استاندارد مدیریت امنیت اطلاعات iso 2700x

1

ارائه دهنده: حسین محمدحسن زاده

1392 اردیبهشت 24

H.M.Hassanzade, [email protected]

استاندارد مدیریت امنیت اطالعات ISO 2700X

H.M.Hassanzade, [email protected] 2

دارائی چیست؟.هر چیزی که برای سازمان دارای ارزش می باشد•

انواع دارايی ها: •دارایی های اطالعاتی•مستندات کاغذی•دارایی های نرم افزاری•دارایی های فیزیکی•منابع انسانی•وجهه و شهرت سازمان•سرویس ها•


اطالعات چيست؟ داده های پردازش شده که مبنایی برای تص7میم گیری می باشند.• است كه همانن7د سایر دارایی های مهم برای دارای7یاطالعات یك •

است.اساسییك سازمان بسیار فعالیت ه7ای کاری

بدون محافظت از اطالعات ممکن است: • کاهش یابد.محرمانگی • شود. دستکاری بدون دانش )عمدی یا غیرعمدی( •پاک شده یا از بین برود. جبران ناپذیری به صورت •شود.غیرقابل دسترس •


مثال هایی از اطالعات کاغذی•

مستندات•مراسالت متداول•رسانه های الکترونیکی •

سوابق پایگاه داده•ایمیل ها••CD ROM ،ها DVD ROM... ها، نوارها و فیلم ها • مکالمات•

اطالعات بیان شده به مشتری•اطالعات بیان شده در جلسات•


چرا به امنیت اطالعات نیاز داریم؟ برای سازمان ها و کسب و اطالعاتبه طور جهانی پذیرفته شده است که •

استحیاتیکار ها اطالعات سازمان دسترس پذیری و یکپارچگی، محرمانگینیاز است با حفظ •

و مشتری، تداوم کسب و کار•مزیت رقابتی•درآمد نقدی•کاهش خسارات وارده به کسب و کار•سودآوری•افزايش ارزش افزوده •

.فراهم آید


امنیت اطالعاتاطالعات می بایست به صورت امن:•

ایجاد شود•استفاده شود•ذخیره شود•انتقال داده شود•

امنیت شامل:•امنیت محصول•امنیت فنآوری اطالعات•امنیت سازمانی•


ISO 2700Xچیست؟ قابل استفاده در تمامی بخش های صنعت و تجارت•نمی شودمحدود به اطالعات سیستم های الکترونیکی •هر گونه اطالعات را در هر فرم پشتیبانی می کند•

مستندات•ارتباطات•مکالمات•پیام ها•تصاویر•و ...•


ISO 2700X CERTIFICATIONمزایای گواهینامه

و به خوبی پیاده سازی ، شناسایی امنیت اطالعاتنشان می دهد •شده استکنترل

قانع می شوند که ذینفعان و شرکای تجاری، کارمندان، مشتریان• استایمناطالعات و سیستم های مدیریتی شما

می آورداعتماد و اعتباربه همراه خود •صرفه جویی – حتی کوچکترین نشت اطالعات، می تواند هزینه •

سنگینی به همراه داشته باشد تمامی سطوح سازمان در الزام به امنیت اطالعاتنشان می دهد که •

برقرار است


ISO 2700Xاهداف کنترلی در تعدادی کنترل و اهداف کنترلی را شامل می شود27001 ایزو • اهداف کنترلی عبارتند از:•

خطی مشی های امنیتی• امنیت سازمانی• طبقه بندی و کنترل دارائی• امنیت پرسنل• امنیت فیزیکی و محیطی• مدیریت ارتباطات و عملیات• کنترل دسترسی• توسعه و نگهداری سیستم• مدیریت حوادث•مدیریت تداوم کسب و کار•انطباق با الزامات قانونی•

ارائه شده استISO IEC 27002 استاندارد 15 تا 5 این کنترل ها در بخش های •


اهداف کنترلیخط مشی امنیتی -5

- خط مشی امنیت اطالعات1-5الف-امنیت اطالعاتسند خط مشی -5-1-1

خط مشی امنیت اطالعاتبازنگری -5-1-2


اهداف کنترلیخط مشی امنیتی -5

(Policies خطی مشی )• احکام سطح باال که مدیران را به هنگام تصمیم گیری، در زمان حال یا آینده، •

راهنمایی می کند.(Standard استاندارد )•

بیان نیازمندی هایی که جزئیات تکنیکی اعمال خطی مشی را فراهم می آورند•(Guidelineرهنمون )•

ویژگی های اختیاری، اما توصیه شده!•


اهداف کنترلیخط مشی امنیتی -5Access to

network resource will be granted

through a unique user ID and password

Passwords should include one non-alpha and not found in dictionary

Passwords will be 8

characters long


)ادامه(اهداف کنترلی

امنیت اطالعات سازمان -6- سازمان داخلی1-6الف-

به امنیت اطالعاتتعهد مدیریت -6-1-1 امنیت اطالعاتهماهنگی -6-1-2

های امنیت اطالعاتتخصیص مسئولیت -6-1-3پردازش اطالعات برای امکانات مجازسازیفرآیند -6-1-4

محرمانگیتوافق نامه -6-1-5برقراری ارتباط با اولیای امور -6-1-6

برقراری ارتباط با گروه های دارای گرایش خاص -6-1-7بازنگری مستقل امنیت اطالعات -6-1-8

- طرف های بیرونی2-6الف-مرتبط با طرف های بیرونیشناسایی مخاطرات -6-2-1

مشتریانهنگام سر و کار داشتن با نشانی دهی امنیت -6-2-2شخص ثالثدر توافق نامه های نشانی دهی امنیت -6-2-3



- مدیریت دارایی7- مسئولیت دارایی ها7-1

- سیاهه اموال7-1-1- مالکیت دارایی ها7-1-2- استفاده پسندیده از دارایی ها7-1-3

- طبقه بندی اطالعات7-2- خطوط راهنمای طبقه بندی7-2-1- عالمت گذاری و اداره کردن اطالعات7-2-2



- امنیت منابع انسانی8پیش از اشتغال- 8-1

- نقش ها و مسئولیت ها8-1-1- گزینش8-1-2- ضوابط و شرایط استخدام8-1-3

حین خدمت- 8-2- مسئولیت های مدیریت8-2-1- آگاه سازی، تحصیل و آموزش امنیت اطالعات8-2-2- فرآیند انضباطی8-2-3

خاتمه استخدام یا تغییر در شغل- 8-3- مسئولیت های خاتمه خدمت8-3-1- عودت دارایی ها8-3-2- حذف حقوق دسترسی8-3-3



- امنیت فیزیکی و محیطی9- امنیت تجهیزات9-2

- استقرار و حفاظت تجهیزات9-2-1- امکانات پشتیبانی9-2-2- امنیت کابل کشی9-2-3- نگهداری تجهیزات9-2-4- امنیت تجهیزات خارج از ابنیه9-2-5- امحاء یا استفاده مجدد از تجهیزات به صورت 9-2-6

ایمن- خروج دارایی9-2-7

- نواحی امن9-1- حصار امنیت فیزیکی9-1-1- کنترل های مداخل فیزیکی9-1-2- ایمن سازی دفاتر، اتاق ها و امکانات9-1-3- محافظت در برابر تهدیدهای بیرونی و 9-1-4

محیطی- کار در نواحی امن9-1-5- دسترسی عمومی، نواحی تحویل و بارگیری9-1-6



- مدیریت ارتباطات و عملیات10عملیاتی و مسئولیت هاروش های اجرایی - 10-1

شخص ثالثمدیریت ارائه خدمت -10-2و پذیرش سیستمطرح ریزی -10-3

کدهای مخرب و سیار در برابر حفاظت -10-4پشتیباننسخ -10-5

شبکهمدیریت امنیت -10-6سازیمحیط های ذخیره مدیریت -10-7

اطالعاتتبادل -10-8تجارت الکترونیکخدمات -10-9

پایش -10-10



-کنترل دسترسی11 کسب و کار برای کنترل دسترسیالزامات -11-1

دسترسی کاربرمدیریت -11-2 های کاربرمسئولیت -11-3

دسترسی به شبکهکنترل -11-4دسترسی به سیستم عاملکنترل -11-5

برنامه های کاربردی و اطالعات- کنترل دسترسی به 11-6و کار از راه دورمحاسبه سیار -11-7



- اکتساب، توسعه و نگهداری سیستم های اطالعاتی12- الزامات امنیتی سیستم های اطالعاتی12-1- پردازش صحیح در برنامه های کاربردی12-2- کنترل های رمزنگاری12-3- امنیت پرونده های سیستم12-4- امنیت در فرآیند های توسعه و پشتیبانی12-5- مدیریت آسیب پذیری فنی12-6



- مدیریت حوادث امنیت اطالعات13 - گزارش دهی وقایع و ضعف های امنیت اطالعات13-1

- گزارش دهی وقایع امنیت اطالعات13-1-1- گزارش دهی ضعف های امنیتی13-1-2

- مدیریت حوادث و بهبود های امنیت اطالعات13-2- مسئولیت ها و روش های اجرایی13-2-1- یادگیری از حوادث امنیت اطالعات13-2-2- گردآوری شواهد13-2-3



- مدیریت تداوم کسب و کار14- جنبه های امنیت اطالعات مدیریت تداوم کسب وکار14-1

- لحاظ کردن امنیت اطالعات در فرآیند مدیریت تداوم کسب و کار14-1-1- تداوم کسب و کار و برآورد مخاطرات14-1-2- ایجاد و پیاده سازی طرح های تداوم دربرگیرنده امنیت اطالعات 14-1-3- چارچوب طرح ریزی تداوم کسب و کار14-1-4- آزمایش، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار14-1-5

- انطباق15- انطباق با الزامات قانونی15-1- انطباق با خط مشی ها و استانداردهای امنیتی و انطباق فنی15-2- مالحظات ممیزی سیستم های اطالعاتی 15-3


در سازمان27001پیاده سازی توسعه یک سیستم مدیریت امنیت اطالعات که الزامات و ک|نترل های ایزو

: را برآورده سازد، شامل سه گام کلی زیر می شود27001

مدیریتی برای اطالعاتچارچوب ساخت یک • تنظیم جهات و اهداف امنیت اطالعات•تعریف یک خطی مشی که الزامات مدیریتی را به همراه داشته باشد•

ریسک های امنیتی شناسایی و ارزیابی •معرفی مناسب ترین عمل مدیریتی• تشخیص اولویت های مدیریت امنیت اطالعات•

کنترل ها انتخاب و اجرای • نیاز است که کنترل ها تضمین دهند ریسک به سطح مورد پذیرش کاهش یافته و •

اهداف سازمان برآورده می شود کنترل ها در قالب خطی مشی ها، فرآیند ها و ساختار سازمانی و توابع نرم •

افزاری ارائه می شوند

بیانیه کاربست پذیری23

در سازمان27001پیاده سازی ISMS تعریف دامنه و مرزهای گام

ISMSدامنه 1

ISMS تعریف خطی مشی

تعریف رویکرد برآورد مخاطرات

شناسایی مخاطرات

تحلیل و ارزیابی مخاطرات

شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات

انتخاب کنترل ها و اهداف کنترلی

کسب مجوز برای مخاطرات باقی مانده پیشنهادشده

کسب مجوز مدیریت برای پیاده ISMSسازی

تهیه بیانیه کاربست پذیری

گام 2

گام 3

گام 4

گام 5

گام 6

گام 7

گام 8

گام 9

گام 10

ISMSخط مشی

مستندات رویکرد برآورد مخاطرات

لیستی از تهدیدها، آسیب پذیری ها و آسیب ها

گزارشی از آسیب های کسب وکار و احتمال آنها

طرح برطرف سازی مخاطرات

لیستی از اهداف کنترلی و کنترل ها

سوابق مخاطرات باقی مانده تأیید شده

مجوز مدیریت برای پیاده سازی ISMS


ISMS؛ تعریف دامنه و مرزهای 1گام

قانون گذاران

نبازدیدکنندگا

پیمانکاران

مشتریان

خارج سازمان - داخل دامنه

داخل سازمان - خارج دامنه

داخل سا7زمان - داخل دامنه

مناب7ع انسان

ی

مالی

بازرگانی

مشاور امنیت

اجرایی

طرح و برنامه

خرید و تدارکا

ت

مدیریت


ISMS؛ تعریف خطی مشی 2گام

در اصول امنیت اطالعات و اهداف کالن ، امنیت اطالعاتتعریفی از •راستای راهبرد و اهداف کسب و کار.

شرح مختصری از خط مشی های امنیتی، اصول، استانداردها و •برآوردسازی الزاماتی که مشخصاً برای سازمان اهمیت دارند، شامل:

انطباق با مراجع قانونی، قوانین و الزامات قراردادی•الزامات کسب وکار•

هماهنگ با مدیریت مخاطرات و معیار پذیرش آن.•ارجاعاتی به مستندسازی که ممکن است پشتیبان خط مشی باشند.•

27

؛ شناسایی مخاطرات4گام آسیب معین، از تهدیدعامل بالقوه ای است که یک مخاطره، •

به گونه ای بهره جویی نماید که باعث از دست رفتن پذیری ها یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیر مستقیم به سازمان آسیب

رساند.

احتمال اینکه یک تهدید امنیتی خاص بخواهد از یک مخاطره، •آسیب پذیری خاص بهره جویی کند.

احتمال وقوع یک حادثه امنیتیمخاطره، •H.M.Hassanzade, [email protected]

28

؛ تحلیل و ارزیابی مخاطرات5گام هدف: برآورد نهایی مخاطرات )محاسبه ریسک(•

بستگی به رویکرد ارزیابی مخاطرات برگزیده توسط سازمان •دارد.

نمونه هایی از نحوه محاسبه ریسک )خطر(:• × احتمالارزش نهایی•محرمانگی × احتمال•یکپارچگی × احتمال•دسترس پذیری × احتمال•


29

؛ شناسایی و ارزیابی گزینه های 6گام برطرف سازی مخاطرات

مدیریت و برطرف سازی مناسب مخاطرات در زمینه کسب و •کار، شامل:

(Applyبکارگرفتن کنترل های مناسب )•(Acceptپذیرش مخاطرات )•(Avoidاجتناب )حذف( از مخاطرات )•(Transferانتقال مخاطرات )•


30

؛ انتخاب کنترل ها و اهداف کنترلی7گام انتخاب و پیاده سازی کنترل ها و اهداف کنترلی•

جهت برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و •فرآیند برطرف سازی مخاطرات

در نظر گرفتن•معیاری برای پذیرش مخاطرات•الزامات قراردادی، قانونی و آیین نامه ای•کنترل ها و اهداف کنترلی برگزیده•


31

؛ کسب مجوز مدیریت برای مخاطرات باقی 8گام مانده پیشنهاد شده

ارزیابی میزان کاهش مخاطرات توسط کنترل ها•پیاده سازی کنترل های بیشتر•امکان مجبور شدن به•

پذیرش•اجتناب•انتقال•

برای مخاطرات باقی مانده پیشنهاد مصوبه مدیریت کسب •شده


32

ISMS؛ کسب مجوز مدیریت برای پیاده سازی 9گام

شده ای که اهداف کنترلی و کنترل های مستند تعریف: بیانیه •مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطالعات

سازمان را تشریح می کند. یک بیانیه کاربست پذیری شامل موارد ذیل می باشد:•

اهداف کنترلی و کنترل های برگزیده و دالیل انتخاب آنها. • اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند.• ک|نارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه •

کنارگذاری آنها.


؛ تهیه بیانیه کاربست پذیری10گام

33

کلیدهای موفقیتتعهد و الزام مدیریت به مشارکت•

پشتیبانی مدیریت ارشد کافی نیست، بلکه بایستی مشارکت فعال •داشته باشد

این مشارکت، همکاری تمامی سطوح پایین تر را به همراه خواهد •داشت

ISMSهدف گذاری کارا در •الزم است که هوشمندانه، حوزه پروژه محدود شود•در غیر این صورت، پروژه به یک »اقیانوس جوشان« تبدیل خواهد شد•آموزش و انتقال دانش•

با درگیر کردن کارمندان مورد هدف در امر توسعه، تعداد ذینفع|ان •افزایش می یابد

همچنین ارزش کار انجام شده بهتر درک می شود•



پایان

استاندارد مدیریت امنیت اطلاعات iso 2700x

Documents