فایل ارائه ISMS
Download
Report
Transcript فایل ارائه ISMS
مقدمه
در حال حاضر گسترش و توسعه روزافزون فناوري اطالعات و ارتباطات و ظهور اينترنت و ...باعث
پيشرفت روزافزون بشر شده به طوريکه عصر حاضر را به نام عصر اطالعات مي نمايند .
حرکت سريع کشورها به سوي جامعه اطالعاتي موجب رشد وسيع سيستم ها و سرويس هاي اطالعاتي
شده است .
اطالعات گنجينه اي ارزشمند است که در حال حاضر به جاي نگهداري در کمدها و اطاق ها در داخل
شبکه هاي محلي درون يا برون سازماني نگهداري مي شود.
از امور مرتبط با شبکههاي داخلي سازمانها تا شبکههاي بين سازماني ،تجارت الکترونيک ،انتقال
اطالعات درون سازمان يا بين سازمانها ،همگي نيازمند شاخه هايي از امنيت اطالعات مي باشند.
ويروسها ،نفوذگرها ،خرابکاران اينترنتي ،سرقت اطالعات ،فروش اطالعات سازماني به رقبا ،از بين رفتن
اطالعات ،دستيابيهاي غير مجاز به اطالعات و بسياري ديگر همگي جزيي کوچک از تهديدات امنيت
اطالعات در اکثر سازمانها و شرکتهاي مرتبط با اطالعات مي باشد .
دريافت گواهينامه استاندارد ISO 27001از يک گروه معتبر ميتواند نمايانگر قابليت اجرا و مديريت
کنترلهايي در سازمان باشد که تضمين کننده حفظ سه عنصر محرمانگي ،صحت و در دسترس بودن
اطالعات ميباشد.
1
مقدمه
در واقع استاندارد ISO 27001تامين کننده يک سري از ابزارهاي سازگار با
يکديگر براي سنجش مديريت امنيت اطالعات در هر سازمان بدون توجه به نوع کار يا
حجم سازمان مي باشد.اين گواهينامه ميتواند براي يک سازمان ،بخش و يا حتي يک
سايت دريافت گردد .و سپس متناوبا در سازمان گسترش يافته و بخشهاي ديگر را هم
دربرگيرد.
موسسات ISOو IECاز موسسات بيناملللی تدوين استاندارد در سطح جهانی
میباشند که کميته مشترکی را به نام JTC1برای تدوين استانداردها تشکيل دادهاند .
استاندارد بيناملللی ISO/IEC 17799برای اولين بار توسط موسسه استاندارد
انگلستان ارائه شد و سپس توسط JTC1پذيرفته شد .
2
امنيت اطالعات چيست
اطالعات ( مانند ساير دارائیهای سازمانی ) به عنوان يک دارائی مهم و باارزش برای هر سازمان به
حساب میآيد و در نتيجه نيازمند ارائه راهکارهای حفاظتی الزم برای نگهداری آنها ،میباشند .
سه اصل مهم در امنيت اطالعات عبارتند از :
محرمانگی :اطمينان از اينکه اطالعات فقط در دسترس افراد مجاز قرار دارد
صحت :تامين کردن صحت ،دقت و کامل بودن اطالعات و روشهای پردازش آنها
دردسترس بودن :اطمينان از اينکه کاربران مجاز در صورت نياز به اطالعات و دارائیهای مربوطه به
آنها دسترس ی دارند .
امنيت اطالعات به وسيله اجرای يکسری از کنترلهای مناسب ،حاصل خواهد شد .اين کنترلها
ميتوانند به صورت خطمش یها ،رويهها ،ساختارهای سازمانی و يا نرمافزارهای کاربردی باشند .اين
کنترلها برای اطمينان از برآورده شدن اهداف امنيتی سازمان بايستی اجرا گردند .
3
تعيين دارائي هاي ( سرمايه هاي ) سازماني
مستندات کاغذي
دارائي هاي اطالعاتي
دارائي هاي فيزيکي
سخت افزار ها
نرم افزارها
اطالعات و ارتباطات
دارائي هاي انساني
انواع کاربران
خدمات
4
ISMSچـيست؟
سيستم مديريت امنيت اطالعات
سيستم مديريت امنيت اطالعات بر اساس استاندارد ISO 27001در كنار ديگر
سيستمهاي مديريت به خصوص استاندارد ISO 9001و تحت نظارت و مديريت
مستقيم مديريت ارشد شركت مستقر ميگردد.
تامين كننده امنيت اطالعات در هر سازمان.
اين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني مانند
ISO/IEC 17799و ISO 15408بهره مي گيرد.
5
امنيت اطالعات
محرمانگي
اطمينان از اينكه اطالعات فقط در دستر س كساني است كه آنها مجوز دسترس ي داند
صحت
مراقبت از صحيح وكامل بودن اطالعات و روشهاي پردازش
دسترس ي
اطمينان از اينكه افراد مجاز به اطالعات ودارايي هاي اختصاص يافته درصورت نياز دسترس ي دارند
6
ايجاد نيازمنديهای امنيت اطالعات
الزم است تا يک سازمان کليه نيازمندیهای امنيتی خود را مشخص نمايد .سه منبع اصلی برای مشخص
کردن اين نيازمنديها وجود دارد که عبارتند از :
مستندات برگرفته از ارزيابی ريسک سازمانی .در طول ارزيابی ريسک بايستی تهديدات مرتبط با
دارائيها مشخص شده ،آسيبپذيريها و احتماالت مربوط به رخدادها ارزيابی شده و پيامدهای
بالقوه و بالفعل مربوطه برآورد گردد .
نيازمنديهای قانونی ،قراردادی و انظباطی سازمانی
مجموعه خاص ی از اصول ،اهداف و نيازمندیهای مربوط به پردازش اطالعات که يک سازمان
برای پشتيبانی از عملکردهای خود از آنها استفاده مینمايد .
7
سياست های امنيتی
امنيت سخت افزار ،وسائل جانبي و ديگر تجهيزات
زير بخش شماره يک :خريد و نصب سخت افزار
مشخص کردن نيازمنديهاي امنيت شبکه و اطالعات براي سخت افزارهاي جديد
مشخص کردن نيازمنديهاي کاربردي تفصيلي براي ( تهيه )سخت افزار جديد
نصب سخت افزار جديد
تست سيستمها و تجهيزات
زير بخش شماره دو :کابل کشي ، UPS ،پرينترها و مودمها
تهيه برق دائم و پيوسته براي تجهيزات حياتي و حساس
مديريت و نگهداري مولد برق جانشين
استفاده از ماشينهاي فاکسFax modems /
استفاده از مودمها /اتصاالت DSLو ISDN
استفاده از پرينترهاي منفرد ،تحت شبکه و يا مرکزي
نصب و نگهداري کابل هاي شبکه
زير بخش شماره سه :مواد مصرف شدني در حوزه فناوري اطالعات
کنترل مواد مصرف شدني در حوزه فناوري اطالعات
استفاده از رسانههاي ذخيره سازي قابل پاک شدن(مانند ديسکتها و CDها
8
سياست های امنيتی
زير بخش شماره چهار :کار بصورت work ofيا برونسپاري فرآيندها و فعاليتهاي
کاري
مقاطعه کاري يا برون سپاري فعاليتها
اختصاص / Laptopکامپيوترهاي قابل حمل به پرسنل
Tele_Working
انتقال سخت افزارها از مکاني به مکان ديگر
استفاده از تلفنهاي موبايل
استفاده از تسهيالت مرکزي سازمان
زير بخش شماره پنج :استفاده از محلهاي ذخيرهسازي امن
استفاده از مکانهاي ذخيره سازي قفلدار
زير بخش شماره شش :مستند سازي سخت افزار
مديريت و استفاده از مستندات سخت افزاري
نگهداري ليست اموال تجهيزات سخت افزاري
9
سياست های امنيتی
زير بخش شماره هفت :ساير موارد امنيتي مربوط به سخت افزارها
کنترل تجهيزات منسوخ و از رده خارج شده
ثبت و گزارش خطاهاي سخت افزاري
بيمه تجهيزات سخت افزاري
خطمشي ميز /صفحه پاک
log on / Log off
نگهداري سخت افزارها به دو صورت onsiteو offsite
آسيب رساندن به تجهيزات
10
سياست های امنيتی
بخش دوم :کنترل دسترسي به اطالعات و سيستمها
مديريت استانداردهاي کنترل دسترسي
مديريت دسترسي کاربر
امنيت ايستگاههاي کاري بدون مراقبت
مديريت کنترلهاي دسترسي به شبکه
کنترل دسترسي به نرمافزارهاي سيستم عامل
مديريت پسوردها
امنيت در مقابل دسترسيهاي فيزيکي غير مجاز
محدود کردن دسترسيها
بازبيني دسترسيهاي سيستمي و استفاده از آنها
اختصاص دسترسي به مستندات و فايلها
مديريت دسترسي سيستمهايي با ريسک باال
کنترل دسترسي کاربر از راه دور
11
سياست های امنيتی
بخش سوم :اطالعات و مستندات پردازش
زير بخش شماره يک :شبکهها
پيکر بندي شبکهها
مديريت شبکه
دسترسي به شبکه از راه دور
دفاع از اطالعات شبکه در مقابل حمالت بدخواهانه
زير بخش شماره دو :مديريت و عملکرد سيستم
انتصاب مديران سيستمها
مديريت سيستمها
کنترل توزيع دادهها
اجازه دسترسي به اشخاص ثالث
مديريت کليدهاي الکترونيکي
مديريت عملکرد سيستم و اداره کردن آن
مديريت مستند سازي سيستم
نظارت بر ثبت خطاها
زمانبندي عمليات سيستمها
تغييرات زمانبندي براي عملياتهاي سيستمي متداول
نظارت بر ثبت مميزي عمليات
همزماني ساعتهاي سيستم
پاسخ به خطاهاي سيستمي
12
سياست های امنيتی
زير بخش شماره سهE-mail & World wide web :
دانلود فايلها و اطالعات از طريق اينترنت
استفاده و دريافت امضاهاي ديجيتال
ارسال ايميل
دريافت ايميل
نگهداشتن و يا پاک کردن ايميل
برقراري دسترسي به اينترانت
برقراري دسترسي به اکسترانت
برقراري دسترسي به اينترنت
توسعه يک وبسايت
دريافت اطالعات گمراهکننده از طريق ايميل
ارسال ايميل
استفاده از اينترنت براي اهداف کاري
ارائه اطالعات هنگام سفارش کااال از طريق اينترنت
موضوعات مربوط به Web browse
استفاده از موتور جستجوي اينترنتي
نگهداري وبسايت
فيلتر کردن مطالب نامناسب از اينترنت
اطمينان از اصلي بودن فايل(منشا فايل
13
سياست های امنيتی
زير بخش شماره پنج :مديريت دادهها
انتقال و مبادله دادهها
مديريت ذخيره سازي دادهها
مديريت پايگاه داده
اجازه اصالح ضروري و فوقالعاده دادهها
دريافت اطالعات بر روي ديسکها
نصب يک دايرکتوري يا فولدر جديد
اصالح ساختار دايرکتوري
بايگاني مستندات
خطمشي نگهداري اطالعات
ايجاد صفحه گستردههاي جديد
ايجاد پايگاه داده جديد
برقراري ارتباط اطالعاتي مابين مستندات و فايلها
بروز کردن گزارشات پيشنويس
حذف گزارشات پيشنويس
استفاده از سيستمهاي کنترل نسخه
به اشتراک گذاشتن بر روي سيستمهاي مديريت پروژه
بروز کردن اطالعات مشتريان
استفاده از اسامي معنيدار براي فايلها
استفاده از Headerو Footer
استفاده از فايلهاي موقت و حذف آنها
14
سياست های امنيتی
زير بخش شماره شش :پشتيبانگيري ،بازيابي و بايگاني اطالعات
شروع مجدد و يا بازيابي سيستم
پشتيبانگيري از دادهها بر روي کامپيوترهاي قابل حمل
مديريت رويهها پشتيبانگيري و بازيابي اطالعات
بايگاني اطالعات
بايگاني فايلهاي الکترونيکي
بازيابي و اصالح فايلهاي دادهاي
15
سياست های امنيتی
بخش چهارم :خريد و نگهداري نرمافزارهاي تجاري
زير بخش شماره يک :خريد و نصب نرمافزار
مشخص کردن نيازمنديهاي کاربري براي خريد نرمافزار
انتخاب بستههاي نرمافزاري تجاري
استفاده از نرمافزارهاي داراي مجوز
اجراي نرمافزار جديد و يا بروز شده
زير بخش شماره دو :نگهداري و بروز کردن نرمافزار
بکارگيري Patchها براي نرمافزار
بروز کردن نرمافزار
واکنش در مقابل توصيه فروشندگان براي بروز کردن نرمافزار
پشتيباني از نرمافزارهاي کاربردي
بروز کردن نرمافزارهاي سيستمعامل
پشتيباني از سيستم عامل
ثبت و گزارش خطاهاي نرمافزاري
16
سياست های امنيتی
زير بخش شماره سه :ساير موارد نرمافزاري
از رده خارج کردن نرمافزارها
کنترل محيط تست نرم افزار
استفاده از دادههاي واقعي براي تست نرمافزار
تست نرمافزار قبل از انتقال به محيط هدف
آموزش سيستمهاي جديد
مستند سازي سيستمهاي جديد و يا ارتقا يافته
اکتساب نرم افزارهاي از قبل توسعه توسط فروشنده آن
17
سياست های امنيتی
بخش پنجم :طراحي طرح استمرار کسب و کار سازماني
شروع پروژه BCP
ارزيابي ريسک امنيتي BCP
توسعه BCP
تست طرح استمرار کسب و کار
نگهداري و بروز کردن BCP
18
ارزيابي اوليه از ميزان امنيت شبكه و اطالعات جاري سازمان
به طور كلي مي توان گفت كه اين ارزيابي اوليه در حوزه هاي ذيل صورت مي گيرد:
سطح شبكه
سطح سيستم
سطح برنامه كاربردي
سطح بستر ارتباطي
سطح Connections
سطح رمز نگاري
19
تعيين سياست های امنيتی
سياستهاي امنيتي سرويسهاي فضاي تبادل اطالعات سازمان
سياستهاي امنيتي سختافزارهاي فضاي تبادل اطالعات سازمان
سياستهاي امنيتي نرمافزارهاي فضاي تبادل اطالعات سازمان
سياستهاي امنيتي ارتباطات و اطالعات فضاي تبادل اطالعات سازمان
سياستهاي امنيتي کاربران فضاي تبادل اطالعات سازمان
20
چگونگي تشخيص الزامات امنيتي
-1با توجه به ريسك هاي امنيتي
-2با توجه به الزامات قراردادي وقانوني
-3با توجه به اصول واهداف والزامات داخلي
21
برآورد و مديريت ريسک
پيامد
اجتناب
انتقال
كا هش
پذيرش
احتمال
22
Risk Assessment
STEP 1: SYSTEM CHARACTERIZATION.
System-Related Information
Information-Gathering
STEP 2: THREAT IDENTIFICATION.
Threat-Source Identification
Motivation and Threat Actions
STEP 3: VULNERABILITY IDENTIFICATION.
Vulnerability Sources
System Security Testing
.
23
Risk Assessment
STEP 4: LIKELIHOOD DETERMINATION.
STEP 5: IMPACT ANALYSIS .
STEP 6: RISK DETERMINATION.
Risk-Level Matrix.
Description of Risk Level
STEP 7: CONTROL RECOMMENDATIONS
STEP 8: RESULTS DOCUMENTATION
24
Risk Mitigation
RISK
MITIGATION OPTIONS.
RISK MITIGATION STRATEGY.
APPROACH FOR CONTROL IMPLEMENTATION..
CONTROL CATEGORIES.
Technical Security Controls.
Management Security Controls
Operational Security Controls.
COST-BENEFIT ANALYSIS.
RESIDUAL RISK.
25
متدولوژي ISO 27001:2005
26
حوزه هاي يازده گانه ISO/IEC 27001
سازماندهي
امنيت اطالعات
مديريت
دارايي ها
خط مش ي امنيتي
مطابقت با قوانين
مديريت تداوم
كسب و كار
حوزه هاي
يازده گانه
امنيت
منابع انساني
مديريت حوادث
امنيت اطالعات
تهيه ،توسعه و نگهداري
سيستم هاي اطالعاتي
امنيت
محيطي و فيزيكي
مديريت
عمليات و ارتباطات
كنترل دسترس ي
27
حوزه اول-خط مش ي امنيتي
منظور :جهت گيري و جلب حمايت مديريت از امنيت اطالعات
در ارتباط با نيازمنديها و قوانين و مقررات مربوطه
مستند خط مش ي امنيت بايد توسط مديريت تصويب شده و به اطالع همه كاركنان
و طرف هاي خارجي سازمان برسد.
28
حوزه اول-خط مش ي امنيتي
اجزاء مستند خط مش ي امنيت اطالعات
تعريفي از امنيت اطالعات
بيانيه اي كه نشانگر اراده مديريت براي پشتيباني از اهداف و مفاهيم امنيت متناسب با اهداف و
استراتژي كاري سازمان است.
تعيين چارچوب الزم براي رسيدن به اهداف جزئي و اعمال كنترل هاي ،نظير ساختار ارزيابي و مديريت
مخاطرات.
توضيح مختصري راجع به خط مش ي ها ،اصول ،استانداردها و نيازمندي هاي مطابقت با قوانين و
مقرارت.
تعريفي از مسؤوليت هاي عمومي و ويژه ،نظير گزارش حوادث امنيتي به مديريت
ارجاع به مستندات اضافي و الزم در مورد خط مش ي ها ،سيستم هاي اطالعاتي ،قواعد و غيره كه
كاربران موظف به رعايت آنها هستند.
خط مش ي امنيت اطالعات هر فواصل زماني معين و نيز هرگاه تغيير عمده اي در سازمان رخ دهد بايد
بازبيني گردد.
29
حوزه دوم-سازماندهي امنيت اطالعات
تعهد مديريت به امنيت اطالعات
ايجاد هماهنگي در امنيت اطالعات
تخصيص مسؤوليت هاي امنيت اطالعات
فرآيندهاي مجاز براي امكانات IT
سازماندهي داخلي
تعهدنامه حفظ اسرار سازماني
تماس با اوليای امور
تماس با گروه هاي ذينفع خاص
بازنگري امنيت اطالعات توسط عوامل مستقل
30
حوزه دوم-سازماندهي امنيت اطالعات
تشخيص خطرهاي مرتبط با طرف هاي بيروني
وضعيت هاي امنيت در ارتباط با مشتريان
امنيت طرف هاي
بيرون از سازمان
در نظر گرفتن امنيت در قرارداد با خارج از سازمان
31
حوزه سوم – مديريت دارايي ها
منظور :برآورد ارزش واقعي دارايي
هاي سازمان
ارزش گذاري بر دارايي ها
فهرست اموال و دارايي ها
انواع دارايي هاي عنوان شده :
دارايي هاي اطالعاتي
دارايي هاي نرم افزاري
دارايي هاي فيزيكي
تأسيسات و سرويس هاي مرتبط
افراد و تجارب و شايستگي هاي آنان
دارايي هاي معنوي ،نظير حيثيت و اعتبار سازمان
32
حوزه سوم – مديريت دارايي ها
راهبرد طبقه بندي
منظور :اطمينان از اينكه اطالعات با سطح
مناسبي از حفاظت نگهداري و تبادل مي
شوند.
طبقه بندي اطالعات
عالمت گذاري و سر و كار با
اطالعات
محرمانگي
يكپارچگي
قابليت دسترس ي
33
حوزه چهارم – امنيت منابع انساني
قبل از بكارگيري
منظور از بكارگيري در اينجا تمامي موارد استخدام بدوي ،تعيين مسؤوليت هاي جديد ،تغيير مسؤوليت ،به
كارگيري نيروهاي قراردادي و پايان دادن به كار در هر يك از موارد فوق است.
درج امنيت در شرح خدمات مشاغل
منظور :براي اطمينان از اينكه كاركنان ،طرف هاي قرارداد و كاربران طرف
سوم وظايف خود را مي دانند .همچنين اين افراد براي كار مورد نظر
صالحيت دارند و نيز به منظور كاهش خطر دزدي ،سوء استفاده و
كالهبرداري در سازمان.
لحاظ نمودن امنيت در تعريف شغل
گزينش
تعهدنامه حفظ اسرار و محرمانگي
34
حوزه چهارم – امنيت منابع انساني
حين بكارگيري
نسبت به وظايف مديريتي خود نسبت به امنيت آگاهند
دستورالعمل هاي الزم را نسبت به انتظارات امنيتي در اختيار دارند
مسؤوليت هاي مديران
انگيزه الزم براي لحاظ نمودن امنيت در سازمان را دارند
آگاهي و هشياري نسبي در امنيت مسائل مرتبط با حوزه خود دارند
به مسائل مرتبط با امنيت در بين كاركنان سازمان حساسيت دارند
در مسائل الزم مبتال به مهارت و صالحيت دارند
آموزش و راهنمايي امنيت اطالعات
آموزش كاربران
بايد فرآيندهاي انضباطي الزم براي
كاركناني كه موارد امنيتي را نقض مي
كنند اعمال گردد.
فرآيندهاي انضباطي
35
حوزه چهارم – امنيت منابع انساني
خاتمه دادن به كار
مسؤوليت هاي مرتبط با خاتمه دادن به
همكاري
منظور :براي اطمينان از اينكه به خدمت كاركنان ،طرف هاي قرارداد و
كاربران سازمان به شيوه مناسبي پايان داده
مي شود.
خاتمه دادن يا تغيير در
بكارگيري
بازگرداندن دارائی ها
پاک کردن حقوق دسترس ي
36
حوزه پنجم – امنيت محيطي و فيزيکي
ايجاد حصار الزم براي محيط هاي امن
منظور :پيشگيري از دسترس ي هاي غيرمجاز ،خسارت يا دخالت در
سرويس IT
كنترل هاي ورودي هاي فيزيكي
محيط هاي امن
امنيت دفاتر ،اتاقها و امكانات
حفاظت در مقابل تهديدهاي محيطي و خارجي
كار در محيط هاي امن
جداسازي محل هاي تخليه و بارگيري
37
حوزه پنجم – امنيت محيطي و فيزيکي
استقرار تجهيزات و حفاظت از آنها
منظور :پيشگيري از ضرر ،خسارت يا لو رفتن داراييها و جلوگيري از
توقف فعاليت هاي سازمان
تسهيالت پشتيبان
امنيت تجهيزات
امنيت كابل و كابل كش ي
تعمير و نگهداري تجهيزات
امنيت تجهيزات بيرون از سازمان
اسقاط نمودن يا استفاده دوباره از تجهيزات
خارج نمودن تجهيزات از محل سازمان
38
حوزه ششم – مديريت ارتباطات و عمليات
منظور :اطمينان از درستي و امن بودن عملكرد امكانات شبكه و
كامپيوتر
رويه هاي عملياتی مستنده شده
مديريت تغييرات
روش هاي عملياتي و مسؤوليتها
تفكيك وظايف
جداسازي تجهيزات آزمايش ي از تجهيزات
عملياتي
39
حوزه ششم – مديريت ارتباطات و عمليات
ارائه خدمات مورد انتظار
منظور :اعمال و حفظ سطح مناسب امنيت و سرويس اطالعاتي
متناسب با توافقات فيمابين
نظارت و بازنگري در نحوه ارائه خدمات
مديريت ارائه خدمات طرح هاي سوم
مديريت تغييرات در ارائه خدمات
منظور :به حداقل رساندن خسارت ناش ي از خرابي
سيستمها
مديريت ظرفيت
طراحي و تست قبولي سيستم
شرايط قبولي سيستم
40
حوزه ششم – مديريت ارتباطات و عمليات
كنترل ويروس
حفاظت از نرم افزار بدخواه
كنترل كد موبايل )(Script
تهيه نسخه هاي پشتيبان
منظور :حفظ صحت و قابليت دسترس ي سرويس هاي IT
نگهداري از اطالعات پشتيبان
مديريت نسخه هاي پشتيبان
فرآيندهاي بازيابي از نسخه هاي پشتيبان
رمزنگاري الزم در نسخه هاي پشتيبان
كنترل هاي شبكه
منظور :اطمينان از حراست اطالعات در شبكه ها و حمايت از
پشتيباني زيربنايي
مديريت امنيت شبكه
امنيت سرويس هاي شبكه
41
حوزه ششم -مديريت ارتباطات و عمليات
مديريت رسانه هاي قابل حمل
منظور :پيشگيري از لو رفتن ،تغيير ،حذف و يا انهدام
سرمايه ها و يا توقف در فعاليت هاي كاري
انهدام مناسب رسانه ها
جابجايي رسانه هاي داده اي
رويه هاي جابجايي اطالعات
امنيت مستندات سيستم
خط مش ي ها و رويه هاي تبادل اطالعات
منظور :پيشگيري از فقدان ،اصالح يا سوء استفاده از داده ،تبادل داده و
نرم افزار بين سازمانها
توافقات تبادل داده و نرم افزار
تبادل اطالعات
امنيت رسانه ها در هنگام انتقال
سيستم هاي پيغام رساني الكترونيكي
سيستم هاي اطالعات اداري
42
حوزه ششم – مديريت ارتباطات و عمليات
حفاظت از كالهبرداري ،تعارض حقوقي
و ...
منظور :اطمينان از امنيت سرويس هاي تجارت الكترونيكي و استفادة امن
از آنها
امنيت تراكنش هاي بر خط
سرويس هاي تجارت الكترونيكي
اطالعات در دسترس عموم
نظارت بر فعاليت هاي ثبت شده
منظور :تشخيص فعاليت هاي غيرمجاز پردازش اطالعات
نظارت بر نحوة كاركرد و استفاده از سيستمها
حراست از وقايع و اطالعات ثبت شده
نظارت
مديريت ثبت كارهاي مديران و اپراتورهاي
شبكه
ثبت خطاها
همزمان نمودن ساعت سيستمها
43
حوزه هفتم – کنترل دسترس ي
منظور :كنترل دسترس ي به اطالعات
نيازمندي هاي تجاري براي
دسترس ي سيستم
خط مش ي مستند شده كنترل دسترس ي
منظور :پيشگيري از دسترس ي غيرمجاز به كامپيوتر
ثبت كاربران
مديريت دسترس ي داراي امتياز
مديريت دسترس ي كاربر
مديريت رمز عبور كاربران
بازنگري در حقوق دسترس ي كاربران
44
حوزه هفتم – کنترل دسترس ي
منظور :پيشگيري از دسترس ي غيرمجاز به كامپيوتر
بكارگيري رمز عبور
تجهيزات رها شده توسط كاربر
مسؤوليت هاي كاربر
خط مش ي ميزكار خلوت
-1خط مش ي استفاده از خدمات شبكه
-2تصديق هويت كاربر در ارتباطات بيروني
-3شناسايي تجهيزات در شبكه
منظور :حفاظت از دسترس ي غيرمجاز به سرويس هاي شبكه
-4حفاظت پورت هاي تنظيم و رفع عيب از راه
دور
كنترل دسترس ي به شبكه
-5تفكيك در شبكه ها
-6كنترل اتصال به شبكه
-7كنترل مسيريابي
45
حوزه هفتم – کنترل دسترس ي
-1رويه هاي دستيابي امن كاربر
منظور :پيشگيري از دسترس ي غيرمجاز به كامپيوتر
-2شناسايي و تأييد هويت كاربر
-3سيستم مديريت رمز عبور
كنترل دسترس ي به سيستم عامل
-4استفاده از امكانات ابزاري سيستم
-5انقضاي زماني پايانه كاري
-6محدوديت زمان اتصال
منظور :پيشگيري از دسترس ي غيرمجاز به اطالعات
سيستم هاي كامپيوتري
-1محدوديت دسترس ي به اطالعات
كنترل دسترس ي به برنامه هاي
كاربردي
-2جداسازي اطالعات حساس
46
حوزه هفتم – کنترل دسترس ي
منظور :تضمين امنيت اطالعات در زمان كار با رايانه هاي همراه
ارتباط رايانه هاي سيار
دسترس ي از رايانه هاي سيار و كار
از راه دور
كنترل دسترس ي براي كار از راه دور
47
حوزه هشتم – تهيه ،نگهداري و توسعه سيستمها
منظور :اطمينان از اينكه امنيت درون سيستم هاي ITايجاد مي شود.
شناسايي و تحليل نيازمندي هاي امنيتي
تأييد داده ورودي
نيازمندي هاي امنيتي سيستمها
منظور :پيشگيري از فقدان ،تغيير يا سوء استفاده از داده كاربر در سيستم
هاي كاربردي
كنترل پردازش داخلي
كاركرد صحيح سيستم هاي
كاربردي
يكپارچگي پيغام
تأييد داده خروجي
48
حوزه هشتم – تهيه ،نگهداري و توسعه سيستمها
منظور :حفاظت محرمانگي اصالت و يكپارچگي اطالعات با استفاده از
رمزنگاري
خط مش ي استفاده از كنترل هاي رمزنگاري
كنترل هاي رمزنگاري
مديريت كليد
كنترل نرم افزار عملياتي
منظور :اطمينان از اينكه پروژه هاي ITو فعاليت هاي پشتيباني در يك
روش امن هدايت مي شوند.
امنيت فايل هاي سيستم كاربردي
حفاظت از سيستم تست داده
كنترل دسترس ي به متن برنامه ها
49
حوزه هشتم – تهيه ،نگهداري و توسعه سيستمها
منظور :حفظ و تداوم امنيت داده و نرم افزار سيستم كاربردي
امنيت فرآيندهاي توسعه و پشتيباني
موضوعات مورد بحث در اين مورد عبارتند از :
رويه هاي كنترل تغيير
مرور تكنيكي تغييرات سيستم عملياتي
محدوديت هاي روي تغييرات بسته هاي نرم افزاري
حذف امكان نشت اطالعات (به خارج از حوزة مجاز)
توسعة نرم افزاري بوسيلة سفارش به بيرون
50
حوزه نهم – مديريت حوادث امنيت اطالعات
منظور :اطمينان از اينكه حوادث و ضعف هاي امنيتي مرتبط با سيستم
هاي اطالعاتي به نحوي كه به توان آنها را در
زمان هاي قابل قبولي رفع كرد ،گزارش مي گردند.
گزارش حوادث امنيت اطالعات
گزارش حوادث و ضعف هاي امنيتي
گزارش نقاط ضعف امنيت اطالعات
منظور :اطمينان از اينكه رويه هاي يكنواخت و مؤثر در مورد حوادث
امنيتي اعمال مي گردند.
مسؤوليتها و رويه ها
مديريت حوادث امنيت اطالعات و
يادگيري و عبرت از حوادث گذشته
راه هاي بهبود آنها
جمع آوري شواهد
51
حوزه دهم– طرح تداوم کسب و کار
منظور :داشتن طرح هاي قابل دسترس ،به منظور بي اثر كردن تعليق هاي
فعاليت هاي کسب و کار
طرح تداوم كسب و كار
وجوه امنيتي مديريت تداوم كسب و كار
درج امنيت اطالعات در فرآيند مديريت تداوم كسب و كار
تداوم كسب و كار و ارزيابي مخاطرات
ايجاد و پياده سازي طرح هاي تداوم كسب و كار با در نظر گرفتن امنيت
چارچوب طرح تداوم كسب و كار
تست ،نگهداري و ارزيابي مجدد طرح هاي تداوم كسب و كار
52
حوزه يازدهم – مطابقت با قوانين
تبعيت پذيري از قوانين موضوعه
منظور :اجتناب از هر رخنه قانوني ،بزهكاري يا توافقات مدني و هر نيازمندي امنيتي ،طراحي ،عملكرد و
استفاده از سيستم هاي ITممكن است موضوع نيازمندي هاي امنيتي قراردادي و قانوني باشد.
مرورهاي امنيتي سيستم هاي IT
منظور :اطمينان از تطبيق سيستمها با استانداردها و سياست هاي امنيتي سازمان.
مالحظات بازرس ي سيستم
منظور :به حداقل رساندن دخالت به /از فرآيند رسيدگي سيستم.
53
طرح پشتيبانی از حوادث
اجراي طرح امنيت شبکه و اطالعات ( ) ISMSدر يک سازمان موجب ايجاد حداکثري امنيت در
ساختار شبکه و اطالعات سازمان خواهد شد .اما با گذشت زمان ،روش هاي قبلي از جمله نفوذ به
شبکه ها تغيير خواهند يافت و سيستم امنيتي شبکه و اطالعات سازمان بر اساس تنظيمات قبلي قادر به
حل مشکالت جديد نخواهند بود .از طرفي ديگر هر روزه آسيب پذيري هاي جديدي شبکه و اطالعات
سازمان را تهديد مي نمايند و در صورتي که از راه حل هاي جديد استفاده ننمائيم ،سيستم شبکه و
اطالعات سازمان بسيار آسيب پذير خواهد شد و عمال فعاليت هاي چندساله و هزينه هاي انجام شده در
زمينه امنيت شبکه و اطالعات بيفايده خواهد شد.
براي حل مشکالت ذکر شده در سيستم مديريت امنيت اطالعات و شبکه ،تشکيالت پشتيباني امنيت شبکه و
اطالعات و طرح هاي پشتيباني مربوطه ،پيش بيني شده است .مهمترين اين روش ها ،طرح پشتيباني از حوادث مي
باشد .
54
ساختار تيم پشتيبانی از حوادث
دسته بندی حوادث
در اين قسمت دسته بندي هاي مختلفي از انواع حوادث امنيتي ممکن به همراه عوامل آنها ارائه ميگردد .
برخي از اين دسته بندي ها عبارتند از :
کدهاي مخرب
دسترس ي غير مجاز
ممانعت از سرويس
..............
پاسخ به حوادث
پاسخ گوئي به حوادث يکي از ضروري ترين کارها مي باشد چرا که تکرار حمالت مي تواند منجر به
افزايش دامنه خسارات و زيان هايي بر سرمايه هاي سازماني گردد .در اين قسمت ضرورتهاي مربوط به
حوادث و فوايد تيم پشتيباني از حوادث ذکر مي گردد.
55
ساختار تيم پشتيبانی از حوادث
سياست ها و رويه هاي پشتيباني حوادث
در اين بخش و به تفکيک مراحل ذکر شده در بخش قبلي کليه سياست ها و روال هاي مربوط به
پشتيباني حوادث ارائه مي گردد .يکي از موارد مهمي که در اين بخش به ان اشاره مي شود ،نحوه ارتباط
تيم پشتيباني حوادث سازمان با تيم پشتيباني حوادث ساير سازمان ها مي باشد.
ساختار تيم پشتيباني حوادث
معرفي انواع تيم هاي پشتيباني حوادث و انتخاب مورد مناسب براي سازمان
تيم پاسخ به حوادث مرکزي
تيم پاسخ به حوادث توزيع شده
تيم اطالع رساني
معرفي انواع سيستم هاي پرسنلي و انتخاب مورد مناسب براي سازمان
سيستم خودگرداني
سيستم جزئي سفارش ي
سيستم تمام سفارش ي
انتخاب پرسنل تيم و تعيين وظائف آنها
56
ساختار تيم پشتيبانی از حوادث
سرويس هاي تيم پشتيباني حوادث
ارزيابي آسيب پذيري ها
تشخيص تهاجم
آموزش
اطالع رساني
......
57
متدولوژی پشتيبانی از حوادث
فاز های مختلف اين متدولوژی عبارتند از :
آماده سازی
تشخيص و تحليل
محدود سازی ،ريشه کنی و ترميم
فعاليت های بعد از ترميم
فعاليت های
بعد از ترميم
محدود سازی
ريشه کنی و ترميم
تشخيص
و تحليل
58
آماده
سازی
انتخاب کنترل هاي مناسب استاندارد ISO 27001براي سازمان
در اين مرحله با توجه به خروجي هر يک فاز هاي قبلي ،آندسته از کنترل هاي
استاندارد ISO 27001که براي سازمان مناسب مي باشند انتخاب مي گردد (
. )Control customizationسپس ارتباط اين کنترل ها و راهکار هاي
ارائه شده در فاز قبلي مشخص مي گردد بدين معني که راهکار هاي الزم براي پياده
سازي کنترل هاي انتخابي ارائه مي گردد .
59
مميزي داخلي سازمان ( در حوزه کاري – ) Scope
در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليست ها و
مستندات مر بوط به سرمميزي استاندارد ISO 27001که در اختيار مي باشد و
همچنين با توجه به تاونائي تيم امنيت شرکت پرورش دادهها براي مميزي استاندارد
، ISO 27001کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررس ي مي
گردند تا اگر احيانا انحرافي نسبت به اهداف استاندارد وجود دارد ،سريعا برطرف
گردد .پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود ،سازمان
آماده دريافت گواهينامه بيناملللي استاندارد ISO 27001مي باشد .
60
صدور گواهينامه بيناملللي استاندارد ISO 27001
در پايان پروژه و پس از اينکه تشخيص داده شد که سازمان آماده دريافت
گواهينامه مي باشد و در صورت تمايل مديريت سازمان ،از يک مرکز
( ) Certification Body- CBبراي صدور
تصديق معتبر
گواهينامه دعوت بعمل مي آيد .
61
اجزاء و ساختار تشکيالت امنيت اطالعات سازمان
تشکيالت امنيت شبکه ،متشکل از سه جزء اصلي به شرح زير مي باشد:
در سطح سياستگذاري :کميته راهبري امنيت فضاي تبادل اطالعات دستگاه
در سطح مديريت اجرائي :مدير امنيت فضاي تبادل اطالعات دستگاه
در سطح فني :واحد پشتيباني امنيت فضاي تبادل اطالعات دستگاه
62
اجزاء و ساختار تشکيالت امنيت اطالعات سازمان
63
پياده سازي ISMS
برقراري موارد امنيتي
-تعيين اهداف و خط مش ي تجاري
خط مش ي
قلمرو و خط مش ي ISMS-روش مديريت ريسك
برآورد و شنا سايي ريسك ها
برنامه
شناسايي ريسك ها-تحليل ريسك ها
-ارزيابي
مديريت ريسك
بهبود
مستمر
توسعه ISMS
اقدام
بررس ي
اجرا
شنا سايي و ارزيابي گزينه هاي مديريتريسك
انتخاب كنترل ها واهداف براي برخورد ومديريت ريسك
مشخص كردن موارد بهبود در
ISMSو پياده سازي آنها
انجام اقدامات پيشگيرانه و اصالحي
مناسب
مشاوره و داشتن ارتباط
(مديريت ،مسئولين مالي ،كاربران
وغيره)
نظارت و بازنگري ISMS
-پياده سازي كنترلهاي انتخاب شده
بيانيه قا بليت اجرا
64
بهبود مستمر
بهبود مستمر
توسعه سيستم
مديريت امنيت
اطالعات
برنامه
اجرا
كارايي
اقدام
اقدام
بررس ي
اجرا
تضمين (امنيت اطالعات)
زمان
65
بررس ي
پياده سازي ISMS
معايب؟؟؟؟
مزايا
ريسك ها وخسارت ها كاهش مي
يابد
منطبق كردن استاندارد هاو
فعاليتها با قوانين ومقررات
سازمان
توسعه ايمني
نگراني از تغيير وضعيت موجود
نگراني از افشاشدن اطالعات
نگراني از افزايش هزينه
نداشتن دانش كافي قبل از پياده
سازي
كار بسيار بزرگ ظاهرا به نظر
ميرسد
كاركرد هاي قابل اطمينان
66
مزاياي پياده سازي
به حالت سيستماتيك و روش مند نزديك مي شويد
تخلفات امنيتي ويا اقامه دعوي حقوقي عليه شركت كاهش مي يابد
تبليغات سوءعليه شركت كاهش مييابد
تضمين اعتبار قانوني شركت افزايش مي يابد
فهم از جنبه هاي تجاري افزايش مييابد
دارايي هاي كه در حالت بحراني هستنداز طريق ارزيابي ريسك تجاري شناسايي مي شوند
ايجاد يك ساختار براي بهبود مستمر
شناخت و اهميت مسائل مربوط به امنيت درسطح مديريت افزايش مي يابد
اطمينان از اينكه سرمايه علمي شركت نگهداري خواهد شد ودر يك سيستم مديريت تجاري مديريت
شود
بومي سازي فرهنگ و دانش امنيت اطالعات در سازمان
67
مزاياي دريافت گواهينامه
نمايش عمومي
افزايش وجهه شركت
ISMS
تضمين /پاسخگويي
تسريع بهبود فرايند ها
تضمين تعهد مديريت
تمايل يافتن مشتريان بالقوه به شركت
مي توانيد بخش ي از روش يكپارچه 14001/9001/ISMSباشيد
ايجاد انگيزه در كاركنان
68
دريافت گواهينامه چه زماني اتفاق ميافتد؟
قرارداد
محرمانه
گواهينامه
ISMS
مميزي
دوره اي
پي گيري
مميزي اوليه
برآورد
اوليه
مميز ها
آگاه سازي
69
مطالعات اوليه
پياده سازي
شركت مشاور