1 / 80

ISMS I nformation S ecurity M anagement S ystem

ISMS I nformation S ecurity M anagement S ystem. ISMS. شبنم قریشیان. آرامش در زندگي بدون امنيت امکانپذير نيست. همیشه باید نگران باشید. ISMS. شبنم قریشیان.

rhea-cook
Download Presentation

ISMS I nformation S ecurity M anagement S ystem

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. ISMSInformation Security Management System

  2. ISMS شبنم قریشیان آرامش در زندگي بدون امنيت امکانپذير نيست . همیشه باید نگران باشید

  3. ISMS شبنم قریشیان IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يك نظام مديريت امنيت اطلاعات را بيش از پيش آشكار مي‌نمايد .

  4. ISMS شبنم قریشیان به طور کلی می توان فرایند امن سازی را در 4 شاخه ی اصلی طبقه بندی کرد : 1- امنیت دررایانه ها 2- امنیت در شبکه ها 3- امنیت در سازمان ها 4-امنیت کاربران

  5. ISMS ISMS چيست ؟ شبنم قریشیان برگرفته از کلمات زير و به معناي “سيستم مديريت امنيت اطلاعات” است . Information Security Management System ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

  6. ISMS شبنم قریشیان • سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات امنیتی در سيستم‌هاي اطلاعاتي است، يک سيستم جامع امنيتي بر سه پايه بنا مي‌شود: • بررسی و تحلیل سیستم اطلاعاتی • سياستها و دستورالعملهاي امنيتي • تکنولوژي و محصولات امنيت • عوامل اجرايي

  7. ISMS شبنم قریشیان حفاظت سه بعدی از اطلاعات سازمان • حفظ محرمانه بودناطلاعات از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز. • حفظ یکپارچگی اطلاعات از لحاظ دقت و کامل بودن و روشهای پردازش • قابلیت دسترسی اطلاعات و دارایی های مرتبط توسط افراد مجاز در زمان نیاز.

  8. ريحانه رفيع زاده علل بروز مشكلات امنيتی

  9. علل بروز مشكلات امنيتی ريحانه رفيع زاده • ضعف فناوری • ضعف پيكربندی • ضعف سياست ها

  10. ضعف فناوری ريحانه رفيع زاده • ضعف پروتكل TCP/IP   • ضعف سيستم عامل • ضعف تجهيزات شبكه ای

  11. ضعف پيكربندی ريحانه رفيع زاده • استفاده غيرايمن از account كاربران • استفاده از system account كه رمز عبور آنها به سادگی • قابل تشخيص است. • عدم پيكربندی صحيح سرويس های اينترنت • غيرايمن بودن تنظيمات پيش فرض در برخی محصولات • عدم پيكربندی صحيح تجهيزات شبكه ای

  12. ضعف سياستها ريحانه رفيع زاده • عدم وجود يك سياست امنيتی مكتوب • سياست های سازمانی • رها كردن مديريت امنيت شبكه به حال خود • نصب و انجام تغييرات مغاير با سياست های تعريف شده • عدم وجود برنامه ای مدون جهت برخورد با حوادثغيرمترقبه

  13. ريحانه رفيع زاده استانداردهاي ISMS

  14. استانداردهاي ISMS ريحانه رفيع زاده با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد.

  15. درتماماستانداردها، نکات زير مورد توجه قرار گرفته شده است: استانداردهاي ISMS ريحانه رفيع زاده • تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان • جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله • ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان • ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان • کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان

  16. استانداردهاي ISMS ريحانه رفيع زاده • استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس • استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد • استانداردهای مدیریتی سری 27000 موسسه بین المللی استاندارد • گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد • استانداردITBPM • استانداردامنیتی ACSI33 • استاندارد AS/NZS

  17. استاندارد BS7799 موسسه استاندارد انگليس ريحانه رفيع زاده نسخه اول: BS7799:1 1995 نسخه دوم: BS7799:2 1999 نسخه آخر: BS7799:20022002

  18. استاندارد BS7799 موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده • تدوين سياست امنيتي سازمان • ايجاد تشکيلات تامين امنيت سازمان • دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازم • امنيت پرسنلي • امنيت فيزيکي و پيراموني

  19. استاندارد BS7799 موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده • مديريت ارتباطات • کنترل دسترسي • نگهداري و توسعه سيستم‌ها • مديريت تداوم فعاليت سازمان • پاسخگوئي به نيازهاي امنيتي

  20. استاندارد BS7799 موسسه استاندارد انگليس-بخش دوم ريحانه رفيع زاده Implement & use ISMS Design ISMS PDCA Model Monitor & review ISMS Maintain & improve ISMS Risk based continual improvement framework for information security management

  21. Plan ريحانه رفيع زاده ISMS را برنامه ريزی کن اين فاز در واقع مرحله مشخص شدن تعاريف اوليه پاده سازي ISMS ميباشد.تهيه سياست هاي امنيتي ،مقاصد،تعريف پردازش هاي مختلف درون سازماني و روتين هاي عملياتي و..در اين مرحله تعريف و پياده سازي ميشوند.

  22. Do ريحانه رفيع زاده انجام بده (ISMS را پياده نموده و از آن بهره برداری کن) پياده سازي و اجراي سياست هاي امنيتي،كنترل ها پردازش ها در اين مرحله انجام ميشود. در واقع اين مرحله اجراي كليه مراحل فاز اول را طلب ميكند.

  23. Check ريحانه رفيع زاده کنترل کن ( ISMS را پايش کرده و مورد بازنگری قرار بده ) در اين مرحله ارزيابي موفقيت پياده سازي سياست هاي مختلف امنيتي،همچنين تجربه هاي عملي و گزارش هاي مديريتي گرد آوري خواهند شد.

  24. Act ريحانه رفيع زاده رفتار کن ( ISMS رانگهداری نموده و آنرا بهبود ببخش ) اجراي موارد ترميمي و باز نگري در نحوه مديريت طلاعات،همچنين تصحيح موارد مختلف در اين فاز انجام ميشود.

  25. استاندارد ISO/IEC 17799 موسسه بين‌المللي استاندارد ريحانه رفيع زاده در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هيچگونه تغييري توسط موسسة بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد.

  26. استاندارد ISO/IEC 17799 موسسه بين‌المللي استاندارد ريحانه رفيع زاده • طرح تداوم خدمات تجاري • كنترل بر نحوه دستيابي به سيستم • توسعه و پشتيباني سيستم • ايجاد امنيت فيزيكي و محيطي • انطباق امنيت

  27. استاندارد ISO/IEC 17799 موسسه بين‌المللي استاندارد ريحانه رفيع زاده • امنيت كاركنان • ايجاد امنيت سازماني • مديريت رايانه و عمليات • كنترل و طبقه بندي دارايي ها • امنيت اطلااتي

  28. راهنماي فني ISO/IEC TR13335 موسسه بين‌المللي استاندارد ريحانه رفيع زاده اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است. در واقع مکمل استانداردهاي مديريتي BS7799 وISO/IEC 17799 مي باشد .

  29. ISO/IEC TR13335 -بخش اول • در اين بخش که در سال 1996 منتشر شد، ‌مفاهيم کلي امنيت طلاعات از قبيل سرمايه، تهديد، آسيب پذيري، ريسک،‌ ضربه و ... ، روابط بين اين مفاهيم و مدل مديريت مخاطرات امنيتي، ارائه شده است . ريحانه رفيع زاده

  30. ISO/IEC TR13335 -بخش دوم • اين بخش که در سال1997 منتشر شد ، مراحل ايمن سازي و ساختارتشکيلات • تامين امنيت اطلاعات سازمان ارائه شده است . ريحانه رفيع زاده

  31. ISO/IEC TR13335 -بخش دوم ريحانه رفيع زاده تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان انتخاب حفاظ ها و ارائه طرح امنيت پياده‌سازي طرح امنيت پشتيباني امنيت فضاي تبادل اطلاعات سازمان

  32. ISO/IEC TR13335 -بخش سوم • در اين بخش که در سال 1998 منتشر شد، تکنيکهاي طراحي، پياده سازي و پشتيباني امنيت اطلاعات از جمله محورها و جزئيات سياستهاي امنيتي سازمان، تکنيکهاي تحليل مخاطرات امنيتي، محتواي طرح امنيتي، جزئيات پياده سازي طرح امنيتي و پشتيباني امنيت اطلاعات، ارائه شده است. ريحانه رفيع زاده

  33. ISO/IEC TR13335 -بخش چهارم • در اين بخش که در سال 2000 منتشر شد، ضمن تشريح حفاظهاي • فيزيکي، سازماني و حفاظهاي خاص سيستم‌هاي اطلاعاتي، نحوة انتخاب حفاظهاي مورد نياز براي تامين هريک از مولفه‌هاي امنيت اطلاعات، ارائه شده است. ريحانه رفيع زاده

  34. ISO/IEC TR13335 -بخش پنجم • در اين بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروري بر بخشهاي دوم تا چهارم اين گزارش فني، تکنيکهاي تامين امنيت ارتباطات از قبيل شبکه‌هاي خصوصي مجازي، امنيت در گذرگاه‌ها، تشخيص تهاجم و کدهاي مخرب، ارائه شده است. ريحانه رفيع زاده

  35. شبنم قریشیان مهندسي امنيت

  36. تعريف مهندسي امنيت شبنم قریشیان • مهندسي امنيت مجموعه فعاليت‏هايي است كه براي حصول و نگهداري • سطوح مناسبي از: - محرمانگي (Confidentiality) -صحت (Integrity) -قابليت دسترسي (Availability) - حساب پذيري (Accountability) -اصالت (Authenticity) و - قابليت اطمينان (Reliability) به صورت قاعده مند در يك سازمان انجام مي‏‎شود.

  37. تعريف مهندسي امنيت شبنم قریشیان • محرمانگي: اطلاعات براي افراد، موجوديت‌ها يا فرآيندهايغيرمجاز در دسترس قرار نگيرد يا افشا نشود. • صحت : صحت سيستم و صحت داده • صحت داده: داده ها به صورت غير مجاز تغيير پيدا نكنند يا از بين نروند. صحت سيستم: فعاليت‌هاي مورد انتظار از سيستم بدون عيب و خالي از دستكاري هاي غير مجاز ( تعمدي يا تصادفي) در سيستم انجام شود. • اصالت: هويت واقعي يك موجوديت با هويت مورد ادعا يكسان باشد.

  38. تعريف مهندسي امنيت شبنم قریشیان • قابليت دسترسي: منابع براي يك موجوديتمجاز در هنگام نيازدر دسترس و قابل استفاده باشد. • حساب پذيري: فعاليت‌هاي موجوديت‌ها در سيستم اطلاعاتي به صورت جداگانه قابل رديابي و بررسي باشد. • قابليت اعتماد: سازگار بودن رفتارها و نتايج مورد انتظار

  39. اصول مهندسي امنيت شبنم قریشیان • امنيت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزه هاي • مختلف دانش است. • امنيت هر سيستم تعريف مخصوص به خود دارد. • امنيت ابزاري براي رسيدن به هدف سيستم است. • امنيت نسبي است.

  40. اصول مهندسي امنيت شبنم قریشیان • امنيت سيستم يك طرح يكپارچه و جامع مي‏طلبد. • حيطة مسئوليتها و مقررات امنيتي بايد كاملاً شفاف و غيرمبهم باشد. • طرح امنيتي بايد مقرون به صرفه باشد. • امنيت هر سيستم توسط عوامل اجتماعي محدود مي‏شود. • امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد.

  41. چرخه ی حیات مهندسی امینت شبنم قریشیان جنبه‌هايسازماني خط مشي امنيت IT مديريت مخاطرات پياده‌سازي روش‌هاي دفاعي پيگيري

  42. تهية خط مشي امنيت IT جنبه‌هاي تشكيلاتي امنيت IT مديريت امنيت IT پياده‌سازي روش‌هاي دفاعي آگاهي‌رساني امنيتي پيگيري مراحل چرخه ی حیات مهندسی امینت شبنم قریشیان

  43. تهية خط مشي امنيت IT جنبه‌هاي تشكيلاتي امنيت IT مديريت امنيت IT پياده‌سازي روش‌هاي دفاعي آگاهي‌رساني امنيتي پيگيري مراحل تهية خط مشي امنيت IT شبنم قریشیان

  44. تهية خط مشي امنيت IT شبنم قریشیان براي ايجاد امنيت در يك سازمان، اولين قدم تدوين اهداف، استراتژي و خط مشي امنيتي سازمان است. • اهداف (Objectives) • استراتژي (Strategy) • خط مشي (Policy)

  45. اهداف، استراتژي و خط مشي سازمان اهداف، استراتژي و خط مشي امنيتي سازمان اهداف، استراتژي و خط مشي امنيت IT سازمان اهداف، استراتژي و خط مشي مالي سازمان اهداف، استراتژي و خط مشي امنيت پرسنل سازمان اهداف، استراتژي و خط مشي سيستم (1) IT اهداف، استراتژي و خط مشي سيستم (n) IT سلسله مراتب اهداف، استراتژي و خط مشي شبنم قریشیان

  46. تهية خط مشي امنيت IT جنبه‌هاي تشكيلاتي امنيت IT مديريت امنيت IT پياده‌سازي روش‌هاي دفاعي آگاهي‌رساني امنيتي پيگيري مراحل جنبه‌هاي تشكيلاتي امنيت IT شبنم قریشیان

  47. جنبه‌هاي تشكيلاتي امنيت IT شبنم قریشیان مدیریت سازمان دستورالعمل‌ها و خطمشي امنيتي ITسازمان متصدي امنيتسازمان دستورالعمل‌ها و خطمشي زیربخش IT متصدي امنيتIT متصدي امنيتزير بخش دستورالعمل‌ها و خطمشي امنیتی IT سیستم 1 متصدي امنيتسيستم

  48. تهية خط مشي امنيت IT جنبه‌هاي تشكيلاتي امنيت IT مديريت امنيت IT پياده‌سازي روش‌هاي دفاعي آگاهي‌رساني امنيتي پيگيري مراحل مديريت امنيت IT الهام سوهان کار

  49. مديريت امنيت IT الهام سوهان کار مديريت امنيت اطلاعات بخشي از مديريت اطلاعات است كه وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اين اهداف و ارائه راهكارهاي لازم را بر عهده دارد.  همچنين مديريت امنيت وظيفه پياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهايت بايد تلاش كند تا سيستم را هميشه روزآمد نگه دارد.

  50. مديريت امنيت IT الهام سوهان کار مدیریت امنیت IT شامل موارد زیر است: • مدیریت پیکربندی • مديريت تغييرات • مديريت مخاطرات

More Related