نوع فایل: word
قابل ویرایش 150 صفحه
مقدمه:
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی اشاره نمود.
بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساختهائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد. از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت.
صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاههای دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمنسازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمیباشد و لازم است این امر بصورت مداوم در یک چرخه ایمنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
تهیه طرحها و برنامههای امنیتی موردنیاز سازمان
ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
اجرای طرحها و برنامههای امنیتی سازمان
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی ایمنسازی فضای تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد از برجستهترین استاندادرها و راهنماهای فنی در این زمینه محسوب میگردند.
در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
تعیین مراحل ایمنسازی و نحوه شکلگیری چرخه امنیت اطلاعات و ارتباطات سازمان
جرئیات مراحل ایمنسازی و تکنیکهای فنی مورد استفاده در هر مرحله
لیست و محتوای طرحها و برنامههای امنیتی موردنیاز سازمان
ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
کنترلهای امنیتی موردنیاز برای هر یک از سیستمهای اطلاعاتی و ارتباطی سازمان
با توجه به نقش اطلاعات به عنوان کالای با ارزش در تجارت امروز لزوم حفاظت از آن ضروری بنظر می رسد. برای دستیابی به این هدف هر سازمان بسته به سطح اطلاعات( از نظر ارزش اقتصادی) نیازمند به طراحی سیستم مدیریت امنیت اطلاعات دارد تا از این طریق بتواند از سرمایه های اطلاعاتی خود حفاظت نماید. این مقاله سعی دارد به بررسی چگونگی و روند ایجاد یک سیستم امنیت اطلاعات بپردازد.
گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی می شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سود آور، بحث امنیت اطلاعات بعد جدیدی به خود می گیرد. در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان ( چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم بشمار می رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی.
فهرست مطالب:
سیستم مدیریت امنیت اطلاعات (ISMS)
مقدمه
مدیریت امنیت اطلاعات
سیستم امنیت اطلاعات
آشنایی با منابع اطلاعاتی موجود در سازمان
تهدیدات سیستم اطلاعاتی
انواع خطرهای تهدید کننده سیستم اطلاعاتی
اشتباههای انسانی
خطرات ناشی از عوامل طبیعی
ایرادات سیستمی
فعالیتهای خرابکارانه
ایجاد امنیت از نظر فیزیکی
رمز گذاری اطلاعات
نتیجه گیری
روشهایی برای مدیریت امنیت اطلاعات
مروری بر استانداردهای مدیریت امنیت اطلاعات
2-1-1- بخش اول
تدوین سیاست امنیتی سازمان
1-ایجاد تشکیلات تامین امنیت سازمان
1-دستهبندی سرمایهها و تعیین کنترلهای لازم
1-امنیت پرسنلی
1-امنیت فیزیکی و پیرامونی
1-مدیریت ارتباطات
1-کنترل دسترسی
1-نگهداری و توسعه سیستمها
1-پاسخگوئی به نیازهای امنیتی
:iبخش دوم
2-3-1- بخش اول
2-3-2- بخش دوم
استانداردی برای مدیریت امنیت اطلاعات
استاندارد BS7799/ISO17799
سیاست امنیتی
امنیت سازمانی
طبقهبندی و کنترل داراییها
امنیت پرسنلی
امنیت فیزیکی و محیطی
مدیریت ارتباطات و عملیات
7-کنترل دسترسی
توسعه و نگهداری سیستمها
9-تداوم و انسجام کسب و کار
10-همراهی و التزام
نظام مدیریت امنیت اطلاعات
برنامه ریزی Plan
انجام Do
ارزیابی Check
بازانجام Act
مراحل اجرای نظام مدیریت امنیت اطلاعات
آماده سازی اولیه
تعریف نظام مدیریت امنیت اطلاعات
ارزیابی مخاطرات
آمادگی برای ممیزی
ممیزی
کنترل و بهبود مداوم
مفاهیم اولیه ISMS
طراحی و پیاده سازی ISMS از عوامل زیر تأثیر می پذیرد
اهداف کسب و کار (خواسته های امنیتی)
1. رویکرد فرآیند محور
شکل 3: مدل PDCA
الف- طراحی
ج- بازبینی و نظارت
د- اصلاح
روند راه اندازی ISMS
الف: مرحله طراحی
تعریف قلمرو (محدوده) ISMS
تعریف خط مشی ISMS
تعیین رویکرد ارزیابی مخاطرات
تعیین مخاطرات
ارزیابی مخاطرات
انتخاب کنترلهای مناسب
ب: مرحله اجرا
ج: مرحله نظارت
د: مرحله اصلاح
مسؤلیت مدیران سازمان
نتیجه گیری
مستندات ISMS دستگاه
3-1- اهداف،راهبردها و سیاستهای امنیتی
نمونههائی از اهداف کوتاه مدت امنیت
نمونههائی از اهداف میان مدت امنیت
نمونههائی از راهبردهای کوتاه مدت امنیت
نمونههائی از راهبردهای میان مدت امنیت
3-1-1- سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
3-2- طرح تحلیل مخاطرات امنیتی
3-2-1- تجهیزات شبکه ارتباطی
3-2-2- مدیریت و نگهداری شبکه ارتباطی
3-2-3- سرویسهای شبکه ارتباطی
3-2-4- تشکیلات و روشهای تامین امنیت شبکه ارتباطی
طرح امنیت
طرح مقابله با حوادث امنیتی و ترمیم خرابیها
برنامه آموزش پرسنل تشکیلات امنیت
تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
4-1- اجزاء و ساختار تشکیلات امنیت
4-1-1- اجزاء تشکیلات امنیت
4-1-3- اعضاء تشکیلات امنیت فضای تبادل اطلاعات دستگاه
مدیر امنیت
تیمهای پشتیبانی امنیت
4-2- شرح وظایف تشکیلات امنیت
4-2-1- شرح وظایف کمیته راهبری امنیت
3-2-2- شرح وظایف مدیر امنیت
شرح وظایف نظارت و بازرسی امنیتی
شرح وظایف مدیریت تغییرات
شرح وظایف نگهداری امنیت شبکه
فناوریهای امنیت اطلاعات با یک دیدگاه طبقهبندی
تعاریف:
فناوریهای امنیت اطلاعات
طبقهبندی(INFOSEC)
1-براساس مرحله خاصی از زمان
براساس سطوح پیادهسازی نظام های امنیتی در یک محیط رایانهای
رمزنگاری (Cryptography)
امضاهای رقومی (digital signatures)
گواهیهای رقومی(Digital certificates)
شبکههای مجازی خصوصی( virtual private networks)
نرمافزارهای آسیبنما( vulnerability scanners)
پویشگرهای ضد ویروس(Anti- virus scanner)
پروتکلهای امنیتی(security protocols)
سخت افزارهای امنیتی(Security hardware)
جعبههای توسعه نرمافزار امنیتی(security software development kits (SDKs))
ب. فناوریهای امنیت اطلاعات واکنشی
دیوار آتش( firewalls)دیوار آتش
3-کلمات عبور(passwords)
4-زیستسنجی(biometrics)
نظامهای آشکارساز نفوذی(intrusion detection systems (IDS))
6-واقعهنگاری(logging)
دسترسی از راه دور(remote accessing)
نتیجهگیری
نظام جامع امنیت اطلاعات سازمان
طراحی، پیادهسازی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات
فاز برنامه
فاز اجرا
فاز بررسی:
نظارت بر اجرا
فاز اقدام:
امنیت اطلاعات در سازمانها
اطلاعات قابل حذف غیر قابل کنترل هستند
مصلحت اندیشی ها
آگاهی
ایجاد کدهای امنیتی
وضعیت امنیت اطلاعات در کشور ما چگونه است؟
الف: عدم تخصیص جایگاه مناسب به مسائل امنیتی
ب: کمبود های تئوریک و عملی کارشناسان
ج: عدم آموزش و اطلاع رسانی
اینها تنها بخشی از نارساییهای موجود است که باید برای آن چاره اندیشی شود
اهداف ISSAF
چرا ما به فکر ISSAF افتادیم ؟
ده مسئولیت اصلی مدیر فناوری اطلاعات
مسوولیتهای اصلی CIO کدامند؟
مدیریت خدمات و ابزارهای دپارتمانIT
مدیریت کارشناسان IT
مدیریت ارتباطات
فراهم ساختن امنیت اطلاعات و ارتباطات
مدیریت دانش
مدیریت محتوا
بودجه بندی
مدیریت پروژه
ارتباط با سایر مدیران CEO) ، CTO و...)
مدیریت استراتژیک
نمونه ای از تست امنیت اطلاعات برای مدیران
مرکز عملیات امنیت شبکه
مرکز عملیات امنیت کجاست؟
نیاز به سرویسهای مدیریت شده
برای ایجاد یک سیستم امنیتی با ویژگیهای مناسب برای مدیریت
انواع سرویس های مدیریت شده در SOC
دیواره آتش (Firewall)
سیستم های تشخیص حملات (IDS)
امکان فیلتر کردن محتوا
امکان تشخیص ویروس
سرویسهای AAA
Vulnerability
Visibility
Verification
سرویس های پیشرفته در مراکز SOC
شبکه
تفسیم بندی شبکه ها
گروه عمده
ارائه یک الگوی امنیتی برای شبکه های کامپیوتری
1-مقدمه
مروری بر مدل TCP/IP
لایه میزبان به شبکه
2-لایه اینترنت یا شبکه (IP)
3-لایه انتقال (TCP)
لایه کاربرد
تهدیدات علیه امنیت شبکه
حمله جلوگیری از سرویس (DOS)
2-استراق سمع
3-تحلیل ترافیک
4-دستکاری پیامها و داده ها
جعل هویت
4-راهکارهای امنیتی
جدول 1. مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP
جدول 2. اهداف امنیتی در منابع شبکه
رمز نگاری
رمزهای جانشینی (Substitution Cipher)
رمز های جایگشتی (Transposition ):
رمز Ome – time pads ( بهینه ریزی محتوی پیام )
ب ) تازگی پیامها: F neshness
الگوریتم رمز نگاری با کلید متقارن (Symmetric –Key)
رمز نگاری DES (Data Encryption Standard)
حالات رمز (Cipher Modes)
حالت کتابچة رمزMode) (Electronic Code Book
حالت زنجیره سازی بلوکهای رمز: (Cipher Block Chaining Molde)
حالت فیزیک رمز (Cipher Feedback Molds)
Stream Cipher Molde
حالت شمارنده (Counter Modle)
رمز های دیگر
تحلیل رمز شکن ( رمز شکنی )
فصل دوم
دیوار آتش (Fiver wall)
مبانی طراحی دیوار آتش
لایه اول دیوار آتش
لایه دوم دیوار آتش
لایه سوم دیوار آتش
اجزای جانبی یک دیوار آتش
1-واسط محاوره ای و ساده ورودی / خروجی
سیستم ثبت: (Logger )
سیستم هشدار دهنده
راه حل نهایی
امنیت در شبکههای بیسیم
جعل آدرسIP
سرقت نشست
پروژه سیستم های مدیریت امنیت اطلاعات doc .ISMS