ISMS چیست؟

صفحه 1:
5 اچیسک ‎٩‏ مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده های حساس یک سازمان» » به طور سیستماتیک, استفاده می شود. ‏© هدف 151/15 كمينه كردن ريسك است. 

صفحه 2:
گامهای لازم برای ارزیابی مخاطرات © كام اول: شناخت دارایی ها ‎٩‏ گام دوم: ارزش گذاري دارايي ها © گام سوم: تعیین آسیب پذيري 9 كام چهارم: محاسبه تهدید ‏© كام پنجم: محاسبه میزان ريسك ‏تعاریف استفاده شده در این مستند از 13335-1 ۲۳8 150/180 اخذ ‏© شده است. ‎ 

صفحه 3:
گام اول: شناخت داراییها کلیه دارایی ها شناخته شده و در ۵ گروه طبقه بندی می شود. ° دارايي های اطلاعات ايل هاي الكترونيكي. يايكاه هاي داده مربوط به نرم افزارهاي موجود در سازمان دارايي هاي كاغذي ‏ . مستندات مکتوب مانند قراردادهاء راهنماهاي كاربري و ... دارايي هاي پرسنلي رمتدان کارشناسان و مدیران دارايى هاي نرم افزاري نرم اقزارهاي كاربردي. سيستم هاي عامل و . دارابي هاي سخت افزاري تجهيزات مرتبط با فناوري اطلاعات مانند: سرور. سوبيج. روتر و . 

صفحه 4:
گام دوم: ارزش گذاري دارابیها از سه مولفه استفاده می شود. ارزش هر دارايي تركيبي از میزان اهمیت هر یک از مولفه ها براي آن دارايي مي باشد. ‎(Confidentiality) si. . °‏ امکان دسترسي به اطلاعات و دارايي ها فقط براي افراد مجاز ‎(۲69۲۱۲۷ ‏صحت‎ ٩ ‏حفظ دارايي ها و درستي و کامل بودن آنها‎ ‎Availability) 2.0 ° © ‏امكان دسترسى به دارايى ها توسط افراد مجاز در زمان مورد نياز ‎ 

صفحه 5:
گام دوم 7 روش ارزش ‎GIF‏ ۲ ‏هر یک از مولفه ها ارزشی بین ۱ تا‎ ٩ 2 پارامترهاي تأثیرگذار در ارزش گذاري دارايي: * تاثیر دارايي بر اهداف و فعاليتهاي اصلي کسب و کار اثیر دارايي بر وجهه و اعتبار در ايجاد وقفه هاي كاري * ميزان تاثير دارابي از نظر مالي و تجاري 

صفحه 6:
گام دوم -"ارزش گذاری 7 ارزش ۱ ارزش 1: ‎٩‏ محرمانگی در صورتي که افراد غیر مجاز بتوانند به دارا به پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد © تن در صورتي که درستي و بكپارچگي دارايي از بین برود . با توجه به پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت. دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نیاز دسترسي پیدا کنند. با توجه به پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت. 

صفحه 7:
گام دوم "ارزش گذاری 7 ارزش ۲ ارزش 2: ‎٩‏ محرمانگي در صورتي که افراد غیر مجاز بتوانند به دارايي دسترسي پیدا کنند. با توجه به پارامترهاي تاثیر گذار تاثیر سوء متوسط یا نسبتا زيادي خواهد داشت. 7 صحت در صورتي که درستي و بکپارچگي دارايي از بین برود با توجه به پارامترهاي تاثیر گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت. دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نیاز دسترسي پیدا کنند. با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء متوسط یا نسبتا زيادي خواهد داشت. 

صفحه 8:
گام دوم -ارزش گذاری 7 ارزش ۲ ارزش ۳: © محرمانكي در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پیدا کنند. با توجه به ارمترهاي تاثیر گذار تاثیر سوء بسیار زيادي خواهد داشت. ° صحت در صورتي که درستي دارايي از بين برود . با توجه به پارامترهاي تاثیر گذار تاثیر سوء بسیار زيادي خواهد داشت. ‎٩‏ دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نیاز دسترسي پیدا کنند. با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء بسیار زيادي خواهد داشت. 

صفحه 9:
گام دوم -ارزش گذاری 7 ارزش کل دارایی ارزش دارابی برابر است با : صحت + محرمانگی + 

صفحه 10:
گام دوم -ارزش گذاری 7 جدول ارزش کل دارایی بش ا دسترسى |محر صحت لك | يلك ۳ دارابي 

صفحه 11:
گام سوم: تعیین آسیب پذيري براي هر گروه از دارايي ها * شناخت آسیب پذيري ها © شدت آسیب پذیری: عددي بین 1 تا 3 1° اين آسيب يذ اي نقطه ضعفي است که عامل كوچكي براي در معرض خطر قرار دادن دارابي محسوب مي شود. 20 این آسیب پذيري نقطه ضعفي است که عامل متوسطي براي در معرض خطر قرار دادن دارايي محسوب مي شود. 5 ي اين آسيب يذيري . نقطه ضعفي است كه عامل بزركي براي در معرض خطر قرار دادن دارايي محسوب مي شود 

صفحه 12:
گام سوم: تعیین آسیب پذيري - جدول 

صفحه 13:
گام سوم: انواع آسیب پذیریها - آسیب پذيريهاي داراييهاي اطلاعاتی آسیب پذيريهاي دارايبهاي اطلاعاني نگهداري نامناسب یا جايگذاري نامناسب رسانه هاي ذخیره سازي فقدان پيگيري مميزي آموزش ناكافي امنیتی فقدان نسخه هاي فقدان مکانیزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر فقدان شناسايي و اعتبار دهي به فرستنده و گیرنده ‏ 0 فقدان مکانيزمهاي نظارتي فقدان خط مشي هايي براي استفاده صحیح از رسانه هاي مخابراتي و پیام رساني عدم قابلیت اثبات ارسال يا دریافت یک پیام فقدان آگاهي رساني امنيتي مدیریت ضعیف کلمات عبور حساسیت به تشعشع الکترو مفناطيسي انتقال کلمات عبور به صورت ‎Clear Text‏ نسخه برداري کنترل نشده و و و و و و و وم و وم و و 

صفحه 14:
گام سوم: انواع آسیب پذیریها - آسیب پذيريهاي داراييهاي نرم افزاری واسط كاربري بيجيد © استفاده نادرست از سخت افزار و نرم افزار © نكهداري نامناسب يا جايكذ ‎٩‏ آموزش ناكافي امنیتی ‎٩‏ فقدان پيگيري مميزي ‎٩‏ فقدان نسخه هاي پشتیبان ‎° ‎° ‎٩‏ فقدان آگامي رساني امنيتي ‎٩‏ عدم خروج از سیستم (ألا0 ‎(LOG‏ هنگام ترک ایستگاه كاري ‎٩‏ فقدان آزمایش یا آزمایش ناكافي نرم افزار ‎٩‏ مدیریت ضعیف کلمات عبور ‏© انتقال کلمات عبور یه صورت 16 61637 دانلود و استفاده بدون کنترل از نم فزار وجود رخنه هاي مشخص در نرم افزار ‎50 

صفحه 15:
گام سوم: انواع آسیب پذیریها - آسیب پذيريهاي داراييهاي سخت افزاری ‎٩‏ شرایط چوي نامناسب ‎٩‏ استفاده بي دقت یا نامناسب از کنترل دسترسي فيريكي به ساختمان ها و اتاق ها ‏© رويه های نامناسب استخدام کار ‎ ‏۵ آموزش ناکافی امنیتی ‏0 فقدان آگاهي رساني امنيتي ‏© حساسیت به رطوبت و گرد و خاک ‎٩‏ حساسیت به تفییرات جوی ضساستة 2 انبار بی ‎bl‏ ‎ ‏ات ولتاژ ‎٩‏ عدم نظارت بر کار کارکنان نظافت یا کارکنان بيروني 

صفحه 16:
گام چهارم: محاسبه تهدید ‎٩‏ آسیب پذيري ها در مرحله قبل مشخص شده است. 9 هر تهدید متناظر با آسیب پذيري خاصي مي‌باشد. * محاسبه احتمال هر تهدید * محاسبه پیامد هر تهدید 

صفحه 17:
گام چهارم: محاسبه تهدید 7 احتمال تهدید 10° احتمال وقوع اين تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي کارشناسي انجام شده پایین مي‌باشد (مثلا هر چند سال یکبار) 20 احتمال وقوع اين تهدید با توجه به تج گذشته سازمان و بررسي هاي كارشناسي انجام شده در حد متوسط مي‌باشد (مثلا هر سال یکبار) 30 احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي کارشناسي انجام شده بالا مي‌باشد (مثلا هر سال چند بار) 

صفحه 18:
گام چهارم: محاسبه تهدید 7 پیامد تهدید © اين ييامد روي كدام يك از سه مولفه صحت. محرمانگي و دسترسي تاثیر گذار است. بر اساس تاثیر روي هر یک به ارزش دارايي مراجعه کرده و اعدادي که در آنجا به هر یک نسبت داده ایم را براي پیامد آنها محاسبه می کنیم. ‎٩‏ این قسمت رابطه مستفيمي با ارزش دارايي دارد. ‏پیامد تهدید برابر است با : صحت + محرمانگی + دسترسي 

صفحه 19:
گام چهارم: محاسبه تهدید 7 پیامد تهدید 361° حوادث بوجود آمده از تهدیدات در این سطح چندان جدي نمي‌باشند. عوارض اين نوع حوادث. وقفه هاي كاري كوتاه مدت و يا زيان مالي أندك به سازمان است كه با واكنش مناسب و با هزينه اندک قابل جبران است. ٩اه‏ حوادث بوجود آمده از تهدیدات در این سطح نسبتا جدي مي‌باشند. عوارض اين نوع حوادث. وقفه در کسب و کار سازمان . زیان مالي و خدشه به اعتبار سازمان است که با صرف هزینه نسبتا بالابي قابل جبران است. 967° حوادث بوجود آمده از تهدیدات در اين سطح بسیار جدي مي‌باشند. عوارض این نوع حوادث. وقفه هاي بلند مدت و تاثي ركذار كاري . زيان مالي كزاف و از دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف هزينه هاي بسيار زياد هم قابل جبران نيستند. 

صفحه 20:
گام چهارم: محاسبه تهدید 7 پیامد تهدید 

صفحه 21:
تهديدهاي متناظر با هر یک از آسیب پذيربهاي مرتبط با گروه داراییهای اطلاعاتی © - نگهداري نامناسب یا جايگذاري نامناسب رسانه هاي ذخیره سازي خرابي رسانه هاي ذخیره سازي و خطاي نگهداري © - فقدان 43 © - آموزش ناكافي امنیت خطاي کارکنان پشتیبان و عملياتي ‎٩‏ - فقدان نسخه هاي پشتیبان آتش 

صفحه 22:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای اطلاعاتی ‎٩‏ - فقدان مکانیزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر استفاده غیر قا م افزار پوشيدگي هویت کاربر ‎٩‏ - فقدان شناسایی و اعتبار دهی به فرستنده و گیرنده پوشش هویت کاربر " 1 ‏مسیر دهي و گروه بندي مجدد پیغام ها مسیر دهي مجدد پیام ها ‎٩‏ - فقدان مکانيزمهاي نظارتي ‏ورود و خروج غیر قانوني نرم افزار ‏استفاده غیر مجاز از نرم افزارها 

صفحه 23:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای اطلاعاتی © - فقدان خط مشي هايي براي استفاده صحیح از رسانه هاي مخابرلتي و ‎pl‏ رساني استقاده غیر مجاز از امکانات شبکه ‎٩‏ - عدم اثبات ارسال یا دریافت یک پیام انکار (سرویس هاء تعاملات و ارسال پیام) ‎ ‎ ‏اده غير قانوني از نرم افزار پوشيدگي هویت کاربر ‎٩‏ - حساسیت به تشعشع الکترو مغناطيسي تشعشع الکترومفناطيسي شارژ الکتریسیته ساکن 0 -انتقال کلمات عبور به صورت»(۲6 616۲ دسترسي به شبکه به وسیله افراد غیر مجاز - نسخه برداري کنترل نشده مرف ی ‎3 

صفحه 24:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای کاغذی 7 - شرایط جوي نامناسب خرابي دستگاه تهویه زلزله طوفان رعد و برق ‎٩‏ - استفاده بي دقت نامناسب از کنترل دسترسي فيربکي به ساختمان هاً و اتاق ها بمب گذاری سواستفاده از منابع استفاده غیر مجاز از رسانه ها آسیب رساني عمدي © - آموزش ناكافي امنیت خطاي کارکنان پشتیبان و عملياتي 

صفحه 25:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای کاغذی ‎٩‏ - عدم مستند سازي اشتباه کارکنا نیبان و عملياتي ‏0 - عدم حفاظت فیزیکی از ساختمان درها و پنجره ها حمله با بمب 1 سرقت ‎٩‏ - عدم نظارت بر کار کارکنان نظافت یا کارکنان بيروني سرقت ‎ 

صفحه 26:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای نرم افزاری ‎٩‏ - واسط کاربری پیچیده ‎ ‎٩‏ - استفاده نادرست از سخت افزار و نرم افزار ورود و خروج غیر قانوني نرم افزار خطاي کارکنان پشتیبان و عملياتي ‎٩‏ - نگهداري نامناسب جا جايگذاري نامناسب رسانه هاي ذخیره سازي خرابي رسانه هاي ذخیره سازي و خطاي نگهداري 5 1 © - آموزش ناكافي امنیت خطاي کارکنان پشتیبانی و عملياتي ‎٩‏ - عدم یا فقدان پيگيري مميزي ها استفاده غیر مجاز از نرم افزارها ‎ 

صفحه 27:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای نرم افزاری ‎٩‏ - فقدان نسخه هاي پشتیبان آتش نرم افزار مخرب ‎٩‏ - فقدان مکانیزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر استفاده غیر قانوني از نرم افزار 1 1 1 پوشيدگي هویت کاربر ‎٩‏ - فقدان مکانيزمهاي نظارتي ورود و خروج غیر قانوني نرم افزار" استفاده غیر مجاز از نرم افزارها ‎٩‏ - فقدان آگاهي رساني امنيتي خطاهای کاربر ‎ 

صفحه 28:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای نرم افزاری 7 - عدم خروج از سیستم (0۷28 09) هنگام ترک ایستگاه كاري استفاده از نرم افزار به وسیله کاربران غیر مجاز ‎٩‏ - فقدان آزمایش یا آزمایش ناكافي نرم افزار استفاده از نرم افزار به وسیله کاربران غیر مجاز ‎٩‏ - مدیربت ضعیف کلمات عبور استفاده غیر قانوني از نرم افزار پوشيدگي هویت کاربر - انتقال کلمات عبور به ‎Clear Text yg‏ دسترسي به شبکه به وسیله افراد غیر مجاز ‎٩‏ - دانلود و استفاده بدون کنترل از نرم افزار ورود و خروج غیر قانوني نرم افزار © نرم افزار مخرب 

صفحه 29:
تهديدهاي متناظر با هر یک از آسیب پذيريهاي مرتبط با گروه داراییهای نرم افزاری ‎٩‏ - وجود رخنه هاي مشخص در نرم افزار استفاده غیر قانوني از نرم افزار استفاده از نرم افزار به وسیله کاربران غیر مجاز ‎٩‏ - تخصیص اشتباه حق دسترسی ورود و خروج غیر قانوني نرم افزار استفاده غیر مجاز از نرم افزارها 9 - آموزش ناكافي امنيت خطاي كاركنان يشتيبانى و عملياتي © - عدم دقت در امحا 

صفحه 30:
تهديدهاي متناظر با هر یک از آسیب پذيربهاي مرتبط با گروه داراییهای سخت افزاری ° - شرایط جوي نامناسب خرابي دستكاه تتهوية زلزله طوفان رعد و برق ‎٩‏ - استفاده بي دقت یا نامناسب از کنترل دسترسي فيريكي به ‎ ‏سواستفاده از متیع استفادهغیر مها ‎aig‏ ‏آسیب رساني عمدي -رویه های نامناسب استخدام کارمندان آسیب رسانی عمی ‏© بت کیاری: سوء استفادهمالی و تجاری ‎ 

صفحه 31:
تهديدهاي متناظر با هر یک از آسیب پذيربهاي مرتبط با گروه داراییهای سخت افزاری © -آموزش ناكافي امنيت خطاي کارکنا انى و عملياتي © - فقدان آگاهي رساني امنيتي خطاهاي کاربر ° - عدم دقت در امحاء سرقت 7 -حساسیت به رطوبت و گرد و خاک خرابي دستگاه تهویه گرد و خاک 5 -حساسيت به خرابي دستكاه تهويه دما یا رطوبت بیش از اندازه ات جوی 

صفحه 32:
تهدیدها سیب 3 اي متناخ و اظر با هر يك از 7 ۱ سخت افزا 0 ش = 6 يب پذيريهاي مرت | = ۱ اي مرتبط 5 ۱ 3 ; تغييرات ولتاز با گروه بار + ‎bli‏ ‏1 انزو حفط - عدم نظارت بر كار كاركنان نظافت افت يا كاركنان ان بيروني سرقت 

صفحه 33:
گام پنجم: محاسبه میزان رسک میزان ریسک برابر است با : پیامد تهدید * احتمال وقوع تهدید * شدت آسیب پذيري 

صفحه 34:
گام پنجم: محاسبه میزان ریسک بيشترين عدد بدست آمده براي ريسك عدد 3239-81 مي باشد جهت تبديل آن به درصد آنرا در عدد ( 1.234 - 81 /100) ضرب مي‌کنيم: 

صفحه 35:
گام پنجم: محاسبه میزان دسترس | محرمانگی نهد | شدت گروه ‎Af 000‏ 1 تس پذیری 

صفحه 36:
مثال ریسک | دسترسی | محرمانگی | صحت | احتما | نهدید | شدت نام | گروه 3 آسيب | يذيرى | دارايى | دارايبى تهديد بذيرى 0 خطای آموزش ‎١‏ 16 اطلاعاق ‎x x ۷۲‏ ۳ کرکنان ۳ ناكافى ی يشتيباة امنیت اموه ىو % عملیاتی