情報セキュリティにおけるリスク分析とは？

リスク分析は、特定のアクションまたはイベントに関連するリスクのレビューを定義します。リスク分析は、情報技術、プロジェクト、セキュリティの問題、およびリスクを定量的および定性的に分析できるその他のイベントに使用されます。

リスク分析プロセスが続くいくつかのステップは次のとおりです-

• リスク評価チームを設立する −リスク評価チームは、評価結果の収集、分析、および経営陣への文書化について責任を負います。人的資源、管理プロセス、自動化されたシステム、物理的セキュリティなど、アクティビティワークフローのいくつかの側面をチームで定義することが不可欠です。

• プロジェクトの範囲を設定する −評価チームは、評価プロジェクト、部門、または評価対象の機能イベントの目標、チームメンバーの責任、面接対象の担当者、使用する基準、検査対象の文書を最初に認識する必要があります。およびチェックする操作。

• 評価の対象となる資産を特定する −資産には、人員、ハードウェア、ソフトウェア、データ（機密性や重要度の分類など）、設備、およびそれらの資産を保護する現在の制御が含まれる場合がありますが、これらに定義されません。スコープで決定された評価プロジェクトに関連するすべての資産を認識することが重要です。

• 潜在的な損失を分類する −資産へのある種の損害から生じる可能性のある損失を特定できます。損失は​​、物理的な損傷、サービス拒否、改ざん、不正アクセス、または開示によって発生する可能性があります。組織の信頼性の喪失を含め、喪失は無形である可能性があります。

• 脅威と脆弱性を特定する −脅威とは、脆弱性を悪用して資産を攻撃するイベント、手順、アクティビティ、またはプロセスです。これには、自然の脅威、偶発的な脅威、人間の偶発的な脅威、および人間の悪意のある脅威が含まれます。これらには、電源障害、生物学的汚染または危険な化学物質の流出、機能の動作、またはハードウェア/ソフトウェアの障害、データの削除または完全性の喪失、妨害行為、または盗難または破壊行為が含まれる可能性があります。

  脆弱性は、脅威が資産を攻撃するために悪用する弱点です。脆弱性は、物理的セキュリティ、環境、システムセキュリティ、通信セキュリティ、人的セキュリティ、計画、ポリシー、プロセス、管理、サポートなどのデータ収集プロセスで次のことに対処することで認識できます。 、など。

• 既存のコントロールを特定する −コントロールは、脅威が脆弱性を悪用して資産を強力に攻撃する可能性を減らす保護手段です。現在実行されているセーフガードを認識し、現在の分析のコンテキストでそれらの有効性を判断できます。

• データを分析する −このステップでは、収集されたすべてのデータを使用して、検討中の資産に対する実際のリスクを決定します。データを分析する方法には、資産の記録を作成し、対応する脅威、損失の種類、および脆弱性を表示することが含まれます。このデータの分析には、潜在的な転倒の可能性のある頻度の評価が含まれている必要があります。