ISMS
Information Security Management System
سیستم مدیریت امنیت اطلاعات
مقدمه
اطلاعات ( مانند سایر دارائی های سازمانی ) به عنوان یک دارائی مهم و باارزش برای هر سازمان به حساب می آید و در نتیجه نیازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می باشند .
استاندارد ISO 27001 تامین کننده یک سری از ابزارهای سازگار با یکدیگر برای سنجش مدیریت امنیت اطلاعات در هر سازمان با هر نوع کار یا حجم سازمان می باشد. این گواهینامه می تواند برای یک سازمان یا بخشی از آن دریافت و سپس در سازمان گسترش و بخش های دیگر را دربرگیرد.
موسسات ISO و IEC از موسسات بین المللی تدوین استاندارد در سطح جهانی می باشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل داده اند .
استاندارد بین المللی ISO/IEC 17799 برای اولین بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذیرفته شد .
اصول مهم درامنیت اطلاعات
سه اصل مهم در امنیت اطلاعات عبارتند از :
محرمانگی : اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روش های پردازش آنها
دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائی های مربوطه به آنها دسترسی دارند .
امنیت اطلاعات به وسیله اجرای یکسری از کنترل های مناسب ، حاصل خواهد شد. این کنترل ها میتوانند به صورت خط مشی ها ، رویه ها ، ساختارهای سازمانی و یا نرم افزارهای کاربردی باشند . این کنترل ها برای اطمینان از برآورده شدن اهداف امنیتی سازمان بایستی اجرا گردند .
ISMS (Information Security Management System)
بر اساس استاندارد ISO 27001 در کنار دیگر سیستمهای مدیریت به خصوص استاندارد 9001ISO و تحت نظارت و مدیریت مستقیم مدیریت ارشد سازمان مستقر می گردد.
تامین کننده امنیت اطلاعات سازمان
مبتنی بر رویکرد فرآیندی است
این سیستم برای پیاده سازی از استانداردها و متدولوژی های گوناگونی مانند
BS 7799 و ISO/IEC 17799 و ISO 15408(معیار های عمومی برای فنآوری اطلاعات ) بهره می گیرد.
تعریف ISO از ISMS
قسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس، پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است.
استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم
می کند.
* منظور از مدیریت کلی ، رعایت سایر استانداردها می باشد.
ISMS (Information Security Management System)
مشخصه ای برای مدیریت امنیت اطلاعات
دستورالعمل مدیریت امنیت اطلاعات
پایه ای برای ارتباط قراردادی
پایه گواهینامه شخص ثالث
قابلیت کاربرد برای تمامی بخشهای صنعت
تاکید بر پیش گیری
سری استانداردهای ISO/IEC 2700k
ISO/IEC 27001:2005, Information security management systems — Requirements
سیستم های مدیریت امنیت اطلاعات – نیازمندی ها
ISO/IEC 27002:2005, Code of practice for information security management
آئین نامه کاری مدیریت امنیت اطلاعات
ISO/IEC 27003, Information security management system implementation guidance
راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات
ISO/IEC 27004, Information security management — Measurement
مدیریت امنیت اطلاعات – سنجش
ISO/IEC 27005:2008, Information security risk management
مدیریت مخاطرات امنیت اطلاعات
ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems
راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات
مزایای پیاده سازی استاندارد ISO/IEC 27001
نزدیک شدن به وضعیت سیستماتیک و روش مند
افزایش تضمین اعتبار قانونی سازمان
افزایش جنبه های تداوم کسب وکار
شناسائی دارایی های بحرانی از طریق ارزیابی ریسک
ایجاد یک ساختار برای بهبود مستمر
افزایش شناخت و اهمیت مسائل مربوط به امنیت درسطح مدیریت
بومی سازی فرهنگ و دانش امنیت اطلاعات در سازمان
ارزیابی اولیه از میزان امنیت شبکه و اطلاعات جاری سازمان ( Gap Analysie)
ارزیابی اولیه در حوزه های مختلف، با ارائه پرسشنامه
حوزه های مرتبط با مدیریت
حوزه های مرتبط با آموزش و آگاه سازی
حوزه های مرتبط با وابستگی سازمان به کارمندان
حوزه های مرتبط با دسترسی و حقوق دسترسی
حوزه های مرتبط با رویه های سازمانی
حوزه های مرتبط با بازرسی
حوزه های مرتبط با خط مشی های امنیتی
حوزه های مرتبط با مستندات
حوزه های مرتبط با سخت افزار و نرم افزار
حوزه های مرتبط با شبکه
حوزه های مرتبط با کاربران
…….
تعیین محدوده استقرار سیستم مدیریت امنیت اطلاعات ( SCOPE )
دامنه ومرزهای سیستم مدیریت امنیت اطلاعات بر مبنای ویژگی کسب وکار , سازمان، مکان ، دارائی ها وفن آوری آن تعریف می شود و همچنین جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه را شامل می باشد
تعیین دارائی های (سرمایه های) سازمانی
مستندات کاغذی
دارائی های اطلاعاتی
دارائی های فیزیکی
سخت افزار ها
نرم افزارها
اطلاعات و ارتباطات
منابع انسانی
خدمات
تعیین سیاست های امنیتی
سیاست های امنیتی سرویس های فضای تبادل اطلاعات سازمان
سیاست های امنیتی سخت افزارهای فضای تبادل اطلاعات سازمان
سیاست های امنیتی نرم افزارهای فضای تبادل اطلاعات سازمان
سیاست های امنیتی ارتباطات و اطلاعات فضای تبادل اطلاعات سازمان
سیاست های امنیتی کاربران فضای تبادل اطلاعات سازمان
چگونگی تشخیص الزامات امنیتی
ریسک های امنیتی
الزامات قراردادی وقانونی
اصول واهداف والزامات داخلی
برآورد و مدیریت ریسک
کا هش
پذیرش
اجتناب
انتقال
پیامد
احتمال
Risk Assessment
STEP 1: SYSTEM CHARACTERIZATION
System-Related Information
Information-Gathering
STEP 2: THREAT IDENTIFICATION.
Threat-Source Identification
Motivation and Threat Actions
STEP 3: VULNERABILITY IDENTIFICATION.
Vulnerability Sources
System Security Testing
Development of Security Requirements Checklist
Risk Assessment
STEP 4: CONTROL ANALYSIS.
STEP 5: LIKELIHOOD DETERMINATION.
STEP 6: IMPACT ANALYSIS .
STEP 7: RISK DETERMINATION.
Risk-Level Matrix.
Description of Risk Level
STEP 8: CONTROL RECOMMENDATIONS
STEP 9: RESULTS DOCUMENTATION
* Risk Mitigation *
RISK MITIGATION OPTIONS.
RISK MITIGATION STRATEGY.
APPROACH FOR CONTROL IMPLEMENTATION..
CONTROL CATEGORIES .
Technical Security Controls.
Management Security Controls
Operational Security Controls.
COST-BENEFIT ANALYSIS .
RESIDUAL RISK .
ارزیابی ریسک
طرح تحلیل مخاطرات امنیتی
تجزیه و تحلیل شبکه و تعیین مخاطرات امنیتی
معماری شبکه ارتباطی
تجهیزات شبکه ارتباطی
مدیریت و نگهداری شبکه ارتباطی
سرویس های شبکه ارتباطی
تشکیلات و روش های تامین امنیت شبکه ارتباطی
تعیین آسیب پذیریها
شناسائی منابع آسیب پذیری
تست امنیتی سیستم
تعیین ریسک دارائی ها و فرایندها
تعیین آستانه پذیرش ریسک
ارائه راه حلهای کلی برای کاهش آسیب پذیری ها ، تهدیدات و ریسک ها
ارائه طرح جامع امنیت شبکه و اطلاعات
1- ارائه راه حلهای مناسب
معماری شبکه
پروتکلهای شبکه
Server farm
Switching
ارتباطات
امنیت فنی شبکه
طرح تهیه نسخ پشتیبان
امنیت فیزیکی شبکه
سیستمهای کنترل جریان اطلاعات و تکیل نواحی امنیتی
ارائه ساختار معماری IP مناسب برای شبکه
تهیه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی
ساختار DMZ
ارائه طرح جامع امنیت شبکه و اطلاعات
سرویس Accounting
سرویس DNS
سرویس FTP
Filtering
Monitoring
Web Cache
نرم افزارهای تشخیص و مقابله با ویروس
سیستم های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
سیستم های ثبت و تحلیل رویدادنامه ها
سیستم های رمزنگاری اطلاعات
نرم افزارهای نظارت بر ترافیک شبکه
نرم افزارهای پویشگر امنیتی
نرم افزارهای مدیریت امنیت شبکه
…………….
ارائه طرح جامع امنیت شبکه و اطلاعات
2- ارائه نمونه های مناسب دستورالعمل پیکربندی امن و چک لیست
طراحی ساختار کلی شبکه
طراحی ساختار سایت مرکزی
طراحی ساختار فیزیکی شبکه
تعیین تجهیزات غیرفعال مورد نیاز شامل کابلها ، رکها ، داکتها ، پچ پنل ها ، کیستون ها و …
ساختار آدرس دهی
ساختار مسیر یابی
ساختار دسترسی به شبکه
تجهیزات شبکه
سرویس دهنده های شبکه
مدیریت و نگهداری شبکه
تشریح تغییراتی که همزامان با افزودن سیستم امنیتی در معماری ، تجهیزات ، سرویس دهنده ها و مدیریت شبکه انجام می گیرد
تعیین پروتکلهای مورد نیاز شبکه
طراحی معماری IP شبکه و تقسیمبندی آن
طراحی ساختار کلی Server Farm
ارائه طرح جامع امنیت شبکه و اطلاعات
تعیین سرویس های مورد نیاز جهت نصب روی سرورها
تعیین سیستم عامل های مورد نیاز
تعیین سرورهای مورد نیاز
طراحی ساختار سوئیچنگ شبکه
تعیین سوئیچهای مورد نیاز
طراحی ساختار ارتباطی شبکه
طراحی ساختار ارتباطی سایت مرکزی
طراحی ساختار ارتباطات شبکه داخلی با شبکههای خارجی مانند شبکه اینترنت، و ….
طراحی نحوه برقراری ارتباط کاربران خارجی با شبکه داخلی
طراحی ساختار مسیریابی شبکه
تعیین تجهیزات مورد نیاز جهت برقراری ارتباطات از جمله روترها، مودمها و ….
طراحی ساختار مطمئن برای شبکه
تعیین تجهیزات امنیتی مورد نیاز شامل : Firewall ، IDS/IDP/IPS ،
ارائه طرح جامع امنیت شبکه و اطلاعات
تعیین تکنولوژیهای امنیتی مورد نیاز شامل : NAT، PAT، IP Sec، VPN، …..
طراحی ساختار VLAN مناسب برای شبکه
طراحی ساختار DMZ مناسب
تعیین سیاستهای امنیتی شبکه
تعیین روالهای امنیتی شامل روالهای پیکربندی، روال های دسترسی، روال های مدیریتی، روالهای بروزرسانی، روالهای مستندسازی شبکه
تعیین تجهیزات برق اضطراری مورد نیاز
تهیه و توسعه محصولات نرم افزاری در صورت نیاز
طراحی SAN و NAS در صورت نیاز
تعیین Storage Device های مورد نیاز
تعیین روالهای تهیه نسخ پشتیبان
تعیین محل مناسب جهت سایت مرکزی
تعیین تهویه مناسب محل سایت مرکزی
تعیین دربهای مخصوص جهت سایت مرکزی
تعیین قفلهای الکترونیکی جهت سایت مرکزی
تعیین رکهای مناسب در نقاط توزیع
ارائه طرح جامع امنیت شبکه و اطلاعات
تعیین کابل کشی و داکت کشی مناسب از نظر امنیتی در هر بخش
تعیین سیستم ضد حریق جهت سایت مرکزی
نرم افزارهای تشخیص و مقابله با ویروس
سیستم های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
سیستم های ثبت و تحلیل رویداد نامه ها
سیستم های رمزنگاری اطلاعات
نرم افزارهای نظارت بر ترافیک شبکه
نرم افزارهای پویشگر امنیتی
نرم افزارهای مدیریت امنیت شبکه
…………….
متدولوژی 27001:2005 ISO/IEC
کنترل های استاندارد
ISO/IEC 27001
حوزه های یازده گانه ISO/IEC 27001
هدف : جهت گیری و جلب حمایت مدیریت از امنیت اطلاعات
در ارتباط با نیازمندیها و قوانین و مقررات مربوطه
حوزه اول – خط مشی امنیتی
خط مشی امنیت اطلاعات
سند خط مشی امنیت اطلاعات
اجزاء مستند خط مشی امنیت اطلاعات
تعریفی از امنیت اطلاعات سازمان
بیانیه ای که بیانگر پشتیبانی مدیریت از اهداف و مفاهیم امنیت متناسب با اهداف و استراتژی سازمان است
تعیین چارچوب لازم برای رسیدن به اهداف و اعمال کنترل های، نظیر ساختار ارزیابی و مدیریت مخاطرات
توضیح مختصری راجع به خط مشی ها، اصول، استانداردها و نیازمندی های مطابقت با قوانین و مقرارت
تعریفی از مسوولیت های عمومی و ویژه، نظیر گزارش حوادث امنیتی به مدیریت
بازنگری خط مشی امنیت اطلاعات
حوزه دوم-سازماندهی امنیت اطلاعات
حمایت مدیریت ازامنیت اطلاعات
ایجاد هماهنگی در امنیت اطلاعات
تخصیص مسوولیت های امنیت اطلاعات
فرآیندهای مجاز برای امکانات IT
تعهدنامه حفظ اسرار سازمانی
تماس با مسوولین
تماس با گروه های ذینفع خاص
بازنگری امنیت اطلاعات توسط عوامل مستقل
تشخیص خطرهای مرتبط با طرف های بیرونی
وضعیت های امنیت در ارتباط با مشتریان
در نظر گرفتن امنیت در قرارداد با خارج از سازمان
سازماندهی داخلی
امنیت طرف های بیرون از سازمان
هدف : مدیریت امنیت اطلاعات در درون سازمان وطرف های بیرونی است
ارزش گذاری بر دارایی ها
فهرست اموال و دارایی ها
هدف : برآورد ارزش واقعی دارایی های سازمان
انواع دارایی های عنوان شده :
دارایی های اطلاعاتی
دارایی های نرم افزاری
دارایی های فیزیکی
تاسیسات و سرویس های مرتبط
افراد و تجارب و شایستگی های آنان(منابع انسانی)
دارایی های معنوی، نظیر حیثیت و اعتبار سازمان
حوزه سوم – مدیریت دارایی ها
طبقه بندی اطلاعات
طبقه بندی اطلاعات
هدف : اطمینان از اینکه اطلاعات با سطح مناسبی از حفاظت نگهداری و تبادل می شوند.
محرمانگی
یکپارچگی
قابلیت دسترسی
علامت گذاری وکنترل دسترسی به اطلاعات
حوزه سوم – مدیریت دارایی ها
قبل از بکارگیری
منظور از بکارگیری در اینجا تمامی موارد استخدام ، تعیین مسوولیت های جدید، تغییر مسوولیت، به کارگیری نیروهای قراردادی و پایان دادن به کار در هر یک از موارد فوق است.
لحاظ نمودن امنیت در تعریف شغل و منبع
درج امنیت در شرح خدمات مشاغل
هدف: اطمینان ازآنکه کارکنان، طرف های قرارداد و کاربران طرف سوم وظایف خود را می دانند، صلاحیت کار مورد نظر رادارند. وهمچنین به منظور کاهش خطر دزدی، سوء استفاده و کلاهبرداری در سازمان.
استخدام انتخابی
تعهدنامه حفظ اسرار و محرمانگی
حوزه چهارم – امنیت منابع انسانی
حین بکارگیری
آگاهی نسبت به امنیت وظایف
در اختیار قرار دادن دستورالعمل های امنیتی
انگیزه لازم برای لحاظ نمودن امنیت در سازمان
آگاهی و هشیاری نسبی در امنیت مسائل مرتبط با حوزه کاری
آشنائی با امنیت در بین کارکنان سازمان
مهارت و صلاحیت
آموزش کاربران
مسوولیت های مدیران
فرآیندهای انضباطی
حوزه چهارم – امنیت منابع انسانی
حین خدمت
خاتمه دادن به کار
خاتمه دادن یا تغییر در بکارگیری
مسوولیت های مرتبط با خاتمه دادن به همکاری
هدف : اطمینان از اینکه به خدمت کارکنان، طرف های قرارداد و کاربران سازمان به شیوه مناسبی پایان داده می شود.
بازگرداندن اموال
حذف یا اصلاح حقوق دسترسی
حوزه چهارم – امنیت منابع انسانی
ایجاد حصار لازم برای محیط های امن
محیط های امن
هدف : پیشگیری از دسترسی های غیرمجاز، خسارت یا دخالت در سرویس IT
کنترل های ورودی های فیزیکی
امنیت دفاتر، اتاقها و امکانات
حفاظت در مقابل تهدیدهای محیطی و خارجی
کار در محیط های امن
جداسازی محل های تخلیه و بارگیری
حوزه پنجم – امنیت محیطی و فیزیکی
حوزه پنجم – امنیت محیطی و فیزیکی
امنیت تجعیزات
هدف: پیشگیری ازدسترسی غیرمجاز، خسارت یا لو رفتن داراییها و اطلاعات سازمان
بهداشت محیط کار، ایمنی و امنیت محل استقرا ر
امنیت و ایمنی تاسیسات جنبی نظیر برق و تهویه
امنیت کابل و کابل کشی
امنیت تجهیزات بیرون از سازمان
تعمیر و نگهداری تجهیزات
اسقاط نمودن یا مزایده امن تجهیزات
خارج نمودن تجهیزات از محل سازمان
بازنگری امنیت اطلاعات توسط عوامل مستقل
روش های عملیاتی و مسوولیتها
هدف : حصول اطمینان ازکارکرد صحیح وامن پردازش اطلاعات وامنیت در ارتباط با خدمات شخص ثالث و همچنین به حداقل رساندن مخاطرات ناشی از تست سیستم ها وحفظ یکپارچگی نرم افزار واطلاعات
روندهای عملکرد مستنده شده
مدیریت تغییرات
تفکیک وظایف
جداسازی تجهیزات آزمایشی از تجهیزات عملیاتی
حوزه ششم – مدیریت ارتباطات و عملیات
مدیریت ارائه خدمات طرح های سوم
ارائه خدمات مورد انتظار
نظارت و بازنگری در نحوه ارائه خدمات
مدیریت تغییرات در ارائه خدمات
مدیریت ظرفیت
شرایط قبولی سیستم
طراحی و تست قبولی سیستم
حوزه ششم – مدیریت ارتباطات و عملیات
کنترل کدهای مخرب
کنترل کد های سیار
حفاظت از نرم افزار بدخواه
مدیریت نسخه های پشتیبان
تهیه نسخه های پشتیبان
نگهداری از اطلاعات پشتیبان
فرآیندهای بازیابی از نسخه های پشتیبان
اطمینان از حراست اطلاعات در شبکه ها و حفاظت اززیرساخت پشتیبانی کننده
کنترل های شبکه
امنیت سرویس های شبکه
رمزنگاری لازم در نسخه های پشتیبان
حوزه ششم – مدیریت ارتباطات و عملیات
اداره کردن محیط های ذخیره سازی
مدیریت رسانه های قابل حمل
انهدام مناسب رسانه ها
رویه های جابجایی اطلاعات
خط مشی ها و رویه های تبادل اطلاعات
توافقات تبادل داده و نرم افزار
تبادل اطلاعات
حفاطت از اطلاعات ونرم افزار درتبادل یک سازمان با هر موجودیت بیرونی
امنیت مستندات سیستم
امنیت رسانه ها در هنگام انتقال
سیستم های اطلاعاتی کسب وکار
سیستم های پیام رسانی الکترونیکی
حوزه ششم – مدیریت ارتباطات و عملیات
سرویس های تجارت الکترونیکی
حفاظت از کلاهبرداری، تعارض حقوقی و …
امنیت تراکنش های بر خط
اطلاعات در دسترس عموم
نظارت بر فعالیت های ثبت شده
نظارت بر نحوه کارکرد و استفاده از سیستمها
نظارت
تشخیص فعالیت های غیرمجاز پردازش اطلاعات
حراست از وقایع و اطلاعات ثبت شده
ثبت خطاها
مدیریت ثبت کارهای مدیران و اپراتورهای شبکه
همزمان نمودن ساعت سیستمها
حوزه ششم – مدیریت ارتباطات و عملیات
کنترل دسترسی به اطلاعات
هدف : کنترل دسترسی به اطلاعات وپیشگیری از دسترسی های غیرمجاز می باشد
ایجاد , تدوین وبازنگری
خط مشی مستند شده کنترل دسترسی
ثبت کاربران
مدیریت دسترسی با اختیارات ویژه
مدیریت و حصول اطمینان ازدسترسی کاربر
مدیریت رمز عبور کاربران
بازنگری در حقوق دسترسی کاربران
حوزه هفتم – کنترل دسترسی
بکارگیری رمز عبور
تجهیزات بدون مراقبت کاربر
مسوولیت های کاربر
پیشگیری از دسترسی غیرمجاز کاربران
خط مشی میزپاک و صفحه پاک
کنترل دسترسی به شبکه
حفاظت از دسترسی غیرمجاز به سرویس های شبکه
حوزه هفتم – کنترل دسترسی
خط مشی استفاده از خدمات شبکه
تصدیق هویت کاربر در ارتباطات بیرونی
شناسایی تجهیزات در شبکه
تفکیک در شبکه ها
حفاظت پورت های تنظیم و رفع عیب از راه دور
کنترل اتصال به شبکه
کنترل مسیریابی
کنترل دسترسی به سیستم عامل
کنترل دسترسی به برنامه های کاربردی
حوزه هفتم – کنترل دسترسی
رویه های دستیابی امن کاربر
شناسایی و تایید هویت کاربر
سیستم مدیریت رمز عبور
انقضای زمانی پایانه کاری
استفاده از امکانات ابزاری سیستم
محدودیت زمان اتصال
محدودیت دسترسی به اطلاعات
جداسازی اطلاعات حساس
هدف : تضمین امنیت اطلاعات در زمان کار از راه دور
خط مشی برای حفاطت محاسبه و ارتباط راه دور
ایجاد وپیاده سازی خط مشی برای کار از راه دور
محاسبه سیار و کار از راه دور
حوزه هفتم – کنترل دسترسی
هدف : اطمینان از اینکه امنیت جزء جدائی ناپذیر از سیستم های اطلاعاتی است و
همچنین پیشگیری از فقدان، تغییر یا سوء استفاده از اطلاعات در سیستم های کاربردی
شناسایی و تحلیل نیازمندی های امنیتی
نیازمندی های امنیتی سیستمها ی اطلاعاتی
یکپارچگی پیغام
پردازش صحیح برنامه های کاربردی
تایید داده خروجی
تایید داده ورودی
کنترل پردازش داخلی
حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
هدف : حفاظت محرمانگی ،سندیت و یکپارچگی اطلاعات با استفاده از رمزنگاری و
اطمینان از اینکه پروژه های IT و فعالیت های پشتیبانی در یک روش امن هدایت
می شوند.
خط مشی استفاده از کنترل های رمزنگاری
کنترل های رمزنگاری
کنترل دسترسی به متن برنامه ها
امنیت فایل های سیستم کاربردی
کنترل نرم افزار عملیاتی
حفاظت از سیستم تست داده
مدیریت کلید
حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
هدف : حفظ و تداوم امنیت نرم افزار و اطلاعات سیستم کاربردی
حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
رویه های کنترل تغییر
مرور تکنیکی تغییرات سیستم عملیاتی
محدودیت های روی تغییرات بسته های نرم افزاری
حذف امکان نشت اطلاعات (به خارج از حوزه مجاز)
توسعه نرم افزاری بوسیله سفارش به بیرون
امنیت فرآیندهای توسعه و پشتیبانی
هدف : اطمینان از اینکه حوادث و ضعف های امنیتی مرتبط با سیستم های اطلاعاتی به نحوی که به توان آنها را درزمان های قابل قبولی رفع کرد ، گزارش می گردند. وهمچنین اطمینان از اینکه رویه های یکنواخت و موثر در مورد حوادث امنیتی اعمال می گردند.
گزارش حوادث امنیت اطلاعات
گزارش حوادث و ضعف های امنیتی
جمع آوری شواهد
مدیریت حوادث امنیت اطلاعات و
راه های بهبود آنها
مسوولیتها و رویه ها
یادگیری و عبرت از حوادث گذشته
گزارش نقاط ضعف امنیت اطلاعات
حوزه نهم – مدیریت حوادث امنیت اطلاعات
وجوه امنیتی مدیریت تداوم کسب و کار
هدف : خنثی نمودن وقفه ها ی کسب وکار و
حصول اطمینان برای ازسرگیری بموقع سیستم های اطلاعاتی سانحه دیده
حوزه دهم– طرح تداوم کسب و کار
درج امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار
تداوم کسب و کار و ارزیابی مخاطرات
ایجاد و پیاده سازی طرح های تداوم کسب و کار با در نظر گرفتن امنیت
چارچوب طرح تداوم کسب و کار
تست ، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار
حوزه یازدهم – مطابقت با قوانین
هدف : اجتناب از هر نقض قانون و مقررات ، اطمینان از تطبیق سیستمها با استانداردها و سیاست های امنیتی سازمان ، و افزایش اثربخشی وکاهش اختلال در فرایند ممیزی
حفاظت از سوابق سازمانی
انطباق باالزامات قانونی
شناسائی قوانین قابل اجرا
حقوق دارائی فکری
کنترل قواعدرمزنگاری در توافقنامه ،آیین نامه و..
حفاظت داده ها وحریم خصوصی اطلاعات شخصی
پیشگیری از استفاده نابجا از امکان پردازش اطلاعات
حوزه یازدهم – مطابقت با قوانین
انطباق با خط مشی ها و انطباق فنی
انطباق با خط مشی واستانداردهای برای اطمینان مدیران
بررسی و بروز نگهداری انطباق فنی
کنترل های ممیزی سیستم های اطلاعاتی
حفاظت از ابزارهای ممیزی سیستم های اطلاعاتی
بازرسی ممیزی سیستم های اطلاعاتی
طرح پشتیبانی از حوادث
اجرای طرح امنیت شبکه و اطلاعات ( ISMS )در یک سازمان موجب ایجاد حداکثری امنیت در ساختار شبکه و اطلاعات سازمان خواهد شد . اما با گذشت زمان ، روش های قبلی از جمله نفوذ به شبکه ها تغییر خواهند یافت و سیستم امنیتی شبکه و اطلاعات سازمان بر اساس تنظیمات قبلی قادر به حل مشکلات جدید نخواهند بود . از طرفی دیگر هر روزه آسیب پذیری های جدیدی شبکه و اطلاعات سازمان را تهدید می نمایند و در صورتی که از راه حل های جدید استفاده ننمائیم ، سیستم شبکه و اطلاعات سازمان بسیار آسیب پذیر خواهد شد و عملا فعالیت های چندساله و هزینه های انجام شده در زمینه امنیت شبکه و اطلاعات بی فایده خواهد شد.
برای حل مشکلات ذکر شده در سیستم مدیریت امنیت اطلاعات و شبکه ، تشکیلات وطرح های پشتیبانی امنیت ، پیش بینی شده است . مهمترین این روش ها ، طرح پشتیبانی از حوادث می باشد .
طرح پشتیبانی از حوادث
دسته بندی حوادث
حوادث امنیتی به همراه عوامل آنها دسته بندی می گردد . برخی از این دسته بندی ها عبارتند از :
کدهای مخرب
دسترسی غیر مجاز
ممانعت از سرویس
…………..
پاسخ به حوادث
پاسخ گوئی به حوادث یکی از ضروری ترین کارها می باشد چرا که تکرار حملات می تواند منجر به افزایش دامنه خسارات و زیان هایی بر سرمایه های سازمانی گردد . در این قسمت ضرورت های پاسخ به حوادث وفواید آن ذکر می گردد.
طرح پشتیبانی از حوادث
ارائه سیاست ها و رویه های پشتیبانی حوادث
ساختار تیم پشتیبانی حوادث
معرفی و انتخاب انواع تیم های پشتیبانی حوادث
تیم پاسخ به حوادث مرکزی
تیم پاسخ به حوادث توزیع شده
تیم اطلاع رسانی
معرفی و انتخاب پرسنل
وظایف تیم پشتیبانی حوادث
ارزیابی آسیب پذیری ها
تشخیص تهاجم
آموزش
اطلاع رسانی
……
متدولوژی پشتیبانی از حوادث
فاز های مختلف این متدولوژی عبارتند از :
آماده سازی
تشخیص و تحلیل
محدود سازی ، ریشه کنی و ترمیم
فعالیت های بعد از ترمیم
انتخاب کنترل های مناسب استاندارد ISO 27001 برای سازمان
با توجه به خروجی فاز های قبلی ، آندسته از کنترل های استاندارد ISO 27001 که برای سازمان مناسب می باشند انتخاب می گردد.
سپس ارتباط این کنترل ها و راهکار های ارائه شده در فاز قبلی مشخص می گردد بعبارتی راهکار های لازم برای پیاده سازی کنترل های انتخابی ارائه میگردد .
اجزاء و ساختار
تشکیلات امنیت اطلاعات سازمان
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
متشکل از سه جزء اصلی به شرح زیر می باشد:
در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف کمیته راهبری امنیت
بررسی، تغییر و تصویب سیاستهای امنیتی
پیگیری اجرای سیاستهای امنیتی از مدیر امنیت
تائید طرح ها و برنامه های امنیت سازمان شامل:
طرح تحلیل مخاطرات امنیتی
طرح امنیت شبکه
طرح مقابله با حوادث و ترمیم خرابیها
برنامه آگاهی رسانی امنیتی کاربران
برنامه آموزش های امنیتی
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف مدیر امنیت:
تهیه پیش نویس سیاستهای امنیتی و ارائه به کمیته راهبری امنیت
تهیه طرح ها و برنامه های امنیت سازمان با کمک واحد مشاوره و طراحی
نظارت بر اجرای کامل سیاستهای امنیتی
مدیریت ونظارت بر واحد پشتیبانی امنیت سازمان
تشخیص ضرورت و پیشنهاد بازنگری و اصلاح سیاستهای امنیتی
تهیه پیش نویس تغییرات سیاستهای امنیتی
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف پشتیبانی حوادث امنیتی :
مرور روزانه Log فایروالها، مسیریابها، تجهیزات گذرگاههای ارتباط با سایر شبکه ها و سرویس دهنده های شبکه داخلی و اینترنت دستگاه، بمنظور تشخیص اقدامات خرابکارانه و تهاجم.
مرور ترددهای انجام شده به سایت و Data Centre و گزارش اقدامات انجام شده توسط کارشناسان و مدیران سرویسها.
مرور روزانه گزارش سیستم تشخیص تهاجم به منظور تشخیص تهاجم های احتمالی.
انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جدید.
ترمیم خرابیهای ناشی از تهاجم جدید.
مستندسازی و ارائه گزارش تهاجم تشخیص داده شده به تیم هماهنگی و آگاهی رسانی امنیتی.
اعمال تغییرات لازم در سیستم امنیت شبکه، بمنظور مقابله با تهاجم جدید.
مطالعه و بررسی تهاجم های جدید و اعمال تنظیمات لازم در سیستم تشخیص تهاجم و سایر بخشهای سیستم امنیت شبکه.
ارائه پیشنهاد در خصوص تغییرات لازم در سیستم امنیتی شبکه بمنظور مقابله با تهدیدهای جدید، به مدیر امنیت شبکه.
آگاهی رسانی به کاربران شبکه در خصوص روشهای جدید نفوذ به سیستم ها و روشهای مقابله با آن، آسیب پذیریهای جدید ارائه شده برای سیستم های مختلف و روشهای بر طرف نمودن آنها.
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
بررسی و در صورت نیاز، انتخاب، خرید و تست نرم افزار ضدویروس مناسب برای ایستگاههای کاری و سرویس دهنده های شبکه دستگاه به صورت دوره ای ( هر سال یکبار)
نصب نرم افزار ضدویروس روی ایستگاههای کاری مدیران و ارائه اطلاعات لازم به سایر کاربران، جهت نصب نرم افزار.
نصب نرم افزار ضدویروس روی کلیه سرویس دهنده های شبکه دستگاه.
تهیه راهنمای نصب و Update نمودن نرم افزار ضدویروس ایستگاههای کاری و سرویس دهنده ها و ارائه آن به کاربران شبکه از طریق واحد هماهنگی و آگاهی رسانی امنیتی.
مرور روزانه Log و گزارشات نرم افزارهای ضد ویروس.
مطالعه و بررسی ویروسهای جدید و روشهای مقابله با آن.
ارائه روشهای مقابله با ویروسها به تیم هماهنگی و آگاهی رسانی امنیتی، جهت اعلام به کاربران و انجام اقدامات لازم.
انجام اقدامات پیشگیرانه لازم بمنظور کنترل دامنه تاثیر ویروسهای جدید.
ترمیم خرابیهای ناشی از ویروسهای جدید.
مستندسازی و ارائه گزارشهای آماری از ویروسها، مقابله با آنها و خرابیهای ناشی از ویروسها در شبکه دستگاه، به تیم هماهنگی و آگاهی رسانی امنیتی.
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
انتخاب ابزارهای مناسب جهت محافظت فیزیکی از تجهیزات و سرمایه های شبکه در مقابل حوادث فیزیکی و دسترسی های غیرمجاز .
مرور روزانه رویدادنامه های دسترسی فیزیکی به سرمایه های شبکه، بویژه در سایت.
سرکشی دوره ای به سایت، تجهیزات مستقر در طبقات ساختمانها و مسیر عبور کابلها به منظور اطمینان از تامین امنیت فیزیکی آنها.
مطالعه و بررسی حوادث فیزیکی جدید و روشهای مقابله با آن.
ارائه روشها به تیم هماهنگی و آگاهی رسانی امنیت جهت اعلام به کاربران و انجام اقدامات لازم.
انجام اقدامات لازم بمنظور کنترل دامنه حوادث فیزیکی.
ترمیم خرابیهای ناشی از حوادث فیزیکی.
مستندسازی و ارائه گزارشهای آماری از حوادث فیزیکی، مقابله با این حوادث و خرابیهای ناشی از آنها به تیم هماهنگی و آگاهی رسانی امنیتی.
ارائه پیشنهاد در خصوص Update نمودن تجهیزات و روشهای تامین امنیت فیزیکی به مدیر امنیت شبکه.
ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص حوادث فیزیکی، توسط تیم هماهنگی و آگاهی رسانی امنیتی.
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف نظارت و بازرسی
مانیتورینگ ترافیک شبکه ( در حیطه مانیتورینگ مجاز )
بازرسی دوره ای از ایستگاههای کاری، سرویس دهنده ها، تجهیزات شبکه و سایر سخت افزارهای موجود شبکه، به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
بازرسی دوره ای از سخت افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی سخت افزارهای شبکه دستگاه" با سیاستهای مربوطه.
بازرسی دوره ای از نرم افزارهای موجود شبکه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
بازرسی دوره ای از نرم افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی نرم افزارهای شبکه دستگاه" با سیاستهای مربوطه.
بازرسی دوره ای از نحوه اتصال شبکه داخلی و شبکه دسترسی به اینترنت دستگاه، با سایر شبکه های مجاز، بر اساس سیاستهای امنیتی مربوطه.
بازرسی دوره ای از اطلاعات شبکه دستگاه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
بازرسی دوره ای از کاربران شبکه دستگاه به منظور اطمینان از آگاهی کاربران از حقوق و مسئولیتهای خود و رعایت سیاستهای امنیتی مرتبط با خود.
بازرسی دوره ای از روند تهیه اطلاعات پشتیبان.
بازرسی دوره ای از روند تشخیص و مقابله با حوادث امنیتی در شبکه دستگاه.
بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه.
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه
بازرسی دوره ای از روند تشخیص و مقابله با حوادث فیزیکی در شبکه دستگاه
بازرسی دوره ای از روند نگهداری سیستم امنیتی شبکه در شبکه دستگاه
بازرسی دوره ای از روند مدیریت تغییرات در شبکه دستگاه
بازرسی دوره ای از روند آگاهی رسانی امنیتی به کاربران شبکه دستگاه
بازرسی دوره ای از روند آموزش پرسنل واحد پشتیبانی امنیت شبکه دستگاه
بازرسی دوره ای از روند واگذاری فعالیت ها به پیمانکاران خارج از دستگاه
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف مدیریت تغییرات
بررسی درخواست خرید، ایجاد یا تغییر سخت افزارها، نرم افزارها، لینکهای ارتباطی، سیستم عاملها و سرویسهای شبکه از دیدگاه امنیت شبکه، آسیب پذیریهای سیستم یا سرویس مورد نظر، مشکلات امنیتی ناشی از بکارگیری آن بر سایر بخشهای شبکه و نهایتا تصمیم گیری در خصوص تائید یا رد درخواست.
بررسی آسیب پذیری سخت افزار، نرم افزار کاربردی، سیستم عامل، خطوط ارتباطی و سرویسها و امنیت شبکه.
آگاهی رسانی به طراحان شبکه و امنیت شبکه در خصوص آسیب پذیری فوق، بمنظور لحاظ نمودن در طراحی.
ارائه گزارش بررسی ها به تیم هماهنگی و آگاهی رسانی امنیت شبکه.
بررسی موارد مربوط به جابجائی کاربران شبکه و پرسنل تشکیلات امنیت شبکه بمنظور تغییر در دسترسی و حدود اختیارات آنها در دسترسی به سرمایه های شبکه.
بررسی نیازمندیهای امنیتی و روشهای ایمن سازی سیستم عاملها، سرویس دهنده های شبکه، خطوط ارتباطی، نرم افزارها، تجهیزات شبکه و امنیت شبکه جدید که بکارگیری آنها در شبکه، مورد تائید قرار گرفته است.
ارائه دستورالعمل های ایمن سازی و پیکربندی امن برای هر یک از موارد فوق
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
شرح وظایف نگهداری امنیت
بررسی وضعیت عملکرد سیستم امنیتی شبکه، شامل:
عملکرد صحیح فایروالها.
عملکرد صحیح سیستم تشخیص تهاجم.
عملکرد صحیح سیستم ثبت وقایع.
عملکرد صحیح سیستم تهیه نسخه پشتیبان.
ارائه گزارشات دوره ای در خصوص عملکرد سیستم امنیتی
ارائه گزارشات آماری از وضعیت سیستم امنیتی شبکه.
رفع اشکالات تشخیص داده شده در عملکرد سیستم امنیتی
چرخه استمرار پیاده سازی ISMS
بهبود
مستمر
برنامه
اقدام
بررسی
اجرا
خط مشی
برنامه PLAN
استقرار ISMS شامل تعیین خط مشی ها، اهداف، فرایندها و روالها به منظور مدیریت مخاطرات در راستای اهداف سازمان است.
در این مرحله، باید سرمایه اولیه راه اندازی ISMS، روشهای مستند سازی، مدیریت مخاطرات وروشهای اختصاص منابع مشخص شود. باید مطمئن شد
که“ محتوا و محدوده ISMS بطور دقیق و مناسب مشخص شده است“.
فعالیتهای مورد نیاز در این مرحله عبارت اند از:
1- تعریف محدوده (Scope)
2 – تعریف خط مشی ISMS
3 – تعیین تهدیدات
4 – ارزیابی تهدیدات
5 – انتخاب کنترل های مناسب
چرخه استمرار پیاده سازی ISMS
اجرا Do
در این مرحله کلیه کنترل ها بایدعملیاتی شوند
رویه هایی برای تشخیص سریع و پاسخگویی به حوادث لازم می باشد.
آگاه نمودن کلیه کارمندان و افراد سازمان نسبت به امنیت در سازمان
آموزشهای لازم جهت عملکرد مناسب برای برخورد با ریسک و تهدید
خلاصه ای از فعالیتهای این مرحله عبارت است از:
_ فرموله کردن طرح برخورد با مخاطرات
_ اجرای طرح برخورد با مخاطرات
_ پیاده سازی کنترل های امنیتی انتخاب شده
_ اجرای برنامه های آموزش و آگاهی رسانی
_ مدیریت منابع و فعالیتها
چرخه استمرار پیاده سازی ISMS
بررسی Check
هدف این مرحله اطمینان ازاجرای بموقع کنترل های امنیتی و
برآورده شدن اهداف امنیت اطلاعات است.
ارزیابی میزان کارایی و موثر بودن ISMS
اجرای روالهای ارزیابی و مرور فرایندها و خط مشی ها
انجام بازرسیهای دوره ای درون سازمانی و برون سازمانی
فعالیتهای کنترلی متنوع
بازرسیهای داخلی ISMSومدیریت بازبینی از مراحل پیاده سازی امنیت
نتایج حاصل از بازبینی سیستم های تشخیص نفوذ،واقعه نگاری، دسترسیهای غیرمجازبه شبکه و عبور از سیستم های امنیتی ، جهت بهبود عملکرد سیستم امنیتی شبکه، استفاده و سپس در سیاستهای امنیتی شبکه اعمال می شود.
چرخه استمرار پیاده سازی ISMS
اقدام ACT
اقدامات اصلاحی در جهت بهبود ISMS براساس نتایج مرحله ارزیابی
این اقدامات در دو مقوله طبقه بندی میگردد.
1 – بر اساس مرحله خاصی از زمان : در زمان تعامل فناوری با اطلاعات، عکس العمل لازم در برابر یک مشکل امنیتی میتواند از نوع پیشگیرانه (کنشی) یا اصلاحی (واکنشی) باشد.
2- بر اساس سطوح پیاده سازی نظامهای امنیتی: فناوری امنیت اطلاعات،از نوع واکنشی ویااز نوع کنشی را می توان در سه سطح ، شبکه ، میزبان، برنامه های کاربردی ، پیاده سازی نمود.
ممیزی داخلی سازمان در حوزه کاری (Scope )
در این مرحله که پس از اتمام کار صورت می گیرد با توجه به چک لیست ها و مستندات مربوط به سرممیزی استاندارد ISO 27001 , توسط شخص یا تیم ممیز کننده ، کلیه فعالیت های انجام گرفته در پروژه بازبینی و بررسی می گردند تا در صورتیکه انحرافی نسبت به اهداف استاندارد وجود دارد ، سریعا برطرف گردد .
پس از پایان این مرحله و بعد از برطرف کردن نقاط ضعف موجود ، سازمان آماده دریافت گواهینامه بین المللی استاندارد ISO 27001 می باشد .
صدور گواهینامه بین المللی استانداردISO 27001
در پایان پروژه و پس از اینکه تشخیص داده شد که سازمان آماده دریافت گواهینامه می باشد و در صورت تمایل مدیریت سازمان ، از یک مرکز تصدیق معتبر (Certification Body – CB) برای صدور گواهینامه دعوت بعمل می آید .
مزایای دریافت گواهینامه
افزایش اعتبار سازمان
تضمین پاسخگویی
تسریع بهبود فرایند ها
تضمین تعهد مدیریت
تمایل یافتن مشتریان
ایجاد انگیزه در کارکنان
گواهینامه
ISMS
ممیزی
دوره ای
پیگیری گواهینامه
Certification Body
ممیزی اولیه
برآورد
اولیه
دریافت گواهینامه
آموزش وآگاه سازی در سطوح مختلف
مطالعات اولیه
پیاده سازی
شرکت مشاور
ممیز ها
قرارداد
مشاوره
گواهینامه
ISMS
با سپاس وتشکر