طرح ابزار جامع ارزیابی امنیت سایبری و صنعتی سامانه ارزیاب امنیت فناوری و اطلاعات (سافا)
خلاصه مطالب مقدمه اهمیت و ضرورت امنیت چالش ها و نقاط ضعف در امنیت ابزار ارزیاب امنیت اطلاعات www.ir4.ir تحول گران عرصه اطلاعات
مقدمه تعریف1: روش ها و فرآیندهایی که به منظور از مراقبت اطلاعات (مکتوب و الکترونیکی) حساس، محرمانه و شخصی از دسترسی، افشا، استفاده، دستکاری یا تخریب غیر مجاز، طراحی و پیاده سازی می شوند(CNSS, 2010). تعریف2: حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات. (ISO/IEC 27000:2009) محرمانگی یکپارچگی امنیت اطلاعات دسترس پذیری www.ir4.ir تحول گران عرصه اطلاعات
اهمیت امنیت اطلاعات گسترش استفاده از ابزارهای فناوری اطلاعات و دسترسی به فضای سایبری، موجب بالا رفتن مخاطرات امنیتی شده است. شرکت ها، کسب و کارها و دولت ها در معرض حملات روز افزون سایبری از گروه های هکری هستند. افزایش حجم و پیچیدگی حملات سایبری بر علیه سازمان ها با اهداف: منفعت مالی تخریب سرقت اطلاعات www.ir4.ir تحول گران عرصه اطلاعات
جنگ سایبری-از رویا تا واقعیت! تشکیل 13تیم از متخصصین در زمینه امنیت فناوری اطلاعات و سایبری در وزارت دفاع امریکا به منظور انجام ماموریت های تهاجمی سایبری بر علیه دشمنان خارجی(دستور کیت الکساندر، 13 مارچ 2013). دولت بریتابیا که در طول تاریخ در شراط بحرانی همیشه شهروندان خود را « به حفظ آرامش و خونسردی» دعوت می کند، اینبار با صدای بلند هشدار می دهد: دولت بریتانیا مدعی شد تهدیدات سایبری می توانند بسیار خطرناک تر از یک حمله اتمی باشند (کمیته امور داخلی بریتانیا،6 آگوست 2013) “I would like to be clear that this team, this defend-the-nation team, is not a defensive team,” Gen. Alexander told the House Armed Services Committee on Monday. “This is an offensive team that the Defense Department would use to defend the nation if it were attacked in cyber space. Thirteen of the teams that we're creating are for that mission alone.” “We are not winning the war on online criminal activity,” noted Keith Vaz, a politician and Chair of the UK Home Affairs Committee that published the report. “We are being too complacent about these E-wars because the victims are hidden in cyberspace. The threat of a cyber attack to the UK is so serious it is marked as a higher threat than a nuclear attack.” ما در آستانه ورود به فازی جدید از درگیری هستیم که در آن از سلاح های سایبری به منظور تخریب و ضربه فیزیکی استفاده می شود(جنرال هایدن، رئیس اسبق دفتر اطلاعات ملی، 4 ژوئن 2012). تهدید سایبری جدی است و می تواند پیامدهای مشابه با تهدیدات هسته ای در جنگ سرد به دنبال داشته باشد(گزارش Defense Science Board ) سایبر، بزرگترین تهدید موجود حاضر چراگه فضای سایبری بیش از یک تهدید تئوری است . می تواند به زیر ساخت ها و سیستم های مالی ما ضربه بزند.(مایک مولین، رئیس ستاد مشترک ارتش امریکا 2011) www.ir4.ir تحول گران عرصه اطلاعات
وضعیت امنیت اطلاعات داده ها بخشی از دارایی های سازمان هستند داده ها و اطلاعات سازمانی و دولت ها بیش از گذشته در معرض خطر سرقت و سو استفاده قرار دارند. هزینه حملات سایبری و نشت اطلاعات برای سازمان ها و دولت ها هنگفت و زیان باز است. هزینه و خسارات ناشی از رخنه اطلاعات و حملات سایبری رو به افزایش است افزایش 15درصدی میانگین هزینه رخنه اطلاعاتی در 2014(موسسه Ponemon) eBay Michaels Stores Apple iCloud Sony Pictures St. Joseph Health System Variable Annuity Life Insurance Montana Department of HSS سال 2014 میلادی، سال رخنه اطلاعات لقب گرفت www.ir4.ir تحول گران عرصه اطلاعات
هزینه مخاطرات امنیت رو به افزایش است نشت اطلاعات در سال 2013 با 15 درصد افزایش نسبت به سال گذشته 3.5 میلیون دلار تخمین زده شده است(گزارش موسسه Ponemon وابسته به IBM) هر مورد نشت اطلاعاتی هزینه ای برابر با 145 دلار در سال 2013 به دنبال داشته است.(9 درصد افزایش نسبت به سال گذشته) مجموع خسارات مالی ناشی از جرایم سایبری طی دوره 2013-2001(IC3) www.ir4.ir تحول گران عرصه اطلاعات
بکارگیری راهکارهای امنیت و حریم شخصی تنها تعداد کمی از سازمان ها دارای سیاست های امنیتی و راهکاری حفظ محرمانگی اطلاعات به صورت مدون و یکپارچه هستند. بیش از 50 درصد سازمان ها به فکر ایجاد سیاست ها و راهکارهایی به منظور مقابله با مخاطرات امنیت فناوری اطلاعات نمی باشند. تعداد اندکی از سازمان ها برای حریم شخصی و مقابله با مخاطرات مرتبط با امنیت فناوری اطلاعات بودجه اختصاص می دهند. اختصاص بودجه سالانه جهت برنامه های امنیت IT و حریم شخصی تصویب خط مشی ها و برنامه های سطح بالا برای حفاظت حریم شخصی و مخاطرات IT 28% 23% به طور منظم 10% گاهی اوقات 54% 42% به ندرت یا هرگز (منبع: گزارشCarnegie Mellon CyLab،2012) www.ir4.ir تحول گران عرصه اطلاعات
نیازهای کشور در حوزه امنیت(ضرورت و اهمیت) نقاط ضعف در حوزه امنیت عدم آموزش و آگاهی کاربران و سازمان ها از مخاطرات سایبری عدم اهتمام به طرح های ارزیابی مخاطرت امنیت سایبری(Security Risk Assessment) عدم توسعه فناوری و سامانه های امنیتی داخلی کمبود ابزارهای امنیتی بومی کمبود مراکز و تیم های بازیابی و مواجه با رویدادهای امنیت سایبری(CERT) نبود استاندارد و دستورالعمل های امنیتی جامع و بومی عدم اختصاص بودجه به منظور توسعه برنامه های امنیت IT در سازمان ها و شرکت ها مراکز عملیات امنیت درون سازمان(SOC) عدم اولویت سنجی و رتبه بندی سطح امنیت سایبری سازمان ها و دستگاه ها عدم توسعه سیاست گذاری، قوانین و مقررات، ممیزی و جرم شناسی کاربردی در حوزه امنیت سایبری www.ir4.ir تحول گران عرصه اطلاعات
ضرورت تهیه ابزار جامع ارزیابی امنیت گستردگی حوزه امنیت اطلاعات: به علت گسترده حوزه و پیچیدگی، هزینه و زمانبر بودن کنترل های امنیتی، سهل انگاری و اهمال بیشتری مشاهده می شود. استانداردها و دستورالعمل ها و روال های معیین: بسیاری از حوزه های امنیت به علت جدید بودن فناوری و تهدیدات آن نیازمند استاندارسازی و تدوین دستورالعمل می باشند. حجم داده های مورد مدیریت در حوزه امنیت اطلاعات: حجم داده قابل مدیریت در این حوزه بالاست و به یکپارچه سازی و مدیریت مجتمع نیازمند است(وصله ها، ابزارها، فایل های ثبت وقایع، کنترل های فیزیکی، خط و مشی های امنیتی، کدها و غیره) سطح بندی مخاطرات (تهدیدات) و ریسک: در بسیاری از زیر ساخت ها و سازمان های کشور نیاز به سطح بندی مخاطرات امنیت سایبری احساس می شود و ارزیابی ریسک امنیت سایبری صورت نگرفته است. امروزه تهدیدات سایبری، مخاطرات اول حوزه فناوری هستند(گزارش مخاطرات جهانی،2014، تالار اقتصاد جهانی) آگاهی سازی و اطلاع رسانی در حوزه امنیت: بسیاری از سازمان ها وزیرساخت ها برنامه مشخص برای اطلاع رسانی و افزایش آگاهی در حوزه امنیت سایبری و فناوری اطلاعات ندارند. سطح تضمین امنیت و رتبه بندی در حوزه امنیت سایبری: رتبه بندی سازمان ها و زیرساخت های کشور و تعیین سطوح امنیتی مورد نیاز برای هر یک کمک شایانی اولویت بندی و امنیتی زیر ساخت های حیاتی در حوزه فناوری می نماید-سازمان ها و دستگاه نیاز مند سطح بندی، رتبه دهی و گواهی امنیت به منظور ارتقا در بخش های فناوری اطلاعات و امنیت سایبری هستند. www.ir4.ir تحول گران عرصه اطلاعات
مروری بر اقدامات گذشته (راهکارهای کارهای امنیتی موجود) تجهیزات و ابزارهای امنیتی ضد ویروس دیوار آتش سامانه تشخیص و پیشگیری نفوذ سامانه تهدید پکپارچه مدیریت و ارزیابی امنیت چک لیست و ممیزی مدیریت اسیب پذیری و وصله تست نفوذپذیری مدیریت وقایع و واکنش سریع سیاست ها و الزامات امنیتی استاندارد دستورالعمل الزامات تجهیزات و ابزارهای امنیتی: دارای ضعف هستند، در تصمیم گیری دارای خطا هستند، تهدیدات 0-day!؟...امنیتِ تجهیزات و ابزارهای امنیتی چطور؟! مدیریت و ارزیابی امنیت: زمان و هزینه مدیریت، تست نفوذ پذیری در برخی بسترها امکان پذیر نیست!...ISMS تنها یک چارچوب است، راه کار پیاده سازی ارائه نمی دهد!...در ISMS و ISO27000 حوزه های جدید تهدید دیده نشده است! سیاست ها و الزامات: استانداردهای و دستورالعمل ها برای سازمان های و زیرساخت های مختلف متغییر است، تیاز به استانداردهای بومی وجود دارد...استانداردها و الزامات نیاز به بازبینی و ممیزی دارند...رتبه دهی و الویت بندی مخاطرات چطور؟! www.ir4.ir تحول گران عرصه اطلاعات
امنیت فناوری اطلاعات و سامانه های صنعتی امنیت اطلاعات چقدر به فکر امنیت سامانه های صنعتی بوده است؟ آیا روش های امنیت موجود برای سامانه های صنعتی(SCADA) قابل پیاده سازی هستند؟! www.ir4.ir تحول گران عرصه اطلاعات
کارهای مشابه فقط برای حوزه سلامت و اطلاعات بیماران تهیه شده است موارد مربوط به جزئیات آسیبپذیری در آن دیده نشده است سوالات امنیتی محدود و برای دیگر زیرساختها قابل پیاده سازی نیست امنیت سامانههای صنعتی پوشش داده نشده است عدم ارائه توضیح مربوط به سوالات امنیتی عدم تعیین سطح تضمین امنیت سازمان مورد ارزیابی عدم ارئه راهکار کاربردی مشخص برای رفع آسیبپذیری یا راهکار جایگزین ابزار ارزیابی مخاطرات امنیت زیرساخت سلامت(HHS SRA) مدیریت سامانه امنیت فناوری اطلاعات تنها یک چارچوب است و الزامات امنیت را در اختیار قرار نمیدهد. استانداردهای رایج مورد استفاده به منظور پیاده سازی الزامات سامانه مدیریت امنیت اطلاعات، دارای نقاط ضعف هستند. درالزامات موجود مباحث مربوط به کارمندان ناراضی و مخاطرات داخلی کمتر و در برخی موارد دیده نشده است. الزامات و تمهیدات مرتبط با امنیت زیرساختها و سامانههای صنعتی و اسکادا پرداخته نشده است. الزامات و کنترلهای امنیت زیرساختهای رایانش ابری نیاز به توسعه با توجه به نیاز هر کشور، زیر ساخت یا سازمان عدم قابلیت اطمینان به چارچوبهای غیربومی به منظور پیاده سازی مسئله مهم امنیت. مدیریت امنیت سامانههای فناوری اطلاعات(ISMS) www.ir4.ir تحول گران عرصه اطلاعات
معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی حوزه های حیاتی تحت پوشش www.ir4.ir تحول گران عرصه اطلاعات
معرفی ابزار جامع ارزیابی امنیت سایبری و صنعتی(2) ورودی ها اجزا و هسته خروجی ها اجزا و بخش های ابزار بلوک دیاگرام ارزیابی امنیت در ابزار www.ir4.ir تحول گران عرصه اطلاعات
فرآیند عملکرد ابزار www.ir4.ir تحول گران عرصه اطلاعات
گزارش گیری و خروجی خروجی وضعیت پاسخ ها وضعیت امتیازها بصورت کلی و به تفکیک نقاط ضعف و راه حلهای پیشنهادی www.ir4.ir تحول گران عرصه اطلاعات
دامنه و مخاطبان دامنه و مخاطبان سازمان ها و شرکت ها مدیران سیستم ها و شبکه متخصصین و مدیران امنیت اطلاعات کارشناسان ابزاردقیق و صنعتی سامانه های فناوری اطلاعات سیستم ها و شبکه های رایانه ای امنیت اطلاعات و ارتباطات زیرساخت های حساس و حیاتی سازمان ها و شرکت ها امنیت سامانه های کنترل صنعتی ارزیابان امنیت اطلاعات و سامانه ها تحلیگران مخاطرات و تهدیدات www.ir4.ir تحول گران عرصه اطلاعات
ارزیابی و مقایسه (سازمانی) (زیرساخت) ابزار ارزیابی HIPAA ابزار ارزیابی HIPAA سامانه مدیریت امنیت اطلاعات ISMS ابزارجامع ارزیابی امنیت سایبری و صنعتی مبتنی بر وب ارائه چارچوب مدیریت امنیت اطلاعات(ISMS) مبتنی بر شیء و ادوات پوشش حوزه امنیت شبکه ها و سامانههای کنترل صنعتی الزامات امنیت رایانش ابر پردازش ارائه راهکار امن سازی تولید گزارش مدیریتی تولید گزارش آسیبپذیریها و نقاط ضعف قابلیت بروز رسانی متمرکز مستقل از زیرساخت به کارگیری مبتنی بر نوع ادوات و هم بندی عمومیت و قابلیت گسترش (سازمانی) (زیرساخت) امکان افزودن ماژول و ادوات مورد نیاز امکان ترسیم نقشه و دیاگرام توضیحات تکمیلی پرسش ها مطابقت با مدیریت مخاطرات www.ir4.ir تحول گران عرصه اطلاعات
ویژگی ها و مزایا مستقل از نوع برند و سازنده(Vendor-Independent) قابل به کارگیری در بخش ها و زیرساخت های مختلف قابلیت توسعه، بروز رسانی و گسترش(Scalable) بروزرسانی آنلاین و متمرکز پوشش معیارهای اصلی امنیت اطلاعات(دسترس پذیری، جامعیت، محرمانگی) ارائه راهکارهای فنی و خطی مشی های امنیت منطبق بر سیاست های دولت الکترونیک کاملا بومی کاهش هزینه با بکارگیری ارزیابی ریسک مخاطرات حفظ محرمانی اسناد سازمان و حریم شخصی افراد اطلاع رسانی و آگاه سازی کاربران و سازمان در حوزه مخاطرات امنیت www.ir4.ir تحول گران عرصه اطلاعات
باتشکر! www.ir4.ir