An Introduction to ISMS

1

ISMS

امنيت اطالعات سيستم مديريت

:تهيه و تنظيمشركت پيشگامان امن افزار

Information Security Management System

مقدمهباعث ... هور اينترنت و در حال حاضر گسترش و توسعه روزافزون فناوري اطالعات و ارتباطات و ظ . مي نمايند پيشرفت روزافزون بشر شده به طوريكه عصر حاضر را به نام عصر اطالعات

سرويس هاي حركت سريع كشورها به سوي جامعه اطالعاتي موجب رشد وسيع سيستم ها و .اطالعاتي شده است

مدها و اطاق ها در اطالعات گنجينه اي ارزشمند است كه در حال حاضر به جاي نگهداري در ك .داخل شبكه هاي محلي درون يا برون سازماني نگهداري مي شود

هاي بين سازماني، تجارت الكترونيك، انتقال هاي داخلي سازمانها تا شبكه از امور مرتبط با شبكه . منيت اطالعات مي باشند اطالعات درون سازمان يا بين سازمانها، همگي نيازمند شاخه هايي از ا ت سازماني به رقبا، از بين ويروسها، نفوذگرها، خرابكاران اينترنتي، سرقت اطالعات، فروش اطالعا

هاي غير مجاز به اطالعات و بسياري ديگر همگي جزيي كوچك از رفتن اطالعات، دستيابي .ت مي باشد تهديدات امنيت اطالعات در اكثر سازمانها و شركتهاي مرتبط با اطالعا

تواند نمايانگر قابليت اجرا و از يك گروه معتبر مي ISO 27001دريافت گواهينامه استاندارد نگي، صحت و در مديريت كنترلهايي در سازمان باشد كه تضمين كننده حفظ سه عنصر محرما

.باشد بودن اطالعات مي دسترس

Pishgaman AmnAfzar Co. 2

مقدمهتامين كننده يك سري از ابزارهاي سازگار با يكديگر براي سنجش ISO 27001در واقع استاندارد

اين گواهينامه .زمان مي باشد مديريت امنيت اطالعات در هر سازمان بدون توجه به نوع كار يا حجم سا و سپس متناوباً در سازمان . مي تواند براي يك سازمان، بخش و يا حتي يك سايت دريافت گردد

.گسترش يافته و بخش هاي ديگر را هم در برگيرد

باشند كه كميته المللي تدوين استاندارد در سطح جهاني مي از موسسات بين IEC و ISOموسسات . اند براي تدوين استانداردها تشكيل داده JTC1مشتركي را به نام

براي اولين بار توسط موسسه استاندارد انگلستان ارائه شد و ISO/IEC 17799المللي استاندارد بين . پذيرفته شد JTC1سپس توسط


تاريخچه


امنيت اطالعات چيست به عنوان يك دارائي مهم و باارزش براي هر سازمان به ) مانند ساير دارائي هاي سازماني ( اطالعات

. نگهداري آنها ، مي باشند حساب مي آيد و در نتيجه نيازمند ارائه راهكارهاي حفاظتي الزم براي

: سه اصل مهم در امنيت اطالعات عبارتند از اطمينان از اينكه اطالعات فقط در دسترس افراد مجاز قرار دارد : محرمانگي

تامين كردن صحت ، دقت و كامل بودن اطالعات و روش هاي پردازش آنها : صحت اي اطمينان از اينكه كاربران مجاز در صورت نياز به اطالعات و دارائي ه : دردسترس بودن

. مربوطه به آنها دسترسي دارند

اين كنترل ها . هد شد امنيت اطالعات به وسيله اجراي يكسري از كنترل هاي مناسب ، حاصل خوا . م افزارهاي كاربردي باشند ميتوانند به صورت خط مشي ها ، رويه ها ، ساختارهاي سازماني و يا نر . ستي اجرا گردند اين كنترل ها براي اطمينان از برآورده شدن اهداف امنيتي سازمان باي


ISMSچـيست؟ سيستم مديريت امنيت اطالعات

در كنار ديگر سيستمهاي ISO 27001سيستم مديريت امنيت اطالعات بر اساس استاندارد و تحت نظارت و مديريت مستقيم مديريت ارشد شركت 9001ISOمديريت به خصوص استاندارد

. گردد مستقر مي

.تامين كننده امنيت اطالعات در هر سازمان

و BS 7799 مانند اين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني ISO/IEC 17799 و ISO 15408 بهره مي گيرد .


ISMS جايگاه


را ISO 17799 مؤسسه 80000بيش از . پياده كرده اند

Fujitsu LimitedInsight Consulting Limited

KPMGMarconi Secure SystemsSamsung Electronics Co

LtdSony Bank inc.

Symantec Security Services

Toshiba IS Corporate

ايجاد نيازمندي های امنيت اطالعات سه منبع اصلي براي . د الزم است تا يك سازمان كليه نيازمندي هاي امنيتي خود را مشخص نماي

: مشخص كردن اين نيازمندي ها وجود دارد كه عبارتند از

در طول ارزيابي ريسك بايستي تهديدات مرتبط . مستندات برگرفته از ارزيابي ريسك سازماني ارزيابي شده و با دارائيها مشخص شده ، آسيب پذيري ها و احتماالت مربوط به رخدادها

. پيامدهاي بالقوه و بالفعل مربوطه برآورد گردد

نيازمنديهاي قانوني ، قراردادي و انظباطي سازماني

ات كه يك سازمان مجموعه خاصي از اصول ، اهداف و نيازمندي هاي مربوط به پردازش اطالع . براي پشتيباني از عملكردهاي خود از آنها استفاده مي نمايد


ISMSچـيست؟ According to the Standard, an ISMS is defined as:

“The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources.”


ISO 27001چيست ؟ مشخصه اي براي مديريت امنيت اطالعات

دستورالعمل مديريت امنيت اطالعات

پايه اي براي ارتباط قراردادي

پايه گواهينامه شخص ثالث

قابليت آاربرد براي تمامي بخشهاي صنعت

تاآيد بر پيش گيري


ISO 27001چيست ؟

“This International Standard has been prepared to provide a model for establishing,implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS).”


27000سري استانداردهاي

ISO 27001 : The ISO 27001 standard was published in October 2005, essentially replacing the old BS7799-2 standard

ISO 27002 : The ISO 27002 standard is the rename of the existing ISO 17799 standard, and is a code of practice for information security. It basically outlines hundreds of potential controls and control mechanisms, which may be implemented, in theory, subject to the guidance provided within ISO 27001.

ISO 27003 : The purpose of this proposed development is to provide help and guidance in implementing an ISMS (Information Security Management System). This will include focus upon the PDCA method, with respect to establishing, implementing reviewing and improving the ISMS itself.


27000سري استانداردهاي

ISO 27004 : ISO 27004 is the official number of the emerging standard covering information security management measurement and metrics . It is intended to help an organization establish the effectiveness of its ISMS implementation, embracing benchmarking and performance targeting within the PDCA cycle .

ISO 27005 : ISO 27005 will be the name of an emerging standard covering information security risk management. As with some of the other standards in the ISO 27000 series, no firm dates have been established for its release. However, it will define the ISMS risk management process, including identification of assets, threats and vulnerabilities .

ISO 27006 : This is the standard which offers guidelines for the accreditation of organizations which offer certification and registration with respect to an ISMS


ساختار امنيت اطالعات


امنيت اطالعات

امنيت مديريت IT امنيت

امنيت ارتباطات هاامنيت مرآز داده

اصطالحات ومفاهيم

محرمانگي دسترسي داند اطمينان از اينكه اطالعات فقط در دستر س كساني است كه آنها مجوز

صحتمراقبت از صحيح وكامل بودن اطالعات و روشهاي پردازش

دسترسي درصورت نياز دسترسي دارند اطمينان از اينكه افراد مجاز به اطالعات ودارايي هاي اختصاص يافته


سياست هاي امنيتي

امنيت سخت افزار ، وسائل جانبي و ديگر تجهيزات

خريد و نصب سخت افزار: زير بخش شماره يکد مشخص کردن نيازمنديهاي امنيت شبکه و اطالعات براي سخت افزارهاي جدي

سخت افزار جديد )تهيه ( مشخص کردن نيازمنديهاي کاربردي تفصيلي براي نصب سخت افزار جديد

تست سيستمها و تجهيزات

، پرينترها و مودم ها UPSکابل کشي، : زير بخش شماره دوتهيه برق دائم و پيوسته براي تجهيزات حياتي و حساس مديريت و نگهداري مولد برق جانشين Fax modems/ استفاده از ماشينهاي فاکس ISDN و DSLاتصاالت / استفاده از مودم ها استفاده از پرينترهاي منفرد، تحت شبکه و يا مرکزي نصب و نگهداري کابل هاي شبکه



مواد مصرف شدني در حوزه فناوري اطالعات: زير بخش شماره سهکنترل مواد مصرف شدني در حوزه فناوري اطالعات

ها CDمانند ديسکت ها و (استفاده از رسانه هاي ذخيره سازي قابل پاک شدن

يا برون سپاري فرآيندها و فعاليت هاي کاري work ofکار بصورت : زير بخش شماره چهارمقاطعه کاري يا برون سپاري فعاليت ها

کامپيوترهاي قابل حمل به پرسنل / Laptopاختصاص Tele_Working

انتقال سخت افزارها از مکاني به مکان ديگر استفاده از تلفن هاي موبايل

استفاده از تسهيالت مرکزي سازمان

استفاده از محل هاي ذخيره سازي امن : زير بخش شماره پنجاستفاده از مکانهاي ذخيره سازي قفل دار



مستند سازي سخت افزار: زير بخش شماره ششمديريت و استفاده از مستندات سخت افزاري

نگهداري ليست اموال تجهيزات سخت افزاري

ساير موارد امنيتي مربوط به سخت افزارها: زير بخش شماره هفتکنترل تجهيزات منسوخ و از رده خارج شده

ثبت و گزارش خطاهاي سخت افزاري بيمه تجهيزات سخت افزاري

صفحه پاک / خط مشي ميزLog off / log on

offsite و onsiteنگهداري سخت افزارها به دو صورت آسيب رساندن به تجهيزات


سياست هاي امنيتي کنترل دسترسي به اطالعات و سيستم ها : بخش دوم

مديريت استانداردهاي کنترل دسترسي مديريت دسترسي کاربر

امنيت ايستگاههاي کاري بدون مراقبت مديريت کنترل هاي دسترسي به شبکه

کنترل دسترسي به نرم افزارهاي سيستم عامل مديريت پسوردها

امنيت در مقابل دسترسي هاي فيزيکي غير مجاز محدود کردن دسترسي ها

بازبيني دسترسي هاي سيستمي و استفاده از آنها اختصاص دسترسي به مستندات و فايل ها

مديريت دسترسي سيستم هايي با ريسک باال کنترل دسترسي کاربر از راه دور


سياست هاي امنيتي اطالعات و مستندات پردازش : بخش سوم

شبکه ها : زير بخش شماره يکپيکر بندي شبکه ها

مديريت شبکهدسترسي به شبکه از راه دور

دفاع از اطالعات شبکه در مقابل حمالت بدخواهانه

مديريت و عملکرد سيستم: زير بخش شماره دوانتصاب مديران سيستم ها

مديريت سيستم ها کنترل توزيع داده ها

اجازه دسترسي به اشخاص ثالث مديريت مستند سازي سيستم

نظارت بر ثبت خطا ها زمانبندي عمليات سيستم ها همزماني ساعتهاي سيستم



E-mail & World wide web: زير بخش شماره سه

دانلود فايلها و اطالعات از طريق اينترنت استفاده و دريافت امضاهاي ديجيتال

ايميل و دريافتارسالنگه داشتن و يا پاک کردن ايميل برقراري دسترسي به اينترانتبرقراري دسترسي به اکسترانتبرقراري دسترسي به اينترنت

توسعه يک وب سايت ارسال ايميل

استفاده از موتور جستجوي اينترنتي نگهداري وب سايت

فيلتر کردن مطالب نامناسب از اينترنت منشا فايل (اطمينان از اصلي بودن فايل



تلفن ها و فاکس : زير بخش شماره چهارايجاد تماس هاي کنفرانسي استفاده از ويدئو کنفرانس

ثبت مکالمات تلفنيدريافت اطالعات نادرست و گمراه کننده از طريق فاکس

ارائه اطالعات هنگام سفارش کاال از طريق تلفن ارائه راهنماهاي الزم توسط افراد از طريق تلفن

دريافت فاکسهاي ناخواسته



مديريت داده ها : زير بخش شماره پنجانتقال و مبادله داده ها

مديريت ذخيره سازي داده ها مديريت پايگاه داده

اجازه اصالح ضروري و فوق العاده داده ها دريافت اطالعات بر روي ديسک ها

نصب يک دايرکتوري يا فولدر جديد اصالح ساختار دايرکتوري

بايگاني مستندات خط مشي نگهداري اطالعات

برقراري ارتباط اطالعاتي مابين مستندات و فايل ها بروز کردن گزارشات پيش نويس

حذف گزارشات پيش نويس استفاده از اسامي معني دار براي فايل ها

Footer و Headerاستفاده از استفاده از فايل هاي موقت و حذف آنها



پشتيبان گيري، بازيابي و بايگاني اطالعات : زير بخش شماره شششروع مجدد و يا بازيابي سيستم

پشتيبان گيري از داده ها بر روي کامپيوترهاي قابل حمل مديريت رويه ها پشتيبان گيري و بازيابي اطالعات

بايگاني اطالعات بايگاني فايل هاي الکترونيکي

بازيابي و اصالح فايل هاي داده اي



اداره کرده مستندات : زير بخش شماره هفتمديريت خروجي هاي چاپي کاغذي

از اطالعات محرمانه ) فتوکپي(رونوشت بايگاني مستندات و اطالعات امضا و تائيد ثانوي مستندات

بررسي صحت مستنداتتصويب مستندات بازبيني امضا ها

دريافت ايميل هاي ناخواسته روش و نحوه ارائه گزارشات

نحوه جابجائي مستندات حساس اطالعات کاغذي که مورد نياز نيستند ) خرد کردن (از بين بردن

استفاده از رويه هاي مناسب براي مديريت مستندات



امنيت داده ها : زير بخش شماره هشتاستفاده از تکنيک هاي رمز نگاري

به اشتراک گذاشتن اطالعاتارسال اطالعات براي اشخاص ثالث نگهداري محرمانه اطالعات مشتري

ريسک آتش سوزي براي اطالعات سازماني ارسال گزارشات

اداره کردن اطالعات مالي حساس شده اند پاک کردن داده هايي که تحت مالکيت ديگران بوده و بوسيله آنها ايجاد

محافظت از مستندات بوسيله پسورد چاپ مستندات طبقه بندي شده



ساير موارد مربوط به اداره کردن و پردازش اطالعات : زير بخش شماره نهاستفاده از کنترل هاي ورودي دوگانه

استفاده از نگهدارنده هاي صفحه شخصي صحبت کردن با رسانه ها صحبت کردن با مشتريان

نياز به کنترل هاي دوگانه و يا تفکيک وظائف استفاده از خط مشي ميز پاک

ارتباط با اشخاص ثالث و يا پيمانکاران از طريق آدرس اشتباه بازبيني صحت و درستي اطالعات

ماموريت هاي کارير



خريد و نگهداري نرم افزارهاي تجاري : بخش چهارم

خريد و نصب نرم افزار: زير بخش شماره يکمشخص کردن نيازمنديهاي کاربري براي خريد نرم افزار

انتخاب بسته هاي نرم افزاري تجاري استفاده از نرم افزارهاي داراي مجوز اجراي نرم افزار جديد و يا بروز شده

نگهداري و بروز کردن نرم افزار: زير بخش شماره دو ها براي نرم افزارPatchبکارگيري

بروز کردن نرم افزار واکنش در مقابل توصيه فروشندگان براي بروز کردن نرم افزار

پشتيباني از نرم افزار هاي کاربردي بروز کردن نرم افزارهاي سيستم عامل

پشتيباني از سيستم عامل ثبت و گزارش خطا هاي نرم افزاري



ساير موارد نرم افزاري : زير بخش شماره سهاز رده خارج کردن نرم افزارها کنترل محيط تست نرم افزار

استفاده از داده هاي واقعي براي تست نرم افزار تست نرم افزار قبل از انتقال به محيط هدف

آموزش سيستم هاي جديد مستند سازي سيستم هاي جديد و يا ارتقا يافته

اکتساب نرم افزارهاي از قبل توسعه توسط فروشنده آن



طراحي طرح استمرار کسب و کار سازماني : بخش پنجمBCPشروع پروژه

BCPارزيابي ريسک امنيتي BCPتوسعه

تست طرح استمرار کسب و کارBCPنگهداري و بروز کردن


ارزيابي اوليه از ميزان امنيت شبكه و اطالعات جاري سازمان

: مي گيردبه طور كلي مي توان گفت كه اين ارزيابي اوليه در حوزه هاي ذيل صورت

سطح شبكه سطح سيستم

سطح برنامه كاربردي سطح بستر ارتباطي سطح رمز نگاري


ارائه پرسشنامه

حوزه های مرتبط با مديريت حوزه های مرتبط با آموزش و آگاه سازی

حوزه های مرتبط با وابستگی سازمان به کارمندان حوزه های مرتبط با دسترسی و حقوق دسترسی

حوزه های مرتبط با رويه های سازمانی حوزه های مرتبط با مميزی

حوزه های مرتبط با خط مشی های امنيتی حوزه های مرتبط با مستندات

حوزه های مرتبط با سخت افزار و نرم افزار حوزه های مرتبط با شبکه

حوزه های مرتبط با کاربران .......


تعيين دارائي هاي سازماني

مستندات كاغذي دارائي هاي اطالعاتي دارائي هاي فيزيكي

سخت افزار ها نرم افزارها

اطالعات و ارتباطات دارائي هاي انساني

انواع كاربران خدمات


تعيين سياست هاي امنيتي سياست هاي امنيتي سرويس هاي فضاي تبادل اطالعات سازمان

سياست هاي امنيتي سخت افزارهاي فضاي تبادل اطالعات سازمان

سياست هاي امنيتي نرم افزارهاي فضاي تبادل اطالعات سازمان

سياست هاي امنيتي ارتباطات و اطالعات فضاي تبادل اطالعات سازمان

سياست هاي امنيتي كاربران فضاي تبادل اطالعات سازمان


چگونگي تشخيص الزامات امنيتي با توجه به ريسك هاي امنيتي -1

با توجه به الزامات قراردادي وقانوني -2

با توجه به اصول واهداف والزامات داخلي -3


برآورد و مديريت ريسك


پذيرش آا هش

انتقالاجتناب

پيامد

احتمال

Risk Assessment

STEP 1: SYSTEM CHARACTERIZATION. System-Related Information Information-GatheringSTEP 2: THREAT IDENTIFICATION. Threat-Source Identification Motivation and Threat ActionsSTEP 3: VULNERABILITY IDENTIFICATION . Vulnerability Sources System Security Testing Development of Security Requirements Checklist

Risk Assessment

STEP 4: CONTROL ANALYSIS.STEP 5: LIKELIHOOD DETERMINATION.STEP 6: IMPACT ANALYSIS .STEP 7: RISK DETERMINATION.

Risk-Level Matrix.Description of Risk Level

STEP 8: CONTROL RECOMMENDATIONS STEP 9: RESULTS DOCUMENTATION

Risk Assessment

RISK MITIGATION OPTIONS . RISK MITIGATION STRATEGY. APPROACH FOR CONTROL IMPLEMENTATION.. CONTROL CATEGORIES . Technical Security Controls. Management Security Controls Operational Security Controls. COST-BENEFIT ANALYSIS . RESIDUAL RISK

ارزيابي ريسكنام تهديدنام آسيب پذيري

آستانه ريسكاحتمالپيامد

ظرفيت سنجي نامناسب

سخت افزارعاي

جديد

MM4530عدم پردازش درست داده ها HH6630نگهداري نامناسب داده ها HH7830آسيب رسيدن به شبكه

HH6530بخطرافتادن فرايند خريد تجهيزات سخت افزاري جديد بخطرافتادن انتخاب مناسب الزامات امنيتي براي سخت افزار

HH6530جديد

HM6030ناسازگاري سيستم جديد با زيرساخت سازمانيناسازگاري نرم افزارهاي موجود برروي سخت افزار جديد با

HM6030زيرساخت سازماني

MM4530ارائه تائيديه هاي نامناسب از سوي مديريت MH5130فقدان تست سخت افزار

ريسكيارزياب


ريسكيارزياب مميزي فعاليتهاي كاربران در سطح كاربردي -1 مميزي سيستمي از فعاليتهاي كاربران - 2 دسترسي ترمينال - 3 اجراي مميزي در سطح سيستمي - 4 مستند سازي و جمع آوري داده هاي مميزي در سطح سيستم - 5 مستند سازي و جمع آوري داده هاي مميزي در سطح كاربردي - 6 تعيين اعتبار كاربران - 7 دسترسي به منابع حساس - 8 برخورد با حوادث در سطح كاربردي - 9 اجراي وظايف مديريتي - 10 دسترسي فيزيكي به داراييهاي شخصي - 11 امنيت كارهاي مرتبط با مميزي سيستم - 12 مديريت كلمه رمز - 13 دسترسي فيزيكي به ساختمان تأسيسات - 14IT دسترسي پرسنل به تأسيسات - 15IT دسترسي فيزيكي به مناطق حساس - 16 گيري در سطح كاربردي Back-up رويه هاي - 17


برخورد با ريسك يمعيارها

%كاهش اسيب پذيري هزينهمتنمجاز مطمئن شويد كه ترمينال و مكان كاربراني كه مشكوك به فعاليتهاي غير

افزار از طريق نرمكار اگر اين .شده و تحت كنترل هستند هستند مشخص شده ممكن است الزم باشد تا الگهاي مدون گيرد ي صورت نميخاصمميزي

.دننگهداري شو ي خاصيدر جا ترمينال در

M37%

داشته باشد تا فعاليت يك كاربر معين را مميزي و نظارت بايد وجود اين امكان .كرد

M37%

نمايش وقتي يك كاربر به سيستم وارد مي شود، تاريخ و زمان اخرين ورود بايد . داده شود

L10/11%

روي ("مخصوص " يا "كاربر ويژه"فعاليت هاي تمام كاربران با ويژگي .، و فعاليت هاي تمام مديران بايد مشخصا مميزي شود)سيستمهاي اطالعاتي

L10/11%


مميزي فعاليتهاي كاربران در سطح كاربردي


%كاهش اسيب پذيري هزينهمتن

استفاده غير "شبكه بايد پيامي را نمايش دهد دال بر اينكه/نرم افزار سيستم ن بايد ي، همچن"مجاز از ترمينال مي تواند منجر به پيگرد قانوني شود

.ستمكانيزمي وجود داشته باشد كه كاربر تاييد كند كه اخطار را خوانده ا

M13.70

شخص سيستم بايد از انتقال اطالعات حساس يا محرمانه به ترمينالهاي غير م .يا غير معتبر جلوگيري كند

M13.70

User-ids بايد بعد از چند اقدام نا موفق براي ورود به سيستم به حالت تعليق .در بيايد

M6.80

كه دسترسي به گردد تا اطمينان حاصل استفاده شودكنترلهايي بايد از .سيستم از مكانها يا ترمينالهاي غير مجاز ميسر نيست

M2.70


دسترسي ترمينال


%كاهش اسيب پذيري هزينهمتن از تاسيسات بايد اكيدا /به ) رسانه مغناطيسي ، گزارشات ،غيره(جابجايي دارايي ها

.كنترل و الگ شوندM9,60

وقتي مورد ( بايد به طور ايمن،) مدارك و غيره(دارايي هاي حساس غير مغناطيسي )در يك كمد محكم قفل شوند ( ذخيره گردند )استفاده قرار نمي گيرند

M9,60

ديگر يك رويه تائيد تحويل وقتي دارايي هاي حساس به تاسيسات يا مكانهاي . مورد استفاده قرار گيرد ي بايستارسال مي گردند

L4,80

ن سازي وقتي دارايي هاي حساس منتقل مي گردند، تدابير امنيتي خاص، مثل پنها.مورد استفاده قرار گيرديا ذخيره در جعبه هاي قفل شده محكم بايد

M4,80

بايد قفل هاي واحد هاي ذخيره فيزيكي كه دارايي هاي حساس را نگه مي دارند كه يك كارمند مجاز سازمان را ترك زمانيكهيحت( بطور دوره اي عوض شوند

. ) مي كند

M3,80


دسترسي فيزيكي به داراييهاي شخصي

طرح تحليل مخاطرات امنيتي تجزيه و تحليل شبكه و تعيين مخاطرات امنيتي

معماري شبكه ارتباطي تجهيزات شبكه ارتباطي

مديريت و نگهداري شبكه ارتباطي سرويس هاي شبكه ارتباطي

تشكيالت و روش هاي تامين امنيت شبكه ارتباطي تعيين آسيب پذيريها

شناسائي منابع آسيب پذيري تست امنيتي سيستم

تعيين ريسك دارائي ها و فرايندها تعيين آستانه پذيرش ريسك

ارائه راه حلهاي كلي براي كاهش آسيب پذيري ها ، نهديدات و ريسك ها


ارائه طرح جامع ارائه راه حلهای مناسب-١

معماری شبکه پروتکلهای شبکه

Server farmSwitching

ارتباطات امنيت فنی شبکه

طرح تهيه نسخ پشتيبان امنيت فيزيکی شبکه

سيستمهای کنترل جريان اطالعات و تکيل نواحی امنيتی مناسب برای شبکه IPارائه ساختار معماری

سازمانی تهيه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع DMZساختار


ارائه طرح جامع

Accountingسرويس DNSسرويس FTPسرويس

Filtering Monitoring

Web Cache نرم افزارهاي تشخيص و مقابله با ويروس

سيستم هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملكرد كاربران سيستم هاي ثبت و تحليل رويدادنامه ها

سيستم هاي رمزنگاري اطالعات نرم افزارهاي نظارت بر ترافيك شبكه

نرم افزارهاي پويشگر امنيتي نرم افزارهاي مديريت امنيت شبكه

................Pishgaman AmnAfzar Co. 48

ارائه طرح جامع

مربوطه ارائه نمونه هاي مناسب دستورالعمل هاي پيكربندي امن و چك ليست هاي -2طراحي ساختار كلي شبكه

طراحي ساختار سايت مركزي طراحي ساختار فيزيكي شبكه

.. . ها و -ها ، كيستون - ، پچ پنل -ها ، ركها ، داكتها -تعيين تجهيزات غيرفعال مورد نياز شامل كابل مورد نياز

ساختار آدرس دهي ، ساختار مسير يابي ، ساختار دسترسي به شبكه تجهيزات شبكه

سرويس دهنده هاي شبكه مديريت و نگهداري شبكه

يزات ، سرويس دهنده ها تشريح تغييراتي كه همزامان با افزودن سيستم امنيتي در معماري ، تجه و مديريت شبكه انجام مي گيرد

هاي مورد نياز شبكه -تعيين پروتكل بندي آن - شبكه و تقسيم IPطراحي معماري

Server Farmطراحي ساختار كلي Pishgaman AmnAfzar Co. 49

ارائه طرح جامعهاي مورد نياز جهت نصب روي سرورها -تعيين سرويس

هاي مورد نياز -تعيين سيستم عامل تعيين سرورهاي مورد نياز

طراحي ساختار سوئيچنگ شبكه هاي مورد نياز -تعيين سوئيچ

طراحي ساختار ارتباطي شبكه طراحي ساختار ارتباطي سايت مركزي

.. ..هاي خارجي مانند شبكه اينترنت، و -طراحي ساختار ارتباطات شبكه داخلي با شبكه طراحي نحوه برقراري ارتباط كاربران خارجي با شبكه داخلي

طراحي ساختار مسيريابي شبكه .... ها و -م تعيين تجهيزات مورد نياز جهت برقراري ارتباطات از جمله روترها، مود

طراحي ساختار مطمئن براي شبكه Firewall ، IDS/IDP/IPS (Network Base): تعيين تجهيزات امنيتي مورد نياز شامل


ارائه طرح جامع .... . ، NAT ،PAT ،IP Sec ،VPN: تعيين تكنولوژيهاي امنيتي مورد نياز شامل

مناسب براي شبكه VLANطراحي ساختار مناسب DMZطراحي ساختار هاي امنيتي شبكه -تعيين سياست

هاي مديريتي، -هاي دسترسي، روال -هاي امنيتي شامل روالهاي پيكربندي، روال -تعيين روال هاي بروزرساني، روالهاي مستندسازي شبكه -روال

تعيين تجهيزات برق اضطراري مورد نياز تهيه و توسعه محصوالت نرم افزاري در صورت نياز

در صورت نياز NAS و SANطراحي هاي مورد نياز Storage Deviceتعيين

تعيين روالهاي تهيه نسخ پشتيبان تعيين محل مناسب جهت سايت مركزي تعيين تهويه مناسب محل سايت مركزي

تعيين دربهاي مخصوص جهت سايت مركزي تعيين قفلهاي الكترونيكي جهت سايت مركزي

تعيين ركهاي مناسب در نقاط توزيع Pishgaman AmnAfzar Co. 51

ارائه طرح جامعتعيين كابل كشي و داكت كشي مناسب از نظر امنيتي در هر بخش

تعيين سيستم ضد حريق جهت سايت مركزي نرم افزارهاي تشخيص و مقابله با ويروس

سيستم هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملكرد كاربران سيستم هاي ثبت و تحليل رويداد نامه ها

سيستم هاي رمزنگاري اطالعات نرم افزارهاي نظارت بر ترافيك شبكه

نرم افزارهاي پويشگر امنيتي نرم افزارهاي مديريت امنيت شبكه

.. ...... ........


ISO 27001متدولوژي


حوزه هاي يازده گانهISO/IEC 27001


خط مشي امنيتي

حوزه هاي يازده گانه

مطابقت با قوانين

مديريت تداوم آسب و آار

مديريت حوادث امنيت اطالعات

تهيه، توسعه و نگهداري سيستم هاي اطالعاتي

سازماندهي امنيت اطالعات

مديريت دارايي ها

امنيت منابع انساني

امنيت محيطي و فيزيكي

مديريت عمليات و ارتباطات

آنترل دسترسي

طرح پشتيباني از حوادث

در يك سازمان موجب ايجاد حداكثري امنيت در ) ISMS(اجراي طرح امنيت شبكه و اطالعات اما با گذشت زمان ، روش هاي قبلي از جمله نفوذ به . ساختار شبكه و اطالعات سازمان خواهد شد

ر اساس تنظيمات قبلي شبكه ها تغيير خواهند يافت و سيستم امنيتي شبكه و اطالعات سازمان ب از طرفي ديگر هر روزه آسيب پذيري هاي جديدي شبكه . قادر به حل مشكالت جديد نخواهند بود

جديد استفاده ننمائيم ، و اطالعات سازمان را تهديد مي نمايند و در صورتي كه از راه حل هاي يت هاي چندساله و سيستم شبكه و اطالعات سازمان بسيار آسيب پذير خواهد شد و عمال فعال

. شدهزينه هاي انجام شده در زمينه امنيت شبكه و اطالعات بيفايده خواهد

كيالت پشتيباني براي حل مشكالت ذكر شده در سيستم مديريت امنيت اطالعات و شبكه ، تش مهمترين اين روش . ت امنيت شبكه و اطالعات و طرح هاي پشتيباني مربوطه ، پيش بيني شده اس

. ها ، طرح پشتيباني از حوادث مي باشد


متدولوژی پشتيبانی از حوادث :فاز هاي مختلف اين متدولوژي عبارتند از

آماده سازي تشخيص و تحليل

محدود سازي ، ريشه كني و ترميم فعاليت هاي بعد از ترميم


آماده سازي تشخيص و تحليل

محدود سازي ريشه كني و ترميم

فعاليت هاي بعد از ترميم

انتخاب کنترل هاي مناسب براي سازمان

ISOرل هاي استاندارد در اين مرحله با توجه به خروجي هر يك فاز هاي قبلي ، آندسته از كنت ) . Control customization( كه براي سازمان مناسب مي باشند انتخاب مي گردد 27001

مي گردد بدين معني كه سپس ارتباط اين كنترل ها و راهكار هاي ارائه شده در فاز قبلي مشخص . راهكار هاي الزم براي پياده سازي كنترل هاي انتخابي ارائه مي گردد


مميزي داخلي سازمان ) Scope –در حوزه کاري (

ها و مستندات مر بوط در اين مرحله كه پس از اتمام كار صورت مي گيرد با توجه به چك ليست كه در اختيار مي باشد و همچنين با توجه به تاونائي تيم ISO 27001به سرمميزي استاندارد

، كليه فعاليت هاي انجام ISO 27001امنيت شركت پرورش داده ها براي مميزي استاندارد بت به اهداف استاندارد وجود گرفته در پروژه بازبيني و بررسي مي گردند تا اگر احيانا انحرافي نس

پس از پايان اين مرحله و بعد از برطرف كردن نقاط ضعف موجود ، . دارد ، سريعا برطرف گردد . مي باشد ISO 27001المللي استاندارد سازمان آماده دريافت گواهينامه بين


صدور گواهينامه بين المللي ISO 27001استاندارد

ت گواهينامه مي باشد و در در پايان پروژه و پس از اينكه تشخيص داده شد كه سازمان آماده درياف -Certification Body( صورت تمايل مديريت سازمان ، از يك مركز تصديق معتبر

CB ( براي صدور گواهينامه دعوت بعمل مي آيد .


اجزاء و ساختار تشکيالت اطالعات سازمانامنيت

:تشكيالت امنيت شبكه، متشكل از سه جزء اصلي به شرح زير مي باشد

كميته راهبري امنيت فضاي تبادل اطالعات دستگاه : در سطح سياستگذاري مدير امنيت فضاي تبادل اطالعات دستگاه : در سطح مديريت اجرائي

واحد پشتيباني امنيت فضاي تبادل اطالعات دستگاه : در سطح فني


اجزاء و ساختار تشکيالت اطالعات سازمانامنيت



ISMSتوسعه مشخص آردن موارد بهبود در

ISMSو پياده سازي آنها

انجام اقدامات پيشگيرانه و اصالحي مناسب

مشاوره و داشتن ارتباط

مديريت ، مسئولين مالي () ،آاربران وغيره

بهبود مستمر

اقدام برنامه

بررسي اجرا

خط مشي

برقراري موارد امنيتي تجاري مشيتعيين اهداف و خط -ISMSقلمرو و خط مشي -روش مديريت ريسك -

برآورد و شنا سايي ريسك ها شناسايي ريسك ها -تحليل ريسك ها -ارزيابي -

مديريت ريسك

شنا سايي و ارزيابي گزينه هاي -مديريت ريسك

انتخاب آنترل ها واهداف براي برخورد -و مديريت ريسك

پياده سازي آنترلهاي انتخاب شده -

بليت اجرا بيانيه قا

نظارت و بازنگري ISMS

PDCAچرخه



آارايي توسعه سيستم مديريت امنيت

اطالعات

زمان


) امنيت اطالعات (تضمين

برنامه

اجرا

اقدام

بررسي

بررسياجرا

اقدام

معايب و مزايا

مزايا ريسك ها وخسارت ها كاهش مي يابد

منطبق كردن استاندارد هاو فعاليتها با قوانين ومقررات سازمان

توسعه ايمني كاركرد هاي قابل اطمينان

معايب نگراني از تغيير وضعيت موجود

نگراني از افشاشدن اطالعات نگراني از افزايش هزينه

نداشتن دانش كافي قبل از پياده سازي

كار بسيار بزرگ ظاهرا به نظر ميرسد


مزاياي پياده سازي

به حالت سيستماتيك و روش مند نزديك مي شويد تخلفات امنيتي ويا اقامه دعوي حقوقي عليه شركت كاهش مي يابد

تبليغات سوءعليه شركت كاهش مييابد تضمين اعتبار قانوني شركت افزايش مي يابد

فهم از جنبه هاي تجاري افزايش مييابد شناسايي مي شوند دارايي هاي كه در حالت بحراني هستنداز طريق ارزيابي ريسك تجاري

ايجاد يك ساختار براي بهبود مستمر شناخت و اهميت مسائل مربوط به امنيت درسطح مديريت افزايش مي يابد

مديريت تجاري اطمينان از اينكه سرمايه علمي شركت نگهداري خواهد شد ودر يك سيستم مديريت شود

بومي سازي فرهنگ و دانش امنيت اطالعات در سازمان


مزاياي دريافت گواهينامه

نمايش عمومي افزايش وجهه شركت

پاسخگويي / تضمين تسريع بهبود فرايند ها تضمين تعهد مديريت

تمايل يافتن مشتريان بالقوه به شركت باشيد ISMS14001/9001/مي توانيد بخشي از روش يكپارچه

ايجاد انگيزه در كاركنان


ISMS

دريافت گواهينامه چه زماني اتفاق ميافتد؟


مميزيبرآوردمميزي اوليه پي گيري دوره اي

اوليه

آگاه سازي

مطالعات اوليه پياده سازي

شركت مشاور مميز ها

قراردادمحرمانه

گواهينامه ISMS

Documents

An Introduction to ISMS