کنترل های امنیتی برای کاهش مخاطرات
کنترل های امنیتی برای کاهش مخاطرات:
در یک سازمان که با مخاطره ای در حوزه امنیتی مواجه شده است، در ابتدای امر باید دارایی های حیاتی و مخاطرات آن را شناسایی کرد. پس از آن به تحلیل مخاطره پرداخت و سپس نوبت به راه کارهای برطرف سازی و کاهش مخاطرات می رسد. مهم است که شما بتوانید شناخت درستی از دارایی ها و مخاطرات و متدولوژی ارزیابی مخاطرات داشته باشید تا بتوانید یک پروژه ISMS را به درستی پیش ببرید. نکته دیگری که در بدست آوردن این دانش و شناخت باید به آن توجه کرد استفاده از کنترل های امنیتی برای کاهش مخاطرات است. که اهمیت آن در انتخاب کنترل های مناسب در کاهش مخاطرات بسیار به چشم می آید.
کاهش مخاطرات
شاید برای شما سوال پیش بیاید که کاهش مخاطرات چیست و اصلا چرا باید بجای برطرف کردن یک مخاطره، در پی کاهش آن باشیم؟! برای رسیدن به جواب این سوال، بهتر است قبل از ادامه این مطلب، مقاله ارزیابی مخاطرات در ISMS را مطالعه کنید. فرآیند کاهش مخاطرات یا ریسک را می توان اینطور تعریف کرد؛ راه حلی است تا با بکارگیری کنترل های مناسب بتوان سطح ریسک را کاهش داده و در صورتی که میزان منافع سطح قابل پذیرش ریسک، بیشتر از هزینه ای باشد که برای آن صرف شده است، آنگاه می توانیم بگوییم به موفقیت نزدیک شده ایم.
در واقع می توان گفت در این امر دنبال این هستیم که مخاطرات را در حد قابل قبولی کاهش دهیم. که برای اینکار کنترل هایی پیاده سازی می شوند تا اثر ریسک یا تعداد رخدادهای مورد انتظار، کاهش یابد.
انتخاب کنترل های مناسب
برای انتخاب کنترل های امنیتی برای کاهش مخاطرات از 4 مرحله زیر باید استفاده شود:
مرحله 1: انتخاب و پیاده سازی کنترل ها و اهداف کنترل
اینکار برای برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات و ریسک انجام می شود. در این مرحله توجه به دو نکته ضروریست بدین جهت که تمامی کنترل ها برای هر موقعیتی مناسب نمی باشند.
- در نظر گرفتن محدودیت های فنی یا محیطی
- مناسب بودن کنترل ها برای هر کاربر در سازمان
مرحله 2: بازنگری کنترل هایی که از قبل در سازمان پیاده سازی شده اند
در این مرحله با بازنگری کنترل های قبلی، می توانید دو راهکار را برگزینید: 1-حذف کنید 2-بهبود ببخشید.
مرحله 3: پیاده سازی کنترل های اضافه
بنا بر صلاحدید ممکن است سازمان در نظر بگیرد که کنترل ها و اهداف کنترلی اضافی ضروری است و باید در سازمان پیاده سازی شود. در اینصورت به درخواست سازمان کنترل های اضافی مدنظر باید اعمال شود.
کنترل ها و اهداف کنترلی
کنترل ها و اهداف کنترلی در واقع استاندارد ISO/IEC 27001:2013 می باشد (در برخی منابع با عنوان پیوست الف نام برده می شود) که شامل 14 مرحله زیر است که در مقاله کنترل ها و اهداف کنترلی در ISMS به شرح این مراحل پرداخته شده است:
- A.5.خط مشی امنیت اطلاعات
- A.6.ساختار امنیت اطلاعات
- A.7.امنیت منابع انسانی
- A.8.مدیریت دارایی ها
- A.9.کنترل دسترسی
- A.10.رمزنگاری
- A.11.امنیت فیزیکی و محیطی
- A.12.امنیت اطلاعات
- A.13.امنیت ارتباطات
- A.14.اکتساب، توسعه و نگهداری سیستم امنیت اطلاعات
- A.15.ارتباطات برونسپاری
- A.16.مدیریت حوادث امنیت اطلاعات
- A.17.مدیریت تداوم کسب و کار
- A.18.انطباق
تدوین بیانیه کاربست پذیری (SOA)
بیانیه کاربست پذیری یا Statement Of Applicability ، بیانیه مستند شده ای است که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. این بیانیه شامل موارد زیر است:
- اهداف کنترلی و کنترل های انتخاب شده و دلایل برگزیدن آن ها
- اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند
- کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آن ها
در اصل این بیانیه جمع بندی تصمیمات گرفته شده در خصوص برطرف سازی مخاطرات است و توجیهات کنارگذاری بررسی مضاعفی ایجاد می کند که هیچ کنترلی، بطور سهوی از قلم نیفتد.
اما چه دلایلی باعث می شود که یک کنترل و هدف کنترلی کنار گذاشته شود؟! از جمله دلایل این امر عبارتنداز:
- ریسک: عدم توجیه به دلیل قرار گرفتن در معرض ریسک
- بودجه: محدودیت های مالی
- محیط: تاثیر گذاشتن بر اقدامات کنترلی، آب و هوا، فضا و …
- تکنولوژی: برخی از معیارها از نظر فنی شدنی نیستند
- فرهنگ: محدودیت های فرهنگی و جامعه
- زمان: برخی از اقدامات را در زمان فعلی نمی توان پیاده سازی کرد
- و … .
در جدول زیر یک نمونه از بیانیه کاربست پذیری را مشاهده می کنید. در این جدول هر یک از اهداف کنترلی به جزییات بررسی می شوند و انتخاب شدن یا نشدن، محل بکارگیری آن هدف کنترلی و نیز دلیل کنار گذاشتن هر یک از اهداف کنترلی مشخص می شود.
کنترل و اهداف کنترلی | انتخاب شده | محل بکارگیری | توجیه کنار گذاری | |
بله | خیر | |||
A.5.1.1سند خط مشی امنیت اطلاعات | √ | خط مشی امنیت | – | |
A.5.1.2.بازنگری خط مشی امنیت اطلاعات | √ | روش اجرایی باز نگری مدیریت | – | |
. . . |
||||
A.6.2.2. کار از راه دور | × | – | عدم استفاده از دورکاری |
الزامات عملياتی امنيتي زيرساخت های حياتی
((با توجه به اهمیت بالای دستگاههای زیرساختی و تأثیرات گستردهای که بر جامعه دارند، و همچنین با توجه به شرایط خاص کشور در حال حاضر و رویکرد همیشگی دشمنان در حوزه حملات سایبری به این زیرساختها، مرکز مدیریت راهبردی افتا به منظور افزایش آمادگی دستگاههای مرتبط در این بخشها برای مقابله با حملات و بهبود پاسخگویی به این حوادث محتمل، اقدام به تدوین این مستند نموده است. مسئولان امنیت فناوری اطلاعات سازمان موظف هستند که این الزامات را در شبکههای فناوری اطلاعات و صنعتی خود به دقت رعایت کنند. همچنین ضروری است که گزارش وضعیت اجرای این الزامات در سازمان به مرکز مدیریت راهبردی افتا ارسال شود.
در این سند، الزامات امنیتی عملیاتی پایه در دستههای زیر ذکر شده است:
– اقدامات پیشگیرانه
– اقدامات زمان بحران
– اقدامات مدیریتی
اقدامات پیشگیرانه:
این دسته اقدامات به منظور پیشگیری از وقوع حوادث سایبری در سطح دستگاههای زیرساختی صورت میگیرد.
1. شناسایی و نظارت بر داراییهای اطلاعاتی:
– تمامی سرویسها و سامانههای حیاتی سازمان همراه با شناسایی و اولویتبندی وابستگیهای سختافزاری و نرمافزاری شناسایی و مورد بررسی قرار گیرند.
– مستندات کامل و بهروز از نیازمندیها و معماری سامانههای حیاتی سازمان، همچنین توپولوژی منطقی و فیزیکی شبکههای ارتباطی مورد استفاده در آنها تهیه شود.
– لیست بهروز از پروتکلها و سامانههای سختافزاری و نرمافزاری مجاز به استفاده در سازمان شناسایی و تدوین گردد.
– مراکز حساس سازمان (شامل مرکز داده، محل قرارگیری تجهیزات حساس و…) مرتبط با سامانههای حیاتی شناسایی شوند.
– پیمانکاران و شرکتهای ارائهدهنده خدمات و محصولات مرتبط با سامانههای حیاتی شناسایی گردند.
– لیست بهروز شده از آدرسهای IP معتبر سازمان بر روی اینترنت و تعیین سرویسهای فعال بر روی آنها تدوین شود. این لیست باید به مرکز افتا ارسال گردد.
– مسئولین و فردانشوران داراییهای اطلاعاتی حساس نظیر سامانهها و سرویسهای حیاتی، سرورها، تجهیزات امنیتی و… شناسایی شوند. در این لیست باید روشهای ارتباط با فرد مذکور در مواقع بحران مشخص شده باشد.
2.مدیریت آسیبپذیریها و خطرات سایبری:
سامانههای حیاتی خاص سازمان باید با همکاری مرکز افتا، مورد ارزیابی امنیت قرار گیرند.
کلِّ سامانههای حياتي، به طور منظم و توسط شركتهای دارای پروانۀ خدمات، از سوي مركز افتاء، پويش آسيبپذيري را تجربة كنند و مواردي كه شناسائي شده را رفع كنند.
3.تدوین لیست پروتکلها و سامانههای مجاز:
برای اطمینان از امنیت سازمان، لازم است که یک لیست بهروز از پروتکلها و سامانههای سختافزاری و نرمافزاری مجاز برای استفاده در سازمان تدوین شود. همچنین باید مراکز حساس سازمان که شامل مرکز داده و محل قرارگیری تجهیزات حساس است، به همراه سامانههای حیاتی مرتبط شناسایی شوند. پیمانکاران و شرکتهای ارائهدهنده خدمات و محصولات مرتبط با سامانههای حیاتی نیز باید شناسایی گردند. لیست بهروز شده از آدرسهای IP معتبر سازمان بر روی اینترنت و سرویسهای فعال بر روی آنها باید تهیه و به مرکز افتا ارسال گردد. همچنین مسئولین و متولیان داراییهای اطلاعاتی حساس باید شناسایی شده و راههای ارتباط با آنها در مواقع بحران مشخص شود.
4.مدیریت آسیبپذیریها و خطرات سایبری:
سامانههای حیاتی سازمان باید با همکاری مرکز افتا مورد ارزیابی امنیت قرار گیرند. برای پوشش آسیبپذیریها، کلیه سامانههای حیاتی باید به طور منظم توسط شرکتهای دارای پروانه خدمات، آزمون آسیبپذیری را تجربه کنند و مشکلات شناسایی شده رفع گردند. مستندات کامل و بهروز از مخاطرات سرویسها و سامانههای حیاتی سازمان باید تهیه و تدوین شود. همچنین باید پیوست امنیتی و راهکار رفع مخاطرات و تأمین امنیت سایبری برای سرویسها و سامانههای حیاتی تدوین گردد. ارائه هر سرویس در بستر اینترنت باید منوط به آزمون نفوذ و رفع آسیبپذیریهای احتمالی باشد.
5.مدیریت دسترسی به منابع سازمان:
برای جلوگیری از دسترسی غیر مجاز، دسترسی فیزیکی افراد به اماکن حساس محدود و فهرست افراد مجاز برای دسترسی به این اماکن تهیه شود. دسترسی کاربران به سامانههای حیاتی باید بر اساس اصل حداقل دسترسی مدیریت شود و دسترسی مشاوران، پیمانکاران و کارکنان موقت به شبکه و سامانههای حیاتی محدود گردد. همچنین دسترسی از راه دور به سامانههای حیاتی با در نظرگیری محدودیتهای زمان بندی و مکانی و پس از کسب مجوزهای لازم صورت گیرد. احراز هویت چند عامله برای تصدیق هویت کاربران فعال باید فعال شود و از دستکاری لاگهای ذخیره شده جلوگیری شود. همچنین دسترسی IPهای خارجی به سامانههای حیاتی باید محدود شود و کلمات عبور با پیچیدگی مناسب انتخاب شده و در بازه زمانی مناسب تغییر داده شوند.
6. تنظیمات و پیکربندی تجهیزات و سامانهها:
برای اطمینان از امنیت و عملکرد بهینه سامانههای حیاتی، لازم است که تمام داراییهای مرتبط با این سامانهها، از جمله سوئیچها، روترها، تجهیزات امنیتی، سیستمعامل، پایگاه داده، وب سرویسها و غیره، مورد بازبینی قرار گیرند و به روزرسانی های لازم بر اساس آخرین راهنماهای امنیتی صورت گیرد.
– پیکربندی پیشفرض تمام تجهیزات و نرمافزارهای مرتبط با سامانههای حیاتی باید تغییر یابد.
– مستندات جدید مربوط به پیکربندی تجهیزات، سرویسها و سامانههای حیاتی بروز شده و در اختیار افراد مجاز قرار گیرد.
– هر تغییر در پیکربندی تجهیزات مرتبط با سامانههای حیاتی باید محدود و با کسب مجوز های لازم و تطابق با سیاستهای امنیتی سازمان صورت گیرد.
– برای سامانههای آسیبپذیر مرتبط با سرویسهای حیاتی، از سیستمهای خودکار مدیریت وصلههای امنیتی یا روشهای دستی با زمانبندی کوتاه استفاده شود و روال کار مناسب برای این منظور اجرا شود.
– تمام سیستمعاملها، سرویسها و سامانههای حیاتی باید به صورت مستمر و در بازههای زمانی مشخص، با آخرین وصلههای امنیتی منتشر شده و با توجه به جوانب امنیتی بروزرسانی شوند.
7. امنیت شبکه و سامانهها:
– از دیوارههای آتش و سامانههای مدیریت تهدیدات یکپارچه با مجوز در لبه شبکه و سامانه DLP برای کنترل دسترسی، کنترل ترافیک و جلوگیری از نفوذ و نشت اطلاعات استفاده شود.
– هر سرویس و خدمت در بستر اینترنت باید توسط تجهیزات امنیتی مثل دیوار آتش، سامانه تشخیص و جلوگیری از نفوذ، دیوار آتش برنامههای کاربردی، سامانه ضدبدافزار، ابزار کنترل صحت فایلها و غیره محافظت شود.
– فعال بودن و به روز بودن تمام سامانههای ضدبدافزار، ضدبرنامه مخرب و سامانه تشخیص و جلوگیری از نفوذ در سرور سامانههای حیاتی باید تضمین شود.
– انتشار سرویسهای غیرضروری در اینترنت باید محدود شود.
– سرویسها و تجهیزات غیرضروری و بدون استفاده مرتبط با سامانههای حیاتی شناسایی و غیرفعال شوند.
– همگامسازی زمان در تمام تجهیزات سامانهها و لاگهای مرتبط با سامانههای حیاتی رعایت شود.
– در معماری شبکه، تفکیک منطقی و ناحیهبندی دقیق و مناسب صورت گیرد و ارتباط ناحیۀ DMZ با شبکۀ داخلۀ توسط ديوار آتش کنترل شود.
– شبکۀ متصل به اینترنت از شبکۀ ارائۀ سرويسهای حياتي سازماني فيزيكي يا منطقي (در صورت امكان) جداسازي شود.))
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.