پاورپوینت ISMSچیست؟

بخشی از پاورپوینت

اسلاید 1 :

ISMSچیست؟
مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده های حساس یک سازمان، ، به طور سیستماتیک، استفاده می شود.
هدف ISMS کمینه کردن ریسک است.

اسلاید 2 :

گامهای لازم برای ارزیابی مخاطرات
گام اول: شناخت دارايي ها
گام دوم: ارزش گذاري دارايي ها
گام سوم: تعيين آسيب پذيري
گام چهارم: محاسبه تهديد
گام پنجم: محاسبه ميزان ريسک

تعاريف استفاده شده در اين مستند از ISO/IEC TR 13335-1 اخذ شده است.

اسلاید 3 :

گام اول: شناخت دارايي­ها
کلیه دارایی ها شناخته شده و در ۵ گروه طبقه بندی می شود.

دارايي هاي اطلاعاتي :فايل هاي الکترونيکي، پايگاه هاي داده مربوط به نرم افزارهاي موجود در سازمان

دارايي هاي کاغذي:مستندات مکتوب مانند قراردادها، راهنماهاي کاربري و .

دارايي هاي پرسنلي;کارمندان، کارشناسان و مديران

دارايي هاي نرم افزاري; نرم افزارهاي کاربردي، سيستم هاي عامل و . . .

دارايي هاي سخت افزاري:تجهيزات مرتبط با فناوري اطلاعات مانند: سرور، سوييچ، روتر و . .

اسلاید 4 :

گام دوم: ارزش گذاري دارايي­ها
از سه مولفه استفاده می شود.
ارزش هر دارايي ترکيبي از ميزان اهميت هر يک از مولفه ها براي آن دارايي مي باشد.

محرمانگي (Confidentiality)
امکان دسترسي به اطلاعات و دارايي ها فقط براي افراد مجاز

صحت (Integrity)
حفظ دارايي ها و درستي و کامل بودن آنها

دسترسي (Availability)
امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز

اسلاید 5 :

گام دوم – روش ارزش گذاری
هر یک از مولفه ها ارزشی بین ۱ تا ۳

پارامترهاي تأثيرگذار در ارزش گذاري دارايي:

تاثير دارايي بر اهداف و فعاليتهاي اصلي کسب و کار
تاثير دارايي بر وجهه و اعتبار
تاثير دارايي در ايجاد وقفه هاي کاري
ميزان تاثير دارايي از نظر مالي و تجاري

اسلاید 6 :

گام دوم –ارزش گذاری – ارزش ۱
ارزش 1 :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.
صحت
در صورتي که درستي و يکپارچگي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.

اسلاید 7 :

گام دوم –ارزش گذاری – ارزش ۲
ارزش 2 :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.
صحت
در صورتي که درستي و يکپارچگي دارايي از بين برود با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.

اسلاید 8 :

گام دوم –ارزش گذاری – ارزش ۳
ارزش ۳ :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.
صحت
در صورتي که درستي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء بسيار زيادي خواهد داشت.

اسلاید 9 :

گام دوم –ارزش گذاری – ارزش کل دارایی
ارزش دارايي برابر است با : صحت + محرمانگي + دسترسي

اسلاید 10 :

گام دوم –ارزش گذاری – جدول ارزش کل دارایی

اسلاید 11 :

گام سوم: تعيين آسيب پذيري
براي هر گروه از دارايي ها:
شناخت آسيب پذيري ها
شدت آسيب پذيري: عددي بين 1 تا 3

1
اين آسيب پذيري نقطه ضعفي است که عامل کوچکي براي در معرض خطر قرار دادن دارايي محسوب مي شود.
2
اين آسيب پذيري نقطه ضعفي است که عامل متوسطي براي در معرض خطر قرار دادن دارايي محسوب مي شود.
3
اين آسيب پذيري ، نقطه ضعفي است که عامل بزرگي براي در معرض خطر قرار دادن دارايي محسوب مي شود

اسلاید 12 :

گام سوم: تعيين آسيب پذيري - جدول

اسلاید 13 :

گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي اطلاعاتي
آسيب پذيريهاي داراييهاي اطلاعاتي

نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي
فقدان پيگيري مميزي
آموزش ناکافي امنيتی
فقدان نسخه هاي پشتيبان
فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
فقدان شناسايي و اعتبار دهي به فرستنده و گيرنده
فقدان مکانيزمهاي نظارتي
فقدان خط مشي هايي براي استفاده صحيح از رسانه هاي مخابراتي و پيام رساني
عدم قابليت اثبات ارسال يا دريافت يک پيام
فقدان آگاهي رساني امنيتي
مديريت ضعيف کلمات عبور
حساسيت به تشعشع الکترو مغناطيسي
انتقال کلمات عبور به صورت Clear Text
نسخه برداري کنترل نشده

اسلاید 14 :

گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي نرم افزاری
واسط کاربري پيچيده
استفاده نادرست از سخت افزار و نرم افزار
نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي
آموزش ناکافي امنيتی
فقدان پيگيري مميزي
فقدان نسخه هاي پشتيبان
فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
فقدان مکانيزمهاي نظارتي
فقدان آگاهي رساني امنيتي
عدم خروج از سيستم (Log out) هنگام ترک ايستگاه کاري
فقدان آزمايش يا آزمايش ناکافي نرم افزار
مديريت ضعيف کلمات عبور
انتقال کلمات عبور به صورت Clear Text
دانلود و استفاده بدون کنترل از نرم افزار
وجود رخنه هاي مشخص در نرم افزار
تخصيص اشتباه حق دسترسي

اسلاید 15 :

گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي سخت افزاری
شرايط جوي نامناسب
استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق ها
رويه های نامناسب استخدام کارکنان
آموزش ناکافی امنيتی
فقدان آگاهي رساني امنيتي
حساسيت به رطوبت و گرد و خاک
حساسيت به تغييرات جوی
حساسيت به تغييرات ولتاژ
انبار بی حفاظ
عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني

اسلاید 16 :

گام چهارم: محاسبه تهديد
آسيب پذيري ها در مرحله قبل مشخص شده است.
هر تهديد متناظر با آسيب پذيري خاصي ميباشد.

محاسبه احتمال هر تهدید
محاسبه پيامد هر تهديد

اسلاید 17 :

گام چهارم: محاسبه تهديد – احتمال تهدید
1
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده پايين ميباشد (مثلا هر چند سال يکبار)
2
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده در حد متوسط ميباشد (مثلا هر سال يکبار)
3
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده بالا ميباشد (مثلا هر سال چند بار)

اسلاید 18 :

گام چهارم: محاسبه تهديد – پیامد تهدید
اين پيامد روي کدام يک از سه مولفه صحت، محرمانگي و دسترسي تاثير گذار است.
بر اساس تاثير روي هر يک به ارزش دارايي مراجعه کرده و اعدادي که در آنجا به هر يک نسبت داده ايم را براي پيامد آنها محاسبه مي کنيم.
اين قسمت رابطه مستقيمي با ارزش دارايي دارد.

پيامد تهديد برابر است با : صحت + محرمانگي + دسترسي

اسلاید 19 :

گام چهارم: محاسبه تهديد – پیامد تهدید
1 تا 3
حوادث بوجود آمده از تهديدات در اين سطح چندان جدي نميباشند. عوارض اين نوع حوادث، وقفه هاي کاري کوتاه مدت و يا زيان مالي اندک به سازمان است که با واکنش مناسب و با هزينه اندک قابل جبران است.
4 تا 6
حوادث بوجود آمده از تهديدات در اين سطح نسبتا جدي ميباشند. عوارض اين نوع حوادث، وقفه در کسب و کار سازمان ، زيان مالي و خدشه به اعتبار سازمان است که با صرف هزينه نسبتا بالايي قابل جبران است.
7 تا 9
حوادث بوجود آمده از تهديدات در اين سطح بسيار جدي ميباشند. عوارض اين نوع حوادث، وقفه هاي بلند مدت و تاثيرگذار کاري ، زيان مالي گزاف و از دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف هزينه هاي بسيار زياد هم قابل جبران نيستند.

اسلاید 20 :

گام چهارم: محاسبه تهديد – پیامد تهدید