سيستم مديريت امنيت اطلاعات ISMS Information Security Management System سيستم مديريت امنيت اطلاعات
مقدمه اطلاعات ( مانند ساير دارائیهای سازمانی ) به عنوان يک دارائی مهم و باارزش برای هر سازمان به حساب میآيد و در نتيجه نيازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، میباشند . استاندارد ISO 27001 تامين کننده يک سري از ابزارهاي سازگار با يکديگر براي سنجش مديريت امنيت اطلاعات در هر سازمان با هر نوع کار يا حجم سازمان مي باشد. اين گواهينامه ميتواند براي يک سازمان يا بخشي از آن دريافت و سپس در سازمان گسترش و بخشهاي ديگر را دربرگيرد. موسسات ISO و IEC از موسسات بينالمللی تدوين استاندارد در سطح جهانی میباشند که کميته مشترکی را به نام JTC1 برای تدوين استانداردها تشکيل دادهاند . استاندارد بينالمللی ISO/IEC 17799 برای اولين بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذيرفته شد .
اصول مهم درامنيت اطلاعات سه اصل مهم در امنيت اطلاعات عبارتند از : محرمانگی : اطمينان از اينکه اطلاعات فقط در دسترس افراد مجاز قرار دارد صحت : تامين صحت ، دقت و کامل بودن اطلاعات و روشهای پردازش آنها دسترس پذيری : اطمينان از اينکه کاربران مجاز در صورت نياز به اطلاعات و دارائیهای مربوطه به آنها دسترسی دارند . امنيت اطلاعات به وسيله اجرای يکسری از کنترلهای مناسب ، حاصل خواهد شد. اين کنترلها ميتوانند به صورت خطمشیها ، رويهها ، ساختارهای سازمانی و يا نرمافزارهای کاربردی باشند . اين کنترلها برای اطمينان از برآورده شدن اهداف امنيتی سازمان بايستی اجرا گردند .
ISMS (Information Security Management System) بر اساس استاندارد ISO 27001 در كنار ديگر سيستمهاي مديريت به خصوص استاندارد 9001ISO و تحت نظارت و مديريت مستقيم مديريت ارشد سازمان مستقر ميگردد. تامين كننده امنيت اطلاعات سازمان مبتني بر رويکرد فرآيندي است اين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني مانند BS 7799 و ISO/IEC 17799 و ISO 15408(معيار های عمومی برای فنآوری اطلاعات ) بهره مي گيرد.
تعريف ISO از ISMS قسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس، پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است. استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم مي کند. * منظور از مديريت كلي ، رعايت ساير استانداردها مي باشد.
ISMS (Information Security Management System) مشخصه اي براي مديريت امنيت اطلاعات دستورالعمل مديريت امنيت اطلاعات پايه اي براي ارتباط قراردادي پايه گواهينامه شخص ثالث قابليت كاربرد براي تمامي بخشهاي صنعت تاكيد بر پيش گيري
سری استانداردهای ISO/IEC 2700k ISO/IEC 27001:2005, Information security management systems — Requirements سيستم هاي مديريت امنيت اطلاعات – نيازمندي ها ISO/IEC 27002:2005, Code of practice for information security management آئين نامه كاري مديريت امنيت اطلاعات ISO/IEC 27003, Information security management system implementation guidance راهنماي پياده سازي سيستم مديريت امنيت اطلاعات ISO/IEC 27004, Information security management — Measurement مديريت امنيت اطلاعات - سنجش ISO/IEC 27005:2008, Information security risk management مديريت مخاطرات امنيت اطلاعات ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems راهنماي مميزي سيستم هاي مديريت امنيت اطلاعات
مزاياي پياده سازي استاندارد ISO/IEC 27001 نزديک شدن به وضعيت سيستماتيك و روش مند افزايش تضمين اعتبار قانوني سازمان افزايش جنبه هاي تداوم کسب وکار شناسائی دارايي هاي بحراني از طريق ارزيابي ريسك ايجاد يك ساختار براي بهبود مستمر افزايش شناخت و اهميت مسائل مربوط به امنيت درسطح مديريت بومي سازي فرهنگ و دانش امنيت اطلاعات در سازمان
ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان ( Gap Analysie) ارزيابي اوليه در حوزه هاي مختلف، با ارائه پرسشنامه حوزه های مرتبط با مديريت حوزه های مرتبط با آموزش و آگاه سازی حوزه های مرتبط با وابستگی سازمان به کارمندان حوزه های مرتبط با دسترسی و حقوق دسترسی حوزه های مرتبط با رويه های سازمانی حوزه های مرتبط با بازرسی حوزه های مرتبط با خط مشی های امنيتی حوزه های مرتبط با مستندات حوزه های مرتبط با سخت افزار و نرم افزار حوزه های مرتبط با شبکه حوزه های مرتبط با کاربران .......
تعيين محدوده استقرار سيستم مديريت امنيت اطلاعات ( SCOPE ) دامنه ومرزهای سيستم مديريت امنيت اطلاعات بر مبنای ويژگي کسب وکار , سازمان، مکان ، دارائی ها وفن آوری آن تعريف مي شود و همچنين جزئيات و توجيه برای کنارگذاری هر چيزی از دامنه را شامل مي باشد
تعيين دارائي هاي (سرمايه هاي) سازماني مستندات کاغذي دارائي هاي اطلاعاتي دارائي هاي فيزيکي سخت افزار ها نرم افزارها اطلاعات و ارتباطات منابع انساني خدمات
تعيين سياست های امنيتی سياستهاي امنيتي سرويسهاي فضاي تبادل اطلاعات سازمان سياستهاي امنيتي سختافزارهاي فضاي تبادل اطلاعات سازمان سياستهاي امنيتي نرمافزارهاي فضاي تبادل اطلاعات سازمان سياستهاي امنيتي ارتباطات و اطلاعات فضاي تبادل اطلاعات سازمان سياستهاي امنيتي کاربران فضاي تبادل اطلاعات سازمان
چگونگي تشخيص الزامات امنيتي ريسك هاي امنيتي الزامات قراردادي وقانوني اصول واهداف والزامات داخلي
برآورد و مديريت ريسک پيامد انتقال اجتناب پذيرش كا هش احتمال
Risk Assessment STEP 1: SYSTEM CHARACTERIZATION System-Related Information Information-Gathering STEP 2: THREAT IDENTIFICATION. Threat-Source Identification Motivation and Threat Actions STEP 3: VULNERABILITY IDENTIFICATION. Vulnerability Sources System Security Testing Development of Security Requirements Checklist
Risk Assessment STEP 4: CONTROL ANALYSIS. STEP 5: LIKELIHOOD DETERMINATION. STEP 6: IMPACT ANALYSIS . STEP 7: RISK DETERMINATION. Risk-Level Matrix. Description of Risk Level STEP 8: CONTROL RECOMMENDATIONS STEP 9: RESULTS DOCUMENTATION
* Risk Mitigation * RISK MITIGATION OPTIONS. RISK MITIGATION STRATEGY. APPROACH FOR CONTROL IMPLEMENTATION.. CONTROL CATEGORIES . Technical Security Controls. Management Security Controls Operational Security Controls. COST-BENEFIT ANALYSIS . RESIDUAL RISK .
ظرفيت سنجی نامناسب سخت افزارهای جديد ارزيابی ريسک نام آسيبپذيری نام تهديد پيامد احتمال ريسک آستانه پذيرش ظرفيت سنجی نامناسب سخت افزارهای جديد عدم پردازش درست دادهها M 45 30 نگهداری نامناسب دادهها H 66 آسيبرسيدن به شبکه 78 بخطرافتادن فرايند خريد تجهيزات سختافزاری جديد 65 بخطرافتادن انتخاب مناسب الزامات امنيتی برای سختافزار جديد ناسازگاری سيستم جديد با زيرساخت سازمانی 60 ناسازگاری نرمافزارهای موجود برروی سختافزار جديد با زيرساخت سازمانی ارائه تائيديههای نامناسب از سوی مديريت فقدان تست سختافزار 51
طرح تحليل مخاطرات امنيتی تجزيه و تحليل شبکه و تعيين مخاطرات امنيتی معماری شبکه ارتباطی تجهيزات شبکه ارتباطی مديريت و نگهداری شبکه ارتباطی سرويس های شبکه ارتباطی تشکيلات و روش های تامين امنيت شبکه ارتباطی تعيين آسيب پذيريها شناسائی منابع آسيب پذيری تست امنيتی سيستم تعيين ريسک دارائی ها و فرايندها تعيين آستانه پذيرش ريسک ارائه راه حلهای کلی برای کاهش آسيب پذيری ها ، تهديدات و ريسک ها
ارائه طرح جامع امنيت شبکه و اطلاعات 1- ارائه راه حلهای مناسب معماری شبکه پروتکلهای شبکه Server farm Switching ارتباطات امنيت فنی شبکه طرح تهيه نسخ پشتيبان امنيت فيزيکی شبکه سيستمهای کنترل جريان اطلاعات و تکيل نواحی امنيتی ارائه ساختار معماری IP مناسب برای شبکه تهيه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی ساختار DMZ
ارائه طرح جامع امنيت شبکه و اطلاعات سرويس Accounting سرويس DNS سرويس FTP Filtering Monitoring Web Cache نرمافزارهاي تشخيص و مقابله با ويروس سيستمهاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربران سيستمهاي ثبت و تحليل رويدادنامهها سيستمهاي رمزنگاري اطلاعات نرمافزارهاي نظارت بر ترافيک شبکه نرمافزارهاي پويشگر امنيتي نرمافزارهاي مديريت امنيت شبکه ................
ارائه طرح جامع امنيت شبکه و اطلاعات 2- ارائه نمونه های مناسب دستورالعمل پيکربندی امن و چک ليست طراحي ساختار کلي شبکه طراحي ساختار سايت مركزي طراحي ساختار فيزيکي شبکه تعيين تجهيزات غيرفعال مورد نياز شامل كابلها ، ركها ، داكتها ، پچ پنل ها ، كيستون ها و ... ساختار آدرس دهي ساختار مسير يابي ساختار دسترسي به شبکه تجهيزات شبکه سرويس دهنده هاي شبکه مديريت و نگهداري شبکه تشريح تغييراتي که همزامان با افزودن سيستم امنيتي در معماري ، تجهيزات ، سرويس دهنده ها و مديريت شبکه انجام مي گيرد تعيين پروتکلهاي مورد نياز شبکه طراحي معماري IP شبکه و تقسيمبندي آن طراحي ساختار کلي Server Farm
ارائه طرح جامع امنيت شبکه و اطلاعات تعيين سرويس هاي مورد نياز جهت نصب روي سرورها تعيين سيستم عامل هاي مورد نياز تعيين سرورهاي مورد نياز طراحي ساختار سوئيچنگ شبکه تعيين سوئيچهاي مورد نياز طراحي ساختار ارتباطي شبکه طراحي ساختار ارتباطي سايت مرکزي طراحي ساختار ارتباطات شبکه داخلي با شبکههاي خارجي مانند شبکه اينترنت، و .... طراحي نحوه برقراري ارتباط کاربران خارجي با شبکه داخلي طراحي ساختار مسيريابي شبکه تعيين تجهيزات مورد نياز جهت برقراري ارتباطات از جمله روترها، مودمها و .... طراحي ساختار مطمئن براي شبكه تعيين تجهيزات امنيتي مورد نياز شامل : Firewall ، IDS/IDP/IPS ،
ارائه طرح جامع امنيت شبکه و اطلاعات تعيين تکنولوژيهاي امنيتي مورد نياز شامل : NAT، PAT، IP Sec، VPN، ..... طراحي ساختار VLAN مناسب براي شبکه طراحي ساختار DMZ مناسب تعيين سياستهاي امنيتي شبکه تعيين روالهاي امنيتي شامل روالهاي پيکربندي، روال هاي دسترسي، روال هاي مديريتي، روالهاي بروزرساني، روالهاي مستندسازي شبکه تعيين تجهيزات برق اضطراري مورد نياز تهيه و توسعه محصولات نرم افزاري در صورت نياز طراحي SAN و NAS در صورت نياز تعيين Storage Device هاي مورد نياز تعيين روالهاي تهيه نسخ پشتيبان تعيين محل مناسب جهت سايت مركزي تعيين تهويه مناسب محل سايت مركزي تعيين دربهاي مخصوص جهت سايت مركزي تعيين قفلهاي الكترونيكي جهت سايت مركزي تعيين ركهاي مناسب در نقاط توزيع
ارائه طرح جامع امنيت شبکه و اطلاعات تعيين كابل كشي و داکت کشي مناسب از نظر امنيتي در هر بخش تعيين سيستم ضد حريق جهت سايت مركزي نرمافزارهاي تشخيص و مقابله با ويروس سيستمهاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربران سيستمهاي ثبت و تحليل رويداد نامهها سيستمهاي رمزنگاري اطلاعات نرمافزارهاي نظارت بر ترافيک شبکه نرمافزارهاي پويشگر امنيتي نرمافزارهاي مديريت امنيت شبکه ................
متدولوژی 27001:2005 ISO/IEC
کنترل های استاندارد ISO/IEC 27001
حوزه هاي يازده گانه ISO/IEC 27001 خط مشي امنيتي حوزه هاي يازده گانه مطابقت با قوانين مديريت تداوم كسب و كار مديريت حوادث امنيت اطلاعات تهيه، توسعه و نگهداري سيستم هاي اطلاعاتي سازماندهي امنيت اطلاعات مديريت دارايي ها امنيت منابع انساني امنيت محيطي و فيزيكي عمليات و ارتباطات كنترل دسترسي
حوزه اول - خط مشي امنيتي هدف : جهت گيري و جلب حمايت مديريت از امنيت اطلاعات در ارتباط با نيازمنديها و قوانين و مقررات مربوطه سند خط مشی امنيت اطلاعات خط مشي امنيت اطلاعات بازنگری خط مشی امنيت اطلاعات اجزاء مستند خط مشي امنيت اطلاعات تعريفي از امنيت اطلاعات سازمان بيانيه اي كه بيانگر پشتيباني مديريت از اهداف و مفاهيم امنيت متناسب با اهداف و استراتژي سازمان است تعيين چارچوب لازم براي رسيدن به اهداف و اعمال كنترل هاي، نظير ساختار ارزيابي و مديريت مخاطرات توضيح مختصري راجع به خط مشي ها، اصول، استانداردها و نيازمندي هاي مطابقت با قوانين و مقرارت تعريفي از مسؤوليت هاي عمومي و ويژه، نظير گزارش حوادث امنيتي به مديريت
حوزه دوم-سازماندهي امنيت اطلاعات هدف : مديريت امنيت اطلاعات در درون سازمان وطرف های بيرونی است حمايت مديريت ازامنيت اطلاعات ايجاد هماهنگي در امنيت اطلاعات تخصيص مسؤوليت هاي امنيت اطلاعات فرآيندهاي مجاز براي امكانات IT سازماندهي داخلي تعهدنامه حفظ اسرار سازماني تماس با مسؤولين تماس با گروه هاي ذينفع خاص بازنگري امنيت اطلاعات توسط عوامل مستقل تشخيص خطرهاي مرتبط با طرف هاي بيروني وضعيت هاي امنيت در ارتباط با مشتريان امنيت طرف هاي بيرون از سازمان در نظر گرفتن امنيت در قرارداد با خارج از سازمان
حوزه سوم – مديريت دارايي ها هدف : برآورد ارزش واقعي دارايي هاي سازمان ارزش گذاري بر دارايي ها فهرست اموال و دارايي ها انواع دارايي هاي عنوان شده : دارايي هاي اطلاعاتي دارايي هاي نرم افزاري دارايي هاي فيزيكي تأسيسات و سرويس هاي مرتبط افراد و تجارب و شايستگي هاي آنان(منابع انسانی) دارايي هاي معنوي، نظير حيثيت و اعتبار سازمان
حوزه سوم – مديريت دارايي ها هدف : اطمينان از اينكه اطلاعات با سطح مناسبي از حفاظت نگهداري و تبادل مي شوند. طبقه بندي اطلاعات طبقه بندي اطلاعات علامت گذاري وکنترل دسترسی به اطلاعات محرمانگي يكپارچگي قابليت دسترسي
حوزه چهارم – امنيت منابع انساني قبل از بكارگيري منظور از بكارگيري در اينجا تمامي موارد استخدام ، تعيين مسؤوليت هاي جديد، تغيير مسؤوليت، به كارگيري نيروهاي قراردادي و پايان دادن به كار در هر يك از موارد فوق است. هدف: اطمينان ازآنکه كاركنان، طرف هاي قرارداد و كاربران طرف سوم وظايف خود را مي دانند، صلاحيت كار مورد نظر رادارند. وهمچنين به منظور كاهش خطر دزدي، سوء استفاده و كلاهبرداري در سازمان. درج امنيت در شرح خدمات مشاغل لحاظ نمودن امنيت در تعريف شغل و منبع استخدام انتخابی تعهدنامه حفظ اسرار و محرمانگي
حوزه چهارم – امنيت منابع انساني حين بكارگيري آگاهی نسبت به امنيت وظايف در اختيار قرار دادن دستورالعمل هاي امنيتي انگيزه لازم براي لحاظ نمودن امنيت در سازمان آگاهي و هشياري نسبي در امنيت مسائل مرتبط با حوزه کاری آشنائی با امنيت در بين كاركنان سازمان مهارت و صلاحيت مسؤوليت هاي مديران آموزش كاربران حين خدمت فرآيندهاي انضباطي
حوزه چهارم – امنيت منابع انساني خاتمه دادن به كار هدف : اطمينان از اينكه به خدمت كاركنان، طرف هاي قرارداد و كاربران سازمان به شيوه مناسبي پايان داده مي شود. مسؤوليت هاي مرتبط با خاتمه دادن به همكاري خاتمه دادن يا تغيير در بكارگيري بازگرداندن اموال حذف يا اصلاح حقوق دسترسي
حوزه پنجم – امنيت محيطي و فيزيکي هدف : پيشگيري از دسترسي هاي غيرمجاز، خسارت يا دخالت در سرويس IT ايجاد حصار لازم براي محيط هاي امن كنترل هاي ورودي هاي فيزيكي امنيت دفاتر، اتاقها و امكانات محيط هاي امن حفاظت در مقابل تهديدهاي محيطي و خارجي كار در محيط هاي امن جداسازي محل هاي تخليه و بارگيري
حوزه پنجم – امنيت محيطي و فيزيکي هدف: پيشگيري ازدسترسی غيرمجاز، خسارت يا لو رفتن داراييها و اطلاعات سازمان بهداشت محيط كار، ايمني و امنيت محل استقرا ر امنيت و ايمني تأسيسات جنبي نظير برق و تهويه امنيت كابل و كابل كشي تعمير و نگهداري تجهيزات امنيت تجعيزات امنيت تجهيزات بيرون از سازمان اسقاط نمودن يا مزايده امن تجهيزات خارج نمودن تجهيزات از محل سازمان بازنگري امنيت اطلاعات توسط عوامل مستقل
حوزه ششم – مديريت ارتباطات و عمليات هدف : حصول اطمينان ازکارکرد صحيح وامن پردازش اطلاعات وامنيت در ارتباط با خدمات شخص ثالث و همچنين به حداقل رساندن مخاطرات ناشي از تست سيستم ها وحفظ يکپارچگی نرم افزار واطلاعات روندهاي عملكرد مستنده شده مديريت تغييرات روش هاي عملياتي و مسؤوليتها تفكيك وظايف جداسازي تجهيزات آزمايشي از تجهيزات عملياتي
حوزه ششم – مديريت ارتباطات و عمليات ارائه خدمات مورد انتظار مديريت ارائه خدمات طرح هاي سوم نظارت و بازنگري در نحوه ارائه خدمات مديريت تغييرات در ارائه خدمات مديريت ظرفيت طراحي و تست قبولي سيستم شرايط قبولي سيستم
حوزه ششم – مديريت ارتباطات و عمليات كنترل کدهای مخرب حفاظت از نرم افزار بدخواه كنترل كد های سيار تهيه نسخه هاي پشتيبان نگهداري از اطلاعات پشتيبان مديريت نسخه هاي پشتيبان فرآيندهاي بازيابي از نسخه هاي پشتيبان رمزنگاري لازم در نسخه هاي پشتيبان كنترل هاي شبكه اطمينان از حراست اطلاعات در شبكه ها و حفاظت اززيرساخت پشتيباني کننده امنيت سرويس هاي شبكه
حوزه ششم – مديريت ارتباطات و عمليات مديريت رسانه هاي قابل حمل انهدام مناسب رسانه ها اداره کردن محيط های ذخيره سازی رويه هاي جابجايي اطلاعات امنيت مستندات سيستم خط مشي ها و رويه هاي تبادل اطلاعات تبادل اطلاعات حفاطت از اطلاعات ونرم افزار درتبادل يک سازمان با هر موجوديت بيرونی توافقات تبادل داده و نرم افزار امنيت رسانه ها در هنگام انتقال سيستم هاي پيام رساني الكترونيكي سيستم هاي اطلاعاتی کسب وکار
حوزه ششم – مديريت ارتباطات و عمليات حفاظت از كلاهبرداري، تعارض حقوقي و ... امنيت تراكنش هاي بر خط سرويس هاي تجارت الكترونيكي اطلاعات در دسترس عموم نظارت بر فعاليت هاي ثبت شده نظارت بر نحوة كاركرد و استفاده از سيستمها نظارت تشخيص فعاليت هاي غيرمجاز پردازش اطلاعات حراست از وقايع و اطلاعات ثبت شده مديريت ثبت كارهاي مديران و اپراتورهاي شبكه ثبت خطاها همزمان نمودن ساعت سيستمها
حوزه هفتم – کنترل دسترسي هدف : كنترل دسترسي به اطلاعات وپيشگيري از دسترسي های غيرمجاز مي باشد کنترل دسترسی به اطلاعات ايجاد , تدوين وبازنگری خط مشي مستند شده كنترل دسترسي ثبت كاربران مديريت دسترسي با اختيارات ويژه مديريت و حصول اطمينان ازدسترسي كاربر مديريت رمز عبور كاربران بازنگري در حقوق دسترسي كاربران
حوزه هفتم – کنترل دسترسي بكارگيري رمز عبور مسؤوليت هاي كاربر پيشگيري از دسترسي غيرمجاز کاربران تجهيزات بدون مراقبت کاربر خط مشي ميزپاک و صفحه پاک خط مشي استفاده از خدمات شبكه تصديق هويت كاربر در ارتباطات بيروني شناسايي تجهيزات در شبكه كنترل دسترسي به شبكه حفاظت از دسترسي غيرمجاز به سرويس هاي شبكه حفاظت پورت هاي تنظيم و رفع عيب از راه دور تفكيك در شبكه ها كنترل اتصال به شبكه كنترل مسيريابي
حوزه هفتم – کنترل دسترسي رويه هاي دستيابي امن كاربر شناسايي و تأييد هويت كاربر سيستم مديريت رمز عبور كنترل دسترسي به سيستم عامل استفاده از امكانات ابزاري سيستم انقضاي زماني پايانه كاري محدوديت زمان اتصال كنترل دسترسي به برنامه هاي كاربردي محدوديت دسترسي به اطلاعات جداسازي اطلاعات حساس
حوزه هفتم – کنترل دسترسي هدف : تضمين امنيت اطلاعات در زمان كار از راه دور خط مشی برای حفاطت محاسبه و ارتباط راه دور محاسبه سيار و کار از راه دور ايجاد وپياده سازی خط مشی برای كار از راه دور
حوزه هشتم – تهيه، نگهداري و توسعه سيستمها هدف : اطمينان از اينكه امنيت جزء جدائی ناپذير از سيستم های اطلاعاتی است و همچنين پيشگيري از فقدان، تغيير يا سوء استفاده از اطلاعات در سيستم هاي كاربردي نيازمندي هاي امنيتي سيستمها ي اطلاعاتی شناسايي و تحليل نيازمندي هاي امنيتي تأييد داده ورودي كنترل پردازش داخلي پردازش صحيح برنامه هاي كاربردي يكپارچگي پيغام تأييد داده خروجي
حوزه هشتم – تهيه، نگهداري و توسعه سيستمها هدف : حفاظت محرمانگي ،سنديت و يكپارچگي اطلاعات با استفاده از رمزنگاري و اطمينان از اينكه پروژه هاي IT و فعاليت هاي پشتيباني در يك روش امن هدايت مي شوند. خط مشي استفاده از كنترل هاي رمزنگاري كنترل هاي رمزنگاري مديريت كليد كنترل نرم افزار عملياتي امنيت فايل هاي سيستم كاربردي حفاظت از سيستم تست داده كنترل دسترسي به متن برنامه ها
حوزه هشتم – تهيه، نگهداري و توسعه سيستمها هدف : حفظ و تداوم امنيت نرم افزار و اطلاعات سيستم كاربردي رويه هاي كنترل تغيير مرور تكنيكي تغييرات سيستم عملياتي امنيت فرآيندهاي توسعه و پشتيباني محدوديت هاي روي تغييرات بسته هاي نرم افزاري حذف امكان نشت اطلاعات (به خارج از حوزة مجاز) توسعة نرم افزاري بوسيلة سفارش به بيرون
حوزه نهم – مديريت حوادث امنيت اطلاعات هدف : اطمينان از اينكه حوادث و ضعف هاي امنيتي مرتبط با سيستم هاي اطلاعاتي به نحوي كه به توان آنها را درزمان هاي قابل قبولي رفع كرد ، گزارش مي گردند. وهمچنين اطمينان از اينكه رويه هاي يكنواخت و مؤثر در مورد حوادث امنيتي اعمال مي گردند. گزارش حوادث امنيت اطلاعات گزارش حوادث و ضعف هاي امنيتي گزارش نقاط ضعف امنيت اطلاعات مسؤوليتها و رويه ها مديريت حوادث امنيت اطلاعات و راه هاي بهبود آنها يادگيري و عبرت از حوادث گذشته جمع آوري شواهد
حوزه دهم– طرح تداوم کسب و کار هدف : خنثی نمودن وقفه ها ی کسب وکار و حصول اطمينان برای ازسرگيری بموقع سيستم های اطلاعاتی سانحه ديده درج امنيت اطلاعات در فرآيند مديريت تداوم كسب و كار تداوم كسب و كار و ارزيابي مخاطرات وجوه امنيتي مديريت تداوم كسب و كار ايجاد و پياده سازي طرح هاي تداوم كسب و كار با در نظر گرفتن امنيت چارچوب طرح تداوم كسب و كار تست ، نگهداري و ارزيابي مجدد طرح هاي تداوم كسب و كار
حوزه يازدهم – مطابقت با قوانين هدف : اجتناب از هر نقض قانون و مقررات ، اطمينان از تطبيق سيستمها با استانداردها و سياست هاي امنيتي سازمان ، و افزايش اثربخشی وکاهش اختلال در فرايند مميزی شناسائی قوانين قابل اجرا حقوق دارائی فکری حفاظت از سوابق سازمانی انطباق باالزامات قانونی حفاظت داده ها وحريم خصوصي اطلاعات شخصی پيشگيری از استفاده نابجا از امکان پردازش اطلاعات کنترل قواعدرمزنگاری در توافقنامه ،آيين نامه و..
حوزه يازدهم – مطابقت با قوانين انطباق با خط مشی واستانداردهای برای اطمينان مديران انطباق با خط مشی ها و انطباق فنی بررسی و بروز نگهداری انطباق فنی کنترل های مميزی سيستم های اطلاعاتی بازرسی مميزی سيستم های اطلاعاتی حفاظت از ابزارهای مميزی سيستم های اطلاعاتی
طرح پشتيبانی از حوادث اجراي طرح امنيت شبکه و اطلاعات ( ISMS )در يک سازمان موجب ايجاد حداکثري امنيت در ساختار شبکه و اطلاعات سازمان خواهد شد . اما با گذشت زمان ، روش هاي قبلي از جمله نفوذ به شبکه ها تغيير خواهند يافت و سيستم امنيتي شبکه و اطلاعات سازمان بر اساس تنظيمات قبلي قادر به حل مشکلات جديد نخواهند بود . از طرفي ديگر هر روزه آسيب پذيري هاي جديدي شبکه و اطلاعات سازمان را تهديد مي نمايند و در صورتي که از راه حل هاي جديد استفاده ننمائيم ، سيستم شبکه و اطلاعات سازمان بسيار آسيب پذير خواهد شد و عملا فعاليت هاي چندساله و هزينه هاي انجام شده در زمينه امنيت شبکه و اطلاعات بي فايده خواهد شد. براي حل مشکلات ذکر شده در سيستم مديريت امنيت اطلاعات و شبکه ، تشکيلات وطرح های پشتيباني امنيت ، پيش بيني شده است . مهمترين اين روش ها ، طرح پشتيباني از حوادث مي باشد .
طرح پشتيبانی از حوادث دسته بندی حوادث حوادث امنيتي به همراه عوامل آنها دسته بندی ميگردد . برخي از اين دسته بندي ها عبارتند از : کدهاي مخرب دسترسي غير مجاز ممانعت از سرويس .............. پاسخ به حوادث پاسخ گوئي به حوادث يکي از ضروري ترين کارها مي باشد چرا که تکرار حملات مي تواند منجر به افزايش دامنه خسارات و زيان هايي بر سرمايه هاي سازماني گردد . در اين قسمت ضرورتهاي پاسخ به حوادث وفوايد آن ذکر مي گردد.
طرح پشتيبانی از حوادث ارائه سياست ها و رويه هاي پشتيباني حوادث ساختار تيم پشتيباني حوادث معرفي و انتخاب انواع تيم هاي پشتيباني حوادث تيم پاسخ به حوادث مرکزي تيم پاسخ به حوادث توزيع شده تيم اطلاع رساني معرفي و انتخاب پرسنل وظايف تيم پشتيباني حوادث ارزيابي آسيب پذيري ها تشخيص تهاجم آموزش اطلاع رساني ......
متدولوژی پشتيبانی از حوادث فاز های مختلف اين متدولوژی عبارتند از : آماده سازی تشخيص و تحليل محدود سازی ، ريشه کنی و ترميم فعاليت های بعد از ترميم آماده سازی تشخيص و تحليل محدود سازی ريشه کنی و ترميم فعاليت های بعد از ترميم
انتخاب کنترل هاي مناسب استاندارد ISO 27001 براي سازمان سپس ارتباط اين کنترل ها و راهکار هاي ارائه شده در فاز قبلي مشخص مي گردد بعبارتی راهکار هاي لازم براي پياده سازي کنترل هاي انتخابي ارائه ميگردد .
تشکيلات امنيت اطلاعات سازمان اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان متشکل از سه جزء اصلي به شرح زير مي باشد: در سطح سياستگذاري: کميته راهبري امنيت فضاي تبادل اطلاعات دستگاه در سطح مديريت اجرائي: مدير امنيت فضاي تبادل اطلاعات دستگاه در سطح فني: واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف کميته راهبري امنيت بررسي، تغيير و تصويب سياستهاي امنيتي پيگيري اجراي سياستهاي امنيتي از مدير امنيت تائيد طرحها و برنامههاي امنيت سازمان شامل: طرح تحليل مخاطرات امنيتي طرح امنيت شبکه طرح مقابله با حوادث و ترميم خرابيها برنامه آگاهيرساني امنيتي کاربران برنامه آموزش های امنيتی
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف مدير امنيت: تهيه پيش نويس سياستهاي امنيتي و ارائه به کميته راهبري امنيت تهيه طرحها و برنامههاي امنيت سازمان با کمک واحد مشاوره و طراحي نظارت بر اجراي کامل سياستهاي امنيتي مديريت ونظارت بر واحد پشتيباني امنيت سازمان تشخيص ضرورت و پيشنهاد بازنگري و اصلاح سياستهاي امنيتي تهيه پيش نويس تغييرات سياستهاي امنيتي
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف پشتيباني حوادث امنيتي : مرور روزانه Log فايروالها، مسيريابها، تجهيزات گذرگاههاي ارتباط با ساير شبکهها و سرويسدهندههاي شبکه داخلي و اينترنت دستگاه، بمنظور تشخيص اقدامات خرابکارانه و تهاجم. مرور ترددهاي انجام شده به سايت و Data Center و گزارش اقدامات انجام شده توسط کارشناسان و مديران سرويسها. مرور روزانه گزارش سيستم تشخيص تهاجم به منظور تشخيص تهاجمهاي احتمالي. انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جديد. ترميم خرابيهاي ناشي از تهاجم جديد. مستندسازي و ارائه گزارش تهاجم تشخيص داده شده به تيم هماهنگي و آگاهيرساني امنيتي. اعمال تغييرات لازم در سيستم امنيت شبکه، بمنظور مقابله با تهاجم جديد. مطالعه و بررسي تهاجمهاي جديد و اعمال تنظيمات لازم در سيستم تشخيص تهاجم و ساير بخشهاي سيستم امنيت شبکه. ارائه پيشنهاد در خصوص تغييرات لازم در سيستم امنيتي شبکه بمنظور مقابله با تهديدهاي جديد، به مدير امنيت شبکه. آگاهيرساني به کاربران شبکه در خصوص روشهاي جديد نفوذ به سيستمها و روشهاي مقابله با آن، آسيبپذيريهاي جديد ارائه شده براي سيستمهاي مختلف و روشهاي بر طرف نمودن آنها.
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان بررسي و در صورت نياز، انتخاب، خريد و تست نرم افزار ضدويروس مناسب براي ايستگاههاي کاري و سرويس دهندههاي شبکه دستگاه به صورت دورهاي ( هر سال يکبار) نصب نرمافزار ضدويروس روي ايستگاههاي کاري مديران و ارائه اطلاعات لازم به ساير کاربران، جهت نصب نرمافزار. نصب نرمافزار ضدويروس روي کليه سرويسدهندههاي شبکه دستگاه. تهيه راهنماي نصب و Update نمودن نرمافزار ضدويروس ايستگاههاي کاري و سرويسدهندهها و ارائه آن به کاربران شبکه از طريق واحد هماهنگي و آگاهيرساني امنيتي. مرور روزانه Log و گزارشات نرمافزارهاي ضد ويروس. مطالعه و بررسي ويروسهاي جديد و روشهاي مقابله با آن. ارائه روشهاي مقابله با ويروسها به تيم هماهنگي و آگاهيرساني امنيتي، جهت اعلام به کاربران و انجام اقدامات لازم. انجام اقدامات پيشگيرانه لازم بمنظور کنترل دامنه تاثير ويروسهاي جديد. ترميم خرابيهاي ناشي از ويروسهاي جديد. مستندسازي و ارائه گزارشهاي آماري از ويروسها، مقابله با آنها و خرابيهاي ناشي از ويروسها در شبکه دستگاه، به تيم هماهنگي و آگاهيرساني امنيتي.
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان انتخاب ابزارهاي مناسب جهت محافظت فيزيکي از تجهيزات و سرمايههاي شبکه در مقابل حوادث فيزيکي و دسترسيهاي غيرمجاز . مرور روزانه رويدادنامههاي دسترسي فيزيکي به سرمايههاي شبکه، بويژه در سايت. سرکشي دورهاي به سايت، تجهيزات مستقر در طبقات ساختمانها و مسير عبور کابلها به منظور اطمينان از تامين امنيت فيزيکي آنها. مطالعه و بررسي حوادث فيزيکي جديد و روشهاي مقابله با آن. ارائه روشها به تيم هماهنگي و آگاهيرساني امنيت جهت اعلام به کاربران و انجام اقدامات لازم. انجام اقدامات لازم بمنظور کنترل دامنه حوادث فيزيکي. ترميم خرابيهاي ناشي از حوادث فيزيکي. مستندسازي و ارائه گزارشهاي آماري از حوادث فيزيکي، مقابله با اين حوادث و خرابيهاي ناشي از آنها به تيم هماهنگي و آگاهيرساني امنيتي. ارائه پيشنهاد در خصوص Update نمودن تجهيزات و روشهاي تامين امنيت فيزيکي به مدير امنيت شبکه. ارائه اطلاعات لازم جهت آگاهي رساني به کاربران در خصوص حوادث فيزيکي، توسط تيم هماهنگي و آگاهيرساني امنيتي.
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف نظارت و بازرسي مانيتورينگ ترافيک شبکه ( در حيطه مانيتورينگ مجاز ) بازرسي دوره اي از ايستگاههاي کاري، سرويسدهندهها، تجهيزات شبکه و ساير سختافزارهاي موجود شبکه، به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از سختافزارهاي خريداري شده و تطبيق پروسه "سفارش، خريد، تست، نصب و پيکربندي سختافزارهاي شبکه دستگاه" با سياستهاي مربوطه. بازرسي دوره اي از نرمافزارهاي موجود شبکه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از نرمافزارهاي خريداري شده و تطبيق پروسه "سفارش، خريد، تست، نصب و پيکربندي نرمافزارهاي شبکه دستگاه" با سياستهاي مربوطه. بازرسي دوره اي از نحوه اتصال شبکه داخلي و شبکه دسترسي به اينترنت دستگاه، با ساير شبکههاي مجاز، بر اساس سياستهاي امنيتي مربوطه. بازرسي دوره اي از اطلاعات شبکه دستگاه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از کاربران شبکه دستگاه به منظور اطمينان از آگاهي کاربران از حقوق و مسئوليتهاي خود و رعايت سياستهاي امنيتي مرتبط با خود. بازرسي دوره اي از روند تهيه اطلاعات پشتيبان. بازرسي دوره اي از روند تشخيص و مقابله با حوادث امنيتي در شبکه دستگاه. بازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاه.
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان بازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاه بازرسي دوره اي از روند تشخيص و مقابله با حوادث فيزيکي در شبکه دستگاه بازرسي دوره اي از روند نگهداري سيستم امنيتي شبکه در شبکه دستگاه بازرسي دوره اي از روند مديريت تغييرات در شبکه دستگاه بازرسي دوره اي از روند آگاهيرساني امنيتي به کاربران شبکه دستگاه بازرسي دوره اي از روند آموزش پرسنل واحد پشتيباني امنيت شبکه دستگاه بازرسي دوره اي از روند واگذاري فعاليتها به پيمانکاران خارج از دستگاه
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف مديريت تغييرات بررسي درخواست خريد، ايجاد يا تغيير سختافزارها، نرمافزارها، لينکهاي ارتباطي، سيستمعاملها و سرويسهاي شبکه از ديدگاه امنيت شبکه، آسيبپذيريهاي سيستم يا سرويس مورد نظر، مشکلات امنيتي ناشي از بکارگيري آن بر ساير بخشهاي شبکه و نهايتا تصميمگيري در خصوص تائيد يا رد درخواست. بررسي آسيبپذيري سختافزار، نرمافزار کاربردي، سيستم عامل، خطوط ارتباطي و سرويسها و امنيت شبکه. آگاهيرساني به طراحان شبکه و امنيت شبکه در خصوص آسيبپذيري فوق، بمنظور لحاظ نمودن در طراحي. ارائه گزارش بررسيها به تيم هماهنگي و آگاهيرساني امنيت شبکه. بررسي موارد مربوط به جابجائي کاربران شبکه و پرسنل تشکيلات امنيت شبکه بمنظور تغيير در دسترسي و حدود اختيارات آنها در دسترسي به سرمايههاي شبکه. بررسي نيازمنديهاي امنيتي و روشهاي ايمنسازي سيستم عاملها، سرويسدهندههاي شبکه، خطوط ارتباطي، نرمافزارها، تجهيزات شبکه و امنيت شبکه جديد که بکارگيري آنها در شبکه، مورد تائيد قرار گرفته است. ارائه دستورالعملهاي ايمنسازي و پيکربندي امن براي هر يک از موارد فوق
اجزاء و ساختار تشکيلات امنيت اطلاعات سازمان شرح وظايف نگهداري امنيت بررسي وضعيت عملکرد سيستم امنيتي شبکه، شامل: عملکرد صحيح فايروالها. عملکرد صحيح سيستم تشخيص تهاجم. عملکرد صحيح سيستم ثبت وقايع. عملکرد صحيح سيستم تهيه نسخه پشتيبان. ارائه گزارشات دوره ای در خصوص عملکرد سيستم امنيتي ارائه گزارشات آماري از وضعيت سيستم امنيتي شبکه. رفع اشکالات تشخيص داده شده در عملکرد سيستم امنيتي
چرخه استمرار پياده سازی ISMS برنامه PLAN استقرار ISMS شامل تعيين خط مشي ها، اهداف، فرايندها و روالها به منظور مديريت مخاطرات در راستاي اهداف سازمان است. در اين مرحله، بايد سرمايه اوليه راه اندازي ISMS، روشهاي مستند سازي، مديريت مخاطرات وروشهاي اختصاص منابع مشخص شود. بايد مطمئن شد كه“ محتوا و محدوده ISMS بطور دقيق و مناسب مشخص شده است“. فعاليتهاي مورد نياز در اين مرحله عبارتاند از: 1- تعريف محدوده (Scope) 2 - تعريف خط مشي ISMS 3 - تعيين تهديدات 4 - ارزيابي تهديدات 5 - انتخاب كنترلهاي مناسب خط مشي اقدام برنامه بهبود مستمر اجرا بررسي
چرخه استمرار پياده سازی ISMS اجرا Do در اين مرحله كليه كنترلهابايدعملياتي شوند رويههايي براي تشخيص سريع و پاسخگويي به حوادث لازم مي باشد. آگاه نمودن كليه كارمندان و افراد سازمان نسبت به امنيت در سازمان آموزشهاي لازم جهت عملكرد مناسب براي برخورد با ريسك و تهديد خلاصه اي از فعاليتهاي اين مرحله عبارت است از: _ فرموله كردن طرح برخورد با مخاطرات _ اجراي طرح برخورد با مخاطرات _ پياده سازي كنترلهاي امنيتي انتخاب شده _ اجراي برنامه هاي آموزش و آگاهيرساني _ مديريت منابع و فعاليتها
چرخه استمرار پياده سازی ISMS بررسی Check هدف اين مرحله اطمينان ازاجراي بموقع كنترلهاي امنيتي و برآورده شدن اهداف امنيت اطلاعات است. ارزيابي ميزان كارايي و مؤثر بودن ISMS اجراي روالهاي ارزيابي و مرور فرايندها و خط مشي ها انجام بازرسيهاي دورهاي درون سازماني و برون سازماني فعاليتهاي كنترلي متنوع بازرسيهاي داخلي ISMSومديريت بازبيني از مراحل پياده سازي امنيت نتايج حاصل از بازبيني سيستمهاي تشخيص نفوذ،واقعه نگاري، دسترسيهاي غيرمجازبه شبكه و عبور از سيستمهاي امنيتي ، جهت بهبود عملكرد سيستم امنيتي شبكه، استفاده و سپس در سياستهاي امنيتي شبكه اعمال مي شود.
چرخه استمرار پياده سازی ISMS اقدام ACT اقدامات اصلاحي در جهت بهبود ISMS براساس نتايج مرحله ارزيابي اين اقدامات در دو مقوله طبقه بندي ميگردد. 1 - بر اساس مرحله خاصي از زمان : در زمان تعامل فناوري با اطلاعات، عكس العمل لازم در برابر يك مشكل امنيتي ميتواند از نوع پيشگيرانه (كنشي) يا اصلاحي (واكنشي) باشد. 2- بر اساس سطوح پياده سازي نظامهاي امنيتي: فناوري امنيت اطلاعات،از نوع واكنشي ويااز نوع كنشي را مي توان در سه سطح، شبكه، ميزبان، برنامه هاي كاربردي، پيادهسازي نمود.
مميزي داخلي سازمان در حوزه کاري (Scope ) در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليست ها و مستندات مربوط به سرمميزي استاندارد ISO 27001 , توسط شخص يا تيم مميز کننده ، کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررسي مي گردند تا در صورتيکه انحرافي نسبت به اهداف استاندارد وجود دارد ، سريعا برطرف گردد . پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود ، سازمان آماده دريافت گواهينامه بينالمللي استاندارد ISO 27001 مي باشد .
صدور گواهينامه بينالمللي استانداردISO 27001 در پايان پروژه و پس از اينکه تشخيص داده شد که سازمان آماده دريافت گواهينامه مي باشد و در صورت تمايل مديريت سازمان ، از يک مرکز تصديق معتبر (Certification Body - CB) براي صدور گواهينامه دعوت بعمل مي آيد .
مزاياي دريافت گواهينامه افزايش اعتبار سازمان تضمين پاسخگويي تسريع بهبود فرايند ها تضمين تعهد مديريت تمايل يافتن مشتريان ايجاد انگيزه در كاركنان گواهينامه ISMS
آموزش وآگاه سازي در سطوح مختلف دريافت گواهينامه گواهينامه ISMS قرارداد مشاوره مطالعات اوليه پياده سازي برآورد اوليه مميزي اوليه پيگيري گواهينامه Certification Body مميزي دوره اي شركت مشاور مميز ها آموزش وآگاه سازي در سطوح مختلف