امنیت اطلاعات

امنیت اطلاعات

اسلاید 1: به نام خداامنيت اطلاعاتچرا؟ چه چيزي؟ چگونه؟

اسلاید 2: امنيت اطلاعات - چرا مهم است؟اطلاعات سرمايه است.اگر از سرمايه هاي اطلاعاتي خوب محافظت نشود آنها مي توانند: به ديگران داده شده و يا دزديده شوند بدون اينكه شما از آن مطلع شويد. بدون اطلاع شما تغيير يابند تا بي ارزش شوند و يا خسارت به يار آرند. گم شوند، بدون اينكه اثري از آنها باقي ماند و يا اميدي به بازيابي آنها باشد.

اسلاید 3: امنيت اطلاعات - چرا نگران كننده است؟زيرا اگرچه اين مقوله در گذشتههاي دور نيز مطرح بوده است (مانند تقلب، دزدي، تروريسم) ولي 3 تحول اساسي در دهه هاي گذشته آن را سرعت بخشيده است:اتوماسيون، حملات را سريع تر كرده استاحتمال حمله از راه دور گسترش يافته است.گسترش تكنيك حملات، سرعت بيشتري گرفته است.

اسلاید 4: امنيت اطلاعات - چرا بي ميلي يا اكراه؟شايد بنگاه هاي سرمايه و مشتريان آنها هنوز روي اين مقوله پافشاري نمي كنند.برخي سازمان ها نمي خواهند معيارهاي امنيتي قوي را پياده سازي نمايند زيرا فكر مي كنند كه چيزي ندارند كه ديگران به دنبال آن باشند. احتمالاً آنچه آنان نمي دانند اين است كه ممكن است پايگاه حمله به ديگران شوند (بايد همسايه خوبي بود!)به احتمال زياد موضوعات مهم تري وجود دارد كه امنيت را موكول به بعد مي كنند.بين رعايت امنيت و سهل الوصول بودن شك دارند.فضاي سايبري آنها خالي است.

اسلاید 5: امنيت اطلاعاتاگر هنوز درگير نشده ايد تنها نيستيد!1000 بنگاه تجاري مورد بررسي خرجي كه براي امنيت كرده اند كمتر از هزينه چاي و قهوه بوده است

اسلاید 6: امنيت اطلاعات - روند كليمسلماً اين صحيح نمي باشد كه سازمان ها به امنيت علاقه مند نيستندپس چه آنها را از اين مقوله مهم دور نگاه مي دارد؟

اسلاید 7: امنيت اطلاعات - مشكل چيست؟«تعيين اينكه چه اندازه بيش از اندازه است تا بتوان معيارهاي امنيتي لازم براي اطمينان و اعتماد را به كار گرفت»براي بكارگرفتن و يا بكار نگرفتن يك معيار امنيتي به يك منطق محكم و استدلال قوي نياز داريم

اسلاید 8: امنيت اطلاعات- خودي ها يا غيرخودي ها؟اگر فكر مي كنيد كه بزرگ ترين تهديد براي امنيت اطلاعات از خارج سازمان (رقبا، هَكرها يا ويروس ها) سرچشمه مي گيرد دوباره فكر كنيد! (اكثر مشكلات امنيتي ريشه در افراد داخل سازمان دارد.)اين تهديدهاي خارجي تنها شما را از خطراتي كه در داخل سازمان با آن مواجه ايد غافل مي كند.مقابله با دوستان غافل يا نادان به مراتب سخت تر از مقابله با دشمنان هشيار است.

اسلاید 9: امنيت اطلاعات- خودي ها يا غيرخودي ها؟اگر شما عضوي از يك زيرساخت اطلاعاتي مهم هستيد ممكن است كسي باشد كه با اراده قوي بخواهد شما را گير بيندازد.اگر سازمان شما داراي اطلاعات مهمي است باز هم كساني هستند كه بخواهند از راز و رمز آن سردرآورند.حتي اگر هيچ يك از دو مورد بالا صحيح نباشد بازهم كساني هستند كه براي قدرت نمائي يا تفريح بخواهند به شما يا سازمانتان تعرض كنند.لازم است كه نه تنها قابليت هاي پيشگيري داشته باشيد بلكه حتماً قابليت هاي دشمنان كه همگام با زمان تغيير مي كنند را نيز مورد توجه قرار دهيد.

اسلاید 10: هشدار امنيتيتعداد كمي آسيب پذيري هاي نرم افزاري باعث بيشترين حملات موفق مي شوند زيرا حمله كنندگان دوست ندارند تا كارهاي اضافي بيشتري انجام دهند. آنها مشهورترين خطاهاي امنيتي را مورد استفاده قرار داده و از مؤثرترين و فراوان ترين ابزارها استفاده مي كنند. آنها روي سازمان هائي حساب باز مي كنند كه مشكلات خود را در زمان معين حل نكرده اند.

اسلاید 11: روند افزايش آسيب پذيري ها گزارش CERT45004000350030002500200015001000 5001995 1996 1997 1998 1999 2000 2001 2002 2003 2004 شكل 1-1الف آسيبپذيريهاي گزارش شده بتوسط CERT

اسلاید 12: روند افزايش حوادث امنيتي گزارش CERT140,000130,000120,000110,000100,000 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,0001995 1996 1997 1998 1999 2000 2001 2002 2003 شكل 1-1 ب حوادث امنيتي گزارش شده بتوسط CERT

اسلاید 13: چه ميخواهيم؟ شرايط سه گانه C-I-A فراهم بودن سرويس (Availibility): اينكه اطلاعات در هر زمان و در هر مكان در دسترس افراد مجاز قرار گيرد. صحت اطلاعات (Integrity): اينكه اطلاعات بطور صحيح و بدون هيچگونه جرح و تعديل در اختيار افراد مجاز قرار گيرد. محرمانگي اطلاعات (Confidetiality): اينكه اطلاعات فقط براي افراد مجاز مفهوم باشد.

اسلاید 14: چه لازم است؟ سه سؤال مهم وجود دارد كه سازمان ها وقتي به امنيت اطلاعات خود فكر مي كنند بايستي به آنها توجه كنند؟ انتخاب كنترل هاي امنيتي ( آيا كافي است؟) پياده سازي كنترل هاي امنيتي (آيا مؤثر است؟) اطمينان يافتن از كنترل هاي امنيتي (آيا عمل مي كنند؟) پاسخ به اين سؤالات نمي تواند به تنهائي و در انزوا پيدا شود. پاسخ به اين سؤالات بايستي در بستر برنامه امنيت اطلاعات سازمان (policy) انجام پذيرد كه ريسك هاي اطلاعات و سيستم هاي اطلاعاتي را شناسائي، كنترل و التيام مي بخشد.

اسلاید 15: چه مورد نياز است؟نگراني هاي مديريتي --------------------- Market ReputationBusiness ContinuityDisaster RecoveryBusiness LossLoss of Confidential DataLoss of Customer ConfidenceLegal LiabilityCost of Securityمعيارهاي امنيتي----------------TechnicalProceduralPhysicalLogicalPersonnelManagementInformationSecurity Program