590 likes | 1.15k Views
استاندارد مدیریت امنیت اطلاعات ISO 2700X . ارائه دهنده: حسین محمدحسن زاده 24 اردیبهشت 1392. دارائی چیست؟. هر چیزی که برای سازمان دارای ارزش می باشد . انواع دارايی ها: دارایی های اطلاعاتی مستندات کاغذی دارایی های نرم افزاری دارایی های فیزیکی منابع انسانی وجهه و شهرت سازمان سرویس ها.
E N D
استاندارد مدیریت امنیت اطلاعات ISO 2700X ارائه دهنده: حسین محمدحسن زاده 24 اردیبهشت 1392 H.M.Hassanzade, Hassanzade@Gmail.com
دارائی چیست؟ • هر چیزی که برای سازمان دارای ارزش می باشد. • انواع دارايی ها: • دارایی های اطلاعاتی • مستندات کاغذی • دارایی های نرم افزاری • دارایی های فیزیکی • منابع انسانی • وجهه و شهرت سازمان • سرویس ها H.M.Hassanzade, Hassanzade@Gmail.com
اطلاعات چيست؟ • داده های پردازش شده که مبنایی برای تصمیم گیری می باشند. • اطلاعات یك دارایـی است كه هماننـد سایر دارایی های مهم برای فعالیت هـای کاری یك سازمان بسیار اساسی است. • بدون محافظت از اطلاعات ممکن است: • محرمانگی کاهش یابد. • بدون دانش (عمدی یا غیرعمدی) دستکاری شود. • به صورت جبران ناپذیری پاک شده یا از بین برود. • غیرقابل دسترس شود. H.M.Hassanzade, Hassanzade@Gmail.com
مثال هایی از اطلاعات • کاغذی • مستندات • مراسلات متداول • رسانه های الکترونیکی • سوابق پایگاه داده • ایمیل ها • CD ROM ها، DVD ROM ها، نوارها و ... • فیلم ها • مکالمات • اطلاعات بیان شده به مشتری • اطلاعات بیان شده در جلسات H.M.Hassanzade, Hassanzade@Gmail.com
چرا به امنیت اطلاعات نیاز داریم؟ • به طور جهانی پذیرفته شده است که اطلاعات برای سازمان ها و کسب و کار ها حیاتی است • نیاز است با حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات سازمان و مشتری، • تداوم کسب و کار • مزیت رقابتی • درآمد نقدی • کاهش خسارات وارده به کسب و کار • سودآوری • افزايش ارزش افزوده فراهم آید. H.M.Hassanzade, Hassanzade@Gmail.com
امنیت اطلاعات • اطلاعات می بایست به صورت امن: • ایجاد شود • استفاده شود • ذخیره شود • انتقال داده شود • امنیت شامل: • امنیت محصول • امنیت فنآوری اطلاعات • امنیت سازمانی H.M.Hassanzade, Hassanzade@Gmail.com
ISO 2700X چیست؟ • قابل استفاده در تمامی بخش های صنعت و تجارت • محدود به اطلاعات سیستم های الکترونیکی نمی شود • هر گونه اطلاعات را در هر فرم پشتیبانی می کند • مستندات • ارتباطات • مکالمات • پیام ها • تصاویر • و ... H.M.Hassanzade, Hassanzade@Gmail.com
مزایای گواهینامه ISO 2700X Certification • نشان می دهد امنیت اطلاعاتشناسایی، پیاده سازی و به خوبی کنترل شده است • مشتریان، کارمندان، شرکای تجاری و ذینفعان قانع می شوند که اطلاعات و سیستم های مدیریتی شما ایمن است • به همراه خود اعتبار و اعتماد می آورد • صرفه جویی – حتی کوچکترین نشت اطلاعات، می تواند هزینه سنگینی به همراه داشته باشد • نشان می دهد که الزام به امنیت اطلاعات در تمامی سطوح سازمان برقرار است H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی در ISO 2700X • ایزو 27001 تعدادی کنترل و اهداف کنترلی را شامل می شود • اهداف کنترلی عبارتند از: • خطی مشی های امنیتی • امنیت سازمانی • طبقه بندی و کنترل دارائی • امنیت پرسنل • امنیت فیزیکی و محیطی • مدیریت ارتباطات و عملیات • کنترل دسترسی • توسعه و نگهداری سیستم • مدیریت حوادث • مدیریت تداوم کسب و کار • انطباق با الزامات قانونی • این کنترل ها در بخش های 5 تا 15 استاندارد ISO IEC 27002 ارائه شده است H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی 5- خط مشی امنیتی الف-5-1- خط مشی امنیت اطلاعات 5-1-1- سند خط مشی امنیت اطلاعات 5-1-2- بازنگری خط مشی امنیت اطلاعات H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی 5- خط مشی امنیتی • خطی مشی (Policies) • احکام سطح بالا که مدیران را به هنگام تصمیم گیری، در زمان حال یا آینده، راهنمایی می کند. • استاندارد (Standard) • بیان نیازمندی هایی که جزئیات تکنیکی اعمال خطی مشی را فراهم می آورند • رهنمون (Guideline) • ویژگی های اختیاری، اما توصیه شده! H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی Access to network resource will be granted through a unique user ID and password 5- خط مشی امنیتی Passwords will be 8 characters long Passwords should include one non-alpha and not found in dictionary H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) 6-امنیت اطلاعات سازمان الف-6-1- سازمان داخلی 6-1-1- تعهد مدیریت به امنیت اطلاعات 6-1-2- هماهنگی امنیت اطلاعات 6-1-3- تخصیص مسئولیت های امنیت اطلاعات 6-1-4- فرآیند مجازسازی برای امکانات پردازش اطلاعات 6-1-5- توافق نامه محرمانگی 6-1-6- برقراری ارتباط با اولیای امور 6-1-7- برقراری ارتباط با گروه های دارای گرایش خاص 6-1-8- بازنگری مستقل امنیت اطلاعات الف-6-2- طرف های بیرونی 6-2-1- شناسایی مخاطرات مرتبط با طرف های بیرونی 6-2-2- نشانی دهی امنیت هنگام سر و کار داشتن با مشتریان 6-2-3- نشانی دهی امنیت در توافق نامه های شخص ثالث H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 7- مدیریت دارایی • 7-1- مسئولیت دارایی ها • 7-1-1- سیاهه اموال • 7-1-2- مالکیت دارایی ها • 7-1-3- استفاده پسندیده از دارایی ها • 7-2- طبقه بندی اطلاعات • 7-2-1- خطوط راهنمای طبقه بندی • 7-2-2- علامت گذاری و اداره کردن اطلاعات H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 8- امنیت منابع انسانی • 8-1- پیش از اشتغال • 8-1-1- نقش ها و مسئولیت ها • 8-1-2- گزینش • 8-1-3- ضوابط و شرایط استخدام • 8-2- حین خدمت • 8-2-1- مسئولیت های مدیریت • 8-2-2- آگاه سازی، تحصیل و آموزش امنیت اطلاعات • 8-2-3- فرآیند انضباطی • 8-3- خاتمه استخدام یا تغییر در شغل • 8-3-1- مسئولیت های خاتمه خدمت • 8-3-2- عودت دارایی ها • 8-3-3- حذف حقوق دسترسی H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 9- امنیت فیزیکی و محیطی 9-1- نواحی امن 9-1-1- حصار امنیت فیزیکی 9-1-2- کنترل های مداخل فیزیکی 9-1-3- ایمن سازی دفاتر، اتاق ها و امکانات 9-1-4- محافظت در برابر تهدیدهای بیرونی و محیطی 9-1-5- کار در نواحی امن 9-1-6- دسترسی عمومی، نواحی تحویل و بارگیری 9-2- امنیت تجهیزات 9-2-1- استقرار و حفاظت تجهیزات 9-2-2- امکانات پشتیبانی 9-2-3- امنیت کابل کشی 9-2-4- نگهداری تجهیزات 9-2-5- امنیت تجهیزات خارج از ابنیه 9-2-6- امحاء یا استفاده مجدد از تجهیزات به صورت ایمن 9-2-7- خروج دارایی H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 10- مدیریت ارتباطات و عملیات • 10-1- روش های اجرایی عملیاتی و مسئولیت ها 10-2- مدیریت ارائه خدمت شخص ثالث 10-3- طرح ریزی و پذیرش سیستم 10-4- حفاظت در برابر کدهای مخرب و سیار 10-5- نسخ پشتیبان 10-6- مدیریت امنیت شبکه 10-7- مدیریت محیط های ذخیره سازی 10-8- تبادل اطلاعات 10-9- خدمات تجارت الکترونیک 10-10- پایش H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 11-کنترل دسترسی 11-1- الزامات کسب و کار برای کنترل دسترسی 11-2- مدیریت دسترسی کاربر 11-3- مسئولیت های کاربر 11-4- کنترل دسترسی به شبکه 11-5- کنترل دسترسی به سیستم عامل • 11-6- کنترل دسترسی به برنامه های کاربردی و اطلاعات 11-7- محاسبه سیار و کار از راه دور H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 12- اکتساب، توسعه و نگهداری سیستم های اطلاعاتی • 12-1- الزامات امنیتی سیستم های اطلاعاتی • 12-2- پردازش صحیح در برنامه های کاربردی • 12-3- کنترل های رمزنگاری • 12-4- امنیت پرونده های سیستم • 12-5- امنیت در فرآیند های توسعه و پشتیبانی • 12-6- مدیریت آسیب پذیری فنی H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 13- مدیریت حوادث امنیت اطلاعات • 13-1- گزارش دهی وقایع و ضعف های امنیت اطلاعات • 13-1-1- گزارش دهی وقایع امنیت اطلاعات • 13-1-2- گزارش دهی ضعف های امنیتی • 13-2- مدیریت حوادث و بهبود های امنیت اطلاعات • 13-2-1- مسئولیت ها و روش های اجرایی • 13-2-2- یادگیری از حوادث امنیت اطلاعات • 13-2-3- گردآوری شواهد H.M.Hassanzade, Hassanzade@Gmail.com
اهداف کنترلی (ادامه) • 14- مدیریت تداوم کسب و کار • 14-1- جنبه های امنیت اطلاعات مدیریت تداوم کسب وکار • 14-1-1- لحاظ کردن امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار • 14-1-2- تداوم کسب و کار و برآورد مخاطرات • 14-1-3- ایجاد و پیاده سازی طرح های تداوم دربرگیرنده امنیت اطلاعات • 14-1-4- چارچوب طرح ریزی تداوم کسب و کار • 14-1-5- آزمایش، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار • 15- انطباق • 15-1- انطباق با الزامات قانونی • 15-2- انطباق با خط مشی ها و استانداردهای امنیتی و انطباق فنی • 15-3- ملاحظات ممیزی سیستم های اطلاعاتی H.M.Hassanzade, Hassanzade@Gmail.com
پیاده سازی 27001 در سازمان توسعه یک سیستم مدیریت امنیت اطلاعات که الزامات و کنترل های ایزو 27001 را برآورده سازد، شامل سه گام کلی زیر می شود: • ساخت یک چارچوب مدیریتی برای اطلاعات • تنظیم جهات و اهداف امنیت اطلاعات • تعریف یک خطی مشی که الزامات مدیریتی را به همراه داشته باشد • شناسایی و ارزیابی ریسک های امنیتی • معرفی مناسب ترین عمل مدیریتی • تشخیص اولویت های مدیریت امنیت اطلاعات • انتخاب و اجرای کنترل ها • نیاز است که کنترل ها تضمین دهند ریسک به سطح مورد پذیرش کاهش یافته و اهداف سازمان برآورده می شود • کنترل ها در قالب خطی مشی ها، فرآیند ها و ساختار سازمانی و توابع نرم افزاری ارائه می شوند H.M.Hassanzade, Hassanzade@Gmail.com
پیاده سازی 27001 در سازمان دامنه ISMS تعریف دامنه و مرزهای ISMS گام 1 خط مشی ISMS تعریف خطی مشی ISMS گام 2 مستندات رویکرد برآورد مخاطرات تعریف رویکرد برآورد مخاطرات گام 3 لیستی از تهدیدها، آسیب پذیری ها و آسیب ها شناسایی مخاطرات گام 4 گزارشی از آسیب های کسب وکار و احتمال آنها تحلیل و ارزیابی مخاطرات گام 5 طرح برطرف سازی مخاطرات شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات گام 6 لیستی از اهداف کنترلی و کنترل ها انتخاب کنترل ها و اهداف کنترلی گام 7 سوابق مخاطرات باقی مانده تأیید شده کسب مجوز برای مخاطرات باقی مانده پیشنهادشده گام 8 کسب مجوز مدیریت برای پیاده سازی ISMS مجوز مدیریت برای پیاده سازی ISMS گام 9 تهیه بیانیه کاربست پذیری بیانیه کاربست پذیری گام 10
خارج سازمان - داخل دامنه داخل سازمان - خارج دامنه داخل سازمان - داخل دامنه مالی مدیریت طرح و برنامه قانون گذاران اجرایی پیمانکاران مشاور امنیت منابعانسانی بازرگانی خرید و تدارکات مشتریان بازدیدکنندگان گام 1؛ تعریف دامنه و مرزهای ISMS H.M.Hassanzade, Hassanzade@Gmail.com
گام 2؛ تعریف خطی مشی ISMS • تعریفی از امنیت اطلاعات، اهداف کلان و اصول امنیت اطلاعات در راستای راهبرد و اهداف کسب و کار. • شرح مختصری از خط مشی های امنیتی، اصول، استانداردها و برآوردسازی الزاماتی که مشخصاً برای سازمان اهمیت دارند، شامل: • انطباق با مراجع قانونی، قوانین و الزامات قراردادی • الزامات کسب وکار • هماهنگ با مدیریت مخاطرات و معیار پذیرش آن. • ارجاعاتی به مستندسازی که ممکن است پشتیبان خط مشی باشند. H.M.Hassanzade, Hassanzade@Gmail.com
گام 3؛ تعریف رویکرد برآورد مخاطرات • شناسایی یک متدولوژی برآورد مخاطرات که برای سیستم مدیریت امنیت اطلاعات و امنیت اطلاعات شناسایی شده کسب وکار، الزامات قانونی و آئین نامه ای، متناسب باشد. • تصمیم گیری برای انتخاب متد، بر عهده سازمان است. مانند: روش FMEA • مقرون به صرفه • واقع بینانه • متعادل • استفاده از ابزارهای نرم افزاری مانند: VS Risk، Callio، Cobra و... H.M.Hassanzade, Hassanzade@Gmail.com
گام 4؛ شناسایی مخاطرات • مخاطره، عامل بالقوه ای است که یک تهدید معین، از آسیب پذیری ها به گونه ای بهره جویی نماید که باعث از دست رفتن یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیر مستقیم به سازمان آسیب رساند. • مخاطره، احتمال اینکه یک تهدید امنیتی خاص بخواهد از یک آسیب پذیری خاص بهره جویی کند. • مخاطره، احتمال وقوع یک حادثه امنیتی H.M.Hassanzade, Hassanzade@Gmail.com
گام 5؛ تحلیل و ارزیابی مخاطرات • هدف: برآورد نهایی مخاطرات (محاسبه ریسک) • بستگی به رویکرد ارزیابی مخاطرات برگزیده توسط سازمان دارد. • نمونه هایی از نحوه محاسبه ریسک (خطر): • ارزش نهایی×احتمال • محرمانگی×احتمال • یکپارچگی×احتمال • دسترس پذیری × احتمال H.M.Hassanzade, Hassanzade@Gmail.com
گام 6؛ شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات • مدیریت و برطرف سازی مناسب مخاطرات در زمینه کسب و کار، شامل: • بکارگرفتن کنترل های مناسب (Apply) • پذیرش مخاطرات (Accept) • اجتناب (حذف) از مخاطرات (Avoid) • انتقال مخاطرات (Transfer) H.M.Hassanzade, Hassanzade@Gmail.com
گام 7؛ انتخاب کنترل ها و اهداف کنترلی • انتخاب و پیاده سازی کنترل ها و اهداف کنترلی • جهت برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات • در نظر گرفتن • معیاری برای پذیرش مخاطرات • الزامات قراردادی، قانونی و آیین نامه ای • کنترل ها و اهداف کنترلی برگزیده H.M.Hassanzade, Hassanzade@Gmail.com
گام 8؛ کسب مجوز مدیریت برای مخاطرات باقی مانده پیشنهاد شده • ارزیابی میزان کاهش مخاطرات توسط کنترل ها • پیاده سازی کنترل های بیشتر • امکان مجبور شدن به • پذیرش • اجتناب • انتقال • کسب مصوبه مدیریت برای مخاطرات باقی مانده پیشنهاد شده H.M.Hassanzade, Hassanzade@Gmail.com
گام 9؛ کسب مجوز مدیریت برای پیاده سازی ISMS گام 10؛ تهیه بیانیه کاربست پذیری • تعریف: بیانیه مستند شده ای که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. • یک بیانیه کاربست پذیری شامل موارد ذیل می باشد: • اهداف کنترلی و کنترل های برگزیده و دلایل انتخاب آنها. • اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند. • کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آنها. H.M.Hassanzade, Hassanzade@Gmail.com
کلیدهای موفقیت • تعهد و الزام مدیریت به مشارکت • پشتیبانی مدیریت ارشد کافی نیست، بلکه بایستی مشارکت فعال داشته باشد • این مشارکت، همکاری تمامی سطوح پایین تر را به همراه خواهد داشت • هدف گذاری کارا در ISMS • لازم است که هوشمندانه، حوزه پروژه محدود شود • در غیر این صورت، پروژه به یک «اقیانوس جوشان» تبدیل خواهد شد • آموزش و انتقال دانش • با درگیر کردن کارمندان مورد هدف در امر توسعه، تعداد ذینفعان افزایش می یابد • همچنین ارزش کار انجام شده بهتر درک می شود H.M.Hassanzade, Hassanzade@Gmail.com
پایان H.M.Hassanzade, Hassanzade@Gmail.com