شهریور 28, 1403
0

کنترل های امنیتی برای کاهش مخاطرات

1183 بازدید
کنترل های امنیتی برای کاهش مخاطرات

کنترل های امنیتی برای کاهش مخاطرات

کنترل های امنیتی برای کاهش مخاطرات:

در یک سازمان که با مخاطره ای در حوزه امنیتی مواجه شده است، در ابتدای امر باید دارایی های حیاتی و مخاطرات آن را شناسایی کرد. پس از آن به تحلیل مخاطره پرداخت و سپس نوبت به راه کارهای برطرف سازی و کاهش مخاطرات می رسد. مهم است که شما بتوانید شناخت درستی از دارایی ها و مخاطرات و متدولوژی ارزیابی مخاطرات داشته باشید تا بتوانید یک پروژه ISMS را به درستی پیش ببرید. نکته دیگری که در بدست آوردن این دانش و شناخت باید به آن توجه کرد استفاده از کنترل های امنیتی برای کاهش مخاطرات است. که اهمیت آن در انتخاب کنترل های مناسب در کاهش مخاطرات بسیار به چشم می آید.

کاهش مخاطرات

شاید برای شما سوال پیش بیاید که کاهش مخاطرات چیست و اصلا چرا باید بجای برطرف کردن یک مخاطره، در پی کاهش آن باشیم؟! برای رسیدن به جواب این سوال، بهتر است قبل از ادامه این مطلب، مقاله ارزیابی مخاطرات در ISMS را مطالعه کنید. فرآیند کاهش مخاطرات یا ریسک را می توان اینطور تعریف کرد؛ راه حلی است تا با بکارگیری کنترل های مناسب بتوان سطح ریسک را کاهش داده و در صورتی که میزان منافع سطح قابل پذیرش ریسک، بیشتر از هزینه ای باشد که برای آن صرف شده است، آنگاه می توانیم بگوییم به موفقیت نزدیک شده ایم.

در واقع می توان گفت در این امر دنبال این هستیم که مخاطرات را در حد قابل قبولی کاهش دهیم. که برای اینکار کنترل هایی پیاده سازی می شوند تا اثر ریسک یا تعداد رخدادهای مورد انتظار، کاهش یابد.

کنترل های امنیتی برای کاهش مخاطرات

انتخاب کنترل های مناسب

برای انتخاب کنترل های امنیتی برای کاهش مخاطرات از 4 مرحله زیر باید استفاده شود:

مرحله 1: انتخاب و پیاده سازی کنترل ها و اهداف کنترل

اینکار برای برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات و ریسک انجام می شود. در این مرحله توجه به دو نکته ضروریست بدین جهت که تمامی کنترل ها برای هر موقعیتی مناسب نمی باشند.

  • در نظر گرفتن محدودیت های فنی یا محیطی
  • مناسب بودن کنترل ها برای هر کاربر در سازمان

مرحله 2: بازنگری کنترل هایی که از قبل در سازمان پیاده سازی شده اند

در این مرحله با بازنگری کنترل های قبلی، می توانید دو راهکار را برگزینید: 1-حذف کنید 2-بهبود ببخشید.

مرحله 3: پیاده سازی کنترل های اضافه

بنا بر صلاحدید ممکن است سازمان در نظر بگیرد که کنترل ها و اهداف کنترلی اضافی ضروری است و باید در سازمان پیاده سازی شود. در اینصورت به درخواست سازمان کنترل های اضافی مدنظر باید اعمال شود.

کنترل ها و اهداف کنترلی

کنترل ها و اهداف کنترلی در واقع استاندارد ISO/IEC 27001:2013 می باشد (در برخی منابع با عنوان پیوست الف نام برده می شود) که شامل 14 مرحله زیر است که در مقاله کنترل ها و اهداف کنترلی در ISMS به شرح این مراحل پرداخته شده است:

  • A.5.خط مشی امنیت اطلاعات
  • A.6.ساختار امنیت اطلاعات
  • A.7.امنیت منابع انسانی
  • A.8.مدیریت دارایی ها
  • A.9.کنترل دسترسی
  • A.10.رمزنگاری
  • A.11.امنیت فیزیکی و محیطی
  • A.12.امنیت اطلاعات
  • A.13.امنیت ارتباطات
  • A.14.اکتساب، توسعه و نگهداری سیستم امنیت اطلاعات
  • A.15.ارتباطات برونسپاری
  • A.16.مدیریت حوادث امنیت اطلاعات
  • A.17.مدیریت تداوم کسب و کار
  • A.18.انطباق

تدوین بیانیه کاربست پذیری (SOA)

بیانیه کاربست پذیری یا Statement Of Applicability ، بیانیه مستند شده ای است که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. این بیانیه شامل موارد زیر است:کنترل های امنیتی برای کاهش مخاطرات

  1. اهداف کنترلی و کنترل های انتخاب شده و دلایل برگزیدن آن ها
  2. اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند
  3. کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آن ها

در اصل این بیانیه جمع بندی تصمیمات گرفته شده در خصوص برطرف سازی مخاطرات است و توجیهات کنارگذاری بررسی مضاعفی ایجاد می کند که هیچ کنترلی، بطور سهوی از قلم نیفتد.

اما چه دلایلی باعث می شود که یک کنترل و هدف کنترلی کنار گذاشته شود؟! از جمله دلایل این امر عبارتنداز:

  • ریسک: عدم توجیه به دلیل قرار گرفتن در معرض ریسک
  • بودجه: محدودیت های مالی
  • محیط: تاثیر گذاشتن بر اقدامات کنترلی، آب و هوا، فضا و …
  • تکنولوژی: برخی از معیارها از نظر فنی شدنی نیستند
  • فرهنگ: محدودیت های فرهنگی و جامعه
  • زمان: برخی از اقدامات را در زمان فعلی نمی توان پیاده سازی کرد
  • و … .

در جدول زیر یک نمونه از بیانیه کاربست پذیری را مشاهده می کنید. در این جدول هر یک از اهداف کنترلی به جزییات بررسی می شوند و انتخاب شدن یا نشدن، محل بکارگیری آن هدف کنترلی و نیز دلیل کنار گذاشتن هر یک از اهداف کنترلی مشخص می شود.

کنترل و اهداف کنترلی انتخاب شده محل بکارگیری توجیه کنار گذاری
بله خیر
A.5.1.1سند خط مشی امنیت اطلاعات خط مشی امنیت
A.5.1.2.بازنگری خط مشی امنیت اطلاعات روش اجرایی باز نگری مدیریت
.
.
.
A.6.2.2. کار از راه دور × عدم استفاده از دورکاری

 

 

 

 

الزامات عملياتی امنيتي زيرساخت های حياتی

((با توجه به اهمیت بالای دستگاه‌های زیرساختی و تأثیرات گسترده‌ای که بر جامعه دارند، و همچنین با توجه به شرایط خاص کشور در حال حاضر و رویکرد همیشگی دشمنان در حوزه حملات سایبری به این زیرساخت‌ها، مرکز مدیریت راهبردی افتا به منظور افزایش آمادگی دستگاه‌های مرتبط در این بخش‌ها برای مقابله با حملات و بهبود پاسخگویی به این حوادث محتمل، اقدام به تدوین این مستند نموده است. مسئولان امنیت فناوری اطلاعات سازمان موظف هستند که این الزامات را در شبکه‌های فناوری اطلاعات و صنعتی خود به دقت رعایت کنند. همچنین ضروری است که گزارش وضعیت اجرای این الزامات در سازمان به مرکز مدیریت راهبردی افتا ارسال شود.

در این سند، الزامات امنیتی عملیاتی پایه در دسته‌های زیر ذکر شده است:
– اقدامات پیشگیرانه
– اقدامات زمان بحران
– اقدامات مدیریتی

 

اقدامات پیشگیرانه:

این دسته اقدامات به منظور پیشگیری از وقوع حوادث سایبری در سطح دستگاه‌های زیرساختی صورت می‌گیرد.

1. شناسایی و نظارت بر دارایی‌های اطلاعاتی:

– تمامی سرویس‌ها و سامانه‌های حیاتی سازمان همراه با شناسایی و اولویت‌بندی وابستگی‌های سخت‌افزاری و نرم‌افزاری شناسایی و مورد بررسی قرار گیرند.
– مستندات کامل و به‌روز از نیازمندی‌ها و معماری سامانه‌های حیاتی سازمان، همچنین توپولوژی منطقی و فیزیکی شبکه‌های ارتباطی مورد استفاده در آن‌ها تهیه شود.
– لیست به‌روز از پروتکل‌ها و سامانه‌های سخت‌افزاری و نرم‌افزاری مجاز به استفاده در سازمان شناسایی و تدوین گردد.
– مراکز حساس سازمان (شامل مرکز داده، محل قرارگیری تجهیزات حساس و…) مرتبط با سامانه‌های حیاتی شناسایی شوند.
– پیمانکاران و شرکت‌های ارائه‌دهنده خدمات و محصولات مرتبط با سامانه‌های حیاتی شناسایی گردند.
– لیست به‌روز شده از آدرس‌های IP معتبر سازمان بر روی اینترنت و تعیین سرویس‌های فعال بر روی آن‌ها تدوین شود. این لیست باید به مرکز افتا ارسال گردد.
– مسئولین و فردانشوران دارایی‌های اطلاعاتی حساس نظیر سامانه‌ها و سرویس‌های حیاتی، سرورها، تجهیزات امنیتی و… شناسایی شوند. در این لیست باید روش‌های ارتباط با فرد مذکور در مواقع بحران مشخص شده باشد.

 

2.مدیریت آسیب‌پذیری‌ها و خطرات سایبری:

سامانه‌های حیاتی خاص سازمان باید با همکاری مرکز افتا، مورد ارزیابی امنیت قرار گیرند.
کلِّ سامانه‌های حياتي، به طور منظم و توسط شركت‌های دارای پروانۀ خدمات، از سوي مركز افتاء، پويش آسيب‌پذيري را تجربة كنند و مواردي كه شناسائي شده را رفع كنند.

 

3.تدوین لیست پروتکل‌ها و سامانه‌های مجاز:

برای اطمینان از امنیت سازمان، لازم است که یک لیست به‌روز از پروتکل‌ها و سامانه‌های سخت‌افزاری و نرم‌افزاری مجاز برای استفاده در سازمان تدوین شود. همچنین باید مراکز حساس سازمان که شامل مرکز داده و محل قرارگیری تجهیزات حساس است، به همراه سامانه‌های حیاتی مرتبط شناسایی شوند. پیمانکاران و شرکت‌های ارائه‌دهنده خدمات و محصولات مرتبط با سامانه‌های حیاتی نیز باید شناسایی گردند. لیست به‌روز شده از آدرس‌های IP معتبر سازمان بر روی اینترنت و سرویس‌های فعال بر روی آن‌ها باید تهیه و به مرکز افتا ارسال گردد. همچنین مسئولین و متولیان دارایی‌های اطلاعاتی حساس باید شناسایی شده و راه‌های ارتباط با آن‌ها در مواقع بحران مشخص شود.

 

4.مدیریت آسیب‌پذیری‌ها و خطرات سایبری:

سامانه‌های حیاتی سازمان باید با همکاری مرکز افتا مورد ارزیابی امنیت قرار گیرند. برای پوشش آسیب‌پذیری‌ها، کلیه سامانه‌های حیاتی باید به طور منظم توسط شرکت‌های دارای پروانه خدمات، آزمون آسیب‌پذیری را تجربه کنند و مشکلات شناسایی شده رفع گردند. مستندات کامل و به‌روز از مخاطرات سرویس‌ها و سامانه‌های حیاتی سازمان باید تهیه و تدوین شود. همچنین باید پیوست امنیتی و راهکار رفع مخاطرات و تأمین امنیت سایبری برای سرویس‌ها و سامانه‌های حیاتی تدوین گردد. ارائه هر سرویس در بستر اینترنت باید منوط به آزمون نفوذ و رفع آسیب‌پذیری‌های احتمالی باشد.

 

5.مدیریت دسترسی به منابع سازمان:

برای جلوگیری از دسترسی غیر مجاز، دسترسی فیزیکی افراد به اماکن حساس محدود و فهرست افراد مجاز برای دسترسی به این اماکن تهیه شود. دسترسی کاربران به سامانه‌های حیاتی باید بر اساس اصل حداقل دسترسی مدیریت شود و دسترسی مشاوران، پیمانکاران و کارکنان موقت به شبکه و سامانه‌های حیاتی محدود گردد. همچنین دسترسی از راه دور به سامانه‌های حیاتی با در نظرگیری محدودیت‌های زمان بندی و مکانی و پس از کسب مجوزهای لازم صورت گیرد. احراز هویت چند عامله برای تصدیق هویت کاربران فعال باید فعال شود و از دستکاری لاگ‌های ذخیره شده جلوگیری شود. همچنین دسترسی IP‌های خارجی به سامانه‌های حیاتی باید محدود شود و کلمات عبور با پیچیدگی مناسب انتخاب شده و در بازه زمانی مناسب تغییر داده شوند.

 

6. تنظیمات و پیکربندی تجهیزات و سامانه‌ها:

برای اطمینان از امنیت و عملکرد بهینه سامانه‌های حیاتی، لازم است که تمام دارایی‌های مرتبط با این سامانه‌ها، از جمله سوئیچ‌ها، روترها، تجهیزات امنیتی، سیستم‌عامل، پایگاه داده، وب سرویس‌ها و غیره، مورد بازبینی قرار گیرند و به روزرسانی های لازم بر اساس آخرین راهنماهای امنیتی صورت گیرد.

– پیکربندی پیش‌فرض تمام تجهیزات و نرم‌افزارهای مرتبط با سامانه‌های حیاتی باید تغییر یابد.
– مستندات جدید مربوط به پیکربندی تجهیزات، سرویس‌ها و سامانه‌های حیاتی بروز شده و در اختیار افراد مجاز قرار گیرد.
– هر تغییر در پیکربندی تجهیزات مرتبط با سامانه‌های حیاتی باید محدود و با کسب مجوز های لازم و تطابق با سیاست‌های امنیتی سازمان صورت گیرد.
– برای سامانه‌های آسیب‌پذیر مرتبط با سرویس‌های حیاتی، از سیستم‌های خودکار مدیریت وصله‌های امنیتی یا روش‌های دستی با زمان‌بندی کوتاه استفاده شود و روال کار مناسب برای این منظور اجرا شود.
– تمام سیستم‌عامل‌ها، سرویس‌ها و سامانه‌های حیاتی باید به صورت مستمر و در بازه‌های زمانی مشخص، با آخرین وصله‌های امنیتی منتشر شده و با توجه به جوانب امنیتی بروزرسانی شوند.

7. امنیت شبکه و سامانه‌ها:

– از دیواره‌های آتش و سامانه‌های مدیریت تهدیدات یکپارچه با مجوز در لبه شبکه و سامانه DLP برای کنترل دسترسی، کنترل ترافیک و جلوگیری از نفوذ و نشت اطلاعات استفاده شود.
– هر سرویس و خدمت در بستر اینترنت باید توسط تجهیزات امنیتی مثل دیوار آتش، سامانه تشخیص و جلوگیری از نفوذ، دیوار آتش برنامه‌های کاربردی، سامانه ضدبدافزار، ابزار کنترل صحت فایل‌ها و غیره محافظت شود.
– فعال بودن و به روز بودن تمام سامانه‌های ضدبدافزار، ضدبرنامه مخرب و سامانه تشخیص و جلوگیری از نفوذ در سرور سامانه‌های حیاتی باید تضمین شود.
– انتشار سرویس‌های غیرضروری در اینترنت باید محدود شود.
– سرویس‌ها و تجهیزات غیرضروری و بدون استفاده مرتبط با سامانه‌های حیاتی شناسایی و غیرفعال شوند.
– همگام‌سازی زمان در تمام تجهیزات سامانه‌ها و لاگ‌های مرتبط با سامانه‌های حیاتی رعایت شود.
– در معماری شبکه، تفکیک منطقی و ناحیه‌بندی دقیق و مناسب صورت گیرد و ارتباط ناحیۀ DMZ با شبکۀ داخلۀ توسط ديوار آتش کنترل شود.
– شبکۀ متصل به اینترنت از شبکۀ ارائۀ سرويس‌های حياتي سازماني فيزيكي يا منطقي (در صورت امكان) جداسازي شود.))

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=46487
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد کنترل های امنیتی برای کاهش مخاطرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.