نموذج تقييم المخاطر

نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)‏هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت^[1]، وقد تخلى عنها منشئوه. يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.

الفئات هي عدل

ما مدى سوء الهجوم؟
قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟

عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10. يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.^[2]

النقاش حول قابلية الاكتشاف عدل

يشعر بعض خبراء الأمان أن تضمين عنصر «الاكتشاف» باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D «DREAD ناقص D» (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.^[3]^[4]

المراجع عدل

^ "نموذج تقييم المخاطر في مايكروسوفت" (PDF). مؤرشف من الأصل (PDF) في 2022-03-08.
^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
^ "Threat Modeling | OWASP Foundation". owasp.org (بالإنجليزية). Archived from the original on 2022-04-28. Retrieved 2022-05-12.

بوابة أمن المعلومات

هذه بذرة مقالة بحاجة للتوسيع. فضلًا شارك في تحريرها.

[1] "نموذج تقييم المخاطر في مايكروسوفت" (PDF). مؤرشف من الأصل (PDF) في 2022-03-08.

[2] "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.

[3] "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.

[4] "Threat Modeling | OWASP Foundation". owasp.org (بالإنجليزية). Archived from the original on 2022-04-28. Retrieved 2022-05-12.

[1]

[2]

[3]

[4]