آشنایی با ISMS
اسلاید 1: 1
اسلاید 2: آشنايي با ISMSارائه دهنده : محمد رضا جبه داریدی ماه 13882
اسلاید 3: ISMS چيست؟سيستم مديريت امنيت اطلاعات يا Information Security Management System سيستمي براي پياده سازي کنترل هاي امنيتي مي باشد که با برقراري زيرساخت هاي مورد نياز ايمني اطلاعات را تضمين مي نمايد. مدل PDCA ساختاري است که در پياده سازي ISMS بکار برده مي شود و ISMS زيربناي BS7799 مي باشد . BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي کند . براي داشتن سازماني با برنامه و ايده آل ، هدفمند کردن اين تلاش ها براي رسيدن به حداکثر ايمني امري است که بايد مدنظر قرار گيرد . استاندارد BS7799 راهکاري است که اطلاعات سازمان و شرکت را دسته بندي و ارزش گذاري کرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127 کنترل مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي کامپيوتري و اطلاعات سرور ها بلکه کليه موارد حتي نگهبان سازمان يا شرکت رادر نظر خواهد گرفت . 3
اسلاید 4: آيا امنيت 100% امکانپذير است؟ با پيشرفت علوم کامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشکل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نکات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟فوائد استاندارد BS7799 و لزوم پياده سازي : استاندارد BS7799 قالبي مطمئن براي داشتن يک سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است : - اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها - اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها - قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات - ايجاد اطمينان نزد مشتريان و شرکاي تجاري - امکان رقابت بهتر با ساير شرکت ها - ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات )نبايدبخاطر مشکلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان ساخت( 4
اسلاید 5: مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS) ايجاد و تعريف سياست ها : در اين مرحله ايجاد سياستهاي کلي سازمان مدنظر قراردارد. روالها از درون فعاليت شرکت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شرکت ارائه مي شود. مديران کليدي و کارشناسان برنامه ريز نقش کليدي در گردآوري اين سند خواهند داشت . تعيين محدوده عملياتي : يک سازمان ممکن است داراي چندين زيرمجموعه و شاخه هاي کاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات کاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد . Scope مي تواند ساختمان مرکزي يک سازمان يا بخش اداري و يا حتي سايت کامپيوتري سازمان باشد. بنابراين قدم اول تعيين Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي کنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد که مرحله به مرحله اجرا خواهند شد 5
اسلاید 6: برآورد دارايي ها و طبقه بندي آنها : براي اينکه بتوان کنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال کرد ابتدا نياز به تعيين دارايي ها مي باشد. در واقع ابتدا بايد تعيين کرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست کليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد . ارزيابي خطرات : با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام کنيد. پس از تعيين کليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد . مديريت خطرات : مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد . انتخاب کنترل مناسب : استاندارد BS7799 داراي 10 گروه کنترلي مي باشد که هرگروه شامل چندين کنترل زيرمجموعه است بنابراين در کل 127 کنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت يا سازمان شما پتانسيل پياده سازي کنترل هاي مذکور را خواهد داشت . 6
اسلاید 7: اين ده گروه کنترلي عبارتند از : 1- سياستهاي امنيتي 2- امنيت سازمان 3- کنترل و طبقه بندي دارايي ها 4- امنيت فردي 5- امنيت فيزيکي 6- مديريت ارتباط ها 7- کنترل دسترسي ها 8- روشها و روالهاي نگهداري و بهبود اطلاعات 9- مديريت تداوم کار سازمان 10- سازگاري با موارد قانوني تعيين قابليت اجرا : جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول کنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از کليه کنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص کردن کنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شرکت خودرا براي اخذ استاندارد BS7799 آماده خواهيد ساخت . نتيجه آنکه براي رسيدن به يک قالب درست امنيتي ناچار به استفاده از روال هاي صحيح کاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000 انتخابي درست براي رسيدن به اين منظور مي باشد7
اسلاید 8: اهميت امنيت در زندگي روزمره : آرامش در زندگي بدون امنيت امکانپذير نيست . اهميت امنيت در سيستم هاي اطلاعاتي : بدون اطمينان از امن بودن سيستم هاي اطلاعاتي اعتماد به آنها محال است مگر براي افراد نا آگاه .8
اسلاید 9: ISO (سازمان بين المللي استاندارد سازي) و IEC (كميسيون بين المللي الكتروتكنيك) در كنار هم سيستم تخصصي استاندارد سازي جهاني را تشكيل داده اند که بالاترين مرجع استانداردسازي ISMS است .مرجع استاندارد ISMS 9
اسلاید 10: ISO و IEC در زمينه فنــاوري اطلاعات ، يك كميته فني مشترك را تاسيس نموده اند كه به آن ISO/IEC JTC 1 گفته مي شود .----------------انتشار استاندارد به صورت استاندارد بين المللي مستلزم تاييد از سوي حداقل 75% از آراء هيات ها و سازمان هاي ملي مي باشد.10
اسلاید 11: هدف از تدوين استانداردهاي ISMS : هدف از تهيه اين استاندارد بين المللي ، ارائه مدلي است كه بر اساس آن بتوان يك سيستم مديريت امنيت اطلاعات يا همان ISMS را ايجاد ، اجرا ، بهره برداري ، پايش ، بازنگري ، نگهداري و بهبود و ارتقاء بخشيد . 11
اسلاید 12: رويکرد فرآيندي : به كاربرد سيستم فرآيندها در يك سازمان و شناسايي و تعامل اين فرآيندها و مديريت آنها رويكرد فرآيندي گفته مي شود و استاندارد هاي مطرح ISMS مبتني بر رويکرد فرآيندي است . 12
اسلاید 13: در استاندارد ISO27001 از مدل PDCA استفاده مي شود13
اسلاید 14: Plan ـ ISMS را برنامه ريزی کن سياست و خط مشی ISMS ، اهداف ، فرآيندها و رويه های متناسب با مديريت خطر و بهبود امنيت اطلاعات را تعيين نماييد و نتايج را بر اساس سياست ها و اهداف کلی سازمان ها تبيين نماييد . 14
اسلاید 15: Do ـ انجام بده (ISMS را پياده نموده و از آن بهره برداری کن) سياست ISMS ، کنترل ها ، فرآيندها و رويه ها را پياده نموده و از آنها بهره برداری کن . 15
اسلاید 16: Check ـ کنترل کن ( ISMS را پايش کرده و مورد بازنگری قرار بده )اجرای فرآيند را بر اساس سياست ISMS ، اهداف و تجربه عملی مورد ارزشيابی و در صورت امکان مورد سنجش قرار بده و نتايج را جهت بازنگری در اختيار مديريت قرار بده . 16
اسلاید 17: Act ـ رفتار کن ( ISMS را نگهداری نموده و آنرا بهبود ببخش ) بر اساس نتايج مميزی داخلی ISMS و بازنگری مديريتي يا ساير اطلاعات مربوطه ، اقدامات اصلاحی يا پيشگيرانه را اتخاذ نماييد تا بهبود مستمر ISMS محقق گردد . 17
اسلاید 18: دامنه كاربرد : ISO27001 تمام سازمان ها ( دولتي و غير دولتي ) را شامل می گردد و الزامات مربوط به ايجاد ، پياده سازی ، بهره برداری ، پايش ، بازنگری ، نگهداری و بهبود يک ISMS مستند سازی شده در قالب ريسک های کلی سازمان را تعيين و تصريح می نمايد . 18
اسلاید 19: ISMS ، انتخاب کنترل های امنيتی کافی و متناسب را تضمين می نمايد و با استفاده از همين کنترل های امنيتی ، دارايي های اطلاعاتی سازمان ها را محافظت نموده و به طرفين ذينفع اطمينان خاطر مي دهد. 19
اسلاید 20: ISMS بخشي از سيستم مديريت به شمار مي رود . يادآوري : سيستم مديريت ، ساختار سازماني ، سياست ها، خط مشي ها ، فعاليت هاي برنامه ريزي ، مسئوليت ها ، رويه ها و فرآيندها را شامل مي شود . 20
اسلاید 21: طراحي و مستند سازي ISMS : الف ) با مشخص نمودن دامنه بايد حدود و ثغور سيستم مديريت امنيت اطلاعات را بر حسب مشخصات فعاليت سازمان ، مكان آن ، دارايي ها و توجيهات مربوط به هر يك از حذفيات از دامنه را تعريف و تعيين نمائيد. Plan21
اسلاید 22: ب ) بر اساس سياست و خط مشي سيستم مديريت امنيت اطلاعات بر حسب مشحصات فعاليت هاي سازمان دارايي ها را تعريف و تعيين نماييد.Plan22
اسلاید 23: پ ) متدولوژي ارزشيابي خطر كه از هر حيث مناسب با امنيت اطلاعات سازماني و الزامات قانوني باشد را تعيين کنيد. Plan23
اسلاید 24: ت ) خطرات را تعيين و مشخص نماييد : دارايي ها ي اطلاعاتي را مشخص کنيد. عوامل تهديد كننده دارايي ها را تعيين نمائيد. نقاط آسيب پذير كه ممكن است از سوي عوامل تهديد كننده مورد استفاده قرار گيرند را تعيين و مشخص کنيد. تاثيرات از بين رفتن محرمانگي ، تماميت و در دسترس بودن بر دارايي ها را مشخص نمائيد. Plan24
اسلاید 25: ث ) نتيجه تهديدات و آسيب پذيري هاي جاري و تاثيرات آن بر دارايي ها و اقدامات كنترلي كه در حال حاضر انجام مي شوند را مورد ارزشيابي قرار داده، سطوح خطر را برآورد نماييد. Plan25
اسلاید 26: ج ) راهكارهاي مربوط به اتخاذ تدابير لازم جهت رفع خطرات را تعيين و مورد ارزشيابي قرار دهيد. Plan26
اسلاید 27: چ ) مجوز مديريت را براي اجرا و بهره برداري از سيستم مديريت امنيت اطلاعات دريافت نماييد. ح ) تاييديه خطرات باقيمانده پيشنهادي را از مديريت اخذ نماييد. Plan27
اسلاید 28: خ ) گزارش كاربرد پذيري را تهيه و تنظيم نماييد. موارد ذيل بايد در گزارش كاربرد پذيري لحاظ گردد : 1 ) اهداف و اقدامات كنترلي انتخاب شده و دلايل انتخاب آنها . 2 ) اهداف و اقدامات كنترلي كه در حال حاضر اجرا مي شوند . 3 ) ذكر دلايل توجيهي براي حذف هر يك از اهداف اقدامات كنترلي . 28
اسلاید 29: اجرا و بهره برداري از سيستم مديريت امنيت اطلاعات : الف ) سازمان ملزم است تا برنامه مقابله با خطر را تدوين نمايد و در آن برنامه اقدامات مديريت ، منابع ، مسئوليت ها و اولويت هاي مديريت خطرات امنيت اطلاعات را تعيين و مشخص نمايد. Do29
اسلاید 30: ب ) سازمان بايد به منظور دستيابي به اهداف كنترلي تعيين شده ، برنامه مقابله با خطرات را به مورد اجرا بگذارد و منابع مالي لازم و نقش ها و مسئوليت ها را در آن لحاظ نمايد. پ ) سازمان بايد به منظور تامين اهداف كنترلي ، اقدامات كنترلي انتخاب شده را به مورد اجرا بگذارد. ت ) سازمان بايد نحوه اندازه گيري كارآمدي اقدامات كنترلي يا مجموعه اقدامات كنترلي را تعيين نمايد.Do30
اسلاید 31: ث ) سازمان بايد برنامه هاي آموزش و آگاه سازي را اجرا نمايد . ج ) سازمان بايد بهره برداري از سيستم مديريت امنيت اطلاعات را مديريت نمايد .چ ) سازمان بايد امكان شناسايي فوري رويدادهاي امنيتي و نشان دادن واكنش به حادثه هاي امنيتي را فراهم کند . Do31
اسلاید 32: پايش و بازنگري سيستم مديريت امنيت اطلاعات : الف ) سازمان بايد رويه هاي پايش و بازنگري را اجرا نمايد تا به اين ترتيب امكان انجام به موقع اقدامات زير برايش فراهم گردد : 1 ) اشتباهات بوجود آمده در نتايج پردازش را به موقع شناسايي نمايد. Check32
اسلاید 33: 2 ) هر گونه حوادث و ساير اقدامات ديگر در جهت نقض امنيت را به موقع شناسايي كند. 3 ) اطمينان حاصل نمايد كه آيا اقدامات اتخاذ شده جهت حل و فصل مشكل نقض امنيت كارآمد و موثر هستند يا خير. Check33
اسلاید 34: ب ) سازمان بايد اثربخشي ISMS را در فواصل زماني برنامه ريزي شده بازنگري نمايد . پ ) سازمان بايد ارزشيابي هاي خطر را در فواصل زماني برنامه ريزي شده مورد بازنگري قرار دهد وخطرات باقيمانده و سطوح قابل پذيرش خطر را مورد بازنگري قرار دهد . ت ) سازمان بايد مميزي هاي داخلي سيستم مديريت امنيت اطلاعات را در فواصل زماني برنامه ريزي شده انجام دهد . Check34
اسلاید 35: ث ) سازمان ملزم خواهد بود تا بازنگري مديريتي ISMS را در فواصل زماني برنامه ريزي شده انجام دهد تا به اين ترتيب از كفايت دامنه و پيشرفت هاي بدست آمده در فرآيندهاي سيستم مديريت امنيت اطلاعات اطمينان حاصل نمايد . Check35
اسلاید 36: ج ) سازمان ملزم خواهد بود تا با توجه به نتايج حاصل از فعاليت هاي انجام شده در زمينه پايش و بازنگري ، برنامه هاي امنيتي را ارتقاء دهد. چ ) سازمان ملزم خواهد بود تا اقدامات و رويدادهايي كه به نحوي از انحاء بر اثر بخشي يا اجراي سيستم مديريت امنيت اطلاعات تاثير گذار هستند را ثبت و ضبط نمايد. Check36
اسلاید 37: نگهداري و ارتقاي سيستم مديريت امنيت اطلاعات : الف ) سازمان ملزم خواهد بود تا اصلاحات تعيين شده در فاز Check را اجرا نمايد . ب ) سازمان بايد اقدامات اصلاحي و پيشگيرانه مناسب را اتخاذ نمايد و آنچه را كه از تجربيات ساير سازمان ها فرا گرفته است بكار بندد . Act37
اسلاید 38: پ ) سازمان بايد اقدامات و اصلاحات را با ذکر جزئيات در اختيار تمام طرفين ذينفع قرار دهد. ت ) سازمان بايد اطمينان حاصل نمايد كه اصلاحات مورد نظر، اهداف مورد نظر را محقق خواهد نمود. Act38
اسلاید 39: دلايل انجام مميزي هاي داخلي ISMS : الف ) حصول اطمينان از رعايت الزامات استاندارد بين المللي حاضر و قوانين و مقررات مربوط به آن ؛ ب) حصول اطمينان از اجرا و نگهداري اثر بخش ؛ 39
اسلاید 40: الزامات مميزي داخلي ISMS : 1- زمان بندي از قبل تعيين شده داشته باشد . 2- حوزه هايي كه بايد مورد مميزي قرار گيرند، مشخص شود . 3- نتايج مميزي هاي قبلي در آن لحاظ شود . 4- معيارها ، دامنه ، تعداد و روش هاي مميزي بايد تعيين شود.5- انتخاب مميزها و اجراي مميزي ها بايد بگونه اي انجام شود كه واقع بيني و بي غرض بودن فرآيند مميزي را تضمين نمايد. نکته بسيار مهم : مميزها مجاز به مميزي كارهاي خود نخواهند بود.40
اسلاید 41: بازنگري مديريت :ورودي ها : الف ) نتايج مميزي هاي و بازنگري ها ؛ ب ) بازخورد از سوي طرفين ذينفع ؛ پ ) تكنيك ها و خروجي ها ي بهبود اجرا و اثر بخشي؛ت ) وضعيت اقدامات پيشگيرانه يا اصلاحي؛41
اسلاید 42: ث ) نقاط آسيب پذير يا تهديد كه در ارزشيابي خطر قبلي به نحو مقتضي مورد توجه قرار نگرفته اند ؛ ج ) نتايج حاصل از اندازه گيري هاي اثربخشي ؛ح ) اقدامات پيگيرانه از بازنگري هاي قبلي مديريت ؛ خ ) هرگونه تغييراتي كه مي تواند بر سيستم مديريت امنيت اطلاعات تاثير گذار باشند ؛چ ) توصيه ها و پيشنهادات در جهت بهبود. 42
اسلاید 43: خروجي ها : خروجي بازنگري بايد متضمن اقدامات مرتبط با موارد ذيل باشد : الف ) بهبود اثربخشي سيستم مديريت امنيت اطلاعات .ب ) روزآمد سازي ارزشيابي خطر و برنامه مقابله با خطر. پ ) اصلاح رويه ها و اقدامات كنترلي و نظارتي تاثير گذار بر امنيت اطلاعات . ت ) رفع نيازمندي هاي منابع . ث ) بهبود نحوه اندازه گيري اثربخشي اقدامات نظارتي.43
اسلاید 44: سرفصل هاي ISO27001 : َA.5 خط مشي امنيت A.6 ساختار امنيت اطلاعاتA.7 مديريت دارايي ها A.8 امنيت منابع انساني A.9 امنيت فيزيکي و پيراموني A.10 مديريت ارتباطات و عمليات A.11 کنترل ورود A.12 اکتساب، توسعه و نگهداري سيستم هاي اطلاعاتي َA.13 مديريت حادثه امنيت اطلاعاتيA.14 مديريت تداوم کاري A.15 انطباق 44
اسلاید 45: امنيت منابع انساني : 1- قبل از استخدام1-1 نقش ها و مسئوليت ها : نقش ها و مسئوليت هاي امنيتي كاركنان ، پيمانكاران و كاربران ثالث بايد بر اساس سياست امنيت اطلاعات سازمان تعريف و مستند سازي شود.45
اسلاید 46: 46
اسلاید 47: 1-3 شرايط و ضوابط استخدام مسئوليت هاي كاركنان ، پيمانكاران و كاربران ثالث و سازمان در قبال امنيت اطلاعات بايد صراحتاً در قرارداد استخدامي آنان تصريح گردد. 47
اسلاید 48: 2- در خلال استخدام :برگزاري دوره هاي آموزشي و آگاه سازي درباره امنيت اطلاعات : كليه كاركنان سازمان و بر حسب مورد پيمانكاران و كاربران ثالث ملزم خواهند بود تا دوره هاي آموزشي و آگاه سازي در خصوص سياست ها و رويه هاي سازمان را بر حسب نوع شغل شان طي نمايند. 48
اسلاید 49: 3- فسخ قرارداد استخدامي يا تغيير شغل : 3-1 مسئوليت هاي فسخ : مسئوليت ها در قبال اجراي فسخ استخدام يا تغيير آن بايد به صراحت تعيين و واگذار گردد. 3-2 عودت دارايي ها : كليه كاركنان ، پيمانكاران و اشخاص ثالث ملزم خواهند بود تا به محض فسخ استخدام ، قرارداد يا موافقت نامه خود ، نسبت به عودت دارايي هاي سازمان كه در اختيارشان قرار داشته است اقدام نمايند. 49
اسلاید 50: 3-3 حذف حقوق دسترسي : حق دسترسي كليه كاركنان ، پيمانكاران و كاربران ثالث به اطلاعات و مراكز پردازش اطلاعات بايد به محض فسخ استخدام ، قرارداد يا موافقت نامه حذف شده و يا به محض هر گونه تغيير ، مورد تعديل قرار گيرد.50
اسلاید 51: فرآيند تنبيهي : در مورد آندسته از كاركناني كه مرتكب نقض امنيت مي شوند ، وجود يك فرآيند تنبيهي الزامي است . 51
نقد و بررسی ها
هیچ نظری برای این پاورپوینت نوشته نشده است.