هذه المقالة يتيمة. ساعد بإضافة وصلة إليها في مقالة متعلقة بها
يرجى إضافة وصلات داخلية للمقالات المتعلّقة بموضوع المقالة.

نموذج تقييم المخاطر

من ويكيبيديا، الموسوعة الحرة
اذهب إلى التنقل اذهب إلى البحث

نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)‏هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت[1]، وقد تخلى عنها منشئوه.  يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.

الفئات هي:[عدل]

  • ما مدى سوء الهجوم؟
  • قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
  • القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
  • المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
  • قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟

عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10.  يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.[2]

النقاش حول قابلية الاكتشاف[عدل]

يشعر بعض خبراء الأمان أن تضمين عنصر "الاكتشاف" باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض ، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D "DREAD ناقص D" (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.[3][4]

المراجع[عدل]

  1. ^ "نموذج تقييم المخاطر في مايكروسوفت" (PDF)، مؤرشف من الأصل (PDF) في 8 مارس 2022.
  2. ^ "Security/OSSA-Metrics - OpenStack"، wiki.openstack.org، مؤرشف من الأصل في 11 أبريل 2022، اطلع عليه بتاريخ 12 مايو 2022.
  3. ^ "Security/OSSA-Metrics - OpenStack"، wiki.openstack.org، مؤرشف من الأصل في 11 أبريل 2022، اطلع عليه بتاريخ 12 مايو 2022.
  4. ^ "Threat Modeling | OWASP Foundation"، owasp.org (باللغة الإنجليزية)، مؤرشف من الأصل في 28 أبريل 2022، اطلع عليه بتاريخ 12 مايو 2022.