810 likes | 980 Views
ISMS I nformation S ecurity M anagement S ystem. ISMS. شبنم قریشیان. آرامش در زندگي بدون امنيت امکانپذير نيست. همیشه باید نگران باشید. ISMS. شبنم قریشیان.
E N D
ISMS شبنم قریشیان آرامش در زندگي بدون امنيت امکانپذير نيست . همیشه باید نگران باشید
ISMS شبنم قریشیان IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يك نظام مديريت امنيت اطلاعات را بيش از پيش آشكار مينمايد .
ISMS شبنم قریشیان به طور کلی می توان فرایند امن سازی را در 4 شاخه ی اصلی طبقه بندی کرد : 1- امنیت دررایانه ها 2- امنیت در شبکه ها 3- امنیت در سازمان ها 4-امنیت کاربران
ISMS ISMS چيست ؟ شبنم قریشیان برگرفته از کلمات زير و به معناي “سيستم مديريت امنيت اطلاعات” است . Information Security Management System ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.
ISMS شبنم قریشیان • سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات امنیتی در سيستمهاي اطلاعاتي است، يک سيستم جامع امنيتي بر سه پايه بنا ميشود: • بررسی و تحلیل سیستم اطلاعاتی • سياستها و دستورالعملهاي امنيتي • تکنولوژي و محصولات امنيت • عوامل اجرايي
ISMS شبنم قریشیان حفاظت سه بعدی از اطلاعات سازمان • حفظ محرمانه بودناطلاعات از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز. • حفظ یکپارچگی اطلاعات از لحاظ دقت و کامل بودن و روشهای پردازش • قابلیت دسترسی اطلاعات و دارایی های مرتبط توسط افراد مجاز در زمان نیاز.
ريحانه رفيع زاده علل بروز مشكلات امنيتی
علل بروز مشكلات امنيتی ريحانه رفيع زاده • ضعف فناوری • ضعف پيكربندی • ضعف سياست ها
ضعف فناوری ريحانه رفيع زاده • ضعف پروتكل TCP/IP • ضعف سيستم عامل • ضعف تجهيزات شبكه ای
ضعف پيكربندی ريحانه رفيع زاده • استفاده غيرايمن از account كاربران • استفاده از system account كه رمز عبور آنها به سادگی • قابل تشخيص است. • عدم پيكربندی صحيح سرويس های اينترنت • غيرايمن بودن تنظيمات پيش فرض در برخی محصولات • عدم پيكربندی صحيح تجهيزات شبكه ای
ضعف سياستها ريحانه رفيع زاده • عدم وجود يك سياست امنيتی مكتوب • سياست های سازمانی • رها كردن مديريت امنيت شبكه به حال خود • نصب و انجام تغييرات مغاير با سياست های تعريف شده • عدم وجود برنامه ای مدون جهت برخورد با حوادثغيرمترقبه
ريحانه رفيع زاده استانداردهاي ISMS
استانداردهاي ISMS ريحانه رفيع زاده با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد.
درتماماستانداردها، نکات زير مورد توجه قرار گرفته شده است: استانداردهاي ISMS ريحانه رفيع زاده • تعيين مراحل ايمنسازي و نحوه شکلگيري چرخه امنيت اطلاعات و ارتباطات سازمان • جرئيات مراحل ايمنسازي و تکنيکهاي فني مورد استفاده در هر مرحله • ليست و محتواي طرحها و برنامههاي امنيتي موردنياز سازمان • ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان • کنترلهاي امنيتي موردنياز براي هر يک از سيستمهاي اطلاعاتي و ارتباطي سازمان
استانداردهاي ISMS ريحانه رفيع زاده • استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس • استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد • استانداردهای مدیریتی سری 27000 موسسه بین المللی استاندارد • گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد • استانداردITBPM • استانداردامنیتی ACSI33 • استاندارد AS/NZS
استاندارد BS7799 موسسه استاندارد انگليس ريحانه رفيع زاده نسخه اول: BS7799:1 1995 نسخه دوم: BS7799:2 1999 نسخه آخر: BS7799:20022002
استاندارد BS7799 موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده • تدوين سياست امنيتي سازمان • ايجاد تشکيلات تامين امنيت سازمان • دستهبندي سرمايهها و تعيين کنترلهاي لازم • امنيت پرسنلي • امنيت فيزيکي و پيراموني
استاندارد BS7799 موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده • مديريت ارتباطات • کنترل دسترسي • نگهداري و توسعه سيستمها • مديريت تداوم فعاليت سازمان • پاسخگوئي به نيازهاي امنيتي
استاندارد BS7799 موسسه استاندارد انگليس-بخش دوم ريحانه رفيع زاده Implement & use ISMS Design ISMS PDCA Model Monitor & review ISMS Maintain & improve ISMS Risk based continual improvement framework for information security management
Plan ريحانه رفيع زاده ISMS را برنامه ريزی کن اين فاز در واقع مرحله مشخص شدن تعاريف اوليه پیاده سازي ISMS ميباشد.تهيه سياست هاي امنيتي ،مقاصد،تعريف پردازش هاي مختلف درون سازماني و روتين هاي عملياتي و..در اين مرحله تعريف و پياده سازي ميشوند.
Do ريحانه رفيع زاده انجام بده (ISMS را پياده نموده و از آن بهره برداری کن) پياده سازي و اجراي سياست هاي امنيتي،كنترل ها پردازش ها در اين مرحله انجام ميشود. در واقع اين مرحله اجراي كليه مراحل فاز اول را طلب ميكند.
Check ريحانه رفيع زاده کنترل کن ( ISMS را پايش کرده و مورد بازنگری قرار بده ) در اين مرحله ارزيابي موفقيت پياده سازي سياست هاي مختلف امنيتي،همچنين تجربه هاي عملي و گزارش هاي مديريتي گرد آوري خواهند شد.
Act ريحانه رفيع زاده رفتار کن ( ISMS رانگهداری نموده و آنرا بهبود ببخش ) اجراي موارد ترميمي و باز نگري در نحوه مديريت طلاعات،همچنين تصحيح موارد مختلف در اين فاز انجام ميشود.
استاندارد ISO/IEC 17799 موسسه بينالمللي استاندارد ريحانه رفيع زاده در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هيچگونه تغييري توسط موسسة بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد.
استاندارد ISO/IEC 17799 موسسه بينالمللي استاندارد ريحانه رفيع زاده • طرح تداوم خدمات تجاري • كنترل بر نحوه دستيابي به سيستم • توسعه و پشتيباني سيستم • ايجاد امنيت فيزيكي و محيطي • انطباق امنيت
استاندارد ISO/IEC 17799 موسسه بينالمللي استاندارد ريحانه رفيع زاده • امنيت كاركنان • ايجاد امنيت سازماني • مديريت رايانه و عمليات • كنترل و طبقه بندي دارايي ها • امنيت اطلااتي
راهنماي فني ISO/IEC TR13335 موسسه بينالمللي استاندارد ريحانه رفيع زاده اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است. در واقع مکمل استانداردهاي مديريتي BS7799 وISO/IEC 17799 مي باشد .
ISO/IEC TR13335 -بخش اول • در اين بخش که در سال 1996 منتشر شد، مفاهيم کلي امنيت طلاعات از قبيل سرمايه، تهديد، آسيب پذيري، ريسک، ضربه و ... ، روابط بين اين مفاهيم و مدل مديريت مخاطرات امنيتي، ارائه شده است . ريحانه رفيع زاده
ISO/IEC TR13335 -بخش دوم • اين بخش که در سال1997 منتشر شد ، مراحل ايمن سازي و ساختارتشکيلات • تامين امنيت اطلاعات سازمان ارائه شده است . ريحانه رفيع زاده
ISO/IEC TR13335 -بخش دوم ريحانه رفيع زاده تعيين اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان انتخاب حفاظ ها و ارائه طرح امنيت پيادهسازي طرح امنيت پشتيباني امنيت فضاي تبادل اطلاعات سازمان
ISO/IEC TR13335 -بخش سوم • در اين بخش که در سال 1998 منتشر شد، تکنيکهاي طراحي، پياده سازي و پشتيباني امنيت اطلاعات از جمله محورها و جزئيات سياستهاي امنيتي سازمان، تکنيکهاي تحليل مخاطرات امنيتي، محتواي طرح امنيتي، جزئيات پياده سازي طرح امنيتي و پشتيباني امنيت اطلاعات، ارائه شده است. ريحانه رفيع زاده
ISO/IEC TR13335 -بخش چهارم • در اين بخش که در سال 2000 منتشر شد، ضمن تشريح حفاظهاي • فيزيکي، سازماني و حفاظهاي خاص سيستمهاي اطلاعاتي، نحوة انتخاب حفاظهاي مورد نياز براي تامين هريک از مولفههاي امنيت اطلاعات، ارائه شده است. ريحانه رفيع زاده
ISO/IEC TR13335 -بخش پنجم • در اين بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروري بر بخشهاي دوم تا چهارم اين گزارش فني، تکنيکهاي تامين امنيت ارتباطات از قبيل شبکههاي خصوصي مجازي، امنيت در گذرگاهها، تشخيص تهاجم و کدهاي مخرب، ارائه شده است. ريحانه رفيع زاده
شبنم قریشیان مهندسي امنيت
تعريف مهندسي امنيت شبنم قریشیان • مهندسي امنيت مجموعه فعاليتهايي است كه براي حصول و نگهداري • سطوح مناسبي از: - محرمانگي (Confidentiality) -صحت (Integrity) -قابليت دسترسي (Availability) - حساب پذيري (Accountability) -اصالت (Authenticity) و - قابليت اطمينان (Reliability) به صورت قاعده مند در يك سازمان انجام ميشود.
تعريف مهندسي امنيت شبنم قریشیان • محرمانگي: اطلاعات براي افراد، موجوديتها يا فرآيندهايغيرمجاز در دسترس قرار نگيرد يا افشا نشود. • صحت : صحت سيستم و صحت داده • صحت داده: داده ها به صورت غير مجاز تغيير پيدا نكنند يا از بين نروند. صحت سيستم: فعاليتهاي مورد انتظار از سيستم بدون عيب و خالي از دستكاري هاي غير مجاز ( تعمدي يا تصادفي) در سيستم انجام شود. • اصالت: هويت واقعي يك موجوديت با هويت مورد ادعا يكسان باشد.
تعريف مهندسي امنيت شبنم قریشیان • قابليت دسترسي: منابع براي يك موجوديتمجاز در هنگام نيازدر دسترس و قابل استفاده باشد. • حساب پذيري: فعاليتهاي موجوديتها در سيستم اطلاعاتي به صورت جداگانه قابل رديابي و بررسي باشد. • قابليت اعتماد: سازگار بودن رفتارها و نتايج مورد انتظار
اصول مهندسي امنيت شبنم قریشیان • امنيت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزه هاي • مختلف دانش است. • امنيت هر سيستم تعريف مخصوص به خود دارد. • امنيت ابزاري براي رسيدن به هدف سيستم است. • امنيت نسبي است.
اصول مهندسي امنيت شبنم قریشیان • امنيت سيستم يك طرح يكپارچه و جامع ميطلبد. • حيطة مسئوليتها و مقررات امنيتي بايد كاملاً شفاف و غيرمبهم باشد. • طرح امنيتي بايد مقرون به صرفه باشد. • امنيت هر سيستم توسط عوامل اجتماعي محدود ميشود. • امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد.
چرخه ی حیات مهندسی امینت شبنم قریشیان جنبههايسازماني خط مشي امنيت IT مديريت مخاطرات پيادهسازي روشهاي دفاعي پيگيري
تهية خط مشي امنيت IT جنبههاي تشكيلاتي امنيت IT مديريت امنيت IT پيادهسازي روشهاي دفاعي آگاهيرساني امنيتي پيگيري مراحل چرخه ی حیات مهندسی امینت شبنم قریشیان
تهية خط مشي امنيت IT جنبههاي تشكيلاتي امنيت IT مديريت امنيت IT پيادهسازي روشهاي دفاعي آگاهيرساني امنيتي پيگيري مراحل تهية خط مشي امنيت IT شبنم قریشیان
تهية خط مشي امنيت IT شبنم قریشیان براي ايجاد امنيت در يك سازمان، اولين قدم تدوين اهداف، استراتژي و خط مشي امنيتي سازمان است. • اهداف (Objectives) • استراتژي (Strategy) • خط مشي (Policy)
اهداف، استراتژي و خط مشي سازمان اهداف، استراتژي و خط مشي امنيتي سازمان اهداف، استراتژي و خط مشي امنيت IT سازمان اهداف، استراتژي و خط مشي مالي سازمان اهداف، استراتژي و خط مشي امنيت پرسنل سازمان اهداف، استراتژي و خط مشي سيستم (1) IT اهداف، استراتژي و خط مشي سيستم (n) IT سلسله مراتب اهداف، استراتژي و خط مشي شبنم قریشیان
تهية خط مشي امنيت IT جنبههاي تشكيلاتي امنيت IT مديريت امنيت IT پيادهسازي روشهاي دفاعي آگاهيرساني امنيتي پيگيري مراحل جنبههاي تشكيلاتي امنيت IT شبنم قریشیان
جنبههاي تشكيلاتي امنيت IT شبنم قریشیان مدیریت سازمان دستورالعملها و خطمشي امنيتي ITسازمان متصدي امنيتسازمان دستورالعملها و خطمشي زیربخش IT متصدي امنيتIT متصدي امنيتزير بخش دستورالعملها و خطمشي امنیتی IT سیستم 1 متصدي امنيتسيستم
تهية خط مشي امنيت IT جنبههاي تشكيلاتي امنيت IT مديريت امنيت IT پيادهسازي روشهاي دفاعي آگاهيرساني امنيتي پيگيري مراحل مديريت امنيت IT الهام سوهان کار
مديريت امنيت IT الهام سوهان کار مديريت امنيت اطلاعات بخشي از مديريت اطلاعات است كه وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اين اهداف و ارائه راهكارهاي لازم را بر عهده دارد. همچنين مديريت امنيت وظيفه پياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهايت بايد تلاش كند تا سيستم را هميشه روزآمد نگه دارد.
مديريت امنيت IT الهام سوهان کار مدیریت امنیت IT شامل موارد زیر است: • مدیریت پیکربندی • مديريت تغييرات • مديريت مخاطرات