r

سرپرستی وزارت وفناوری اطالعات به عهده چه فردی می باشد ؟

. حمالتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حمالت كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد

امنيت اطالعات به عنوان يك مبحث تكنولوژيكي مطرح است .

.هرگاه كه كارمندان داخلي ناراضي از اداره اخراج شوند ، خطرات امنيتي از بين مي روند

. دسترسي داشته باشد کاربرانهيچكس در سازمان نبايد به رمزهاي عبور، به جز مدير امنيت شبكه

امنيت داده در طول انتقال آن هدف رمزگذاري است .

.رمزگذاري بايد براي ترافيك هاي داخلي شبكه به خوبي ترافيك خروجي شبكه انجام گيرد

سمینار امنیت اطالعات با تاکید بر مباحث

امنیت شبکه

دانشگاه پیام نور دوازدهم آذر

همه ما از یک خانواده ایم

1101010001000011100000001001100110000011001110010

امنیت اطالعات

در مقابل امنیت شبکه

ام شVVنیده بارهVVا من امVنیت ارشVد، مVدیران مVVترادف را اطالعVVات

این ITامVنیت و میداننVد تلقی خVود را بVه دپارتمVان

IT.تحمیل می کنند

دپارتمVان 1 )IT Z معمVوال از درسVVVVVتی درک بازرگVVVانی موضVVVوعات

ندارند.

الزم 2 اختیVارات فاقVد )تغیVVVیرا انجVVVام بVVVرای

سودی در اختراع دوباره چرخ نیستهستند.

امنیت اطالعات...

! ؟

38505/م/86-13711بنVد هفت بخشVنامه محرمانVه شVماره معVاون اول محVترم رئيس جمهVور مبVني بVر 1386/8/10مVورخ

الVزام کليVه دسVتگاههايي کVه از شVبکه هVاي رايانVه اي اسVتفاده امVنيت اطالعVات تهيVه طVرح سيسVتم مVديريت بVه نماينVد مي

(ISMS الVان سVا پايVت )نامه 1386Vت بخشVد هشVنين بنVو  همچ مزبVور مبVني بVر اينکVه کليVه دسVتگاهها موظفنVد بVا همکVاري واحVد ايجVاد حراسVت بVه نسVبت مVاه دو ، حVداکثر ظVرف حراسVت

فناوري اطالعات دستگاه خود اقدام نمايند

استانداردهای امنیت BS7799 1995اطالعات

1998 ISO/IEC 177991999 BS7799-22002 ISO/IEC 27000

استانداردهای امنیت اطالعات

ISO/IEC 27000 — Information security management systems — Overview and vocabularyISO/IEC 27001 — Information security management systems — RequirementsISO/IEC 27002 — Code of practice for information security managementISO/IEC 27003 — Information security management system implementation guidanceISO/IEC 27004 — Information security management — MeasurementISO/IEC 27005 — Information security risk managementISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27010 — Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communicationsISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuityISO/IEC 27033-1 — Network security overview and conceptsISO/IEC 27035 — Security incident managementISO 27799 — Information security management in health using ISO/IEC 27002

اساس کار PDCAچرخه ISMSPlan

Do

Check

Act

ISMSپیاده سازی

مدیریت ریسک

پذيرش كا هش

انتقال اجتناب

مدياپ

احتمال

نام آسيب پذ

يری

نام تهديدپيام

داحتمال

ريسک

آستانه پذيرش

ظرفيت سنجی نامنا

سب سخت افزارهای جديد

عدم پردازش درست داده ها M M 45 30

نگهداری نامناسب داده ها H H 66 30

آسيب رسيدن به شبکه H H 78 30

خطرافتادن فرايند خريد ه بتجهيزات سخت افزاری جديد

H H 65 30

بخطرافتادن انتخاب مناسب الزامات امنيتی برای

سخت افزار جديدH H 65 30

ناسازگاری سيستم جديد با زيرساخت سازمانی

H M 60 30

ناسازگاری نرم افزارهای موجود برروی سخت افزار جديد با

زيرساخت سازمانی H M 60 30

ارائه تائيديه های نامناسب از سوی مديريت

M M 45 30

فقدان تست سخت افزار M H 51 30

اصول امنیت اطالعات

Availability

Confidentiality

Security

Integrity

گانه11حوزه های ISO/IEC 27001

خط مشي امنيتي

حوزه هاييازده گانه

مطابقت با قوانين

مديريت تداوم كسب و كار

مديريت حوادث امنيت اطالعات

تهيه، توسعه و نگهداري سيستم

هاي اطالعاتي

سازماندهي امنيت

مديريت اطالعاتدارايي ها

امنيت منابع انساني

امنيت محيطي و

مديريت فيزيكي

عمليات و ارتباطات

كنترل دسترسي

اجزاء و ساختار تشکيالت اطالعات سازمانامنيت

در سطح سياستگذاري: کميته راهبري امنيت فضاي تبادلاطالعات

در سطح مديريت اجرائي: مدير امنيت فضاي تبادلاطالعات

در سطح فني: واحد پشتيباني امنيت فضاي تبادل اطالعات

اجزاء و ساختار تشکيالت اطالعات سازمانامنيت

مميزي دوره اي

گواهينامهپيگيري Certification Body مميزي اوليه

برآورداوليه

گواهينامه دريافت

در سطوح مختلفآموزش وآگاه سازي

مطالعات اوليه پياده سازي

شركت مشاور مميز ها

قرارداد مشاوره

گواهينامهISMS

رخدادمدیریت

مدیریت رخداد بسیار شبیه به اورژانس پزشكی

است.

مراحل کنترل رخداد رایانه ای داشتن سیاست ها، روال ها و توافق هایی كه باعث می شوند در زمان وقوع یك رخداد . آمادگی: 1

امنیتی، شما بر اساس یك سیاست مدون رفتار كرده و از تصمیمات شتابزده خودداری نمایید.

تشخیص این موضوع كه اوال آیا یك رخداد امنیتی رخ داده است یا خیر و ثانیا . شناسایی: 2

در صورت وقوع، طبیعت این رخداد چیست.

محدود كردن دامنه رخداد و جلوگیری از بدتر . كنترل و محدود سازی: 3

شدن آن است.

حذف یا كاهش عواملی كه باعث وقوع این رخداد امنیتی شده اند.. پاكسازی: 4

بازگرداندن سیستم به وضعیت عادی و كاربردی.. بازیابی: 5

یادگیری از این تجربه و استفاده از آن در هنگام وقوع رخدادهای آتی.. پیگیری: 6

نقش عوامل انسانی در امنیت شبکه های

کامپیوتری

اشتباهات متداول:

مديران سيستم

مديران سازمان ها

کاربران معمولی

اشتباهات متداول مديران سازمان ها

مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره

مورد دوم : فقدان آگاهی الزم در رابطه با تاثير يک ضعف امنيتی بر عملکرد سازمان

مورد سوم : عدم تخصيص بودجه مناسب برای پرداختن به امنيت اطالعات

مورد چهارم : اتکاء کامل به ابزارها و محصوالت تجاری

مورد پنجم : يک مرتبه سرمايه گذاری در ارتباط با امنيت

اشتباهات متداول کاربران معمولی

مورد يک : تخطی از سياست امنينی سازمان

مورد دوم : ارسال داده حساس بر روی کامپيوترهای منزل

مورد سوم : ياداشت داده های حساس و ذخيره غيرايمن آنان

مورد چهارم : دريافت فايل از سايت های غير مطمئن

مورد پنجم : عدم رعايت امنيت فيزيکی

اشتباهات متداول مديران سيستم

مورديک : عدم وجود يک سياست امنيتی شخصی

مورد دو : اتصال سيستم های فاقد پيکربندی مناسب به اينترنت

مورد سه : اعتماد بيش از اندازه به ابزارها

( Logsمورد چهار : عدم مشاهده الگ ها )

مورد پنج : اجرای سرويس ها و يا اسکريپت های اضافه و غير ضروری

و ...

آمار حمالت در ماه اکتبر 2012

Kasperskyطبق آمار شرکت

از دیوایس های قابل حمل 71.5%در ایران دارای دچار نوعی

مخاطره هستند

StuxNetیادآور

دفاع در چند الیهاليه اول : سياست های امنيتی ، رويه ها و اطالع رسانی

اليه دوم : امنيت فيزيكی ) نظير حفاظت فيزيكی، امنیت و نظارت پیرامونی (اليه سوم : حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه

( IDS/IPSها ) نظير استفاده از فايروال ها، اليه چهارم : ايمن سازی شبكه داخلی

اليه پنجم : امنيت كامپيوترها و دستگاه های ميزبان ) ايجاد سيستم های تدافعی الزم ( اليه ششم : امنيت برنامه های كاربردی ) نصب های ايمن به همراه نصب تمامی

Service Packs و Patch محصوالت نرم افزاری موجود در سازمان به منظور پيشگيری از حمالت برنامه ريزی شده با بهره گيری از نقاط ضعف موجود (

اليه هفتم : امنيت داده ) بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های ، Backup از داده ها

و مكانيزم های الزم به منظور بازيافت اطالعات (

الزم هستند ولی کافی نه !

یک سازمان باید چگونگی محافظت از اطالعاتش را پیدا کند

ضعیف ترین حلقه در امنیت اطالعات

هستند انسان ها

سرپرستی وزارت وفناوری اطالعات به عهده چه فردی می باشد ؟

. حمالتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حمالت كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد

امنيت اطالعات به عنوان يك مبحث تكنولوژيكي مطرح است .

.هرگاه كه كارمندان داخلي ناراضي از اداره اخراج شوند ، خطرات امنيتي از بين مي روند

. دسترسي داشته باشد کاربرانهيچكس در سازمان نبايد به رمزهاي عبور، به جز مدير امنيت شبكه

امنيت داده در طول انتقال آن هدف رمزگذاري است .

.رمزگذاري بايد براي ترافيك هاي داخلي شبكه به خوبي ترافيك خروجي شبكه انجام گيرد

IPsec هدیه ای پر رمز و راز

IPsec هدیه ای پر رمز و راز

IPsecتحلیل بسته های IPsec: ESP — Encapsulating Security Payload

رمزنگاری با کلید نا متقارن

Digital signatures: Integrity in public-key systems

Active Directory

Active Directory RMS

آینده... : فناوری یک

ابزار است