سیستم مدیریت امنیت اطلاعات ISMS

سیستم مدیریت امنیت اطلاعات ISMS

اسلاید 1: ISMSInformation Security Management Systemسيستم مديريت امنيت اطلاعات

اسلاید 2: مقدمهاطلاعات ( مانند ساير دارائی‌های سازمانی ) به عنوان يک دارائی مهم و باارزش برای هر سازمان به حساب می‌آيد و در نتيجه نيازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می‌باشند . استاندارد ISO 27001 تامين کننده يک سري از ابزارهاي سازگار با يکديگر براي سنجش مديريت امنيت اطلاعات در هر سازمان با هر نوع کار يا حجم سازمان مي باشد. اين گواهينامه مي‌تواند براي يک سازمان يا بخشي از آن دريافت و سپس در سازمان گسترش و بخش‌هاي ديگر را دربرگيرد. موسسات ISO و IEC از موسسات بين‌المللی تدوين استاندارد در سطح جهانی می‌باشند که کميته مشترکی را به نام JTC1 برای تدوين استانداردها تشکيل داده‌اند .استاندارد بين‌المللی ISO/IEC 17799 برای اولين بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذيرفته شد .

اسلاید 3: اصول مهم درامنيت اطلاعاتسه اصل مهم در امنيت اطلاعات عبارتند از :محرمانگی : اطمينان از اينکه اطلاعات فقط در دسترس افراد مجاز قرار دارد صحت : تامين صحت ، دقت و کامل بودن اطلاعات و روش‌های پردازش آنها دسترس پذيری : اطمينان از اينکه کاربران مجاز در صورت نياز به اطلاعات و دارائی‌های مربوطه به آنها دسترسی دارند . امنيت اطلاعات به وسيله اجرای يکسری از کنترل‌های مناسب ، حاصل خواهد شد. اين کنترل‌ها ميتوانند به صورت خط‌مشی‌ها ، رويه‌ها ، ساختارهای سازمانی و يا نرم‌افزارهای کاربردی باشند . اين کنترل‌ها برای اطمينان از برآورده شدن اهداف امنيتی سازمان بايستی اجرا گردند .

اسلاید 4: ISMS (Information Security Management System)بر اساس استاندارد ISO 27001 در كنار ديگر سيستمهاي مديريت به خصوص استاندارد 9001ISO و تحت نظارت و مديريت مستقيم مديريت ارشد سازمان مستقر مي‌گردد.تامين كننده امنيت اطلاعات سازمان مبتني بر رويکرد فرآيندي استاين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني مانند BS 7799 و ISO/IEC 17799 و ISO 15408(معيار های عمومی برای فنآوری اطلاعات ) بهره مي گيرد.

اسلاید 5: تعريف ISO از ISMSقسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس، پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است.استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم مي کند.* منظور از مديريت كلي ، رعايت ساير استانداردها مي باشد.

اسلاید 6: ISMS (Information Security Management System)مشخصه اي براي مديريت امنيت اطلاعات دستورالعمل مديريت امنيت اطلاعات پايه اي براي ارتباط قراردادي پايه گواهينامه شخص ثالثقابليت كاربرد براي تمامي بخشهاي صنعت تاكيد بر پيش گيري

اسلاید 7: سری استانداردهای ISO/IEC 2700kISO/IEC 27001:2005, Information security management systems — Requirements سيستم هاي مديريت امنيت اطلاعات – نيازمندي ها ISO/IEC 27002:2005, Code of practice for information security management آئين نامه كاري مديريت امنيت اطلاعات ISO/IEC 27003, Information security management system implementation guidance راهنماي پياده سازي سيستم مديريت امنيت اطلاعات ISO/IEC 27004, Information security management — Measurement مديريت امنيت اطلاعات - سنجش ISO/IEC 27005:2008, Information security risk management مديريت مخاطرات امنيت اطلاعات ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems راهنماي مميزي سيستم هاي مديريت امنيت اطلاعات

اسلاید 8: مزاياي پياده سازي استاندارد ISO/IEC 27001 نزديک شدن به وضعيت سيستماتيك و روش مند افزايش تضمين اعتبار قانوني سازمان افزايش جنبه هاي تداوم کسب وکار شناسائی دارايي هاي بحراني از طريق ارزيابي ريسك ايجاد يك ساختار براي بهبود مستمرافزايش شناخت و اهميت مسائل مربوط به امنيت درسطح مديريت بومي سازي فرهنگ و دانش امنيت اطلاعات در سازمان

اسلاید 9: ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان ( Gap Analysie)ارزيابي اوليه در حوزه هاي مختلف، با ارائه پرسشنامه حوزه های مرتبط با مديريت حوزه های مرتبط با آموزش و آگاه سازیحوزه های مرتبط با وابستگی سازمان به کارمندان حوزه های مرتبط با دسترسی و حقوق دسترسی حوزه های مرتبط با رويه های سازمانیحوزه های مرتبط با بازرسیحوزه های مرتبط با خط مشی های امنيتیحوزه های مرتبط با مستندات حوزه های مرتبط با سخت افزار و نرم افزار حوزه های مرتبط با شبکه حوزه های مرتبط با کاربران .......

اسلاید 10: تعيين محدوده استقرار سيستم مديريت امنيت اطلاعات ( SCOPE ) دامنه ومرزهای سيستم مديريت امنيت اطلاعات بر مبنای ويژگي کسب وکار , سازمان، مکان ، دارائی ها وفن آوری آن تعريف مي شود و همچنين جزئيات و توجيه برای کنارگذاری هر چيزی از دامنه را شامل مي باشد

اسلاید 11: تعيين دارائي هاي (سرمايه هاي) سازماني مستندات کاغذيدارائي هاي اطلاعاتيدارائي هاي فيزيکي سخت افزار ها نرم افزارها اطلاعات و ارتباطات منابع انساني خدمات

اسلاید 12: تعيين سياست های امنيتیسياست‌هاي امنيتي سرويس‌هاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي سخت‌افزارهاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي نرم‌افزارهاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي ارتباطات و اطلاعات فضاي تبادل اطلاعات سازمانسياست‌هاي امنيتي کاربران فضاي تبادل اطلاعات سازمان

اسلاید 13: چگونگي تشخيص الزامات امنيتي ريسك هاي امنيتيالزامات قراردادي وقانونياصول واهداف والزامات داخلي

اسلاید 14: برآورد و مديريت ريسکكا هش پذيرش اجتناب انتقال پيامداحتمال

اسلاید 15: Risk AssessmentSTEP 1: SYSTEM CHARACTERIZATION System-Related Information Information-GatheringSTEP 2: THREAT IDENTIFICATION. Threat-Source Identification Motivation and Threat ActionsSTEP 3: VULNERABILITY IDENTIFICATION. Vulnerability Sources System Security Testing Development of Security Requirements Checklist

اسلاید 16: Risk AssessmentSTEP 4: CONTROL ANALYSIS.STEP 5: LIKELIHOOD DETERMINATION.STEP 6: IMPACT ANALYSIS .STEP 7: RISK DETERMINATION. Risk-Level Matrix. Description of Risk Level STEP 8: CONTROL RECOMMENDATIONS STEP 9: RESULTS DOCUMENTATION

اسلاید 17:

اسلاید 18: * Risk Mitigation *RISK MITIGATION OPTIONS. RISK MITIGATION STRATEGY. APPROACH FOR CONTROL IMPLEMENTATION.. CONTROL CATEGORIES . Technical Security Controls. Management Security Controls Operational Security Controls. COST-BENEFIT ANALYSIS . RESIDUAL RISK .

اسلاید 19:

اسلاید 20: ارزيابی ريسک

اسلاید 21: طرح تحليل مخاطرات امنيتی تجزيه و تحليل شبکه و تعيين مخاطرات امنيتیمعماری شبکه ارتباطیتجهيزات شبکه ارتباطیمديريت و نگهداری شبکه ارتباطیسرويس های شبکه ارتباطیتشکيلات و روش های تامين امنيت شبکه ارتباطی تعيين آسيب پذيريها شناسائی منابع آسيب پذيریتست امنيتی سيستم تعيين ريسک دارائی ها و فرايندهاتعيين آستانه پذيرش ريسک ارائه راه حلهای کلی برای کاهش آسيب پذيری ها ، تهديدات و ريسک ها

اسلاید 22: ارائه طرح جامع امنيت شبکه و اطلاعات1- ارائه راه حلهای مناسب معماری شبکه پروتکلهای شبکه Server farmSwitchingارتباطات امنيت فنی شبکه طرح تهيه نسخ پشتيبان امنيت فيزيکی شبکه سيستمهای کنترل جريان اطلاعات و تکيل نواحی امنيتیارائه ساختار معماری IP مناسب برای شبکه تهيه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی ساختار DMZ

اسلاید 23: ارائه طرح جامع امنيت شبکه و اطلاعاتسرويس Accounting سرويس DNSسرويس FTPFiltering MonitoringWeb Cache نرم‌افزارهاي تشخيص و مقابله با ويروسسيستم‌هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربرانسيستم‌هاي ثبت و تحليل رويدادنامه‌هاسيستم‌هاي رمزنگاري اطلاعاتنرم‌افزارهاي نظارت بر ترافيک شبکهنرم‌افزارهاي پويشگر امنيتينرم‌افزارهاي مديريت امنيت شبکه ................

اسلاید 24: ارائه طرح جامع امنيت شبکه و اطلاعات2- ارائه نمونه های مناسب دستورالعمل پيکربندی امن و چک ليستطراحي ساختار کلي شبکهطراحي ساختار سايت مركزي طراحي ساختار فيزيکي شبکه تعيين تجهيزات غيرفعال مورد نياز شامل كابلها ، ركها ، داكتها ، پچ پنل ها ، كيستون ها و ... ساختار آدرس دهيساختار مسير يابيساختار دسترسي به شبکه تجهيزات شبکهسرويس دهنده هاي شبکهمديريت و نگهداري شبکه تشريح تغييراتي که همزامان با افزودن سيستم امنيتي در معماري ، تجهيزات ، سرويس دهنده ها و مديريت شبکه انجام مي گيرد تعيين پروتکل­هاي مورد نياز شبکهطراحي معماري IP شبکه و تقسيم­بندي آنطراحي ساختار کلي Server Farm

اسلاید 25: ارائه طرح جامع امنيت شبکه و اطلاعاتتعيين سرويس هاي مورد نياز جهت نصب روي سرورهاتعيين سيستم عامل هاي مورد نيازتعيين سرورهاي مورد نيازطراحي ساختار سوئيچنگ شبکهتعيين سوئيچ­هاي مورد نيازطراحي ساختار ارتباطي شبکهطراحي ساختار ارتباطي سايت مرکزيطراحي ساختار ارتباطات شبکه داخلي با شبکه­هاي خارجي مانند شبکه اينترنت، و ....طراحي نحوه برقراري ارتباط کاربران خارجي با شبکه داخليطراحي ساختار مسيريابي شبکهتعيين تجهيزات مورد نياز جهت برقراري ارتباطات از جمله روترها، مودم­ها و ....طراحي ساختار مطمئن براي شبكهتعيين تجهيزات امنيتي مورد نياز شامل : Firewall ، IDS/IDP/IPS ،

اسلاید 26: ارائه طرح جامع امنيت شبکه و اطلاعاتتعيين تکنولوژيهاي امنيتي مورد نياز شامل : NAT، PAT، IP Sec، VPN، .....طراحي ساختار VLAN مناسب براي شبکهطراحي ساختار DMZ مناسب تعيين سياست­هاي امنيتي شبکهتعيين روال­هاي امنيتي شامل روالهاي پيکربندي، روال هاي دسترسي، روال هاي مديريتي، روال­هاي بروزرساني، روالهاي مستندسازي شبکهتعيين تجهيزات برق اضطراري مورد نياز تهيه و توسعه محصولات نرم افزاري در صورت نياز طراحي SAN و NAS در صورت نيازتعيين Storage Device هاي مورد نيازتعيين روالهاي تهيه نسخ پشتيبانتعيين محل مناسب جهت سايت مركزيتعيين تهويه مناسب محل سايت مركزيتعيين دربهاي مخصوص جهت سايت مركزيتعيين قفلهاي الكترونيكي جهت سايت مركزيتعيين ركهاي مناسب در نقاط توزيع

اسلاید 27: ارائه طرح جامع امنيت شبکه و اطلاعاتتعيين كابل كشي و داکت کشي مناسب از نظر امنيتي در هر بخشتعيين سيستم ضد حريق جهت سايت مركزي نرم‌افزارهاي تشخيص و مقابله با ويروسسيستم‌هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربرانسيستم‌هاي ثبت و تحليل رويداد نامه‌هاسيستم‌هاي رمزنگاري اطلاعاتنرم‌افزارهاي نظارت بر ترافيک شبکهنرم‌افزارهاي پويشگر امنيتينرم‌افزارهاي مديريت امنيت شبکه ................

اسلاید 28: متدولوژی 27001:2005 ISO/IEC

اسلاید 29: کنترل های استانداردISO/IEC 27001

اسلاید 30: حوزه هاي يازده گانه ISO/IEC 27001خط مشي امنيتيحوزه هاي يازده گانهمطابقت با قوانينمديريت تداوم كسب و كارمديريت حوادث امنيت اطلاعاتتهيه، توسعه و نگهداري سيستم هاي اطلاعاتيسازماندهي امنيت اطلاعاتمديريت دارايي هاامنيت منابع انسانيامنيت محيطي و فيزيكيمديريت عمليات و ارتباطاتكنترل دسترسي

اسلاید 31: هدف : جهت گيري و جلب حمايت مديريت از امنيت اطلاعاتدر ارتباط با نيازمنديها و قوانين و مقررات مربوطهحوزه اول - خط مشي امنيتيخط مشي امنيت اطلاعاتسند خط مشی امنيت اطلاعات اجزاء مستند خط مشي امنيت اطلاعات تعريفي از امنيت اطلاعات سازمان بيانيه اي كه بيانگر پشتيباني مديريت از اهداف و مفاهيم امنيت متناسب با اهداف و استراتژي سازمان است تعيين چارچوب لازم براي رسيدن به اهداف و اعمال كنترل هاي، نظير ساختار ارزيابي و مديريت مخاطرات توضيح مختصري راجع به خط مشي ها، اصول، استانداردها و نيازمندي هاي مطابقت با قوانين و مقرارت تعريفي از مسؤوليت هاي عمومي و ويژه، نظير گزارش حوادث امنيتي به مديريتبازنگری خط مشی امنيت اطلاعات

اسلاید 32: حوزه دوم-سازماندهي امنيت اطلاعاتحمايت مديريت ازامنيت اطلاعاتايجاد هماهنگي در امنيت اطلاعاتتخصيص مسؤوليت هاي امنيت اطلاعاتفرآيندهاي مجاز براي امكانات ITتعهدنامه حفظ اسرار سازمانيتماس با مسؤولينتماس با گروه هاي ذينفع خاصبازنگري امنيت اطلاعات توسط عوامل مستقلتشخيص خطرهاي مرتبط با طرف هاي بيرونيوضعيت هاي امنيت در ارتباط با مشترياندر نظر گرفتن امنيت در قرارداد با خارج از سازمانسازماندهي داخليامنيت طرف هاي بيرون از سازمانهدف : مديريت امنيت اطلاعات در درون سازمان وطرف های بيرونی است

اسلاید 33: ارزش گذاري بر دارايي هافهرست اموال و دارايي هاهدف : برآورد ارزش واقعي دارايي هاي سازمان انواع دارايي هاي عنوان شده :دارايي هاي اطلاعاتيدارايي هاي نرم افزاريدارايي هاي فيزيكيتأسيسات و سرويس هاي مرتبطافراد و تجارب و شايستگي هاي آنان(منابع انسانی)دارايي هاي معنوي، نظير حيثيت و اعتبار سازمانحوزه سوم – مديريت دارايي ها

اسلاید 34: طبقه بندي اطلاعاتطبقه بندي اطلاعاتهدف : اطمينان از اينكه اطلاعات با سطح مناسبي از حفاظت نگهداري و تبادل مي شوند.محرمانگييكپارچگي قابليت دسترسيعلامت گذاري وکنترل دسترسی به اطلاعاتحوزه سوم – مديريت دارايي ها

اسلاید 35: قبل از بكارگيري منظور از بكارگيري در اينجا تمامي موارد استخدام ، تعيين مسؤوليت هاي جديد، تغيير مسؤوليت، به كارگيري نيروهاي قراردادي و پايان دادن به كار در هر يك از موارد فوق است.لحاظ نمودن امنيت در تعريف شغل و منبعدرج امنيت در شرح خدمات مشاغلهدف: اطمينان ازآنکه كاركنان، طرف هاي قرارداد و كاربران طرف سوم وظايف خود را مي دانند، صلاحيت كار مورد نظر رادارند. وهمچنين به منظور كاهش خطر دزدي، سوء استفاده و كلاهبرداري در سازمان.استخدام انتخابیتعهدنامه حفظ اسرار و محرمانگيحوزه چهارم – امنيت منابع انساني

اسلاید 36: حين بكارگيري آگاهی نسبت به امنيت وظايف در اختيار قرار دادن دستورالعمل هاي امنيتي انگيزه لازم براي لحاظ نمودن امنيت در سازمان آگاهي و هشياري نسبي در امنيت مسائل مرتبط با حوزه کاری آشنائی با امنيت در بين كاركنان سازمان مهارت و صلاحيت آموزش كاربرانمسؤوليت هاي مديرانفرآيندهاي انضباطيحوزه چهارم – امنيت منابع انسانيحين خدمت

اسلاید 37: خاتمه دادن به كار خاتمه دادن يا تغيير در بكارگيريمسؤوليت هاي مرتبط با خاتمه دادن به همكاري هدف : اطمينان از اينكه به خدمت كاركنان، طرف هاي قرارداد و كاربران سازمان به شيوه مناسبي پايان داده مي شود.بازگرداندن اموالحذف يا اصلاح حقوق دسترسيحوزه چهارم – امنيت منابع انساني

اسلاید 38: ايجاد حصار لازم براي محيط هاي امنمحيط هاي امنهدف : پيشگيري از دسترسي هاي غيرمجاز، خسارت يا دخالت در سرويس ITكنترل هاي ورودي هاي فيزيكي امنيت دفاتر، اتاقها و امكاناتحفاظت در مقابل تهديدهاي محيطي و خارجيكار در محيط هاي امنجداسازي محل هاي تخليه و بارگيريحوزه پنجم – امنيت محيطي و فيزيکي

اسلاید 39: حوزه پنجم – امنيت محيطي و فيزيکيامنيت تجعيزاتهدف: پيشگيري ازدسترسی غيرمجاز، خسارت يا لو رفتن داراييها و اطلاعات سازمانبهداشت محيط كار، ايمني و امنيت محل استقرا رامنيت و ايمني تأسيسات جنبي نظير برق و تهويهامنيت كابل و كابل كشيامنيت تجهيزات بيرون از سازمانتعمير و نگهداري تجهيزاتاسقاط نمودن يا مزايده امن تجهيزاتخارج نمودن تجهيزات از محل سازمانبازنگري امنيت اطلاعات توسط عوامل مستقل

اسلاید 40: روش هاي عملياتي و مسؤوليتهاهدف : حصول اطمينان ازکارکرد صحيح وامن پردازش اطلاعات وامنيت در ارتباط با خدمات شخص ثالث و همچنين به حداقل رساندن مخاطرات ناشي از تست سيستم ها وحفظ يکپارچگی نرم افزار واطلاعاتروندهاي عملكرد مستنده شدهمديريت تغييراتتفكيك وظايفجداسازي تجهيزات آزمايشي از تجهيزات عملياتيحوزه ششم – مديريت ارتباطات و عمليات

اسلاید 41: مديريت ارائه خدمات طرح هاي سومارائه خدمات مورد انتظارنظارت و بازنگري در نحوه ارائه خدماتمديريت تغييرات در ارائه خدماتمديريت ظرفيتشرايط قبولي سيستمطراحي و تست قبولي سيستمحوزه ششم – مديريت ارتباطات و عمليات

اسلاید 42: كنترل کدهای مخربكنترل كد های سيارحفاظت از نرم افزار بدخواهمديريت نسخه هاي پشتيبانتهيه نسخه هاي پشتيباننگهداري از اطلاعات پشتيبانفرآيندهاي بازيابي از نسخه هاي پشتيباناطمينان از حراست اطلاعات در شبكه ها و حفاظت اززيرساخت پشتيباني کنندهكنترل هاي شبكهامنيت سرويس هاي شبكهرمزنگاري لازم در نسخه هاي پشتيبانحوزه ششم – مديريت ارتباطات و عمليات

اسلاید 43: اداره کردن محيط های ذخيره سازیمديريت رسانه هاي قابل حملانهدام مناسب رسانه هارويه هاي جابجايي اطلاعاتخط مشي ها و رويه هاي تبادل اطلاعاتتوافقات تبادل داده و نرم افزارتبادل اطلاعاتحفاطت از اطلاعات ونرم افزار درتبادل يک سازمان با هر موجوديت بيرونیامنيت مستندات سيستمامنيت رسانه ها در هنگام انتقالسيستم هاي اطلاعاتی کسب وکارسيستم هاي پيام رساني الكترونيكيحوزه ششم – مديريت ارتباطات و عمليات

اسلاید 44: سرويس هاي تجارت الكترونيكيحفاظت از كلاهبرداري، تعارض حقوقي و ...امنيت تراكنش هاي بر خطاطلاعات در دسترس عمومنظارت بر فعاليت هاي ثبت شدهنظارت بر نحوة كاركرد و استفاده از سيستمهانظارتتشخيص فعاليت هاي غيرمجاز پردازش اطلاعاتحراست از وقايع و اطلاعات ثبت شدهثبت خطاهامديريت ثبت كارهاي مديران و اپراتورهاي شبكههمزمان نمودن ساعت سيستمهاحوزه ششم – مديريت ارتباطات و عمليات

اسلاید 45: کنترل دسترسی به اطلاعاتهدف : كنترل دسترسي به اطلاعات وپيشگيري از دسترسي های غيرمجاز مي باشدايجاد , تدوين وبازنگری خط مشي مستند شده كنترل دسترسيثبت كاربرانمديريت دسترسي با اختيارات ويژهمديريت و حصول اطمينان ازدسترسي كاربرمديريت رمز عبور كاربرانبازنگري در حقوق دسترسي كاربرانحوزه هفتم – کنترل دسترسي

اسلاید 46: بكارگيري رمز عبورتجهيزات بدون مراقبت کاربرمسؤوليت هاي كاربرپيشگيري از دسترسي غيرمجاز کاربرانخط مشي ميزپاک و صفحه پاکكنترل دسترسي به شبكهحفاظت از دسترسي غيرمجاز به سرويس هاي شبكهحوزه هفتم – کنترل دسترسي خط مشي استفاده از خدمات شبكهتصديق هويت كاربر در ارتباطات بيرونيشناسايي تجهيزات در شبكهتفكيك در شبكه هاحفاظت پورت هاي تنظيم و رفع عيب از راه دوركنترل اتصال به شبكهكنترل مسيريابي

اسلاید 47: كنترل دسترسي به سيستم عاملكنترل دسترسي به برنامه هاي كاربرديحوزه هفتم – کنترل دسترسيرويه هاي دستيابي امن كاربرشناسايي و تأييد هويت كاربرسيستم مديريت رمز عبورانقضاي زماني پايانه كارياستفاده از امكانات ابزاري سيستممحدوديت زمان اتصالمحدوديت دسترسي به اطلاعاتجداسازي اطلاعات حساس

اسلاید 48: هدف : تضمين امنيت اطلاعات در زمان كار از راه دورخط مشی برای حفاطت محاسبه و ارتباط راه دورايجاد وپياده سازی خط مشی برای كار از راه دورمحاسبه سيار و کار از راه دور حوزه هفتم – کنترل دسترسي

اسلاید 49: هدف : اطمينان از اينكه امنيت جزء جدائی ناپذير از سيستم های اطلاعاتی است وهمچنين پيشگيري از فقدان، تغيير يا سوء استفاده از اطلاعات در سيستم هاي كاربرديشناسايي و تحليل نيازمندي هاي امنيتينيازمندي هاي امنيتي سيستمها ي اطلاعاتیيكپارچگي پيغامپردازش صحيح برنامه هاي كاربرديتأييد داده خروجيتأييد داده وروديكنترل پردازش داخليحوزه هشتم – تهيه، نگهداري و توسعه سيستمها

اسلاید 50: هدف : حفاظت محرمانگي ،سنديت و يكپارچگي اطلاعات با استفاده از رمزنگاري واطمينان از اينكه پروژه هاي IT و فعاليت هاي پشتيباني در يك روش امن هدايت مي شوند.خط مشي استفاده از كنترل هاي رمزنگاريكنترل هاي رمزنگاريكنترل دسترسي به متن برنامه هاامنيت فايل هاي سيستم كاربرديكنترل نرم افزار عملياتيحفاظت از سيستم تست دادهمديريت كليدحوزه هشتم – تهيه، نگهداري و توسعه سيستمها

اسلاید 51: هدف : حفظ و تداوم امنيت نرم افزار و اطلاعات سيستم كاربرديحوزه هشتم – تهيه، نگهداري و توسعه سيستمهارويه هاي كنترل تغييرمرور تكنيكي تغييرات سيستم عملياتيمحدوديت هاي روي تغييرات بسته هاي نرم افزاريحذف امكان نشت اطلاعات (به خارج از حوزة مجاز)توسعة نرم افزاري بوسيلة سفارش به بيرونامنيت فرآيندهاي توسعه و پشتيباني

اسلاید 52: هدف : اطمينان از اينكه حوادث و ضعف هاي امنيتي مرتبط با سيستم هاي اطلاعاتي به نحوي كه به توان آنها را درزمان هاي قابل قبولي رفع كرد ، گزارش مي گردند. وهمچنين اطمينان از اينكه رويه هاي يكنواخت و مؤثر در مورد حوادث امنيتي اعمال مي گردند.گزارش حوادث امنيت اطلاعاتگزارش حوادث و ضعف هاي امنيتيجمع آوري شواهدمديريت حوادث امنيت اطلاعات و راه هاي بهبود آنهامسؤوليتها و رويه هايادگيري و عبرت از حوادث گذشتهگزارش نقاط ضعف امنيت اطلاعاتحوزه نهم – مديريت حوادث امنيت اطلاعات

اسلاید 53: وجوه امنيتي مديريت تداوم كسب و كارهدف : خنثی نمودن وقفه ها ی کسب وکار وحصول اطمينان برای ازسرگيری بموقع سيستم های اطلاعاتی سانحه ديدهحوزه دهم– طرح تداوم کسب و کاردرج امنيت اطلاعات در فرآيند مديريت تداوم كسب و كارتداوم كسب و كار و ارزيابي مخاطراتايجاد و پياده سازي طرح هاي تداوم كسب و كار با در نظر گرفتن امنيتچارچوب طرح تداوم كسب و كارتست ، نگهداري و ارزيابي مجدد طرح هاي تداوم كسب و كار

اسلاید 54: حوزه يازدهم – مطابقت با قوانينهدف : اجتناب از هر نقض قانون و مقررات ، اطمينان از تطبيق سيستمها با استانداردها و سياست هاي امنيتي سازمان ، و افزايش اثربخشی وکاهش اختلال در فرايند مميزیحفاظت از سوابق سازمانیانطباق باالزامات قانونیشناسائی قوانين قابل اجراحقوق دارائی فکریکنترل قواعدرمزنگاری در توافقنامه ،آيين نامه و..حفاظت داده ها وحريم خصوصي اطلاعات شخصیپيشگيری از استفاده نابجا از امکان پردازش اطلاعات

اسلاید 55: حوزه يازدهم – مطابقت با قوانينانطباق با خط مشی ها و انطباق فنیانطباق با خط مشی واستانداردهای برای اطمينان مديرانبررسی و بروز نگهداری انطباق فنیکنترل های مميزی سيستم های اطلاعاتیحفاظت از ابزارهای مميزی سيستم های اطلاعاتیبازرسی مميزی سيستم های اطلاعاتی

اسلاید 56: طرح پشتيبانی از حوادثاجراي طرح امنيت شبکه و اطلاعات ( ISMS )در يک سازمان موجب ايجاد حداکثري امنيت در ساختار شبکه و اطلاعات سازمان خواهد شد . اما با گذشت زمان ، روش هاي قبلي از جمله نفوذ به شبکه ها تغيير خواهند يافت و سيستم امنيتي شبکه و اطلاعات سازمان بر اساس تنظيمات قبلي قادر به حل مشکلات جديد نخواهند بود . از طرفي ديگر هر روزه آسيب پذيري هاي جديدي شبکه و اطلاعات سازمان را تهديد مي نمايند و در صورتي که از راه حل هاي جديد استفاده ننمائيم ، سيستم شبکه و اطلاعات سازمان بسيار آسيب پذير خواهد شد و عملا فعاليت هاي چندساله و هزينه هاي انجام شده در زمينه امنيت شبکه و اطلاعات بي فايده خواهد شد.براي حل مشکلات ذکر شده در سيستم مديريت امنيت اطلاعات و شبکه ، تشکيلات وطرح های پشتيباني امنيت ، پيش بيني شده است . مهمترين اين روش ها ، طرح پشتيباني از حوادث مي باشد .

اسلاید 57: طرح پشتيبانی از حوادثدسته بندی حوادث حوادث امنيتي به همراه عوامل آنها دسته بندی مي‌گردد . برخي از اين دسته بندي ها عبارتند از : کدهاي مخرب دسترسي غير مجاز ممانعت از سرويس ..............پاسخ به حوادث پاسخ گوئي به حوادث يکي از ضروري ترين کارها مي باشد چرا که تکرار حملات مي تواند منجر به افزايش دامنه خسارات و زيان هايي بر سرمايه هاي سازماني گردد . در اين قسمت ضرورت‌هاي پاسخ به حوادث وفوايد آن ذکر مي گردد.

اسلاید 58: طرح پشتيبانی از حوادثارائه سياست ها و رويه هاي پشتيباني حوادثساختار تيم پشتيباني حوادث معرفي و انتخاب انواع تيم هاي پشتيباني حوادث تيم پاسخ به حوادث مرکزي تيم پاسخ به حوادث توزيع شده تيم اطلاع رساني معرفي و انتخاب پرسنل وظايف تيم پشتيباني حوادثارزيابي آسيب پذيري ها تشخيص تهاجم آموزش اطلاع رساني ......

اسلاید 59: متدولوژی پشتيبانی از حوادث فاز های مختلف اين متدولوژی عبارتند از :آماده سازی تشخيص و تحليلمحدود سازی ، ريشه کنی و ترميمفعاليت های بعد از ترميم آماده سازی تشخيص و تحليل محدود سازی ريشه کنی و ترميم فعاليت های بعد از ترميم

اسلاید 60: انتخاب کنترل هاي مناسب استاندارد ISO 27001 براي سازمان با توجه به خروجي فاز هاي قبلي ، آندسته از کنترل هاي استاندارد ISO 27001 که براي سازمان مناسب مي باشند انتخاب مي گردد. سپس ارتباط اين کنترل ها و راهکار هاي ارائه شده در فاز قبلي مشخص مي گردد بعبارتی راهکار هاي لازم براي پياده سازي کنترل هاي انتخابي ارائه ميگردد .

اسلاید 61: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان

اسلاید 62: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانمتشکل از سه جزء اصلي به شرح زير مي باشد:در سطح سياستگذاري: کميته راهبري امنيت فضاي تبادل اطلاعات دستگاهدر سطح مديريت اجرائي: مدير امنيت فضاي تبادل اطلاعات دستگاهدر سطح فني: واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه

اسلاید 63: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان

اسلاید 64: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف کميته راهبري امنيتبررسي، تغيير و تصويب سياستهاي امنيتي پيگيري اجراي سياستهاي امنيتي از مدير امنيت تائيد طرح‌ها و برنامه‌هاي امنيت سازمان شامل:طرح تحليل مخاطرات امنيتيطرح امنيت شبکهطرح مقابله با حوادث و ترميم خرابيهابرنامه آگاهي‌رساني امنيتي کاربرانبرنامه آموزش های امنيتی

اسلاید 65: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف مدير امنيت:تهيه پيش نويس سياستهاي امنيتي و ارائه به کميته راهبري امنيتتهيه طرح‌ها و برنامه‌هاي امنيت سازمان با کمک واحد مشاوره و طراحي نظارت بر اجراي کامل سياستهاي امنيتيمديريت ونظارت بر واحد پشتيباني امنيت سازمان تشخيص ضرورت و پيشنهاد بازنگري و اصلاح سياستهاي امنيتي تهيه پيش نويس تغييرات سياستهاي امنيتي

اسلاید 66: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانشرح وظايف پشتيباني حوادث امنيتي :مرور روزانه Log فايروالها، مسيريابها، تجهيزات گذرگاههاي ارتباط با ساير شبکه‌ها و سرويس‌دهنده‌هاي شبکه داخلي و اينترنت دستگاه، بمنظور تشخيص اقدامات خرابکارانه و تهاجم.مرور ترددهاي انجام شده به سايت و Data Centre و گزارش اقدامات انجام شده توسط کارشناسان و مديران سرويسها.مرور روزانه گزارش سيستم تشخيص تهاجم به منظور تشخيص تهاجم‌هاي احتمالي.انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جديد.ترميم خرابيهاي ناشي از تهاجم جديد.مستندسازي و ارائه گزارش تهاجم تشخيص داده شده به تيم هماهنگي و آگاهي‌رساني امنيتي.اعمال تغييرات لازم در سيستم امنيت شبکه، بمنظور مقابله با تهاجم جديد.مطالعه و بررسي تهاجم‌هاي جديد و اعمال تنظيمات لازم در سيستم تشخيص تهاجم و ساير بخشهاي سيستم امنيت شبکه.ارائه پيشنهاد در خصوص تغييرات لازم در سيستم امنيتي شبکه بمنظور مقابله با تهديدهاي جديد، به مدير امنيت شبکه.آگاهي‌رساني به کاربران شبکه در خصوص روشهاي جديد نفوذ به سيستم‌ها و روشهاي مقابله با آن، آسيب‌پذيريهاي جديد ارائه شده براي سيستم‌هاي مختلف و روشهاي بر طرف نمودن آنها.

اسلاید 67: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانبررسي و در صورت نياز، انتخاب، خريد و تست نرم افزار ضدويروس مناسب براي ايستگاههاي کاري و سرويس دهنده‌هاي شبکه دستگاه به صورت دوره‌اي ( هر سال يکبار) نصب نرم‌افزار ضدويروس روي ايستگاههاي کاري مديران و ارائه اطلاعات لازم به ساير کاربران، جهت نصب نرم‌افزار.نصب نرم‌افزار ضدويروس روي کليه سرويس‌دهنده‌هاي شبکه دستگاه.تهيه راهنماي نصب و Update نمودن نرم‌افزار ضدويروس ايستگاههاي کاري و سرويس‌دهنده‌ها و ارائه آن به کاربران شبکه از طريق واحد هماهنگي و آگاهي‌رساني امنيتي.مرور روزانه Log و گزارشات نرم‌افزارهاي ضد ويروس.مطالعه و بررسي ويروسهاي جديد و روشهاي مقابله با آن.ارائه روشهاي مقابله با ويروسها به تيم هماهنگي و آگاهي‌رساني امنيتي، جهت اعلام به کاربران و انجام اقدامات لازم.انجام اقدامات پيشگيرانه لازم بمنظور کنترل دامنه تاثير ويروسهاي جديد.ترميم خرابيهاي ناشي از ويروسهاي جديد.مستندسازي و ارائه گزارشهاي آماري از ويروسها، مقابله با آنها و خرابيهاي ناشي از ويروسها در شبکه دستگاه، به تيم هماهنگي و آگاهي‌رساني امنيتي.

اسلاید 68: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانانتخاب ابزارهاي مناسب جهت محافظت فيزيکي از تجهيزات و سرمايه‌هاي شبکه در مقابل حوادث فيزيکي و دسترسي‌هاي غيرمجاز .مرور روزانه رويدادنامه‌هاي دسترسي فيزيکي به سرمايه‌هاي شبکه، بويژه در سايت.سرکشي دوره‌اي به سايت، تجهيزات مستقر در طبقات ساختمانها و مسير عبور کابلها به منظور اطمينان از تامين امنيت فيزيکي آنها.مطالعه و بررسي حوادث فيزيکي جديد و روشهاي مقابله با آن.ارائه روشها به تيم هماهنگي و آگاهي‌رساني امنيت جهت اعلام به کاربران و انجام اقدامات لازم.انجام اقدامات لازم بمنظور کنترل دامنه حوادث فيزيکي.ترميم خرابيهاي ناشي از حوادث فيزيکي.مستندسازي و ارائه گزارشهاي آماري از حوادث فيزيکي، مقابله با اين حوادث و خرابيهاي ناشي از آنها به تيم هماهنگي و آگاهي‌رساني امنيتي.ارائه پيشنهاد در خصوص Update نمودن تجهيزات و روشهاي تامين امنيت فيزيکي به مدير امنيت شبکه.ارائه اطلاعات لازم جهت آگاهي رساني به کاربران در خصوص حوادث فيزيکي، توسط تيم هماهنگي و آگاهي‌رساني امنيتي.

اسلاید 69: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانشرح وظايف نظارت و بازرسي مانيتورينگ ترافيک شبکه ( در حيطه مانيتورينگ مجاز )بازرسي دوره اي از ايستگاههاي کاري، سرويس‌دهنده‌ها، تجهيزات شبکه و ساير سخت‌افزارهاي موجود شبکه، به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.بازرسي دوره اي از سخت‌افزارهاي خريداري شده و تطبيق پروسه سفارش، خريد، تست، نصب و پيکربندي سخت‌افزارهاي شبکه دستگاه با سياستهاي مربوطه.بازرسي دوره اي از نرم‌افزارهاي موجود شبکه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.بازرسي دوره اي از نرم‌افزارهاي خريداري شده و تطبيق پروسه سفارش، خريد، تست، نصب و پيکربندي نرم‌افزارهاي شبکه دستگاه با سياستهاي مربوطه.بازرسي دوره اي از نحوه اتصال شبکه داخلي و شبکه دسترسي به اينترنت دستگاه، با ساير شبکه‌هاي مجاز، بر اساس سياستهاي امنيتي مربوطه.بازرسي دوره اي از اطلاعات شبکه دستگاه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.بازرسي دوره اي از کاربران شبکه دستگاه به منظور اطمينان از آگاهي کاربران از حقوق و مسئوليتهاي خود و رعايت سياستهاي امنيتي مرتبط با خود.بازرسي دوره اي از روند تهيه اطلاعات پشتيبان.بازرسي دوره اي از روند تشخيص و مقابله با حوادث امنيتي در شبکه دستگاه.بازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاه.

اسلاید 70: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانبازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاهبازرسي دوره اي از روند تشخيص و مقابله با حوادث فيزيکي در شبکه دستگاهبازرسي دوره اي از روند نگهداري سيستم امنيتي شبکه در شبکه دستگاهبازرسي دوره اي از روند مديريت تغييرات در شبکه دستگاهبازرسي دوره اي از روند آگاهي‌رساني امنيتي به کاربران شبکه دستگاهبازرسي دوره اي از روند آموزش پرسنل واحد پشتيباني امنيت شبکه دستگاهبازرسي دوره اي از روند واگذاري فعاليت‌ها به پيمانکاران خارج از دستگاه

اسلاید 71: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانشرح وظايف مديريت تغييراتبررسي درخواست خريد، ايجاد يا تغيير سخت‌افزارها، نرم‌افزارها، لينکهاي ارتباطي، سيستم‌عاملها و سرويسهاي شبکه از ديدگاه امنيت شبکه، آسيب‌پذيريهاي سيستم يا سرويس مورد نظر، مشکلات امنيتي ناشي از بکارگيري آن بر ساير بخشهاي شبکه و نهايتا تصميم‌گيري در خصوص تائيد يا رد درخواست.بررسي آسيب‌پذيري سخت‌افزار، نرم‌افزار کاربردي، سيستم عامل، خطوط ارتباطي و سرويسها و امنيت شبکه.آگاهي‌رساني به طراحان شبکه و امنيت شبکه در خصوص آسيب‌پذيري فوق، بمنظور لحاظ نمودن در طراحي.ارائه گزارش بررسي‌ها به تيم هماهنگي و آگاهي‌رساني امنيت شبکه.بررسي موارد مربوط به جابجائي کاربران شبکه و پرسنل تشکيلات امنيت شبکه بمنظور تغيير در دسترسي و حدود اختيارات آنها در دسترسي به سرمايه‌هاي شبکه.بررسي نيازمنديهاي امنيتي و روشهاي ايمن‌سازي سيستم عاملها، سرويس‌دهنده‌هاي شبکه، خطوط ارتباطي، نرم‌افزارها، تجهيزات شبکه و امنيت شبکه جديد که بکارگيري آنها در شبکه، مورد تائيد قرار گرفته است.ارائه دستورالعمل‌هاي ايمن‌سازي و پيکربندي امن براي هر يک از موارد فوق

اسلاید 72: اجزاء و ساختار تشکيلات امنيت اطلاعات سازمانشرح وظايف نگهداري امنيت بررسي وضعيت عملکرد سيستم امنيتي شبکه، شامل:عملکرد صحيح فايروالها.عملکرد صحيح سيستم تشخيص تهاجم.عملکرد صحيح سيستم ثبت وقايع.عملکرد صحيح سيستم تهيه نسخه پشتيبان.ارائه گزارشات دوره ای در خصوص عملکرد سيستم امنيتي ارائه گزارشات آماري از وضعيت سيستم امنيتي شبکه.رفع اشکالات تشخيص داده شده در عملکرد سيستم امنيتي

اسلاید 73: چرخه استمرار پياده سازی ISMSبهبود مستمربرنامهاقدامبررسياجراخط مشي برنامه PLANاستقرار ISMS شامل تعيين خط مشي ها، اهداف، فرايندها و روالها به منظور مديريت مخاطرات در راستاي اهداف سازمان است. در اين مرحله، بايد سرمايه اوليه راه اندازي ISMS، روشهاي مستند سازي، مديريت مخاطرات وروشهاي اختصاص منابع مشخص شود. بايد مطمئن شد كه“ محتوا و محدوده ISMS بطور دقيق و مناسب مشخص شده است“. فعاليتهاي مورد نياز در اين مرحله عبارت‌اند از: 1- تعريف محدوده (Scope) 2 - تعريف خط مشي ISMS 3 - تعيين تهديدات 4 - ارزيابي تهديدات 5 - انتخاب كنترل‌هاي مناسب

اسلاید 74: چرخه استمرار پياده سازی ISMSاجرا Doدر اين مرحله كليه كنترل‌ها‌بايدعملياتي شوندرويه‌هايي براي تشخيص سريع و پاسخگويي به حوادث لازم مي باشد.آگاه نمودن كليه كارمندان و افراد سازمان نسبت به امنيت در سازمانآموزشهاي لازم جهت عملكرد مناسب براي برخورد با ريسك و تهديدخلاصه اي از فعاليتهاي اين مرحله عبارت است از: _ فرموله كردن طرح برخورد با مخاطرات_ اجراي طرح برخورد با مخاطرات_ پياده سازي كنترل‌هاي امنيتي انتخاب شده_ اجراي برنامه هاي آموزش و آگاهي‌رساني _ مديريت منابع و فعاليتها

اسلاید 75: چرخه استمرار پياده سازی ISMSبررسی Checkهدف اين مرحله اطمينان ازاجراي بموقع كنترل‌هاي امنيتي و برآورده شدن اهداف امنيت اطلاعات است. ارزيابي ميزان كارايي و مؤثر بودن ISMS اجراي روالهاي ارزيابي و مرور فرايندها و خط مشي ها انجام بازرسيهاي دوره‌اي درون سازماني و برون سازماني فعاليتهاي كنترلي متنوع بازرسيهاي داخلي ISMSومديريت بازبيني از مراحل پياده سازي امنيتنتايج حاصل از بازبيني سيستم‌هاي تشخيص نفوذ،واقعه نگاري، دسترسيهاي غيرمجازبه شبكه و عبور از سيستم‌هاي امنيتي ، جهت بهبود عملكرد سيستم امنيتي شبكه، استفاده و سپس در سياستهاي امنيتي شبكه اعمال مي شود.

اسلاید 76: چرخه استمرار پياده سازی ISMSاقدام ACTاقدامات اصلاحي در جهت بهبود ISMS براساس نتايج مرحله ارزيابي اين اقدامات در دو مقوله طبقه بندي ميگردد.1 - بر اساس مرحله خاصي از زمان : در زمان تعامل فناوري با اطلاعات، عكس العمل لازم در برابر يك مشكل امنيتي ميتواند از نوع پيشگيرانه (كنشي) يا اصلاحي (واكنشي) باشد. 2- بر اساس سطوح پياده سازي نظامهاي امنيتي: فناوري امنيت اطلاعات،از نوع واكنشي ويااز نوع كنشي را مي توان در سه سطح‌، شبكه‌، ميزبان، برنامه هاي كاربردي‌، پياده‌سازي نمود.

اسلاید 77:

اسلاید 78: مميزي داخلي سازمان در حوزه کاري (Scope ) در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليست ها و مستندات مربوط به سرمميزي استاندارد ISO 27001 , توسط شخص يا تيم مميز کننده ، کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررسي مي گردند تا در صورتيکه انحرافي نسبت به اهداف استاندارد وجود دارد ، سريعا برطرف گردد . پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود ، سازمان آماده دريافت گواهينامه بين‌المللي استاندارد ISO 27001 مي باشد .

اسلاید 79: صدور گواهينامه بين‌المللي استانداردISO 27001 در پايان پروژه و پس از اينکه تشخيص داده شد که سازمان آماده دريافت گواهينامه مي باشد و در صورت تمايل مديريت سازمان ، از يک مرکز تصديق معتبر (Certification Body - CB) براي صدور گواهينامه دعوت بعمل مي آيد .

اسلاید 80: مزاياي دريافت گواهينامه افزايش اعتبار سازمان تضمين پاسخگوييتسريع بهبود فرايند هاتضمين تعهد مديريت تمايل يافتن مشتريان ايجاد انگيزه در كاركنان گواهينامهISMS

اسلاید 81: مميزيدوره اي پيگيري گواهينامه Certification Body مميزي اوليهبرآورداوليهدريافت گواهينامهآموزش وآگاه سازي در سطوح مختلفمطالعات اوليه پياده سازي شركت مشاورمميز ها قرارداد مشاورهگواهينامه ISMS

اسلاید 82: با سپاس وتشکر مهديه کشميریkashmiri@um.ac.ir