استانداردهای امنیت‌

استانداردهای امنیت‌

اسلاید 1: 1 استانداردهای امنیت‌ارائه کننده:فاطمه واعظی 871113037

اسلاید 2: 2اهمیت امنیت اطلاعاتاشاره : امنیت از دیرباز یكی از اجزای اصلی زیرساخت‌های فناوری اطلاعات به شمار می‌رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الكترونیكی نیستند، بلكه هر شبكه باید از نظر فیزیكی نیز ایمن گردد. خطرات الكترونیكی غالباً شامل تهدیدات هكرها و نفوذگران خارجی و داخلی در شبكه‌ها می باشند. در حالی كه امنیت فیزیكی شامل كنترل ورود و خروج پرسنل به سایت‌های شبكه و همچنین روال‌های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه‌های فوق، علاوه بر ایمن‌سازی سخت‌افزاری شبكه، نیاز به تدوین سیاست‌های امنیتی در حوزه فناوری اطلاعات در یك سازمان نیز می باشد. در این راستا لازم است از روال‌های استانداردی استفاده شود كه به واسطه آن‌ها بتوان ساختار یك سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS7799 كه در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یك سازمان می پردازد. .

اسلاید 3: آشنائي با مراحل طي شده در زمينه امنيت اطلاعات 3امنيت اطلاعات داراي مراحل مختلفي بوده که در بازه هاي زماني متفاوت اين مراحل با ديدگاههاي خاص خودشان طي گرديده است. اولين مرحله که تا اوايل دهه 80 ميلادي بطول انجاميد، امنيت را فقط با ديدگاه فني مشاهده مي نمود وبرقراري آن را منوط به امنيت کامپيوتر و دستگاههاي جانبي مي دانستند اما با گذشت زمان متوجه شدند که بيشتر تجاوزات امنيتي از طريق مسائلي همچون ضعف هاي مديريتي (از لحاظ امنيتي) و عوامل انساني (بدليل نديدن آموزش هاي امنيتي پرسنل سازمان مربوطه) مي باشد لذا از اواسط دهه 80 ميلادي که تا اواسط دهه 90 ميلادي هم بطول انجاميد، بحث مديريت امنيت اطلاعات مطرح شد که در آن امنيت اطلاعات را منوط به خطي مشي امنيت اطلاعات و ساختارهاي سازماني مي دانستند اما در اواسط دهه 90 ميلادي اين مرحله تکميل تر گرديد که آميزه اي از دو مرحله قبلي و پارامترهاي ديگري همچون تعريف استراتژيهاي امنيتي و خطي مشي هاي امنيتي بر اساس نيازهاي اصلي سازمان و مديريت آن مي باشد. اين مرحله شامل مولفه هائي نظير استانداردسازي امنيت اطلاعات، گواهينامه هاي بين المللي، فرهنگ سازي امنيت اطلاعات در سازمان و پياده سازي معيارهاي ارزيابي دائمي و پوياي امنيت اطلاعات مي باشد. لازم به ذکر مي باشد که اين مرحله هنوز ادامه دارد و در حال تکميل شدن مي‌باشد.

اسلاید 4: استانداردهاي امنيت قابل تقسيم به دو گروه اصلي مي باشند که گروه اول در رابطه با امنيت از لحاظ فني، و گروه دوم در رابطه با امنيت از لحظ مديريتي است. استانداردهاي امنيتي فني در زمينه هائي نظير امضاء ديجيتال، رمزنگاري کليد عمومي، رمزنگاري متقارن، توابع درهم ساز، توابع رمزنگاري احراز اصالت پيام و غيره کاربرد دارند. گروه دوم که استانداردهاي امنيتي مديريتي مي باشند، قسمت هاي مختلف مديريت سازمان را در بر مي گيرند. در حال حاضر مجموعه اي ا استانداردهاي مديريتي و فني امنيت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 (نسخه جديد آن ISO/IEC 27001 مي باشد) و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد، از برجسته ترين استانداردها و راهنماهاي فني محسوب مي گردند . در اين استانداردها، نکات زير مورد توجه قرار گرفته است: تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيتجزئيات مراحل ايمن سازي و تکنيکهاي فني مورد استفاده در هر مرحلهليست و محتواي طرحها و برنامه هاي امنيت اطلاعات مورد نياز سازمانضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيتکنترل هاي امنيتي موردنياز براي هر يک از سيستم هاي اطلاعاتي و ارتباطي4چگونگي روند رو به رشد استاندارد های امنیت

اسلاید 5: استاندارد BS7799 اولين استاندارد مديريت امنيت است که توسط موسسه استاندارد انگليس ارائه شده است. نسخه اول اين استاندارد (BS7799-1) در سال 1995 و در يک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گرديد. و نسخه دوم آن (BS7799-2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گرديد. هدف از تدوين اين استاندارد ارائه پيشنهاداتي در زمينه مديريت امنيت اطلاعات براي کساني است که مسئول طراحي، پياده سازي يا پشتيباني مسائل امنيتي در يک سازمان مي باشند. اين استاندارد متشکل از 35 هدف امنيتي و 127 اقدام بازدارنده براي تامين اهداف تعيين شده مي‌باشد که جزئيات و چگونگي‌ها را مطرح نمي کند بلکه سرفصل‌ها و موضوعات کلي را بيان مي کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوين اين استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد ويا نياز به کنترلهاي بيشتري باشد که اين استاندارد، آنها را پوشش نداده است.5استانداردBS7799

اسلاید 6: در سال 2000 ميلادي بخش اول استاندارد BS7799-2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گرديد. وشامل سر فصل هاي ذيل است:تدوين سياست امنيتي سازمانتشکيلات امنيتيطبقه بندي سرمايه ها و تعيين کنترلهاي لازمامنيت پرسنليامنيت فيزيکي و پيرامونيمديريت ارتباطات و بهره برداريکنترل دسترسيتوسعه و پشتيباني سيستم هامديريت تداوم فعاليتسازگاري6استانداردBS7799

اسلاید 7: اين استاندارد مجددا در سال 2002 ميلادي بازنويسي و منتشر گرديد. در سال 2005 دوباره اين استاندارد بازنويسي و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در يک سند انتشاريافت. اين نسخه متشکل از 39 هدف امنيتي و 134 اقدام بازدارنده است. تغييراتي که اين استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از:الف- افزايش يافتن يک فصل جديد و تغييير نمودن بعضي از فصول گذشتهب- تغيير وحذف شدن بعضي از کنترلهاي قديمي و اضافه شدن 17 کنترل جديدج- افزايش تعداد کنترل‌ها به 134عدد7استاندارد BS7799

اسلاید 8: استاندارد BS7799نحوه عملكرد استاندارد BS 7799 در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصل‌هایی برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده است كه عبارتند از: ‌● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‌ ● جزییات مراحل ایمن سازی و تكنیك‌های فنی مورد استفاده در هر مرحله‌ ● لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان‌ ● ضرورت و جزییات ایجاد تشكیلات سیاستگذاری، اجرایی و فنی تامین امنیت‌ ● كنترل‌های امنیتی مورد نیاز برای هر یك از سیستم های اطلاعاتی و ارتباطی‌ ● تعریف سیاست‌های امنیت اطلاعات‌ ● تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان ● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‌ ● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست‌های امنیتی تدوین شده‌ ● انتخاب هدف‌های كنترل و كنترل‌های مناسب كه قابل توجیه باشند، از لیست كنترل‌های همه جانبه ● تدوین دستور‌العمل های عملیاتی‌8

اسلاید 9: استاندارد BS7799مدیریت امنیت شبكه‌ به منظور تعیین اهداف امنیت، ابتدا باید سرمایه‌های مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایه‌ها، مشخص شود.‌سرمایه‌های مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرم‌افزار، اطلاعات، ارتباطات، كاربران. اهداف امنیتی سازمان‌ها باید به صورت كوتاه‌مدت و میان‌مدت تعیین گردد تا امكان تغییر آن‌ها متناسب با تغییرات تكنولوژی‌ها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پیاده‌سازی امنیت در یك سازمان عبارتند از:  - جلوگیری از حملات و دسترسی‌های غیرمجاز علیه سرمایه های شبكه‌  - مهار خسارت‌های ناشی از ناامنی موجود در شبكه‌  - كاهش رخنه پذیری‌9

اسلاید 10: استاندارد BS7799اهداف میان‌مدت نیز عمدتاً عبارتند از:  - تامین صحت عملكرد، قابلیت دسترسی برای نرم‌افزارها و سخت‌افزارها و محافظت فیزیكی صرفاً برای  سخت افزارها  - تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آن‌ها از حیث محرمانگی و حساسیت‌  - تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهی‌رسانی امنیتی برای   كاربران شبكه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع كاربران‌10

اسلاید 11: استاندارد BS7799 استاندارد BS7799 دارای 10 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است بنابراین در كل 127 كنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه كنترلی عبارتند از : 1- تدوين سياست امنيتي سازمان: در اين قسمت، به ضرورت تدوين و انتشار سياست هاي امنيتي اطلاعات و ار تباطات سازمان ، بنحوي كه كليه مخاطبين سياست ها در جريان جزئيات آن قرار گيرند، تاكيد شده است . همچنين جزئيات و نحوه نگارش سياست هاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است. 2- ايجاد تشكيلات تامين امنيت سازمان:در اين قسمت، ضمن تشريح ضرورت ايجاد تشكيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشكيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليت هاي هر يك از سطوح، ارائه شده است.-3 دسته بندي سرمايه ها و تعيين كنترل هاي لازم :در اين قسمت، ضمن تشريح ضرورت دسته بندي اطلاعات سازمان، به جزئ يات تدوين راهنماي دسته بندي اطلاعات سازمان پرداخته و محورهاي دسته بندي اطلاعات را ارائه نموده است.. ن 11

اسلاید 12: استاندارد BS7799  -4 امنيت پرسنلي :در اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بكارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي ازمسئوليت هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شدهاست.5 امنيت فيزيكي و پيراموني :در اين قسمت، اهميت و ابعاد امنيت فيزيكي، جزئيات محافظت از تجهيزات و كنترلهاي موردنياز براي اين منظور، ارائه شده است.6 مديريت ارتباطات :در اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هريك از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم ها، محافظت درمقابل نرم افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان گيري ازاطلاعات، مديريت شبك ه، محافظت از رسانه ها و روالها و مسئوليت هاي مربوط بهدرخواست، تحويل، تست و ساير موارد تغيير نرم افزارها ارائه شده است.12

اسلاید 13: استاندارد BS7799  -7 كنترل دسترسي :در اين قسمت، نيازمنديهاي كنترل دسترسي، نحوه مديريت دسترسي پرسنل،مسئوليت هاي كاربران، ابزارها و مكانيزم هاي كنترل دسترسي در شبكه، كنترل دسترسي در سيستم عاملها و نرم افزارهاي كاربردي، استفاده از سيستم هاي مانيتورينگ و كنترل دسترسي در ارتباط از راه دور به شبكه ارائه شده است.-8 نگهداري و توسعه سيستم ها:در اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستم ها، امنيت د ر سيستم هاي كاربردي، كنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنيازدر توسعه و پشتيباني سيستم ها، ارائه شده است.13

اسلاید 14: استاندارد BS7799  -9 مديريت تداوم فعاليت سازمان :در اين قسمت، رويه هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدو ين طرح هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرح هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.-10 پاسخگوئي به نيازهاي امنيتي :در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست هاي امنيتي موردنياز و ابزارها و مكانيزم هاي بازرسي امنيتي سيستم ها، ارائه شده است.14

اسلاید 15: استاندارد BS7799تهدیدهای امنیتی تهدیدهای بالقوه برای امنیت شبكه‌های كامپیوتری به صورت عمده عبارتند از: ● فاش شدن غیرمجاز اطلاعات در نتیجه استراق‌سمع داده‌ها یا پیام‌های در حال مبادله روی شبكه‌ ● قطع ارتباط و اختلال در شبكه به واسطه یك اقدام خرابكارانه‌ ● تغییر و دستكاری غیر مجاز اطلاعات یا یك پیغام ارسال‌شده برای جلوگیری از این صدمات باید سرویس‌های امنیتی زیر در شبكه‌های كامپیوتری ارائه شود و زمانی كه یكی از سرویس‌های امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای كشف و جلوگیری رخنه در نظر گرفته شود: ● محرمانه ماندن اطلاعات‌ ● احراز هویت فرستنده پیغام‌ ● سلامت داده‌ها در طی انتقال یا نگهداری‌ ● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد. ● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختلال در دسترسی‌ 15

اسلاید 16: استاندارد BS7799 قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:   - اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها - اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها - قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات  - ایجاد اطمینان نزد مشتریان و شركای تجاری  - امكان رقابت بهتر با سایر شركت ها - ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات - بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید  16فوائد استاندارد BS7799 و لزوم پیاده سازی

اسلاید 17: ISO/IEC17799 استاندارددر حال حاضر، مجموعه‌اي از استانداردهاي مديريتي و فني ايمن‌سازي فضاي تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد از برجسته‌ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي‌گردند. در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:1-      تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان2-      جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله3-      ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان4-      ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان5-      کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان17

اسلاید 18: استاندارد ISO 27001 (نسخه به روز BS7799) یا به عبارتی همان استاندارد ISO/IEC 17799 می باشد ،نكته قابل اشاره در این زمینه همسانی این استاندارد با استاندارد ISO9000 می‌باشد. قسمت سوم استاندارد BS7799 در حقیقت توسعه سیستم ISMS می‌باشد. درست مانند تغییرات ایجاد شده در استاندارد ISO9004.استاندارد ISO 27001 استانداردی یکپارچه می باشد که در قسمت بعد از این ارائه به توضیح کامل بندهای آن می پردازیم .18استاندارد ايزو 27001

اسلاید 19: 19سازمان بين المللي استاندارد(ISO) international organization for standardizationمحل آن دركشور سوئيس شهر ژنونحت پوشش سازمان ملل ياصندوق بين المللي پول نيستسازماني مستقل واعضاي آن از146كشور تشكيل شده استوظيفه آن تدوين استاندارد مي باشد فعاليتهاي مميزي وصدور گواهينامه راانجام نمي دهدباتوجه به نيازهاي جهاني تغيير مي كند.

اسلاید 20: 20تولداستانداردمديريت امنیت اطلاعات استاندارد ISO/IEC 27001توسط کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات ،زیر کمیته SC 27 ،فنون امنیتی فناوری اطلاعات )تهیه شده است ودرسال 2005 موردبازنگري قرارگرفت

اسلاید 21: 21مزاياي استقرار استاندارد ايزو 27001  - اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها - اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها - قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات  ایجاد اطمینان نزد مشتریان و شركای تجاری  

اسلاید 22: 22مزاياي استقرار استاندارد ايزو 27001 (ادامه)- امكان رقابت بهتر با سایر شركت ها ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعاتبخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

اسلاید 23: 23DoCheckPlanActعملكردزمان خط بهبود مستمربهبود مستمر

اسلاید 24: 4-الزامات سيستم مديريت امنیت اطلاعات Information security management system requirements

اسلاید 25: 254-1-الزامات كلي سازمان بايد يك سيستم مديريت امنیت اطلاعات رامطابق باالزامات اين استاندارد بين المللي درچارچوب تمامی فعالیتهای کلان کسب وکار سازمان ومخاطراتی که با آن مواجه است ايجاد، مستند ،مستقرونگهداري نمايدوبطورمستمربهبوددهدوچگونگي تحقق اين الزامات رانيز مشخص نمايد

اسلاید 26: 26 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMSسازمان باید موارد زیر را انجام دهد : الف) :سازمان بايد دامنه كاربرد ومرزهای سيستم امنیت اطلاعات خودرا بر مبنای ویژگیهای کسب وکار ،سازمان ،مکان ،دارائی ها و فناوری آن تعريف ومدون نمايد و مشتمل برجزئیات وتوجیه برای کناره گذاری هر چیزی از دامنه ب ) مديريت رده بالا بايد خط مشی سيستم امنیت اطلاعات بر مبنای ویژگی های کسب و کار ،سازمان ،مکان ،دارائی ها و فناوری آن تعريف که:.

اسلاید 27: 271) مشتمل بر چارچوبی برای تعیین اهداف وایجاد یک درک کلان از مسیر و مبانی برای اقدام با توجه به امنیت اطلاعات .2) در بر گیرنده کسب وکار ،الزامات قانونی یا آیین نامه و تعهدات امنیتی قراردادی باشد. 3):با مفاد مدیریت مخاطرات راهبردی سازمان که درایجاد و نگهداری سيستم مدیریت امنیت اطلاعات لحاظ خواهد شد ،هماهنگ شود .4) معیاری ایجاد کند که مطابق آن مخاطرات ارزیابی خواهند شد .5) توسط مدیریت تصویب شود4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 28: ج ) تعریف رویکرد برآورد سازی مخاطرات سازمان 1)شناسایی یک متدولوژی بر آورد مخاطرات متناسب 2)ایجاد معیاری برای پذیرش مخاطرات وشناسایی سطوح قابل قبول د )شناسایی مخاطرات 1)شناسایی دارائی های واقع دردامنه سیستم 2)شناسایی تهدیدهای بالقوه وبالفعل متوجه دارائی ها 3)شناسایی آسیبهای بالقوه و بالفعل حاصل از تهدیدها 4)شناسایی آسیبهای حاصل از عدم رعایت امنیت ،محرمانگی ،یکپارچگی 284-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 29: ه)تحلیل و ارزیابی مخاطرات :1)برآورد تاثیرات کسب وکارکه حاصل ازعدم رعایت سیستم امنیت اطلاعات2)برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ،با در نظر گرفتن تهدیدها و آسیبهای امنیتی 3)تخمین سطوح مخاطرات 4)مقایسه این مخاطرات با معیارهای پذیرش وتعیین اینکه درحد قابل قبول هستند یا نیاز به اقدام اصلاحی 294-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 30: و):شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات:1)به کار گیری کنترلهای مناسب2)پذیرش مخاطرات به صورت آگاهانه وهدفمند3)اجتناب از مخاطرات4)انتقال مخاطرات کسب و کاربه طرف های دیگر ز):گزینش اهداف کنترلی و کنترل هایی به منظور برطرف سازی مخاطرات:ح)دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهادی304-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 31: ط)دریافت مجوز مدیریت برای پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات ی)تهیه بیانیه کاربست که شامل موارد زیر باشد: 1-اهداف کنترلی برگزیده و دلایل انتخاب آنها2-اهداف کنترلی وکنترلهایی که در حال حاضرپیاده سازی شده اند 3)کناره گذاری هریک از اهداف کنترلی وتوجیه کناره گذاری آنها 314-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 32: 4-2-2-پیاده سازی واجرای سیستم مدیریت امنیت اطلاعاتسازمان باید موارد زیر را انجام دهد:الف )قاعده مند کردن یک طرح برطرف سازس مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت اطلاعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها واولویت ها را شناسایی کندب )پیاده سازی طرح طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده،که دربرگیرنده ملاحظات مالی وتخصیص نقش ها ومسئولیت ها باشدج) پیاده سازی کنترل های برگزیده شده به منظور برآورده سازی اهداف کنترلی 324-2 ایجاد ومدیریت سیستم امنیت اطلاعاتی Estabilishng and mananging the ISMS

اسلاید 33: د)تعریف چگونگی سنجش اثربخشی کنترل ها وارائه نتایج قابل قیاس وتجدید پذیر بعد از تعیین برآورداثربخشی کنترل هایادآوری :اندازه گیری اثربخشی کنترل ها ،به مدیران وکارکنان اجازه می دهد تا تعیین کند که کنترل ها،تاچه اندازه اهداف کنترلی طرح ریزی شده را حاصل می نمایند.ه)پیاده سازی برنامه های آموزشی وآگاه سازی و)مدیریت عملیات سیستم مدیریت امنیت اطلاعاتز)مدیریت منابع برای سیستم مدیریت امنیت اطلاعات ح)پیاده سازی روش های اجرایی ودیگرکنترل هایی که قادر به توانمند ساختن آشکارسازی سریع وقایع امنیتی وپاسخ دهی به حوادث امنیتی باشد .334-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 34: 4-2-3-پایش وبازنگری سیستم مدیریت امنیت اطلاعات سازمان باید موارد زیر را انجام دهد:الف )اجرای روش های اجرایی پایش و دیگر کنترل ها به منظور:1)تشخیص سریع خطاها در نتایج پردازش ها 2)شناسایی سریع نقص هاوحوادث امنیتی موفق ونا تمام 3)قادر ساختن مدیریت به اطمینان اجرای فعالیتها آنگونه که انتظارمی رود4)کمک درتشخیص وقایع امنیتی واز آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از نشانگرها 5)تعیین اثربخشی اقدامات صورت گرفته برای رفع نقایص امنیتی 344-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 35: ب) تعهدبازنگری قاعده منداثربخشی سیستم مدیریت امنیت اطلاعات با توجه به نتایج ممیزیهای امنیتی ، نتایج انداره گیریهای اثر بخشی ، حوادث ، پیشنهادها و بازخوردهای تمامی طرفهای ذینفع ج ) سنجش اثربخشی کنترلها بمنظورتصدیق اینکه الزامات امنیتی براورده شده اندد) بازنگری براوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و شناسایی سطح قابل قبول مخاطرات با توجه به تغییرات در :1)سازمان فناوری (2354-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 36: 4-2-4-نگهداری وبهبود سیستم مدیریت امنیت اطلاعاتسازمان بایستی به صورت منظم موارد ذیل راانجام دهد:الف)پیاده سازی بهبودهای شناسایی شده درسیستم مدیریت امنیت اطلاعاتب)انجام اقدامات اصلاحی وپیشگیرانه مناسب ج) انتقال اطلاعات مربوط به اقدامات وبهبودها،به تمامی طرفهای ذینفع وتوافق در مورد چگونگی ادامه کارد)اطمینان از اینکه بهبودها،اهداف موردنظرشان را حاصل می کنند. 364-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 37: 3)اهداف و فرایندهای کسب و کار 4)تهدیدهای شناسایی شده 5)اثربخشی کنترل های پیاده سازی شده6)رویدادهای برونی همانند تغییرات در فضای قانونی یا آیین نامه ای و شرایط اجتماعی وتغییر در تعهدات قراردادی ه)انجام ممیزی های داخلی سیستم مدیریت امنیت اطلاعات درفواصل زمانی طرح ریزی شده و)تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطلاعاتز)بروزرسانی طرحهای امنیتی باتوجه به نتایج پایش وبازنگریح)ثبت اقدامات ووقایع اثربخش وکارا بر سیستم مدیریت امنیت 374-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید 38: 4-3- الزامات مستند سازی4-3-Doucumentation requirements

اسلاید 39: 4-2 الزامات مستند سازی 4-3-Doucumentation requirements 394-3-1-کلیات :مستندسازی باید شامل سوابق تصمیمات مدیریتی بوده،اطمینان دهد که اقدامات قابل ردیابی می باشدمهم است که بتوان ارتباط بین کنترل های انتخاب شده ونتایج حاصل ازبرآورد مخاطرات وفرایند برطرف سازی مخاطرات ومتعاقبا ارتباط با اهداف وخط مشی سیستم مدیریت امنیت اطلاعات را نشان داد.مستندات سیستم مدیریت امنیت اطلاعات باید شامل موارد ذیل باشد :

اسلاید 40: الف)بیانه مدون شده خط مشی سیستم مدیریت امنیت اطلاعات واهداف ب)دامنه سیستم مدیریت اطلاعاتج)روش های اجرایی وکنترلهایی در پیشنهادی از سیستم مدیریت اطلاعاتد)تشریح متدولوژی برآورد مخاطرات ه)گزارش برآورد مخاطرات و)طرح برطرف سازی مخاطرات ز)روش های اجرایی مدون شده مورد نیاز سازمانح)سوابقی که توسط این استاندارد الزام شده است ط)بیانیه کاربست40 4-3الزامات مستند سازی 4-3-Doucumentation requirements

اسلاید 41: 4-3-2-کنترل مستنداتمدارک از نظر موارد زير بايد تحت کنترل باشد:تصويب مدارک از نظر کفايت قبل از صدور بازنگري و بروز کردن مدارک بر حسب نياز و تصويب مجدد آنها مشخص کردن تغييرات و ويرايش کنوني مدارک در دسترس بودن مدارک در مکانهايي که لازم استمدارک بايد خوانا و قابل شناسايي باشندتحت کنترل قرار دادن مدارک برون سازماني پيشگيري از استفاده سهوي از مدارک منسوخ شده مدارک گردآوری شده به هر دلیلی به نحو مناسبی مورد شناسایی قرار گیرند 41 3-4 الزامات مستند سازی 4-3-Doucumentation requirements

اسلاید 42: 4-3-3- کنترل سوابقسوابق بايد ایجاد ونگهداری شده تا شواهد انطباق با الزامات واجرای موثر سیستم فراهم گردد : خواناقابل شناسايي و دستيابي تحت کنترل از نظر شناسايي، بايگاني و ذخيره، حفاظت، دستيابي، تعيين مدت زمان نگهداري و تعيين و تکليف 42 3-4 الزامات مستند سازی 4-3-Doucumentation requirements

اسلاید 43: 5- مسئولیت مدیریت1-5-تعهد مدیریت 2-5-مدیریت منابع43

اسلاید 44: ارائه شواهدي دال بر تعهد مديريت ارشد سازمان از طريق:الف )ارائه اطلاعات لازم به سازمان درباره اهمیت برآوردسازی اهداف امنیت اطلاعات امنیت اطلاعات وتطابق با خط مشی امنیت اطلاعات ب )تعيين و برقرار کردن خط مشي مدیریت ج )ایجاد نقش ها و مسئولیت ها برای امنیت اطلاعات اينکه اهداف کيفيت تعيين شده اند د )حصول اطمينان ازامنیت اطلاعات ه )انجام بازنگري هاي مديريتو)تصمیم گیری درباره معیاری برای پذیرش مخاطرات وسطوح قابل قبول خاطرات ز)حصول اطمينان از در دسترس بودن منابعح )حصول اطمینان ازانجام ممیزی داخلی سیستم مدیریت امنیت اطلاعات 44 5-1 –تعهد مدبربت 1-5-Management commitment

اسلاید 45: -1-2-5-فراهم آوری منابع منابع مورد نياز براي موارد زير بايد فراهم گردد:به اجرا درآوردن سيستم مديريت امنیت اطلاعات و برقرار نگهداشتن آن و بهبود مستمر اثر بخشي آن شناسایی ونشاندهی الزامات قانونی و آیین نامه ای وتعهدات امنیتی قراردادینگهداری امنیت در سطح مناسب انجام بازنگری در صورت لزوم و واکنش مناسب به این نتایجحصول اطمینان از اینکه روش های اجرایی امنیت اطلاعات الزامات کسب و کار را پوشش دهد45 2-5 –مدیریت منابع 2-5- Resource Management

اسلاید 46: 2-2-5-آموزش ،آگاه سازی وصلاحیت سازمان باید در راستای اهداف آموزشی سازمان تعيين صلاحیت های مورد نياز کارکنان موثر بر سیستم مدیریت امنیت اطلاعات فراهم آوردن آموزش هاي مورد نياز آنها ارزيابي اثر بخشي آموزش هاي ارائه شده آگاهي کارکنان از اهميت فعاليت هاي خود در جهت رسيدن به اهداف کيفي تعيين شده درسیستم مدیریت امنیت اطلاعات نگهداري سوابق آموزشی46 2-5 –مدیریت منابع 2-5- Resource Management

اسلاید 47: 6-ممیزی داخلی سیستم مدیریت امنیت اطلاعات 6- Internal ISMS audits47

اسلاید 48: انجام مميزي هاي داخلي براي تعيين آنکه سیستم مدیریت امنیت اطلاعات : با الزامات اين استاندارد ومقررات وقوانین مرتبط انطباق داردبا الزامات شناسایی شده امنیت اطلاعات انطباق دارد بطور موثر اجرا ونگهداری مي شود آنگونه که انتظار می رود ،اجراء می شود برنامه مميزي بر مبناي اهميت ووضعيت واحدهاوفرآيندها صورت مي گيرد فعالیت های پیگیری باید شامل تصدیق اقدامات انجام شده وگزارش دهی نتایج تصدیق باشد48 6 –ممیزی داخلی سیستم مدیریت امنیت اطلاعات 6- Internal ISMS audits

اسلاید 49: 1-7-کلیات بازنگري سيستم مديريت کيفيت توسط مديريت ارشد سازمان در فواصل زماني برنامه ريزي شده جهت اطمينان از تداوم مناسب بودن و کارآيي آن.،این بازنگری ها باید بررسی موقعیتهای بهبود ونیاز به اعمال تغییرات در سیستم مدیریت امنیت اطلاعات را شامل شود نتایج بازنگری مدیریت باید به وضوح مدون شده و سوابق آن نگهداری شوند 49 7 –بازنگری مدیریت سیستم مدیریت امنیت اطلاعات 7- Management review of the ISMS

اسلاید 50: 2-7- ورودي هاي بازنگري نتايج مميزي ها وبازنگری های سیستم مدیریت امنیت اطلاعاتبازخوردهای طرف های ذینفع فنونی که می تواند برای بهبود اثربخشی وکارایی سیستم مورد استفاده قرار می گیردوضعيت اقدامات اصلاحي و پيشگيرانه پيگيري تصميمات جلسات قبليتغييراتي که مي تواند بر سيستم مديريت کيفيت اثر بگذارد توصيه هايي براي بهبود 50 7 –بازنگری مدیریت سیستم مدیریت امنیت اطلاعات 7- Management review of the ISMS

اسلاید 51: 3-7- خروجی هاي بازنگري خروجی هاي بازنگري مدیریت باید دربرگیرنده تمامی تصمیمات و اقدامات مربوط به موارد ذیل باشد:1)بهبود اثر بخشي سيستم مديريت امنیت اطلاعات و فرآيندهاي آن 2)بهبود اینکه چگونه اثربخشی کنترل ها اندازه گیری شده اند 3)نيازهاي مربوط به تامين منابع 4)بروزآوری برآورد مخاطرات و طرح برطرف سازی مخاطرات5)اصلاح روشهای اجرایی که بر امنیت اطلاعات تاثیر گذارند 51 7 –بازنگری مدیریت سیستم مدیریت امنیت اطلاعات 7- Management review of the ISMS

اسلاید 52: 8-بهبود سیستم مدیریت امنیت اطلاعات8 ISMS improvment 52

اسلاید 53: 8-1-بهبود مستمراثر بخشي سيستم مديريت کيفيت از طريق بهره گيري از خط مشي امنیت اطلاعات ، اهداف امنیت اطلاعات ، نتايج مميزي،تجزیه و تحليل رویدادهای پایش شده ، اقدامات اصلاحي و پيشگيرانه و بازنگري مديريت به طور مستمر بهبود یابد53 8–بهبود مستمر سیستم مدیریت امنیت اطلاعات 8 ISMS improvment

اسلاید 54: 2-8-اقدام اصلاحیبراي رفع ريشه هاي عدم انطباق هاي باالفعل بازنگري عدم انطباق تعيين علل عدم انطباق تعيين و انجام اقدامات لازم جهت رفع ريشه هاي خطا و پيشگيري از وقوع مجدد آنها ارزيابي موثر بودن اقدامات اصلاحي و ثبت سوابق بازنگری اقدامات اصلاحی انجام شده 54 8–بهبود مستمر سیستم مدیریت امنیت اطلاعات 8 ISMS improvment

اسلاید 55: 3-8-اقدام پیشگیرانه براي رفع ريشه هاي عدم انطباق هاي بالقوه تعيين عدم انطباقهاي بالقوه و علل آنها ارزيابي نياز به اقدام پيشگيرانه تعيين و انجام اقدام پيشگيرانه ثبت سوابق نتایج اقدامات انجام شده بازنگري اقدامات انجام شده 55 8–بهبود مستمر سیستم مدیریت امنیت اطلاعات 8 ISMS improvment

اسلاید 56: با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:1-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان2-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان3-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان56سيستم مديريت امنيت اطلاعات (ISMS)

اسلاید 57: بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:• اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه• طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه• طرح امنيت فضاي تبادل اطلاعات دستگاه• طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه• برنامة آگاهي رساني امنيتي به پرسنل دستگاه• برنامة آموزش امنيتي پرسنل تشكيلات تامين امنيت فضاي تبادل اطلاعاتدستگاهدر اين بخش، به بررسي مستندات فوق خواهيم پرداخت.57مستندات ISMS

اسلاید 58: اهداف، راهبردها و سياست هاي امنيتي اولين بخش از مستندات دستگاه، شامل اهداف، راهبردها و سياست هاي امنيتي ISMSفضاي تبادل اطلاعات دستگاه مي باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:اهداف امنيت فضاي تبادل اطلاعات دستگاهدر اين بخش از مستندات، ابتدا سرمايه هاي فضاي تبادل اطلاعات دستگاه، در قالب سخت افزارها، نرم افزارها، اطلاعات، ارتباطات، سرويسها و كاربران تفكيك و دسته بندي شده وسپس اهداف كوتاه مدت و ميان مدت تامين امنيت هر يك از سرمايه ها، تعيين خواهد شد.58مستندات ISMS

اسلاید 59: نمونه اي از اين اهداف، عبارتند از:نمونه هائي از اهداف كوتاه مدت امنيت:جلوگيري از حملات و دسترسي هاي غيرمجاز، عليه سرمايه هاي فضاي تبادل ·اطلاعات دستگاه مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات دستگاه ·كاهش رخنه پذيريهاي سرمايه هاي فضاي تبادل اطلاعات دستگاه ·59مستندات ISMS

اسلاید 60: نمونه هائي از اهداف ميان مدت امنيت:تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت افزارها، ·متناسب با حساسيت آنها.تامين صحت عملكرد و قابليت دسترسي براي نرم افزارها، متناسب با حساسيت ·آنها.تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبق هبندي ·اطلاعات از حيث محرمانگي.تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه بندي ·اطلاعات از حيث محرمانگي و حساسيت ارتباطات.تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و ·آگاهي رساني امنيتي براي كاربران شبكه، متناسب با طبقه بندي اطلاعات قابل دسترسو نوع كاربران60مستندات ISMS

اسلاید 61: 61مستندات ISMS راهبردهاي امنيت فضاي تبادل اطلاعات دستگاهراهبردهاي امنيت فضاي تبادل اطلاعات دستگاه، بيانگر اقداماتي است كه به منظور تامين اهداف امنيت دستگاه، بايد انجام گيرد. نمونه اي از راهبردهاي كوتا ه مدت و ميان مدت امنيت فضاي تبادل اطلاعات دستگاه، عبارتند از:نمونه هائي از راهبردهاي كوتاه مدت امنيت:شناسائي و رفع ضعفهاي امنيتي فضاي تبادل اطلاعات دستگاه ·آگاهي رساني به كاربران فضاي تبادل اطلاعات دستگاه ·كنترل و اعمال محدوديت در ارتباطات شبكه داخلي دستگاه ·نمونه هائي از راهبردهاي ميان مدت امنيت:رعايت استانداردهاي مديريت امنيت اطلاعات ·تهيه طرح ها و برنامه هاي امنيتي فضاي تبادل اطلاعات دستگاه، بر اساس استانداردهاي فوقايجاد و آماده سازي تشكيلات تامين امنيت فضاي تبادل اطلاعات دستگاه ·اجراي طرح ها و برنامه هاي امنيتي فضاي تبادل اطلاعات دستگاه

اسلاید 62: 62مستندات ISMS سياست هاي امنيتي فضاي تبادل اطلاعات دستگاهسياست هاي امنيتي فضاي تبادل اطلاعات دستگاه، متناسب با دسته بندي انجام شده روي سرمايه هاي فضاي تبادل اطلاعات دستگاه، عبارتند از:سياست هاي امنيتي سرويس هاي فضاي تبادل اطلاعات دستگاه ·سياست هاي امنيتي سخت افزارهاي فضاي تبادل اطلاعات دستگاه ·سياست هاي امنيتي نرم افزارهاي فضاي تبادل اطلاعات دستگاه ·سياست هاي امنيتي اطلاعات فضاي تبادل اطلاعات دستگاه ·سياست هاي امنيتي ارتباطات فضاي تبادل اطلاعات دستگاه ·سياست هاي امنيتي كاربران فضاي تبادل اطلاعات دستگاه ·

اسلاید 63: 63مستندات ISMS طرح تحليل مخاطرات امنيتيپس از تدوين اهداف ، راهبردها و سياست هاي امنيتي فضاي تبادل اطلاعات دستگاه و قبل ازطراحي امنيت فضاي تبادل اطلاعات، لازم است شناخت دقيقي از مجموعه فضاي تبادل اطلاعات موجود دستگاه بدست آورد. در اين مرحله، ضمن كسب شناخت نسبت به اطلاعات، ارتباطات،تجهيزات، سرويس ها و ساختار شبكه ارتباطي دستگاه، ضعفهاي امنيتي موجود در بخشهايمختلف، شناسائي خواهند شد تا در مراحل بعدي، راهكارهاي لازم به منظور رفع اين ضعفها ومقابله با تهديدها، ارائه شوند. روش تحليل مخاطرات امنيتي، بايد در مجموعه راهبردهاي امنيتي فضاي تبادل اطلاعات دستگاه، مشخص شده باشد.در تحليل مخاطرات امنيتي، به مواردي پرداخته مي شود كه بصورت بالقوه، امكان دسترسي غيرمجاز، نفوذ و حمله كاربران مجاز يا غيرمجاز فضاي تبادل اطلاعات دستگاه، به منابع(سرمايه هاي) فضاي تبادل اطلاعات دستگاه و منابع كاربران اين فضا را فراهم مي نماينددر اين مستند، لازم است مخاطرات امنيتي فضاي تبادل اطلاعات، حداقل در محورهاي معماري شبكه، تجهيزات شبكه، سرويس دهنده هاي شبكه، مديريت و نگهداري شبكه وتشكيلات و روشهاي مديريت امنيت شبكه، بررسي شوند.

اسلاید 64: 64مستندات ISMS معماري شبكه ارتباطيدر اين بخش ، لازم است معماري شبكه ارتباطي دستگاه، حداقل در محورهاي زير موردتجزيه و تحليل قرار گيرد:ساختار شبكه ارتباطي ·ساختار آدرس دهي و مسيريابي ·ساختار دسترسي به شبكه ارتباطي ·تجهيزات شبكه ارتباطيدر اين بخش ، لازم است تجهيزات شبكه ارتباطي دستگاه، حداقل در محورهاي زير موردتجزيه و تحليل قرار گيرد:محافظت فيزيكي ·نسخه و آسيب پذيريهاي نرم افزار ·مديريت محلي و از راه دور ·تصديق هويت، تعيين اختيارات و ثبت عملكرد سيستم، بويژه در دسترسي هاي مديريتيثبت وقايع ·نگهداري و به روزنمودن پيكربندي ·مقابله با حملات عليه خود سيستم، بويژه حملات ممانعت از سرويس

اسلاید 65: 65مستندات ISMS مديريت و نگهداري شبكه ارتباطيدر اين بخش ، لازم است مديريت و نگهداري شبكه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:تشكيلات و روشهاي مديريت و نگهداري شبكه ارتباطي ·ابزارها و مكانيزم هاي مديريت و نگهداري شبكه ارتباطي ·سرويس هاي شبكه ارتباطيدر اين بخش ، لازم است سرويس هاي شبكه ارتباطي دستگاه، حداقل در محورهاي زيرمورد تجزيه و تحليل قرار گيرد:سيستم عامل سرويس دهنده ·سخت افزار سرويس دهنده، بويژه رعايت افزونگي در سطح ماجول و سيستم ·نرم افزار سرويس ·استفاده از ابزارها و مكانيزم هاي امنيتي روي سرويس دهنده ها ·تشكيلات و روشهاي تامين امنيت شبكه ارتباطيدر اين بخش، لازم است تشكيلات و روشهاي امنيت شبكه ارتباطي دستگاه، حداقل درمحورهاي زير مورد تجزيه و تحليل قرار گيرد:طرح ها، برنامه ها و ساير مستندات امنيتي ·تشكيلات امنيت، روالهاي اجرائي و شرح وظايف پرسنل امنيت

اسلاید 66: 66مستندات ISMS طرح امنيتپس از تحليل مخاطرات امنيتي شبكه ارتباطي دستگاه و دسته بندي مخاطرات امنيتي اين شبكه، در طرح امنيت، ابزارها و مكانيز مهاي موردنياز به منظور رفع اين ضعفها و مقابله با تهديدها،رائه مي شوند. در طرح امنيت، لازم است كليه ابزارها ومكانيزم هاي امنيتي موجود، بكار گرفته شوند. نمونه اي از اين ابزارها عبارتند از:-1 سيستم هاي كنترل جريان اطلاعات و تشكيل نواحي امنيتي فايروال ها ساير سيستم هاي تامين امنيت گذرگاه ها ·-2 سيستم هاي تشخيص و مقابله يا تشخيص و پيشگيري از حملات، شامل:سيستم هاي مبتني بر ايستگاه ·سيستم هاي مبتني بر شبكه ·

اسلاید 67: 67-3 سيستم فيلترينگ محتوا(بويژه براي سرويس E-Mail)-4 نرم افزارهاي تشخيص و مقابله با ويروس-5 سيستم هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملكرد كاربران-6 سيستم هاي ثبت و تحليل رويدادنامه ها-7 سيستم هاي رمزنگاري اطلاعات-8 نرم افزارهاي نظارت بر ترافيك شبكه-9 نرم افزارهاي پويشگر امنيتي-10 نرم افزارهاي مديريت امنيت شبكهمستندات ISMS طرح امنيت

اسلاید 68: 68ويژگيهاي اصلي سيستم امنيتي شبكه ارتباطي دستگاه، عبارتند از:چندلايه بودن سيستم امنيتي ·توزيع شده بودن سيستم امنيتي ·تشكيل نواحي امنيتي جهت كنترل دقيق دسترسي به سرويس هاي شبكه ·يكپارچگي مكانيزم هاي امنيتي، بويژه در گذرگاههاي ارتباطي شبكه ·تفكيك زيرساختار مديريت امنيت شبكه ( حداقل بخش اصلي سيستم امنيتي ·شبكه)هاي مختلف، بنحوي كه ضعفهاي Brand انتخاب اجزاء سيستم امنيتي شبكه، از ·امنيتي يكديگر را پوشش داده و مخاطره باقيمانده را كاهش دهندانتخاب محصولاتي كه داراي تائيدي ههاي معتبر، از موسسات ارزيابي بي نالمللي ·مي باشندمستندات ISMS

اسلاید 69: یک نمونه مستندات استاندارد امنیت اطلاعات در این قسمت به بررسی مستندات استاندارد امنیت اطلاعات شرکت طبیعت زنده (سینره)که متناسب با الزامات استاندارد تکمیل شده است می پردازیم .ISO27001:2005 69

اسلاید 70: یک نمونه آیین نامه امنیت اطلاعات لابراتوارهای داروهای گیاهی طبیعت زنده  عنوان سند :آیین نامه امنیت اطلاعاتواحد فناوری اطلاعات و ارتباطات كد سند :QI-WI-07-00 70

اسلاید 71: یک نمونه آیین نامه امنیت اطلاعات فهرست مطالب :الف: وضعيت بازنگريهدفدامنه كاربرد تعاريفمسئوليت‌ها واختياراتروش اجرامستندات مرتبط71

اسلاید 72: یک نمونه آیین نامه امنیت اطلاعات هدفهدف از تدوین این آیین نامه نیا به موارد ذیل می باشد:اطلاعات صرفا توسط افراد مجاز در درون و خارج از سازمان قابل دسترسی باشند.محرمانگی اطلاعات همواره حفظ شود.در کلیه فرایندها یکپارچگی اطلاعات حفظ شود.طرح های استمرار کسب و کار مستقر شده و مورد آزمایش قرار گیرد.تمامی کارمندان آموزشهای لازم را در مورد امنیت اطلاعات دریافت نموده و مطلع شوند که قبول سیاست های امنیتی اجباری است.تمامی رخنه های امنیت اطلاعات و ضعف های احتمالی گزارش داده و به آنها رسیدگی گردد.روش های اجرایی (رویه ها) برای پشتیبانی از سیاست های امنیتی ایجاد گردد. بدیهی است این روش ها شامل شناسایی و مقابله با ویروس ها، مدیریت رمز های عبور و طرح های استمرار می باشد.الزامات کسب و کار برای در دسترس بودن اطلاعات و سیستم های اطلاعاتی می بایست رعایت شوند.نگهداری و پشتیبانی از سیاست های امنیتی در حین پیاده سازی و استقرار بر عهده مدیر امنیت اطلاعات باشد.کلیه مدیران به صورت مستقیم مسئولیت پیاده سازی و عملیاتی شدن سیاستهای امنیتی مربوط به امور خود خواهند بود.این سیاست امنیتی توسط مدیریت ارشد سازمان تایید شده است و می بایست به صورت سالیانه توسط تیم بازنگری مدیریتی مورد بازبینی قرار گیرد. 72

اسلاید 73: یک نمونه آیین نامه امنیت اطلاعات - دامنه کاربرد:کلیه سیستم های کامپیوتری و تجهیزاتی که به شبکه متصل می باشند.  3- تعاریف:Email : پست الکترونیکی جهت انجام مکاتبات داخلی و خارجی شرکتMailbox: محل ذخیره پست الکترونیکی کاربرCC : کپی یا کاربن پست الکترونیکی که جهت پشتیبان گرفتن از Email های ارسالی می باشد.Login: ورود به سیستمLogoff: خروج از سیستمVPN : شبکه مجازی خصوصی که توسط این شبکه می توان با دیگر سایت های مرتبط با شرکت لابراتوارهای گیاهی طبیعت زنده در ارتباط بوده و اطلاعات را جابجا نمود. Clean Desk: قفل نمودن کامپیوتر توسط کاربر به منظور جلوگیری از سوء استفاده از کد کاربری توسط دکمه های (Ctrl+Alt+Del)4- مسئولیتها و اختیارات:مسئولیت اجرای این آیین نامه بر عهده سرپرست IT می باشد. همچنین مسئولیت نظارت برحسن اجرای آن بر عهده نماینده مدیریت در سیستمهای مدیریتی می باشد .  73

اسلاید 74: آیین نامه امنیت اطلاعات سینره5- روش اجرا:5-1- استفاده از پست الکترونیکی5-1-1- استفاده غیر مجاز:سیستم پست الکترونیکی سازمان نباید برای ایجاد و انتشار پیام های خارج از ضوابط و فرهنگ سازمانی بکار رود. کارمندانی که Email‌هایی حاوی چنین مطالبی از آدرس های رسمی سازمان دریافت می‌کنند، می‌بایست بلافاصله موضوع را به مدیریت خود اعلام کنند. 5-1-2-استفاده شخصی:استفاده متعارف از منابع سازمان برای Email‌های شخصی پذیرفتنی است، ولی Email‌ های غیر مرتبط با کار می‌بایست در پوشه جداگانه و جدا از Email‌ های کاری نگهداری شوند. ارسال Email‌های حاوی لطیفه و مطالب تفریحی و همچنین Email ‌های زنجیره‌ای از آدرس Email سازمان مجاز نمی‌باشد. ارسال پیامهای هشدار ویروس‌ها و همچنین ارسال Email‌ ها به صورت انبوه از آدرس سازمان صرفا با تایید مدیریت، مجاز می‌باشد. این محدودیت ها همچنین برای Forward کردن Email‌ هایی که توسط کارمندان سازمان دریافت می‌شوند صادق می‌باشد.74

اسلاید 75: آیین نامه امنیت اطلاعات سینره 5-1-3-نظارت:کارمندان سازمان نباید انتظار داشته باشند که پیامهایی که در سیستم پست الکترونیکی سازمان ذخیره، ارسال و دریافت می‌کنند، در قالب حیطه شخصی آنها تلقی شود و محرمانه باشد. سازمان ممکن است بدون هشدار قبلی به نظارت و بررسی Email‌ ها بپردازد.  5-2-نگهداری پیشینه پست الکترونیکتمامی Email هایی که حاوی اطلاعاتی هستند که در محدوده سیاست نگهداری پیشینه کسب و کار قرار دارند، تحت پوشش قرار می گیرند. تمامی اطلاعات مبادله شده از طریق Email سازمان در چهار گروه طبقه بندی می شوند و دارای خط مشی نگهداری پیشینه می باشند:مکاتبات اداری (4 سال)مکاتبات مالی (4 سال)مکاتبات عمومی (1 سال)مکاتبات روزمره و بی دوام (نگهداری تا زمان خوانده شدن، پس از آن معدوم)75

اسلاید 76: آیین نامه امنیت اطلاعات سینره 5-2-1-مکاتبات اداریمکاتبات اداری سازمان شامل اطلاعات ورود و خروج، تعطیلات، چگونگی پوشش کارکنان، چگونگی رفتار در محیط کار، و هر مورد قانونی نظیر حق مالکیت ایده ها است. تمامی Email های دارای برچسب میزان حساسیت فقط مدیران می بایست به عنوان مکاتبات اداری شناخته شوند. برای اطمینان از نگهداری پیشینه، یک Mailbox با نام office@Tezlabs.com میبایست ایجاد شود، اگر یک کپی (CC) از Email های ارسالی به این آدرس ارسال شود، نگهداری پیشینه توسط دپارتمان فناوری اطلاعات انجام خواهد گرفت. 5-2-2-مکاتبات مالیمکاتبات مالی سازمان تمامی اطلاعاتی هستند که با درآمد و هزینه های سازمان مرتبط می باشند. برای اطمینان از نگهداری پیشینه، یک Mailbox با نام Accounting@Tezlabs.com می بایست ایجاد شود، اگر یک کپی (CC) از Email های ارسالی به این آدرس ارسال شود، نگهداری پیشینه توسط دپارتمان فناوری اطلاعات انجام خواهد گرفت.5-2-3-مکاتبات عمومیمکاتبات عمومی سازمان در بر گیرنده اطلاعات مربوط به ارتباط و تعامل با مشتریان و تصمیم های عملیاتی کسب و کار است. هر کارمند مسئول نگهداری پیشینه مکاتبات عمومی است.76

اسلاید 77: آیین نامه امنیت اطلاعات سینره  5-2-4-مکاتبات روزمره و بی دواممکاتبات روزمره و بی دوام سازمان بزرگترین گروه را تشکیل می دهند که در بر گیرنده Email های شخصی، درخواست ها برای دریافت پیشنهاد و یا نظرات، Email های مرتبط با تولید محصولات، تغییرات و گزارشات وضعیت می باشد. 5-2-5-مکاتبات همزمانمکاتبات عمومی همزمان می تواند با استفاده از قابلیتهای سیستم ارتباطات همزمان (نظیرMicrosoft Office Communicator) انجام و درصورت لزوم کپی آنها در فایل نگهداری شود. گفتگو های اداری و یا مالی می بایست در یک Email کپی و به آدرس نگهداری پیشینه مربوطه ارسال شوند.77

اسلاید 78: آیین نامه امنیت اطلاعات سینره 5-3-اتصال از راه دور به شبکه داخلی از طریق خطوط تلفن (VPN)کلیه کارمندانی که مجوز دسترسی به صورت VPN را دارند مسئول هستند که این مجوز در اختیار افراد متفرقه قرار نگیرد، چرا که میتوانند بدین وسیله به کلیه منابع سیستم دسترسی پیدا کنند. کلیه افرادی که بوسیله VPN به شبکه سازمان دسترسی پیدا میکنند باید به طور کامل از دارایی های اطلاعاتی سازمان محافظت کنند.همچنین کلیه شناسه های کاربری که به مدت 6 هفته استفاده نشده اند باید در سیستم غیر فعال شوند.در خصوص موارد حساس مانند تعدیل یا اخراج نیرو باید از جانب مدیر مربوطه اعلام و به تصویب مدیریت رسیده و از سیستم غیر فعال گردد.5-4-ذخیره سازی اطلاعات بر روی کامپیوتر ها کلیه اطلاعات باید فقط بر روی فضاهای D و Z ذخیره سازی شوند و هیچ اطلاعاتی نباید بر روی My Document و Desktop و Drive C: ذخیره گردد. همچنین بخش IT فقط مسوولیت پشتیبانی از درایو Z را بر عهده دارد.5-5-نگهداری و اداره اطلاعات محرمانهنگهداری و اداره اطلاعات محرمانه سازمان، در هر قالب و فرمتی، اعم از سخت (کاغذی) یا الکترونیکی، را در بر می گیرد. که شامل تمامی نسخه های سخت، بسترهای ذخیره سازی الکترونیکی، سیستم ها و نرم افزارهایی است که توسط کارمندان، اعضاء، مدیران، پیمانکاران، کارمندان پاره وقت و موقتی و دیگر کارمندانی که مجاز به دسترسی به اطلاعات سازمان هستند، مورد استفاده قرار می گیرند. همچنین کاربران تایید شده ای که خارج از شبکه سازمان هستند را نیز در بر می گیرد.78

اسلاید 79: آیین نامه امنیت اطلاعات سینره خط مشی- حمل و نقل اطلاعات می بایست در بسته های قفل شده ای باشد که دارای برچسب مشخصه باشند.- اطلاعاتی که در حال حمل و نقل در بسته های قفل شده هستند، می بایست همراه با کارمندان باشند. اگر حمل و نقل در شبانه روز صورت می گیرد، اطلاعات نباید در خودرو حامل باقی بمانند و باید به اتاق امنی منتقل شوند.- اطلاعات می بایست مطابق با مشخصات اطلاعاتی ، برچسب زده شوند و بسته بندی شوند.- اطلاعات نباید از طریق سیستم هایی که به سازمان تعلق ندارند، مورد استفاده قرار گیرند و یا روی آنها ذخیره شوند، مگر این که مجوز های خاص برای این کار اختصاص یابد.- فکس کردن اطلاعات حساس و محرمانه- ارسال به دستگاه های فکس مطمئن و تحت نظارت- استفاده از کمترین اطلاعات مورد نیاز برای کاهش احتمال خطر افشا- تایید شماره فکس و در صورت امکان استفاده از سرعت شماره گیری برنامه ریزی شده جهت کاهش احتمال شماره گیری اشتباه- استفاده از برگه پوشاننده شامل اطلاعات فرستنده و اطلاعات مرتبط با افشاء- تایید دریافت کننده بوسیله نگهداری و ثبت سوابق فکس ها- تمامی email های سازمانی می بایست از آدرس رسمی سازمان ارسال شوند و نمی بایست از آدرس های شخصی برای این کار استفاده شود.79

اسلاید 80: آیین نامه امنیت اطلاعات سینره خط مشی- تمامی اطلاعات کاغذی، در هنگام عدم استفاده، می بایست در کشو یا میز های قفل دار نگهداری شوند و در صورت عدم نیاز می بایست خرد شوند.- وقتی یک کارمند میزش را برای مدت زمانی ترک می کند، تمامی اسناد حاوی اطلاعات محرمانه می بایست در محل های امن نظیر کشو یا کمد های قفل دار نگهداری شوند. هیچ گونه اطلاعاتی محرمانه ای نمی بایست در محل های باز در طول مدت شب رها شوند.- هرگونه گمان و حدس در مورد بروز نقص در امنیت و محرمانگی اطلاعات می بایست فورا به مسئول مربوطه اطلاع داده شود.- پیمانکاران خارج از سازمان می بایست به خاطر داشته باشند، ایشان نیز تحت همان قوانین امنیت اطلاعاتی هستند که کارمندان درون سازمان از آنها تبعیت می کنند.- اطلاعات، بایگانی ها، فایل ها و نظایر آنها نباید در معرض دید بازدید کنندگان باشد، مگر این که بازدیدکنندگان اختصاصا مجاز به مشاهده اطلاعات باشند.- اطلاعات در هر شکل و فرمتی می بایست در زمانی که دیگر مورد نیاز نیستند، به شیوه ای امن منهدم شوند.- اطلاعات و دانشی که در مدت همکاری با سازمان به دست آمده است، پس از خاتمه همکاری نیز می بایست محافظت شود. نقض محرمانگی احتمالی توسط افراد جدا شده، پیگیری می شود و ممکن است به اقدامات بعدی نظیر اقدامات قانونی بینجامد.80

اسلاید 81: آیین نامه امنیت اطلاعات سینره 5-6-انهدام تجهیزات و استفاده مجدد از آنهاتعیین حداقل استاندارد برای حفاظت در برابر اطلاعات باقی مانده بر روی تجهیزات کامپیوتری پیش از انهدام یا استفاده مجدد که شامل تجهیزات هارد درایو ها، فلاپی دیسک ها، نوارهای مغناطیسی، دیسک های نوری، CD، ZIP Disk میباشد.نرم افزارهای زیادی وجود دارند که می توانند برای بازیابی فایل ها و اطلاعات حذف شده از روی تجهیزات سخت افزاری (Format شده) مورد استفاده قرار گیرند. برای کاهش احتمال خطر انتشار بدون مجوز اطلاعات حساس و محرمانه، میبایست اطلاعات موجود بر روی تجهیزاتی که پیشتر مورد استفاده قرار گرفته اند، به طور امن حذف شوند. پس از این عملیات، بازیابی اطلاعات توسط نرم افزارهای معمولی امکان پذیر نخواهد بود و برای بازیابی می بایست تکنیک های تخصصی به کار گرفته شوند. همچنین برای حذف اطلاعات می توان از روشهایی استفاده نمود که بازیابی توسط تکنیک های تخصصی نیز امکان پذیر نباشد. 81

اسلاید 82: آیین نامه امنیت اطلاعات سینره خط مشی- تمامی اطلاعات سیستم های کامپیوتری و رسانه های مرتبط با آنها که ممکن است حاوی اطلاعات حساس یا محرمانه باشند، می بایست پیش از استفاده مجدد و یا انهدام، پاک شوند.- اطلاعات تمامی بستر های ذخیره سازی اطلاعات سیستمها و قطعاتی که در سازمان مجددا مورد استفاده قرار می گیرند، می باید با یک نرم افزار مورد تایید پاک شوند. دربرخی از موارد باید از سیستمها پیش از استفاده مجدد یک نسخه پشتیبان کامل تهیه شود.- تمامی بستر های ذخیره سازی سیستم ها و تجهیزاتی که مورد استفاده مجدد قرار گرفته، فروخته شده و یا بخشیده می شوند و یا حتی به عنوان وسایل غیر قابل استفاده به بیرون از سازمان منتقل می شوند، لازم است توسط نرم افزار مورد تایید پاک شوند.- تمامی عملیات پاک کردن و یا انهدام تجهیزات می باید با اطلاعات زیر ثبت شوند:- تاریخ و زمان عملیات- نام، عنوان و امضاء کارشناس مربوطه- شرح اقدامات انجام گرفته82

اسلاید 83: آیین نامه امنیت اطلاعات سینره 5-7-میزپاک (Clean Desk)این خط مشی جهت برقراری استانداردهای امنیت فیزیکی ایستگاه های کاری و برای پیشگیری از سرقت ایستگاه های کاری تمامی کارمندان، مدیران، پیمان کاران، کارمندان پاره وقت، کارمندان موقت و دیگر کارکنانی را که مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته شده اند، می باشد. خط مشی- کاربران ایستگاه های کاری نباید هیچ دستگاه جانبی که فاقد تاییدیه واحد IT می باشد را به ایستگاه های کاری متصل کنند.- مانیتورهای ایستگاه های کاری می بایست به گونه ای قرار گیرند که از دیده شدن اطلاعات حساس توسط افراد غیر مجاز جلوگیری شود.- کاربران در هنگام ترک ایستگاه کاری می بایست شخصا از ایستگاه خارج شوند (Logoff کنند) و ایستگاه ها می بایست به صورت خودکار در صورت عدم فعالیت کاربر، قفل شوند (Lock) و یا از محیط خارج شوند (Log off).- ایستگاه های کاری قابل حمل، در زمانهایی که بدون متصدی رها می شوند، صرف نظر از اقدامات امنیتی ساختمان، می بایست به صورت فیزیکی محافظت شوند. این محافظت می تواند به روش قرار دادن در میز ها یا کمدهای دارای قفل باشد- در هنگام سفر، ایستگاه های کاری قابل حمل در هیچ زمان نمی بایست بدون متصدی رها شوند. وقتی که در محیط کار اصلی، محیط کار امن نمی باشند تجهیزات قابل حمل نمی بایست از کارمند جدا شود. این موضوع بخصوص در فرودگاه، اتومبیل، اتاق هتل و رستوران می بایست مورد توجه قرار گیرد.- ایستگاه های کاری به سرقت رفته و یا مفقود شده، یک رخنه امنیتی را به وجود می آورند و باید سریعاً به واحد IT گزارش شوند.83

اسلاید 84: آیین نامه امنیت اطلاعات سینره 5-8- رمز عبوربه منظور برقراری امنیت بیشتر جهت نگهداری از اطلاعات ذخیره شده ی کاربران برای هر کاربر رمز عبور در نظر گرفته می شود و افراد مختلف نباید از رمز های عبور یکدیگر اطلاع داشته باشند.  خط مشی- رمز عبور هرکاربر باید حدوداً هر 6 هفته یکبار تغییر کند.- در هنگام فاش شدن رمز عبور، کاربر باید در سریع ترین زمان ممکن رمز عبور خود را تغییر دهد.- کاربران اجازه ی واگذاری نام کاربری و رمز عبور خود به دیگران را ندارند.- رمز عبور کاربران باید حداقل از 4 حرف تشکیل شده باشد.- در رمز عبور باید حداقل یکی از کاراکترهای %، $ و # و ... وجود داشته باشد.- در رمز عبور نباید از حروف پشت سر هم استفاده شود. مانند mnop- در رمز عبور نباید نشانه ای از نام یا نام خانوادگی فرد وجود داشته باشد.- در هنگام فراموش کردن رمز عبور، بازگرداندن رمز عبور فقط با مجوز کتبی مدیر واحد قابل انجام میباشد.84

اسلاید 85: آیین نامه امنیت اطلاعات سینره 5-9- نسخه پشتیبانبه منظور تعیین راه کارهای استاندارد برای اطمینان از صحت نسخ پشتیبان و جامعیت اطلاعات سازمان می باشد که تمامی نسخ پشتیبان سازمان را دربر میگیرد.خط مشی- نسخه های پشتیبان باید در فواصل زمانی روزانه و به طور مرتب از اطلاعات تهیه شوند.- کلیه نسخ پشتیبان باید بر روی Tape و در خارج از محل و در یک مکان با تدابیر امنیتی مناسب نگهداری شوند.- در هنگام تهیه نسخ پشتیبان باید تطابق با نسخه اصلی صورت گیرد و از صحت اطلاعات آن اطمینان حاصل شود.- مدت زمان نگهداری نسخ پشتیبان باید از ابتدا مشخص شده باشد.- رسانه های تاریخ گذشته، باید نابود شوند.- در بازه های زمانی مشخص، قابلیت بازیابی نسخ پشتیبان باید مورد آزمایش قرار گیرد تا از آن اطمینان حاصل شود.- نسخ پشتیبان باید حاوی اطلاعات زیر باشد:1-نام سیستمی که از آن نسخه پشتیبان تهیه شده است.2-تاریخ تهیه نسخه پشتیبان3-میزان اهمیت اطلاعاتی که از آنها نسخه پشتیبان تهیه شده است.4-نام فردی که نسخه پشتیبان را تهیه کرده است.5-تاریخ مصرف نسخه پشتیبان85

اسلاید 86: 5-10- ایجاد و مدیریت دسترسی کاربرانبه منظور تعیین راه کارهای استاندارد جهت ایجاد، نظارت، مدیریت و حذف دسترسی کاربران می باشد که کلیه کاربران سازمان را در بر می گیرد. خط مشی- کلیه دسترسی ها باید پس از یک درخواست مستند و تایید شده ایجاد شوند.- کلیه کاربران سازمان می بایست تاییدیه قوانین امنیت اطلاعات سازمان را امضاء کرده باشند.- کلیه اسامی کاربری در سیستم می بایست به صورت منحصر به فرد ایجاد شوند.- کلیه رمز های ایجاد شده برای کاربران، می بایست مطابق با خط مشی رمز عبور سازمان باشند.- کلیه کاربران ایجاد شده در سیستم، می باید مطابق با خط مشی رمز عبور سازمان، زمان انقضای رمز عبور داشته باشند.- کاربرانی که بیش از 30 روز از کد کاربری خود استفاده ننموده، می بایست غیر فعال شوند.- مراحل ایجاد و تغییر کاربران می بایست مستند شود و در دوره های زمانی مشخص مورد بازبینی قرار گیرند.86آیین نامه امنیت اطلاعات سینره

اسلاید 87: 5-11- حفاظت در برابر ویروس هابه منظور جلوگیری از ورود و همچنین شناسایی و مقابله با ویروس ها، کرم ها و اسب های تراوا می باشد و کلیه افرادی را که از منابع اطلاعاتی سازمان استفاده می کنند را در بر می گیرد. خط مشی- کلیه کامپیوترهایی که به سازمان تعلق دارند و یا توسط سازمان مدیریت می شوند، همینطور Laptop هایی که به شبکه سازمان متصل می شوند و یا به صورت مستقل مورد استفاده قرار می گیرند، می بایست از نرم افزار آنتی ویروس و تنظیمات مورد تایید واحد فناوری اطلاعات سازمان استفاده کنند.- تمامی کامپیوترهایی که به سازمان تعلق ندارند و یا تحت مدیریت سازمان نمی باشند، پیش از هرگونه ارتباط و اتصال به منابع اطلاعاتی سازمان، می بایست از نرم افزار ضد ویروس و تنظیمات مورد تایید مدیریت فناوری اطلاعات سازمان استفاده کنند.- نرم افزار ضد ویروس نباید غیر فعال (Disable) شود.- تنظیمات نرم افزار ضد ویروس نباید به گونه ای تغییر کند که قابلیت تاثیرگذاری آن را کاهش دهد.- تنظیمات به روز رسانی نرم افزار ضد ویروس نباید به گونه ای تغییر کند که بازه های زمانی به روز رسانی آن را کاهش دهد.- هر سرویس دهنده ای که به شبکه سازمان متصل است، باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده کند.- تمامی گذرگاه های پست الکترونیکی باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده کنند و تمامی نامه های ورودی و خروجی می باید توسط این نرم افزار کنترل شوند.- هر ویروسی که به صورت خودکار توسط نرم افزار پاک نشود، باید در اولین زمان ممکن به واحد پشتیبانی فناوری اطلاعات گزارش داده شود.87آیین نامه امنیت اطلاعات سینره

اسلاید 88: 5-12- خط مشی دسترسی به تاسیسات اطلاعاتیمحدودهاین خط مشی، دسترسی فیزیکی به تمامی کامپیوتر ها و تجهیزات ارتباطی که متعلق به سازمان است و یا توسط سازمان مورد استفاده قرار می گیرند را در بر می گیرد. این خط مشی در بر گیرنده تمامی کارمندان، مدیران، پیمان کاران، کارمندان پاره وقت، کارمندان موقت، کارآموزان و دیگر کارکنانی را که مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته شده اند، می باشد.خط مشیدسترسی فیزیکی به محدوده های کنترل شده (محدوده هایی که در آنها سیستم های اطلاعاتی یا اطلاعات حساس نگهداری می شوند، نظیر اتاق سرورها) می بایست مدیریت شده و ثبت شوند.تمامی محدوده های کنترل شده می بایست نشانه گذاری و برچسب زده شوند و به تناسب حساسیت و اهمیت عملکردشان مورد حفاظت فیزیکی قرار گیرند.تمامی سیستم ها و تجهیزات امنیت فیزیکی می بایست مطابق با (و نه محدود به) قوانین مربوطه باشند. (نظیر شماره گذاری ساختمان ها و کدهای آتش نشانی)دسترسی به محدوده های کنترل شده می بایست صرفا برای کارمندان و پیمانکارانی مجاز شناخته شود که مسئولیت کاری شان نیازمند دسترسی به محدوده مورد نظر است.درخواست برای دسترسی می بایست طبق روش اجرایی برقراری دسترسی صورت پذیرد.88آیین نامه امنیت اطلاعات سینره

اسلاید 89: روش اجرایی دسترسی احتمالی برای محدوده های کنترل شده می بایست آماده شود و در مواقع از کار افتادن سیستم کنترل خودکار دسترسی مورد استفاده قرار گیرد.کارت های دسترسی و/یا کلید ها نمی بایست به صورت اشتراکی مورد استفاده قرار گیرند و یا به دیگران قرض داده شوند.کارت های دسترسی و/یا کلیدهایی که دیگر مورد نیاز نیستند، می بایست به مسئول محدوده کنترل شده بازپس داده شوند. کارتها نباید بدون طی مراحل بازگرداندن، به افراد دیگر اختصاص داده شوند.کارت های گم شده یا سرقت شده می بایست به مسوول محدوده کنترل شده گزارش شوند.دسترسی بازدیدکنندگان به محدوده های کنترل شده می بایست مطابق خط مشی بازدیدکنندگان باشد.رکورد های اطلاعات مربوط به دسترسی ها و بازدیدها می بایست برای بازنگری دوره ای بر اساس حساسیت اطلاعات و سیستم های اطلاعاتی حفاظت شده، نگهداری شوند.مسوول محدوده کنترل شده می بایست مجوزهای دسترسی کارت یا کلید افراد را بر اساس خط مشی لغو دسترسی حذف کند.مسوول محدوده کنترل شده می بایست در دوره های زمانی، به بازبینی رکورد های اطلاعاتی مربوط به دسترسی ها و بازدیدها بپردازد و دسترسی های غیرعادی را شناسایی کند. دوره زمانی بازبینی می بایست براساس میزان حساسیت اطلاعات و سیستم های اطلاعاتی حفاظت شده تعیین شود.مسئول محدوده کنترل شده می بایست در دوره های زمانی به بازنگری حقوق دسترسی کارت و/یا کلیدها بپردازد و دسترسی افرادی را که دیگر به آن نیاز ندارند را قطع کند.89آیین نامه امنیت اطلاعات سینره

اسلاید 90: 5-13- خط مشی مدیریت حوادث امنیت اطلاعاتهدف از این خط مشی، تعیین نیازمندیها برای مقابله با حوادث امنیت اطلاعات می باشد. حوادث امنیتی شامل (و نه محدود به) حملات ویروس ها، کرم ها، اسب های تراوا، استفاده غیر مجاز از دسترسی ها و تجهیزات نگهداری و پردازش اطلاعات و همچنین استفاده نادرست از آنها به صورتی که در خط مشی استفاده قابل قبول از تجهیزات نگهداری و پردازش اطلاعات ذکر شده است، می باشد.خط مشیبالاترین مقام واحد فناوری اطلاعات سازمان، مدیریت و راهبری تیم مقابله با حوادث را برعهده دارد.اعضاء تیم مقابله با حوادث دارای وظایف و مسئولیت های از پیش تعیین شده ای هستند که بر وظایف عادی آنها برتری دارد.تیم مقابله با حوادث ، روش های اجرایی مقابله با حوادث را فراهم می کنند و در بازه های زمانی مورد آزمایش و بازنگری قرار می دهند.در هنگامی که یک حادثه امنیتی از قبیل ویروس، کرم، email دروغین، شناسایی ابزارهای نفوذ، اطلاعات دست کاری شده و . . . شناسایی و تایید شد، روش اجرایی مقابله با حوادث امنیتی مربوطه می بایست اجرا شود.90آیین نامه امنیت اطلاعات سینره

اسلاید 91: آیین نامه امنیت اطلاعات سینره مدیریت فناوری اطلاعات می بایست حوادث را به اطلاع افراد زیر برساند:مدیریت عاملمشتریان و شریکانی که تحت تاثیر قرار گرفته اند.تمامی مراجعی که طبق قانون می بایست به آنها اطلاع داده شود.مدیریت فناوری اطلاعات باید در زمینه حوادث مختلف با دیگر سازمانها در ارتباط باشد.تمامی فعالیت های مشکوک که شامل (و نه محدود به) حوادث امنیتی احتمالی می شوند، می بایست به مدیریت فناوری اطلاعات سازمان گزارش داده شوند.6- مستندات مرتبطندارد91

اسلاید 92: مشاور امنيتى بگيريد با پيشرفت علوم كامپيوترى و همچنين بوجود آمدن ابزارهاى جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحى نرم افزارهاى مختلف و روالهاى امنيتى سازمان ها ، هميشه خطر حمله و دسترسى افراد غيرمجاز وجود دارد. حتى قوى ترين سايتهاى موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولى آيا چون نمى توان امنيت 100% داشت بايد به نكات امنيتى و ايجاد سياستهاى مختلف امنيتى بى توجه بود؟ مديران سازمانها و ادارات دولتى و خصوصى براى خود يک دو جين مشاور و معاون و پيمانکار ميتراشتند و دور خود جمع ميکنند اما چرا ميان آنها يک مشاور امنيتى و پيمانکار پياده سازى استانداردهاى امنيت اطلاعات نيست ؟! شايد به اين دليل باشد که اول بايد بلا نازل شود و بعد به فکر درماناش باشيم ! اما اگر مديران ايرانى به اين نکته توجه کنند که ايران در صدر جدول جرايم رايانه اى خاورميانه قرار دارد شايد حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنيت اطلاعات و حتى پياده سازى مبانى مديريت امنيت اطلاعات را بدهند. 92 حال چه کنیم ؟

اسلاید 93: حال چه کنیم ؟سازماندهى و مديريت اجزاى اطلاعاتى و امنيتى يک سازمان نياز به يک سيستم مديريت امنيت اطلاعات خواهد داشت که کليه عوامل اجرايى، رويه ها، دستورالعملها و واحدهاى اطلاعاتى را تحت پوشش قرار مى‌دهد و با برقرارى امكان نظارت و بهبود مستمر، امنيت کل مجموعه راتامين مى‌کند. امروزه يک سازمان يا شرکتى که از راه حل هاى مبتنى بر فناورى اطلاعات و ارتباطات براى انجام امور و خدمات خود استفاده ميکند بايد همانطور که يک مشاور و پيمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتى پيمانکارى اختصاصى براى ارزيابى مداوم ضريب امنيتى مجموعه خود و اعمال راه حل هاى پيشنهادى از سوى مشاور امنيتى براى جلوگيرى از ضرور و زيان احتمالى داشته باشد. يک مشاور و پيمانکار امنيتى بايد خدمات مرتبط با تحليل، طراحى و اجراى سيستم‌هاى مديريت امنيت اطلاعات را به شرح زير ارائه ‌دهد: ارائه مشاوره در زمينه تهيه سياستها و استراتژى‌هاى امنيتى طراحى و مستند‌سازى رويه ها و دستورالعملهاى امنيتى مطابق با استانداردهاى امنيت اطلاعات(BS7799/ISO17799) ارائه مشاوره و خدمات فنى جهت دريافت گواهى‌نامه امنيت اطلاعات BS7799 ارائه خدمات آموزش امنيتى براى مديران و پرسنل پيرامون سيستم‌هاى امنيت اطلاعات شناسائى و مستند‌سازى ضعف‌هاى امنيتى و تهديدات مرتبط براى سيستم‌هاى اطلاعاتى، شبکه‌هاى رايانه‌اى و روالهاى سازمانى طراحى و پياده‌سازى راهکارهاى حفاظتى و کنترلى براى سيستم‌هاى اطلاعاتى و شبکه‌هاى کامپيوترى ارائه خدمات سخت‌افزارى و نرم‌افزارى جهت نظارت بر اجزاى سيستم مديريت اطلاعات: خدمات بررسى آسيب‌پذيرى‌هاى امنيتى راهکارهاى مديريت آسيب‌پذيرى‌هاى امنيتى 93

اسلاید 94: و سخن آخر.....ITيک سکه دوروست: هم فرصت است و هم تهديد ! اگر به همان نسبتى که به توسعه و همه گيرى اش توجه و تکيه ميکنيم به امنيت آن توجه نکنيم ميتواند به سادگى و در کسرى از ثانيه تبديل به يک تهديد و مصيبت بزرگ شود. اين مصائب را در ذهن خود مجسم کنيد: - شبکه بانکى کشور هک شده و کليه اطلاعات بانکى, کلمات عبور کارتها دزديده شده و مبالغ کلانى جابجا شده... - سيستم مديريت شبکه برق کشور توسط نفوذگران فلج شده... - تمام اطلاعات و سوابق شخصيتان بواسطه نفوذ هکرها به بانک اطلاعاتى سازمان ثبت احوال سرقت شده... - شبکه مخابراتى کشور فلج شده...هيچ تماس تلفنى داخلى،بين شهرى و بين المللى ممکن نيست... - و دهها سناريوى وحشتناک ديگر... فکر کنم حالا به باور من رسيديد : IT ميتواند به همان سرعتى که باعث رفاه و بالارفتن توانايى ها ميشود ميتواند باعث خلق مصائبى اين چنينى شود و کشورى را فلج کند ! 94

اسلاید 95: 95پایان