ISMS - FUMblog - دانشگاه فردوسی مشهد
Download
Report
Transcript ISMS - FUMblog - دانشگاه فردوسی مشهد
ISMS
INFORMATION SECURITY
MANAGEMENT SYSTEM
Mansooreh Jalalyazdi
ISMSچیست؟
مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده
های حساس یک سازمان ، ،به طور سیستماتیک ،استفاده می شود.
هدف ISMSکمینه کردن ریسک است.
گامهای الزم برای ارزیابی مخاطرات
گام اول :شناخت دارایي ها
گام دوم :ارزش گذاري دارایي ها
گام سوم :تعیین آسیب پذیري
گام چهارم :محاسبه تهدید
گام پنجم :محاسبه میزان ریسک
تعاریف استفاده شده در این مستند از ISO/IEC TR 13335-1اخذ
شده است.
گام اول :شناخت دارایيها
کلیه دارایی ها شناخته شده و در ۵گروه طبقه بندی می شود.
دارایي هاي اطالعاتي
فایل هاي الکترونیکي ،پایگاه هاي داده مربوط به نرم افزارهاي موجود در سازمان
دارایي هاي کاغذي
مستندات مکتوب مانند قراردادها ،راهنماهاي کاربري و ...
دارایي هاي پرسنلي
کارمندان ،کارشناسان و مدیران
دارایي هاي نرم افزاري
نرم افزارهاي کاربردي ،سیستم هاي عامل و . . .
دارایي هاي سخت افزاري
تجهیزات مرتبط با فناوري اطالعات مانند :سرور ،سوییچ ،روتر و . .
گام دوم :ارزش گذاري دارایيها
از سه مولفه استفاده می شود.
ارزش هر دارایي ترکیبي از میزان اهمیت هر یک از مولفه ها براي آن
دارایي مي باشد.
محرمانگي ()Confidentiality
امکان دسترسي به اطالعات و دارایي ها فقط براي افراد مجاز
صحت ()Integrity
حفظ دارایي ها و درستي و کامل بودن آنها
دسترسي ()Availability
امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز
گام دوم – روش ارزش گذاری
هر یک از مولفه ها ارزشی بین ۱تا ۳
پارامترهاي تأثیرگذار در ارزش گذاري دارایي:
تاثیر دارایي بر اهداف و فعالیتهاي اصلي کسب و کار
تاثیر دارایي بر وجهه و اعتبار
تاثیر دارایي در ایجاد وقفه هاي کاري
میزان تاثیر دارایي از نظر مالي و تجاري
گام دوم –ارزش گذاری – ارزش ۱
ارزش : 1
محرمانگي
در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند ،با توجه به
پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت.
صحت
در صورتي که درستي و یکپارچگي دارایي از بین برود ،با توجه به
پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي
پیدا کنند ،با توجه به پارامترهاي تاثیر گذار تاثیر سوء چنداني نخواهد داشت.
گام دوم –ارزش گذاری – ارزش ۲
ارزش : 2
محرمانگي
در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند ،با توجه به
پارامترهاي تاثیر گذار تاثیر سوء متوسط یا نسبتا زیادي خواهد داشت.
صحت
در صورتي که درستي و یکپارچگي دارایي از بین برود با توجه به پارامترهاي
تاثیر گذار تاثیر سوء متوسط یا نسبتا زیادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي
پیدا کنند ،با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء متوسط یا
نسبتا زیادي خواهد داشت.
گام دوم –ارزش گذاری – ارزش ۳
ارزش : ۳
محرمانگي
در صورتي که افراد غیر مجاز بتوانند به دارایي دسترسي پیدا کنند ،با توجه به
پارامترهاي تاثیر گذار تاثیر سوء بسیار زیادي خواهد داشت.
صحت
در صورتي که درستي دارایي از بین برود ،با توجه به پارامترهاي تاثیر گذار
تاثیر سوء بسیار زیادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارایي در زمان هاي مورد نیاز دسترسي
پیدا کنند ،با توجه به پارامترهاي تاثیر گذار ذکر شده تاثیر سوء بسیار زیادي
خواهد داشت.
گام دوم –ارزش گذاری – ارزش کل دارایی
ارزش دارایي برابر است با :صحت +محرمانگي +
دسترسي
گام دوم –ارزش گذاری – جدول ارزش کل دارایی
گروه
دارایی
نام دارایی
صحت
محرمانگی دسترسی
ارزش
دارایی
گام سوم :تعیین آسیب پذیري
براي هر گروه از دارایي ها:
شناخت آسیب پذیري ها
شدت آسیب پذیري :عددي بین 1تا 3
1
این آسیب پذیري نقطه ضعفي است که عامل کوچکي براي در معرض خطر قرار
دادن دارایي محسوب مي شود.
2
این آسیب پذیري نقطه ضعفي است که عامل متوسطي براي در معرض خطر
قرار دادن دارایي محسوب مي شود.
3
این آسیب پذیري ،نقطه ضعفي است که عامل بزرگي براي در معرض خطر
قرار دادن دارایي محسوب مي شود
گام سوم :تعیین آسیب پذیري -جدول
دارایی
عنوان آسیب پذیری
شدت آسیب پذیری
گام سوم :انواع آسیب پذیریها -آسیب پذیریهاي داراییهاي
اطالعاتي
آسیب پذیریهاي داراییهاي اطالعاتي
نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي
فقدان پیگیري ممیزي
آموزش ناکافي امنیتی
فقدان نسخه هاي پشتیبان
فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر
فقدان شناسایي و اعتبار دهي به فرستنده و گیرنده
فقدان مکانیزمهاي نظارتي
فقدان خط مشي هایي براي استفاده صحیح از رسانه هاي مخابراتي و پیام رساني
عدم قابلیت اثبات ارسال یا دریافت یک پیام
فقدان آگاهي رساني امنیتي
مدیریت ضعیف کلمات عبور
حساسیت به تشعشع الکترو مغناطیسي
انتقال کلمات عبور به صورت Clear Text
نسخه برداري کنترل نشده
گام سوم :انواع آسیب پذیریها -آسیب پذیریهاي داراییهاي
نرم افزاری
واسط کاربري پیچیده
استفاده نادرست از سخت افزار و نرم افزار
نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي
آموزش ناکافي امنیتی
فقدان پیگیري ممیزي
فقدان نسخه هاي پشتیبان
فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر
فقدان مکانیزمهاي نظارتي
فقدان آگاهي رساني امنیتي
عدم خروج از سیستم ( )Log outهنگام ترک ایستگاه کاري
فقدان آزمایش یا آزمایش ناکافي نرم افزار
مدیریت ضعیف کلمات عبور
انتقال کلمات عبور به صورت Clear Text
دانلود و استفاده بدون کنترل از نرم افزار
وجود رخنه هاي مشخص در نرم افزار
تخصیص اشتباه حق دسترسي
گام سوم :انواع آسیب پذیریها -آسیب پذیریهاي داراییهاي
سخت افزاری
شرایط جوي نامناسب
استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان ها و
اتاق ها
رویه های نامناسب استخدام کارکنان
آموزش ناکافی امنیتی
فقدان آگاهي رساني امنیتي
حساسیت به رطوبت و گرد و خاک
حساسیت به تغییرات جوی
حساسیت به تغییرات ولتاژ
انبار بی حفاظ
عدم نظارت بر کار کارکنان نظافت یا کارکنان بیروني
گام چهارم :محاسبه تهدید
آسیب پذیري ها در مرحله قبل مشخص شده است.
هر تهدید متناظر با آسیب پذیري خاصي ميباشد.
محاسبه احتمال هر تهدید
محاسبه پیامد هر تهدید
گام چهارم :محاسبه تهدید – احتمال تهدید
1
احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي
کارشناسي انجام شده پایین ميباشد (مثال هر چند سال یکبار)
2
احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي
کارشناسي انجام شده در حد متوسط ميباشد (مثال هر سال یکبار)
3
احتمال وقوع این تهدید با توجه به تجربیات گذشته سازمان و بررسي هاي
کارشناسي انجام شده باال ميباشد (مثال هر سال چند بار)
گام چهارم :محاسبه تهدید – پیامد تهدید
این پیامد روي کدام یک از سه مولفه صحت ،محرمانگي و دسترسي
تاثیر گذار است.
بر اساس تاثیر روي هر یک به ارزش دارایي مراجعه کرده و اعدادي که
در آنجا به هر یک نسبت داده ایم را براي پیامد آنها محاسبه مي کنیم.
این قسمت رابطه مستقیمي با ارزش دارایي دارد.
پیامد تهدید برابر است با :صحت +محرمانگي +دسترسي
گام چهارم :محاسبه تهدید – پیامد تهدید
1 تا 3
حوادث بوجود آمده از تهدیدات در این سطح چندان جدي نميباشند .عوارض این
نوع حوادث ،وقفه هاي کاري کوتاه مدت و یا زیان مالي اندک به سازمان
است که با واکنش مناسب و با هزینه اندک قابل جبران است.
4 تا 6
حوادث بوجود آمده از تهدیدات در این سطح نسبتا جدي ميباشند .عوارض این
نوع حوادث ،وقفه در کسب و کار سازمان ،زیان مالي و خدشه به اعتبار
سازمان است که با صرف هزینه نسبتا باالیي قابل جبران است.
7تا 9
حوادث بوجود آمده از تهدیدات در این سطح بسیار جدي ميباشند .عوارض این
نوع حوادث ،وقفه هاي بلند مدت و تاثیرگذار کاري ،زیان مالي گزاف و از
دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف
هزینه هاي بسیار زیاد هم قابل جبران نیستند.
گام چهارم :محاسبه تهدید – پیامد تهدید
نام
دارایی
آسیب
پذیری
تهدید
احتمال
تهدید
صحت
محرمانگی
قابلیت
دسترسی
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای اطالعاتی
- نگهداري نامناسب یا جایگذاري نامناسب رسانه هاي ذخیره سازي
خرابي رسانه هاي ذخیره سازي و خطاي نگهداري
- فقدان پیگیري ممیزي
استفاده غیر مجاز از نرم افزار
- آموزش ناکافي امنیت
خطاي کارکنان پشتیبان و عملیاتي
- فقدان نسخه هاي پشتیبان
آتش
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای اطالعاتی
- فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر
استفاده غیر قانوني از نرم افزار
پوشیدگي هویت کاربر
- فقدان شناسایي و اعتبار دهي به فرستنده و گیرنده
پوشش هویت کاربر
مسیر دهي و گروه بندي مجدد پیغام ها
مسیر دهي مجدد پیام ها
- فقدان مکانیزمهاي نظارتي
ورود و خروج غیر قانوني نرم افزار
استفاده غیر مجاز از نرم افزارها
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای اطالعاتی
فقدان خط مشي هایي براي استفاده صحیح از رسانه هاي مخابراتي و پیام رسانياستقاده غیر مجاز از امکانات شبکه
عدم اثبات ارسال یا دریافت یک پیامانکار (سرویس ها ،تعامالت و ارسال پیام)
فقدان آگاهي رساني امنیتيخطاهاي کاربر
مدیریت ضعیف کلمات عبوراستفاده غیر قانوني از نرم افزار
پوشیدگي هویت کاربر
حساسیت به تشعشع الکترو مغناطیسيتشعشع الکترومغناطیسي
شارژ الکتریسیته ساکن
انتقال کلمات عبور به صورت Clear Textدسترسي به شبکه به وسیله افراد غیر مجاز
نسخه برداري کنترل نشدهسرقت
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای کاغذی
- شرایط جوي نامناسب
خرابي دستگاه تهویه
زلزله
طوفان
رعد و برق
- استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان ها
و اتاق ها
بمب گذاری
سواستفاده از منابع
استفاده غیر مجاز از رسانه ها
آسیب رساني عمدي
- آموزش ناکافي امنیت
خطاي کارکنان پشتیبان و عملیاتي
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای کاغذی
- عدم مستند سازي
اشتباه کارکنان پشتیبان و عملیاتي
- عدم حفاظت فیزیکي از ساختمان درها و پنجره ها
حمله با بمب
سرقت
- عدم نظارت بر کار کارکنان نظافت یا کارکنان بیروني
سرقت
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای نرم افزاری
- واسط کاربري پیچیده
خطاي کارکنان پشتیبان و عملیاتي
- استفاده نادرست از سخت افزار و نرم افزار
ورود و خروج غیر قانوني نرم افزار
خطاي کارکنان پشتیبان و عملیاتي
- نگهداري نامناسب جا جایگذاري نامناسب رسانه هاي ذخیره سازي
خرابي رسانه هاي ذخیره سازي و خطاي نگهداري
- آموزش ناکافي امنیت
خطاي کارکنان پشتیبانی و عملیاتي
- عدم یا فقدان پیگیري ممیزي ها
استفاده غیر مجاز از نرم افزارها
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای نرم افزاری
- فقدان نسخه هاي پشتیبان
آتش
نرم افزار مخرب
- فقدان مکانیزم هاي شناسایي و اعتباردهي مانند مجوزدهي به کاربر
استفاده غیر قانوني از نرم افزار
پوشیدگي هویت کاربر
- فقدان مکانیزمهاي نظارتي
ورود و خروج غیر قانوني نرم افزار
استفاده غیر مجاز از نرم افزارها
- فقدان آگاهي رساني امنیتي
خطاهاي کاربر
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای نرم افزاری
- عدم خروج از سیستم ( )Log outهنگام ترک ایستگاه کاري
استفاده از نرم افزار به وسیله کاربران غیر مجاز
- فقدان آزمایش یا آزمایش ناکافي نرم افزار
استفاده از نرم افزار به وسیله کاربران غیر مجاز
- مدیریت ضعیف کلمات عبور
استفاده غیر قانوني از نرم افزار
پوشیدگي هویت کاربر
انتقال کلمات عبور به صورت Clear Textدسترسي به شبکه به وسیله افراد غیر مجاز
- دانلود و استفاده بدون کنترل از نرم افزار
ورود و خروج غیر قانوني نرم افزار
نرم افزار مخرب
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای نرم افزاری
- وجود رخنه هاي مشخص در نرم افزار
استفاده غیر قانوني از نرم افزار
استفاده از نرم افزار به وسیله کاربران غیر مجاز
- تخصیص اشتباه حق دسترسي
ورود و خروج غیر قانوني نرم افزار
استفاده غیر مجاز از نرم افزارها
- آموزش ناکافي امنیت
خطاي کارکنان پشتیبانی و عملیاتي
- عدم دقت در امحا
سرقت
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای سخت افزاری
شرایط جوي نامناسبخرابي دستگاه تهویه
زلزله
طوفان
رعد و برق
استفاده بي دقت یا نامناسب از کنترل دسترسي فیریکي به ساختمان هاو اتاق ها
بمب گذاری
سواستفاده از منابع
استفاده غیر مجاز از رسانه ها
آسیب رساني عمدي
رویه های نامناسب استخدام کارمندانآسیب رسانی عمدی
بمب گذاری
سوء استفاده مالی و تجاری
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای سخت افزاری
آموزش ناکافي امنیتخطاي کارکنان پشتیبانی و عملیاتي
فقدان آگاهي رساني امنیتيخطاهاي کاربر
عدم دقت در امحاءسرقت
حساسیت به رطوبت و گرد و خاکخرابي دستگاه تهویه
گرد و خاک
حساسیت به تغییرات جویخرابي دستگاه تهویه
دما یا رطوبت بیش از اندازه
تهدیدهاي متناظر با هر یک از آسیب پذیریهاي مرتبط با
گروه داراییهای سخت افزاری
حساسیت به تغییرات ولتاژنوسانات برق
انبار بی حفاظسرقت
عدم نظارت بر کار کارکنان نظافت یا کارکنان بیرونيسرقت
گام پنجم :محاسبه میزان ریسک
میزان ریسک برابر است با :پیامد تهدید * احتمال وقوع تهدید
* شدت آسیب پذیري
گام پنجم :محاسبه میزان ریسک
بیشترین عدد بدست آمده براي ریسک عدد 3 × 3 × 9 = 81
مي باشد
جهت تبدیل آن به درصد آنرا در عدد ( )100/ 81 = 1.234
ضرب ميکنیم.
گام پنجم :محاسبه میزان ریسک
نام
گروه
دارایی دارایی
آسیب
پذیری
شدت
آسیب
پذیری
نهدید احتمال صحت
تهدید
محرمانگی
دسترسی ریسک
مثال
نام
گروه
دارایی دارایی
اطالعا
تی
X
آسیب
پذیری
آموزش
ناکافی
امنیت
شدت
آسیب
پذیری
۳
نهدید
خطای
کارکنان
پشتیبانی
و
عملیاتی
احتمال صحت
تهدید
۳
×
محرمانگی
×
دسترسی
ریسک
۷۲
۵۵.۵۳
%
با تشکر از دانشگاه فردوسی مشهد
متشکرم