استاندارد مدیریت امنیت اطلاعات ISO 2700X ارائه دهنده: حسین محمدحسن زاده 24 اردیبهشت 1392 H.M.Hassanzade, Hassanzade@Gmail.com

دارائی چیست؟ هر چیزی که برای سازمان دارای ارزش می باشد. انواع دارايی ها: دارایی های اطلاعاتی مستندات کاغذی دارایی های نرم افزاری دارایی های فیزیکی منابع انسانی وجهه و شهرت سازمان سرویس ها H.M.Hassanzade, Hassanzade@Gmail.com

اطلاعات چيست؟ داده های پردازش شده که مبنایی برای تصمیم گیری می باشند. اطلاعات یك دارایـی است كه هماننـد سایر دارایی های مهم برای فعالیت هـای کاری یك سازمان بسیار اساسی است. بدون محافظت از اطلاعات ممکن است: محرمانگی کاهش یابد. بدون دانش (عمدی یا غیرعمدی) دستکاری شود. به صورت جبران ناپذیری پاک شده یا از بین برود. غیرقابل دسترس شود. H.M.Hassanzade, Hassanzade@Gmail.com

مثال هایی از اطلاعات کاغذی مستندات مراسلات متداول رسانه های الکترونیکی سوابق پایگاه داده ایمیل ها CD ROM ها، DVD ROM ها، نوارها و ... فیلم ها مکالمات اطلاعات بیان شده به مشتری اطلاعات بیان شده در جلسات H.M.Hassanzade, Hassanzade@Gmail.com

چرا به امنیت اطلاعات نیاز داریم؟ به طور جهانی پذیرفته شده است که اطلاعات برای سازمان ها و کسب و کار ها حیاتی است نیاز است با حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات سازمان و مشتری، تداوم کسب و کار مزیت رقابتی درآمد نقدی کاهش خسارات وارده به کسب و کار سودآوری افزايش ارزش افزوده فراهم آید. H.M.Hassanzade, Hassanzade@Gmail.com

امنیت اطلاعات اطلاعات می بایست به صورت امن: امنیت شامل: ایجاد شود استفاده شود ذخیره شود انتقال داده شود امنیت شامل: امنیت محصول امنیت فنآوری اطلاعات امنیت سازمانی H.M.Hassanzade, Hassanzade@Gmail.com

ISO 2700X چیست؟ قابل استفاده در تمامی بخش های صنعت و تجارت محدود به اطلاعات سیستم های الکترونیکی نمی شود هر گونه اطلاعات را در هر فرم پشتیبانی می کند مستندات ارتباطات مکالمات پیام ها تصاویر و ... H.M.Hassanzade, Hassanzade@Gmail.com

مزایای گواهینامه ISO 2700X Certification نشان می دهد امنیت اطلاعات شناسایی، پیاده سازی و به خوبی کنترل شده است مشتریان، کارمندان، شرکای تجاری و ذینفعان قانع می شوند که اطلاعات و سیستم های مدیریتی شما ایمن است به همراه خود اعتبار و اعتماد می آورد صرفه جویی – حتی کوچکترین نشت اطلاعات، می تواند هزینه سنگینی به همراه داشته باشد نشان می دهد که الزام به امنیت اطلاعات در تمامی سطوح سازمان برقرار است H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی در ISO 2700X ایزو 27001 تعدادی کنترل و اهداف کنترلی را شامل می شود اهداف کنترلی عبارتند از: خطی مشی های امنیتی امنیت سازمانی طبقه بندی و کنترل دارائی امنیت پرسنل امنیت فیزیکی و محیطی مدیریت ارتباطات و عملیات کنترل دسترسی توسعه و نگهداری سیستم مدیریت حوادث مدیریت تداوم کسب و کار انطباق با الزامات قانونی این کنترل ها در بخش های 5 تا 15 استاندارد ISO IEC 27002 ارائه شده است H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی 5- خط مشی امنیتی الف-5-1- خط مشی امنیت اطلاعات 5-1-1- سند خط مشی امنیت اطلاعات 5-1-2- بازنگری خط مشی امنیت اطلاعات H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی 5- خط مشی امنیتی خطی مشی (Policies) استاندارد (Standard) احکام سطح بالا که مدیران را به هنگام تصمیم گیری، در زمان حال یا آینده، راهنمایی می کند. استاندارد (Standard) بیان نیازمندی هایی که جزئیات تکنیکی اعمال خطی مشی را فراهم می آورند رهنمون (Guideline) ویژگی های اختیاری، اما توصیه شده! H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی 5- خط مشی امنیتی Access to network resource will be granted through a unique user ID and password Passwords should include one non-alpha and not found in dictionary Passwords will be 8 characters long H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 6- امنیت اطلاعات سازمان الف-6-1- سازمان داخلی 6-1-1- تعهد مدیریت به امنیت اطلاعات 6-1-2- هماهنگی امنیت اطلاعات 6-1-3- تخصیص مسئولیت های امنیت اطلاعات 6-1-4- فرآیند مجازسازی برای امکانات پردازش اطلاعات 6-1-5- توافق نامه محرمانگی 6-1-6- برقراری ارتباط با اولیای امور 6-1-7- برقراری ارتباط با گروه های دارای گرایش خاص 6-1-8- بازنگری مستقل امنیت اطلاعات الف-6-2- طرف های بیرونی 6-2-1- شناسایی مخاطرات مرتبط با طرف های بیرونی 6-2-2- نشانی دهی امنیت هنگام سر و کار داشتن با مشتریان 6-2-3- نشانی دهی امنیت در توافق نامه های شخص ثالث H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 7- مدیریت دارایی 7-1- مسئولیت دارایی ها 7-1-1- سیاهه اموال 7-1-2- مالکیت دارایی ها 7-1-3- استفاده پسندیده از دارایی ها 7-2- طبقه بندی اطلاعات 7-2-1- خطوط راهنمای طبقه بندی 7-2-2- علامت گذاری و اداره کردن اطلاعات H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 8- امنیت منابع انسانی 8-1- پیش از اشتغال 8-1-1- نقش ها و مسئولیت ها 8-1-2- گزینش 8-1-3- ضوابط و شرایط استخدام 8-2- حین خدمت 8-2-1- مسئولیت های مدیریت 8-2-2- آگاه سازی، تحصیل و آموزش امنیت اطلاعات 8-2-3- فرآیند انضباطی 8-3- خاتمه استخدام یا تغییر در شغل 8-3-1- مسئولیت های خاتمه خدمت 8-3-2- عودت دارایی ها 8-3-3- حذف حقوق دسترسی H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 9- امنیت فیزیکی و محیطی 9-1- نواحی امن 9-2- امنیت تجهیزات 9-2-1- استقرار و حفاظت تجهیزات 9-2-2- امکانات پشتیبانی 9-2-3- امنیت کابل کشی 9-2-4- نگهداری تجهیزات 9-2-5- امنیت تجهیزات خارج از ابنیه 9-2-6- امحاء یا استفاده مجدد از تجهیزات به صورت ایمن 9-2-7- خروج دارایی 9-1- نواحی امن 9-1-1- حصار امنیت فیزیکی 9-1-2- کنترل های مداخل فیزیکی 9-1-3- ایمن سازی دفاتر، اتاق ها و امکانات 9-1-4- محافظت در برابر تهدیدهای بیرونی و محیطی 9-1-5- کار در نواحی امن 9-1-6- دسترسی عمومی، نواحی تحویل و بارگیری H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 10- مدیریت ارتباطات و عملیات 10-1- روش های اجرایی عملیاتی و مسئولیت ها 10-2- مدیریت ارائه خدمت شخص ثالث 10-3- طرح ریزی و پذیرش سیستم 10-4- حفاظت در برابر کدهای مخرب و سیار 10-5- نسخ پشتیبان 10-6- مدیریت امنیت شبکه 10-7- مدیریت محیط های ذخیره سازی 10-8- تبادل اطلاعات 10-9- خدمات تجارت الکترونیک 10-10- پایش H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 11-کنترل دسترسی 11-1- الزامات کسب و کار برای کنترل دسترسی 11-2- مدیریت دسترسی کاربر 11-3- مسئولیت های کاربر 11-4- کنترل دسترسی به شبکه 11-5- کنترل دسترسی به سیستم عامل 11-6- کنترل دسترسی به برنامه های کاربردی و اطلاعات 11-7- محاسبه سیار و کار از راه دور H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 12- اکتساب، توسعه و نگهداری سیستم های اطلاعاتی 12-1- الزامات امنیتی سیستم های اطلاعاتی 12-2- پردازش صحیح در برنامه های کاربردی 12-3- کنترل های رمزنگاری 12-4- امنیت پرونده های سیستم 12-5- امنیت در فرآیند های توسعه و پشتیبانی 12-6- مدیریت آسیب پذیری فنی H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 13- مدیریت حوادث امنیت اطلاعات 13-1- گزارش دهی وقایع و ضعف های امنیت اطلاعات 13-1-1- گزارش دهی وقایع امنیت اطلاعات 13-1-2- گزارش دهی ضعف های امنیتی 13-2- مدیریت حوادث و بهبود های امنیت اطلاعات 13-2-1- مسئولیت ها و روش های اجرایی 13-2-2- یادگیری از حوادث امنیت اطلاعات 13-2-3- گردآوری شواهد H.M.Hassanzade, Hassanzade@Gmail.com

اهداف کنترلی (ادامه) 14- مدیریت تداوم کسب و کار 14-1- جنبه های امنیت اطلاعات مدیریت تداوم کسب وکار 14-1-1- لحاظ کردن امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار 14-1-2- تداوم کسب و کار و برآورد مخاطرات 14-1-3- ایجاد و پیاده سازی طرح های تداوم دربرگیرنده امنیت اطلاعات 14-1-4- چارچوب طرح ریزی تداوم کسب و کار 14-1-5- آزمایش، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار 15- انطباق 15-1- انطباق با الزامات قانونی 15-2- انطباق با خط مشی ها و استانداردهای امنیتی و انطباق فنی 15-3- ملاحظات ممیزی سیستم های اطلاعاتی H.M.Hassanzade, Hassanzade@Gmail.com

پیاده سازی 27001 در سازمان توسعه یک سیستم مدیریت امنیت اطلاعات که الزامات و کنترل های ایزو 27001 را برآورده سازد، شامل سه گام کلی زیر می شود: ساخت یک چارچوب مدیریتی برای اطلاعات تنظیم جهات و اهداف امنیت اطلاعات تعریف یک خطی مشی که الزامات مدیریتی را به همراه داشته باشد شناسایی و ارزیابی ریسک های امنیتی معرفی مناسب ترین عمل مدیریتی تشخیص اولویت های مدیریت امنیت اطلاعات انتخاب و اجرای کنترل ها نیاز است که کنترل ها تضمین دهند ریسک به سطح مورد پذیرش کاهش یافته و اهداف سازمان برآورده می شود کنترل ها در قالب خطی مشی ها، فرآیند ها و ساختار سازمانی و توابع نرم افزاری ارائه می شوند H.M.Hassanzade, Hassanzade@Gmail.com

پیاده سازی 27001 در سازمان دامنه ISMS تعریف دامنه و مرزهای ISMS گام 1 گام 2 مستندات رویکرد برآورد مخاطرات تعریف رویکرد برآورد مخاطرات گام 3 لیستی از تهدیدها، آسیب پذیری ها و آسیب ها شناسایی مخاطرات گام 4 گزارشی از آسیب های کسب وکار و احتمال آنها تحلیل و ارزیابی مخاطرات گام 5 طرح برطرف سازی مخاطرات شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات گام 6 لیستی از اهداف کنترلی و کنترل ها انتخاب کنترل ها و اهداف کنترلی گام 7 سوابق مخاطرات باقی مانده تأیید شده کسب مجوز برای مخاطرات باقی مانده پیشنهادشده گام 8 مجوز مدیریت برای پیاده سازی ISMS کسب مجوز مدیریت برای پیاده سازی ISMS گام 9 بیانیه کاربست پذیری تهیه بیانیه کاربست پذیری گام 10

گام 1؛ تعریف دامنه و مرزهای ISMS قانون گذاران بازدیدکنندگان پیمانکاران مشتریان خارج سازمان - داخل دامنه داخل سازمان - خارج دامنه داخل سازمان - داخل دامنه منابع انسانی مالی بازرگانی مشاور امنیت اجرایی طرح و برنامه خرید و تدارکات مدیریت H.M.Hassanzade, Hassanzade@Gmail.com

گام 2؛ تعریف خطی مشی ISMS تعریفی از امنیت اطلاعات، اهداف کلان و اصول امنیت اطلاعات در راستای راهبرد و اهداف کسب و کار. شرح مختصری از خط مشی های امنیتی، اصول، استانداردها و برآوردسازی الزاماتی که مشخصاً برای سازمان اهمیت دارند، شامل: انطباق با مراجع قانونی، قوانین و الزامات قراردادی الزامات کسب وکار هماهنگ با مدیریت مخاطرات و معیار پذیرش آن. ارجاعاتی به مستندسازی که ممکن است پشتیبان خط مشی باشند. H.M.Hassanzade, Hassanzade@Gmail.com

گام 3؛ تعریف رویکرد برآورد مخاطرات شناسایی یک متدولوژی برآورد مخاطرات که برای سیستم مدیریت امنیت اطلاعات و امنیت اطلاعات شناسایی شده کسب وکار، الزامات قانونی و آئین نامه ای، متناسب باشد. تصمیم گیری برای انتخاب متد، بر عهده سازمان است. مانند: روش FMEA مقرون به صرفه واقع بینانه متعادل استفاده از ابزارهای نرم افزاری مانند: VS Risk، Callio، Cobra و... H.M.Hassanzade, Hassanzade@Gmail.com

گام 4؛ شناسایی مخاطرات مخاطره، عامل بالقوه ای است که یک تهدید معین، از آسیب پذیری ها به گونه ای بهره جویی نماید که باعث از دست رفتن یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیر مستقیم به سازمان آسیب رساند. مخاطره، احتمال اینکه یک تهدید امنیتی خاص بخواهد از یک آسیب پذیری خاص بهره جویی کند. مخاطره، احتمال وقوع یک حادثه امنیتی H.M.Hassanzade, Hassanzade@Gmail.com

گام 5؛ تحلیل و ارزیابی مخاطرات هدف: برآورد نهایی مخاطرات (محاسبه ریسک) بستگی به رویکرد ارزیابی مخاطرات برگزیده توسط سازمان دارد. نمونه هایی از نحوه محاسبه ریسک (خطر): ارزش نهایی × احتمال محرمانگی × احتمال یکپارچگی × احتمال دسترس پذیری × احتمال H.M.Hassanzade, Hassanzade@Gmail.com

گام 6؛ شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات مدیریت و برطرف سازی مناسب مخاطرات در زمینه کسب و کار، شامل: بکارگرفتن کنترل های مناسب (Apply) پذیرش مخاطرات (Accept) اجتناب (حذف) از مخاطرات (Avoid) انتقال مخاطرات (Transfer) H.M.Hassanzade, Hassanzade@Gmail.com

گام 7؛ انتخاب کنترل ها و اهداف کنترلی انتخاب و پیاده سازی کنترل ها و اهداف کنترلی جهت برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات در نظر گرفتن معیاری برای پذیرش مخاطرات الزامات قراردادی، قانونی و آیین نامه ای کنترل ها و اهداف کنترلی برگزیده H.M.Hassanzade, Hassanzade@Gmail.com

گام 8؛ کسب مجوز مدیریت برای مخاطرات باقی مانده پیشنهاد شده ارزیابی میزان کاهش مخاطرات توسط کنترل ها پیاده سازی کنترل های بیشتر امکان مجبور شدن به پذیرش اجتناب انتقال کسب مصوبه مدیریت برای مخاطرات باقی مانده پیشنهاد شده H.M.Hassanzade, Hassanzade@Gmail.com

گام 9؛ کسب مجوز مدیریت برای پیاده سازی ISMS گام 10؛ تهیه بیانیه کاربست پذیری تعریف: بیانیه مستند شده ای که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. یک بیانیه کاربست پذیری شامل موارد ذیل می باشد: اهداف کنترلی و کنترل های برگزیده و دلایل انتخاب آنها. اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند. کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آنها. H.M.Hassanzade, Hassanzade@Gmail.com

کلیدهای موفقیت تعهد و الزام مدیریت به مشارکت هدف گذاری کارا در ISMS پشتیبانی مدیریت ارشد کافی نیست، بلکه بایستی مشارکت فعال داشته باشد این مشارکت، همکاری تمامی سطوح پایین تر را به همراه خواهد داشت هدف گذاری کارا در ISMS لازم است که هوشمندانه، حوزه پروژه محدود شود در غیر این صورت، پروژه به یک «اقیانوس جوشان» تبدیل خواهد شد آموزش و انتقال دانش با درگیر کردن کارمندان مورد هدف در امر توسعه، تعداد ذینفعان افزایش می یابد همچنین ارزش کار انجام شده بهتر درک می شود H.M.Hassanzade, Hassanzade@Gmail.com

پایان H.M.Hassanzade, Hassanzade@Gmail.com