ISMSضرورت پیاده سازی

محمّد بیات

1394زمستان

مقدمه

بربتنیمیکپارچههایسیستمسمتبهرووشستهایجزیرههایفعالیتازدستشدن،مکانیزهتمامبهرودنیایدربشر.استآوردهدادههایپایگاهواطالعاتتبادل

کارشناسانیابد،میافزایشلحظههرکهپیشرفتسرعتاینباITامنیتبحرانعنوانبااندشدهجدیدیبازیدرگیر.اطالعات

؟؟؟!!!پیشرفت یا تهدید = ITتوسعه

مقدمه

شودمیاستفادهافزارسختوسالحاز:سختجنگ.

ویاطالعاتکارهایازترکیبیشاهدکه:سختنیمهجنگ.هستیمتسلیحاتکاربردهمراهبهروانیعملیات

افکاردهیجهتروانی،عملیاتکاربردکه:نرمجنگحداقلیااستفادهبدونهاساختزیرتخریبعمومی،گی،فرهنهایمولفهازاستفادهباوتسلیحاتازاستفاده.استغیرهواقتصادی

مفهوم کلی پدافند

کاهشیاوکردنخنثیدفع،معنیبه

دشمن،آفندیاقداماتتأثیردادن

ازممانعتوپذیریآسیبکاهش

.باشدمیخوداهدافبهویدستیابی

پدافند غیر عامل

باوودهنبافزارجنگبکارگیریمستلزمکهمی‌گردداطالقاقداماتیمجموعهبه

وحیاتیتأسیساتوتجهیزاتبهمالیخساراتورودازمی‌توانآناجرای

نایمیزانیاونمودهجلوگیریانسانیتلفاتونظامیغیرونظامیحساس

.دادکاهشممکنحداقلبهراتلفاتوخسارات

غيرعاملاهداف كلي پدافند

پایداری،، ایمني امنیت : پدافند غیر عامل

یدسترسسهولتواطالعاتمحرمانگیتمامیت،صحت،حقوق،حفظازاستعبارت:امنیت

.مجاز

سات،تأسیوساختمان‌هاها،ساختزیرانسانی،نیرويسالمتوحفظازاستعبارت:ایمنی

.زنندهبرهمومخرّباتفاقاتمقابلدرکشوراطالعاتوافزارنرمافزار،سختتجهیزات،

شرایطتمامدرخدماتوهافعالیتاستمرارحفظ:پایداري.

جنگ های پيش رو ، جنگ های دانش پایه

یفناورتاریخهمانجنگتاریخ:کوبرنجان

.است

راخودبهمخصوصجنگیهایشیوهعصریهر

.استداشته

فرماندهیهایسامانهعصرحاضر،کلیدیافزارجنگ

.استهوشمنداطالعاتوارتباطاتکنترلو

اطالعاتامنيت چالش های نسازمامدیرانبیندراطالعاتامنیتبهتوجهعدم.

مخاطرهبهازناشیهایآسیبمیزانازآگاهینا.سازماندراطالعاتامنیتافتادن

هایداراییوامنیتیتجهیزاتاطالعاتسرریز.اطالعاتی

نوعیمصهوشبکارگیریوحمالتشدنترپیشرفته.سایبریحمالتدر

امنیتیحوادثسریعشناساییبهنیاز.

امنیتیحوادثبرابردرمناسبواکنش.

حمالت از داخل سازمان

36%

25%

12%

11%

10% 6%

2009درصد‌حمالت‌از‌داخل‌سازمان‌در‌سال‌

None 1-20% 21-40% 41-60% 61-80% 81-100%

51%

25%

4%

5%

7%

8%

2012درصد‌حمالت‌از‌داخل‌سازمان‌در‌سال‌

None 1-20% 21-40% 41-60% 61-80% 81-100%

هزینۀ آموزش پرسنل سازمان

13%

5%4%

5%

12%

19%

42%

درصد‌هزینه‌های‌صورت‌گرفته‌جهت‌آموزش‌

2008پرسنل‌در‌زمینه‌امنیت‌اطالعات‌در‌سال‌

Unknown

More than 10%

8-10%

6-7%

3-5%

1-2%

Less than 1%

6%8%

12%

8%

28%

20%

18%

درصد‌هزینه‌های‌صورت‌گرفته‌جهت‌آموزش‌

2012پرسنل‌در‌زمینه‌امنیت‌اطالعات‌در‌سال‌

Unknown

More than 10%

8-10%

6-7%

3-5%

1-2%

Less than 1%

اموشخكهمي شودمحسوبامنواقعيمعنيبهسيستميتنهاگاوصندوقیکداخلشده،كشيدهبرقاتصالازبوده،

وباشدهشددفنبتنيبونکریکدرشده،دادهقرارتيتانيوميصورمحزبدهمحافظينواعصابكشندهگازهایباآنپيرامون

!!!باشدشده

.حتي با این شرایط ، حاضر نيستم روی امنيت این سيستم شرط بندی كنم

گن‌اسپافوردپردو‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌سازمان‌مدیر‌بخش‌عملیات‌کامپیوتری‌و‌تکنولوژی‌امنیت‌

تداوم امنيت/ امنيتمين أت

یعنیامنیتمینأت...

.یمدهکاهشراماندهباقیریسکمیزانودادهافزایشراهاسیستموارتباطاتاطالعات،امنیتسطح•

امنیتتداوم...

.نیابدکاهشامنیتسطحزمان،گذشتباکهبنحوی،یمباشداشتهراجدیدحمالتوتهدیدهابامقابلهامکان•

واطالعاتبازیابیزمانخسارت،بروزصورتدروباشدحداقلواردههایخسارتمخاطره،بروزصورتدر•

.برسانیمحداقلبهراهاسیستماحیاء

راهکار چيست؟؟؟

هشبکمختلفهایالیهدرامنیتیراهکارهایبکارگیری

بردنباالبرایحیاتیونیازموردتجهیزاتازاستفادهتهدیداتبامقابلهوامنیت

ناهنجاری‌هاوامنیتیرویدادهایشناسایی

امنیتیابزارهایازاطالعاتجمع‌آوری

لفمختسطوحدربالدرنگصورتبهگزارشارائهوتولید

امنیتیوضعیتازجامعومتحدتصویریارائهوتهیهشبکه

شبکهامنیتیوقایعساعته24کنترلومانیتورینگ

حمالتهنگامدرمناسبواکنشانجام

سطوح امنیت

(ISMS)سیستم مدیریت امنیت اطالعات

اجرا،سازي،پيادهيس،تاسبهكاري؛هايريسكبرمبتنيكهاستسازمانمديريتيسيستمازقسمتي.نمايدمياقداماطالعاتامنيتبهبودونگهداريبازبيني،مانيتورينگ،

ها،رويهها،ئوليتمسها،فعاليتطراحيها،سياستسازماني،ساختارشاملمديريتي؛سيستم:توجه.استمنابعوفرآيندها

شناسایی و واکنش مناسب در برابر تهدیدهای

به روز

مقاوم سازی زیرساختهای

فناوری براساس تهدیدهای جدید

باال بردن دانش و امنیت

نقاط پایانی

راه اندازی یا ارتباطت و با مراکز پایش امنیمرکز عملیات

(SOC)امنیت

سازماندر ISMSاهداف كلي از استقرار

طراحی و پیاده سازی امن

ساختارهای موجود در دنیای سایبر

ISMSگام های پیاده سازی

چرخهگیریشکلنحوهوسازیایمنمراحلتعیین.امنیت

ازمرحلههردراستفادهموردهایتکنیککردنمشخص.آنجزئیاتوسازیایمن

دهشتدوینهایبرنامهوهاطرحوامنیتیمشیخطتهیۀ.زمینهایندرسازماننیازموردو

،راتمخاطبابرخوردکارهایراهتدوینوارزیابیشناسایی(Risks)سازماندر.

سیاستگذاریتشکیالتایجادنحوهونیازهاتعریف،.(فتاا)اطالعاتتبادلفضایامنیتزمینهدرفنیواجرائی

ازحفاظتبراینیازموردامنیتیهایکنترلتعیین.ارتباطیواطالعاتیهایسیستم

اطالعاتاجرایی سیستم مدیریت امنیت ۀچرخ

اطالعاتفاكتورهاي اصلي امنيت

محرمانگی(Confidentiality)

افرادتوسطفقطاطالعاتمشاهدهازاطمینان•مجاز

پذیریدسترس(Availability)

واطالعاتبهمجازافراددسترسیازاطمینان•نیاززماندرمنابعسایر

یکپارچگییاصحت(Integrity)

محلدراطالعاتتغییرعدمازاطمینان•پردازشنوعهریاانتقالمسیرذخیره‌سازی،

دیگر

اطالعاتفاكتورهاي جانبي امنيت

هویتتصدیق:

یدسترسازقبلسیستم،یاشخصهویتازاطمینان•اطالعاتبه

پاسخ‌گوئی:

تمسیسیاشخصعملکردسوابقاستنادقابلثبت•پی‌گیری‌جهت

انکارعدم:

شخصعملکردانکارامکانعدمازاطمینان•

خصوصیحریم:

ضوابططبقافراد،خصوصیحریمرعایتازاطمینان•

در یک ممیزی فنی امنیت اطالعاتگیرند؟؟؟چه شاخه هایی باید مورد بررسی قرار

فیزیکیامنیتارزیابی

مربوطهیسرویس‌هاوشبکهامنیتارزیابی

دامینتحتهایسرویسوعاملسیستمارزیابی

سیمبیشبکه‌هایامنیتارزیابی

اجتماعیمهندسیوپرسنلیامنیتارزیابی

دادهپایگاهوکاربردیبرنامه‌هایامنیتارزیابی

اینترنتیسرویس‌هایوارتباطاتامنیتارزیابی

امنیتیسیستم‌هایمدیریتارزیابی

امنیت اطالعاتسیستم عوامل تاثیرگذار در کیفیت پیاده سازی

سازمانارشدمدیریتحمایت

امنیتسازیپیادهگسترۀ

سازمانشرایطبهتوجهباپیاده‌سازیمتدولوژینوع

استانداردمقوله‌بهفرآیندینگرشISMS

سازمانبلوغسطح

مدیرانوکارکنانبومیفرهنگ•

سازماندرجدیدامکاناتوتکنولوژیازاستفادهمیزان•

سازیفرهنگوگذشتهتجربیات•

شمااز توجّه با سپاس فراوان