مخاطر تكنولوجيا المعلومات

لا توجد نسخ مراجعة من هذه الصفحة، لذا، قد لا يكون التزامها بالمعايير متحققًا منه.

مخاطر تكنولوجيا المعلومات ، أو المخاطر السيبرانية هي أي مخاطر تتعلق بتكنولوجيا المعلومات. ^[1] رغم أن المعلومات كانت موضع تقدير منذ فترة طويلة باعتبارها أصلًا قيمًا ومهمًا، فإن صعود اقتصاد المعرفة والثورة الرقمية أدى إلى اعتماد المنظمات بشكل متزايد على المعلومات ومعالجة المعلومات.يمكن أن تتعرض تكنولوجيا المعلومات لمجموعة من الحوادث التي تهدد سلامتها، مما يؤدي إلى آثار سلبية على سير العمليات التجارية أو الأهداف الأساسية للمنظمة. تتفاوت هذه التأثيرات من الأضرار البسيطة إلى الأزمات الكارثية.

عملية تقييم احتمالية وقوع أحداث أو حوادث متنوعة، بالإضافة إلى تحليل تأثيراتها أو عواقبها المتوقعة في حال حدوثها، من الطرق الشائعة لتقييم وقياس مخاطر تكنولوجيا المعلومات. هذه العملية تساعد في فهم التهديدات المحتملة وتحديد الإجراءات اللازمة للتخفيف من المخاطر.. ^[2] تتضمن الطرق البديلة لقياس مخاطر تكنولوجيا المعلومات عادةً تقييم العوامل المساهمة الأخرى مثل التهديدات والثغرات والتعرضات وقيم الأصول. ^[3] ^[4]

تعاريف

ايزو

مخاطر تكنولوجيا المعلومات : قدرة تهديد معين على استغلال نقاط الضعف في أصل أو مجموعة أصول، مما يؤدي إلى إلحاق الضرر بالمنظمة، بمصطلح "المخاطر". يتم قياس المخاطر من خلال مزيج من احتمال وقوع الحدث وآثاره المحتملة. ^[5]

لجنة أنظمة الأمن القومي

حددت لجنة أنظمة الأمن القومي للولايات المتحدة الأمريكية المخاطر كالتالي:

من تعليمات CNSS رقم 4009 بتاريخ 26 أبريل 2010 ^[6] التعريف الأساسي والأكثر تركيزًا على التقنية:
المخاطر - إمكانية أن يؤثر تهديد معين سلبًا على نظام المعلومات من خلال استغلال ثغرة أمنية معينة.
تقدم تعليمات أمن أنظمة الاتصالات والمعلومات للأمن القومي (NSTISSI) رقم 1000، ^[7] جانبًا من جوانب الاحتمالية، مشابهًا تمامًا لجانب NIST SP 800-30:
المخاطر - مزيج من احتمالية حدوث التهديد، واحتمالية أن يؤدي حدوث التهديد إلى تأثير سلبي، وشدة التأثير الناتج

يعرف المركز الوطني للتدريب والتعليم لتأمين المعلومات المخاطر في تكنولوجيا المعلومات:

إمكانية الخسارة التي توجد نتيجة لأزواج التهديد والضعف. إن تقليل التهديد أو الضعف يقلل من المخاطر.
عدم اليقين بشأن الخسارة معبرًا عنه من حيث احتمالية حدوث هذه الخسارة.
احتمالية نجاح كيان معاد في استغلال نظام اتصالات أو نظام COMSEC معين لأغراض استخباراتية؛ وعواملها هي التهديد والضعف.
مزيج من احتمالية حدوث التهديد، واحتمالية أن يؤدي حدوث التهديد إلى تأثير سلبي، ومدى شدة التأثير السلبي الناتج.
احتمالية أن يقوم تهديد معين باستغلال نقطة ضعف معينة في النظام.

المعهد الوطني الأمريكي للمعايير والتكنولوجيا

تعرف العديد من منشورات المعهد الوطني للمعايير والتكنولوجيا (NIST) المخاطر في سياق تكنولوجيا المعلومات في مستندات متعددة، مثل:

FISMApedia: يوفر تعريفات ومعلومات شاملة حول المخاطر في سياق قانون إدارة الأمن الفيدرالي للمعلومات (FISMA).^[8]
المصطلح: يقدم قائمة بالمصطلحات المتعلقة بالمخاطر، بما في ذلك:
- المخاطر السيبرانية: المخاطر المرتبطة بالتهديدات الأمنية للأنظمة المعلوماتية.
- نقاط الضعف: العوامل التي يمكن أن تُستغل من قبل المهاجمين لتسبيب الأضرار.
- التهديدات: أي حدث يمكن أن يؤدي إلى فقدان البيانات أو تدهور الأداء.
- الإجراءات المتخفية: الإجراءات المتخذة للحد من المخاطر والتخفيف من آثارها.^[9]

وفقًا لـ NIST SP 800-30: ^[10]
إن المخاطر هي دالة على احتمالية قيام مصدر تهديد معين بممارسة ثغرة أمنية معينة، والتأثير الناتج عن هذا الحدث الضار على المنظمة.
من NIST FIPS 200 ^[11]
المخاطر - مستوى التأثير على العمليات التنظيمية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول التنظيمية أو الأفراد الناتج عن تشغيل نظام المعلومات بالنظر إلى التأثير المحتمل للتهديد واحتمال حدوث هذا التهديد.

يعرف NIST SP 800-30 ^[10] ما يلي:

المخاطر المتعلقة بتكنولوجيا المعلومات

التأثير الصافي للمهمة مع الأخذ في الاعتبار:

احتمالية أن يقوم مصدر تهديد معين بممارسة (إثارة أو استغلال عن عمد) ثغرة معينة في نظام المعلومات و
الأثر الناتج في حال حدوث ذلك. تنشأ المخاطر المتعلقة بتكنولوجيا المعلومات نتيجة للمسؤولية القانونية أو فقدان المهمة بسبب:
1. الكشف غير المصرح به (الخبيث أو العرضي) عن المعلومات أو تعديلها أو إتلافها
2. الأخطاء والإغفالات غير المقصودة
3. انقطاعات تكنولوجيا المعلومات بسبب الكوارث الطبيعية أو من صنع الإنسان
4. عدم بذل العناية الواجبة والاجتهاد في تنفيذ وتشغيل نظام تكنولوجيا المعلومات.

رؤية إدارة المخاطر

مخاطر تكنولوجيا المعلومات تُعرَّف على أنها احتمالية حدوث خسائر مستقبلية بالإضافة إلى حجم تلك الخسائر المحتملة. يعني ذلك أن هذه المخاطر تتضمن:

إيساكا

نشرت آيزاكا إطار عمل مخاطر تكنولوجيا المعلومات بهدف توفير رؤية شاملة لجميع المخاطر المتعلقة باستخدام تكنولوجيا المعلومات. في هذا السياق، تُعرف مخاطر تكنولوجيا المعلومات على النحو التالي:

المخاطر التجارية المرتبطة باستخدام تكنولوجيا المعلومات وامتلاكها وتشغيلها والمشاركة فيها وتأثيرها وتبنيها داخل المؤسسة

وفقًا لـ Risk IT، فإن مخاطر تكنولوجيا المعلومات تشمل مفهومًا أوسع. فهي لا تقتصر فقط على التأثيرات السلبية على العمليات وخدمات تقديمها التي قد تؤدي إلى تدمير أو تقليل قيمة المنظمة. بل تشمل أيضًا المخاطر المرتبطة بفقدان الفرص لاستخدام التكنولوجيا في تعزيز الأعمال أو إدارة مشروعات تكنولوجيا المعلومات، مثل الإفراط في الإنفاق أو التأخر في التسليم، مما ينعكس سلبًا على الأعمال.

قياس مخاطر تكنولوجيا المعلومات

لا يمكنك إدارة ما لا يمكنك قياسه بفعالية وبشكل ثابت، ولا يمكنك قياس ما لم تحدده. ^[12] ^[13]

يمكن قياس مخاطر تكنولوجيا المعلومات (أو المخاطر الإلكترونية) على عدة مستويات. على مستوى الأعمال، تُدار المخاطر بشكل شامل. بينما تميل أقسام تكنولوجيا المعلومات في الخطوط الأمامية ومراكز عمليات الشبكة إلى قياس المخاطر الفردية بشكل أكثر تفصيلًا. إن إدارة العلاقة بين هذين المستويين تلعب دورًا حيويًا لمديري أمن المعلومات في العصر الحديث.

عند قياس المخاطر من أي نوع، يعتبر اختيار المعادلة المناسبة لتهديد معين، وأصوله، والبيانات المتاحة خطوة أساسية. هذه العملية بحد ذاتها معقدة، ولكن هناك مكونات مشتركة لمعادلات المخاطر يمكن أن تكون مفيدة لفهمها.

توجد أربع قوى أساسية تشارك في إدارة المخاطر، والتي تنطبق أيضًا على الأمن السيبراني: الأصول، التأثير، التهديدات، والاحتمالية.
الأصول: تشمل الأشياء الملموسة وغير الملموسة التي لها قيمة، وتتمتع بقدر من السيطرة الداخلية.

التأثير: يشير إلى الخسارة أو الضرر الذي قد يتعرض له أحد الأصول، وهنا لديك أيضًا بعض التحكم.

التهديدات: تمثل المخاطر التي يشكلها الأعداء وطرق هجمتهم، وهي خارج نطاق السيطرة.

الاحتمالية: تُعتبر العامل الحاسم الذي يحدد ما إذا كان التهديد سيتحقق، ومتى سينجح، ومدى الضرر الناتج عنه.
على الرغم من عدم وجود سيطرة كاملة على جميع العوامل، إلا أنه من الممكن تشكيل الاحتمالات والتأثير عليها لإدارة المخاطر بشكل فعال.^[14]

من الناحية الرياضية، يمكن تمثيل القوى في صيغة مثل:
الخطر=p(الأصول,التهديد)×d(الأصول,التهديد)
حيث يُمثل p() احتمال حدوث أو نجاح التهديد ضد أحد الأصول، و d() يُمثل احتمال حدوث مستويات مختلفة من الضرر.

أدى مجال إدارة مخاطر تكنولوجيا المعلومات إلى ظهور عدد من المصطلحات والتقنيات الفريدة لهذه الصناعة. ومع ذلك، لا يزال يتعين التوفيق بين بعض شروط الصناعة. على سبيل المثال، يُستخدم مصطلح "الضعف" (Vulnerability) غالبًا بالتبادل مع "احتمالية الحدوث" (Likelihood of Occurrence)، وهو ما قد يكون إشكاليًا.

تتضمن المصطلحات والتقنيات المستخدمة بشكل متكرر في إدارة مخاطر تكنولوجيا المعلومات ما يلي:

التقييم (Assessment): عملية تحديد وتقييم المخاطر المحتملة.
التخفيف (Mitigation): الإجراءات المتخذة لتقليل المخاطر.
التهديدات (Threats): أي عنصر يمكن أن يتسبب في ضرر للأصول.
التحليل (Analysis): دراسة المخاطر لتحديد تأثيراتها المحتملة.
الاستجابة (Response): الخطوات المتخذة للتعامل مع المخاطر عند ظهورها.
الامتثال (Compliance): الالتزام بالقوانين واللوائح المعمول بها في مجال تكنولوجيا المعلومات.

هذه المصطلحات تعكس أهمية الفهم الدقيق للمخاطر وكيفية التعامل معها بفعالية.

حدث أمن المعلومات

حدوث محدد لحالة نظام أو خدمة أو شبكة يشير إلى خرق محتمل لسياسة أمن المعلومات أو فشل الضمانات، أو موقف غير معروف سابقًا قد يكون ذا صلة بالأمن. ^[5]

حدوث مجموعة معينة من الظروف ^[15]

يمكن أن يكون الحدث مؤكدًا أو غير مؤكد.
يمكن أن يكون الحدث عبارة عن حدث واحد أو سلسلة من الأحداث. :(دليل ISO/IEC 73)

حادثة أمن المعلومات

يتم الإشارة إلى ذلك من خلال حدث واحد أو سلسلة من أحداث أمن المعلومات غير المرغوب فيها والتي لديها احتمال كبير لتعريض العمليات التجارية للخطر وتهديد أمن المعلومات ^[5]

حدث [G.11] تم تقييمه على أنه له تأثير سلبي فعلي أو محتمل على أمان أو أداء النظام. ^[16]

التأثير ^[17]

نتيجة لحادث غير مرغوب فيه [G.17]. (المعيار ISO/IEC PDTR 13335-1)

النتيجة ^[18]

نتيجة الحدث [G.11]

يمكن أن يكون هناك أكثر من نتيجة لحدث واحد.
يمكن أن تتراوح العواقب من الإيجابية إلى السلبية.
يمكن التعبير عن النتائج نوعيًا أو كميًا (دليل ISO/IEC 73)

إن المخاطر R هي حاصل ضرب احتمالية وقوع حادث أمني L مضروبة في التأثير I الذي سوف تتعرض له المنظمة بسبب الحادث، أي: ^[19]

R = L × I

إن احتمال وقوع حادث أمني يعتمد على احتمال ظهور التهديد واحتمال أن يتمكن التهديد من استغلال نقاط الضعف ذات الصلة في النظام بنجاح.

إن عواقب وقوع حادث أمني هي وظيفة التأثير المحتمل الذي سيحدثه الحادث على المنظمة نتيجة للأضرار التي ستلحق بأصول المنظمة. الضرر مرتبط بقيمة الأصول بالنسبة للمنظمة؛ فالأصل نفسه يمكن أن يكون له قيم مختلفة بالنسبة للمنظمات المختلفة.

لذا فإن R يمكن أن تكون دالة لأربعة عوامل :

أ = قيمة الأصول
T = احتمالية التهديد
V = طبيعة الثغرة الأمنية أي احتمالية إمكانية استغلالها (متناسبة مع الفائدة المحتملة للمهاجم وعكسيا مع تكلفة الاستغلال)
أنا = التأثير المحتمل، مدى الضرر

إذا كانت القيم العددية (مثل المال مقابل التأثير والاحتمالات للعوامل الأخرى) متاحة، فيمكن التعبير عن المخاطر من حيث القيمة النقدية، مما يتيح مقارنتها بتكلفة التدابير المضادة والمخاطر المتبقية بعد تطبيق الرقابة الأمنية. ومع ذلك، ليس من العملي دائمًا التعبير عن هذه القيم بشكل دقيق.

لذلك، في الخطوة الأولى من تقييم المخاطر، يتم تصنيف المخاطر بدون أبعاد على مقاييس مكونة من ثلاث أو خمس خطوات. هذه المقاييس تساعد في تقديم تقدير نسبي للمخاطر وتسهيل اتخاذ القرارات حول كيفية التعامل معها.

يقترح OWASP إرشادات عملية لقياس المخاطر ^[20] استنادًا إلى:

تقدير احتمال كمتوسط بين العوامل المختلفة في مقياس من 0 إلى 9:
- عوامل عامل التهديد
  - مستوى المهارات: ما مدى مهارة هذه المجموعة من عملاء التهديد؟ لا مهارات فنية (1) ، بعض مهارات فنية (3) ، مستخدم حاسوب متقدم (4) ، مهارات الشبكة والبرمجة (6) ، مهارات اختراق الأمن (9)
  - الدافع: ما هو الدافع لهذا المجموعة من وكلاء التهديد للعثور على هذه الضعف والاستغلال منه؟ قليل أو لا مكافأة (1) ، مكافأة محتملة (4) ، مكافحة عالية (9)
  - الفرصة: ما هي الموارد والفرص التي تتطلبها هذه المجموعة من عناصر التهديد للعثور على هذه الضعف والاستغلال منه؟ الوصول الكامل أو الموارد الثمينة المطلوبة (0) ، الوصول الخاص أو الموارد المطلوبة (4) ، بعض الوصول أو الموارد المتطلبة (7) ، لا توفر الوصول او الموارد المطلبة (9)
  - حجم: كم عدد هذه المجموعة من العملاء المهددين؟ المطورين (2) مدراء النظام (2) مستخدمي الإنترنت الداخلي (4) الشركاء (5) المستخدمين الموثقين (6) ومستخدمي الإنترنت المجهولين (9)
- عوامل الضعف: مجموعة من العوامل التالية مرتبطة بالضعف المعني. الهدف هنا هو تقدير احتمال اكتشاف الضعف المحدد المرتبط والاستغلال منه. افترضوا وكيل التهديد المختار أعلاه
  - سهولة الكشف: كم من السهل على هذه المجموعة من وكلاء التهديد اكتشاف هذه الضعف؟ مستحيل عمليًا (1) صعب (3) سهل (7) ، أدوات آلية متاحة (9)
  - سهولة الاستغلال: كم من السهل على هذه المجموعة من وكلاء التهديد استغلال هذه الضعف؟ الأدوات النظرية (1) الصعبة (3) السهلة (5) والآلية المتاحة (9)
  - الوعي: ما مدى معرفة هذه الضعفية لهذه المجموعة من عوامل التهديد؟ غير معروف (1) مخفي (4) واضح (6) ، معروف للجمهور (9)
  - اكتشاف الاختراق: ما هي احتمالية اكتشاف عملية استغلال؟ الكشف النشط في التطبيق (1) ، المسجلة والمراجعة (3) ، المسجلات دون مراجعة (8), غير المسجلة (9)
تقدير الأثر كمتوسط بين العوامل المختلفة على مقياس من 0 إلى 9
- عوامل التأثير الفني؛ يمكن تقسيم التأثير التقني إلى عوامل تتوافق مع المجالات الأمنية التقليدية التي تهتم بها: السرية والنزاهة والتوفر والمساءلة. الهدف هو تقدير حجم التأثير على النظام إذا كان من المفترض استغلال الضعف.
  - فقدان السرية: كم من البيانات يمكن الكشف عنها ومدى حساسيتها؟ الحد الأدنى من البيانات غير الحساسة التي تم الكشف عنها (2) ، الحد الأقل من البيانة الحساسة المكشف عنها (6) ، والبيانات غير حاسمة المكشف عليها (6) ، والبيئة الكبيرة من البياناتك الحساسة المعروضة (7), وجميع البيانات المكشفة (9)
  - فقدان النزاهة: كم من البيانات يمكن أن تكون فاسدة وكم هي تلفها؟ البيانات المتلفة قليلاً (1) ، البيانات الملفة بشكل خطير (3) ، البيانة المتوسطة المتلفة بشكل طفيف (5) ، البياناتك المتوسطة الملفة جدًا (7) ، جميع البيانات فاسدة تماماً (9)
  - فقدان الوصول إلى الخدمة كم من الخدمة يمكن أن تخسر وكم هي حيوية؟ انقطاع الحد الأدنى للخدمات الثانوية (1) انقطاع الخدمات الأساسية الحد الأقل (5) وانقطاع الخوادم الثانوية الكبيرة (5) وانقطاب الخدمات الأولية الكبيرة (7) وانقطاع جميع الخدمات تماما (9)
  - فقدان المساءلة: هل يمكن تعقب أفعال العملاء الذين يُهددونهم إلى شخص واحد؟ يمكن تتبعها بالكامل (1) ، ويمكن تتبعها على الأرجح (7) ، مجهولة بالكامل (9)
- عوامل تأثير الأعمال: تأثير الأعلام ينبع من التأثير التقني، ولكنه يتطلب فهم عميق لما هو مهم للشركة التي تدير التطبيق. بشكل عام، يجب أن تسعى إلى دعم مخاطرك مع تأثير الأعمال، وخاصة إذا كان جمهورك على مستوى تنفيذي. المخاطر التجارية هي ما يبرر الاستثمار في إصلاح مشاكل الأمن.
  - الضرر المالي: كم من الضرر المالي الذي سيؤدي إليه الاستغلال؟ أقل من تكلفة تحديد الضعف (1) تأثير طفيف على الربح السنوي (3) تأثير كبير على الربح ٱلسنوي (7) ، الإفلاس (9)
  - أضرر السمعة: هل سيؤدي التغلب على السمعة إلى ضرر يمكن أن يضر بالشركة؟ الأضرار الحد الأدنى (1) فقدان الحسابات الرئيسية (4) فقدان النوع الجيد (5) ، أضرار العلامة التجارية (9)
  - عدم الامتثال: كم من التعرض يسبب عدم الامتثل؟ انتهاك طفيف (2) انتهاك واضح (5) انتهاك رفيع المستوى (7)
  - انتهاك الخصوصية: كم من المعلومات الشخصية التي يمكن أن تكشف عنها؟ شخص واحد (3) ، مئات الأشخاص (5) ، آلاف الأشخاص (7) ، ملايين الأشخاص (9)
- إذا تم حساب تأثير الأعمال بدقة استخدمها في ما يلي وإلا استخدم تأثير التقني
معدل احتمالية التأثير في مقياس منخفض، متوسط، مرتفع، افتراض أن أقل من 3 هو منخفضة، 3 إلى أقل من 6 هو متوسط، و 6 إلى 9 هو مرتفع.
الحساب من المخاطر باستخدام الجدول التالي

خطورة المخاطر الإجمالية
تأثير	عالي	واسطة	عالي	شديد الأهمية
	واسطة	قليل	واسطة	عالي
	قليل	لا أحد	قليل	واسطة
		قليل	واسطة	عالي
	احتمالية

إدارة مخاطر تكنولوجيا المعلومات

عناصر إدارة المخاطر

نظام إدارة مخاطر تكنولوجيا المعلومات (ITRMS) هو مكون من نظام إدارات مخاطر المؤسسات الأوسع. كما يتم دمج نظام ITRMS في الأوسع (ISMS). تحديث وتصنيع نظام إدارة المعلومات المستمرين هو بدوره جزء من النهج المنهجي للمؤسسة لتحديد وتقييم وإدارة مخاطر أمن المعلومات. توفر دليل مراجعة مراجعة منظومة منظومة معلومات 2006 من قبل ISACA هذا التعريف لإدارة المخاطر: "إدارة المخاطرة هي عملية تحديد الضعف والتهديدات المعلوماتية التي تستخدمها المؤسسة في تحقيق أهداف الأعمال ، وتحديد ما هي التدابير المضادة ، إذا وجدت ، التي يجب اتخاذها في تقليل المخاطر إلى مستوى مقبول ، بناءً على قيمة موارد المعلومات للمؤسسة. " ^[21] تشجع إطار الأمن السيبراني NIST المنظمات على إدارة مخاطر تكنولوجيا المعلومات كجزء من وظيفة تحديد (ID): [1] ^[22]

تقييم المخاطر (ID.RA) : تفهم المنظمة مخاطر الأمن السيبراني التي تهدد العمليات التنظيمية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) والأصول التنظيمية والأفراد.

بطاقة تعريف. RA-1: يتم تحديد نقاط ضعف الأصول وتوثيقها
بطاقة تعريف. RA-2: يتم تلقي معلومات استخباراتية حول التهديدات السيبرانية والثغرات من منتديات تبادل المعلومات والمصدر
بطاقة تعريف. RA-3: يتم تحديد التهديدات الداخلية والخارجية وتوثيقها
بطاقة تعريف. RA-4: تم تحديد التأثيرات التجارية المحتملة والاحتمالات
بطاقة تعريف. RA-5: يتم استخدام التهديدات والثغرات والاحتمالات والتأثيرات لتحديد المخاطر
بطاقة تعريف. RA-6: يتم تحديد استجابات المخاطر وإعطائها الأولوية

استراتيجية إدارة المخاطر (ID.RM) : يتم تحديد أولويات المنظمة، والقيود، ومستويات تحمل المخاطر، والافتراضات واستخدامها لدعم قرارات المخاطر التشغيلية.

بطاقة تعريف. RM-1: يتم إنشاء عمليات إدارة المخاطر وإدارتها والموافقة عليها من قبل أصحاب المصلحة في المنظمة
بطاقة تعريف. RM-2: يتم تحديد مدى تحمل المخاطر التنظيمية والتعبير عنها بوضوح
بطاقة تعريف. RM-3: يعتمد تحديد المنظمة لتحمل المخاطر على دورها في تحليل المخاطر الخاصة بالبنية التحتية الحرجة والقطاعات المحددة

قوانين وأنظمة مخاطر تكنولوجيا المعلومات

وفيما يلي وصف موجز للقواعد المعمول بها، مرتبة حسب المصدر. ^[23]

منظمة التعاون الاقتصادي والتنمية

أصدرت منظمة التعاون الاقتصادي والتنمية ما يلي:

توصية مجلس منظمة التعاون الاقتصادي والتنمية بشأن المبادئ التوجيهية التي تحكم حماية الخصوصية وتدفقات البيانات الشخصية عبر الحدود (23 سبتمبر 1980)
المبادئ التوجيهية لمنظمة التعاون الاقتصادي والتنمية بشأن أمن أنظمة وشبكات المعلومات: نحو ثقافة الأمن (25 يوليو/تموز 2002). الموضوع: أمن المعلومات العام. النطاق: إرشادات غير ملزمة لأي كيانات منظمة التعاون الاقتصادي والتنمية (الحكومات والشركات والمنظمات الأخرى والمستخدمين الأفراد الذين يطورون ويملكون ويوفرون ويديرون ويخدمون ويستخدمون أنظمة وشبكات المعلومات). تنص مبادئ منظمة التعاون الاقتصادي والتنمية على المبادئ الأساسية التي تدعم ممارسات إدارة المخاطر وأمن المعلومات. ورغم أن أي جزء من النص ليس ملزماً بحد ذاته، فإن عدم الامتثال لأي من المبادئ يشير إلى انتهاك خطير للممارسات الجيدة لإدارة المخاطر/إدارة الأصول والذي قد يؤدي إلى تحمل المسؤولية.

الاتحاد الأوروبي

أصدر الاتحاد الأوروبي البيان التالي، مقسمًا حسب الموضوع:

الخصوصية
- يقدم التنظيم (إي سي) 45/2001 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية من قبل مؤسسات وهيئات المجتمع والحرية في حركة هذه البيانات تنظيمًا داخليًا، وهو تطبيق عملي لمبادئ توجيه الخصوصية الموصوفة أدناه. علاوة على ذلك، تتطلب المادة 35 من هذا النظام من مؤسسات وهيئات المجتمع أن تتخذ خطوات احتياطية مماثلة فيما يتعلق ببنية التشغيلات الخاصة بها، وأن تقوم بإعلام المستخدمين بشكل صحيح عن أي مخاطر محددة من المخالفات الأمنية.
- تتطلب التوجيه 95/46/EC بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات أن يتم تخضع أي نشاط معالجة البيانة الشخصية لتحليل مخاطر مسبق من أجل تحديد آثار الخصوصية على النشاط، وتحديد التدابير القانونية والتقنية والتنظيمية المناسبة لحماية هذه الأنشطة؛يتم حمايتها فعلياً من خلال هذه التدابیر، والتي يجب أن تكون حديثة مع مراعاة حساسية النشاط وتأثيرات الخصوصية (بما في ذلك عندما يتم تكليف جهة خارجية بمهمة معالجة) إخطار الجهة الوطنية لحماية البيانات، بما في ذلك التدابات المتخذة لضمان أمن النشاط. علاوة على ذلك، تتطلب المادة 25 و التالية من التوجيه من الدول الأعضاء حظر نقل البيانات الشخصية إلى دول غير الأعضاء، ما لم توفر هذه الدول حماية قانونية كافية لهذه البيانات، أو باستثناء استثناءات أخرى.
- قرار المفوضية 2001/497/إق) المؤرخ 15 يونيو 2001 بشأن شروط عقدية قياسية لنقل البيانات الشخصية إلى البلدان الثالثة بموجب التوجيه 95/46/EC) ، وقرار المفوضة 2004/915/إق) مؤرخ 27 كانون الأول 2004 بتعديل قرار المفيد 2001/496/إق) فيما يتعلق بإدخال مجموعة بديلة من الشروط العقدية القياسية لنقل بيانات شخصية إلى البلديات الثالثة. موضوع: تصدير البيانات الشخصية إلى بلدان ثالثة، ولا سيما خارج البلاد.الدول المتحالفة التي لم يتم الاعتراف بها بأنها تمتلك مستوى حماية البيانات كاف (أي ما يعادل مستوى حماة البيانات في الاتحاد الأوروبي). وتحدد كلا قرارين من قرارات المفوضية مجموعة من النماذج الطوعية التي يمكن استخدامها لتصدير البيانات الشخصية من مدير معالجة البيانات (الذي يخضع لقواعد حماية البيانات في الاتحاد الأوروبي) إلى معالج البيانات خارج الاتحاد الأوبي الذي لا يخضع لهذه القواعد أو لمجموعة مماثلة من القواعد الكافية.
- مبادئ الخصوصية الدولية لمناقل الآمنة (انظر أدناه مبادئ خصوصية الولايات المتحدة الأمريكية ومبادئ الخصائص الدولية للمناقل الآمانة)
- التوجيه 2002/58/EC المؤرخ 12 يوليو 2002 بشأن معالجة البيانات الشخصية وحماية الخصوصية في قطاع الاتصالات الإلكترونية
الأمن القومي
- التوجيه 2006/24/CE المؤرخ 15 مارس 2006 بشأن حفظ البيانات التي يتم إنشاؤها أو معالجتها فيما يتعلق بتقديم خدمات الاتصالات الإلكترونية المتاحة للجمهور أو شبكات الاتصالات العامة وتعديل التوجيه 2002/58/CE ("توجيه حفظ البيانة"). موضوع: الاحتياج من مقدمي خدمات الاتصالات الإلكترونية العامة الاحتفاظ بمعلومات معينة لأغراض التحقيق والكشف والملاحقة القضائية عن الجرائم الخطيرة
- التوجيه 2008/114/EC المجلس المؤرخ 8 كانون الأول/ديسمبر 2008، بشأن تحديد البنية التحتية الأوروبية الحيوية وتعيينها وتقييم الحاجة إلى تحسين حمايتها. الموضوع: تحديد وتحميذ البنية التحتية الأوروبية الحرجة. نطاق النطاق: ينطبق على الدول الأعضاء ومشغلي البنية التحتية الأوروبية الحرجة (المعرفة بموجب مشروع التوجيه على أنه "البنية التحتة الحرجة التي يؤثر فيها تعطلها أو تدميرها بشكل كبير على دولين أو أكثر من الدول الأوروبية أو على دولة عضو واحدة إذا كانت البنية التحرجة الحرجية تقع في دولة أخرى من الدول الإتحادية). وهذا يشمل الآثار الناجمة عن الاعتماد على أنواع أخرى من البنية التهيكلية عبر القطاعات"). يطلب من الدول الأعضاء تحديد البنية التحتية الحيوية على أراضيها، وتعيينها كإي سي. بعد هذا التصنيف، يطلب من أصحاب/عمليات إدارة المعاملات المركزية أن يخلقوا خطط أمن المشغلين (أوسب) ، والتي يجب أن تضع حلول أمن ذات صلة لحمايتهم.
القانون المدني والجريمي
- قرار الإطار 2005/222/المجلس المؤرخ 24 فبراير 2005، بشأن الهجمات ضد أنظمة المعلومات. موضوع: قرار عام يهدف إلى تنسيق الأحكام الوطنية في مجال الجرائم الإلكترونية، بما يشمل القوانين الجنائية المادية (أي تعريف الجرائم المحددة) ، والقانون الجنائي الإجرائي (بما في ذلك الإجراءات التحقيقية والتعاون الدولي) ومسائل المسؤولية. نطاق النطاق: يتطلب من الدول الأعضاء تنفيذ أحكام القرار الإطار في إطارها القانوني الوطني. القرار الإطارية له صلة مع RM/RA لأنه يحتوي على الشروط التي يمكن فيها فرض المسؤولية القانونية على الكيانات القانونية عن سلوك بعض الأشخاص الطبيعيين المكلفين بالسلطة داخل الكيان القانوني. وبالتالي، يتطلب قرار الإطار أن يتم مراقبة سلوك هذه الأرقام داخل المنظمة بشكل كاف، أيضاً لأن القرار ينص على أن الكيان القانوني يمكن أن يتحمل مسؤولية عن أعمال التفشيل في هذا الصدد.

مجلس أوروبا

اتفاقية مجلس أوروبا بشأن الجرائم الإلكترونية، بودابست، 23. الحادي عشر.2001 سلسلة المعاهدات الأوروبية-رقم 185. الموضوع: معاهدة عامة تهدف إلى توحيد الأحكام الوطنية في مجال الجرائم الإلكترونية، بما في ذلك القانون الجنائي المادي (أي تعريفات الجرائم المحددة)، والقانون الجنائي الإجرائي (بما في ذلك التدابير التحقيقية والتعاون الدولي)، وقضايا المسؤولية والاحتفاظ بالبيانات. وبعيداً عن تعريفات سلسلة الجرائم الجنائية في المواد من 2 إلى 10، فإن الاتفاقية ذات صلة بقانون العقوبات وقانون الإجراءات الجنائية لأنها تحدد الشروط التي يمكن بموجبها فرض المسؤولية القانونية على الكيانات القانونية عن سلوك بعض الأشخاص الطبيعيين ذوي السلطة داخل الكيان القانوني. وبالتالي، فإن الاتفاقية تتطلب مراقبة سلوك هذه الشخصيات داخل المنظمة بشكل مناسب، وذلك أيضًا لأن الاتفاقية تنص على أنه يمكن تحميل الكيان القانوني المسؤولية عن أفعال التقصير في هذا الصدد.

الولايات المتحدة

أصدرت الولايات المتحدة ما يلي، مقسمة حسب الموضوع:

القانون المدني والجريمي
- تعديلات على القواعد الفيدرالية للدعوى المدنية فيما يتعلق بالاكتشافات الإلكترونية. الموضوع: القواعد الاتحادية الأمريكية فيما يتعلق بإعداد الوثائق الإلكترونية في الإجراءات المدنية. تسمح قواعد الكشف لطرف في إجراءات مدنية بالطلب من الطرف المعارض تقديم جميع الوثائق ذات الصلة (التي يجب تحديدها الطرف المطالب) في حيازته، حتى تتمكن الطرفان والمحكمة من تقييم المسألة بشكل صحيح. من خلال تعديل الاكتشاف الإلكتروني، الذي دخل حيز التنفيذ في 1 ديسمبر 2006، يمكن أن تشمل هذه المعلومات الآن المعلومات الإلكترونية. وهذا يعني أن أي طرف يتم تقديمه أمام محكمة أمريكية في إجراءات مدنية يمكن أن يطلب منه تقديم هذه الوثائق، والتي تشمل التقارير النهائية والوثائق العاملة والمدحوظات الداخلية والبريد الإلكتروني المتعلقة بموضوع معين، والتي قد تكون أو لا تكون محددة بشكل خاص. لذلك يجب على أي طرف يتضمن أنشطته مخاطر المشاركة في مثل هذه الإجراءات اتخاذ الاحتياطات اللازمة لإدارة هذه المعلومات، بما في ذلك تخزينها بأمان. على وجه التحديد: يجب أن يكون الطرف قادرًا على بدء "توقف دعوى قضائية"، وهي تدابير تقنية/تنظيمية يجب أن تضمن عدم إمكانية تعديل أي معلومات ذات صلة بأي شكل من الأشكال. سياسات تخزين يجب أن تكون مسؤولة: في حين أن حذف معلومات محددة يظل مسموحاً بالطبع عندما يكون هذا جزءاً من سياسات إدارة المعلومات العامة ("عمل نظام المعلومات بشكل روتيني وبخير"، القاعدة 37 (ف) ، يمكن أن تعاقب على التدمير العمد للمعلومات ذات الصلة المحتملة بأغرامة عالية للغاية (في حالة محددة بقيمة 1.6 مليار دولار أمريكي). وبالتالي، في الممارسة العملية، يجب على أي شركة تخاطر بمقاضاة مدنية أمام المحاكم الأمريكية تنفيذ سياسات كافية لإدارة المعلومات، ويجب عليها تنفيذ التدابير اللازمة لبدء استمرارية المقاضاة.
الخصوصية
- قانون خصوصية المستهلكين في كاليفورنيا (CCPA)
- قانون حقوق الخصوصية في كاليفورنيا (CPRA)
- قانون جرام-ليش-بليلي (GLBA)
- قانون الولايات المتحدة الأمريكية الوطنية، عنوان الثالث
- قانون نقل التأمين الصحي ومسؤولية (HIPAA) من منظور RM / RA ، يشتهر القانون بشكل خاص بأحكامه المتعلقة بتبسيط الإدارة (السم II من HIPAA). هذا العنوان طلب من وزارة الصحة والخدمات الإنسانية (HHS) الأمريكية صياغة مجموعات قواعد محددة، كل منها من شأنه أن يوفر معايير محددة من شأنها تحسين كفاءة نظام الرعاية الصحية ومنع سوء الاستخدام. ونتيجة لذلك، اعتمدت وزارة الصحة الخليجية خمس قواعد رئيسية: قاعدة الخصوصية، قاعدة المعاملات ومجموعات الرموز، قاعدة المعرفات الفريدة، قاعدة التنفيذ، وقاعدة الأمن. هذا الأخير، الذي نشره في السجل الاتحادي في 20 فبراير 2003 (انظر: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf أرشيف Wayback Machine) ، هو ذات صلة خاصة، لأنه يحدد سلسلة من الإجراءات الإدارية والتقنية والامنية المادية لضمان سرية المعلومات الصحية الإلكترونية المحمية. تم تحديد هذه الجوانب بشكل أكبر في مجموعة من معايير الأمن المتعلقة بالضمانات الإدارية والجسدية والتنظيمية والتقنية، والتي تم نشرها جميعها، جنبا إلى جنب مع وثيقة إرشادية حول أساسيات إدارة المخاطر وقياس المخاطر HIPAA <http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp نسخة محفوظة 2010-01-23 على موقع واي باك مشين. 2010-01-23 at the Wayback Machine>. لا تُؤثر على مقدمي الخدمات الصحية في أوروبا أو بلدان أخرى عموماً على التزامات HIPAA إذا لم يكونوا نشطين في السوق الأمريكية. ومع ذلك، بما أن أن أن نشاطاتهم في مجال معالجة البيانات تخضع لالتزامات مماثلة بموجب القانون الأوروبي العام (بما في ذلك توجيه الخصوصية) ، وبما أن الاتجاهات الأساسية للتحديث والتطور نحو ملفات الصحة الإلكترونية هي نفسها، يمكن أن يضع مقدمي الخم الخدمات الص وتشمل معايير الأمن HIPAA ما يلي:
  - ضمانات إدارية:
    - عملية إدارة الأمن
    - مسؤولية الأمن المُعَطَاة
    - أمن القوى العاملة
    - إدارة وصول المعلومات
    - الوعي بالأمن والتدريب
    - إجراءات حوادث الأمن
    - خطة الطوارئ
    - التقييم
    - عقود الشركاء التجارية والترتيبات الأخرى
  - الاحتياطيات الجسدية
    - مكافحة الوصول إلى المنشأة
    - استخدام محطة العمل
    - أمن محطة العمل
    - التحكم في الأجهزة والوسائط
  - الاحتياطيات التقنية
    - تحكم الوصول
    - مراقبة المراجعة
    - النزاهة
    - تحديد مصادقة الشخص أو الكيان
    - أمن النقل
  - متطلبات المنظمة
    - عقود الشركاء التجارية والترتيبات الأخرى
    - متطلبات خطط الصحة المجموعية
- مبادئ خصوصية الميناء الآمن الدولي التي أصدرتها وزارة التجارة الأمريكية في 21 يوليو 2000 تصدير البيانات الشخصية من مدير البيانات الخاضع لقوانين الخصوصية في الاتحاد الأوروبي إلى وجهة مقرها في الولايات المتحدة. قبل أن يتم تصدير البينات الشخصية عن كيان يخضع لقوانين خصوصية الاتحاد الأوسط إلى وجهة تخضع للقانون الأمريكي، يجب على الكيان الأوروبي ضمان أن يقدم الكيان المقبل ضمانات كافية لحماية هذه البيانات من عدد من الحوادث الخاطئة. طريقة واحدة لتحقيق هذا الالتزام هي مطالبة الكيان المستلم بالانضمام إلى ميناء الآمن، من خلال مطالبة الكانة بالتحقق من أنفسها من الامتثال لما يسمى بمبادئ ميناء الآمان. إذا تم اختيار هذا الطريق، يجب على مدير معالجة البيانات المصدر للبيانات التحقق من أن وجهة الولايات المتحدة موجودة بالفعل في قائمة الميناء الآمن (انظر قائمة المیناء الآمن)
- تستخدم وزارة الأمن الداخلي الأمريكية أيضًا تقييم تأثير الخصوصية (PIA) كأداة لاتخاذ القرارات لتحديد وتخفيف مخاطر انتهاكات الخصوصية. ^[24]
قانون ساربانز-أوكسلي
(فيزما)
إدارة المخاطر في الأمن السيبراني للاتحاد الأوروبي، والاستراتيجية، والحوكمة، وكشف الحوادث ^[25]

مع تطور التشريعات، أصبح هناك تركيز متزايد على ضرورة توفير "أمن معقول" لإدارة المعلومات. تنص قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) على أن "مصنعي الأجهزة المتصلة يجب أن يزودوا الجهاز بأمان معقول".

أيضًا، يتطلب قانون SHIELD في نيويورك من المنظمات التي تدير معلومات سكان نيويورك "تطوير وتنفيذ وصيانة الضمانات المعقولة لحماية أمن وسرية وسلامة المعلومات الخاصة، بما في ذلك، على سبيل المثال لا الحصر، التخلص من البيانات".

سوف يؤثر هذا المفهوم على كيفية إدارة الشركات لخطط إدارة المخاطر الخاصة بها مع تطور متطلبات الامتثال. يجب على الشركات تعديل استراتيجياتها لضمان الالتزام بالقوانين الجديدة وضمان حماية المعلومات بشكل فعال.

منظمات المعايير والمقاييس

هيئات المعايير الدولية:
- المنظمة الدولية للمعايير – ISO
- مجلس معايير أمن صناعة بطاقات الدفع
- منتدى أمن المعلومات
- المجموعة المفتوحة
هيئات المعايير في الولايات المتحدة:
- المعهد الوطني للمعايير والتكنولوجيا – NIST
- معايير معالجة المعلومات الفيدرالية – FIPS من NIST المخصصة للحكومة الفيدرالية والوكالات
هيئات المعايير في المملكة المتحدة
- المعهد البريطاني للمعايير

وصف مختصر للمعايير

تعتمد القائمة بشكل أساسي على: ^[23]

BS 25999-1:2006 – إدارة استمرارية الأعمال

الجزء 1: مدونة الممارسات

تاريخ النشر: نوفمبر 2006
ملاحظات: هذا هو الجزء الأول فقط من المعيار، بينما الجزء الثاني لم يُنشر بعد، والذي يُفترض أن يتضمن معايير أكثر تحديدًا لتمكين الاعتماد المحتمل.
الهدف: تقديم مجموعة من قواعد الممارسة لإدارة استمرارية الأعمال.
الأثر المحتمل: بالرغم من حداثة المعيار، إلا أنه قد يؤثر بشكل كبير على ممارسات إدارة المخاطر وتقييمها بسبب نقص المعايير العالمية في هذا المجال وزيادة الاهتمام باستمرارية الأعمال والتخطيط للطوارئ.
التطبيق: يمكن تكامل هذا المعيار مع معايير أخرى مثل PAS 77:2006 المتعلقة بإدارة استمرارية خدمة تكنولوجيا المعلومات.

BS 7799-3:2006 – أنظمة إدارة أمن المعلومات

إرشادات لإدارة مخاطر أمن المعلومات

المرجع: BSI
الموضوع: يحتوي المعيار على المبادئ التوجيهية العامة لإدارة مخاطر أمن المعلومات.
النطاق: هذا المعيار غير متاح للعامة ويمكن تنفيذه طوعًا، على الرغم من أن النص ليس ملزمًا قانونًا.
الإرشادات: يقدم المعيار توجيهات مباشرة لإنشاء ممارسات أمن المعلومات السليمة، وغالبًا ما يُستخدم كمستند تكملي لإجراءات تطبيق ISO 27001:2005، مما يعزز تقييم المخاطر.

هذه المعايير تمثل خطوات مهمة نحو تعزيز ممارسات إدارة المخاطر واستمرارية الأعمال في المؤسسات.

منتدى أمن المعلومات

معيار الممارسات الجيدة لأمن المعلومات

مراجع

^ "What is IT risk? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. اطلع عليه بتاريخ 2021-09-04.
^ "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)
^ "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch (بالإنجليزية الأمريكية). 16 May 2016. Archived from the original on 2018-11-07. Retrieved 2017-10-07.
^ "Information Security Assessment Types". danielmiessler.com (بالإنجليزية الأمريكية). Archived from the original on 2023-04-06. Retrieved 2017-10-07.
^ ^ا ^ب ^ج ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
^ CNSS Instruction No. 4009 نسخة محفوظة 2012-02-27 على موقع واي باك مشين. dated 26 April 2010
^ National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee
^ "https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final". مؤرشف من الأصل في 2023-03-22. {{استشهاد ويب}}: روابط خارجية في |عنوان= (مساعدة)
^ "https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final". {{استشهاد ويب}}: روابط خارجية في |عنوان= (مساعدة)
^ ^ا ^ب NIST SP 800-30 Risk Management Guide for Information Technology Systems
^ FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems نسخة محفوظة 2023-08-18 at archive.md
^ FAIR: Factor Analysis for Information Risks نسخة محفوظة 2014-11-18 على موقع واي باك مشين.
^ Technical Standard Risk Taxonomy (ردمك 1-931624-77-1) Document Number: C081 Published by The Open Group, January 2009.
^ Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (بالإنجليزية). Threat Sketch, LLC. ISBN:9780692944158.
^ "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.
^ "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.
^ "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.
^ "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.
^ "OWASP Risk Rating Methodology". مؤرشف من الأصل في 2013-04-15. اطلع عليه بتاريخ 2016-05-23.
^ "OWASP Risk Rating Methodology". مؤرشف من الأصل في 2013-04-15. اطلع عليه بتاريخ 2016-05-23."OWASP Risk Rating Methodology". Retrieved 23 May 2016.
^ Keller, Nicole (12 Nov 2013). "Cybersecurity Framework". NIST (بالإنجليزية). Archived from the original on 2023-04-19. Retrieved 2017-10-07.
^ Arnold، Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. مؤرشف من الأصل في 2021-04-14. اطلع عليه بتاريخ 2018-02-14.
^ ^ا ^ب Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice نسخة محفوظة 2011-07-23 على موقع واي باك مشين. Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007
^ "Privacy Impact Assessments". Department of Homeland Security (بالإنجليزية). 6 Jul 2009. Retrieved 2020-12-12.
^ "Securities and Exchange Commission (SEC)" (PDF). Securities and Exchange Commission (SEC). مؤرشف من الأصل (PDF) في 2023-07-31.

روابط خارجية

[1] "What is IT risk? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk. اطلع عليه بتاريخ 2021-09-04.

[2] "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007)

[3] "3 Types Of Cybersecurity Assessments – Threat Sketch". Threat Sketch (بالإنجليزية الأمريكية). 16 May 2016. Archived from the original on 2018-11-07. Retrieved 2017-10-07.

[4] "Information Security Assessment Types". danielmiessler.com (بالإنجليزية الأمريكية). Archived from the original on 2023-04-06. Retrieved 2017-10-07.

[ISO27005-5] ا ^ب ^ج ISO/IEC, "Information technology – Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008

[CNSSI4009-6] CNSS Instruction No. 4009 نسخة محفوظة 2012-02-27 على موقع واي باك مشين. dated 26 April 2010

[7] National Information Assurance Certification and Accreditation Process (NIACAP) by National Security Telecommunications and Information Systems Security Committee

[8] "https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final". مؤرشف من الأصل في 2023-03-22. {{استشهاد ويب}}: روابط خارجية في |عنوان= (مساعدة)

[9] "https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final". {{استشهاد ويب}}: روابط خارجية في |عنوان= (مساعدة)

[SP80030-10] ا ^ب NIST SP 800-30 Risk Management Guide for Information Technology Systems

[11] FIPS Publication 200 Minimum Security Requirements for Federal Information and Information Systems نسخة محفوظة 2023-08-18 at archive.md

[riskmanagementinsight.com-12] FAIR: Factor Analysis for Information Risks نسخة محفوظة 2014-11-18 على موقع واي باك مشين.

[13] Technical Standard Risk Taxonomy (ردمك 1-931624-77-1) Document Number: C081 Published by The Open Group, January 2009.

[14] Arnold, Rob (2017). Cybersecurity: A Business Solution: An executive perspective on managing cyber risk (بالإنجليزية). Threat Sketch, LLC. ISBN:9780692944158.

[15] "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.

[16] "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.

[ENISA_Glossary_Impact-17] "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.

[ENISA_Glossary_Consequence-18] "Glossary". مؤرشف من الأصل في 2012-02-29. اطلع عليه بتاريخ 2016-05-23.

[OWASP-19] "OWASP Risk Rating Methodology". مؤرشف من الأصل في 2013-04-15. اطلع عليه بتاريخ 2016-05-23.

[مولد_تلقائيا1-20] "OWASP Risk Rating Methodology". مؤرشف من الأصل في 2013-04-15. اطلع عليه بتاريخ 2016-05-23."OWASP Risk Rating Methodology". Retrieved 23 May 2016.

[21] Keller, Nicole (12 Nov 2013). "Cybersecurity Framework". NIST (بالإنجليزية). Archived from the original on 2023-04-19. Retrieved 2017-10-07.

[22] Arnold، Rob. "A 10 Minute Guide to the NIST Cybersecurity Framework". Threat Sketch. مؤرشف من الأصل في 2021-04-14. اطلع عليه بتاريخ 2018-02-14.

[ENISALAW-23] ا ^ب Risk Management / Risk Assessment in European regulation, international guidelines and codes of practice نسخة محفوظة 2011-07-23 على موقع واي باك مشين. Conducted by the Technical Department of ENISA Section Risk Management in cooperation with: Prof. J. Dumortier and Hans Graux www.lawfort.be June 2007

[24] "Privacy Impact Assessments". Department of Homeland Security (بالإنجليزية). 6 Jul 2009. Retrieved 2020-12-12.

[25] "Securities and Exchange Commission (SEC)" (PDF). Securities and Exchange Commission (SEC). مؤرشف من الأصل (PDF) في 2023-07-31.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]