نموذج تقييم المخاطر

نموذج تقييم المخاطر (بالإنجليزية: risk assessment model)‏هو جزء من نظام لتقييم مخاطر تهديدات أمان الكمبيوتر المستخدمة سابقًا في مايكروسوفت[1]، وقد تخلى عنها منشئوه.  يوفر ذاكرة للتهديدات الأمنية لتصنيف المخاطر باستخدام خمس فئات.

الفئات هي

  • ما مدى سوء الهجوم؟
  • قابلية تكرار النتائج - ما مدى سهولة إعادة إنتاج الهجوم؟
  • القابلية للاستغلال - ما مقدار العمل المطلوب لشن الهجوم؟
  • المستخدمون المصابون - كم عدد الأشخاص الذين سيتأثرون؟
  • قابلية التغطية - ما مدى سهولة اكتشاف التهديد؟

عندما يتم تقييم تهديد معين باستخدام نموذج تقييم المخاطر، يتم منح كل فئة تصنيفًا من 1 إلى 10.  يمكن استخدام مجموع كل التصنيفات لقضية معينة لتحديد الأولويات بين القضايا المختلفة.[2]

النقاش حول قابلية الاكتشاف

يشعر بعض خبراء الأمان أن تضمين عنصر «الاكتشاف» باعتباره العنصر D الأخير يكافئ الأمان من خلال الغموض، لذلك انتقلت بعض المؤسسات إلى مقياس DREAD-D «DREAD ناقص D» (الذي يحذف قابلية الاكتشاف) أو تفترض دائمًا أن قابلية الاكتشاف في حدودها أقصى تقييم.[3][4]

المراجع

  1. ^ "نموذج تقييم المخاطر في مايكروسوفت" (PDF). مؤرشف من الأصل (PDF) في 2022-03-08.
  2. ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
  3. ^ "Security/OSSA-Metrics - OpenStack". wiki.openstack.org. مؤرشف من الأصل في 2022-04-11. اطلع عليه بتاريخ 2022-05-12.
  4. ^ "Threat Modeling | OWASP Foundation". owasp.org (بEnglish). Archived from the original on 2022-04-28. Retrieved 2022-05-12.