امنيت اطلاعات
Download
Report
Transcript امنيت اطلاعات
به نام خدا
امنيت اطالعات
چرا؟ چه چيزي؟ چگونه؟
امنيت اطالعات -چرا مهم است؟
• اطالعات سرمايه است.
• اگر از سرمايه هاي اطالعاتي خوب محافظت نشود آنها مي توانند:
به ديگران داده شده و يا دزديده شوند بدون اينكه شما از آن مطلع شويد.
بدون اطالع شما تغيير يابند تا بي ارزش شوند و يا خسارت به يار آرند.
گم شوند ،بدون اينكه اثري از آنها باقي ماند و يا اميدي به بازيابي آنها
باشد.
امنيت اطالعات -چرا نگران كننده است؟
• زيرا اگرچه اين مقوله در گذشتههاي دور نيز مطرح بوده است
(مانند تقلب ،دزدي ،تروريسم) ولي 3تحول اساس ي در دهه هاي
گذشته آن را سرعت بخشيده است:
(1اتوماسيون ،حمالت را سريع تر كرده است
(2احتمال حمله از راه دور گسترش يافته است.
(3گسترش تكنيك حمالت ،سرعت بيشتري گرفته است.
امنيت اطالعات -چرا بي ميلي يا اكراه؟
•
•
•
•
•
شايد بنگاه هاي سرمايه و مشتريان آنها هنوز روي اين مقوله پافشاري نمي
كنند.
برخي سازمان ها نمي خواهند معيارهاي امنيتي قوي را پياده سازي نمايند زيرا
ا
فكر مي كنند كه چيزي ندارند كه ديگران به دنبال آن باشند .احتمال آنچه
آنان نمي دانند اين است كه ممكن است پايگاه حمله به ديگران شوند (بايد
همسايه خوبي بود!)
به احتمال زياد موضوعات مهم تري وجود دارد كه امنيت را موكول به بعد مي
كنند.
بين رعايت امنيت و سهل الوصول بودن شك دارند.
فضاي سايبري آنها خالي است.
امنيت اطالعات
اگر هنوز درگير نشده ايد تنها نيستيد!
1000بنگاه تجاري مورد بررس ي خرجي كه براي امنيت كرده
اند كمتر از هزينه چاي و قهوه بوده است
امنيت اطالعات -روند كلي
ا
مسلما اين صحيح نمي باشد كه سازمان ها به
امنيت عالقه مند نيستند
پس چه آنها را از اين مقوله مهم دور نگاه مي دارد؟
امنيت اطالعات -مشكل چيست؟
«تعيين اينكه چه اندازه بيش از اندازه است تا بتوان معيارهاي امنيتي
لزم براي اطمينان و اعتماد را به كار گرفت»
براي بكارگرفتن و يا بكار نگرفتن يك معيار امنيتي به يك منطق محكم و
استدلل قوي نياز داريم
امنيت اطالعات -خودي ها يا غيرخودي ها؟
• اگر فكر مي كنيد كه بزرگ ترين تهديد براي امنيت اطالعات از خارج
َ
و
سازمان (رقبا ،هكرها يا وير س ها) سرچشمه مي گيرد دوباره فكر
كنيد! (اكثر مشكالت امنيتي ريشه در افراد داخل سازمان دارد).
• اين تهديدهاي خارجي تنها شما را از خطراتي كه در داخل سازمان با
آن مواجه ايد غافل مي كند.
• مقابله با دوستان غافل يا نادان به مراتب سخت تر از مقابله با
دشمنان هشيار است.
امنيت اطالعات -خودي ها يا غيرخودي ها؟
•
•
•
•
اگر شما عضوي از يك زيرساخت اطالعاتي مهم هستيد ممكن است كس ي
باشد كه با اراده قوي بخواهد شما را گير بيندازد.
اگر سازمان شما داراي اطالعات مهمي است باز هم كساني هستند كه
بخواهند از راز و رمز آن سردرآورند.
حتي اگر هيچ يك از دو مورد بال صحيح نباشد بازهم كساني هستند كه براي
قدرت نمائي يا تفريح بخواهند به شما يا سازمانتان تعرض كنند.
ا
لزم است كه نه تنها قابليت هاي پيشگيري داشته باشيد بلكه حتما قابليت
هاي دشمنان كه همگام با زمان تغيير مي كنند را نيز مورد توجه قرار دهيد.
هشدار امنيتي
تعداد كمي آسيب پذيري هاي نرم افزاري باعث بيشترين
حمالت موفق مي شوند زيرا حمله كنندگان دوست ندارند تا
كارهاي اضافي بيشتري انجام دهند .آنها مشهورترين خطاهاي
امنيتي را مورد استفاده قرار داده و از مؤثرترين و فراوان ترين
ابزارها استفاده مي كنند .آنها روي سازمان هائي حساب باز مي
كنند كه مشكالت خود را در زمان معين حل نكرده اند.
روند افزايش آسيب پذيري ها
گزارش CERT
4500
4000
3500
3000
2500
2000
1500
1000
2004
2003
2002
2001
2000
1999
1998
1997
شكل 1-1الف آسيبپذيريهاي گزارش شده بتوسط CERT
1996
500 1995
روند افزايش حوادث امنيتي
گزارش CERT
140,000
130,000
120,000
110,000
100,000
90,000
80,000
70,000
60,000
50,000
40,000
30,000
20,000
10,000
2003
2002
2001
2000
1999
1998
1997
شكل 1-1ب حوادث امنيتي گزارش شده بتوسط CERT
1996
1995
چه ميخواهيم؟
شرايط سه گانه C-I-A
• فراهم بودن سرويس ) :(Availibilityاينكه اطالعات در هر زمان
و در هر مكان در دسترس افراد مجاز قرار گيرد.
• صحت اطالعات ) :(Integrityاينكه اطالعات بطور صحيح و
بدون هيچگونه جرح و تعديل در اختيار افراد مجاز قرار گيرد.
• محرمانگي اطالعات ) :(Confidetialityاينكه اطالعات فقط
براي افراد مجاز مفهوم باشد.
چه لزم است؟
سه سؤال مهم وجود دارد كه سازمان ها وقتي به امنيت اطالعات خود فكر
مي كنند بايستي به آنها توجه كنند؟
انتخاب كنترل هاي امنيتي ( آيا كافي است؟)
پياده سازي كنترل هاي امنيتي (آيا مؤثر است؟)
اطمينان يافتن از كنترل هاي امنيتي (آيا عمل مي كنند؟)
پاسخ به اين سؤالت نمي تواند به تنهائي و در انزوا پيدا شود .پاسخ به اين
سؤالت بايستي در بستر برنامه امنيت اطالعات سازمان ) (policyانجام
پذيرد كه ريسك هاي اطالعات و سيستم هاي اطالعاتي را شناسائي ،كنترل و
التيام مي بخشد.
چه مورد نياز است؟
نگراني هاي مديريتي
--------------------Market Reputation
Business Continuity
Disaster Recovery
Business Loss
Loss of Confidential Data
Loss of Customer
Confidence
Legal Liability
Cost of Security
Information
Security Program
معيارهاي امنيتي
---------------Technical
Procedural
Physical
Logical
Personnel
Management
اطمينان يافتن از امنيت اطالعات
• اطمينان از امنيت عبارت از توان سيستم براي فراهم آوردن
.اطمينان از تهديدهاي احتمالي است
• fire
• Deniall of Service
• Malicious Code
• Malicious Destruction of Data
• Masquerade
• Theft and Fraud
• Website Intrusion
• Failure of Communication Services
• Loss of Key Personnel
• Operational Staff or User Error
• Confidentiality
• Integrity
• Availability
• Accounting
• Authentication
• Reliability
چرخه اطمينان از امنيت اطالعات
Prevention
Threat
Reduction
Detection
Incident
Repression
Damage
Correction
Recovery
Evaluation
برنامه اطمينان از امنيت اطالعات
خط مش ي ها )(policies
و
َرويه ها )(procedures
چرا بايد خط مش ي امنيتي داشت؟
•
•
•
•
•
بدون خط مش ي هاي امنيتي هيچ چهارچوبي براي امنيت عمومي وجود ندارد؟
خط مش ي ها تعريف مي كنند كه چه رفتاري مجاز و چه رفتاري غيرمجاز
است؟
خط مش ي ها صحنه را آماده مي كنند كه چه ابزارها و رويه هائي براي
سازمان مورد نياز است.
سياست ها يك خط مش ي تعريف شده را در بين همه اعضاء اداره كننده
سازمان تقسيم مي كنند.
امنيت كامپيوتر ،شبكه و اينترنت امروزه يك مقوله جهاني است و انتظار مي
رود كه سايت ها از سياست «همسايه خوب» پيروي كنند.
َ
و
خط مش ي ها و ر يه ها
•
•
•
•
مدل هاي اعتماد
الفباي خط مش ي هاي امنيتي
خط مش ي هاي كليدي امنيت
َرويه هاي كليدي امنيت
به چه كساني و به چه چيزهائي اعتماد كنيم؟
•
•
o
•
o
o
•
•
اعتماد يكي از اصول بنيادي و زيربناي عمده خلق سياست هاي امنيتي است.
قدم اول اين است كه تعيين شود چه كس ي دسترس ي پيدا ميكند.
از اصل حداقل دست يابي استفاده شود.
تصميم گيري راجع به سطح اعتماد يك عمل ظريف است
خيلي زياد :عاقبت مشكالت امنيتي ايجاد خواهد كرد.
خيلي كم :پيداكردن و نگاه داشتن كارمندان راض ي را سخت ميكند.
تا چه حد بايستي به منابع اعتماد كرد؟
تا چه حد بايستي به مردم اعتماد كرد؟
مدل هاي اعتماد )(Trust Models
به همه در تمام زمان ها اعتماد كنيم
راحت ترين سياست است اما غيرعملي است
َ
َ
يك بز گر گله را گر مي كند
به هيچ كس در هيچ زمان اعتماد نكنيم
محدوديت ماكزيمم كه بازهم غير عملي است
پيداكردن كارمنداني كه تحت چنين شرايطي كار كنند غيرممكن مي شود.
به بعض ي آدم ها در بعض ي زمان ها اعتماد كنيم
بايستي در ميزان اعتمادكردن به آدم هاي سازمان احتياط كرد
دست يابي تنها وقتي اعطا شود كه لزم است.
براي اطمينان از اينكه اعتماد خدشه دار نشده است ،كنترل هاي فني لزم است
Security Policy Basics
• مردم خط مش ي ها را
مانع بهره وري مي دانند معيارهائي براي كنترل رفتار مي پندارند.مردم ديدگاه هاي متفاوتي درمورد نياز به كنترل هاي امنيتي دارند.
مردم مي ترسند كه پيروي از سياست ها سخت و پياده سازي آنها مشكل باشد.
سياست ها همه افراد درون سازمان را تحت تأثير قرار مي دهد.
بيشتر مردم در برابر معيارهائي كه بهره وري را كاهش دهد مقاومت مي كنند. بعض ي افراد در برابر تغيير مقاومت زيادي از خود نشان مي دهند. بعض ي افراد در برابر اينكه ديگري «نقش برادر بزرگتر» را ايفا كند مقاومت مي كنند. -بعض ي افراد دوست دارند كه ” “rock the boatرا انجام دهند.
چه كساني درگير سياست هاي امنيتي مي شوند؟
• كاربران -خط مش ي ها بيش از همه آنها را تحت تأثير قرار مي دهد.
• پرسنل نگهداري و پشتيباني سيستم – آنها لزم است كه خط مش ي ها را
پياده سازي و حمايت نمايند.
• مديران -نگران حفاظت از داده ها و هزينه هاي مرتبط با سياست ها مي
باشند.
• وكالي تجاري و مميزان -نگران اعتبار سازمان ،مسئوليت در برابر
مشتريان/كالينت ها هستند.
فرآيند طراحي خط مش ي
• يك تيم خلق كننده خط مش ي ها را تشكيل دهيد.
• يك فرد را به عنوان بيان كننده خط مش ي ها بطور رسمي معرفي كنيد
• روي افق و اهداف خط مش ي تصميم گيري نمائيد.
افق شامل اين خواهد بود كه خط مش ي چه كساني را پوشش مي دهد؟• تصميم بگيريد كه خط مش ي چقدر جزئيات را مشخص مي نمايد
نه يك برنامه پياده سازي با جزئيات باشدا
-نه شامل واقعيت هائي باشد كه مرتبا تغيير مي كنند
فرآيند طراحي خط مش ي
• تمام افرادي كه تحت تأثير خط مش ي قرار مي گيرند بايستي قبل از اينكه خط
مش ي اجرائي شود فرصت داشته باشند تا خط مش ي را مطالعه كرده و نسبت
به آن نظر دهند.
براي سازمان هاي بزرگ اين امر غيرعملي خواهد بود. اغلب مشكل است كه اين اطالعات را بيرون داد و اطمينان يافت كه همه آن رامطالعه كرده اند.
اطالع يافتن از خط مش ي ها را بايستي به عنوان يكي از مراحل راهنمائيكارمندان منظور كرد.
همه ساله يكبار يا دوبار دوره هاي مروركننده و به روزرساني براي كارمندانتشكيل داد.
لزمه هاي اصلي خط مش ي ها
• خط مش ي ها بايستي:
قابل پياده سازي و قابل اجرا باشند مختصر و سهل الهضم باشند بين حفاظت و بهره وري تعادل ايجاد كنند بطور منظم به روزرساني شده تا تكامل سازمان را منعكس نمايند• خط مش ي ها شايسته است:
بيان كننده دليل وجود آن خط مش ي باشند مشخص نمايند كه چه چيزي بتوسط آن خط مش ي پوشش داده مي شود -چه كس ي؟چه چيزي؟ كجا؟
قراردادها و مسئوليت شركت هاي طرف قرارداد مشخص باشند. -مشخص كند كه در صورت نقض خط مش ي چگونه با با مسأله برخورد خواهد شد؟
تعيين سطح كنترل
• نيازهاي امنيتي و فرهنگ نقش اساس ي را بازي مي كنند.
• خط مش ي هاي امنيتي بايستي بين سطح كنترل و سطح بهره وري يك تعدل را ايجاد نمايند.
• اگر خط مش ي ها خيلي محدودكننده باشند ،مردم راهي براي دور زدن آنها پيدا مي كنند.
• كنترل هاي فني هميشه امكان پذير نيستند.
• بايستي تعهد مديريتي روي سطح كنترل وجود داشته باشد.
انتخاب يك ساختار براي يك خط مش ي امنيتي
•
وابسته به اندازه شركت و اهداف آن است.
•
-
يك سند بزرگ بهتر است يا چندين سند كوچك؟
اسناد كوچك تر براي نگهداري و به روزرساني بهترند
•
برخي خط مش ي ها مناسب براي همه سايت ها بوده در حالي كه برخي مختص محيط خاص ي هستند.
• برخي سياست هاي كليدي عبارتنداز:
Acceptable Use User Account Remote Access Information Protection -و غيره
The Acceptable Use Policy
• استفاده صحيح از منابع محاسباتي را تعريف و مورد بحث قرار مي
دهد.
• كاربران در هنگام تقاضاي شماره حساب كاربري بايستي آن را
بخوانند و امضاء كنند.
بسياري از مثال هاي AUرا مي توان در آدرس زير پيدا كرد:http://www.eff.org/pub/CAF/policies
Elements of Acceptable Use Policy
•
بايستي مسئوليت كاربران را در برابر اطالعاتي كه به توسط شماره حساب كاربري آنها قابل دسترس است
بيان نمايد.
•
بايستي بيان كند كه آيا كاربران مي توانند فايل هائي كه متعلق به آنها نيست ولي در دسترس آنهاست را
بخوانند و يا كپي كنند.
•
بايستي مشخص كند كه آيا كاربران مي توانند فايل هائي كه متعلق به آنها نيست ولي حق نوشتن در آن را
دارند ،جرح و تعديل نمايند.
•
بايستي مشخص كند كه آيا كاربران مي توانند چيزهائي را به اشتراك بگذارند.
•
بايستي تعيين كند كه آيا كاربران مي توانند از نرم افزارهاي كپي تهيه نمايند
•
بايستي سطح استفاده مجاز از پست الكترونيك و دسترس ي به اينترنت را بيان نمايد.
User Account Policy
•
•
•
•
الزامات درخواست و نگهداري يك حساب روي سيستم ها را بيان
مي كند.
براي سايت هاي بزرگ كه در آن كاربران حساب هاي متعدد روي
سيستم هاي مختلف دارند مهم است.
بعضي از سايت ها از كاربران مي خواهند تا يك Account
Policyرا در روند درخواست حساب خوانده و امضاء كنند.
مثال هائي از اين سياست ها را مي توان در آدرس زير پيدا كرد
http://www.eff.org/pub/CAF/policies
Elements of a User Account Policy
•
بايستي بيان نمايد كه چه كس ي موظف است تا درخواست يك حساب را تأئيد كند.
•
ا
بايستي بيان كند كه چه كس ي مجاز است تا از منابع استفاده نمايد (مثال كارمندان يا فقط دانشجويان)
•
بايستي بيان كند كه آيا كاربران مجازند تا مطلبي را به اشتراك بگذارند و يا آيا مجازند كه روي يك ميزبان
منفرد داراي چندين حساب باشند.
•
بايستي حقوق كاربران و مسئوليت هاي آنان را بيان نمايد.
•
بايستي بيان كند كه يك حساب كاربري تا چه مدت مي تواند غيرفعال ماند قبل از اينكه باطل شود.
•
بايستي نحوه ساخت كلمات عبور و قواعد انقضاء را مشخص نمايد
Remote Access Policy
• روش هاي اتصال به شبكه داخلي از راه دور را مرزبندي و تعريف ميكند.
• در سازمان هاي بزرگ كه داراي شبكه گسترده اي در نقاط مختلف
جغرافيائي بوده و دامنه اين شبكه تا منزل هم كشيده مي شود مهم است.
بايستي تمام روش هاي ممكن براي دسترس ي به منابع داخلي را پوشش دهد
•
ا
مثال
(SLIP-PPP) dial-in
ISDN/Frame Relay
دست يابي telnetاز اينترنت
ُمودم هاي كابلي Wi-Fi ،ADSL،و WiMax
Elements of a Remote Access
Policy
• بايستي تعريف شود كه چه كس ي مجاز است تا قابليت دسترس ي از دور را داشته باشد.
• بايستي تعريف شود كه چه روش هائي براي دسترس ي از دور مجاز است.
• بايستي مشخص شود كه آيا نصب ُمودم هاي تلفني روي كامپيوترها مجاز است يا خير
• بايستي تعريف شود كه چه كساني مجازند تا دسترس ي هاي با سرعت بال داشته باشند.
چه لزمه هاي ديگري وجود دارد؟ آيا بقيه اعضاء سازمان ميتوانند از اينترنت استفاده كنند؟ بايستي همه محدوديت هاي ديگري كه ميتوان به ديتا دسترس ي پيدا كرد را مورد بررس ي قرارداد.
Information Protection Policy
• رهنمودهائي را براي كاربران در زمينه پردازش ،ذخيره سازي و انتقال اطالعات
حساس فراهم مي آورد.
• هدف اصلي اين است كه اطالعات از دستكاري و افشا محافظت گردد.
• شايد لزم باشد كه كارمندان جديد خط مش ي سازمان را خوانده و امضاء
كنند.
• بايستي سطوح حساسيت اطالعات تعريف شود
Elements of an Information
Protection Policy
• بايستي تعريف شود كه چه كس ي حق دارد تا به اطالعات حساس دسترس ي يابد
شرايط خاص توافق نامه هاي عدم افشا• بايستي مشخص شود كه اطالعات حساس چگونه بايد ذخيره سازي و انتقال يابد (رمزنگاري و غيره)
• بايستي تعريف شود كه اطالعات حساس روي كدام سيستم ها مي تواند ذخيره شود.
• بايستي بحث شود كه كدام سطح از اطالعات حساس مي تواند روي چاپگرهاي غيرامن فيزيكي چاپ شود
• بايستي تعريف شود كه نحوه پاك كردن اطالعات حساس از سيستم ها و تجهيزات ذخيره سازي اطالعات
چگونه است
degaussing of storage media scrubbing of hard drives shredding of hardcopy output• بايستي حالت پيش فرض دسترس ي به فايل و دايركتوري مشخص گردد.
Sample E-mail Policy
• سازمان يك سيستم پست صوتي و يك سيستم پست الكترونيك براي رتق و
فتق كارهاي داخل شركت را برپا نموده است .اين سيستم ها كه شامل
تجهيزات و داده هاي ذخيره شده است پيوسته جزو داردائي هاي شركت بوده
و خواهند بود.
• پيام ها بايستي فقط مربوط به كسب و كار شركت باشند Voice-mail .و
e-mailنمي توانند براي انجام كارهاي شخص ي بكار روند.
• شركت اي حق را براي خود قائل است كه هر پيام خلق شده ،ارسال شده و
يا دريافت شده را فراخوانده و بررس ي كند .پيام ها ممكن است به توسط
شخص ي بجز دريافت كننده مورد نظر خوانده شوند.
ادامه Sample E-mail Policy
• پيام ها نبايستي شامل محتوائي باشند كه يك كارمند سازمان را مورد توهين
قرار دهد .محتويات توهين آميز شامل تصاوير مستهجن ،كنايه هاي توهين
آميز ،برچسب هاي نژادي و توهين آميز ،توهين به جنس مخالف و يا هر
مطلب ديگري كه بخواهد كس ي را بر اساس سن ،گرايش جنس ي ،گرايش
مذهبي ،باورهاي سياس ي ،سوابق خانوادگي و يا معلوليت مورد توهين قرار
دهد.
• كارمنداني كه به هر نحو از سوء استفاده از v-mailيا e-mailبراساس
نقض معيارهاي بال مطلع شوند بايستي مراتب را به مدير نيروي انساني
شركت گزارش دهند.
َرويه هاي امنيتي Security Procedures -
• سياست ها تنها تعريف مي كنند كه «چه چيزي» بايد محافظت شودَ .رويه ها تعريف مي
كنند كه «چگونه» بايد از منابع محافظت كرد و مكانيسمهاي اعمال امنيت «چه» هستند.
• َرويه ها جزئيات اعمالي را كه براي هر رخداد امنيتي بايد انجام پذيرد را تعريف مي كنند.
• َرويه ها يك مأخذ سريع براي زمان هاي بحران مي باشند.
• َرويه ها كمك مي كنند كه مشكالتي كه در رابطه با يك نقطه خرابي است حذف شود
ا
(مثال يك كارمند درست در لحظه نياز به او حضور ندارد)
Configuration Management
Procedures
• تعريف مي كند كه يك سخت افزار /نرم افزار جديد چگونه بايد آزمايش و
نصب شود.
• تعريف مي كند كه چگونه تغييرات سخت افزاري /نرم افزاري جديد
مستندسازي ميگردد.
• تعريف مي كند كه وقتي يك سخت افزار و يا نرم افزار عوض مي شود چه
كساني بايد در جريان قرار گيرند.
• تعريف مي كند كه چه كس ي مجاز به تغيير پيكربندي سخت افزاري و يا نرم
افزاري است.
Data Backup and Off-site Storage
Procedures
• تعريف مي كند كه از كدام فايل هاي سيستمي بايد نسخه پشتيبان تهيه كرد.
• تعريف مي كند كه نسخه هاي پشتيبان هرچندوقت يكبار بايد گرفته شوند.
• تعريف مي كند كه بعد از چه مدتي نسخه هاي پشتيبان مي توانند معدوم شوند.
• تعريف مي كند كه هرچندوقت يكبار نسخه هاي پشتيبان در خارج از سايت ذخيره مي
گردند.
• تعريف مي كند كه محيط هاي ذخيره سازي اطالعات را چگونه بايد برچسب زد و
مستندسازي نمود.
Security Incident Escalation
Procedure
• يك ” “cookbookبراي پرسنل خط مقدم است.
• تعريف مي كند كه چه كس ي و در چه زماني بايد مطلع شود؟
• قدم هاي اوليه اي كه بايد برداشته شود را تعريف مي كند.
• تعريف مي كند كه چه اطالعات اوليه اي بايد ضبط شود.
Incident Handling Procedures
•
تعريف مي كند كه چگونه با حمالت نفوذگران برخورد شود
•
محدوده مسئوليت هاي اعضاء تيم پاسخگوئي را تعريف مي كند.
•
تعريف مي كند كه چه اطالعاتي را بايد ثبت و دنبال كرد.
•
تعريف مي كند كه چه كس ي را بايد مطلع كرد و چه موقع.
•
تعريف مي كند كه چه كس ي مي تواند اطالعات را افشا كند و رويه افشاي اطالعات چيست؟
•
تعريف مي كند كه چگونه يك تحليل بعدي بايستي آماده گرددو چه كساني بايد در آن شريك باشند؟
Disaster Planning and Response
• يك فاجعه يك واقعه مخرب در ابعاد بزرگ است كه بخش هاي كليدي سازمان را تحت
تأثير قرار مي دهد.
يك زمين لرزه شديد ،سيل ،طوفان،آتش سوزي و غيره قطع برق به مدت بيش از 48ساعت. انهدام ساختمان هاي سازمان• هدف اصلي در اينجا طراحي وظايف به نحوي است كه منابع اصلي حتي املقدور به
سرويس خود ادامه دهند تا اثر فاجعه مي نيمم گردد.
• اطمينان يافتن از اين كه اطالعات مهم براي پاسخگوئي به فاجعه در off-siteنگهداري
شده و پس از وقوع فاجعه در دسترس باشد.
• طراحي بايد ُمودهاي عملياتي مختلف مبتني بر ميزان صدمات به منابع را دربر داشته باشد.
• مانورهاي آمادگي براي فاجعه چندين بار در سال بايد انجام شود.
• نياز به سايت هاي ” “hotيا ” “coldتعيين گردد.