1 / 46

به نام خدا

به نام خدا. امنيت اطلاعات چرا؟ چه چيزي؟ چگونه؟. اطلاعات سرمايه است. اگر از سرمايه هاي اطلاعاتي خوب محافظت نشود آنها مي توانند: به ديگران داده شده و يا دزديده شوند بدون اينكه شما از آن مطلع شويد. بدون اطلاع شما تغيير يابند تا بي ارزش شوند و يا خسارت به يار آرند.

zoe
Download Presentation

به نام خدا

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. به نام خدا امنيت اطلاعات چرا؟ چه چيزي؟ چگونه؟

  2. اطلاعات سرمايه است. اگر از سرمايه هاي اطلاعاتي خوب محافظت نشود آنها مي توانند: به ديگران داده شده و يا دزديده شوند بدون اينكه شما از آن مطلع شويد. بدون اطلاع شما تغيير يابند تا بي ارزش شوند و يا خسارت به يار آرند. گم شوند، بدون اينكه اثري از آنها باقي ماند و يا اميدي به بازيابي آنها باشد. امنيت اطلاعات - چرا مهم است؟

  3. امنيت اطلاعات - چرا نگران كننده است؟ • زيرا اگرچه اين مقوله در گذشتههاي دور نيز مطرح بوده است (مانند تقلب، دزدي، تروريسم) ولي 3 تحول اساسي در دهه هاي گذشته آن را سرعت بخشيده است: • اتوماسيون، حملات را سريع تر كرده است • احتمال حمله از راه دور گسترش يافته است. • گسترش تكنيك حملات، سرعت بيشتري گرفته است.

  4. امنيت اطلاعات - چرا بي ميلي يا اكراه؟ • شايد بنگاه هاي سرمايه و مشتريان آنها هنوز روي اين مقوله پافشاري نمي كنند. • برخي سازمان ها نمي خواهند معيارهاي امنيتي قوي را پياده سازي نمايند زيرا فكر مي كنند كه چيزي ندارند كه ديگران به دنبال آن باشند. احتمالاً آنچه آنان نمي دانند اين است كه ممكن است پايگاه حمله به ديگران شوند (بايد همسايه خوبي بود!) • به احتمال زياد موضوعات مهم تري وجود دارد كه امنيت را موكول به بعد مي كنند. • بين رعايت امنيت و سهل الوصول بودن شك دارند. • فضاي سايبري آنها خالي است.

  5. امنيت اطلاعات اگر هنوز درگير نشده ايد تنها نيستيد! 1000 بنگاه تجاري مورد بررسي خرجي كه براي امنيت كرده اند كمتر از هزينه چاي و قهوه بوده است

  6. امنيت اطلاعات - روند كلي مسلماً اين صحيح نمي باشد كه سازمان ها به امنيت علاقه مند نيستند پس چه آنها را از اين مقوله مهم دور نگاه مي دارد؟

  7. امنيت اطلاعات - مشكل چيست؟ «تعيين اينكه چه اندازه بيش از اندازه است تا بتوان معيارهاي امنيتي لازم براي اطمينان و اعتماد را به كار گرفت» براي بكارگرفتن و يا بكار نگرفتن يك معيار امنيتي به يك منطق محكم و استدلال قوي نياز داريم

  8. امنيت اطلاعات- خودي ها يا غيرخودي ها؟ • اگر فكر مي كنيد كه بزرگ ترين تهديد براي امنيت اطلاعات از خارج سازمان (رقبا، هَكرها يا ويروس ها) سرچشمه مي گيرد دوباره فكر كنيد! (اكثر مشكلات امنيتي ريشه در افراد داخل سازمان دارد.) • اين تهديدهاي خارجي تنها شما را از خطراتي كه در داخل سازمان با آن مواجه ايد غافل مي كند. • مقابله با دوستان غافل يا نادان به مراتب سخت تر از مقابله با دشمنان هشيار است.

  9. امنيت اطلاعات- خودي ها يا غيرخودي ها؟ • اگر شما عضوي از يك زيرساخت اطلاعاتي مهم هستيد ممكن است كسي باشد كه با اراده قوي بخواهد شما را گير بيندازد. • اگر سازمان شما داراي اطلاعات مهمي است باز هم كساني هستند كه بخواهند از راز و رمز آن سردرآورند. • حتي اگر هيچ يك از دو مورد بالا صحيح نباشد بازهم كساني هستند كه براي قدرت نمائي يا تفريح بخواهند به شما يا سازمانتان تعرض كنند. • لازم است كه نه تنها قابليت هاي پيشگيري داشته باشيد بلكه حتماً قابليت هاي دشمنان كه همگام با زمان تغيير مي كنند را نيز مورد توجه قرار دهيد.

  10. تعداد كمي آسيب پذيري هاي نرم افزاري باعث بيشترين حملات موفق مي شوند زيرا حمله كنندگان دوست ندارند تا كارهاي اضافي بيشتري انجام دهند. آنها مشهورترين خطاهاي امنيتي را مورد استفاده قرار داده و از مؤثرترين و فراوان ترين ابزارها استفاده مي كنند. آنها روي سازمان هائي حساب باز مي كنند كه مشكلات خود را در زمان معين حل نكرده اند. هشدار امنيتي

  11. 4500 4000 3500 3000 2500 2000 1500 1000 500 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 شكل 1-1الف آسيبپذيريهاي گزارش شده بتوسط CERT روند افزايش آسيب پذيري هاگزارش CERT

  12. 140,000 130,000 120,000 110,000 100,000 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 1995 1996 1997 1998 1999 2000 2001 2002 2003 شكل 1-1 ب حوادث امنيتي گزارش شده بتوسط CERT روند افزايش حوادث امنيتيگزارش CERT

  13. فراهم بودن سرويس (Availibility): اينكه اطلاعات در هر زمان و در هر مكان در دسترس افراد مجاز قرار گيرد. صحت اطلاعات (Integrity): اينكه اطلاعات بطور صحيح و بدون هيچگونه جرح و تعديل در اختيار افراد مجاز قرار گيرد. محرمانگي اطلاعات (Confidetiality): اينكه اطلاعات فقط براي افراد مجاز مفهوم باشد. چه ميخواهيم؟شرايط سه گانه C-I-A

  14. چه لازم است؟ سه سؤال مهم وجود دارد كه سازمان ها وقتي به امنيت اطلاعات خود فكر مي كنند بايستي به آنها توجه كنند؟ • انتخاب كنترل هاي امنيتي ( آيا كافي است؟) • پياده سازي كنترل هاي امنيتي (آيا مؤثر است؟) • اطمينان يافتن از كنترل هاي امنيتي (آيا عمل مي كنند؟) پاسخ به اين سؤالات نمي تواند به تنهائي و در انزوا پيدا شود. پاسخ به اين سؤالات بايستي در بستر برنامه امنيت اطلاعات سازمان (policy) انجام پذيرد كه ريسك هاي اطلاعات و سيستم هاي اطلاعاتي را شناسائي، كنترل و التيام مي بخشد.

  15. چه مورد نياز است؟ نگراني هاي مديريتي --------------------- Market Reputation Business Continuity Disaster Recovery Business Loss Loss of Confidential Data Loss of Customer Confidence Legal Liability Cost of Security معيارهاي امنيتي ---------------- Technical Procedural Physical Logical Personnel Management Information Security Program

  16. اطمينان يافتن از امنيت اطلاعات • اطمينان از امنيت عبارت از توان سيستم براي فراهم آوردن اطمينان از تهديدهاي احتمالي است. • fire • Deniall of Service • Malicious Code • Malicious Destruction of Data • Masquerade • Theft and Fraud • Website Intrusion • Failure of Communication Services • Loss of Key Personnel • Operational Staff or User Error • Confidentiality • Integrity • Availability • Accounting • Authentication • Reliability

  17. چرخه اطمينان از امنيت اطلاعات Prevention Threat Reduction Incident Detection Repression Damage Correction Recovery Evaluation

  18. برنامه اطمينان از امنيت اطلاعات خط مشي ها (policies) و رَويه ها (procedures)

  19. چرا بايد خط مشي امنيتي داشت؟ • بدون خط مشي هاي امنيتي هيچ چهارچوبي براي امنيت عمومي وجود ندارد؟ • خط مشي ها تعريف مي كنند كه چه رفتاري مجاز و چه رفتاري غيرمجاز است؟ • خط مشي ها صحنه را آماده مي كنند كه چه ابزارها و رويه هائي براي سازمان مورد نياز است. • سياست ها يك خط مشي تعريف شده را در بين همه اعضاء اداره كننده سازمان تقسيم مي كنند. • امنيت كامپيوتر، شبكه و اينترنت امروزه يك مقوله جهاني است و انتظار مي رود كه سايت ها از سياست «همسايه خوب» پيروي كنند.

  20. خط مشي ها و رَويه ها • مدل هاي اعتماد • الفباي خط مشي هاي امنيتي • خط مشي هاي كليدي امنيت • رَويه هاي كليدي امنيت

  21. به چه كساني و به چه چيزهائي اعتماد كنيم؟ • اعتماد يكي از اصول بنيادي و زيربناي عمده خلق سياست هاي امنيتي است. • قدم اول اين است كه تعيين شود چه كسي دسترسي پيدا ميكند. • از اصل حداقل دست يابي استفاده شود. • تصميم گيري راجع به سطح اعتماد يك عمل ظريف است • خيلي زياد: عاقبت مشكلات امنيتي ايجاد خواهد كرد. • خيلي كم: پيداكردن و نگاه داشتن كارمندان راضي را سخت ميكند. • تا چه حد بايستي به منابع اعتماد كرد؟ • تا چه حد بايستي به مردم اعتماد كرد؟

  22. مدل هاي اعتماد (Trust Models) • به همه در تمام زمان ها اعتماد كنيم • راحت ترين سياست است اما غيرعملي است • يك بز گَر گله را گَر مي كند • به هيچ كس در هيچ زمان اعتماد نكنيم • محدوديت ماكزيمم كه بازهم غير عملي است • پيداكردن كارمنداني كه تحت چنين شرايطي كار كنند غيرممكن مي شود. • به بعضي آدم ها در بعضي زمان ها اعتماد كنيم • بايستي در ميزان اعتمادكردن به آدم هاي سازمان احتياط كرد • دست يابي تنها وقتي اعطا شود كه لازم است. • براي اطمينان از اينكه اعتماد خدشه دار نشده است، كنترل هاي فني لازم است

  23. Security Policy Basics • مردم خط مشي ها را - مانع بهره وري مي دانند - معيارهائي براي كنترل رفتار مي پندارند. مردم ديدگاه هاي متفاوتي درمورد نياز به كنترل هاي امنيتي دارند. مردم مي ترسند كه پيروي از سياست ها سخت و پياده سازي آنها مشكل باشد. سياست ها همه افراد درون سازمان را تحت تأثير قرار مي دهد. - بيشتر مردم در برابر معيارهائي كه بهره وري را كاهش دهد مقاومت مي كنند. - بعضي افراد در برابر تغيير مقاومت زيادي از خود نشان مي دهند. - بعضي افراد در برابر اينكه ديگري «نقش برادر بزرگتر» را ايفا كند مقاومت مي كنند. - بعضي افراد دوست دارند كه “rock the boat” را انجام دهند.

  24. چه كساني درگير سياست هاي امنيتي مي شوند؟ • كاربران - خط مشي ها بيش از همه آنها را تحت تأثير قرار مي دهد. • پرسنل نگهداري و پشتيباني سيستم – آنها لازم است كه خط مشي ها را پياده سازي و حمايت نمايند. • مديران - نگران حفاظت از داده ها و هزينه هاي مرتبط با سياست ها مي باشند. • وكلاي تجاري و مميزان - نگران اعتبار سازمان، مسئوليت در برابر مشتريان/كلاينت ها هستند.

  25. فرآيند طراحي خط مشي • يك تيم خلق كننده خط مشي ها را تشكيل دهيد. • يك فرد را به عنوان بيان كننده خط مشي ها بطور رسمي معرفي كنيد • روي افق و اهداف خط مشي تصميم گيري نمائيد. • افق شامل اين خواهد بود كه خط مشي چه كساني را پوشش مي دهد؟ • تصميم بگيريد كه خط مشي چقدر جزئيات را مشخص مي نمايد - نه يك برنامه پياده سازي با جزئيات باشد - نه شامل واقعيت هائي باشد كه مرتباً تغيير مي كنند

  26. فرآيند طراحي خط مشي • تمام افرادي كه تحت تأثير خط مشي قرار مي گيرند بايستي قبل از اينكه خط مشي اجرائي شود فرصت داشته باشند تا خط مشي را مطالعه كرده و نسبت به آن نظر دهند. - براي سازمان هاي بزرگ اين امر غيرعملي خواهد بود. - اغلب مشكل است كه اين اطلاعات را بيرون داد و اطمينان يافت كه همه آن را مطالعه كرده اند. - اطلاع يافتن از خط مشي ها را بايستي به عنوان يكي از مراحل راهنمائي كارمندان منظور كرد. - همه ساله يكبار يا دوبار دوره هاي مروركننده و به روزرساني براي كارمندان تشكيل داد.

  27. لازمه هاي اصلي خط مشي ها • خط مشي ها بايستي: - قابل پياده سازي و قابل اجرا باشند - مختصر و سهل الهضم باشند - بين حفاظت و بهره وري تعادل ايجاد كنند - بطور منظم به روزرساني شده تا تكامل سازمان را منعكس نمايند • خط مشي ها شايسته است: - بيان كننده دلايل وجود آن خط مشي باشند - مشخص نمايند كه چه چيزي بتوسط آن خط مشي پوشش داده مي شود- چه كسي؟ چه چيزي؟ كجا؟ - قراردادها و مسئوليت شركت هاي طرف قرارداد مشخص باشند. - مشخص كند كه در صورت نقض خط مشي چگونه با با مسأله برخورد خواهد شد؟

  28. تعيين سطح كنترل • نيازهاي امنيتي و فرهنگ نقش اساسي را بازي مي كنند. • خط مشي هاي امنيتي بايستي بين سطح كنترل و سطح بهره وري يك تعدل را ايجاد نمايند. • اگر خط مشي ها خيلي محدودكننده باشند، مردم راهي براي دور زدن آنها پيدا مي كنند. • كنترل هاي فني هميشه امكان پذير نيستند. • بايستي تعهد مديريتي روي سطح كنترل وجود داشته باشد.

  29. انتخاب يك ساختار براي يك خط مشي امنيتي • وابسته به اندازه شركت و اهداف آن است. • يك سند بزرگ بهتر است يا چندين سند كوچك؟ • اسناد كوچك تر براي نگهداري و به روزرساني بهترند • برخي خط مشي ها مناسب براي همه سايت ها بوده در حالي كه برخي مختص محيط خاصي هستند. • برخي سياست هاي كليدي عبارتنداز: - Acceptable Use - User Account - Remote Access - Information Protection و غيره

  30. The Acceptable Use Policy • استفاده صحيح از منابع محاسباتي را تعريف و مورد بحث قرار مي دهد. • كاربران در هنگام تقاضاي شماره حساب كاربري بايستي آن را بخوانند و امضاء كنند. - بسياري از مثال هاي AU را مي توان در آدرس زير پيدا كرد: http://www.eff.org/pub/CAF/policies

  31. Elements of Acceptable Use Policy • بايستي مسئوليت كاربران را در برابر اطلاعاتي كه به توسط شماره حساب كاربري آنها قابل دسترس است بيان نمايد. • بايستي بيان كند كه آيا كاربران مي توانند فايل هائي كه متعلق به آنها نيست ولي در دسترس آنهاست را بخوانند و يا كپي كنند. • بايستي مشخص كند كه آيا كاربران مي توانند فايل هائي كه متعلق به آنها نيست ولي حق نوشتن در آن را دارند، جرح و تعديل نمايند. • بايستي مشخص كند كه آيا كاربران مي توانند چيزهائي را به اشتراك بگذارند. • بايستي تعيين كند كه آيا كاربران مي توانند از نرم افزارهاي كپي تهيه نمايند • بايستي سطح استفاده مجاز از پست الكترونيك و دسترسي به اينترنت را بيان نمايد.

  32. User Account Policy • الزامات درخواست و نگهداري يك حساب روي سيستم ها را بيان مي كند. • براي سايت هاي بزرگ كه در آن كاربران حساب هاي متعدد روي سيستم هاي مختلف دارند مهم است. • بعضي از سايت ها از كاربران مي خواهند تا يك Account Policy را در روند درخواست حساب خوانده و امضاء كنند. • مثال هائي از اين سياست ها را مي توان در آدرس زير پيدا كرد http://www.eff.org/pub/CAF/policies

  33. Elements of a User Account Policy • بايستي بيان نمايد كه چه كسي موظف است تا درخواست يك حساب را تأئيد كند. • بايستي بيان كند كه چه كسي مجاز است تا از منابع استفاده نمايد (مثلاً كارمندان يا فقط دانشجويان) • بايستي بيان كند كه آيا كاربران مجازند تا مطلبي را به اشتراك بگذارند و يا آيا مجازند كه روي يك ميزبان منفرد داراي چندين حساب باشند. • بايستي حقوق كاربران و مسئوليت هاي آنان را بيان نمايد. • بايستي بيان كند كه يك حساب كاربري تا چه مدت مي تواند غيرفعال ماند قبل از اينكه باطل شود. • بايستي نحوه ساخت كلمات عبور و قواعد انقضاء را مشخص نمايد

  34. Remote Access Policy • روش هاي اتصال به شبكه داخلي از راه دور را مرزبندي و تعريف ميكند. • در سازمان هاي بزرگ كه داراي شبكه گسترده اي در نقاط مختلف جغرافيائي بوده و دامنه اين شبكه تا منزل هم كشيده مي شود مهم است. • بايستي تمام روش هاي ممكن براي دسترسي به منابع داخلي را پوشش دهد مثلاً (SLIP-PPP) dial-in ISDN/Frame Relay دست يابي telnet از اينترنت مُودم هاي كابلي،ADSL، Wi-Fi و WiMax

  35. Elements of a Remote Access Policy • بايستي تعريف شود كه چه كسي مجاز است تا قابليت دسترسي از دور را داشته باشد. • بايستي تعريف شود كه چه روش هائي براي دسترسي از دور مجاز است. • بايستي مشخص شود كه آيا نصب مُودم هاي تلفني روي كامپيوترها مجاز است يا خير • بايستي تعريف شود كه چه كساني مجازند تا دسترسي هاي با سرعت بالا داشته باشند. - چه لازمه هاي ديگري وجود دارد؟ - آيا بقيه اعضاء سازمان ميتوانند از اينترنت استفاده كنند؟ - بايستي همه محدوديت هاي ديگري كه ميتوان به ديتا دسترسي پيدا كرد را مورد بررسي قرار داد.

  36. Information Protection Policy • رهنمودهائي را براي كاربران در زمينه پردازش، ذخيره سازي و انتقال اطلاعات حساس فراهم مي آورد. • هدف اصلي اين است كه اطلاعات از دستكاري و افشا محافظت گردد. • شايد لازم باشد كه كارمندان جديد خط مشي سازمان را خوانده و امضاء كنند. • بايستي سطوح حساسيت اطلاعات تعريف شود

  37. Elements of an Information Protection Policy • بايستي تعريف شود كه چه كسي حق دارد تا به اطلاعات حساس دسترسي يابد - شرايط خاص - توافق نامه هاي عدم افشا • بايستي مشخص شود كه اطلاعات حساس چگونه بايد ذخيره سازي و انتقال يابد (رمزنگاري و غيره) • بايستي تعريف شود كه اطلاعات حساس روي كدام سيستم ها مي تواند ذخيره شود. • بايستي بحث شود كه كدام سطح از اطلاعات حساس مي تواند روي چاپگرهاي غيرامن فيزيكي چاپ شود • بايستي تعريف شود كه نحوه پاك كردن اطلاعات حساس از سيستم ها و تجهيزات ذخيره سازي اطلاعات چگونه است - degaussing of storage media - scrubbing of hard drives - shredding of hardcopy output • بايستي حالات پيش فرض دسترسي به فايل و دايركتوري مشخص گردد.

  38. Sample E-mail Policy • سازمان يك سيستم پست صوتي و يك سيستم پست الكترونيك براي رتق و فتق كارهاي داخل شركت را برپا نموده است. اين سيستم ها كه شامل تجهيزات و داده هاي ذخيره شده است پيوسته جزو داردائي هاي شركت بوده و خواهند بود. • پيام ها بايستي فقط مربوط به كسب و كار شركت باشند. Voice-mail و e-mail نمي توانند براي انجام كارهاي شخصي بكار روند. • شركت اي حق را براي خود قائل است كه هر پيام خلق شده، ارسال شده و يا دريافت شده را فراخوانده و بررسي كند. پيام ها ممكن است به توسط شخصي بجز دريافت كننده مورد نظر خوانده شوند.

  39. ادامهSample E-mail Policy • پيام ها نبايستي شامل محتوائي باشند كه يك كارمند سازمان را مورد توهين قرار دهد. محتويات توهين آميز شامل تصاوير مستهجن، كنايه هاي توهين آميز، برچسب هاي نژادي و توهين آميز، توهين به جنس مخالف و يا هر مطلب ديگري كه بخواهد كسي را بر اساس سن، گرايش جنسي، گرايش مذهبي، باورهاي سياسي، سوابق خانوادگي و يا معلوليت مورد توهين قرار دهد. • كارمنداني كه به هر نحو از سوء استفاده از v-mail يا e-mail براساس نقض معيارهاي بالا مطلع شوند بايستي مراتب را به مدير نيروي انساني شركت گزارش دهند.

  40. رَويه هاي امنيتي - Security Procedures • سياست ها تنها تعريف مي كنند كه «چه چيزي» بايد محافظت شود. رَويه ها تعريف مي كنند كه «چگونه» بايد از منابع محافظت كرد و مكانيسمهاي اعمال امنيت «چه» هستند. • رَويه ها جزئيات اعمالي را كه براي هر رخداد امنيتي بايد انجام پذيرد را تعريف مي كنند. • رَويه ها يك مأخذ سريع براي زمان هاي بحران مي باشند. • رَويه ها كمك مي كنند كه مشكلاتي كه در رابطه با يك نقطه خرابي است حذف شود (مثلاً يك كارمند درست در لحظه نياز به او حضور ندارد)

  41. Configuration Management Procedures • تعريف مي كند كه يك سخت افزار/ نرم افزار جديد چگونه بايد آزمايش و نصب شود. • تعريف مي كند كه چگونه تغييرات سخت افزاري/ نرم افزاري جديد مستندسازي ميگردد. • تعريف مي كند كه وقتي يك سخت افزار و يا نرم افزار عوض مي شود چه كساني بايد در جريان قرار گيرند. • تعريف مي كند كه چه كسي مجاز به تغيير پيكربندي سخت افزاري و يا نرم افزاري است.

  42. Data Backup and Off-site Storage Procedures • تعريف مي كند كه از كدام فايل هاي سيستمي بايد نسخه پشتيبان تهيه كرد. • تعريف مي كند كه نسخه هاي پشتيبان هرچندوقت يكبار بايد گرفته شوند. • تعريف مي كند كه بعد از چه مدتي نسخه هاي پشتيبان مي توانند معدوم شوند. • تعريف مي كند كه هرچندوقت يكبار نسخه هاي پشتيبان در خارج از سايت ذخيره مي گردند. • تعريف مي كند كه محيط هاي ذخيره سازي اطلاعات را چگونه بايد برچسب زد و مستندسازي نمود.

  43. Security Incident Escalation Procedure • يك “cookbook” براي پرسنل خط مقدم است. • تعريف مي كند كه چه كسي و در چه زماني بايد مطلع شود؟ • قدم هاي اوليه اي كه بايد برداشته شود را تعريف مي كند. • تعريف مي كند كه چه اطلاعات اوليه اي بايد ضبط شود.

  44. Incident Handling Procedures • تعريف مي كند كه چگونه با حملات نفوذگران برخورد شود • محدوده مسئوليت هاي اعضاء تيم پاسخگوئي را تعريف مي كند. • تعريف مي كند كه چه اطلاعاتي را بايد ثبت و دنبال كرد. • تعريف مي كند كه چه كسي را بايد مطلع كرد و چه موقع. • تعريف مي كند كه چه كسي مي تواند اطلاعات را افشا كند و رويه افشاي اطلاعات چيست؟ • تعريف مي كند كه چگونه يك تحليل بعدي بايستي آماده گرددو چه كساني بايد در آن شريك باشند؟

  45. Disaster Planning and Response • يك فاجعه يك واقعه مخرب در ابعاد بزرگ است كه بخش هاي كليدي سازمان را تحت تأثير قرار مي دهد. - يك زمين لرزه شديد، سيل، طوفان،آتش سوزي و غيره - قطع برق به مدت بيش از 48 ساعت. - انهدام ساختمان هاي سازمان • هدف اصلي در اينجا طراحي وظايف به نحوي است كه منابع اصلي حتي المقدور به سرويس خود ادامه دهند تا اثر فاجعه مي نيمم گردد. • اطمينان يافتن از اين كه اطلاعات مهم براي پاسخگوئي به فاجعه در off-site نگهداري شده و پس از وقوع فاجعه در دسترس باشد. • طراحي بايد مُودهاي عملياتي مختلف مبتني بر ميزان صدمات به منابع را دربر داشته باشد. • مانورهاي آمادگي براي فاجعه چندين بار در سال بايد انجام شود. • نياز به سايت هاي “hot” يا “cold” تعيين گردد.

More Related