چکیده:
بررسی عوامل و تشخیص نوع تهدید و مخاطرات احتمالی داراییهای مهم در زمان بروز حوادث از کلیدیترین اقدامات کاهش آسیبپذیری با رویکرد پدافند غیرعامل است. از اینرو، جهت تدوین محتملترین سناریو به منظور پیشگیری و یا کاهش آسیبپذیری و پیامد نیازمند تدوین شاخصهای جامع و تکنیک تحلیل ریسک هستیم. در مدلهای ارایهشده کنونی، کلیه مراحل تحلیل ریسک بهصورت خطی بوده درحالیکه میتواند نقطه ضعف عمدهای در فرآیند ارزیابی بهشمار آید بدین صورت که بهعنوان مثال در مرحله غربالگری داراییها، دارایی که فاقد ارزش بالایی به لحاظ دارایی شناسی باشد، حذف شده اما درحالیکه پتانسیل بالایی برای آسیبپذیری بزرگی در سامانه میباشد در واقع با توجه به ماهیت خطیبودن مدلها، دارایی در مرحله اول حذف شده و مانع ارزیابی در مراحل بعدی (ارزیابی آسیبپذیری) میشود. با توجه به ضعف مدلهای خطی جهت تعیین الویت در آسیبپذیری سه سایت هستهای از مدل فرآیند تحلیل شبکه استفاده شده است. روش تحقیق پژوهش حاضر برمبنای هدف از نوع توسعهای بوده و از بعد ماهیت، توصیفی که از منابع کتابخانهای و نقطه نظرات نخبگان جهت بررسی مدلهای ارایهشده استفاده شده است. در نهایت، ضمن تبیین شاخص، به تشریح مدل فرایند تحلیل شبکه به منظور ارزیابی نهایی ریسک پرداخته شده است که بیشترین ریسک به ترتیب مربوط به سایتهای A, B ,C میباشد.
خلاصه ماشینی:
در مدلهای ارایهشده کنونی، کلیه مراحل تحلیل ریسک بهصورت خطی بوده درحالیکه میتواند نقطه ضعف عمدهای در فرآیند ارزیابی بهشمار آید بدین صورت که بهعنوان مثال در مرحله غربالگری داراییها، دارایی که فاقد ارزش بالایی به لحاظ دارایی شناسی باشد، حذف شده اما درحالیکه پتانسیل بالایی برای آسیبپذیری بزرگی در سامانه میباشد در واقع با توجه به ماهیت خطیبودن مدلها، دارایی در مرحله اول حذف شده و مانع ارزیابی در مراحل بعدی (ارزیابی آسیبپذیری) میشود.
بهطورکلی روش RAMCAP مشتمل بر هفت گام زیر میباشد: ]6[ - توصیف مشخصات داراییها و انتخاب آنها - توصیف مشخصات تهدیدات مبتنی بر وضعیت جاری - تحلیل پیامدها (ملاحظه هزینههای مالی، تلفات و آسیبها) - تحلیل آسیبپذیریها (تعیین نقاط ضعف موجود در مقابل یک تهدید) - ارزیابی تهدیدات براساس ارزیابی قابلیتها و نیات دشمن - ارزیابی ریسک (یک ارزیابی جامع و سیستماتیک از کلیه سناریوهای تهدیدات محتمل در هر دارایی) - مدیریت ریسک (فرآیند فهم ریسک و تصمیمگیری به منظور پیادهسازی عملیات کاهش سطح ریسک به یک مقدار قابل قبول) 6-1-5- روش ارزیابی آسیبپذیری امنیتی SVA یکی دیگر از روشهایی که با هدف ارزیابی و مدیریت ریسک برای حفاظت از تجهیزات حیاتی صنعت نفت و صنایع وابسته به آن توسعه یافته است و از سوی موسسه API ایالات متحده منتشر گردیده، SVA نام دارد.
جدول (4): روشهای ارزیابی ریسک امنیتی (رجوع شود به تصویر صفحه) 7- روش ارزیابی ریسک پیشنهادی پس از بررسی و مطالعه مدلهای ریسک ذکرشده، فاکتورهای ارزیابی و شناسایی دارایی، تهدیدات، آسیبپذیری و درنهایت، پیامد ناشی از تهدید مورد بررسی قرار گرفته است.
مدل کلی پیشنهادی این پژوهش به شکل ذیل می باشد: (رجوع شود به تصویر صفحه) شکل (3): مقایسه مدلهای ارزیابی ریسک (خطی و شبکهای) با توجه به مدل ارایهشده فوق در مرحله اول دارایی و زیرساختهای مهم هر صنعت با استفاده از معیارهای سنجش دارایی، غربالگری شده و بهعنوان متغییر مستقل جزء ثابت ارزیابی میباشد.