سيؤدي ذلك إلى إضافة قيمة‬.‫اختراق لهذا األصل لتهديد معين في غضون عام‬
6. Sort the list of asset–threat pairs by ALE. The highest ALE is the biggest risk for this specific
asset/resource.
‫ المورد المحدد‬/ ‫ هو أكبر خطر لهذا األصل‬ALE ‫ أعلى‬ALE ‫ قم بفرز قائمة أزواج األصول والتهديدات حسب‬- 6
7. Take the asset–threat pair with the largest ALE and determine the possible countermeasures
that could be used to protect against that threat. This creates asset–threat–countermeasure
triplets.
‫ هذا‬.‫ وحدد اإلجراءات المضادة المحتملة التي يمكن استخدامها للحماية من هذا التهديد‬ALE ‫ خذ زوج األصول والتهديد مع أكبر‬-7
.‫يخلق ثالثة توائم من األصول والتهديدات والتدابير المضادة‬
(Cont.)
8. For each (Asset–Threat–Countermeasure) triplet, calculate a new ARO. The
countermeasure should reduce the ARO. A perfect countermeasure would reduce the ARO to
zero—but there are few perfect countermeasures.
‫ من شأن‬ARO. ‫ يجب أن يقلل اإلجراء المضاد من‬.‫ جديدا‬ARO ‫ احسب‬، )‫ اإلجراء المضاد‬- ‫ التهديد‬- ‫ لكل ثالثي (األصول‬-8
.‫ ولكن هناك القليل من اإلجراءات المضادة المثالية‬- ‫ إلى الصفر‬ARO ‫اإلجراء المضاد المثالي أن يقلل‬
9. With the new ARO, calculate a new ALE for each triplet.
. ‫ جديدا لكل ثالثي‬ALE ‫ احسب‬، ‫ الجديد‬ARO ‫ باستخدام‬-9
10. For each triplet, perform a cost/benefit analysis. The formula is
(Original ALE – New ALE) – Cost of the countermeasure per year.
.‫ تكلفة اإلجراء المضاد في السنة‬- )‫ الجديد‬ALE - ‫ األصلي‬ALE( =‫ الصيغة هي‬.‫ الفائدة‬/ ‫ قم بإجراء تحليل التكلفة‬،‫ لكل ثالثي‬- 10
‫التكلفة النهائية = (الكلفة اللي تم توفيرها من االجراء المضاد ) – تكلفة االجراء المتخذ أي المضاد‬
11. Sort the asset–threat–countermeasure triplets by their potential cost/benefit. The triplet
with the greatest cost/benefit is the best choice.
‫ الفائدة األكبر‬/ ‫ الثالثي ذو التكلفة‬.‫ الفائدة المحتملة‬/ ‫ قم بفرز ثالثة توائم من األصول والتهديدات والتدابير المضادة حسب التكلفة‬- 11
‫هو الخيار األفضل‬
Flow Chart of Risk Assessment and
Management
For each For each For each
For each
(asset–threat): (asset–threat): (asset–threat):
Calculate (asset–
Calculate Calculate the
threat): Calculate
Asset Value the Single Loss Annualized Loss
Calculate Annualized Rate
(AV) the Exposure Expectancy of Occurrence Expectancy (ALE)
(SLE) (ARO) ALE = SLE × ARO
Factor (EF) %
SLE = AV × EF
for each triplet:
perform a
. for All cost/benefit
(asset– analysis: for each triplet for each triplet For All
threat– (Original ALE – (asset–threat– (asset–threat– (asset–threat):
countermeas New ALE) countermeasure): countermeasure): Sort the list of
ure): cost/benefit of the calculate a new calculate a new (asset–threat )
Sort the list countermeasure / ALE ARO pairs by ALE
of triplets year.
Other Feasibility Approaches
‫مناهج الجدوى األخرى‬
 Organizational feasibility analysis : examines how well the proposed information security
alternatives will contribute to operation of an organization
 Operational (behavioral) feasibility analysis: Addresses user acceptance and support,
management acceptance and support, and overall requirements of organization’s
stakeholders
 Technical feasibility analysis: examines whether or not the organization has or can
acquire the technology to implement and support the alternatives
 Political feasibility analysis: defines what can and cannot occur based on the consensus
and relationships between the communities of interest
‫ يفحص مدى مساهمة بدائل أمن المعلومات المقترحة في تشغيل المنظمة‬:‫ تحليل الجدوى التنظيمية‬
‫ والمتطلب‡ات العام‡ة ألص‡حاب‬، ‫ وقب‡ول اإلدارة ودعمه‡ا‬، ‫ يع‡الج قب‡ول المس‡تخدم ودعم‡ه‬:‫ تحلي‡ل الج‡دوى التش‡غيلية‬
‫المصلحة في المنظمة‬
‫ ي‡درس م‡ا إذا ك‡انت المنظم‡ة تمتل‡ك أو يمكنه‡ا الحص‡ول على التكنولوجي‡ا الالزم‡ة لتنفي‡ذ الب‡دائل‬:‫ة‬C‫دوى الفني‬C‫ل الج‬C‫ تحلي‬
‫ودعمها‬
‫ يحدد ما يمكن وما ال يمكن أن يحدث بناًء على اإلجماع والعالقات بين المجتمعات المعنية‬:‫ تحليل الجدوى السياسية‬
Alternative to CBA: Benchmarking
‫المرجعية‬
 Benchmarking:
 Seeking out and studying practices of other organizations that produce desired
results
 Measuring differences between how organizations conduct business
 When benchmarking, an organization typically uses one of two measures to
compare practices:
 Metrics-based measures
- comparisons based on numerical standards
 Process-based measures
- generally less focused on numbers and are more strategic
:‫ المرجعية‬
‫ البحث عن ودراسة أعمال وممارسات المؤسسات األخرى التي تحقق النتائج المرجوة‬
‫ قياس الفروق بين كيفية إدارة المؤسسات لألعمال‬
:‫ تستخدم المؤسسة عادًة أحد المقياسين لمقارنة ممارسات المؤسسة‬، ‫ عند المقارنة المعيارية‬
‫ القياس المستند الى وحدات القياس‬
‫ وهي مقارنات على أساس المعايير العددية‬-
‫ القياس المستند إلى العمليات‬
‫ بشكل عام انها أقل تركيًز ا على األرقام وأكثر على االستراتيجية‬-
Benchmarking (Continued)
 In the field of information security, two categories of benchmarks
are used:
 Standards of due care and due diligence, and Best practices
Best practices,
 the gold standard is a subcategory of practices that are typically
viewed as “the best of the best”
:‫ يتم استخدام فئتين من المعايير‬، ‫في مجال أمن المعلومات‬
‫ وأفضل الممارسات‬، ‫ معايير العناية الواجبة والعناية الواجبة‬
،‫أفضل الممارسات‬
‫المعيار الذهبي هو فئة فرعية من الممارسات التي ُينظر إليها عادًة على أنها "األفضل على‬
"‫اإلطالق‬
Applying Best Practices
‫تطبيق أفضل الممارسات‬
Address the following questions:
 Does your organization resemble the organization that is implementing the best
practice under consideration?
 Is your organization in a similar industry?
 Does your organization face similar challenges?
 Is your organizational structure similar to the organization from which you are
modeling the best practices?
 Can your organization expend resources that are in line with the requirements of the
best practice?
 Is your organization in a similar threat environment as the one cited in the best
practice?
:‫تناول األسئلة التالية‬
‫هل تشبه مؤسستك المؤسسة التي تطبق أفضل الممارسات قيد النظر؟‬
‫هل مؤسستك تعمل في صناعة مماثلة؟‬
‫هل تواجه مؤسستك تحديات مماثلة؟‬
‫هل الهيكل التنظيمي الخاص بك مشابه للمنظمة منالذي كنت نمذجة أفضل الممارسات؟‬
‫هل يمكن لمؤسستك إنفاق الموارد التي تتماشى معمتطلبات أفضل الممارسات؟‬
‫هل تواجه مؤسستك بيئة تهديد مماثلة لتلك التي تواجهها؟‬
‫المذكورة في أفضل الممارسات؟‬
Problems with Benchmarking and Best Practices
‫مشاكل في المقارنة المعيارية وأفضل الممارسات‬
 Organizations don’t talk to each other
 No two organizations are identical
 Best practices are a moving target
 Simply knowing what was going on a few years ago does not
necessarily indicate what to do next
‫ المؤسسات ال تتحدث مع بعضها البعض‬
‫ ال توجد منظمتان متطابقتان‬
‫ أفضل الممارسات هي هدف متحرك‬
‫ إن مجرد معرفة ما كان يحدث قبل بضع سنوات ال يشير بالضرورة إلى ما يجب فعله بعد ذلك‬
Risk Appetite‫الرغبة في المخاطرة‬
 Risk appetite defines the quantity and nature of risk that
organizations are willing to accept, as they evaluate the trade-offs
between perfect security and unlimited accessibility.
 Reasoned approach to risk is one that balances expense
against possible losses if exploited.
‫ حيث‬،‫ تعرف الرغبة في المخاطرة كمية وطبيعة المخاطر التي ترغب المؤسسات في قبولها‬
.‫تقوم بتقييم المفاضالت بين األمان المثالي وإمكانية الوصول غير المحدودة‬
‫ النهج المنطقي للمخاطر هو النهج الذي يوازن بين النفقات والخسائر المحتملة في حالة‬
‫استغاللها‬
Residual Risk‫المخاطر المتبقية‬
 When vulnerabilities have been controlled as much as possible,
there is often remaining risk that has not been completely
accounted for residual risk
‫ غالًبا ما تكون هناك مخاطر متبقية لم يتم‬،‫ عندما تتم السيطرة على نقاط الضعف قدر اإلمكان‬
‫أخذها في االعتبار بشكل كامل كمخاطر متبقية‬
 Residual Risk: ‫المخاطر المتبقية‬
 Risk from a threat less the effect of threat-reducing safeguards plus
 Risk from a vulnerability less the effect of vulnerability-reducing safeguards plus
 Risk to an asset less the effect of asset value-reducing safeguards
‫ المخاطر الناجمة عن التهديد مطروًح ا منها تأثير ضمانات الحد من التهديد باإلضافة إلى ذلك‬
‫ المخاطر الناجمة عن الضعف أقل من تأثير الضمانات التي تقلل من الضعف باإلضافة إلى‬
‫ المخاطر التي تتعرض لها األصول ناقًص ا تأثير ضمانات خفض قيمة األصول‬
Residual Risk
 The significance of residual risk must be judged within the context
of an organization’s risk appetite
 The goal of information security is not to bring residual risk to zero,
but to bring it in line with an organization’s risk appetite
‫ ويجب الحكم على أهمية المخاطر المتبقية في سياق مدى تقبل المنظمة للمخاطر‬
‫ ولكن جعلها تتماشى مع‬،‫ الهدف من أمن المعلومات ليس خفض المخاطر المتبقية إلى الصفر‬
.‫رغبة المنظمة في المخاطرة‬
Documenting Results‫توثيق النتائج‬
 When risk management program has been completed,
 Series of proposed controls are prepared
 Each justified by one or more feasibility or rationalization approaches
 At minimum, each information asset-threat pair should have a documented control

strategy that
 Clearly identifies any residual risk remaining after the proposed strategy has been
executed
،‫عند االنتهاء من برنامج إدارة المخاطر‬ 

‫ يتم إعداد سلسلة من الضوابط المقترحة‬
‫ يتم تبرير كل منها بواحد أو أكثر من أساليب الجدوى أو الترشيد‬
‫ يجب أن يكون لكل زوج من أصول المعلومات المهددة استراتيجية تحكم موثقة‬،‫ على األقل‬
‫ يحدد بوضوح أي مخاطر متبقية متبقية بعد تنفيذ االستراتيجية المقترحة‬

Qualitative Measures‫القياس النوعي‬
 Quantitative assessment performs asset valuation with actual
values or estimates
 An organization could determine that it cannot put specific numbers
on these values
 Organizations could use qualitative assessments instead, using
scales instead of specific estimates
‫ يقوم التقييم الكمي بتقييم األصول بالقيم أو التقديرات الفعلية‬
‫ يمكن للمؤسسة أن تقرر أنها ال تستطيع وضع أرقام محددة على هذه القيم‬
‫ باستخدام المقاييس بدًال من التقديرات‬،‫ يمكن للمؤسسات استخدام التقييمات النوعية بدًال من ذلك‬
‫المحددة‬
Delphi Approach
 A group rates and ranks assets
 The individual responses are compiled and sent back to the group
 Reevaluate and redo the rating/ranking
 Iterate till agreements reached
‫ تقوم المجموعة بتصنيف األصول‬
‫ يتم تجميع اإلجابات الفردية وإرسالها مرة أخرى إلى المجموعة‬
‫ إعادة تقييم وإعادة التصنيف‬
‫ كرر حتى يتم التوصل إلى االتفاقات‬
The OCTAVE Method
Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM)
Method:
Defines essential components of a comprehensive, systematic, context-driven, self-
directed information security risk evaluation
. ‫يحدد المكونات األساسية لتقييم مخاطر أمن المعلومات الشامل والمنهجي والموجه ذاتًيا‬
By following OCTAVE Method, organization can make information-protection

decisions based on risks to : confidentiality, integrity, and availability of critical
information technology assets
‫ الس‡رية‬:‫ يمكن للمؤسس‡ة اتخ‡اذ ق‡رارات حماي‡ة المعلوم‡ات بن‡اًء على المخ‡اطر ال‡تي ته‡دد‬،OCTAVE ‫من خالل اتب‡اع طريق‡ة‬
‫والنزاهة وتوافر أصول تكنولوجيا المعلومات الهامة‬
Three variations of the OCTAVE Method: OCTAVE ‫ثالثة أشكال مختلفة من طرق‬
 The original OCTAVE Method ‫طريقة اوكتاف االصلية‬
 OCTAVE-S, for smaller organizations ‫أوكتاف للمؤسسات الصغيرة‬
 OCTAVE-Allegro, a streamlined approach for InfoSec assessment and assurance
InfoSec ‫وهو نهج مبسط لتقييم وضمان‬

Microsoft Risk Management
Approach
Microsoft asserts that risk management is not a stand-alone subject
 Should be part of a general governance program
Microsoft RM process four phases :
 Assessing risk
 Conducting decision support
 Implementing controls
 Measuring program effectiveness
‫ أن إدارة المخاطر ليست موضوًعا قائًما بذاته‬Microsoft ‫تؤكد‬
‫ يجب أن يكون جزًءا من برنامج الحوكمة العامة‬
:‫ على أربع مراحل‬Microsoft RM ‫تتم عملية‬
‫ تقييم المخاطرة‬
‫ إجراء دعم القرار‬
‫ تنفيذ الضوابط‬
‫ قياس فعالية البرنامج‬
FAIR‫تحليل العامل لمخاطر المعلومات‬
 Factor Analysis of Information Risk (FAIR) (by Jack A. Jones)
The FAIR framework includes:
 A taxonomy for information risk
 Standard nomenclature for information risk terms
 A framework for establishing data collection criteria
 Measurement scales for risk factors
 A computational engine for calculating risk
 A modeling construct for analyzing complex risk scenarios
:‫ ما يلي‬FAIR ‫يتضمن إطار‬
‫ تصنيف مخاطر المعلومات‬
‫ التسميات القياسية لمصطلحات مخاطر المعلومات‬
‫ إطار عمل لوضع معايير جمع البيانات‬
‫ مقاييس قياس عوامل الخطر‬
‫ محرك حسابي لحساب المخاطر‬
‫ بناء نموذجي لتحليل سيناريوهات المخاطر المعقدة‬
FAIR
FAIR analysis comprises 10 steps in four stages:
Stage 1-Identify Scenario Components
 Identify the asset at risk
 Identify the threat community under consideration
Stage 2-Evaluate Loss Event Frequency (LEF)
 Estimate the probable Threat Event Frequency (TEF)
 Estimate the Threat Capability (TCap)
 Estimate the Control Strength (CS)
 Derive Vulnerability (Vuln)
 Derive Loss Event Frequency (LEF)
:‫ خطوات في أربع مراحل‬10 ‫ من‬FAIR ‫يتكون تحليل‬
‫ تحديد مكونات السيناريو‬:‫المرحلة األولى‬
‫ تحديد األصول المعرضة للخطر‬
‫ تحديد مجتمع التهديد قيد النظر‬
LEF ‫تقييم تكرار حدث الخسارة‬-2 ‫ المرحلة‬
TEF ‫ تقدير تكرار حدث التهديد المحتمل‬
CS ‫ تقدير قدرة التهديد‬
Vuln ‫ أشتقاق الثغرة األمنية‬
LEF ‫ أشتقاق تكرار حدث الخسارة‬
FAIR
FAIR analysis comprises 10 steps in four stages (cont’d):

Stage 3-Evaluate Probable Loss Magnitude (PLM)
 Estimate the worst-case loss
 Estimate probably loss
Stage 4-Derive and Articulate Risk

 Derive and articulate risk
:)‫ خطوات في أربع مراحل (تابع‬10 ‫ من‬FAIR ‫يتكون تحليل‬
PLM ‫تقييم حجم الخسارة المحتملة‬-3 ‫المرحلة‬
‫ تقدير الخسارة األسوأ‬
‫ تقدير الخسارة المحتملة‬
‫اشتقاق وتوضيح المخاطر‬-4 ‫المرحلة‬
‫ استخالص المخاطر وتوضيحها‬
FAIR
ISO 27005 Standard for
InfoSec Risk Management
ISO 27000 series includes a standard for the performance of risk
management:
ISO 27005 Includes a five-stage risk management methodology:
 Risk assessment
 Risk treatment
 Risk acceptance
 Risk communication
 Risk monitoring and review
:‫ معياًر ا ألداء إدارة المخاطر‬ISO 27000 ‫تتضمن سلسلة‬
:‫يتضمن منهجية إدارة المخاطر المكونة من خمس مراحل‬ISO 27005
‫ تقييم المخاطر‬
‫ معالجة المخاطر‬
‫ قبول المخاطر‬
‫ اإلبالغ عن المخاطر‬
‫ مراقبة المخاطر ومراجعتها‬
NIST Risk Management Model
 This approach is illustrated below:

Other Methods
 There are two organizations that compare methods and provide
recommendations for risk management tools that the public can
use:
 European Network and Information Security Agency (ENISA)
- ranks 12 tools using 22 different attributes
 New Zealand’s IsecT Ltd - a Web site that describes a large
number of risk management methods
‫هناك منظمتان تقارنان األساليب وتقدمان توصيات ألدوات إدارة المخاطر التي يمكن للجمهور‬
:‫استخدامها‬
ENISA ‫ الوكالة األوروبية ألمن الشبكات والمعلومات‬
‫ سمة مختلفة‬22 ‫ أداة باستخدام‬12 ‫ تصنف‬-
‫ موقع ويب يصف عدًد ا كبيًر ا من أساليب إدارة المخاطر‬- ‫ النيوزيلندية‬IsecT Ltd ‫شركة‬
ENISA risk management process
Summary
 Introduction
 Risk Control Strategies
 Risk Control Strategy Selection
 Categories of Controls
 Feasibility Studies and Cost-Benefit Analysis
 Risk Management Discussion Points
 Recommended Risk Control Practices
 The OCTAVE and other Methods

Chapter 4FFF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter 4FFF

Uploaded by

Copyright:

Available Formats

Information Security Management

Cost Benefit Analysis or Economic Feasibility Study

. ‫ جديدا لكل ثالثي‬ALE ‫ احسب‬، ‫ الجديد‬ARO ‫ باستخدام‬-9

10. For each triplet, perform a cost/benefit analysis. The formula is

(Original ALE – New ALE) – Cost of the countermeasure per year.

 Operational (behavioral) feasibility analysis: Addresses user acceptance and support,

 Risk from a vulnerability less the effect of vulnerability-reducing safeguards plus

 Risk to an asset less the effect of asset value-reducing safeguards

 At minimum, each information asset-threat pair should have a documented control

،‫عند االنتهاء من برنامج إدارة المخاطر‬ 

‫ يتم تبرير كل منها بواحد أو أكثر من أساليب الجدوى أو الترشيد‬

‫ يحدد بوضوح أي مخاطر متبقية متبقية بعد تنفيذ االستراتيجية المقترحة‬

Defines essential components of a comprehensive, systematic, context-driven, self-

By following OCTAVE Method, organization can make information-protection

 The original OCTAVE Method ‫طريقة اوكتاف االصلية‬

 OCTAVE-S, for smaller organizations ‫أوكتاف للمؤسسات الصغيرة‬

 OCTAVE-Allegro, a streamlined approach for InfoSec assessment and assurance

InfoSec ‫وهو نهج مبسط لتقييم وضمان‬

FAIR analysis comprises 10 steps in four stages (cont’d):

Stage 4-Derive and Articulate Risk

 This approach is illustrated below:

You might also like