PowerPoint Template
Download
Report
Transcript PowerPoint Template
طرح ابزار جامع ارزیابی امنیت سایبری و صنعتی
سامانه ارزیاب امنیت فناوری و اطالعات (سافا)
LOGO
خالصه مطالب
مقدمه
اهمیت و ضرورت امنیت
چالش ها و نقاط ضعف در امنیت
ابزار ارزیاب امنیت اطالعات
تحول گران عرصه اطالعات
2
www.ir4.ir
مقدمه
تعریف :1روش ها و فرآیندهایی که به منظور از مراقبت اطالعات (مکتوب و الکترونیکی)
حساس ،محرمانه و شخص ی از دسترس ی ،افشا ،استفاده ،دستکاری یا تخریب غیر مجاز،
طراحی و پیاده سازی می شوند(.)CNSS, 2010
تعریف :2حفظ محرمانگی ،یکپارچگی و دسترس پذیری اطالعات.
()ISO/IEC 27000:2009
محرمانگی
دسترس
پذیری
تحول گران عرصه اطالعات
امنیت
اطالعات
یکپارچگی
3
www.ir4.ir
اهمیت امنیت اطالعات
گسترش استفاده از ابزارهای فناوری اطالعات و دسترس ی به فضای سایبری ،موجب باال رفتن مخاطرات
امنیتی شده است.
شرکت ها ،کسب و کارها و دولت ها در معرض حمالت روز افزون سایبری از گروه های هکری هستند.
افزایش حجم و پیچیدگی حمالت سایبری بر علیه سازمان ها با اهداف:
منفعت مالی
تخریب
سرقت اطالعات
تحول گران عرصه اطالعات
4
www.ir4.ir
جنگ سایبری-از رویا تا واقعیت!
تشکیل 13تیم از متخصصین در زمینه امنیت فناوری اطالعات و سایبری در وزارت دفاع امریکا به منظور انجام
ماموریت های تهاجمی سایبری بر علیه دشمنان خارجی(دستور کیت الکساندر 13 ،مارچ .)2013
دولت بریتابیا که در طول تاریخ در شراط بحرانی همیشه شهروندان خود را « به حفظ آرامش و خونسردی»
دعوت می کند ،اینبار با صدای بلند هشدار می دهد:
دولت بریتانیا مدعی شد تهدیدات سایبری می توانند بسیار خطرناک تر از یک حمله اتمی باشند (کمیته امور
داخلی بریتانیا 6،آگوست )2013
“We are not winning the war on online criminal activity,” noted Keith
Vaz, a politician and Chair of the UK Home Affairs Committee that
published the report. “We are being too complacent about these Ewars because the victims are hidden in cyberspace. The threat of a
cyber attack to the UK is so serious it is marked as a higher threat
”than a nuclear attack.
ما در آستانه ورود به فازی جدید از درگیری هستیم که در آن از سالح
های سایبری به منظور تخریب و ضربه فیزیکی استفاده می شود(جنرال
هایدن ،رئیس اسبق دفتر اطالعات ملی 4 ،ژوئن .)2012
سایبر ،بزرگترین تهدید موجود حاضر
چراگه فضای سایبری بیش از یک تهدید تئوری است .می تواند به
زیر ساخت ها و سیستم های مالی ما ضربه بزند(.مایک مولین،
رئیس ستاد مشترک ارتش امریکا )2011
تحول گران عرصه اطالعات
5
“I would like to be clear that this team, this defendthe-nation team, is not a defensive team,” Gen.
Alexander told the House Armed Services Committee
on Monday. “This is an offensive team that the
Defense Department would use to defend the nation if
it were attacked in cyber space. Thirteen of the teams
”that we're creating are for that mission alone.
تهدید سایبری جدی است و می تواند پیامدهای مشابه
با تهدیدات هسته ای در جنگ سرد به دنبال داشته
باشد(گزارش )Defense Science Board
www.ir4.ir
وضعیت امنیت اطالعات
داده ها بخش ی از دارایی های سازمان هستند
داده ها و اطالعات سازمانی و دولت ها بیش
از گذشته در معرض خطر سرقت و سو
استفاده قرار دارند.
هزینه حمالت سایبری و نشت اطالعات برای
سازمان ها و دولت ها هنگفت و زیان باز
است.
هزینه و خسارات ناش ی از رخنه اطالعات و حمالت سایبری رو
به افزایش است
افزایش 15درصدی میانگین هزینه رخنه اطالعاتی در
(2014موسسه )Ponemon
سال 2014میالدی ،سال رخنه اطالعات لقب گرفت
تحول گران عرصه اطالعات
6
Michael
s Stores
eBay
Sony
Pictures
Apple
iCloud
St. Joseph
Health
System
St.
Joseph
Health
System
Variable
Annuity
Life
Insurance
Montan
a
Depart
ment of
HSS
www.ir4.ir
هزینه مخاطرات امنیت رو به افزایش است
نشت اطالعات در سال 2013با 15درصد افزایش نسبت به سال گذشته 3.5میلیون دالر تخمین زده شده
است(گزارش موسسه Ponemonوابسته به )IBM
هر مورد نشت اطالعاتی هزینه ای برابر با 145دالر در سال 2013به دنبال داشته است 9(.درصد افزایش نسبت
به سال گذشته)
مجموع خسارات مالی ناش ی از جرایم سایبری طی دوره )IC3(2001-2013
تحول گران عرصه اطالعات
7
www.ir4.ir
بکارگیری راهکارهای امنیت و حریم شخص ی
تنها تعداد کمی از سازمان ها دارای سیاست های امنیتی و راهکاری حفظ محرمانگی اطالعات به صورت مدون و
یکپارچه هستند.
بیش از 50درصد سازمان ها به فکر ایجاد سیاست ها و راهکارهایی به منظور مقابله با مخاطرات امنیت فناوری
اطالعات نمی باشند.
تعداد اندکی از سازمان ها برای حریم شخص ی و مقابله با مخاطرات مرتبط با امنیت فناوری اطالعات بودجه
اختصاص می دهند.
تصویب خط مش ی ها و برنامه های سطح باال
برای حفاظت حریم شخص ی و مخاطرات IT
اختصاص بودجه ساالنه جهت برنامه
های امنیت ITو حریم شخص ی
به طور منظم
%23
%28
گاهی اوقات
%28
%10
به ندرت یا هرگز
%42
%54
(منبع :گزارش)2012،Carnegie Mellon CyLab
تحول گران عرصه اطالعات
8
www.ir4.ir
نیازهای کشور در حوزه امنیت(ضرورت و اهمیت)
نقاط ضعف
در حوزه امنیت
عدم اهتمام به طرح های ارزیابی مخاطرت امنیت
سایبری)(Security Risk Assessment
عدم آموزش و آگاهی کاربران و سازمان ها از مخاطرات
سایبری
کمبود ابزارهای امنیتی بومی
عدم توسعه فناوری و سامانه های امنیتی داخلی
نبود استاندارد و دستورالعمل های امنیتی جامع و بومی
کمبود مراکز و تیم های بازیابی و مواجه با
رویدادهای امنیت سایبری()CERT
عدم اختصاص بودجه به منظور توسعه برنامه های امنیت
ITدر سازمان ها و شرکت ها
مراکز عملیات امنیت درون سازمان()SOC
عدم توسعه سیاست گذاری ،قوانین و مقررات ،ممیزی و جرم
شناس ی کاربردی در حوزه امنیت سایبری
عدم اولویت سنجی و رتبه بندی سطح امنیت سایبری
سازمان ها و دستگاه ها
تحول گران عرصه اطالعات
9
www.ir4.ir
ضرورت تهیه ابزار جامع ارزیابی امنیت
گستردگی حوزه امنیت اطالعات :به علت گسترده حوزه و پیچیدگی ،هزینه و زمانبر بودن کنترل های امنیتی ،سهل انگاری
و اهمال بیشتری مشاهده می شود.
استانداردها و دستورالعمل ها و روال های معیین :بسیاری از حوزه های امنیت به علت جدید بودن فناوری و
تهدیدات آن نیازمند استاندارسازی و تدوین دستورالعمل می باشند.
حجم داده های مورد مدیریت در حوزه امنیت اطالعات :حجم داده قابل مدیریت در این حوزه باالست و به یکپارچه
سازی و مدیریت مجتمع نیازمند است(وصله ها ،ابزارها ،فایل های ثبت وقایع ،کنترل های فیزیکی ،خط و مش ی های
امنیتی ،کدها و غیره)
سطح بندی مخاطرات (تهدیدات) و ریسک :در بسیاری از زیر ساخت ها و سازمان های کشور نیاز به سطح بندی
مخاطرات امنیت سایبری احساس می شود و ارزیابی ریسک امنیت سایبری صورت نگرفته است .امروزه تهدیدات
سایبری ،مخاطرات اول حوزه فناوری هستند(گزارش مخاطرات جهانی ،2014،تاالر اقتصاد جهانی)
آگاهی سازی و اطالع رسانی در حوزه امنیت :بسیاری از سازمان ها وزیرساخت ها برنامه مشخص برای اطالع رسانی و
افزایش آگاهی در حوزه امنیت سایبری و فناوری اطالعات ندارند.
سطح تضمین امنیت و رتبه بندی در حوزه امنیت سایبری :رتبه بندی سازمان ها و زیرساخت های کشور و تعیین
سطوح امنیتی مورد نیاز برای هر یک کمک شایانی اولویت بندی و امنیتی زیر ساخت های حیاتی در حوزه فناوری می
نماید-سازمان ها و دستگاه نیاز مند سطح بندی ،رتبه دهی و گواهی امنیت به منظور ارتقا در بخش های فناوری
اطالعات و امنیت سایبری هستند.
تحول گران عرصه اطالعات
10
www.ir4.ir
مروری بر اقدامات گذشته (راهکارهای کارهای امنیتی موجود)
تجهیزات و ابزارهای امنیتی
•
•
•
مدیریت و ارزیابی امنیت
سیاست ها و الزامات امنیتی
ضد ویروس
چک لیست و ممیزی
استاندارد
دیوار آتش
مدیریت اسیب پذیری و وصله
دستورالعمل
سامانه تشخیص و پیشگیری نفوذ
تست نفوذپذیری
الزامات
سامانه تهدید پکپارچه
مدیریت وقایع و واکنش سریع
تجهیزات و ابزارهای امنیتی :دارای ضعف هستند ،در تصمیم گیری دارای خطا هستند ،تهدیدات 0-
!day؟...امنیت تجهیزات و ابزارهای امنیتی چطور؟!
مدیریت و ارزیابی امنیت :زمان و هزینه مدیریت ،تست نفوذ پذیری در برخی بسترها امکان پذیر
نیست! ISMS...تنها یک چارچوب است ،راه کار پیاده سازی ارائه نمی دهد!...در ISMSو ISO27000
حوزه های جدید تهدید دیده نشده است!
سیاست ها و الزامات :استانداردهای و دستورالعمل ها برای سازمان های و زیرساخت های مختلف متغییر
است ،تیاز به استانداردهای بومی وجود دارد...استانداردها و الزامات نیاز به بازبینی و ممیزی دارند...رتبه
دهی و الویت بندی مخاطرات چطور؟!
تحول گران عرصه اطالعات
11
www.ir4.ir
امنیت فناوری اطالعات و سامانه های صنعتی
• امنیت اطالعات چقدر به فکر
امنیت سامانه های صنعتی بوده
است؟
• آیا روش های امنیت موجود برای
سامانه های صنعتی()SCADA
قابل پیاده سازی هستند؟!
تحول گران عرصه اطالعات
12
www.ir4.ir
کارهای مشابه
• مدیریت سامانه امنیت فناوری اطالعات تنها یک چارچوب
است و الزامات امنیت را در اختیار قرار نمیدهد.
• استانداردهای رایج مورد استفاده به منظور پیاده سازی
الزامات سامانه مدیریت امنیت اطالعات ،دارای نقاط
ضعف هستند.
• درالزامات موجود مباحث مربوط به کارمندان ناراض ی و
مخاطرات داخلی کمتر و در برخی موارد دیده نشده است.
• الزامات و تمهیدات مرتبط با امنیت زیرساختها و
سامانههای صنعتی و اسکادا پرداخته نشده است.
• فقط برای حوزه سالمت و اطالعات بیماران تهیه شده
است
• موارد مربوط به جزئیات آسیبپذیری در آن دیده نشده
است
• سواالت امنیتی محدود و برای دیگر زیرساختها قابل
پیاده سازی نیست
• امنیت سامانههای صنعتی پوشش داده نشده است
• عدم ارائه توضیح مربوط به سواالت امنیتی
• عدم تعیین سطح تضمین امنیت سازمان مورد ارزیابی
• عدم ارئه راهکار کاربردی مشخص برای رفع آسیبپذیری یا
راهکار جایگزین
• الزامات و کنترلهای امنیت زیرساختهای رایانش ابری
• نیاز به توسعه با توجه به نیاز هر کشور ،زیر ساخت یا
سازمان
• عدم قابلیت اطمینان به چارچوبهای غیربومی به منظور
امنیت.امنیت سامانههای فناوری
مدیریت
پیاده سازی مسئله مهم
اطالعات()ISMS
تحول گران عرصه اطالعات
ابزار ارزیابی مخاطرات امنیت زیرساخت
سالمت()HHS SRA
13
www.ir4.ir
معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی
حوزه های حیاتی تحت پوشش
تحول گران عرصه اطالعات
14
www.ir4.ir
معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی()2
اجزا و بخش های ابزار
ورودی ها
اجزا و هسته
خروجی ها
بلوک دیاگرام ارزیابی امنیت در ابزار
تحول گران عرصه اطالعات
15
www.ir4.ir
فرآیند عملکرد ابزار
تحول گران عرصه اطالعات
16
www.ir4.ir
گزارش گیری و خروجی
خروجی وضعیت پاسخ ها
وضعیت امتیازها بصورت کلی و به تفکیک
نقاط ضعف و راه حلهای پیشنهادی
تحول گران عرصه اطالعات
17
www.ir4.ir
دامنه و مخاطبان
سازمان ها و شرکت ها
مدیران سیستم ها و شبکه
سامانه های فناوری اطالعات
متخصصین و مدیران امنیت اطالعات
سیستم ها و شبکه های رایانه ای
دامنه و مخاطبان
کارشناسان ابزاردقیق و صنعتی
امنیت اطالعات و ارتباطات
ارزیابان امنیت اطالعات و سامانه ها
زیرساخت های حساس و حیاتی
تحلیگران مخاطرات و تهدیدات
امنیت سامانه های کنترل صنعتی
تحول گران عرصه اطالعات
18
www.ir4.ir
ارزیابی و مقایسه
ابزار ارزیابی HIPAA
سامانه مدیریت امنیت اطالعاتISMS
ابزارجامع ارزیابی امنیت سایبری و
صنعتی
مبتنی بر وب
ارائه چارچوب مدیریت امنیت اطالعات()ISMS
مبتنی بر ش یء و ادوات
پوشش حوزه امنیت شبکه ها و سامانههای کنترل صنعتی
الزامات امنیت رایانش ابر پردازش
ارائه راهکار امن سازی
تولید گزارش مدیریتی
تولید گزارش آسیبپذیریها و نقاط ضعف
قابلیت بروز رسانی متمرکز
مستقل از زیرساخت به کارگیری
مبتنی بر نوع ادوات و هم بندی
عمومیت و قابلیت گسترش
امکان افزودن ماژول و ادوات مورد نیاز
امکان ترسیم نقشه و دیاگرام
توضیحات تکمیلی پرسش ها
مطابقت با مدیریت مخاطرات
(سازمانی)
(زیرساخت)
تحول گران عرصه اطالعات
19
www.ir4.ir
ویژگی ها و مزایا
مستقل از نوع برند و سازنده()Vendor-Independent
قابل به کارگیری در بخش ها و زیرساخت های مختلف
قابلیت توسعه ،بروز رسانی و گسترش()Scalable
بروزرسانی آنالین و متمرکز
پوشش معیارهای اصلی امنیت اطالعات(دسترس پذیری ،جامعیت،
محرمانگی)
ارائه راهکارهای فنی و خطی مش ی های امنیت
منطبق بر سیاست های دولت الکترونیک
کامال بومی
کاهش هزینه با بکارگیری ارزیابی ریسک مخاطرات
حفظ محرمانی اسناد سازمان و حریم شخص ی افراد
اطالع رسانی و آگاه سازی کاربران و سازمان در حوزه مخاطرات امنیت
تحول گران عرصه اطالعات
20
www.ir4.ir
LOGO
www.ir4.ir