ISMS Information Security Management System ISMS شبنم قریشیان آرامش در زندگي بدون امنيت امکانپذير نيست . همیشه باید نگران باشید

Download Report

Transcript ISMS Information Security Management System ISMS شبنم قریشیان آرامش در زندگي بدون امنيت امکانپذير نيست . همیشه باید نگران باشید

ISMS
Information
Security
Management
System
‫‪ISMS‬‬
‫شبنم قریشیان‬
‫آرامش در زندگي بدون امنيت امکانپذير نيست ‪.‬‬
‫همیشه باید نگران باشید‬
‫‪ISMS‬‬
‫شبنم قریشیان‬
‫‪IT‬یک سکه دوروست‪ :‬هم فرصت است و هم تهدید ! اگر به همان‬
‫نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت"‬
‫آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک‬
‫تهدید و مصیبت بزرگ شود‪.‬‬
‫نیاز روزافزون به استفاده از فناوریهاي نوین در عرصه‬
‫اطالعات و ارتباطات‪ ،‬ضرورت استقرار یك نظام‬
‫مدیریت امنیت اطالعات را بیش از پیش آشكار مينماید ‪.‬‬
‫‪ISMS‬‬
‫شبنم قریشیان‬
‫به طور کلی می توان فرایند امن سازی را در ‪ 4‬شاخه ی اصلی طبقه بندی کرد ‪:‬‬
‫‪ -1‬امنیت دررایانه ها‬
‫‪ -2‬امنیت در شبکه ها‬
‫‪ -3‬امنیت در سازمان ها‬
‫‪-4‬امنیت کاربران‬
‫‪ISMS‬‬
‫‪ ISMS‬چيست ؟‬
‫شبنم قریشیان‬
‫برگرفته از کلمات زیر و به معناي “سیستم مدیریت امنیت اطالعات” است ‪.‬‬
‫‪Information Security Management System‬‬
‫‪ISMS‬به مديران اين امکان را می دهد تا بتوانند امنيت سيستم های خود را‬
‫با به حداقل رساندن ريسک های تجاری کنترل کنند‪.‬‬
‫‪ISMS‬‬
‫شبنم قریشیان‬
‫سيستم مديريت امنيت اطالعات ) ‪ ( ISMS‬راهكار حل مشكالت امنيتی در‬
‫سيستمهاي اطالعاتي است‪ ،‬يک سيستم جامع امنيتي بر سه پايه بنا ميشود‪:‬‬
‫‪‬بررسی و تحليل سيستم اطالعاتی‬
‫‪ ‬سياستها و دستورالعملهاي امنيتي‬
‫‪ ‬تکنولوژي و محصوالت امنيت‬
‫‪ ‬عوامل اجرايي‬
‫‪ISMS‬‬
‫شبنم قریشیان‬
‫حفاظت سه بعدی از اطالعات سازمان‬
‫‪ ‬حفظ محرمانه بودن اطالعات از طريق اطمينان از دسترسی اطالعات‬
‫تنها توسط افراد مجاز‪.‬‬
‫‪ ‬حفظ یکپارچگی اطالعات از لحاظ دقت و کامل بودن و روشهای‬
‫پردازش‬
‫‪ ‬قابليت دسترسی اطالعات و دارايی های مرتبط توسط افراد مجاز در‬
‫زمان نياز‪.‬‬
‫ریحانه رفیع زاده‬
‫علل بروز مشكالت امنیتی‬
‫علل بروز مشكالت امنیتی‬
‫ریحانه رفیع زاده‬
‫• ضعف فناوری‬
‫• ضعف پیكربندی‬
‫• ضعف سیاست ها‬
‫ضعف فناوری‬
‫ریحانه رفیع زاده‬
‫•ضعف پروتكل ‪TCP/IP‬‬
‫•ضعف سیستم عامل‬
‫•ضعف تجهیزات شبكه ای‬
‫ضعف پیكربندی‬
‫ریحانه رفیع زاده‬
‫• استفاده غیرایمن از ‪ account‬كاربران‬
‫•استفاده از ‪system account‬كه رمز عبور آنها به سادگی‬
‫قابل تشخیص است‪.‬‬
‫•عدم پیكربندی صحیح سرویس های اینترنت‬
‫•غیرایمن بودن تنظیمات پیش فرض در برخی محصوالت‬
‫•عدم پیكربندی صحیح تجهیزات شبكه ای‬
‫ضعف سیاست ها‬
‫ریحانه رفیع زاده‬
‫•عدم وجود یك سیاست امنیتی مكتوب‬
‫•سیاست های سازمانی‬
‫•رها كردن مدیریت امنیت شبكه به حال خود‬
‫•نصب و انجام تغییرات مغایر با سیاست های تعریف شده‬
‫•عدم وجود برنامه ای مدون جهت برخورد با حوادث غیرمترقبه‬
‫ریحانه رفیع زاده‬
‫استانداردهاي ‪ISMS‬‬
‫استانداردهاي ‪ISMS‬‬
‫ریحانه رفیع زاده‬
‫با ارائه اولين استاندارد مديريت امنيت اطالعات در سال ‪ ،1995‬نگرش‬
‫سيستماتيک به مقوله ايمنسازي فضاي تبادل اطالعات شکل گرفت‪ .‬بر اساس‬
‫اين نگرش‪ ،‬تامين امنيت فضاي تبادل اطالعات سازمانها‪ ،‬دفعتا مقدور نميباشد‬
‫و الزم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل‬
‫طراحي‪ ،‬پيادهسازي‪ ،‬ارزيابي و اصالح‪ ،‬انجام گيرد‪.‬‬
‫استانداردهاي ‪ISMS‬‬
‫ریحانه رفیع زاده‬
‫در تمام استانداردها‪ ،‬نکات زیر مورد توجه قرار گرفته شده است‪:‬‬
‫‪‬تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و‬
‫ارتباطات سازمان‬
‫‪‬جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله‬
‫‪‬لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان‬
‫‪‬ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري‪ ،‬اجرائي و فني تامین‬
‫امنیت اطالعات و ارتباطات سازمان‬
‫‪‬کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و‬
‫ارتباطي سازمان‬
‫استانداردهاي ‪ISMS‬‬
‫ریحانه رفیع زاده‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫استاندارد مديريتی ‪ BS7799‬موسسه استاندارد انگليس‬
‫استاندارد مديريتی ‪ ISO/IEC 17799‬موسسه بينالمللی استاندارد‬
‫استانداردهای مديريتی سری ‪ 27000‬موسسه بين المللی استاندارد‬
‫گزارش فنی ‪ ISO/IEC TR 13335‬موسسه بينالمللی استاندارد‬
‫استاندارد ‪ITBPM‬‬
‫استانداردامنيتی ‪ACSI33‬‬
‫استاندارد ‪AS/NZS‬‬
‫استاندارد ‪ BS7799‬موسسه استاندارد انگلیس‬
‫ریحانه رفیع زاده‬
‫نسخه اول‪:‬‬
‫‪BS7799:1‬‬
‫‪1995‬‬
‫نسخه دوم‪:‬‬
‫‪BS7799:2‬‬
‫‪1999‬‬
‫نسخه آخر‪:‬‬
‫‪BS7799:2002‬‬
‫‪2002‬‬
‫استاندارد ‪ BS7799‬موسسه استاندارد انگلیس‪-‬بخش اول‬
‫ریحانه رفیع زاده‬
‫•تدوین سیاست امنیتي سازمان‬
‫•ایجاد تشکیالت تامین امنیت سازمان‬
‫•دستهبندي سرمایهها و تعیین کنترلهاي الزم‬
‫•امنیت پرسنلي‬
‫•امنیت فیزیکي و پیراموني‬
‫استاندارد ‪ BS7799‬موسسه استاندارد انگلیس‪-‬بخش اول‬
‫ریحانه رفیع زاده‬
‫•مدیریت ارتباطات‬
‫•کنترل دسترسي‬
‫•نگهداري و توسعه سیستمها‬
‫•مدیریت تداوم فعالیت سازمان‬
‫•پاسخگوئي به نیازهاي امنیتي‬
‫بخش دوم‬-‫ موسسه استاندارد انگلیس‬BS7799 ‫استاندارد‬
‫ریحانه رفیع زاده‬
Implement &
use ISMS
DO
Design ISMS
PLAN
PDCA
Model
CHECK
Monitor &
review ISMS
ACT
Maintain &
improve
ISMS
Risk based continual improvement framework
for information security management
‫‪Plan‬‬
‫‪ ISMS‬را برنامه ریزی کن‬
‫ریحانه رفیع زاده‬
‫این فاز در واقع مرحله مشخص شدن تعاریف اولیه پاده سازي ‪ISMS‬‬
‫میباشد‪.‬تهیه سیاست هاي امنیتي ‪،‬مقاصد‪،‬تعریف پردازش هاي مختلف‬
‫درون سازماني و روتین هاي عملیاتي و‪..‬در این مرحله تعریف و پیاده‬
‫سازي میشوند‪.‬‬
‫‪Do‬‬
‫انجام بده (‪ ISMS‬را پیاده نموده‬
‫و از آن بهره برداری کن)‬
‫ریحانه رفیع زاده‬
‫پیاده سازي و اجراي سیاست هاي امنیتي‪،‬كنترل ها پردازش ها در‬
‫این مرحله انجام میشود‪.‬‬
‫در واقع این مرحله اجراي كلیه مراحل فاز اول را طلب میكند‪.‬‬
‫‪Check‬‬
‫کنترل کن ( ‪ ISMS‬را پایش کرده‬
‫و مورد بازنگری قرار بده )‬
‫ریحانه رفیع زاده‬
‫در این مرحله ارزیابي موفقیت پیاده سازي سیاست هاي مختلف‬
‫امنیتي‪،‬همچنین تجربه هاي عملي و گزارش هاي مدیریتي گرد آوري‬
‫خواهند شد‪.‬‬
‫‪Act‬‬
‫ریحانه رفیع زاده‬
‫رفتار کن ( ‪ ISMS‬رانگهداری نموده‬
‫و آنرا بهبود ببخش )‬
‫اجراي موارد ترمیمي و باز نگري در نحوه مدیریت طالعات‪،‬همچنین‬
‫تصحیح موارد مختلف در این فاز انجام میشود‪.‬‬
‫استاندارد ‪ ISO/IEC 17799‬موسسه بینالمللي استاندارد‬
‫ریحانه رفیع زاده‬
‫در سال ‪ ، 2000‬بخش اول استاندارد ‪ BS7799:2‬بدون هیچگونه تغییري‬
‫توسط موسسة بین المللي استاندارد بعنوان استاندارد ‪ISO/IEC 17799‬‬
‫منتشر شد‪.‬‬
‫استاندارد ‪ ISO/IEC 17799‬موسسه بینالمللي استاندارد‬
‫ریحانه رفیع زاده‬
‫• طرح تداوم خدمات تجاري‬
‫• كنترل بر نحوه دستيابي به سيستم‬
‫• توسعه و پشتيباني سيستم‬
‫• ايجاد امنيت فيزيكي و محيطي‬
‫• انطباق امنيت‬
‫موسسه بینالمللي استاندارد‪ISO/IEC 17799‬استاندارد‬
‫ریحانه رفیع زاده‬
‫• امنيت كاركنان‬
‫• ايجاد امنيت سازماني‬
‫• مديريت رايانه و عمليات‬
‫• كنترل و طبقه بندي دارايي ها‬
‫• امنيت اطالاتي‬
‫موسسه بینالمللي استاندارد‪ISO/IEC TR13335‬راهنماي فني‬
‫ریحانه رفیع زاده‬
‫این گزارش فني در قالب ‪ 5‬بخش مستقل در فواصل سالهاي ‪ 1996‬تا‬
‫‪ 2001‬توسط موسسة بین المللي استاندارد منتشر شده است‪.‬‬
‫در واقع مکمل استانداردهاي مدیریتي ‪ BS7799‬و‪ISO/IEC 17799‬‬
‫مي باشد ‪.‬‬
‫‪- ISO/IEC TR13335‬بخش اول‬
‫ریحانه رفیع زاده‬
‫در این بخش که در سال ‪ 1996‬منتشر شد‪ ،‬مفاهیم کلي امنیت طالعات از قبیل‬
‫سرمایه‪ ،‬تهدید‪ ،‬آسیب پذیري‪ ،‬ریسک‪ ،‬ضربه و ‪ ، ...‬روابط بین این مفاهیم و‬
‫مدل مدیریت مخاطرات امنیتي‪ ،‬ارائه شده است ‪.‬‬
‫‪- ISO/IEC TR13335‬بخش دوم‬
‫ریحانه رفیع زاده‬
‫این بخش که در سال‪ 1997‬منتشر شد ‪ ،‬مراحل ایمن سازي و ساختارتشکیالت‬
‫تامین امنیت اطالعات سازمان ارائه شده است ‪.‬‬
‫‪- ISO/IEC TR13335‬بخش دوم‬
‫ریحانه رفیع زاده‬
‫تعیین اهداف‪ ،‬راهبردها و سیاستهاي امنیتي فضاي تبادل اطالعات سازمان‬
‫تحلیل مخاطرات امنیتي فضاي تبادل اطالعات سازمان‬
‫انتخاب حفاظ ها و ارائه طرح امنیت‬
‫پیادهسازي طرح امنیت‬
‫پشتیباني امنیت فضاي تبادل اطالعات سازمان‬
‫‪- ISO/IEC TR13335‬بخش سوم‬
‫ریحانه رفیع زاده‬
‫در این بخش که در سال ‪ 1998‬منتشر شد‪ ،‬تکنیکهاي طراحي‪ ،‬پیاده سازي و‬
‫پشتیباني امنیت اطالعات از جمله محورها و جزئیات سیاستهاي امنیتي‬
‫سازمان‪ ،‬تکنیکهاي تحلیل مخاطرات امنیتي‪ ،‬محتواي طرح امنیتي‪ ،‬جزئیات‬
‫پیاده سازي طرح امنیتي و پشتیباني امنیت اطالعات‪ ،‬ارائه شده است‪.‬‬
‫‪- ISO/IEC TR13335‬بخش چهارم‬
‫ریحانه رفیع زاده‬
‫در این بخش که در سال ‪ 2000‬منتشر شد‪ ،‬ضمن تشریح حفاظهاي‬
‫فیزیکي‪ ،‬سازماني و حفاظهاي خاص سیستمهاي اطالعاتي‪ ،‬نحوة انتخاب‬
‫حفاظهاي مورد نیاز براي تامین هریک از مولفههاي امنیت اطالعات‪ ،‬ارائه‬
‫شده است‪.‬‬
‫‪- ISO/IEC TR13335‬بخش پنجم‬
‫ریحانه رفیع زاده‬
‫در این بخش که در سال ‪ 2001‬منتشر شد‪ ،‬ضمن افزودن مقولة ارتباطات و‬
‫مروري بر بخشهاي دوم تا چهارم این گزارش فني‪ ،‬تکنیکهاي تامین امنیت‬
‫ارتباطات از قبیل شبکههاي خصوصي مجازي‪ ،‬امنیت در گذرگاهها‪ ،‬تشخیص‬
‫تهاجم و کدهاي مخرب‪ ،‬ارائه شده است‪.‬‬
‫شبنم قریشیان‬
‫مهندسي امنيت‬
‫تعریف مهندسي امنیت‬
‫شبنم قریشیان‬
‫مهندسي امنيت مجموعه فعاليتهايي است كه براي حصول و نگهداري‬
‫سطوح مناسبي از ‪:‬‬
‫محرمانگي (‪)Confidentiality‬‬‫صحت (‪)Integrity‬‬‫‪-‬قابليت دسترس ي (‪)Availability‬‬
‫حساب پذيري (‪)Accountability‬‬‫ اصالت (‪ )Authenticity‬و‬‫ قابليت اطمينان (‪)Reliability‬‬‫به صورت قاعده مند در یك سازمان انجام ميشود‪.‬‬
‫تعریف مهندسي امنیت‬
‫شبنم قریشیان‬
‫• محرمانگي‪ :‬اطالعات براي افراد‪ ،‬موجودیتها یا فرآیندهاي غیرمجاز‬
‫در دسترس قرار نگیرد یا افشا نشود‪.‬‬
‫• صحت ‪ :‬صحت سیستم و صحت‬
‫داده‬
‫صحت داده ‪ :‬داده ها به صورت غير مجاز تغيير پيدا‬
‫نكنند يا از بين نروند‪.‬‬
‫صحت سیستم ‪ :‬فعالیتهاي مورد انتظار از سیستم بدون عیب و‬
‫خالي از دستكاري هاي غیر مجاز ( تعمدي یا تصادفي) در‬
‫سیستم انجام شود‪.‬‬
‫• اصالت‪ :‬هویت واقعي یك موجودیت با هویت مورد ادعا یكسان باشد‪.‬‬
‫تعریف مهندسي امنیت‬
‫شبنم قریشیان‬
‫• قابلیت دسترسي‪ :‬منابع براي یك موجودیت مجاز در هنگام نیاز در‬
‫دسترس و قابل استفاده باشد‪.‬‬
‫• حساب پذیري‪ :‬فعالیتهاي موجودیتها در سیستم اطالعاتي‬
‫به صورت جداگانه قابل ردیابي و بررسي باشد‪.‬‬
‫• قابلیت اعتماد‪ :‬سازگار بودن رفتارها و نتایج مورد انتظار‬
‫اصول مهندسي امنيت‬
‫شبنم قریشیان‬
‫‪‬‬
‫امنيت فضاي تبادل اطالعات مفهومي كالن و مبتني بر حوزه هاي‬
‫مختلف دانش است‪.‬‬
‫‪‬‬
‫امنيت هر سيستم تعريف مخصوص به خود دارد ‪.‬‬
‫‪‬‬
‫امنيت ابزاري براي رسيدن به هدف سيستم است‪.‬‬
‫‪‬‬
‫امنيت نسبي است‪.‬‬
‫اصول مهندسي امنيت‬
‫شبنم قریشیان‬
‫‪‬‬
‫امنیت سیستم یك طرح یكپارچه و جامع ميطلبد‪.‬‬
‫‪‬‬
‫حیطة مسئولیتها و مقررات امنیتي باید كامالً شفاف و غیرمبهم باشد‪.‬‬
‫‪‬‬
‫طرح امنیتي باید مقرون به صرفه باشد‪.‬‬
‫‪‬‬
‫امنيت هر سيستم توسط عوامل اجتماعي محدود ميشود‪.‬‬
‫‪‬‬
‫امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد‪.‬‬
‫چرخه ی حيات مهندسی امينت‬
‫شبنم قریشیان‬
‫جنبههاي سازماني‬
‫خط مشي امنیت ‪IT‬‬
‫مدیریت مخاطرات‬
‫پیادهسازي روشهاي دفاعي‬
‫پیگیري‬
‫چرخه ی حيات مهندسی امينت‬
‫شبنم قریشیان‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫شبنم قریشیان‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫شبنم قریشیان‬
‫براي ایجاد امنیت در یك سازمان‪ ،‬اولین قدم تدوین اهداف‪ ،‬استراتژي و خط‬
‫مشي امنیتي سازمان است‪.‬‬
‫اهداف )‪(Objectives‬‬
‫استراتژي )‪(Strategy‬‬
‫خط مشي )‪(Policy‬‬
‫سلسله مراتب اهداف‪ ،‬استراتژي و خط مشي‬
‫شبنم قریشیان‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫سازمان‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫مالي سازمان‬
‫امنیتي سازمان‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫امنیت پرسنل سازمان‬
‫امنیت ‪ IT‬سازمان‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫اهداف‪ ،‬استراتژي و خط مشي‬
‫سیستم (‪IT )n‬‬
‫سیستم (‪IT )1‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫شبنم قریشیان‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫شبنم قریشیان‬
‫مدیریت سازمان‬
‫دستورالعملها و‬
‫متصدي امنیت سازمان‬
‫خط مشي امنیتي‬
‫‪IT‬سازمان‬
‫متصدي امنیت ‪IT‬‬
‫دستورالعملها و‬
‫متصدي امنیت زیر بخش‬
‫متصدي امنیت سیستم‬
‫خط مشي زیربخش‬
‫‪IT‬‬
‫دستورالعملها و‬
‫خط مشي امنیتی‬
‫‪ IT‬سیستم ‪1‬‬
‫مديريت امنيت ‪IT‬‬
‫الهام سوهان کار‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫مدیریت امنیت ‪IT‬‬
‫الهام سوهان کار‬
‫مدیریت امنیت اطالعات بخشي از مدیریت اطالعات است كه وظیفه‬
‫تعیین اهداف امنیت و بررسي موانع سر راه رسیدن به این اهداف و‬
‫ارائه راهكارهاي الزم را بر عهده دارد‪ .‬همچنین مدیریت امنیت‬
‫وظیفه پیاده سازي و كنترل عملكرد سیستم امنیت سازمان را بر عهده‬
‫داشته و در نهایت باید تالش كند تا سیستم را همیشه روزآمد نگه دارد‪.‬‬
‫مدیریت امنیت ‪IT‬‬
‫الهام سوهان کار‬
‫مدیریت امنیت ‪ IT‬شامل موارد زیر است‪:‬‬
‫‪‬مديريت پيکربندی‬
‫‪‬مديريت تغييرات‬
‫‪‬مديريت مخاطرات‬
‫مدیریت پیكربندي‬
‫الهام سوهان کار‬
‫فرآیندي است براي حصول اطمینان از اینكه تغییرات‬
‫در سیستم تأثیر کنترلهاي امنیتي و به تبع امنیت كل‬
‫سیستم را كاهش ندهد‪.‬‬
‫مديريت تغييرات‬
‫الهام سوهان کار‬
‫فرآیندي است كه براي شناسایي نیازمنديهاي جدید امنیتي در هنگام بروز‬
‫تغییر در سیستم ‪ IT‬انجام ميشود‪.‬‬
‫• انواع تغییرات در سیستم ‪: IT‬‬
‫ بروز رساني نرمافزارها‬‫ روالهاي جدید‬‫ كاربران جدید‬‫تجدید سختافزارها‬‫ ‪...‬‬‫‪ -‬اتصاالت جدید شبكه‬
‫مدیریت مخاطرات‬
‫الهام سوهان کار‬
‫يکی از مهمترين قابليتهای ‪ ISMS‬که در هر سازمانی به فراخور‬
‫نياز بايد انجام میشود‪ ،‬مديريت مخاطرات يا ‪Risk‬‬
‫‪Management‬است‪ .‬ريسک يا مخاطره عبارت است از احتمال‬
‫ضرر و زيانی که متوجه يک دارايی سازمان (در اينجا اطالعات)‬
‫میباشد‪ .‬عدم قطعيت (در نتيجه مقياس ناپذيری) يکی از مهمترين‬
‫ويژگيهای مفهوم ريسک است‪ .‬طبعا اين عدم قطعيت به معنای غير‬
‫قابل محاسبه و مقايسه بودن ريسکها نيست‪.‬‬
‫مدیریت مخاطرات‬
‫الهام سوهان کار‬
‫• مدیریت مخاطرات فرآیندي است براي شناسایي و ارزیابي‪:‬‬
‫• دارایيهاي كه بایستي حفاظت شوند (‪)Assets‬‬
‫• تهدیدات (‪)Threats‬‬
‫• رخنهها (‪)Vulnerabilities‬‬
‫• آسیبها (‪)Impacts‬‬
‫• مخاطرات (‪)Risks‬‬
‫• روشهاي مقابله (‪)Safeguards‬‬
‫• ریسك باقي مانده (‪)Residual Risks‬‬
‫مدیریت مخاطرات‬
‫ايجاد‬
‫با استفاده از‬
‫منجر به‬
‫رخنه‬
‫الهام سوهان کار‬
‫عامل تهديد‬
‫تهديد‬
‫تاثير مستقيم بر‬
‫مخاطره‬
‫دارايي‬
‫موجب آسيب به‬
‫با‬
‫در معرض خطر‬
‫قرار دادن‬
‫كاهش با‬
‫صحت ‪ ،‬موجوديت ‪ ،‬تماميت‬
‫حفاظ‬
‫الهام سوهان کار‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫پيادهسازي‬
‫الهام سوهان کار‬
‫• آگاهيرساني امنيتي‬
‫• روشهاي دفاعي‬
‫الهام سوهان کار‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫کنترلهاي امنیتي‬
‫الهام سوهان کار‬
‫تجربیات‪ ,‬روالها یا مكانیزمهاي محافظت در مقابل تهدیدات‬
‫•کنترلهاي امنیتي در حوزههاي زیر قابل اعمال هستند ‪:‬‬
‫سختافزار (پشتیباني‪ ,‬كلیدها و ‪)...‬‬
‫نرمافزار (امضاء رقمي‪ ,‬ثبت وقایع (‪ , )Log‬ابزارهاي ضد ویروس)‬
‫ارتباطات (فایروال‪ ,‬رمزنگاري)‬
‫محیط فیزیكي (نرده و حفاظ و ‪)...‬‬
‫پرسنل (آگاهي رساني و آموزش‪ ,‬روالهاي استخدام‪ ,‬عزل و استعفا و ‪)...‬‬
‫کنترل استفاده از سیستمها (احراز اصالت‪ ,‬كنترل دسترسي و ‪)...‬‬
‫کنترلهاي امنیتي از یكدیگر مستقل نیستند و بایستي آنها را به صورت‬
‫تركیبي استفاده نمود‪.‬‬
‫انواع کنترل های امنيتی‬
‫الهام سوهان کار‬
‫كنترلهاي مديريتي‬
‫كنترلهاي عملياتي‬
‫كنترلهاي فني‬
‫کنترل های فنی‬
‫الهام سوهان کار‬
‫کنترل های فنی‬
‫سيستم های اطالعاتی‬
‫سيستمهاي‬
‫عامل‬
‫پايگاههاي‬
‫داده‬
‫رويکرد‬
‫سيستمي‬
‫شبكة‬
‫ارتباطي‬
‫رويکرد‬
‫رمزنگارانه‬
‫سيستم های اطالعاتی‬
‫الهام سوهان کار‬
‫سیستم عامل ‪ :‬با اين كه هر سيستم عاملی دارای ضعف های‬
‫امنيتی مختص به خود است ‪ ،‬ولی عموميت و رواج يك سيستم عامل‬
‫می تواند زمينه شناسائی و سوء استفاده از ضعف های امنيتی آن را‬
‫تسريع نمايد ‪ .‬شايد به همين دليل باشد كه ضعف های ويندوز شركت‬
‫مايكروسافت سريع تر از ساير سيستم های عامل بر همگان آشكار می‬
‫شود چراكه اكثر كاربران بر روی كامپيوتر خود از يكی از نسخه های‬
‫ويندوز اين شركت استفاده می نمايند ‪ .‬شايد بتوان گفت كه لينوكس و يا‬
‫يونيكس نسبت به ويندوز دارای ضعف های امنيتی كمتری می باشند‬
‫ولی سيستم های عامل فوق نيز دارای ضعف امنيتی مختص به خود‬
‫می باشند كه به دليل عدم استفاده عام از آنها تاكنون كمتر شناسائی شده‬
‫اند ‪.‬‬
‫سيستم های اطالعاتی‬
‫الهام سوهان کار‬
‫پایگاه داده‪ :‬امنيت پايگاه داده فرآيند حفاظت از داده های سازمان در‬
‫برابر دسترسی و استفاده غير مجاز‪ ،‬افشاگری‪ ،‬تخريب و يا تغيير می‬
‫باشد‪.‬‬
‫شبكة ارتباطي ‪ :‬تمامی تجهيزات شبكه ای نظير سرويس دهندگان ‪ ،‬روترها‬
‫‪ ،‬سوئيچ ها و نظاير آن دارای برخی ضعف های امنيتی ذاتی می باشند ‪ .‬با‬
‫تبعيت از يك سياست تعريف شده مناسب برای پيكربندی و نصب تجهيزات‬
‫شبكه ای می توان بطرز كامال" محسوسی آثار و تبعات اين نوع ضعف های‬
‫امنيتی را كاهش داد ‪ .‬نصب و پيكربندی هر گونه تجهيزات شبكه ای می‬
‫بايست مبتنی بر اصول و سياست های امنيتی تعريف شده باشد ‪.‬‬
‫الهام سوهان کار‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫سرويسهاي اساسي‬
‫الهام سوهان کار‬
‫حفاظت از شبكة خودي‬
‫ديواره آتش)‪(Firewall‬‬
‫سيستم هاي تشخيص و مقابله با نفوذ‬
‫ضد ويروس‬
‫مانيتورهای ‪Log‬‬
‫سيستمهای فريب‬
‫‪...‬‬
‫)‪(IDS/IPS‬‬
‫سرويسهاي اساسي‬
‫الهام سوهان کار‬
‫ارتباط امن بینشبكهاي‬
‫روش هاي رمزنگاري‬
‫شبكه اختصاصي مجازي )‪(VPN‬‬
‫زیر ساخت كلید عمومي )‪(PKI‬‬
‫امضاء دیجیتالي‬
‫‪...‬‬
‫روش هاي رمزنگاري‬
‫الهام سوهان کار‬
‫رمزنگاري عبارتست از تبدیل داده ها به ظاهري که نهایتا بدون‬
‫داشتن یک کلید مخصوص قرائت آن غیر ممکن باشد‪.‬هدف آن حفظ‬
‫حریم خصوصي است با پنهان نگاه داشتن اطالعات از افرادي که‬
‫باشند‪.‬‬
‫داشته‬
‫دسترسي‬
‫آنها‬
‫به‬
‫نباید‬
‫شبكه اختصاصي مجازي )‪(VPN‬‬
‫الهام سوهان کار‬
‫یک ‪ ، VPN‬شبکه ای اختصاصی بوده که از اینترنت برای‬
‫ارتباط با سایت های از راه دور و ارتباط کاربران با یکدیگر‬
‫استفاده می نماید‪ .‬این نوع شبکه ها بجای استفاده از خطوط‬
‫واقعی نظیر خطوط ‪ ، Leased‬از یک ارتباط مجازی به کمک‬
‫اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند ‪.‬‬
‫زير ساخت كليد عمومي )‪(PKI‬‬
‫الهام سوهان کار‬
‫‪ ) Public Key Infrastructure) PKI‬به عنوان استانداردي که‬
‫عمال براي یکي کردن امنیت محتواي دیجیتالي و فرایند هاي تجارت‬
‫الکترونیک و همچنین پرونده ها و اسناد الکترونیکي مورد استفاده‬
‫قرار مي گرفت ظهور کرد‪.‬این سیستم به بازرگانان اجازه مي دهد از‬
‫سرعت اینترنت استفاده کرده تا اطالعات مهم تجاري آنان از‬
‫رهگیري ‪ ،‬دخالت و دسترسي غیر مجاز در امان بماند‪.‬یک ‪PKI‬‬
‫کاربران را قادر مي سازد از یک شبکه عمومي ناامن مانند اینترنت‬
‫به صورتي امن و خصوصي براي تبادالت اطالعات استفاده کنند‪.‬این‬
‫کار از طریق یک جفت کلید رمز عمومي و اختصاصي که از یک‬
‫منبع مسؤل و مورد اعتماد صادر شده و به اشتراک گذارده مي شود‬
‫انجام گیرد ‪.‬‬
‫امضاء ديجيتالي‬
‫الهام سوهان کار‬
‫امضاء هاي دیجیتالي ‪ ،‬فن آوري دیگري است که توسط‬
‫رمزنگاري کلید عمومي فعال گردید و این امکان را به مردم‬
‫مي دهد که اسناد و معامالت را طوري امضا کنند که گیرنده‬
‫بتواند هویت فرستنده را تأیید کند‪.‬امضاء دیجیتالي شامل یک اثر‬
‫انگشت ریاضي منحصر به فرد از پیام فعلي است که به آن‬
‫‪ One-Way-Hash‬نیز گفته مي شود‪.‬‬
‫سرويسهاي اساسي‬
‫الهام سوهان کار‬
‫مديريت امنيت‬
‫استانداردهاي مديريت امنيت (‪)... ،ISO-17799‬‬
‫الهام سوهان کار‬
‫تهیة خط مشي امنیت ‪IT‬‬
‫جنبههاي تشكیالتي امنیت ‪IT‬‬
‫مدیریت امنیت ‪IT‬‬
‫پیادهسازي‬
‫آگاهيرساني‬
‫روشهاي‬
‫امنیتي‬
‫دفاعي‬
‫پیگیري مراحل‬
‫بيومتريک‬
‫الهام سوهان کار‬
‫فناوری بیومتریک اگرچه از تخصصهایی سود می جوید که هر یک‬
‫از آنها سابقه ی دیرینه در علم و صنعت دارند ولی دارای تعاریف‪،‬‬
‫مفاهیم و کاربست های نو و جدیدی است‪ .‬این فناوری که در واقع‬
‫روشهای تعیین یا تایید هویت افراد به صورت خودکار‪ ،‬طبق شناسه‬
‫های فیزیولوژیکی یا رفتاری است در سالهای گذشته‪ ،‬بیشتر در فیلم‬
‫های سینمایی به عنوان یک فناوری پیشرفته علمی‪ -‬تخیلی نمود داشته‬
‫است و در عین حال در تعدادی از مراکز حساس که نیازمند به‬
‫ضریب امنیتی باالیی بوده اند نیز بکار گرفته شده است‪ .‬پیچیدگی‬
‫سخت افزاری و نرم افزاری سامانه ها و قلت کاربرد آنها‪،‬‬
‫هزینه¬های ساخت و راه¬اندازی گزافی را به مجریان چنین‬
‫طرحهایی تحمیل می کرده است ‪.‬‬
‫بيومتريک‬
‫الهام سوهان کار‬
‫انواع بيومتريکها‬
‫بیومتریکهای فیزیولوژیکی‬
‫بیومتریکهای رفتاري‬
‫بيومتريک فيزيولوژيکی‬
‫الهام سوهان کار‬
‫بیومتریکهای فیزیولوژیکی عبارتند از‪:‬‬
‫عنبیه نگاری‬
‫شبکیه نگاری‬
‫ا نگشت نگاری‬
‫چهره نگاری‬
‫دست نگاری‬
‫صوت نگاری‬
‫بيومتريک رفتاری‬
‫الهام سوهان کار‬
‫بیومتریکهای رفتاري عبارتند از‪:‬‬
‫امضا نگاری‬
‫نحوه ی تايپ کردن‬
‫ساير بيومتريک‬
‫الهام سوهان کار‬
‫پارامترهاي دیگري هم اخیراً مورد استفاده قرار گرفته است که به‬
‫علل مختلف هنوز کاربرد وسیعي ندارند‪ .‬از جمله مي توان به‬
‫بیومتریکهاي زیر اشاره کرد‬
‫•‪DNA‬‬
‫•نحوه راه رفتن‬
‫• الگوي رگهاي پشت دست‬
‫•خطوط کف دست‬
‫• شکل گوش‬
‫•بوي بدن‬
‫•و الگوي بافتهاي زیر پوستي دست‬
‫آموزش‬
‫شبنم قریشیان‬
‫آموزش های عمومی‬
‫آموزش های اختصاصی‬
‫‪ ISMS‬درایران‬
‫شبنم قریشیان‬
‫برخی دالیل عدم توجه به ‪ ISMS‬در ایران ‪:‬‬
‫الف‪ :‬عدم تخصیص جایگاه مناسب به مسائل امنیتی‬
‫ب‪ :‬کمبود های تئوریک و عملی کارشناسان‬
‫ج‪ :‬عدم آموزش و اطالع رسانی‬
Thanks