طرح ابزار جامع ارزیابی امنیت سایبری و صنعتی

Slides:



Advertisements
Similar presentations
انواع اصلی عامل ها.
Advertisements

فصل 4 - توصیف نیازمندی های پروژه
فاکتورهای مهم در ایجاد یک مقاله علمی
Professor: Dr. Ahmad Abdollahzadeh Amirkabir University of Technology, Computer Engineering and Information Technology Department Intelligent Systems Laboratory.
O r g a n i z a t i o n a l b e h a v i o r e l e v e n t h e d i t i o n.
طبقه بندی تعاریف سیستم های تصمیم یار
محدثه گل پرور, ملاحت ملکی استاد راهنما : مهندس برادران هاشمی.
Decision Tree.
© 2005 Prentice Hall Inc. All rights reserved. o r g a n i z a t i o n a l b e h a v i o r e l e v e n t h e d i t i o n.
معماری DSS.
© 2005 Prentice Hall Inc. All rights reserved. o r g a n i z a t i o n a l b e h a v i o r e l e v e n t h e d i t i o n.
DSS in Actions. شرکت آتلانتیک الکتریک یک شرکت پیمانکاری سرویس دهی کامل الکتریکی برای کارهای صنعتی و تجاری است که در سال 1969 در چارلزتن تاسیس شد. یک شرکت.
فایل پردازی در C File based Programming in C. انواع فایل متنی –سرعت بالا –حجم کمتر –امکان دسترسی تصادفی –حفظ امنیت داده ها دودویی (باینری) –امکان باز.
Internet Protocol Security An Overview of IPSec. رئوس مطالب:  مشکلات امنیتی چیست؟  مفهوم TCP/IP  امنیت در چه سطحی؟  IP Security  سرویسهای IPSec Security.
Protection vision Percentage Physical Asset protection 82% Non Physical Asset protection 18%
Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
رشد تهدیدات سایبری در چند سال گذشته روزانه بیش از 117,339 بدافزار تولید می شود.
افزایش میزان فروش بوسیله سئو سایت SEO. فروش و سئو SEO ( بهینه سازی وب سایت برای موتور جستجو Search Engine Optimization ) رابطه ‌ ای مانند محتوا و بازاریابی.
معماری فناوری اطلاعات چیست؟
انواع مطالعات راهبردی Strategic Study Approaches
تهیه کننده: عیسی اسلامی
معرفی پرتال سازمانی درسا مرکز فناوری اطلاعات و ارتباطات
فصل اول: رسانه های ذخیره سازی
آشنایی مقدماتی با نرم افزار Endnote X4
استاد مربوطه: آقای دکتر حجاریان شیوا فتح اللهی آذر 1391
PACS = ( Picture Archiving and Communication System)
تحلیل و طراحی سیستم ها بخش ششم کتاب توربان.
استانداردهای تصاویر دیجیتال پزشکی با فرمت دایکام DICOM در سیستم PACS
چگونه بفهمیم آیا ژورنالی ISI است؟ ایمپکت فاکتور دارد یا خیر؟
برنامه ریزی راهبردی شبکه کامپیوتری
نرم افزار نگهداری و تعمیرات مبتنی بر مدیریت دانش نت CMMS-MKMS
سیستم مدرسه کارنیک شرکت کارنیک سیستم
Government Finance Statistics (GFS)
مدیریت مالی و اقتصاد مدیریت موضوع : نقطه سر به سر زمستان 93
همایش داده های عظیم– دی ماه 1393
ارائه دهنده: گلناز بغدادی استاد راهنما: دکتر فرزاد توحید خواه
اهداف کارگاه اهداف کلی :ارتقاء سطح آگاهی پرسنل در زمینه سوء مصرف مواد مخدر اهداف کاربردی : انتقال مطالب آموزشی به صورت آبشاری اهداف اختصاصی : آشنایی پرسنل.
جلسه نخست معرفی مبانی امنیت (1)
انجمن انفورماتیک ایران سمينار
QUANTITATIVE STRATEGIC PLANNING MATRIX
SSO Single Sign-on Systems
آموزش و یادگیری Education and Training
SE Dept.2 تهیه کنندگان: ملیحه اسکندری نسیبه پوتی
دانشگاه صنعت آب و برق (شهيد عباسپور) دکتر محسن منتظری 1390/12/14
شبكه دوستان انرژي Network Energy Friends
آشنایی مقدماتی با نرم افزار Endnote X4
عنوان دانشجو: نام دانشجو رشته تحصیلی: رشته تحصیلی، گرایش
ارائه کار مازاد با عنوان :
آدرس : میدان هفت تیر – بن بست هوشیار – پلاک 5
سیستم های اطلاعات مدیریت Management Information systems
خودارزیابی بهداشت دست سازمان بهداشت جهانیWHO
1.
تهیه و تنظیم: فاطمه قاسمی دانشگاه صنعتی شریف – پاییز 86
بررسی چرخه‌های ارائه شده جهت توسعه امن نرم‌افزار(1)
جلسه ششم حفاظت در سیستم عامل
معماری سرویس گرا (SOA).
نام طرح.
تدريس يار: ميثم نظرياني
آشنایی مقدماتی با نرم افزار Endnote X4
نام درس: طراحی و پیاده سازی زبانهای برنامه سازی
بسم الله الرحمن الرحیم هرس درخت تصمیم Dr.vahidipour Zahra bayat
آشنایی مقدماتی با نرم افزار Endnote
جستجوی منابع الکترونیک
سمینار SharePoint رانندگی در بزرگراه پرتال ها
فرشاد آقابزرگی هوش تجاری
سخت افزارهای امنیتی Hardware Security تهیه و ارایه : یونس جوان.
به نام یکتای دانا فصل اول: متدها و قواعد.
سیستم های اطلاعاتی حسابداری
اصول و مفاهیم حسابداری Principles And Concepts Accounting.
آشنایی با فرایند داده کاوی در نرم افزار R گروه داده کاوی دایکه داود دوروش تابستان 6139.
Presentation transcript:

طرح ابزار جامع ارزیابی امنیت سایبری و صنعتی سامانه ارزیاب امنیت فناوری و اطلاعات (سافا)

خلاصه مطالب مقدمه اهمیت و ضرورت امنیت چالش ها و نقاط ضعف در امنیت ابزار ارزیاب امنیت اطلاعات www.ir4.ir تحول گران عرصه اطلاعات

مقدمه تعریف1: روش ها و فرآیندهایی که به منظور از مراقبت اطلاعات (مکتوب و الکترونیکی) حساس، محرمانه و شخصی از دسترسی، افشا، استفاده، دستکاری یا تخریب غیر مجاز، طراحی و پیاده سازی می شوند(CNSS, 2010). تعریف2: حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات. (ISO/IEC 27000:2009) محرمانگی یکپارچگی امنیت اطلاعات دسترس پذیری www.ir4.ir تحول گران عرصه اطلاعات

اهمیت امنیت اطلاعات گسترش استفاده از ابزارهای فناوری اطلاعات و دسترسی به فضای سایبری، موجب بالا رفتن مخاطرات امنیتی شده است. شرکت ها، کسب و کارها و دولت ها در معرض حملات روز افزون سایبری از گروه های هکری هستند. افزایش حجم و پیچیدگی حملات سایبری بر علیه سازمان ها با اهداف: منفعت مالی تخریب سرقت اطلاعات www.ir4.ir تحول گران عرصه اطلاعات

جنگ سایبری-از رویا تا واقعیت! تشکیل 13تیم از متخصصین در زمینه امنیت فناوری اطلاعات و سایبری در وزارت دفاع امریکا به منظور انجام ماموریت های تهاجمی سایبری بر علیه دشمنان خارجی(دستور کیت الکساندر، 13 مارچ 2013). دولت بریتابیا که در طول تاریخ در شراط بحرانی همیشه شهروندان خود را « به حفظ آرامش و خونسردی» دعوت می کند، اینبار با صدای بلند هشدار می دهد: دولت بریتانیا مدعی شد تهدیدات سایبری می توانند بسیار خطرناک تر از یک حمله اتمی باشند (کمیته امور داخلی بریتانیا،6 آگوست 2013) “I would like to be clear that this team, this defend-the-nation team, is not a defensive team,” Gen. Alexander told the House Armed Services Committee on Monday. “This is an offensive team that the Defense Department would use to defend the nation if it were attacked in cyber space. Thirteen of the teams that we're creating are for that mission alone.” “We are not winning the war on online criminal activity,” noted Keith Vaz, a politician and Chair of the UK Home Affairs Committee that published the report. “We are being too complacent about these E-wars because the victims are hidden in cyberspace. The threat of a cyber attack to the UK is so serious it is marked as a higher threat than a nuclear attack.” ما در آستانه ورود به فازی جدید از درگیری هستیم که در آن از سلاح های سایبری به منظور تخریب و ضربه فیزیکی استفاده می شود(جنرال هایدن، رئیس اسبق دفتر اطلاعات ملی، 4 ژوئن 2012). تهدید سایبری جدی است و می تواند پیامدهای مشابه با تهدیدات هسته ای در جنگ سرد به دنبال داشته باشد(گزارش Defense Science Board ) سایبر، بزرگترین تهدید موجود حاضر چراگه فضای سایبری بیش از یک تهدید تئوری است . می تواند به زیر ساخت ها و سیستم های مالی ما ضربه بزند.(مایک مولین، رئیس ستاد مشترک ارتش امریکا 2011) www.ir4.ir تحول گران عرصه اطلاعات

وضعیت امنیت اطلاعات داده ها بخشی از دارایی های سازمان هستند داده ها و اطلاعات سازمانی و دولت ها بیش از گذشته در معرض خطر سرقت و سو استفاده قرار دارند. هزینه حملات سایبری و نشت اطلاعات برای سازمان ها و دولت ها هنگفت و زیان باز است. هزینه و خسارات ناشی از رخنه اطلاعات و حملات سایبری رو به افزایش است افزایش 15درصدی میانگین هزینه رخنه اطلاعاتی در 2014(موسسه Ponemon) eBay Michaels Stores Apple iCloud Sony Pictures St. Joseph Health System Variable Annuity Life Insurance Montana Department of HSS سال 2014 میلادی، سال رخنه اطلاعات لقب گرفت www.ir4.ir تحول گران عرصه اطلاعات

هزینه مخاطرات امنیت رو به افزایش است نشت اطلاعات در سال 2013 با 15 درصد افزایش نسبت به سال گذشته 3.5 میلیون دلار تخمین زده شده است(گزارش موسسه Ponemon وابسته به IBM) هر مورد نشت اطلاعاتی هزینه ای برابر با 145 دلار در سال 2013 به دنبال داشته است.(9 درصد افزایش نسبت به سال گذشته) مجموع خسارات مالی ناشی از جرایم سایبری طی دوره 2013-2001(IC3) www.ir4.ir تحول گران عرصه اطلاعات

بکارگیری راهکارهای امنیت و حریم شخصی تنها تعداد کمی از سازمان ها دارای سیاست های امنیتی و راهکاری حفظ محرمانگی اطلاعات به صورت مدون و یکپارچه هستند. بیش از 50 درصد سازمان ها به فکر ایجاد سیاست ها و راهکارهایی به منظور مقابله با مخاطرات امنیت فناوری اطلاعات نمی باشند. تعداد اندکی از سازمان ها برای حریم شخصی و مقابله با مخاطرات مرتبط با امنیت فناوری اطلاعات بودجه اختصاص می دهند. اختصاص بودجه سالانه جهت برنامه های امنیت IT و حریم شخصی تصویب خط مشی ها و برنامه های سطح بالا برای حفاظت حریم شخصی و مخاطرات IT 28% 23% به طور منظم 10% گاهی اوقات 54% 42% به ندرت یا هرگز (منبع: گزارشCarnegie Mellon CyLab،2012) www.ir4.ir تحول گران عرصه اطلاعات

نیازهای کشور در حوزه امنیت(ضرورت و اهمیت) نقاط ضعف در حوزه امنیت عدم آموزش و آگاهی کاربران و سازمان ها از مخاطرات سایبری عدم اهتمام به طرح های ارزیابی مخاطرت امنیت سایبری(Security Risk Assessment) عدم توسعه فناوری و سامانه های امنیتی داخلی کمبود ابزارهای امنیتی بومی کمبود مراکز و تیم های بازیابی و مواجه با رویدادهای امنیت سایبری(CERT) نبود استاندارد و دستورالعمل های امنیتی جامع و بومی عدم اختصاص بودجه به منظور توسعه برنامه های امنیت IT در سازمان ها و شرکت ها مراکز عملیات امنیت درون سازمان(SOC) عدم اولویت سنجی و رتبه بندی سطح امنیت سایبری سازمان ها و دستگاه ها عدم توسعه سیاست گذاری، قوانین و مقررات، ممیزی و جرم شناسی کاربردی در حوزه امنیت سایبری www.ir4.ir تحول گران عرصه اطلاعات

ضرورت تهیه ابزار جامع ارزیابی امنیت گستردگی حوزه امنیت اطلاعات: به علت گسترده حوزه و پیچیدگی، هزینه و زمانبر بودن کنترل های امنیتی، سهل انگاری و اهمال بیشتری مشاهده می شود. استانداردها و دستورالعمل ها و روال های معیین: بسیاری از حوزه های امنیت به علت جدید بودن فناوری و تهدیدات آن نیازمند استاندارسازی و تدوین دستورالعمل می باشند. حجم داده های مورد مدیریت در حوزه امنیت اطلاعات: حجم داده قابل مدیریت در این حوزه بالاست و به یکپارچه سازی و مدیریت مجتمع نیازمند است(وصله ها، ابزارها، فایل های ثبت وقایع، کنترل های فیزیکی، خط و مشی های امنیتی، کدها و غیره) سطح بندی مخاطرات (تهدیدات) و ریسک: در بسیاری از زیر ساخت ها و سازمان های کشور نیاز به سطح بندی مخاطرات امنیت سایبری احساس می شود و ارزیابی ریسک امنیت سایبری صورت نگرفته است. امروزه تهدیدات سایبری، مخاطرات اول حوزه فناوری هستند(گزارش مخاطرات جهانی،2014، تالار اقتصاد جهانی) آگاهی سازی و اطلاع رسانی در حوزه امنیت: بسیاری از سازمان ها وزیرساخت ها برنامه مشخص برای اطلاع رسانی و افزایش آگاهی در حوزه امنیت سایبری و فناوری اطلاعات ندارند. سطح تضمین امنیت و رتبه بندی در حوزه امنیت سایبری: رتبه بندی سازمان ها و زیرساخت های کشور و تعیین سطوح امنیتی مورد نیاز برای هر یک کمک شایانی اولویت بندی و امنیتی زیر ساخت های حیاتی در حوزه فناوری می نماید-سازمان ها و دستگاه نیاز مند سطح بندی، رتبه دهی و گواهی امنیت به منظور ارتقا در بخش های فناوری اطلاعات و امنیت سایبری هستند. www.ir4.ir تحول گران عرصه اطلاعات

مروری بر اقدامات گذشته (راهکارهای کارهای امنیتی موجود) تجهیزات و ابزارهای امنیتی ضد ویروس دیوار آتش سامانه تشخیص و پیشگیری نفوذ سامانه تهدید پکپارچه مدیریت و ارزیابی امنیت چک لیست و ممیزی مدیریت اسیب پذیری و وصله تست نفوذپذیری مدیریت وقایع و واکنش سریع سیاست ها و الزامات امنیتی استاندارد دستورالعمل الزامات تجهیزات و ابزارهای امنیتی: دارای ضعف هستند، در تصمیم گیری دارای خطا هستند، تهدیدات 0-day!؟...امنیتِ تجهیزات و ابزارهای امنیتی چطور؟! مدیریت و ارزیابی امنیت: زمان و هزینه مدیریت، تست نفوذ پذیری در برخی بسترها امکان پذیر نیست!...ISMS تنها یک چارچوب است، راه کار پیاده سازی ارائه نمی دهد!...در ISMS و ISO27000 حوزه های جدید تهدید دیده نشده است! سیاست ها و الزامات: استانداردهای و دستورالعمل ها برای سازمان های و زیرساخت های مختلف متغییر است، تیاز به استانداردهای بومی وجود دارد...استانداردها و الزامات نیاز به بازبینی و ممیزی دارند...رتبه دهی و الویت بندی مخاطرات چطور؟! www.ir4.ir تحول گران عرصه اطلاعات

امنیت فناوری اطلاعات و سامانه های صنعتی امنیت اطلاعات چقدر به فکر امنیت سامانه های صنعتی بوده است؟ آیا روش های امنیت موجود برای سامانه های صنعتی(SCADA) قابل پیاده سازی هستند؟! www.ir4.ir تحول گران عرصه اطلاعات

کارهای مشابه فقط برای حوزه سلامت و اطلاعات بیماران تهیه شده است موارد مربوط به جزئیات آسیب‌پذیری در آن دیده نشده است سوالات امنیتی محدود و برای دیگر زیرساخت‌ها قابل پیاده سازی نیست امنیت سامانه‌های صنعتی پوشش داده نشده است عدم ارائه توضیح مربوط به سوالات امنیتی عدم تعیین سطح تضمین امنیت سازمان مورد ارزیابی عدم ارئه راهکار کاربردی مشخص برای رفع آسیب‌پذیری یا راهکار جایگزین ابزار ارزیابی مخاطرات امنیت زیرساخت سلامت(HHS SRA) مدیریت سامانه امنیت فناوری اطلاعات تنها یک چارچوب است و الزامات امنیت را در اختیار قرار نمی‌دهد. استانداردهای رایج مورد استفاده به منظور پیاده سازی الزامات سامانه مدیریت امنیت اطلاعات، دارای نقاط ضعف هستند. درالزامات موجود مباحث مربوط به کارمندان ناراضی و مخاطرات داخلی کمتر و در برخی موارد دیده نشده است. الزامات و تمهیدات مرتبط با امنیت زیرساخت‌ها و سامانه‌های صنعتی و اسکادا پرداخته نشده است. الزامات و کنترل‌های امنیت زیرساخت‌های رایانش ابری نیاز به توسعه با توجه به نیاز هر کشور، زیر ساخت یا سازمان عدم قابلیت اطمینان به چارچوب‌های غیربومی به منظور پیاده سازی مسئله مهم امنیت. مدیریت امنیت سامانه‌های فناوری اطلاعات(ISMS) www.ir4.ir تحول گران عرصه اطلاعات

معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی حوزه های حیاتی تحت پوشش www.ir4.ir تحول گران عرصه اطلاعات

معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی(2) ورودی ها اجزا و هسته خروجی ها اجزا و بخش های ابزار بلوک دیاگرام ارزیابی امنیت در ابزار www.ir4.ir تحول گران عرصه اطلاعات

فرآیند عملکرد ابزار www.ir4.ir تحول گران عرصه اطلاعات

گزارش گیری و خروجی خروجی وضعیت پاسخ ها وضعیت امتیاز‌ها بصورت کلی و به تفکیک نقاط ضعف و راه حل‌های پیشنهادی www.ir4.ir تحول گران عرصه اطلاعات

دامنه و مخاطبان دامنه و مخاطبان سازمان ها و شرکت ها مدیران سیستم ها و شبکه متخصصین و مدیران امنیت اطلاعات کارشناسان ابزاردقیق و صنعتی سامانه های فناوری اطلاعات سیستم ها و شبکه های رایانه ای امنیت اطلاعات و ارتباطات زیرساخت های حساس و حیاتی سازمان ها و شرکت ها امنیت سامانه های کنترل صنعتی ارزیابان امنیت اطلاعات و سامانه ها تحلیگران مخاطرات و تهدیدات www.ir4.ir تحول گران عرصه اطلاعات

ارزیابی و مقایسه    (سازمانی) (زیرساخت) ابزار ارزیابی HIPAA   ابزار ارزیابی HIPAA سامانه مدیریت امنیت اطلاعات ISMS ابزارجامع ارزیابی امنیت سایبری و صنعتی مبتنی بر وب   ارائه چارچوب مدیریت امنیت اطلاعات(ISMS) مبتنی بر شیء و ادوات پوشش حوزه امنیت شبکه ها و سامانه‌های کنترل صنعتی الزامات امنیت رایانش ابر پردازش ارائه راهکار امن سازی تولید گزارش مدیریتی تولید گزارش آسیب‌پذیری‌ها و نقاط ضعف قابلیت بروز رسانی متمرکز مستقل از زیرساخت به کارگیری مبتنی بر نوع ادوات و هم بندی عمومیت و قابلیت گسترش  (سازمانی) (زیرساخت) امکان افزودن ماژول و ادوات مورد نیاز امکان ترسیم نقشه و دیاگرام توضیحات تکمیلی پرسش ها مطابقت با مدیریت مخاطرات www.ir4.ir تحول گران عرصه اطلاعات

ویژگی ها و مزایا مستقل از نوع برند و سازنده(Vendor-Independent) قابل به کارگیری در بخش ها و زیرساخت های مختلف قابلیت توسعه، بروز رسانی و گسترش(Scalable) بروزرسانی آنلاین و متمرکز پوشش معیارهای اصلی امنیت اطلاعات(دسترس پذیری، جامعیت، محرمانگی) ارائه راهکارهای فنی و خطی مشی های امنیت منطبق بر سیاست های دولت الکترونیک کاملا بومی کاهش هزینه با بکارگیری ارزیابی ریسک مخاطرات حفظ محرمانی اسناد سازمان و حریم شخصی افراد اطلاع رسانی و آگاه سازی کاربران و سازمان در حوزه مخاطرات امنیت www.ir4.ir تحول گران عرصه اطلاعات

باتشکر! www.ir4.ir