ضرورت پیاده سازی isms
TRANSCRIPT
ISMSضرورت پیاده سازی
محمّد بیات
1394زمستان
مقدمه
بربتنیمیکپارچههایسیستمسمتبهرووشستهایجزیرههایفعالیتازدستشدن،مکانیزهتمامبهرودنیایدربشر.استآوردهدادههایپایگاهواطالعاتتبادل
کارشناسانیابد،میافزایشلحظههرکهپیشرفتسرعتاینباITامنیتبحرانعنوانبااندشدهجدیدیبازیدرگیر.اطالعات
؟؟؟!!!پیشرفت یا تهدید = ITتوسعه
مقدمه
شودمیاستفادهافزارسختوسالحاز:سختجنگ.
ویاطالعاتکارهایازترکیبیشاهدکه:سختنیمهجنگ.هستیمتسلیحاتکاربردهمراهبهروانیعملیات
افکاردهیجهتروانی،عملیاتکاربردکه:نرمجنگحداقلیااستفادهبدونهاساختزیرتخریبعمومی،گی،فرهنهایمولفهازاستفادهباوتسلیحاتازاستفاده.استغیرهواقتصادی
مفهوم کلی پدافند
کاهشیاوکردنخنثیدفع،معنیبه
دشمن،آفندیاقداماتتأثیردادن
ازممانعتوپذیریآسیبکاهش
.باشدمیخوداهدافبهویدستیابی
پدافند غیر عامل
باوودهنبافزارجنگبکارگیریمستلزمکهمیگردداطالقاقداماتیمجموعهبه
وحیاتیتأسیساتوتجهیزاتبهمالیخساراتورودازمیتوانآناجرای
نایمیزانیاونمودهجلوگیریانسانیتلفاتونظامیغیرونظامیحساس
.دادکاهشممکنحداقلبهراتلفاتوخسارات
غيرعاملاهداف كلي پدافند
پایداری،، ایمني امنیت : پدافند غیر عامل
یدسترسسهولتواطالعاتمحرمانگیتمامیت،صحت،حقوق،حفظازاستعبارت:امنیت
.مجاز
سات،تأسیوساختمانهاها،ساختزیرانسانی،نیرويسالمتوحفظازاستعبارت:ایمنی
.زنندهبرهمومخرّباتفاقاتمقابلدرکشوراطالعاتوافزارنرمافزار،سختتجهیزات،
شرایطتمامدرخدماتوهافعالیتاستمرارحفظ:پایداري.
جنگ های پيش رو ، جنگ های دانش پایه
یفناورتاریخهمانجنگتاریخ:کوبرنجان
.است
راخودبهمخصوصجنگیهایشیوهعصریهر
.استداشته
فرماندهیهایسامانهعصرحاضر،کلیدیافزارجنگ
.استهوشمنداطالعاتوارتباطاتکنترلو
اطالعاتامنيت چالش های نسازمامدیرانبیندراطالعاتامنیتبهتوجهعدم.
مخاطرهبهازناشیهایآسیبمیزانازآگاهینا.سازماندراطالعاتامنیتافتادن
هایداراییوامنیتیتجهیزاتاطالعاتسرریز.اطالعاتی
نوعیمصهوشبکارگیریوحمالتشدنترپیشرفته.سایبریحمالتدر
امنیتیحوادثسریعشناساییبهنیاز.
امنیتیحوادثبرابردرمناسبواکنش.
حمالت از داخل سازمان
36%
25%
12%
11%
10% 6%
2009درصدحمالتازداخلسازماندرسال
None 1-20% 21-40% 41-60% 61-80% 81-100%
51%
25%
4%
5%
7%
8%
2012درصدحمالتازداخلسازماندرسال
None 1-20% 21-40% 41-60% 61-80% 81-100%
هزینۀ آموزش پرسنل سازمان
13%
5%4%
5%
12%
19%
42%
درصدهزینههایصورتگرفتهجهتآموزش
2008پرسنلدرزمینهامنیتاطالعاتدرسال
Unknown
More than 10%
8-10%
6-7%
3-5%
1-2%
Less than 1%
6%8%
12%
8%
28%
20%
18%
درصدهزینههایصورتگرفتهجهتآموزش
2012پرسنلدرزمینهامنیتاطالعاتدرسال
Unknown
More than 10%
8-10%
6-7%
3-5%
1-2%
Less than 1%
اموشخكهمي شودمحسوبامنواقعيمعنيبهسيستميتنهاگاوصندوقیکداخلشده،كشيدهبرقاتصالازبوده،
وباشدهشددفنبتنيبونکریکدرشده،دادهقرارتيتانيوميصورمحزبدهمحافظينواعصابكشندهگازهایباآنپيرامون
!!!باشدشده
.حتي با این شرایط ، حاضر نيستم روی امنيت این سيستم شرط بندی كنم
گناسپافوردپردوسازمانمدیربخشعملیاتکامپیوتریوتکنولوژیامنیت
تداوم امنيت/ امنيتمين أت
یعنیامنیتمینأت...
.یمدهکاهشراماندهباقیریسکمیزانودادهافزایشراهاسیستموارتباطاتاطالعات،امنیتسطح•
امنیتتداوم...
.نیابدکاهشامنیتسطحزمان،گذشتباکهبنحوی،یمباشداشتهراجدیدحمالتوتهدیدهابامقابلهامکان•
واطالعاتبازیابیزمانخسارت،بروزصورتدروباشدحداقلواردههایخسارتمخاطره،بروزصورتدر•
.برسانیمحداقلبهراهاسیستماحیاء
راهکار چيست؟؟؟
هشبکمختلفهایالیهدرامنیتیراهکارهایبکارگیری
بردنباالبرایحیاتیونیازموردتجهیزاتازاستفادهتهدیداتبامقابلهوامنیت
ناهنجاریهاوامنیتیرویدادهایشناسایی
امنیتیابزارهایازاطالعاتجمعآوری
لفمختسطوحدربالدرنگصورتبهگزارشارائهوتولید
امنیتیوضعیتازجامعومتحدتصویریارائهوتهیهشبکه
شبکهامنیتیوقایعساعته24کنترلومانیتورینگ
حمالتهنگامدرمناسبواکنشانجام
سطوح امنیت
(ISMS)سیستم مدیریت امنیت اطالعات
اجرا،سازي،پيادهيس،تاسبهكاري؛هايريسكبرمبتنيكهاستسازمانمديريتيسيستمازقسمتي.نمايدمياقداماطالعاتامنيتبهبودونگهداريبازبيني،مانيتورينگ،
ها،رويهها،ئوليتمسها،فعاليتطراحيها،سياستسازماني،ساختارشاملمديريتي؛سيستم:توجه.استمنابعوفرآيندها
شناسایی و واکنش مناسب در برابر تهدیدهای
به روز
مقاوم سازی زیرساختهای
فناوری براساس تهدیدهای جدید
باال بردن دانش و امنیت
نقاط پایانی
راه اندازی یا ارتباطت و با مراکز پایش امنیمرکز عملیات
(SOC)امنیت
سازماندر ISMSاهداف كلي از استقرار
طراحی و پیاده سازی امن
ساختارهای موجود در دنیای سایبر
ISMSگام های پیاده سازی
چرخهگیریشکلنحوهوسازیایمنمراحلتعیین.امنیت
ازمرحلههردراستفادهموردهایتکنیککردنمشخص.آنجزئیاتوسازیایمن
دهشتدوینهایبرنامهوهاطرحوامنیتیمشیخطتهیۀ.زمینهایندرسازماننیازموردو
،راتمخاطبابرخوردکارهایراهتدوینوارزیابیشناسایی(Risks)سازماندر.
سیاستگذاریتشکیالتایجادنحوهونیازهاتعریف،.(فتاا)اطالعاتتبادلفضایامنیتزمینهدرفنیواجرائی
ازحفاظتبراینیازموردامنیتیهایکنترلتعیین.ارتباطیواطالعاتیهایسیستم
اطالعاتاجرایی سیستم مدیریت امنیت ۀچرخ
اطالعاتفاكتورهاي اصلي امنيت
محرمانگی(Confidentiality)
افرادتوسطفقطاطالعاتمشاهدهازاطمینان•مجاز
پذیریدسترس(Availability)
واطالعاتبهمجازافراددسترسیازاطمینان•نیاززماندرمنابعسایر
یکپارچگییاصحت(Integrity)
محلدراطالعاتتغییرعدمازاطمینان•پردازشنوعهریاانتقالمسیرذخیرهسازی،
دیگر
اطالعاتفاكتورهاي جانبي امنيت
هویتتصدیق:
یدسترسازقبلسیستم،یاشخصهویتازاطمینان•اطالعاتبه
پاسخگوئی:
تمسیسیاشخصعملکردسوابقاستنادقابلثبت•پیگیریجهت
انکارعدم:
شخصعملکردانکارامکانعدمازاطمینان•
خصوصیحریم:
ضوابططبقافراد،خصوصیحریمرعایتازاطمینان•
در یک ممیزی فنی امنیت اطالعاتگیرند؟؟؟چه شاخه هایی باید مورد بررسی قرار
فیزیکیامنیتارزیابی
مربوطهیسرویسهاوشبکهامنیتارزیابی
دامینتحتهایسرویسوعاملسیستمارزیابی
سیمبیشبکههایامنیتارزیابی
اجتماعیمهندسیوپرسنلیامنیتارزیابی
دادهپایگاهوکاربردیبرنامههایامنیتارزیابی
اینترنتیسرویسهایوارتباطاتامنیتارزیابی
امنیتیسیستمهایمدیریتارزیابی
امنیت اطالعاتسیستم عوامل تاثیرگذار در کیفیت پیاده سازی
سازمانارشدمدیریتحمایت
امنیتسازیپیادهگسترۀ
سازمانشرایطبهتوجهباپیادهسازیمتدولوژینوع
استانداردمقولهبهفرآیندینگرشISMS
سازمانبلوغسطح
مدیرانوکارکنانبومیفرهنگ•
سازماندرجدیدامکاناتوتکنولوژیازاستفادهمیزان•
سازیفرهنگوگذشتهتجربیات•
شمااز توجّه با سپاس فراوان