سرپرستی وزارت وفناوری اطلاعات به عهده چه فردی می باشد ؟
DESCRIPTION
r. سرپرستی وزارت وفناوری اطلاعات به عهده چه فردی می باشد ؟ حملاتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حملات كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد . امنيت اطلاعات به عنوان يك مبحث تكنولوژيكي مطرح است . - PowerPoint PPT PresentationTRANSCRIPT
r
سرپرستی وزارت وفناوری اطالعات به عهده چه فردی می باشد ؟
. حمالتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حمالت كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد
امنيت اطالعات به عنوان يك مبحث تكنولوژيكي مطرح است .
.هرگاه كه كارمندان داخلي ناراضي از اداره اخراج شوند ، خطرات امنيتي از بين مي روند
. دسترسي داشته باشد کاربرانهيچكس در سازمان نبايد به رمزهاي عبور، به جز مدير امنيت شبكه
امنيت داده در طول انتقال آن هدف رمزگذاري است .
.رمزگذاري بايد براي ترافيك هاي داخلي شبكه به خوبي ترافيك خروجي شبكه انجام گيرد
سمینار امنیت اطالعات با تاکید بر مباحث
امنیت شبکه
دانشگاه پیام نور دوازدهم آذر
همه ما از یک خانواده ایم
1101010001000011100000001001100110000011001110010
امنیت اطالعات
در مقابل امنیت شبکه
ام شVVنیده بارهVVا من امVنیت ارشVد، مVدیران مVVترادف را اطالعVVات
این ITامVنیت و میداننVد تلقی خVود را بVه دپارتمVان
IT.تحمیل می کنند
دپارتمVان 1 )IT Z معمVوال از درسVVVVVتی درک بازرگVVVانی موضVVVوعات
ندارند.
الزم 2 اختیVارات فاقVد )تغیVVVیرا انجVVVام بVVVرای
سودی در اختراع دوباره چرخ نیستهستند.
امنیت اطالعات...
! ؟
38505/م/86-13711بنVد هفت بخشVنامه محرمانVه شVماره معVاون اول محVترم رئيس جمهVور مبVني بVر 1386/8/10مVورخ
الVزام کليVه دسVتگاههايي کVه از شVبکه هVاي رايانVه اي اسVتفاده امVنيت اطالعVات تهيVه طVرح سيسVتم مVديريت بVه نماينVد مي
(ISMS الVان سVا پايVت )نامه 1386Vت بخشVد هشVنين بنVو همچ مزبVور مبVني بVر اينکVه کليVه دسVتگاهها موظفنVد بVا همکVاري واحVد ايجVاد حراسVت بVه نسVبت مVاه دو ، حVداکثر ظVرف حراسVت
فناوري اطالعات دستگاه خود اقدام نمايند
استانداردهای امنیت BS7799 1995اطالعات
1998 ISO/IEC 177991999 BS7799-22002 ISO/IEC 27000
استانداردهای امنیت اطالعات
ISO/IEC 27000 — Information security management systems — Overview and vocabularyISO/IEC 27001 — Information security management systems — RequirementsISO/IEC 27002 — Code of practice for information security managementISO/IEC 27003 — Information security management system implementation guidanceISO/IEC 27004 — Information security management — MeasurementISO/IEC 27005 — Information security risk managementISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27010 — Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communicationsISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuityISO/IEC 27033-1 — Network security overview and conceptsISO/IEC 27035 — Security incident managementISO 27799 — Information security management in health using ISO/IEC 27002
اساس کار PDCAچرخه ISMSPlan
Do
Check
Act
ISMSپیاده سازی
مدیریت ریسک
پذيرش كا هش
انتقال اجتناب
مدياپ
احتمال
نام آسيب پذ
يری
نام تهديدپيام
داحتمال
ريسک
آستانه پذيرش
ظرفيت سنجی نامنا
سب سخت افزارهای جديد
عدم پردازش درست داده ها M M 45 30
نگهداری نامناسب داده ها H H 66 30
آسيب رسيدن به شبکه H H 78 30
خطرافتادن فرايند خريد ه بتجهيزات سخت افزاری جديد
H H 65 30
بخطرافتادن انتخاب مناسب الزامات امنيتی برای
سخت افزار جديدH H 65 30
ناسازگاری سيستم جديد با زيرساخت سازمانی
H M 60 30
ناسازگاری نرم افزارهای موجود برروی سخت افزار جديد با
زيرساخت سازمانی H M 60 30
ارائه تائيديه های نامناسب از سوی مديريت
M M 45 30
فقدان تست سخت افزار M H 51 30
اصول امنیت اطالعات
Availability
Confidentiality
Security
Integrity
گانه11حوزه های ISO/IEC 27001
خط مشي امنيتي
حوزه هاييازده گانه
مطابقت با قوانين
مديريت تداوم كسب و كار
مديريت حوادث امنيت اطالعات
تهيه، توسعه و نگهداري سيستم
هاي اطالعاتي
سازماندهي امنيت
مديريت اطالعاتدارايي ها
امنيت منابع انساني
امنيت محيطي و
مديريت فيزيكي
عمليات و ارتباطات
كنترل دسترسي
اجزاء و ساختار تشکيالت اطالعات سازمانامنيت
در سطح سياستگذاري: کميته راهبري امنيت فضاي تبادلاطالعات
در سطح مديريت اجرائي: مدير امنيت فضاي تبادلاطالعات
در سطح فني: واحد پشتيباني امنيت فضاي تبادل اطالعات
اجزاء و ساختار تشکيالت اطالعات سازمانامنيت
مميزي دوره اي
گواهينامهپيگيري Certification Body مميزي اوليه
برآورداوليه
گواهينامه دريافت
در سطوح مختلفآموزش وآگاه سازي
مطالعات اوليه پياده سازي
شركت مشاور مميز ها
قرارداد مشاوره
گواهينامهISMS
رخدادمدیریت
مدیریت رخداد بسیار شبیه به اورژانس پزشكی
است.
مراحل کنترل رخداد رایانه ای داشتن سیاست ها، روال ها و توافق هایی كه باعث می شوند در زمان وقوع یك رخداد . آمادگی: 1
امنیتی، شما بر اساس یك سیاست مدون رفتار كرده و از تصمیمات شتابزده خودداری نمایید.
تشخیص این موضوع كه اوال آیا یك رخداد امنیتی رخ داده است یا خیر و ثانیا . شناسایی: 2
در صورت وقوع، طبیعت این رخداد چیست.
محدود كردن دامنه رخداد و جلوگیری از بدتر . كنترل و محدود سازی: 3
شدن آن است.
حذف یا كاهش عواملی كه باعث وقوع این رخداد امنیتی شده اند.. پاكسازی: 4
بازگرداندن سیستم به وضعیت عادی و كاربردی.. بازیابی: 5
یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.. پیگیری: 6
نقش عوامل انسانی در امنیت شبکه های
کامپیوتری
اشتباهات متداول:
مديران سيستم
مديران سازمان ها
کاربران معمولی
اشتباهات متداول مديران سازمان ها
مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره
مورد دوم : فقدان آگاهی الزم در رابطه با تاثير يک ضعف امنيتی بر عملکرد سازمان
مورد سوم : عدم تخصيص بودجه مناسب برای پرداختن به امنيت اطالعات
مورد چهارم : اتکاء کامل به ابزارها و محصوالت تجاری
مورد پنجم : يک مرتبه سرمايه گذاری در ارتباط با امنيت
اشتباهات متداول کاربران معمولی
مورد يک : تخطی از سياست امنينی سازمان
مورد دوم : ارسال داده حساس بر روی کامپيوترهای منزل
مورد سوم : ياداشت داده های حساس و ذخيره غيرايمن آنان
مورد چهارم : دريافت فايل از سايت های غير مطمئن
مورد پنجم : عدم رعايت امنيت فيزيکی
اشتباهات متداول مديران سيستم
مورديک : عدم وجود يک سياست امنيتی شخصی
مورد دو : اتصال سيستم های فاقد پيکربندی مناسب به اينترنت
مورد سه : اعتماد بيش از اندازه به ابزارها
( Logsمورد چهار : عدم مشاهده الگ ها )
مورد پنج : اجرای سرويس ها و يا اسکريپت های اضافه و غير ضروری
و ...
آمار حمالت در ماه اکتبر 2012
Kasperskyطبق آمار شرکت
از دیوایس های قابل حمل 71.5%در ایران دارای دچار نوعی
مخاطره هستند
StuxNetیادآور
دفاع در چند الیهاليه اول : سياست های امنيتی ، رويه ها و اطالع رسانی
اليه دوم : امنيت فيزيكی ) نظير حفاظت فيزيكی، امنیت و نظارت پیرامونی (اليه سوم : حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه
( IDS/IPSها ) نظير استفاده از فايروال ها، اليه چهارم : ايمن سازی شبكه داخلی
اليه پنجم : امنيت كامپيوترها و دستگاه های ميزبان ) ايجاد سيستم های تدافعی الزم ( اليه ششم : امنيت برنامه های كاربردی ) نصب های ايمن به همراه نصب تمامی
Service Packs و Patch محصوالت نرم افزاری موجود در سازمان به منظور پيشگيری از حمالت برنامه ريزی شده با بهره گيری از نقاط ضعف موجود (
اليه هفتم : امنيت داده ) بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های ، Backup از داده ها
و مكانيزم های الزم به منظور بازيافت اطالعات (
الزم هستند ولی کافی نه !
یک سازمان باید چگونگی محافظت از اطالعاتش را پیدا کند
ضعیف ترین حلقه در امنیت اطالعات
هستند انسان ها
سرپرستی وزارت وفناوری اطالعات به عهده چه فردی می باشد ؟
. حمالتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حمالت كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد
امنيت اطالعات به عنوان يك مبحث تكنولوژيكي مطرح است .
.هرگاه كه كارمندان داخلي ناراضي از اداره اخراج شوند ، خطرات امنيتي از بين مي روند
. دسترسي داشته باشد کاربرانهيچكس در سازمان نبايد به رمزهاي عبور، به جز مدير امنيت شبكه
امنيت داده در طول انتقال آن هدف رمزگذاري است .
.رمزگذاري بايد براي ترافيك هاي داخلي شبكه به خوبي ترافيك خروجي شبكه انجام گيرد
IPsec هدیه ای پر رمز و راز
IPsec هدیه ای پر رمز و راز
IPsecتحلیل بسته های IPsec: ESP — Encapsulating Security Payload
رمزنگاری با کلید نا متقارن
Digital signatures: Integrity in public-key systems
Active Directory
Active Directory RMS
آینده... : فناوری یک
ابزار است