پروژه پاورپوینت سیستم مدیریت امنیت اطلاعات (ISMS) مفاهیم، استانداردها و مهندسی امنیت

خلاصه ای از پروژه:

امنیت اطلاعات، با عنوان سیستم مدیریت امنیت اطلاعات (ISMS)، در دنیای امروز به یک ضرورت تبدیل شده است. بدون امنیت، آرامش در زندگی و کسب‌وکارها مختل می‌شود و همواره نگرانی از تهدیدات سایبری وجود خواهد داشت. فناوری اطلاعات، همچون سکه‌ای دو رو، هم فرصت است و هم تهدید، و غفلت از امنیت می‌تواند به فاجعه‌ای بزرگ منجر شود.

استقرار یک نظام مدیریت امنیت اطلاعات (ISMS) با توجه به نیاز روزافزون به فناوری‌های نوین در عرصه اطلاعات و ارتباطات، بیش از پیش اهمیت پیدا کرده است. فرایند امن‌سازی را می‌توان در چهار شاخه اصلی امنیت در رایانه‌ها، شبکه‌ها، سازمان‌ها و امنیت کاربران دسته‌بندی کرد.

ISMS به مدیران این امکان را می‌دهد تا با به حداقل رساندن ریسک‌های تجاری، امنیت سیستم‌های خود را کنترل کنند. این سیستم جامع امنیتی بر سه پایه بررسی و تحلیل سیستم اطلاعاتی، سیاست‌ها و دستورالعمل‌های امنیتی، و فناوری و محصولات امنیتی استوار است.

حفاظت سه بعدی از اطلاعات سازمان شامل حفظ محرمانه بودن اطلاعات، حفظ یکپارچگی اطلاعات و قابلیت دسترسی به اطلاعات در زمان نیاز است. مشکلات امنیتی معمولاً ناشی از ضعف فناوری، ضعف پیکربندی و ضعف سیاست‌ها هستند. ضعف فناوری شامل ضعف پروتکل‌ها، سیستم عامل‌ها و تجهیزات شبکه‌ای است.

ضعف پیکربندی شامل استفاده غیراایمن از حساب‌های کاربری، عدم پیکربندی صحیح سرویس‌های اینترنت و تنظیمات پیش‌فرض غیراایمن است. ضعف سیاست‌ها نیز شامل عدم وجود یک سیاست امنیتی مکتوب، رها کردن مدیریت امنیت شبکه و عدم وجود برنامه‌ای مدون برای برخورد با حوادث غیرمترقبه است.

استانداردهای ISMS با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمن‌سازی فضای تبادل اطلاعات شکل گرفت. این استانداردها شامل تعیین مراحل ایمن‌سازی، جزئیات مراحل ایمن‌سازی، لیست و محتوای طرح‌ها و برنامه‌های امنیتی مورد نیاز سازمان، ضرورت و جزئیات ایجاد تشکیلات سیاست‌گذاری، اجرایی و فنی تامین امنیت اطلاعات و ارتباطات سازمان و کنترل‌های امنیتی مورد نیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان است. برخی از استانداردهای مهم ISMS شامل استاندارد BS7799 موسسه استاندارد انگلیس، استاندارد ISO/IEC 17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد هستند.

مهندسی امنیت مجموعه‌ای از فعالیت‌ها است که برای حصول و نگهداری سطوح مناسبی از محرمانگی، صحت، قابلیت دسترسی، حساب‌پذیری، اصالت و قابلیت اطمینان به صورت قاعده‌مند در یک سازمان انجام می‌شود. محرمانگی به معنای عدم دسترسی افراد غیرمجاز به اطلاعات است، صحت به معنای عدم تغییر یا از بین رفتن غیرمجاز داده‌ها و فعالیت‌های مورد انتظار سیستم است، و اصالت به معنای یکسان بودن هویت واقعی یک موجودیت با هویت مورد ادعا است.

به دنبال پروژه‌های آماده و دانشجویی با بالاترین کیفیت هستید؟ کامل‌ترین آرشیو پروژه‌های آماده برای استفاده با دانلود آسان و سریع در دسترس شماست!

عناوین و فهرست کلی پروژه:

ISMS (Information Security Management System)

* امنیت در رایانه‌ها
* امنیت در شبکه‌ها
* امنیت در سازمان‌ها
* امنیت کاربران

ISMS چیست؟

* بررسی و تحلیل سیستم اطلاعاتی
* سیاست‌ها و دستورالعمل‌های امنیتی
* تکنولوژی و محصولات امنیتی
* عوامل اجرایی

حفاظت سه بعدی از اطلاعات سازمان

* حفظ محرمانه بودن اطلاعات
* حفظ یکپارچگی اطلاعات
* قابلیت دسترسی اطلاعات

علل بروز مشکلات امنیتی

* ضعف فناوری
* ضعف پروتکل TCP/IP
* ضعف سیستم عامل
* ضعف تجهیزات شبکه‌ای
* ضعف پیکربندی
* استفاده غیراایمن از Account کاربران
* استفاده از System Account با رمز عبور ساده
* عدم پیکربندی صحیح سرویس‌های اینترنت
* غیراایمن بودن تنظیمات پیش فرض
* عدم پیکربندی صحیح تجهیزات شبکه‌ای
* ضعف سیاست‌ها
* عدم وجود یک سیاست امنیتی مکتوب
* سیاست‌های سازمانی
* رها کردن مدیریت امنیت شبکه
* نصب و انجام تغییرات مغایر با سیاست‌های تعریف شده
* عدم وجود برنامه‌ای مدون جهت برخورد با حوادث غیرمترقبه

استانداردهای ISMS

* تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان
* جزئیات مراحل ایمن‌سازی و تکنیک‌های فنی مورد استفاده در هر مرحله
* لیست و محتوای طرح‌ها و برنامه‌های امنیتی مورد نیاز سازمان
* ضرورت و جزئیات ایجاد تشکیلات سیاست‌گذاری، اجرایی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
* کنترل‌های امنیتی مورد نیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان

استانداردهای ISMS

* استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس
* BS7799:1 (1995)
* BS7799:2 (1999)
* BS7799:2002 (2002)
* تدوین سیاست امنیتی سازمان
* ایجاد تشکیلات تامین امنیت سازمان
* دسته‌بندی سرمایه‌ها و تعیین کنترل‌های لازم
* امنیت پرسنلی
* امنیت فیزیکی و پیرامونی
* مدیریت ارتباطات
* کنترل دسترسی
* نگهداری و توسعه سیستم‌ها
* مدیریت تداوم فعالیت سازمان
* پاسخگویی به نیازهای امنیتی
* PDCA Model
* Plan (برنامه‌ریزی)
* Do (اجرا)
* Check (کنترل)
* Act (اقدام)
* استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد
* طرح تداوم خدمات تجاری
* کنترل بر نحوه دستیابی به سیستم
* توسعه و پشتیبانی سیستم
* ایجاد امنیت فیزیکی و محیطی
* انطباق امنیت
* امنیت کارکنان
* ایجاد امنیت سازمانی
* مدیریت رایانه و عملیات
* کنترل و طبقه بندی دارایی ها
* امنیت اطلاعاتی
* استانداردهای مدیریتی سری 27000 موسسه بین المللی استاندارد
* گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد
* بخش اول: مفاهیم کلی امنیت اطلاعات
* بخش دوم: مراحل ایمن‌سازی و ساختار تشکیلات تامین امنیت اطلاعات
* تعیین اهداف، راهبردها و سیاست‌های امنیتی
* تحلیل مخاطرات امنیتی
* انتخاب حفاظ‌ها و ارائه طرح امنیت
* پیاده‌سازی طرح امنیت
* پشتیبانی امنیت
* بخش سوم: تکنیک‌های طراحی، پیاده‌سازی و پشتیبانی امنیت اطلاعات
* بخش چهارم: تشریح حفاظ‌های فیزیکی، سازمانی و حفاظ‌های خاص سیستم‌های اطلاعاتی
* بخش پنجم: تکنیک‌های تامین امنیت ارتباطات (VPN، امنیت در گذرگاه‌ها، تشخیص تهاجم و کدهای مخرب)
* استاندارد ITBPM
* استاندارد امنیتی ACSI33
* استاندارد AS/NZS

مهندسی امنیت

* تعریف مهندسی امنیت
* محرمانگی (Confidentiality)
* صحت (Integrity)
* قابلیت دسترسی (Availability)
* حساب پذیری (Accountability)
* اصالت (Authenticity)
* قابلیت اطمینان (Reliability)
* اصول مهندسی امنیت
* امنیت هر سیستم تعریف مخصوص به خود دارد.
* امنیت ابزاری برای رسیدن به هدف سیستم است.
* امنیت نسبی است.
* امنیت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزه هاي مختلف دانش است.
* امنيت سيستم يك طرح يكپارچه و جامع مي‏طلبد.
* حيطة مسئوليتها و مقررات امنيتي بايد كاملاً شفاف و غيرمبهم باشد.
* طرح امنيتي بايد مقرون به صرفه باشد.
* امنيت هر سيستم توسط عوامل اجتماعي محدود مي‏شود.
* امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد.
* چرخه ی حیات مهندسی امنیت
* مدیریت مخاطرات
* پیاده‌سازی روش‌های دفاعی
* پیگیری
* خط مشی امنیت IT

تهیه خط مشی امنیت IT

* اهداف (Objectives)
* استراتژی (Strategy)
* خط مشی (Policy)

جنبه‌های تشکیلاتی امنیت IT

* مدیریت سازمان
* متصدی امنیت سازمان
* متصدی امنیت IT
* متصدی امنیت زیر بخش
* متصدی امنیت سیستم
* دستورالعمل‌ها و خط مشی امنیتی IT سازمان
* دستورالعمل‌ها و خط مشی IT زیربخش
* دستورالعمل‌ها و خط مشی امنیتی IT سیستم 1

مدیریت امنیت IT

* مدیریت پیکربندی
* مدیریت تغییرات
* مدیریت مخاطرات

مدیریت تغییرات

مدیریت مخاطرات

* دارایی‌ها (Assets)
* تهدیدات (Threats)
* رخنه‏ها (Vulnerabilities)
* آسیبها (Impacts)
* مخاطرات (Risks)
* روش‏هاي مقابله (Safeguards)
* ریسک باقی مانده (Residual Risks)

پیاده‌سازی

* آگاهی‌رسانی امنیتی
* روش‌های دفاعی

کنترل‌های امنیتی

* سخت‌افزار
* نرم‌افزار
* ارتباطات
* محیط فیزیکی
* پرسنل
* کنترل استفاده از سیستم‌ها

انواع کنترل‌های امنیتی

* کنترل‌های فنی
* رویکرد سیستمی
* رویکرد رمزنگارانه
* سیستم‌های اطلاعاتی
* سیستم‌های عامل
* پایگاه‌های داده
* شبکه ارتباطی
* سرویس‌های اساسی
* حفاظت از شبکه خودی
* دیواره آتش (Firewall)
* سیستم‌های تشخیص و مقابله با نفوذ (IDS/IPS)
* ضد ویروس
* مانیتورهای Log
* سیستم‌های فریب
* ارتباط امن بین‌شبکه‌ای
* روش‌های رمزنگاری
* شبکه اختصاصی مجازی (VPN)
* زیر ساخت کلید عمومی (PKI)
* امضاء دیجیتالی
* مدیریت امنیت
* استانداردهای مدیریت امنیت (ISO-17799، …)
* بیومتریک
* بیومتریک‌های فیزیولوژیکی
* عنبیه نگاری
* شبکیه نگاری
* ا نگشت نگاری
* چهره نگاری
* دست نگاری
* صوت نگاری
* بیومتریک‌های رفتاری
* امضا نگاری
* نحوه ی تايپ کردن
* سایر بیومتریک
* DNA
* نحوه راه رفتن
* الگوي رگهاي پشت دست
* خطوط کف دست
* شکل گوش
* بوي بدن
* الگوي بافتهاي زير پوستي دست
* آموزش
* آموزش‌های عمومی
* آموزش‌های اختصاصی

ISMS در ایران

* عدم تخصیص جایگاه مناسب به مسائل امنیتی
* کمبود های تئوریک و عملی کارشناسان
* عدم آموزش و اطلاع رسانی