1. Isms information security management system
Mansooreh Jalalyazdi

2. ISMSچیست؟
مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده های حساس یک سازمان، ، به طور سیستماتیک، استفاده می شود.
هدف ISMS کمینه کردن ریسک است.

3. گامهای لازم برای ارزیابی مخاطرات
گام اول: شناخت دارايي ها
گام دوم: ارزش گذاري دارايي ها
گام سوم: تعيين آسيب پذيري
گام چهارم: محاسبه تهديد
گام پنجم: محاسبه ميزان ريسک
تعاريف استفاده شده در اين مستند از ISO/IEC TR اخذ شده است.

4. گام اول: شناخت دارايي­ها
کلیه دارایی ها شناخته شده و در ۵ گروه طبقه بندی می شود.
دارايي هاي اطلاعاتي فايل هاي الکترونيکي، پايگاه هاي داده مربوط به نرم افزارهاي موجود در سازمان
دارايي هاي کاغذي مستندات مکتوب مانند قراردادها، راهنماهاي کاربري و ...
دارايي هاي پرسنلي کارمندان، کارشناسان و مديران
دارايي هاي نرم افزاري نرم افزارهاي کاربردي، سيستم هاي عامل و . . .
دارايي هاي سخت افزاري تجهيزات مرتبط با فناوري اطلاعات مانند: سرور، سوييچ، روتر و . .

5. گام دوم: ارزش گذاري دارايي­ها
از سه مولفه استفاده می شود.
ارزش هر دارايي ترکيبي از ميزان اهميت هر يک از مولفه ها براي آن دارايي مي باشد.
محرمانگي (Confidentiality)
امکان دسترسي به اطلاعات و دارايي ها فقط براي افراد مجاز
صحت (Integrity)
حفظ دارايي ها و درستي و کامل بودن آنها
دسترسي (Availability)
امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز

6. گام دوم – روش ارزش گذاری هر یک از مولفه ها ارزشی بین ۱ تا ۳
پارامترهاي تأثيرگذار در ارزش گذاري دارايي:
تاثير دارايي بر اهداف و فعاليتهاي اصلي کسب و کار
تاثير دارايي بر وجهه و اعتبار
تاثير دارايي در ايجاد وقفه هاي کاري
ميزان تاثير دارايي از نظر مالي و تجاري

7. گام دوم –ارزش گذاری – ارزش ۱
ارزش 1 :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.
صحت
در صورتي که درستي و يکپارچگي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء چنداني نخواهد داشت.

8. گام دوم –ارزش گذاری – ارزش ۲
ارزش 2 :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.
صحت
در صورتي که درستي و يکپارچگي دارايي از بين برود با توجه به پارامترهاي تاثير گذار تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء متوسط يا نسبتا زيادي خواهد داشت.

9. گام دوم –ارزش گذاری – ارزش ۳
ارزش ۳ :
محرمانگي
در صورتي که افراد غير مجاز بتوانند به دارايي دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.
صحت
در صورتي که درستي دارايي از بين برود ، با توجه به پارامترهاي تاثير گذار تاثير سوء بسيار زيادي خواهد داشت.
دسترسي
در صورتي که افراد مجاز نتوانند به دارايي در زمان هاي مورد نياز دسترسي پيدا کنند، با توجه به پارامترهاي تاثير گذار ذکر شده تاثير سوء بسيار زيادي خواهد داشت.

10. گام دوم –ارزش گذاری – ارزش کل دارایی
ارزش دارايي برابر است با : صحت + محرمانگي + دسترسي

11. گام دوم –ارزش گذاری – جدول ارزش کل دارایی
گروه دارایی
نام دارایی
صحت
محرمانگی
دسترسی
ارزش دارایی

12. گام سوم: تعيين آسيب پذيري
براي هر گروه از دارايي ها:
شناخت آسيب پذيري ها
شدت آسيب پذيري: عددي بين 1 تا 3 1
اين آسيب پذيري نقطه ضعفي است که عامل کوچکي براي در معرض خطر قرار دادن دارايي محسوب مي شود. 2
اين آسيب پذيري نقطه ضعفي است که عامل متوسطي براي در معرض خطر قرار دادن دارايي محسوب مي شود. 3
اين آسيب پذيري ، نقطه ضعفي است که عامل بزرگي براي در معرض خطر قرار دادن دارايي محسوب مي شود

13. گام سوم: تعيين آسيب پذيري - جدول
دارایی
عنوان آسیب پذیری
شدت آسیب پذیری

14. گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي اطلاعاتي
نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي
فقدان پيگيري مميزي
آموزش ناکافي امنيتی
فقدان نسخه هاي پشتيبان
فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
فقدان شناسايي و اعتبار دهي به فرستنده و گيرنده
فقدان مکانيزمهاي نظارتي
فقدان خط مشي هايي براي استفاده صحيح از رسانه هاي مخابراتي و پيام رساني
عدم قابليت اثبات ارسال يا دريافت يک پيام
فقدان آگاهي رساني امنيتي
مديريت ضعيف کلمات عبور
حساسيت به تشعشع الکترو مغناطيسي
انتقال کلمات عبور به صورت Clear Text
نسخه برداري کنترل نشده

15. گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي نرم افزاری
واسط کاربري پيچيده
استفاده نادرست از سخت افزار و نرم افزار
نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي
آموزش ناکافي امنيتی
فقدان پيگيري مميزي
فقدان نسخه هاي پشتيبان
فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
فقدان مکانيزمهاي نظارتي
فقدان آگاهي رساني امنيتي
عدم خروج از سيستم (Log out) هنگام ترک ايستگاه کاري
فقدان آزمايش يا آزمايش ناکافي نرم افزار
مديريت ضعيف کلمات عبور
انتقال کلمات عبور به صورت Clear Text
دانلود و استفاده بدون کنترل از نرم افزار
وجود رخنه هاي مشخص در نرم افزار
تخصيص اشتباه حق دسترسي

16. گام سوم: انواع آسيب پذيريها - آسيب پذيريهاي داراييهاي سخت افزاری
شرايط جوي نامناسب
استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق ها
رويه های نامناسب استخدام کارکنان
آموزش ناکافی امنيتی
فقدان آگاهي رساني امنيتي
حساسيت به رطوبت و گرد و خاک
حساسيت به تغييرات جوی
حساسيت به تغييرات ولتاژ
انبار بی حفاظ
عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني

17. گام چهارم: محاسبه تهديد
آسيب پذيري ها در مرحله قبل مشخص شده است.
هر تهديد متناظر با آسيب پذيري خاصي مي‌باشد.
محاسبه احتمال هر تهدید
محاسبه پيامد هر تهديد

18. گام چهارم: محاسبه تهديد – احتمال تهدید1
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده پايين مي‌باشد (مثلا هر چند سال يکبار) 2
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده در حد متوسط مي‌باشد (مثلا هر سال يکبار) 3
احتمال وقوع اين تهديد با توجه به تجربيات گذشته سازمان و بررسي هاي کارشناسي انجام شده بالا مي‌باشد (مثلا هر سال چند بار)

19. گام چهارم: محاسبه تهديد – پیامد تهدید
اين پيامد روي کدام يک از سه مولفه صحت، محرمانگي و دسترسي تاثير گذار است.
بر اساس تاثير روي هر يک به ارزش دارايي مراجعه کرده و اعدادي که در آنجا به هر يک نسبت داده ايم را براي پيامد آنها محاسبه مي کنيم.
اين قسمت رابطه مستقيمي با ارزش دارايي دارد.
پيامد تهديد برابر است با : صحت + محرمانگي + دسترسي

20. گام چهارم: محاسبه تهديد – پیامد تهدید
1 تا 3
حوادث بوجود آمده از تهديدات در اين سطح چندان جدي نمي‌باشند. عوارض اين نوع حوادث، وقفه هاي کاري کوتاه مدت و يا زيان مالي اندک به سازمان است که با واکنش مناسب و با هزينه اندک قابل جبران است.
4 تا 6
حوادث بوجود آمده از تهديدات در اين سطح نسبتا جدي مي‌باشند. عوارض اين نوع حوادث، وقفه در کسب و کار سازمان ، زيان مالي و خدشه به اعتبار سازمان است که با صرف هزينه نسبتا بالايي قابل جبران است.
7 تا 9
حوادث بوجود آمده از تهديدات در اين سطح بسيار جدي مي‌باشند. عوارض اين نوع حوادث، وقفه هاي بلند مدت و تاثيرگذار کاري ، زيان مالي گزاف و از دست دادن اعتبار و وجهه عمومي سازمان است که بعضا حتي با صرف هزينه هاي بسيار زياد هم قابل جبران نيستند.

21. گام چهارم: محاسبه تهديد – پیامد تهدید
نام دارایی
آسیب پذیری
تهدید
احتمال تهدید
صحت
محرمانگی
قابلیت دسترسی

22. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی
- نگهداري نامناسب يا جايگذاري نامناسب رسانه هاي ذخيره سازي
خرابي رسانه هاي ذخيره سازي و خطاي نگهداري
- فقدان پيگيري مميزي
استفاده غير مجاز از نرم افزار
- آموزش ناکافي امنيت
خطاي کارکنان پشتيبان و عملياتي
- فقدان نسخه هاي پشتيبان
آتش

23. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی
- فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
استفاده غير قانوني از نرم افزار
پوشيدگي هويت کاربر
- فقدان شناسايي و اعتبار دهي به فرستنده و گيرنده
پوشش هويت کاربر
مسير دهي و گروه بندي مجدد پيغام ها
مسير دهي مجدد پيام ها
- فقدان مکانيزمهاي نظارتي
ورود و خروج غير قانوني نرم افزار
استفاده غير مجاز از نرم افزارها

24. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای اطلاعاتی
- فقدان خط مشي هايي براي استفاده صحيح از رسانه هاي مخابراتي و پيام رساني
استقاده غير مجاز از امکانات شبکه
- عدم اثبات ارسال يا دريافت يک پيام
انکار (سرويس ها، تعاملات و ارسال پيام)
- فقدان آگاهي رساني امنيتي
خطاهاي کاربر
- مديريت ضعيف کلمات عبور
استفاده غير قانوني از نرم افزار
پوشيدگي هويت کاربر
- حساسيت به تشعشع الکترو مغناطيسي
تشعشع الکترومغناطيسي
شارژ الکتريسيته ساکن
- انتقال کلمات عبور به صورتClear Text
دسترسي به شبکه به وسيله افراد غير مجاز
- نسخه برداري کنترل نشده
سرقت

25. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای کاغذی
- شرايط جوي نامناسب
خرابي دستگاه تهويه
زلزله
طوفان
رعد و برق
- استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق ها
بمب گذاری
سواستفاده از منابع
استفاده غير مجاز از رسانه ها
آسيب رساني عمدي
- آموزش ناکافي امنيت
خطاي کارکنان پشتيبان و عملياتي

26. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای کاغذی
- عدم مستند سازي
اشتباه کارکنان پشتيبان و عملياتي
- عدم حفاظت فيزيکي از ساختمان درها و پنجره ها
حمله با بمب
سرقت
- عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني

27. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری
- واسط کاربري پيچيده
خطاي کارکنان پشتيبان و عملياتي
- استفاده نادرست از سخت افزار و نرم افزار
ورود و خروج غير قانوني نرم افزار
- نگهداري نامناسب جا جايگذاري نامناسب رسانه هاي ذخيره سازي
خرابي رسانه هاي ذخيره سازي و خطاي نگهداري
- آموزش ناکافي امنيت
خطاي کارکنان پشتيبانی و عملياتي
- عدم يا فقدان پيگيري مميزي ها
استفاده غير مجاز از نرم افزارها

28. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری
- فقدان نسخه هاي پشتيبان
آتش
نرم افزار مخرب
- فقدان مکانيزم هاي شناسايي و اعتباردهي مانند مجوزدهي به کاربر
استفاده غير قانوني از نرم افزار
پوشيدگي هويت کاربر
- فقدان مکانيزمهاي نظارتي
ورود و خروج غير قانوني نرم افزار
استفاده غير مجاز از نرم افزارها
- فقدان آگاهي رساني امنيتي
خطاهاي کاربر

29. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری
- عدم خروج از سيستم (Log out) هنگام ترک ايستگاه کاري
استفاده از نرم افزار به وسيله کاربران غير مجاز
- فقدان آزمايش يا آزمايش ناکافي نرم افزار
- مديريت ضعيف کلمات عبور
استفاده غير قانوني از نرم افزار
پوشيدگي هويت کاربر
- انتقال کلمات عبور به صورت Clear Text
دسترسي به شبکه به وسيله افراد غير مجاز
- دانلود و استفاده بدون کنترل از نرم افزار
ورود و خروج غير قانوني نرم افزار
نرم افزار مخرب

30. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای نرم افزاری
- وجود رخنه هاي مشخص در نرم افزار
استفاده غير قانوني از نرم افزار
استفاده از نرم افزار به وسيله کاربران غير مجاز
- تخصيص اشتباه حق دسترسي
ورود و خروج غير قانوني نرم افزار
استفاده غير مجاز از نرم افزارها
- آموزش ناکافي امنيت
خطاي کارکنان پشتيبانی و عملياتي
- عدم دقت در امحا
سرقت

31. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری
- شرايط جوي نامناسب
خرابي دستگاه تهويه
زلزله
طوفان
رعد و برق
- استفاده بي دقت يا نامناسب از کنترل دسترسي فيريکي به ساختمان ها و اتاق ها
بمب گذاری
سواستفاده از منابع
استفاده غير مجاز از رسانه ها
آسيب رساني عمدي
- رويه های نامناسب استخدام کارمندان
آسيب رسانی عمدی
سوء استفاده مالی و تجاری

32. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری
- آموزش ناکافي امنيت
خطاي کارکنان پشتيبانی و عملياتي
- فقدان آگاهي رساني امنيتي
خطاهاي کاربر
- عدم دقت در امحاء
سرقت
- حساسيت به رطوبت و گرد و خاک
خرابي دستگاه تهويه
گرد و خاک
- حساسيت به تغييرات جوی
دما يا رطوبت بيش از اندازه

33. تهديدهاي متناظر با هر يک از آسيب پذيريهاي مرتبط با گروه داراييهای سخت افزاری
- حساسيت به تغييرات ولتاژ
نوسانات برق
- انبار بی حفاظ
سرقت
- عدم نظارت بر کار کارکنان نظافت يا کارکنان بيروني

34. گام پنجم: محاسبه ميزان ريسک
ميزان ريسک برابر است با : پيامد تهديد * احتمال وقوع تهديد * شدت آسيب پذيري

35. گام پنجم: محاسبه ميزان ريسک
بیشترين عدد بدست آمده براي ريسک عدد 81 = 9 × 3 × 3 مي باشد
جهت تبديل آن به درصد آنرا در عدد ( = 81 /100) ضرب مي‌کنيم.

36. گام پنجم: محاسبه ميزان ريسک
گروه دارایی
نام دارایی
آسیب پذیری
شدت آسیب پذیری
نهدید
احتمال تهدید
صحت
محرمانگی
دسترسی
ریسک

37. خطای کارکنان پشتیبانی و عملیاتی
مثال
گروه دارایی
نام دارایی
آسیب پذیری
شدت آسیب پذیری
نهدید
احتمال تهدید
صحت
محرمانگی
دسترسی
ریسک
اطلاعاتی X
آموزش ناکافی امنیت ۳
خطای کارکنان پشتیبانی و عملیاتی × ۷۲
۵۵.۵۳%

38. با تشکر از دانشگاه فردوسی مشهد متشکرم
با تشکر از دانشگاه فردوسی مشهد متشکرم