هذه المقالة يتيمة. ساعد بإضافة وصلة إليها في مقالة متعلقة بها
يرجى إضافة وصلات داخلية للمقالات المتعلّقة بموضوع المقالة.

نموذج تقييم المخاطر

من أرابيكا، الموسوعة الحرة
اذهب إلى التنقل اذهب إلى البحث

نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)‏هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت[1]، وقد تخلى عنها منشئوه.  يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.

الفئات هي

  • ما مدى سوء الهجوم؟
  • قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
  • القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
  • المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
  • قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟

عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10.  يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.[2]

النقاش حول قابلية الاكتشاف

يشعر بعض خبراء الأمان أن تضمين عنصر «الاكتشاف» باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D «DREAD ناقص D» (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.[3][4]

المراجع

  1. ^ "نموذج تقييم المخاطر في مايكروسوفت" (PDF). مؤرشف من الأصل (PDF) في 2022-03-08.
  2. ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
  3. ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
  4. ^ "Threat Modeling | OWASP Foundation". owasp.org (بEnglish). Archived from the original on 2022-04-28. Retrieved 2022-05-12.
أيقونة بذرة

هذه بذرة مقالة بحاجة للتوسيع. فضلًا شارك في تحريرها.

مجلوبة من «https://3rabica.org/index.php?title=نموذج_تقييم_المخاطر&oldid=3427776»