ISMS چیست؟

ISMS چیست؟

اسلاید 1: ISMSچیست؟مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده های حساس یک سازمان، ، به طور سیستماتیک، استفاده می شود.هدف ISMS کمینه کردن ریسک است.

اسلاید 2: گامهای لازم برای ارزیابی مخاطراتگام اول: شناخت دارايي ها گام دوم: ارزش گذاري دارايي هاگام سوم: تعيين آسيب پذيريگام چهارم: محاسبه تهديدگام پنجم: محاسبه ميزان ريسک تعاريف استفاده شده در اين مستند از ISO/IEC TR 13335-1 اخذ شده است.

اسلاید 3: گام اول: شناخت دارايي­هاکلیه دارایی ها شناخته شده و در ۵ گروه طبقه بندی می شود.دارايي هاي اطلاعاتي فايل هاي الکترونيکي، پايگاه هاي داده مربوط به نرم افزارهاي موجود در سازماندارايي هاي کاغذي مستندات مکتوب مانند قراردادها، راهنماهاي کاربري و ... دارايي هاي پرسنلي کارمندان، کارشناسان و مديراندارايي هاي نرم افزاري نرم افزارهاي کاربردي، سيستم هاي عامل و . . . دارايي هاي سخت افزاري تجهيزات مرتبط با فناوري اطلاعات مانند: سرور، سوييچ، روتر و . .

اسلاید 4: گام دوم: ارزش گذاري دارايي­هااز سه مولفه استفاده می شود. ارزش هر دارايي ترکيبي از ميزان اهميت هر يک از مولفه ها براي آن دارايي مي باشد.محرمانگي (Confidentiality)امکان دسترسي به اطلاعات و دارايي ها فقط براي افراد مجازصحت (Integrity)حفظ دارايي ها و درستي و کامل بودن آنهادسترسي (Availability) امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز

اسلاید 5: گام دوم – روش ارزش گذاریهر یک از مولفه ها ارزشی بین ۱ تا ۳پارامترهاي تأثيرگذار در ارزش گذاري دارايي:تاثير دارايي بر اهداف و فعاليتهاي اصلي کسب و کار تاثير دارايي بر وجهه و اعتبار تاثير دارايي در ايجاد وقفه هاي کاري ميزان تاثير دارايي از نظر مالي و تجاري

اسلاید 6: گام دوم –ارزش گذاری – ارزش ۱ارزش 1 : محرمانگي در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.صحت در صورتي که درستي و يکپارچگي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.

اسلاید 7: گام دوم –ارزش گذاری – ارزش ۲ارزش 2 :محرمانگي در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.صحت در صورتي که درستي و يکپارچگي دارايي از بين برود با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.

اسلاید 8: گام دوم –ارزش گذاری – ارزش ۳ارزش ۳ :محرمانگيدر صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.صحت در صورتي که درستي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.دسترسي در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء بسيار زيادي خواهد داشت.

اسلاید 9: گام دوم –ارزش گذاری – ارزش کل داراییارزش دارايي برابر است با : صحت + محرمانگي + دسترسي

اسلاید 10: گام دوم –ارزش گذاری – جدول ارزش کل دارایی

اسلاید 11: گام سوم: تعيين آسيب پذيري براي هر گروه از دارايي ها:شناخت آسيب پذيري هاشدت آسيب پذيري: عددي بين 1 تا 3 1 اين آسيب پذيري نقطه ضعفي است که عامل کوچکي براي در معرض خطر قرار دادن دارايي محسوب مي شود. 2 اين آسيب پذيري نقطه ضعفي است که عامل متوسطي براي در معرض خطر قرار دادن دارايي محسوب مي شود.3 اين آسيب پذيري ، نقطه ضعفي است که عامل بزرگي براي در معرض خطر قرار دادن دارايي محسوب مي شود

اسلاید 12: گام سوم: تعيين آسيب پذيري - جدول

اسلاید 13: گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي اطلاعاتيآسيب پذيريهاي داراييهاي اطلاعاتينگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي فقدان پيگيري مميزي آموزش ناکافي امنيتیفقدان نسخه هاي پشتيبانفقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربرفقدان شناسايي و اعتبار دهي به فرستنده و گيرندهفقدان مکانيزمهاي نظارتيفقدان خط مشي هايي براي استفاده صحيح از رسانه هاي مخابراتي و پيام رسانيعدم قابليت اثبات ارسال يا دريافت يک پيامفقدان آگاهي رساني امنيتي مديريت ضعيف کلمات عبورحساسيت به تشعشع الکترو مغناطيسيانتقال کلمات عبور به صورت Clear Text نسخه برداري کنترل نشده

اسلاید 14: گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي نرم افزاریواسط کاربري پيچيده استفاده نادرست از سخت افزار و نرم افزار نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي آموزش ناکافي امنيتیفقدان پيگيري مميزيفقدان نسخه هاي پشتيبانفقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربرفقدان مکانيزمهاي نظارتيفقدان آگاهي رساني امنيتي عدم خروج از سيستم (Log out) هنگام ترک ايستگاه کاريفقدان آزمايش يا آزمايش ناکافي نرم افزارمديريت ضعيف کلمات عبورانتقال کلمات عبور به صورت Clear Text دانلود و استفاده بدون کنترل از نرم افزاروجود رخنه هاي مشخص در نرم افزار تخصيص اشتباه حق دسترسي

اسلاید 15: گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي سخت افزاریشرايط جوي نامناسب استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق هارويه های نامناسب استخدام کارکنانآموزش ناکافی امنيتیفقدان آگاهي رساني امنيتيحساسيت به رطوبت و گرد و خاکحساسيت به تغييرات جویحساسيت به تغييرات ولتاژانبار بی حفاظعدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني

اسلاید 16: گام چهارم: محاسبه تهديدآسيب پذيري ها در مرحله قبل مشخص شده است.هر تهديد متناظر با آسيب پذيري خاصي مي‌باشد.محاسبه احتمال هر تهدیدمحاسبه پيامد هر تهديد

اسلاید 17: گام چهارم: محاسبه تهديد – احتمال تهدید 1 احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده پايين مي‌باشد (مثلا هر چند سال يکبار) 2احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده در حد متوسط مي‌باشد (مثلا هر سال يکبار) 3 احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده بالا مي‌باشد (مثلا هر سال چند بار)

اسلاید 18: گام چهارم: محاسبه تهديد – پیامد تهدیداين پيامد روي کدام يک از سه مولفه صحت، محرمانگي و دسترسي تاثير گذار است. بر اساس تاثير روي هر يک به ارزش دارايي مراجعه کرده و اعدادي که در آنجا به هر يک نسبت داده ايم را براي پيامد آنها محاسبه مي کنيم. اين قسمت رابطه مستقيمي با ارزش دارايي دارد.پيامد تهديد برابر است با : صحت + محرمانگي + دسترسي

اسلاید 19: گام چهارم: محاسبه تهديد – پیامد تهدید1 تا 3حوادث بوجود آمده از تهديدات در اين سطح چندان جدي نمي‌باشند. عوارض اين نوع حوادث، وقفه هاي کاري کوتاه مدت و يا زيان مالي اندک به سازمان است که با واکنش مناسب و با هزينه اندک قابل جبران است.4 تا 6حوادث بوجود آمده از تهديدات در اين سطح نسبتا جدي مي‌باشند. عوارض اين نوع حوادث، وقفه در کسب و کار سازمان ، زيان مالي و خدشه به اعتبار سازمان است که با صرف هزينه نسبتا بالايي قابل جبران است. 7 تا 9 حوادث بوجود آمده از تهديدات در اين سطح بسيار جدي مي‌باشند. عوارض اين نوع حوادث، وقفه هاي بلند مدت و تاثيرگذار کاري ، زيان مالي گزاف و از دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف هزينه هاي بسيار زياد هم قابل جبران نيستند.

اسلاید 20: گام چهارم: محاسبه تهديد – پیامد تهدیدنام داراییآسیب پذیریتهدیداحتمال تهدیدصحتمحرمانگیقابلیت دسترسی

اسلاید 21: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی- نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي خرابي رسانه هاي ذخيره سازي و خطاي نگهداري- فقدان پيگيري مميزي استفاده غير مجاز از نرم افزار- آموزش ناکافي امنيتخطاي کارکنان پشتيبان و عملياتي - فقدان نسخه هاي پشتيبانآتش

اسلاید 22: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی- فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربراستفاده غير قانوني از نرم افزار پوشيدگي هويت کاربر - فقدان شناسايي و اعتبار دهي به فرستنده و گيرندهپوشش هويت کاربر مسير دهي و گروه بندي مجدد پيغام هامسير دهي مجدد پيام ها- فقدان مکانيزمهاي نظارتيورود و خروج غير قانوني نرم افزاراستفاده غير مجاز از نرم افزارها

اسلاید 23: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی- فقدان خط مشي هايي براي استفاده صحيح از رسانه هاي مخابراتي و پيام رسانياستقاده غير مجاز از امکانات شبکه- عدم اثبات ارسال يا دريافت يک پيامانکار (سرويس ها، تعاملات و ارسال پيام)- فقدان آگاهي رساني امنيتي خطاهاي کاربر- مديريت ضعيف کلمات عبوراستفاده غير قانوني از نرم افزار پوشيدگي هويت کاربر - حساسيت به تشعشع الکترو مغناطيسيتشعشع الکترومغناطيسيشارژ الکتريسيته ساکن- انتقال کلمات عبور به صورتClear Text دسترسي به شبکه به وسيله افراد غير مجاز- نسخه برداري کنترل نشدهسرقت

اسلاید 24: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای کاغذی- شرايط جوي نامناسب خرابي دستگاه تهويه زلزله طوفانرعد و برق- استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق هابمب گذاریسواستفاده از منابع استفاده غير مجاز از رسانه هاآسيب رساني عمدي - آموزش ناکافي امنيتخطاي کارکنان پشتيبان و عملياتي

اسلاید 25: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای کاغذی- عدم مستند سازي اشتباه کارکنان پشتيبان و عملياتي - عدم حفاظت فيزيکي از ساختمان درها و پنجره هاحمله با بمبسرقت- عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني سرقت

اسلاید 26: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری- واسط کاربري پيچيده خطاي کارکنان پشتيبان و عملياتي - استفاده نادرست از سخت افزار و نرم افزار ورود و خروج غير قانوني نرم افزارخطاي کارکنان پشتيبان و عملياتي - نگهداري نامناسب جا جايگذاري نامناسب رسانه هاي ذخيره سازي خرابي رسانه هاي ذخيره سازي و خطاي نگهداري- آموزش ناکافي امنيتخطاي کارکنان پشتيبانی و عملياتي - عدم يا فقدان پيگيري مميزي هااستفاده غير مجاز از نرم افزارها

اسلاید 27: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری- فقدان نسخه هاي پشتيبانآتشنرم افزار مخرب- فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربراستفاده غير قانوني از نرم افزار پوشيدگي هويت کاربر - فقدان مکانيزمهاي نظارتيورود و خروج غير قانوني نرم افزاراستفاده غير مجاز از نرم افزارها- فقدان آگاهي رساني امنيتي خطاهاي کاربر

اسلاید 28: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری- عدم خروج از سيستم (Log out) هنگام ترک ايستگاه کارياستفاده از نرم افزار به وسيله کاربران غير مجاز- فقدان آزمايش يا آزمايش ناکافي نرم افزاراستفاده از نرم افزار به وسيله کاربران غير مجاز- مديريت ضعيف کلمات عبوراستفاده غير قانوني از نرم افزار پوشيدگي هويت کاربر - انتقال کلمات عبور به صورت Clear Text دسترسي به شبکه به وسيله افراد غير مجاز- دانلود و استفاده بدون کنترل از نرم افزارورود و خروج غير قانوني نرم افزارنرم افزار مخرب

اسلاید 29: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری- وجود رخنه هاي مشخص در نرم افزار استفاده غير قانوني از نرم افزار استفاده از نرم افزار به وسيله کاربران غير مجاز- تخصيص اشتباه حق دسترسيورود و خروج غير قانوني نرم افزاراستفاده غير مجاز از نرم افزارها- آموزش ناکافي امنيتخطاي کارکنان پشتيبانی و عملياتي - عدم دقت در امحا سرقت

اسلاید 30: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری- شرايط جوي نامناسب خرابي دستگاه تهويه زلزله طوفانرعد و برق- استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق هابمب گذاریسواستفاده از منابع استفاده غير مجاز از رسانه هاآسيب رساني عمدي- رويه های نامناسب استخدام کارمندان آسيب رسانی عمدیبمب گذاریسوء استفاده مالی و تجاری

اسلاید 31: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری- آموزش ناکافي امنيتخطاي کارکنان پشتيبانی و عملياتي - فقدان آگاهي رساني امنيتي خطاهاي کاربر- عدم دقت در امحاء سرقت- حساسيت به رطوبت و گرد و خاکخرابي دستگاه تهويه گرد و خاک- حساسيت به تغييرات جویخرابي دستگاه تهويه دما يا رطوبت بيش از اندازه

اسلاید 32: تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری- حساسيت به تغييرات ولتاژنوسانات برق- انبار بی حفاظسرقت- عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني سرقت

اسلاید 33: گام پنجم: محاسبه ميزان ريسک ميزان ريسک برابر است با : پيامد تهديد * احتمال وقوع تهديد * شدت آسيب پذيري

اسلاید 34: گام پنجم: محاسبه ميزان ريسک بیشترين عدد بدست آمده براي ريسک عدد 81 = 9 × 3 × 3 مي باشد جهت تبديل آن به درصد آنرا در عدد ( 1.234 = 81 /100) ضرب مي‌کنيم.

اسلاید 35: گام پنجم: محاسبه ميزان ريسک گروه دارایینام داراییآسیب پذیریشدت آسیب پذیرینهدیداحتمال تهدیدصحتمحرمانگیدسترسیریسک

اسلاید 36: مثالگروه دارایینام داراییآسیب پذیریشدت آسیب پذیرینهدیداحتمال تهدیدصحتمحرمانگیدسترسیریسکاطلاعاتیXآموزش ناکافی امنیت۳خطای کارکنان پشتیبانی و عملیاتی۳××۷۲۵۵.۵۳%