Transcript PowerPoint Template

‫طرح ابزار جامع ارزیابی امنیت سایبری و صنعتی‬
‫سامانه ارزیاب امنیت فناوری و اطالعات (سافا)‬
‫‪LOGO‬‬
‫خالصه مطالب‬
‫مقدمه‬
‫اهمیت و ضرورت امنیت‬
‫چالش ها و نقاط ضعف در امنیت‬
‫ابزار ارزیاب امنیت اطالعات‬
‫تحول گران عرصه اطالعات‬
‫‪2‬‬
‫‪www.ir4.ir‬‬
‫مقدمه‬
‫‪ ‬تعریف‪ :1‬روش ها و فرآیندهایی که به منظور از مراقبت اطالعات (مکتوب و الکترونیکی)‬
‫حساس‪ ،‬محرمانه و شخص ی از دسترس ی‪ ،‬افشا‪ ،‬استفاده‪ ،‬دستکاری یا تخریب غیر مجاز‪،‬‬
‫طراحی و پیاده سازی می شوند(‪.)CNSS, 2010‬‬
‫‪ ‬تعریف‪ :2‬حفظ محرمانگی‪ ،‬یکپارچگی و دسترس پذیری اطالعات‪.‬‬
‫(‪)ISO/IEC 27000:2009‬‬
‫محرمانگی‬
‫دسترس‬
‫پذیری‬
‫تحول گران عرصه اطالعات‬
‫امنیت‬
‫اطالعات‬
‫یکپارچگی‬
‫‪3‬‬
‫‪www.ir4.ir‬‬
‫اهمیت امنیت اطالعات‬
‫‪ ‬گسترش استفاده از ابزارهای فناوری اطالعات و دسترس ی به فضای سایبری‪ ،‬موجب باال رفتن مخاطرات‬
‫امنیتی شده است‪.‬‬
‫‪ ‬شرکت ها‪ ،‬کسب و کارها و دولت ها در معرض حمالت روز افزون سایبری از گروه های هکری هستند‪.‬‬
‫‪ ‬افزایش حجم و پیچیدگی حمالت سایبری بر علیه سازمان ها با اهداف‪:‬‬
‫‪ ‬منفعت مالی‬
‫‪ ‬تخریب‬
‫‪ ‬سرقت اطالعات‬
‫تحول گران عرصه اطالعات‬
‫‪4‬‬
‫‪www.ir4.ir‬‬
‫جنگ سایبری‪-‬از رویا تا واقعیت!‬
‫تشکیل ‪13‬تیم از متخصصین در زمینه امنیت فناوری اطالعات و سایبری در وزارت دفاع امریکا به منظور انجام‬
‫ماموریت های تهاجمی سایبری بر علیه دشمنان خارجی(دستور کیت الکساندر‪ 13 ،‬مارچ ‪.)2013‬‬
‫دولت بریتابیا که در طول تاریخ در شراط بحرانی همیشه شهروندان خود را « به حفظ آرامش و خونسردی»‬
‫دعوت می کند‪ ،‬اینبار با صدای بلند هشدار می دهد‪:‬‬
‫دولت بریتانیا مدعی شد تهدیدات سایبری می توانند بسیار خطرناک تر از یک حمله اتمی باشند (کمیته امور‬
‫داخلی بریتانیا‪ 6،‬آگوست ‪)2013‬‬
‫‪“We are not winning the war on online criminal activity,” noted Keith‬‬
‫‪Vaz, a politician and Chair of the UK Home Affairs Committee that‬‬
‫‪published the report. “We are being too complacent about these E‬‬‫‪wars because the victims are hidden in cyberspace. The threat of a‬‬
‫‪cyber attack to the UK is so serious it is marked as a higher threat‬‬
‫”‪than a nuclear attack.‬‬
‫ما در آستانه ورود به فازی جدید از درگیری هستیم که در آن از سالح‬
‫های سایبری به منظور تخریب و ضربه فیزیکی استفاده می شود(جنرال‬
‫هایدن‪ ،‬رئیس اسبق دفتر اطالعات ملی‪ 4 ،‬ژوئن ‪.)2012‬‬
‫سایبر‪ ،‬بزرگترین تهدید موجود حاضر‬
‫چراگه فضای سایبری بیش از یک تهدید تئوری است ‪ .‬می تواند به‬
‫زیر ساخت ها و سیستم های مالی ما ضربه بزند‪(.‬مایک مولین‪،‬‬
‫رئیس ستاد مشترک ارتش امریکا ‪)2011‬‬
‫تحول گران عرصه اطالعات‬
‫‪5‬‬
‫‪“I would like to be clear that this team, this defend‬‬‫‪the-nation team, is not a defensive team,” Gen.‬‬
‫‪Alexander told the House Armed Services Committee‬‬
‫‪on Monday. “This is an offensive team that the‬‬
‫‪Defense Department would use to defend the nation if‬‬
‫‪it were attacked in cyber space. Thirteen of the teams‬‬
‫”‪that we're creating are for that mission alone.‬‬
‫تهدید سایبری جدی است و می تواند پیامدهای مشابه‬
‫با تهدیدات هسته ای در جنگ سرد به دنبال داشته‬
‫باشد(گزارش ‪)Defense Science Board‬‬
‫‪www.ir4.ir‬‬
‫وضعیت امنیت اطالعات‬
‫‪ ‬داده ها بخش ی از دارایی های سازمان هستند‬
‫‪ ‬داده ها و اطالعات سازمانی و دولت ها بیش‬
‫از گذشته در معرض خطر سرقت و سو‬
‫استفاده قرار دارند‪.‬‬
‫‪ ‬هزینه حمالت سایبری و نشت اطالعات برای‬
‫سازمان ها و دولت ها هنگفت و زیان باز‬
‫است‪.‬‬
‫‪ ‬هزینه و خسارات ناش ی از رخنه اطالعات و حمالت سایبری رو‬
‫به افزایش است‬
‫‪ ‬افزایش ‪15‬درصدی میانگین هزینه رخنه اطالعاتی در‬
‫‪(2014‬موسسه ‪)Ponemon‬‬
‫سال ‪ 2014‬میالدی‪ ،‬سال رخنه اطالعات لقب گرفت‬
‫تحول گران عرصه اطالعات‬
‫‪6‬‬
‫‪Michael‬‬
‫‪s Stores‬‬
‫‪eBay‬‬
‫‪Sony‬‬
‫‪Pictures‬‬
‫‪Apple‬‬
‫‪iCloud‬‬
‫‪St. Joseph‬‬
‫‪Health‬‬
‫‪System‬‬
‫‪St.‬‬
‫‪Joseph‬‬
‫‪Health‬‬
‫‪System‬‬
‫‪Variable‬‬
‫‪Annuity‬‬
‫‪Life‬‬
‫‪Insurance‬‬
‫‪Montan‬‬
‫‪a‬‬
‫‪Depart‬‬
‫‪ment of‬‬
‫‪HSS‬‬
‫‪www.ir4.ir‬‬
‫هزینه مخاطرات امنیت رو به افزایش است‬
‫‪ ‬نشت اطالعات در سال ‪ 2013‬با ‪ 15‬درصد افزایش نسبت به سال گذشته ‪ 3.5‬میلیون دالر تخمین زده شده‬
‫است(گزارش موسسه ‪ Ponemon‬وابسته به ‪)IBM‬‬
‫‪ ‬هر مورد نشت اطالعاتی هزینه ای برابر با ‪ 145‬دالر در سال ‪ 2013‬به دنبال داشته است‪ 9(.‬درصد افزایش نسبت‬
‫به سال گذشته)‬
‫مجموع خسارات مالی ناش ی از جرایم سایبری طی دوره ‪)IC3(2001-2013‬‬
‫تحول گران عرصه اطالعات‬
‫‪7‬‬
‫‪www.ir4.ir‬‬
‫بکارگیری راهکارهای امنیت و حریم شخص ی‬
‫‪ ‬تنها تعداد کمی از سازمان ها دارای سیاست های امنیتی و راهکاری حفظ محرمانگی اطالعات به صورت مدون و‬
‫یکپارچه هستند‪.‬‬
‫‪ ‬بیش از ‪ 50‬درصد سازمان ها به فکر ایجاد سیاست ها و راهکارهایی به منظور مقابله با مخاطرات امنیت فناوری‬
‫اطالعات نمی باشند‪.‬‬
‫‪ ‬تعداد اندکی از سازمان ها برای حریم شخص ی و مقابله با مخاطرات مرتبط با امنیت فناوری اطالعات بودجه‬
‫اختصاص می دهند‪.‬‬
‫تصویب خط مش ی ها و برنامه های سطح باال‬
‫برای حفاظت حریم شخص ی و مخاطرات ‪IT‬‬
‫اختصاص بودجه ساالنه جهت برنامه‬
‫های امنیت ‪ IT‬و حریم شخص ی‬
‫به طور منظم‬
‫‪%23‬‬
‫‪%28‬‬
‫گاهی اوقات‬
‫‪%28‬‬
‫‪%10‬‬
‫به ندرت یا هرگز‬
‫‪%42‬‬
‫‪%54‬‬
‫(منبع‪ :‬گزارش‪)2012،Carnegie Mellon CyLab‬‬
‫تحول گران عرصه اطالعات‬
‫‪8‬‬
‫‪www.ir4.ir‬‬
‫نیازهای کشور در حوزه امنیت(ضرورت و اهمیت)‬
‫نقاط ضعف‬
‫در حوزه امنیت‬
‫عدم اهتمام به طرح های ارزیابی مخاطرت امنیت‬
‫سایبری)‪(Security Risk Assessment‬‬
‫عدم آموزش و آگاهی کاربران و سازمان ها از مخاطرات‬
‫سایبری‬
‫کمبود ابزارهای امنیتی بومی‬
‫عدم توسعه فناوری و سامانه های امنیتی داخلی‬
‫نبود استاندارد و دستورالعمل های امنیتی جامع و بومی‬
‫کمبود مراکز و تیم های بازیابی و مواجه با‬
‫رویدادهای امنیت سایبری(‪)CERT‬‬
‫عدم اختصاص بودجه به منظور توسعه برنامه های امنیت‬
‫‪ IT‬در سازمان ها و شرکت ها‬
‫مراکز عملیات امنیت درون سازمان(‪)SOC‬‬
‫عدم توسعه سیاست گذاری‪ ،‬قوانین و مقررات‪ ،‬ممیزی و جرم‬
‫شناس ی کاربردی در حوزه امنیت سایبری‬
‫عدم اولویت سنجی و رتبه بندی سطح امنیت سایبری‬
‫سازمان ها و دستگاه ها‬
‫تحول گران عرصه اطالعات‬
‫‪9‬‬
‫‪www.ir4.ir‬‬
‫ضرورت تهیه ابزار جامع ارزیابی امنیت‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫گستردگی حوزه امنیت اطالعات‪ :‬به علت گسترده حوزه و پیچیدگی‪ ،‬هزینه و زمانبر بودن کنترل های امنیتی‪ ،‬سهل انگاری‬
‫و اهمال بیشتری مشاهده می شود‪.‬‬
‫استانداردها و دستورالعمل ها و روال های معیین‪ :‬بسیاری از حوزه های امنیت به علت جدید بودن فناوری و‬
‫تهدیدات آن نیازمند استاندارسازی و تدوین دستورالعمل می باشند‪.‬‬
‫حجم داده های مورد مدیریت در حوزه امنیت اطالعات‪ :‬حجم داده قابل مدیریت در این حوزه باالست و به یکپارچه‬
‫سازی و مدیریت مجتمع نیازمند است(وصله ها‪ ،‬ابزارها‪ ،‬فایل های ثبت وقایع‪ ،‬کنترل های فیزیکی‪ ،‬خط و مش ی های‬
‫امنیتی‪ ،‬کدها و غیره)‬
‫سطح بندی مخاطرات (تهدیدات) و ریسک‪ :‬در بسیاری از زیر ساخت ها و سازمان های کشور نیاز به سطح بندی‬
‫مخاطرات امنیت سایبری احساس می شود و ارزیابی ریسک امنیت سایبری صورت نگرفته است‪ .‬امروزه تهدیدات‬
‫سایبری‪ ،‬مخاطرات اول حوزه فناوری هستند(گزارش مخاطرات جهانی‪ ،2014،‬تاالر اقتصاد جهانی)‬
‫آگاهی سازی و اطالع رسانی در حوزه امنیت‪ :‬بسیاری از سازمان ها وزیرساخت ها برنامه مشخص برای اطالع رسانی و‬
‫افزایش آگاهی در حوزه امنیت سایبری و فناوری اطالعات ندارند‪.‬‬
‫سطح تضمین امنیت و رتبه بندی در حوزه امنیت سایبری‪ :‬رتبه بندی سازمان ها و زیرساخت های کشور و تعیین‬
‫سطوح امنیتی مورد نیاز برای هر یک کمک شایانی اولویت بندی و امنیتی زیر ساخت های حیاتی در حوزه فناوری می‬
‫نماید‪-‬سازمان ها و دستگاه نیاز مند سطح بندی‪ ،‬رتبه دهی و گواهی امنیت به منظور ارتقا در بخش های فناوری‬
‫اطالعات و امنیت سایبری هستند‪.‬‬
‫تحول گران عرصه اطالعات‬
‫‪10‬‬
‫‪www.ir4.ir‬‬
‫مروری بر اقدامات گذشته (راهکارهای کارهای امنیتی موجود)‬
‫تجهیزات و ابزارهای امنیتی‬
‫•‬
‫•‬
‫•‬
‫مدیریت و ارزیابی امنیت‬
‫سیاست ها و الزامات امنیتی‬
‫ضد ویروس‬
‫چک لیست و ممیزی‬
‫استاندارد‬
‫دیوار آتش‬
‫مدیریت اسیب پذیری و وصله‬
‫دستورالعمل‬
‫سامانه تشخیص و پیشگیری نفوذ‬
‫تست نفوذپذیری‬
‫الزامات‬
‫سامانه تهدید پکپارچه‬
‫مدیریت وقایع و واکنش سریع‬
‫تجهیزات و ابزارهای امنیتی‪ :‬دارای ضعف هستند‪ ،‬در تصمیم گیری دارای خطا هستند‪ ،‬تهدیدات ‪0-‬‬
‫‪!day‬؟‪...‬امنیت تجهیزات و ابزارهای امنیتی چطور؟!‬
‫مدیریت و ارزیابی امنیت‪ :‬زمان و هزینه مدیریت‪ ،‬تست نفوذ پذیری در برخی بسترها امکان پذیر‬
‫نیست!‪ ISMS...‬تنها یک چارچوب است‪ ،‬راه کار پیاده سازی ارائه نمی دهد!‪...‬در ‪ ISMS‬و ‪ISO27000‬‬
‫حوزه های جدید تهدید دیده نشده است!‬
‫سیاست ها و الزامات‪ :‬استانداردهای و دستورالعمل ها برای سازمان های و زیرساخت های مختلف متغییر‬
‫است‪ ،‬تیاز به استانداردهای بومی وجود دارد‪...‬استانداردها و الزامات نیاز به بازبینی و ممیزی دارند‪...‬رتبه‬
‫دهی و الویت بندی مخاطرات چطور؟!‬
‫تحول گران عرصه اطالعات‬
‫‪11‬‬
‫‪www.ir4.ir‬‬
‫امنیت فناوری اطالعات و سامانه های صنعتی‬
‫• امنیت اطالعات چقدر به فکر‬
‫امنیت سامانه های صنعتی بوده‬
‫است؟‬
‫• آیا روش های امنیت موجود برای‬
‫سامانه های صنعتی(‪)SCADA‬‬
‫قابل پیاده سازی هستند؟!‬
‫تحول گران عرصه اطالعات‬
‫‪12‬‬
‫‪www.ir4.ir‬‬
‫کارهای مشابه‬
‫• مدیریت سامانه امنیت فناوری اطالعات تنها یک چارچوب‬
‫است و الزامات امنیت را در اختیار قرار نمیدهد‪.‬‬
‫• استانداردهای رایج مورد استفاده به منظور پیاده سازی‬
‫الزامات سامانه مدیریت امنیت اطالعات‪ ،‬دارای نقاط‬
‫ضعف هستند‪.‬‬
‫• درالزامات موجود مباحث مربوط به کارمندان ناراض ی و‬
‫مخاطرات داخلی کمتر و در برخی موارد دیده نشده است‪.‬‬
‫• الزامات و تمهیدات مرتبط با امنیت زیرساختها و‬
‫سامانههای صنعتی و اسکادا پرداخته نشده است‪.‬‬
‫• فقط برای حوزه سالمت و اطالعات بیماران تهیه شده‬
‫است‬
‫• موارد مربوط به جزئیات آسیبپذیری در آن دیده نشده‬
‫است‬
‫• سواالت امنیتی محدود و برای دیگر زیرساختها قابل‬
‫پیاده سازی نیست‬
‫• امنیت سامانههای صنعتی پوشش داده نشده است‬
‫• عدم ارائه توضیح مربوط به سواالت امنیتی‬
‫• عدم تعیین سطح تضمین امنیت سازمان مورد ارزیابی‬
‫• عدم ارئه راهکار کاربردی مشخص برای رفع آسیبپذیری یا‬
‫راهکار جایگزین‬
‫• الزامات و کنترلهای امنیت زیرساختهای رایانش ابری‬
‫• نیاز به توسعه با توجه به نیاز هر کشور‪ ،‬زیر ساخت یا‬
‫سازمان‬
‫• عدم قابلیت اطمینان به چارچوبهای غیربومی به منظور‬
‫امنیت‪.‬امنیت سامانههای فناوری‬
‫مدیریت‬
‫پیاده سازی مسئله مهم‬
‫اطالعات(‪)ISMS‬‬
‫تحول گران عرصه اطالعات‬
‫ابزار ارزیابی مخاطرات امنیت زیرساخت‬
‫سالمت(‪)HHS SRA‬‬
‫‪13‬‬
‫‪www.ir4.ir‬‬
‫معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی‬
‫‪ ‬حوزه های حیاتی تحت پوشش‬
‫تحول گران عرصه اطالعات‬
‫‪14‬‬
‫‪www.ir4.ir‬‬
‫معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی(‪)2‬‬
‫اجزا و بخش های ابزار‬
‫‪ ‬ورودی ها‬
‫‪ ‬اجزا و هسته‬
‫‪ ‬خروجی ها‬
‫بلوک دیاگرام ارزیابی امنیت در ابزار‬
‫تحول گران عرصه اطالعات‬
‫‪15‬‬
‫‪www.ir4.ir‬‬
‫فرآیند عملکرد ابزار‬
‫تحول گران عرصه اطالعات‬
‫‪16‬‬
‫‪www.ir4.ir‬‬
‫گزارش گیری و خروجی‬
‫خروجی وضعیت پاسخ ها‬
‫وضعیت امتیازها بصورت کلی و به تفکیک‬
‫نقاط ضعف و راه حلهای پیشنهادی‬
‫تحول گران عرصه اطالعات‬
‫‪17‬‬
‫‪www.ir4.ir‬‬
‫دامنه و مخاطبان‬
‫سازمان ها و شرکت ها‬
‫مدیران سیستم ها و شبکه‬
‫سامانه های فناوری اطالعات‬
‫متخصصین و مدیران امنیت اطالعات‬
‫سیستم ها و شبکه های رایانه ای‬
‫دامنه و مخاطبان‬
‫کارشناسان ابزاردقیق و صنعتی‬
‫امنیت اطالعات و ارتباطات‬
‫ارزیابان امنیت اطالعات و سامانه ها‬
‫زیرساخت های حساس و حیاتی‬
‫تحلیگران مخاطرات و تهدیدات‬
‫امنیت سامانه های کنترل صنعتی‬
‫تحول گران عرصه اطالعات‬
‫‪18‬‬
‫‪www.ir4.ir‬‬
‫ارزیابی و مقایسه‬
‫ابزار ارزیابی ‪HIPAA‬‬
‫سامانه مدیریت امنیت اطالعات‪ISMS‬‬
‫ابزارجامع ارزیابی امنیت سایبری و‬
‫صنعتی‬
‫مبتنی بر وب‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ارائه چارچوب مدیریت امنیت اطالعات(‪)ISMS‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫مبتنی بر ش یء و ادوات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫پوشش حوزه امنیت شبکه ها و سامانههای کنترل صنعتی‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫الزامات امنیت رایانش ابر پردازش‬
‫ارائه راهکار امن سازی‬
‫تولید گزارش مدیریتی‬
‫تولید گزارش آسیبپذیریها و نقاط ضعف‬
‫قابلیت بروز رسانی متمرکز‬
‫مستقل از زیرساخت به کارگیری‬
‫مبتنی بر نوع ادوات و هم بندی‬
‫عمومیت و قابلیت گسترش‬
‫امکان افزودن ماژول و ادوات مورد نیاز‬
‫امکان ترسیم نقشه و دیاگرام‬
‫توضیحات تکمیلی پرسش ها‬
‫مطابقت با مدیریت مخاطرات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫(سازمانی) ‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫(زیرساخت)‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تحول گران عرصه اطالعات‬
‫‪19‬‬
‫‪www.ir4.ir‬‬
‫ویژگی ها و مزایا‬
‫‪ ‬مستقل از نوع برند و سازنده(‪)Vendor-Independent‬‬
‫‪ ‬قابل به کارگیری در بخش ها و زیرساخت های مختلف‬
‫‪ ‬قابلیت توسعه‪ ،‬بروز رسانی و گسترش(‪)Scalable‬‬
‫‪ ‬بروزرسانی آنالین و متمرکز‬
‫‪ ‬پوشش معیارهای اصلی امنیت اطالعات(دسترس پذیری‪ ،‬جامعیت‪،‬‬
‫محرمانگی)‬
‫‪ ‬ارائه راهکارهای فنی و خطی مش ی های امنیت‬
‫‪ ‬منطبق بر سیاست های دولت الکترونیک‬
‫‪ ‬کامال بومی‬
‫‪ ‬کاهش هزینه با بکارگیری ارزیابی ریسک مخاطرات‬
‫‪ ‬حفظ محرمانی اسناد سازمان و حریم شخص ی افراد‬
‫‪ ‬اطالع رسانی و آگاه سازی کاربران و سازمان در حوزه مخاطرات امنیت‬
‫تحول گران عرصه اطالعات‬
‫‪20‬‬
‫‪www.ir4.ir‬‬
LOGO
 www.ir4.ir