Information Security Management System

صفحه 1:


صفحه 2:
لا 0 'اهميت امنيت در ۰ 

صفحه 3:
Pe hh 5 پیسع ت امنیت اطلاعات" است rity Management System IEC Iso ‎elie ey Usp eye any‏ تبرت ‎ 

صفحه 4:


صفحه 5:


صفحه 6:


صفحه 7:


صفحه 8:
AN ‏الا‎ 

صفحه 9:


صفحه 10:
«هظ 

صفحه 11:
operate the Do 

صفحه 12:
review the Check 

صفحه 13:
prove the Act 

صفحه 14:


صفحه 15:


صفحه 16:
0 

صفحه 17:
‎g‏ اهداف. استراتژی و ‎ 

صفحه 18:
و ARAN ۳۱ ۳ 

صفحه 19:
۱ تا 9 

صفحه 20:
ET مدیریت سازمان 4 متصدى امنيت سازمان ©( adi ¥ متصدى امنيت '11 

صفحه 21:


صفحه 22:
اطلاعات است که وظیفه اه رسیدن به این اهداف و مدیریت امنیت وظیفه a Lt | 

صفحه 23:


صفحه 24:


صفحه 25:
SAAN 

صفحه 26:


صفحه 27:


صفحه 28:
۳ 0 

صفحه 29:


صفحه 30:


صفحه 31:
۱ 20000 

صفحه 32:


صفحه 33:
Information Security M An 

صفحه 34:


صفحه 35:


ISMS Information Security Management System • اهميت امنيت در زندگي روزمره : آرامش در زندگي بدون امنيت امکانپذير نيست . • اهميت امنيت در سيستم هاي اطالعاتي : بدون اط)مينان از ام)ن بودن س)يستم هاي اطالعات)ي اعتماد ب)ه آنه)ا محال اس)ت مگر براي افراد نا آگاه .  ISMSچ)يست؟ برگرفته از کلم)ات زي)ر و به معناي “س)يستم مديري)ت امنيت اطالعات” است . ‏Information Security Management System ي و ( IECكميس)يون ب)))ين ( ISOس))از)مانب)))ي)نا)لملل)يا)س)تاندارد س))از) ) )ك در كنار ه)م س))يستم ت)))خص)صيا)س)تاندارد س))از)يج)ه)ان)يرا ا)لملل)يا)لكترو)ت)كني ) )ت ت)شكيلداد)ه) ا)ند ک))ه ب)))ا)التري)نم)رج)ع ا)س)تاندارد)ساز)ي ISMSا)س . هدف از تدوين استانداردهاي : ISMS هدف از تهي)ه اي)ن اس)تاندارد بي)ن الملل)ي ،ارائ)ه مدل)ي اس)ت كه بر اس)اس آ)ن بتوان ي)ك سيستم مديري)ت امني)ت اط)العات ي)ا همان ISMSرا ايجاد ،اجرا ،بهره برداري ،پايش ،بازنگري ، نگهداري و بهبود و ارتقاء بخشيد . علل بروز مشكالت امنيتی • ضعف فناوری • ضعف پيكربندی • ضعف سياست ها ض)ع)ف) ف)ن)ا)و)ر)ی • ضعف پروتكل TCP/IP • ضعف سيستم عامل • ضعف تجهيزات شبكه ای ض)ع)ف) پ)ي)كر)ب)ن)د)ی • استفاده غيرايمن) از accountكاربران • استفاده از system accountكه رمز عبور آنها به سادگی قابل تشخيص است. • عدم پيكربندی صحيح سرويس های اينترنت • غيرايمن بودن تنظيمات پيش فرض در برخی محصوالت • عدم پيكربندی صحيح تجهيزات شبكه ای ض)ع)ف) س)ي)ا)س)ت ه)ا) • عدم وجود يك سياست امنيتی مكتوب • سياست های سازمانی • رها كردن مديريت امنيت شبكه به حال خود • نصب و انجام تغييرات مغاير با سياست های تعريف شده  استفاده ميPDCA از مدلISO27001 در استاندارد شود Requirements and expectations Plan Do Act Check Results Plan : establish the ‏isms )نیتط)العات )دیریتم ا) ا) Planـ ا)یجاد س))یستم م س)ياست و خ)ط مش)ی ، ISMSاهداف ،فرآينده)ا و رويه های متناس)ب ب)ا مديري)ت خط)ر و بهبود امنيت اطالعات را تعيي)ن نمايي)د و نتاي)ج را بر اس)اس س)ياست ها و اهداف کلی سازمان ها تبيين نماييد . Do : implement and operate the ‏isms Doـ پ)))یاد)ه) س))از)یو ا)جرا)یس))یستم )نیتط)العات )دیریتم ا) ا) م س)ياست ، ISMSکنترل ه)ا ،فرآينده)ا و روي)ه ها را پياده نموده و از آنها بهره برداری کن . Check:monitor and review the ‏isms Checkـ پ))ایشو ب)))از)ن)گری س))یستم )نیتط)العات )دیریتم ا) ا) م اجرای فرآين)د را بر اس)اس س)ياست ، ISMSاهداف و تجرب)ه عملی مورد ارزشياب)ی و در ص)ورت امکان مورد س)نجش قرار بده و نتايج را جهت بازنگری در اختيار مديريت قرار بده . Act : maintainand improve the ‏isms )دیریتم)نیت ا) Actـ ن))گه)دار)یو ب)))هبود س))یستم م ا)ط)العات بر اس)اس نتاي)ج مميزی داخل)ی ISMSو بازنگری مديريت)ي ي)ا ساير اطالعات مربوط)ه ،اقدامات اص)الحی ي)ا پيشگيران)ه را اتخاذ نماييد تا بهبود مستمر ISMSمحقق گردد . Isms سرفصل هاي : ISO27001 َ A.5خط مشي امنيت )نيتط)العات A.6س))اخ)تار ا)م ا) A.7م)ديري)تدارا)ي)يها A.8ا)م)نيتم)ناب)ع ا)ن)سان)ي A.9ا)م)نيتف))يزي)کيو پ)))يرا)مون)ي )تر)ت)باطاتو ع)مليات A.10م)ديري ا A.11ک))نترلورود )تسابت))وس)عه و ن))گه)دار)يس))يستم هايا)ط)العات)ي ، A.12ا)ک َ A.13مديريت حادثه امنيت اطالعاتي A.14م)ديري)تت))داو)م ک))ار)ي A.15ا)ن)طباق چرخه ی حیات مهندسی امینت ت) مشي امني امنيت خطمشي تهيةخط تهية ‏IT ‏IT امنيت جنبهه تشكيالتيامنيت ‌هايتشكيالتي ‌هاي جنب ‏IT ‏IT ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پيادهه ‌سازي پياد ‌هاي ش ‌رساني آگاهيي ‌هاي روروش ‌رساني آگاه دفاعي امنيتي دفاعي امنيتي مراحل پيگيريمراحل پيگيري تهية خط مشي امنيت IT امنيت مشيامنيت خطمشي تهيةخط تهية ‏IT ‏IT جنبه‌هاي تشكيالتي امنيت ‏IT مديريت امنيت IT پياده‌سازي آگاهي‌رساني امنيتي روش‌هاي دفاعي پيگيري مراحل تهية خط مشي امنيت IT براي ايجاد امني)ت در ي)ك س)ازمان ،اولي)ن قدم تدوي)ن اهداف ،اس)تراتژي و خط مشي امنيتي سازمان است. • اهداف ()Objectives • استراتژي ()Strategy • خط مشي ()Policy سلسله مراتب اهداف ،استراتژي و خط مشي اهداف ،استراتژي و خط مشي سازمان اهداف ،استراتژي و خط مشي اهداف ،استراتژي و خط مشي مالي سازمان امنيتي سازمان اهداف ،استراتژي و خط مشي اهداف ،استراتژي و خط مشي امنيت پرسنل سازمان امنيت ITسازمان اهداف ،استراتژي و خط مشي اهداف ،استراتژي و خط مشي سيستم (IT )n سيستم (IT )1 جنبه‌هاي تشكيالتي امنيت IT تهية خط مشي امنيت IT جنبه‌هاي تشكيالتي امنيت ‏IT مديريت امنيت IT پياده‌سازي آگاهي‌رساني امنيتي روش‌هاي دفاعي پيگيري مراحل جنبه‌هاي تشكيالتي امنيت IT مدیریت سازمان متصدي امنيت سازمان دستورالعمل‌ها و خط مشي امنيتي ‏ITسازمان متصدي امنيت IT متصدي امنيت زير بخش متصدي امنيت سيستم دستورالعمل‌ها و خط مشي زیربخش ‏IT دستورالعمل‌ها و خط مشي امنیتی ITسیستم 1 مديريت امنيت ‏IT تهية خط مشي امنيت IT جنبه‌هاي تشكيالتي امنيت ‏IT مديريت امنيت IT پياده‌سازي آگاهي‌رساني امنيتي روش‌هاي دفاعي پيگيري مراحل مديريت امنيت ‏IT مديري)ت امني)ت اطالعات بخش)ي از مديري)ت اطالعات اس)ت كه وظيف)ه تعيي)ن اهداف امني)ت و بررس)ي موان)ع س)ر راه رس)يدن ب)ه اي)ن اهداف و ارائ)ه راهكارهاي الزم را بر عهده دارد .همچني)ن مديري)ت امني)ت وظيف)ه پياده س)ازي و كنترل عملكرد س)يستم امني)ت س)ازمان را بر عهده داشت)ه و در نهايت بايد تالش كند تا سيستم را هميشه روزآمد نگه دارد. مديريت امنيت ‏IT مدیریت امنیت ITشامل موارد زیر است: ‏مدیریت پیکربندی ‏مديريت تغييرات ‏مديريت مخاطرات مديريت پيكربندي فرآيندي اس))))ت براي حص))))ول اطمينان از اينكه تغييرات در س)يستم تأثي)ر کنترلهاي امنيت)ي و ب)ه تب)ع امني)ت كل س)يستم را كاهش ندهد. مديريت تغييرات فرآيندي است كه براي شناسايي نيازمنديهاي جديد امنيتي در هنگام بروز تغيير در سيستم ITانجام ميشود. • انواع تغييرات در سيستم : IT بروز رساني نرمافزارهاروالهاي جديد تجديد سختافزارها -كاربران جديد -اتصاالت جديد شبكه ... - مدیریت مخاطرات یک)ی از مهمترین قابلیتهای ISMSک)ه در ه)ر س)ازمانی ب)ه فراخور نیاز باي)د انجام می­شود ،مدیریت مخاطرات ي))ا Risk Managementاس))ت. ریس)ک یا مخاطره عبارت اس)ت از احتمال ضرر و زیان)ی ک)ه متوج)ه یک دارایی س)))ازمان (در اینج)))ا اطالعات) میباشد .عدم قطعیت (در نتیج)))ه مقیاس ناپذیری) یک)ی از مهمترین ویژگیهای مفهوم) ریس)ک اس)ت .طبع)ا این عدم قطعیت به معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. مدیریت مخاطرات • مديريت مخاطرات فرآيندي است براي شناسايي و ارزيابي: • داراييهاي كه بايستي حفاظت شوند ()Assets • تهديدات ()Threats • رخنهها ()Vulnerabilities • آسيبها ()Impacts • مخاطرات ()Risks • روشهاي مقابله ()Safeguards • ريسك باقي مانده ()Residual Risks مدیریت مخاطرات ايجاد منجر به با استفاده از رخنه عامل تهديد تهديد تاثير مستقيم بر مخاطره دارايي موجب آسيب به با در معرض خطر قرار دادن حفاظ كاهش با صحت ،موجوديت) ،تماميت تهية خط مشي امنيت IT جنبه‌هاي تشكيالتي امنيت ‏IT مديريت امنيت IT پياده‌سازي آگاهي‌رساني امنيتي روش‌هاي دفاعي پيگيري مراحل پياده‌سازي • آگاهي‌رساني امنيتي • روش‌هاي دفاعي تهية خط مشي امنيت IT جنبه‌هاي تشكيالتي امنيت IT مديريت امنيت IT پياده‌سازي آگاهي‌رساني امنيتي روش‌هاي دفاعي پيگيري مراحل کنترلهاي امنيتي تجربيات ,روالها يا مكانيزمهاي محافظت در مقابل) تهديدات • کنترلهاي امنيتي در حوزههاي زير قابل اعمال هستند : سختافزار (پشتيباني ,كليدها و )... نرمافزار (امضاء رقمي ,ثبت وقايع ( , )Logابزارهاي ضد ويروس) ارتباطات (فايروال ,رمزنگاري) محيط فيزيكي (نرده و حفاظ و )... پرسنل (آگاهي رساني و آموزش ,روالهاي استخدام ,عزل و استعفا و )... کنترل استفاده از سيستمها (احراز اصالت ,كنترل دسترسي و )... کنترلهاي امنيتي از يكديگر مستقل نيستند و بايستي آنها را به صورت تركيبي استفاده نمود. ISMS Information Security Management System Refrence • • • • • ISO/IEC 27001:2005 ISO9001:2000 ISO /IEC 13335-1:2004 ISO/IEC 13335-4:2000 OECD , Guidelines for the security of information • ISO/IEC Guide 26/1996