این ارائه به ضرورت پیاده سازی آی اس ام اس در راستای پدافند غیرعامل اشاره دارد

1. ‫سازی‬ ‫پیاده‬ ‫ضرورت‬ISMS
‫بیات‬ ‫ّد‬‫م‬‫مح‬
‫زمستان‬1394

2. ‫مقدمه‬
‫بشر‬‫در‬‫دنیای‬‫رو‬‫به‬‫تمام‬‫مکانیزه‬،‫شدن‬‫دست‬‫از‬‫فعالیت‬‫های‬‫جزیره‬‫ای‬‫شسته‬‫و‬‫رو‬‫به‬‫سمت‬‫سیستم‬‫های‬‫یکپارچه‬‫م‬‫بتنی‬‫بر‬
‫تبادل‬‫اطالعات‬‫و‬‫پایگاه‬‫های‬‫داده‬‫آورده‬‫است‬.
‫با‬‫این‬‫سرعت‬‫پیشرفت‬‫که‬‫هر‬‫لحظه‬‫افزایش‬‫می‬،‫یابد‬‫کارشناسان‬IT‫درگیر‬‫بازی‬‫جدیدی‬‫شده‬‫اند‬‫با‬‫عنوان‬‫بحران‬‫امنیت‬
‫اطالعات‬.
‫توسعه‬IT=‫تهدید‬ ‫یا‬ ‫پیشرفت‬!!!‫؟؟؟‬

3. ‫مقدمه‬
‫جنگ‬‫سخت‬:‫از‬‫سالح‬‫و‬‫سخت‬‫افزار‬‫استفاده‬‫می‬‫شود‬.
‫جنگ‬‫نیمه‬‫سخت‬:‫که‬‫شاهد‬‫ترکیبی‬‫از‬‫کارهای‬‫اطالعات‬‫ی‬‫و‬
‫عملیات‬‫روانی‬‫به‬‫همراه‬‫کاربرد‬‫تسلیحات‬‫هستیم‬.
‫جنگ‬‫نرم‬:‫که‬‫کاربرد‬‫عملیات‬،‫روانی‬‫جهت‬‫دهی‬‫افکار‬
،‫عمومی‬‫تخریب‬‫زیر‬‫ساخت‬‫ها‬‫بدون‬‫استفاده‬‫یا‬‫حداقل‬
‫استفاده‬‫از‬‫تسلیحات‬‫و‬‫با‬‫استفاده‬‫از‬‫مولفه‬‫های‬‫فرهن‬،‫گی‬
‫اقتصادی‬‫و‬‫غیره‬‫است‬.

4. ‫پدافند‬ ‫کلی‬ ‫مفهوم‬
‫به‬‫معنی‬،‫دفع‬‫خنثی‬‫کردن‬‫و‬‫یا‬‫کاهش‬
‫دادن‬‫تأثیر‬‫اقدامات‬‫آفندی‬،‫دشمن‬
‫کاهش‬‫آسیب‬‫پذیری‬‫و‬‫ممانعت‬‫از‬
‫دستیابی‬‫وی‬‫به‬‫اهداف‬‫خود‬‫می‬‫باشد‬.

5. ‫عامل‬ ‫غیر‬ ‫پدافند‬
‫به‬‫مجموعه‬‫اقداماتی‬‫اطالق‬‫‌گردد‬‫ی‬‫م‬‫که‬‫مستلزم‬‫بکارگیری‬‫جنگ‬‫افزار‬‫نب‬‫وده‬‫و‬‫با‬
‫اجرای‬‫آن‬‫‌توان‬‫ی‬‫م‬‫از‬‫ورود‬‫خسارات‬‫مالی‬‫به‬‫تجهیزات‬‫و‬‫تأسیسات‬‫حیاتی‬‫و‬
‫حساس‬‫نظامی‬‫و‬‫غیر‬‫نظامی‬‫و‬‫تلفات‬‫انسانی‬‫جلوگیری‬‫نموده‬‫و‬‫یا‬‫میزان‬‫ای‬‫ن‬
‫خسارات‬‫و‬‫تلفات‬‫را‬‫به‬‫حداقل‬‫ممکن‬‫کاهش‬‫داد‬.

6. ‫پدافند‬ ‫كلي‬ ‫اهداف‬‫غيرعامل‬

7. ‫عامل‬ ‫غیر‬ ‫پدافند‬:‫امنیت‬‫ایمني‬ ،،‫پایداری‬
‫امنیت‬:‫عبارت‬‫است‬‫از‬‫حفظ‬،‫حقوق‬،‫صحت‬،‫تمامیت‬‫محرمانگی‬‫اطالعات‬‫و‬‫سهولت‬‫دسترس‬‫ی‬
‫مجاز‬.
‫ایمنی‬:‫عبارت‬‫است‬‫از‬‫حفظ‬‫و‬‫سالمت‬‫نیروي‬،‫انسانی‬‫زیر‬‫ساخت‬،‫ها‬‫‌ها‬‫ن‬‫ساختما‬‫و‬‫تأسی‬،‫سات‬
،‫تجهیزات‬‫سخت‬،‫افزار‬‫نرم‬‫افزار‬‫و‬‫اطالعات‬‫کشور‬‫در‬‫مقابل‬‫اتفاقات‬‫ّب‬‫ر‬‫مخ‬‫و‬‫برهم‬‫زننده‬.
‫پایداري‬:‫حفظ‬‫استمرار‬‫فعالیت‬‫ها‬‫و‬‫خدمات‬‫در‬‫تمام‬‫شرایط‬.

8. ‫پایه‬ ‫دانش‬ ‫های‬ ‫جنگ‬ ، ‫رو‬ ‫پيش‬ ‫های‬ ‫جنگ‬
‫جان‬‫کوبرن‬:‫تاریخ‬‫جنگ‬‫همان‬‫تاریخ‬‫فناور‬‫ی‬
‫است‬.
‫هر‬‫عصری‬‫شیوه‬‫های‬‫جنگی‬‫مخصوص‬‫به‬‫خود‬‫را‬
‫داشته‬‫است‬.
‫جنگ‬‫افزار‬‫کلیدی‬،‫عصرحاضر‬‫سامانه‬‫های‬‫فرماندهی‬
‫و‬‫کنترل‬‫ارتباطات‬‫و‬‫اطالعات‬‫هوشمند‬‫است‬.

9. ‫های‬ ‫چالش‬‫امنيت‬‫اطالعات‬
‫عدم‬‫توجه‬‫به‬‫امنیت‬‫اطالعات‬‫در‬‫بین‬‫مدیران‬‫سازما‬‫ن‬.
‫نا‬‫آگاهی‬‫از‬‫میزان‬‫آسیب‬‫های‬‫ناشی‬‫از‬‫به‬‫مخاطره‬
‫افتادن‬‫امنیت‬‫اطالعات‬‫در‬‫سازمان‬.
‫سرریز‬‫اطالعات‬‫تجهیزات‬‫امنیتی‬‫و‬‫دارایی‬‫های‬
‫اطالعاتی‬.
‫پیشرفته‬‫تر‬‫شدن‬‫حمالت‬‫و‬‫بکارگیری‬‫هوش‬‫مص‬‫نوعی‬
‫در‬‫حمالت‬‫سایبری‬.
‫نیاز‬‫به‬‫شناسایی‬‫سریع‬‫حوادث‬‫امنیتی‬.
‫واکنش‬‫مناسب‬‫در‬‫برابر‬‫حوادث‬‫امنیتی‬.

10. ‫سازمان‬ ‫داخل‬ ‫از‬ ‫حمالت‬
36%
25%
12%
11%
10% 6%
‌‫درصد‌حمالت‌از‌داخل‌سازمان‌در‌سال‬2009
None 1-20% 21-40% 41-60% 61-80% 81-100%
51%
25%
4%
5%
7%
8%
‌‫درصد‌حمالت‌از‌داخل‌سازمان‌در‌سال‬2012
None 1-20% 21-40% 41-60% 61-80% 81-100%

11. ‫سازمان‬ ‫پرسنل‬ ‫آموزش‬ ‫هزینۀ‬
13%
5%
4%
5%
12%
19%
42%
‌‫درصد‌هزینه‌های‌صورت‌گرفته‌جهت‌آموزش‬
‌‫پرسنل‌در‌زمینه‌امنیت‌اطالعات‌در‌سال‬2008
Unknown
More than 10%
8-10%
6-7%
3-5%
1-2%
Less than 1%
6%
8%
12%
8%
28%
20%
18%
‌‫درصد‌هزینه‌های‌صورت‌گرفته‌جهت‌آموزش‬
‌‫پرسنل‌در‌زمینه‌امنیت‌اطالعات‌در‌سال‬2012
Unknown
More than 10%
8-10%
6-7%
3-5%
1-2%
Less than 1%

12. ‫تنها‬‫سيستمي‬‫به‬‫معني‬‫واقعي‬‫امن‬‫محسوب‬‫شود‬‫مي‬‫كه‬‫خ‬‫اموش‬
،‫بوده‬‫از‬‫اتصال‬‫برق‬‫كشيده‬،‫شده‬‫داخل‬‫یک‬‫گاوصندوق‬
‫تيتانيومي‬‫قرار‬‫داده‬،‫شده‬‫در‬‫یک‬‫بونکر‬‫بتني‬‫دفن‬‫شد‬‫ه‬‫باشد‬‫و‬
‫پيرامون‬‫آن‬‫با‬‫گازهای‬‫كشنده‬‫اعصاب‬‫و‬‫محافظين‬‫زبده‬‫مح‬‫صور‬
‫شده‬‫باشد‬!!!
‫كنم‬ ‫بندی‬ ‫شرط‬ ‫سيستم‬ ‫این‬ ‫امنيت‬ ‫روی‬ ‫نيستم‬ ‫حاضر‬ ، ‫شرایط‬ ‫این‬ ‫با‬ ‫حتي‬.
‫گن‌اسپافورد‬
‌‫مدیر‌بخش‌عملیات‌کامپیوتری‌و‌تکنولوژی‌امنیت‬‌‫سازمان‬‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‫پردو‬

13. ‫ت‬‫أ‬‫مين‬‫امنيت‬/‫امنيت‬ ‫تداوم‬
‫ت‬‫أ‬‫مین‬‫امنیت‬‫یعنی‬...
•‫سطح‬‫امنیت‬،‫اطالعات‬‫ارتباطات‬‫و‬‫سیستم‬‫ها‬‫را‬‫افزایش‬‫داده‬‫و‬‫میزان‬‫ریسک‬‫باقی‬‫مانده‬‫را‬‫کاهش‬‫ده‬‫یم‬.
‫تداوم‬‫امنیت‬...
•‫امکان‬‫مقابله‬‫با‬‫تهدیدها‬‫و‬‫حمالت‬‫جدید‬‫را‬‫داشته‬‫باش‬‫یم‬،‫بنحوی‬‫که‬‫با‬‫گذشت‬،‫زمان‬‫سطح‬‫امنیت‬‫کاهش‬‫نیابد‬.
•‫در‬‫صورت‬‫بروز‬،‫مخاطره‬‫خسارت‬‫های‬‫وارده‬‫حداقل‬‫باشد‬‫و‬‫در‬‫صورت‬‫بروز‬،‫خسارت‬‫زمان‬‫بازیابی‬‫اطالعات‬‫و‬
‫احیاء‬‫سیستم‬‫ها‬‫را‬‫به‬‫حداقل‬‫برسانیم‬.

14. ‫چيست؟؟؟‬ ‫راهکار‬
‫بکارگیری‬‫راهکارهای‬‫امنیتی‬‫در‬‫الیه‬‫های‬‫مختلف‬‫شبک‬‫ه‬
‫استفاده‬‫از‬‫تجهیزات‬‫مورد‬‫نیاز‬‫و‬‫حیاتی‬‫برای‬‫باال‬‫بردن‬
‫امنیت‬‫و‬‫مقابله‬‫با‬‫تهدیدات‬
‫شناسایی‬‫رویدادهای‬‫امنیتی‬‫و‬‫‌ها‬‫ی‬‫ناهنجار‬
‫‌آوری‬‫ع‬‫جم‬‫اطالعات‬‫از‬‫ابزارهای‬‫امنیتی‬
‫تولید‬‫و‬‫ارائه‬‫گزارش‬‫به‬‫صورت‬‫بالدرنگ‬‫در‬‫سطوح‬‫مخت‬‫لف‬
‫تهیه‬‫و‬‫ارائه‬‫تصویری‬‫متحد‬‫و‬‫جامع‬‫از‬‫وضعیت‬‫امنیتی‬
‫شبکه‬
‫مانیتورینگ‬‫و‬‫کنترل‬24‫ساعته‬‫وقایع‬‫امنیتی‬‫شبکه‬
‫انجام‬‫واکنش‬‫مناسب‬‫در‬‫هنگام‬‫حمالت‬

15. ‫امنیت‬ ‫سطوح‬

16. ‫اطالعات‬ ‫امنیت‬ ‫مدیریت‬ ‫سیستم‬(ISMS)
‫قسمتي‬‫از‬‫سيستم‬‫مديريتي‬‫سازمان‬‫است‬‫كه‬‫مبتني‬‫بر‬‫ريسك‬‫هاي‬‫كاري؛‬‫به‬‫تاس‬،‫يس‬‫پياده‬،‫سازي‬،‫اجرا‬
،‫مانيتورينگ‬،‫بازبيني‬‫نگهداري‬‫و‬‫بهبود‬‫امنيت‬‫اطالعات‬‫اقدام‬‫مي‬‫نمايد‬.
‫توجه‬:‫سيستم‬‫مديريتي؛‬‫شامل‬‫ساختار‬،‫سازماني‬‫سياست‬،‫ها‬‫طراحي‬‫فعاليت‬،‫ها‬‫مس‬‫ئوليت‬،‫ها‬‫رويه‬،‫ها‬
‫فرآيندها‬‫و‬‫منابع‬‫است‬.

17. ‫و‬ ‫شناسایی‬
‫در‬ ‫مناسب‬ ‫واکنش‬
‫تهدیدهای‬ ‫برابر‬
‫روز‬ ‫به‬
‫سازی‬ ‫مقاوم‬
‫زیرساختهای‬
‫براساس‬ ‫فناوری‬
‫جدید‬ ‫تهدیدهای‬
‫بردن‬ ‫باال‬
‫امنیت‬ ‫و‬ ‫دانش‬
‫پایانی‬ ‫نقاط‬
‫ارتباط‬ ‫یا‬ ‫اندازی‬ ‫راه‬
‫امنی‬ ‫پایش‬ ‫مراکز‬ ‫با‬‫و‬ ‫ت‬
‫عملیات‬ ‫مرکز‬
‫امنیت‬(SOC)
‫استقرار‬ ‫از‬ ‫كلي‬ ‫اهداف‬ISMS‫در‬‫سازمان‬
‫پیاده‬ ‫و‬ ‫طراحی‬
‫امن‬ ‫سازی‬
‫موجود‬ ‫ساختارهای‬
‫سایبر‬ ‫دنیای‬ ‫در‬

18. ‫سازی‬ ‫پیاده‬ ‫های‬ ‫گام‬ISMS
‫تعیین‬‫مراحل‬‫ایمن‬‫سازی‬‫و‬‫نحوه‬‫شکل‬‫گیری‬‫چرخه‬
‫امنیت‬.
‫مشخص‬‫کردن‬‫تکنیک‬‫های‬‫مورد‬‫استفاده‬‫در‬‫هر‬‫مرحله‬‫از‬
‫ایمن‬‫سازی‬‫و‬‫جزئیات‬‫آن‬.
‫تهیۀ‬‫خط‬‫مشی‬‫امنیتی‬‫و‬‫طرح‬‫ها‬‫و‬‫برنامه‬‫های‬‫تدوین‬‫ش‬‫ده‬
‫و‬‫مورد‬‫نیاز‬‫سازمان‬‫در‬‫این‬‫زمینه‬.
،‫شناسایی‬‫ارزیابی‬‫و‬‫تدوین‬‫راه‬‫کارهای‬‫برخورد‬‫با‬‫مخاط‬‫رات‬
(Risks)‫در‬‫سازمان‬.
‫تعریف‬‫نیازها‬‫و‬‫نحوه‬‫ایجاد‬‫تشکیالت‬‫سیاستگذاری‬،
‫اجرائی‬‫و‬‫فنی‬‫در‬‫زمینه‬‫امنیت‬‫فضای‬‫تبادل‬‫اطالعات‬(‫ا‬‫فتا‬).
‫تعیین‬‫کنترل‬‫های‬‫امنیتی‬‫مورد‬‫نیاز‬‫برای‬‫حفاظت‬‫از‬
‫سیستم‬‫های‬‫اطالعاتی‬‫و‬‫ارتباطی‬.

19. ‫چرخ‬‫ۀ‬‫امنیت‬ ‫مدیریت‬ ‫سیستم‬ ‫اجرایی‬‫اطالعات‬

20. ‫امنيت‬ ‫اصلي‬ ‫فاكتورهاي‬‫اطالعات‬
‫محرمانگی‬(Confidentiality)
•‫اطمینان‬‫از‬‫مشاهده‬‫اطالعات‬‫فقط‬‫توسط‬‫افراد‬
‫مجاز‬
‫دسترس‬‫پذیری‬(Availability)
•‫اطمینان‬‫از‬‫دسترسی‬‫افراد‬‫مجاز‬‫به‬‫اطالعات‬‫و‬
‫سایر‬‫منابع‬‫در‬‫زمان‬‫نیاز‬
‫صحت‬‫یا‬‫یکپارچگی‬(Integrity)
•‫اطمینان‬‫از‬‫عدم‬‫تغییر‬‫اطالعات‬‫در‬‫محل‬
،‫‌سازی‬‫ه‬‫ذخیر‬‫مسیر‬‫انتقال‬‫یا‬‫هر‬‫نوع‬‫پردازش‬
‫دیگر‬

21. ‫امنيت‬ ‫جانبي‬ ‫فاكتورهاي‬‫اطالعات‬
‫تصدیق‬‫هویت‬:
•‫اطمینان‬‫از‬‫هویت‬‫شخص‬‫یا‬،‫سیستم‬‫قبل‬‫از‬‫دسترس‬‫ی‬
‫به‬‫اطالعات‬
‫‌گوئی‬‫خ‬‫پاس‬:
•‫ثبت‬‫قابل‬‫استناد‬‫سوابق‬‫عملکرد‬‫شخص‬‫یا‬‫سیس‬‫تم‬
‫جهت‬‌‫ی‬‫‌گیر‬‫ی‬‫پ‬
‫عدم‬‫انکار‬:
•‫اطمینان‬‫از‬‫عدم‬‫امکان‬‫انکار‬‫عملکرد‬‫شخص‬
‫حریم‬‫خصوصی‬:
•‫اطمینان‬‫از‬‫رعایت‬‫حریم‬‫خصوصی‬،‫افراد‬‫طبق‬‫ضوابط‬

22. ‫اطالعات‬ ‫امنیت‬ ‫فنی‬ ‫ممیزی‬ ‫یک‬ ‫در‬
‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫باید‬ ‫هایی‬ ‫شاخه‬ ‫چه‬‫گیرند؟؟؟‬
‫ارزیابی‬‫امنیت‬‫فیزیکی‬
‫ارزیابی‬‫امنیت‬‫شبکه‬‫و‬‫‌ها‬‫س‬‫سروی‬‫ی‬‫مربوطه‬
‫ارزیابی‬‫سیستم‬‫عامل‬‫و‬‫سرویس‬‫های‬‫تحت‬‫دامین‬
‫ارزیابی‬‫امنیت‬‫‌های‬‫ه‬‫شبک‬‫بی‬‫سیم‬
‫ارزیابی‬‫امنیت‬‫پرسنلی‬‫و‬‫مهندسی‬‫اجتماعی‬
‫ارزیابی‬‫امنیت‬‫‌های‬‫ه‬‫برنام‬‫کاربردی‬‫و‬‫پایگاه‬‫داده‬
‫ارزیابی‬‫امنیت‬‫ارتباطات‬‫و‬‫‌های‬‫س‬‫سروی‬‫اینترنتی‬
‫ارزیابی‬‫مدیریت‬‫‌های‬‫م‬‫سیست‬‫امنیتی‬

23. ‫سازی‬‫پیاده‬ ‫کیفیت‬ ‫در‬ ‫تاثیرگذار‬ ‫عوامل‬‫سیستم‬‫اطالعات‬ ‫امنیت‬
‫حمایت‬‫مدیریت‬‫ارشد‬‫سازمان‬
‫گسترۀ‬‫پیاده‬‫سازی‬‫امنیت‬
‫نوع‬‫متدولوژی‬‫‌سازی‬‫ه‬‫پیاد‬‫با‬‫توجه‬‫به‬‫شرایط‬‫سازمان‬
‫نگرش‬‫فرآیندی‬‫به‬‌‫ه‬‫مقول‬‫استاندارد‬ISMS
‫سطح‬‫بلوغ‬‫سازمان‬
•‫فرهنگ‬‫بومی‬‫کارکنان‬‫و‬‫مدیران‬
•‫میزان‬‫استفاده‬‫از‬‫تکنولوژی‬‫و‬‫امکانات‬‫جدید‬‫در‬‫سازمان‬
•‫تجربیات‬‫گذشته‬‫و‬‫فرهنگ‬‫سازی‬

24. ‫فراوان‬ ‫سپاس‬ ‫با‬‫ّه‬‫ج‬‫تو‬ ‫از‬‫شما‬