نموذج تقييم المخاطر
نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت[1]، وقد تخلى عنها منشئوه. يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.
الفئات هي
عدل- ما مدى سوء الهجوم؟
- قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
- القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
- المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
- قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟
عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10. يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.[2]
النقاش حول قابلية الاكتشاف
عدليشعر بعض خبراء الأمان أن تضمين عنصر «الاكتشاف» باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D «DREAD ناقص D» (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.[3][4]
المراجع
عدل- ^ "نموذج تقييم المخاطر في مايكروسوفت" (PDF). مؤرشف من الأصل (PDF) في 2022-03-08.
- ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
- ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
- ^ "Threat Modeling | OWASP Foundation". owasp.org (بالإنجليزية). Archived from the original on 2022-04-28. Retrieved 2022-05-12.