پروژه سیستم های مدیریت امنیت اطلاعات doc. ISMS

اختصاصی از یاری فایل پروژه سیستم های مدیریت امنیت اطلاعات doc. ISMS دانلود با لینک مستقیم و پر سرعت .

نوع فایل: word

قابل ویرایش 150 صفحه

مقدمه:

در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی اشاره نمود.

بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت‌هائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد. از سوی دیگر، وجود زیرساخت‌های فوق، قطعا تاثیر بسزائی در ایمن‌سازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت.

صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه‌های دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه‌ها شده و کاهش اعتبار این دستگاه‌ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی، ضروری به نظر می‌رسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاه‌های دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمن‌سازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی‌باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن‌سازی شامل مراحل طراحی، پیاده‌سازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:

تهیه طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان

اجرای طرح‌ها و برنامه‌های امنیتی سازمان

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند.

در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:

تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان

جرئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله

لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان

کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان

با توجه به نقش اطلاعات به عنوان کالای با ارزش در تجارت امروز لزوم حفاظت از آن ضروری بنظر می رسد. برای دستیابی به این هدف هر سازمان بسته به سطح اطلاعات( از نظر ارزش اقتصادی) نیازمند به طراحی سیستم مدیریت امنیت اطلاعات دارد تا از این طریق بتواند از سرمایه های اطلاعاتی خود حفاظت نماید. این مقاله سعی دارد به بررسی چگونگی و روند ایجاد یک سیستم امنیت اطلاعات بپردازد.

گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی می شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سود آور، بحث امنیت اطلاعات بعد جدیدی به خود می گیرد. در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان ( چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم بشمار می رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی.

فهرست مطالب:

سیستم مدیریت امنیت اطلاعات (ISMS)

مقدمه

مدیریت امنیت اطلاعات

سیستم امنیت اطلاعات

آشنایی با منابع اطلاعاتی موجود در سازمان

تهدیدات سیستم اطلاعاتی

انواع خطرهای تهدید کننده سیستم اطلاعاتی

اشتباه‌های انسانی

خطرات ناشی از عوامل طبیعی

ایرادات سیستمی

فعالیتهای خرابکارانه

ایجاد امنیت از نظر فیزیکی

رمز گذاری اطلاعات

نتیجه گیری

روشهایی برای مدیریت امنیت اطلاعات

مروری بر استانداردهای مدیریت امنیت اطلاعات

2-1-1- بخش اول

تدوین سیاست امنیتی سازمان

1-ایجاد تشکیلات تامین امنیت سازمان

1-دسته‌بندی سرمایه‌ها و تعیین کنترل‌های لازم

1-امنیت پرسنلی

1-امنیت فیزیکی و پیرامونی

1-مدیریت ارتباطات

1-کنترل دسترسی

1-نگهداری و توسعه سیستم‌ها

1-پاسخگوئی به نیازهای امنیتی

:iبخش دوم

2-3-1- بخش اول

2-3-2- بخش دوم

استانداردی برای مدیریت امنیت اطلاعات

استاندارد BS7799/ISO17799

سیاست امنیتی

امنیت سازمانی

طبقه‌بندی و کنترل داراییها

امنیت پرسنلی

امنیت فیزیکی و محیطی

مدیریت ارتباطات و عملیات

7-کنترل دسترسی

توسعه و نگهداری سیستم‌ها

9-تداوم و انسجام کسب و کار

10-همراهی و التزام

نظام مدیریت امنیت اطلاعات

برنامه ریزی Plan

انجام Do

ارزیابی Check

بازانجام Act

مراحل اجرای نظام مدیریت امنیت اطلاعات

آماده سازی اولیه

تعریف نظام مدیریت امنیت اطلاعات‌

ارزیابی مخاطرات

آمادگی برای ممیزی

ممیزی

کنترل و بهبود مداوم

مفاهیم اولیه ISMS

طراحی و پیاده سازی ISMS از عوامل زیر تأثیر می پذیرد

اهداف کسب و کار (خواسته های امنیتی)

1. رویکرد فرآیند محور

شکل 3: مدل PDCA

الف- طراحی

ج- بازبینی و نظارت

د- اصلاح

روند راه اندازی ISMS

الف: مرحله طراحی

تعریف قلمرو (محدوده) ISMS

تعریف خط مشی ISMS

تعیین رویکرد ارزیابی مخاطرات

تعیین مخاطرات

ارزیابی مخاطرات

انتخاب کنترلهای مناسب

ب: مرحله اجرا

ج: مرحله نظارت

د: مرحله اصلاح

مسؤلیت مدیران سازمان

نتیجه گیری

مستندات ISMS دستگاه

3-1- اهداف،‌راهبردها و سیاست‌های امنیتی

نمونه‌هائی از اهداف کوتاه مدت امنیت

نمونه‌هائی از اهداف میان مدت امنیت

نمونه‌هائی از راهبردهای کوتاه مدت امنیت

نمونه‌هائی از راهبردهای میان مدت امنیت

3-1-1- سیاست‌های امنیتی فضای تبادل اطلاعات دستگاه

3-2- طرح تحلیل مخاطرات امنیتی

3-2-1- تجهیزات شبکه ارتباطی

3-2-2- مدیریت و نگهداری شبکه ارتباطی

3-2-3- سرویس‌های شبکه ارتباطی

3-2-4- تشکیلات و روشهای تامین امنیت شبکه ارتباطی

طرح امنیت

طرح مقابله با حوادث امنیتی و ترمیم خرابیها

برنامه آموزش پرسنل تشکیلات امنیت

تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه

4-1- اجزاء و ساختار تشکیلات امنیت

4-1-1- اجزاء تشکیلات امنیت

4-1-3- اعضاء تشکیلات امنیت فضای تبادل اطلاعات دستگاه

مدیر امنیت

تیم‌های پشتیبانی امنیت

4-2- شرح وظایف تشکیلات امنیت

4-2-1- شرح وظایف کمیته راهبری امنیت

3-2-2- شرح وظایف مدیر امنیت

شرح وظایف نظارت و بازرسی امنیتی

شرح وظایف مدیریت تغییرات

شرح وظایف نگهداری امنیت شبکه

فناوری‌های امنیت اطلاعات با یک دیدگاه طبقه‌بندی

تعاریف:

فناوری‌های امنیت اطلاعات

طبقه‌بندی(INFOSEC)

1-براساس مرحله خاصی از زمان

براساس سطوح پیاده‌سازی نظام‌ های امنیتی در یک محیط رایانه‌ای

رمزنگاری (Cryptography)

امضاهای رقومی (digital signatures)

گواهی‌های رقومی(Digital certificates)

شبکه‌های مجازی خصوصی( virtual private networks)

نرم‌افزارهای آسیب‌نما( vulnerability scanners)

پویشگرهای ضد ویروس(Anti- virus scanner)

پروتکل‌های امنیتی(security protocols)

سخت افزارهای امنیتی(Security hardware)

جعبه‌های توسعه نرم‌افزار امنیتی(security software development kits (SDKs))

ب. فناوری‌های امنیت اطلاعات واکنشی

دیوار آتش( firewalls)دیوار آتش

3-کلمات عبور(passwords)

4-زیست‌سنجی(biometrics)

نظام‌های آشکارساز نفوذی(intrusion detection systems (IDS))

6-واقعه‌نگاری(logging)

دسترسی از راه دور(remote accessing)

نتیجه‌گیری

نظام جامع امنیت اطلاعات سازمان

طراحی، پیاده‌سازی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات

فاز برنامه

فاز اجرا

فاز بررسی:

نظارت بر اجرا

فاز اقدام:

امنیت اطلاعات در سازمان‌ها

اطلاعات قابل حذف غیر قابل کنترل هستند

مصلحت اندیشی ها

آگاهی

ایجاد کدهای امنیتی

وضعیت امنیت اطلاعات در کشور ما چگونه است؟

الف: عدم تخصیص جایگاه مناسب به مسائل امنیتی

ب: کمبود های تئوریک و عملی کارشناسان

ج: عدم آموزش و اطلاع رسانی

اینها تنها بخشی از نارساییهای موجود است که باید برای آن چاره اندیشی شود

اهداف ISSAF

چرا ما به فکر ISSAF افتادیم ؟

ده مسئولیت اصلی مدیر فناوری اطلا‌عات

مسوولیت‌های اصلی CIO ‌کدامند؟

مدیریت خدمات و ابزارهای دپارتمانIT

مدیریت کارشناسان IT

مدیریت ارتباطات

فراهم ساختن امنیت اطلاعات و ارتباطات

مدیریت دانش

مدیریت محتوا

بودجه ‌بندی

مدیریت پروژه

ارتباط با سایر مدیران CEO) ، CTO و...)

مدیریت استراتژیک

نمونه ای از تست امنیت اطلاعات برای مدیران

مرکز عملیات امنیت شبکه

مرکز عملیات امنیت کجاست؟

نیاز به سرویس‌های مدیریت شده

برای ایجاد یک سیستم امنیتی با ویژگی‌های مناسب برای مدیریت

انواع سرویس های مدیریت شده در SOC

دیواره آتش (Firewall)

سیستم های تشخیص حملات (IDS)

امکان فیلتر کردن محتوا

امکان تشخیص ویروس

سرویس‌های AAA

Vulnerability

Visibility

Verification

سرویس های پیشرفته در مراکز SOC

شبکه

تفسیم بندی شبکه ها

گروه عمده

ارائه یک الگوی امنیتی برای شبکه های کامپیوتری

1-مقدمه

مروری بر مدل TCP/IP

لایه میزبان به شبکه

2-لایه اینترنت یا شبکه (IP)

3-لایه انتقال (TCP)

لایه کاربرد

تهدیدات علیه امنیت شبکه

حمله جلوگیری از سرویس (DOS)

2-استراق سمع

3-تحلیل ترافیک

4-دستکاری پیامها و داده ها

جعل هویت

4-راهکارهای امنیتی

جدول 1. مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP

جدول 2. اهداف امنیتی در منابع شبکه

رمز نگاری

رمزهای جانشینی (Substitution Cipher)

رمز های جایگشتی (Transposition ):

رمز Ome – time pads ( بهینه ریزی محتوی پیام )

ب ) تازگی پیامها: F neshness

الگوریتم رمز نگاری با کلید متقارن (Symmetric –Key)

رمز نگاری DES (Data Encryption Standard)

حالات رمز (Cipher Modes)

حالت کتابچة رمزMode) (Electronic Code Book

حالت زنجیره سازی بلوکهای رمز: (Cipher Block Chaining Molde)

حالت فیزیک رمز (Cipher Feedback Molds)

Stream Cipher Molde

حالت شمارنده (Counter Modle)

رمز های دیگر

تحلیل رمز شکن ( رمز شکنی )

فصل دوم

دیوار آتش (Fiver wall)

مبانی طراحی دیوار آتش

لایه اول دیوار آتش

لایه دوم دیوار آتش

لایه سوم دیوار آتش

اجزای جانبی یک دیوار آتش

1-واسط محاوره ای و ساده ورودی / خروجی

سیستم ثبت: (Logger )

سیستم هشدار دهنده

راه حل نهایی

امنیت در شبکه‌های بی‌سیم

جعل آدرسIP

سرقت نشست