‫بنیان مدیریت امنیت اطالعات (بما)‬

‫مدرس ‪ :‬آقای زعیم افراز‬

‫‪) 013( 33332640‬‬

‫‪Elearning@nri.ac.ir‬‬
‫‪www.ieht-gtc.ir‬‬
 WHY DO ORG NEED CYBERSECURITY?

ORGANIZATION NEED CYBERSECURITY TO ENSURE THAT THEIR CUSTOMERS’

DATA AND MONEY ARE SAFE FROM CRIMINALS. WHEN THERE ARE DATA
BREACHES, NOT ONLY CAN CUSTOMERS COME TO HARM, BUT THE ORG ITSELF
CAN SUFFER FROM IRREPARABLE REPUTATIONAL DAMAGE AND MAY FACE LEGAL
COSTS AND REGULATORY PENALTIES AS WELL.
 WHAT IS THE BIGGEST THREAT TO CYBER SECURITY?

THE BIGGEST THREAT TO CYBERSECURITY IS HUMAN ERROR. IT IS PEOPLE

WHO ULTIMATELY PUT DATA AND SYSTEMS AT RISK EITHER BECAUSE THEY
HAVE BEEN TRICKED INTO PROVIDING SENSITIVE DETAILS, HAVEN’T
PROPERLY PROTECTED THEIR PASSWORDS, HAVE USED WEAK
CREDENTIALS, HAVE CLICKED ON MALICIOUS LINKS, OR OPENED
SUSPICIOUS EMAIL ATTACHMENTS.
 A BRIEF OVERVIEW
UNDERSTANDING COBIT IS CRUCIAL AS IT OFFERS A COMPREHENSIVE
FRAMEWORK FOR EFFECTIVE IT GOVERNANCE AND MANAGEMENT. THIS
GLOBALLY RECOGNIZED FRAMEWORK PROVIDES GUIDELINES, PROCESSES, AND
BEST PRACTICES TO ALIGN TECHNOLOGY WITH BUSINESS GOALS, MANAGE
RISKS, AND ENSURE COMPLIANCE. COBIT'S HOLISTIC APPROACH ENCOMPASSES
PRINCIPLES, PRACTICES, AND ANALYTICAL TOOLS THAT ENABLE ORGANIZATIONS
TO NAVIGATE COMPLEX IT ENVIRONMENTS SUCCESSFULLY. BY IMPLEMENTING
COBIT, BUSINESSES ENHANCE DECISION-MAKING, OPTIMIZE RESOURCE
UTILIZATION, AND ENSURE TRANSPARENCY IN PROCESSES. COBIT'S
SIGNIFICANCE LIES IN ITS ABILITY TO BRIDGE THE GAP BETWEEN BUSINESS AND
IT, ENSURING THAT TECHNOLOGY IS LEVERAGED STRATEGICALLY TO ACHIEVE
SUSTAINABLE GROWTH.
 WHAT IS COBIT? (CONTROL OBJECTIVES FOR INFORMATION
AND RELATED TECHNOLOGIES)
COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGIES) IS A
FRAMEWORK APPLIED IN THE BEST PRACTICES OF IT GOVERNANCE AND MANAGEMENT.
ORGANIZATIONS APPLY COBIT IN THE DEVELOPMENT, IMPLEMENTATION, MONITORING, AND
IMPROVEMENT OF IT STRUCTURES. COBIT IS THE MOST COMMONLY USED FRAMEWORK IN THE
U.S. FOR COMPLIANCE WITH THE SARBANES-OXLEY ACT THAT DETERS FRAUDULENT FINANCIAL
REPORTING.
THE COBIT FRAMEWORK COMPRISES VARIOUS KEY COMPONENTS SUCH AS FRAMEWORKS,
PROCESS DESCRIPTIONS, CONTROL OBJECTIVES, MATURITY MODELS, AND MANAGEMENT
GUIDELINES. AT ITS CORE, THE COBIT FRAMEWORK SERVES AS A MULTIFUNCTIONAL SUPPORT
TOOL THAT HELPS IT MANAGERS ALIGN BUSINESS RISKS, TECHNICAL ISSUES, AND CONTROL
PREREQUISITES WITHIN THE ORGANIZATION
 PRINCIPLES OF COBIT
COBIT CONSISTS OF FIVE FUNDAMENTAL PRINCIPLES THAT DRIVE IT GOVERNANCE AND MANAGEMENT WITHIN THE ORGANIZATION. THESE ARE:
PRINCIPLE 1 – FULFILLING STAKEHOLDER NEEDS: IDENTIFYING THE KEY STAKEHOLDERS WITHIN AN ORGANIZATION AND THEIR NEEDS BEFORE
PROVIDING VALUE CREATION THROUGH GOAL SETTING. THE PROCESS POTENTIALLY LEADS TO INCREASED ORGANIZATIONAL GROWTH IN THE
LONG TERM.
PRINCIPLE 2 – OFFERING ENTERPRISES COMPREHENSIVE END-TO-END COVERAGE: ACCOUNTING FOR ALL FUNCTIONS AND PROCESSES WITHIN
AN ORGANIZATION.
PRINCIPLE 3 – ACHIEVING A SINGLE UNIFIED FRAMEWORK: INTEGRATING MULTIPLE FRAMEWORKS AND STANDARDS WITHIN AN ORGANIZATION
TO ACHIEVE SEAMLESS IT MANAGEMENT AND GOVERNANCE.
PRINCIPLE 4 – DRIVING A HOLISTIC APPROACH IN RUNNING AN ORGANIZATION: TAPPING ENABLERS (LISTED BELOW) TO CREATE AN ALL-
INCLUSIVE STRATEGY FOR IT GOVERNANCE AND MANAGEMENT.
PRINCIPLE 5 – SEPARATING MANAGEMENT FROM GOVERNANCE: SETTING CLEAR BOUNDARIES BETWEEN GOVERNANCE AND MANAGEMENT
ROLES AND RESPONSIBILITIES.
ORGANIZATIONS FULFILL A HOLISTIC APPROACH VIA SEVEN ENABLERS:
PEOPLE, POLICIES, AND FRAMEWORKS
PROCESSES
ORGANIZATIONAL STRUCTURES
CULTURE, ETHICS, AND BEHAVIOR
INFORMATION
SERVICES
 COMPONENTS OF THE COBIT FRAMEWORK

FRAMEWORK: THE COBIT FRAMEWORK PROVIDES A HIGH-LEVEL STRUCTURE THAT

OUTLINES THE KEY COMPONENTS AND PRINCIPLES FOR EFFECTIVE IT GOVERNANCE
PROCESS DESCRIPTIONS: COBIT OFFERS DETAILED DESCRIPTIONS OF VARIOUS IT PROCESSES, PROVIDING INSIGHTS
INTO THE ACTIVITIES, CONTROLS, AND OBJECTIVES WITHIN EACH PROCESS. THESE DESCRIPTIONS EMPOWER
ORGANIZATIONS TO CUSTOMIZE THEIR APPROACH TO ALIGN WITH THEIR SPECIFIC NEEDS.
CONTROL OBJECTIVES: AT THE HEART OF COBIT ARE CONTROL OBJECTIVES, WHICH ARTICULATE THE DESIRED
OUTCOMES AND EXPECTATIONS FOR EACH IT PROCESS. THESE OBJECTIVES SERVE AS BENCHMARKS, HELPING
ORGANIZATIONS IMPLEMENT APPROPRIATE CONTROLS TO MANAGE RISKS.
MATURITY MODELS: COBIT INCORPORATES MATURITY MODELS THAT ENABLE ORGANIZATIONS TO ASSESS THE
MATURITY OF THEIR IT PROCESSES. THIS ASSESSMENT AIDS IN SETTING IMPROVEMENT GOALS, MONITORING
PROGRESS, AND OPTIMIZING OPERATIONS OVER TIME.
MANAGEMENT GUIDELINES: COBIT OFFERS PRACTICAL MANAGEMENT GUIDELINES THAT EQUIP ORGANIZATIONS
WITH ACTIONABLE STEPS TO ACHIEVE CONTROL OBJECTIVES AND ENHANCE IT GOVERNANCE PRACTICES.
 BENEFITS OF THE COBIT FRAMEWORK

STRATEGIC ALIGNMENT: COBIT BRIDGES THE GAP BETWEEN IT AND BUSINESS OBJECTIVES,
ENSURING THAT TECHNOLOGY INITIATIVES ARE IN HARMONY WITH OVERALL ORGANIZATIONAL
GOALS.
EFFECTIVE RISK MANAGEMENT: WITH A FOCUS ON RISK MANAGEMENT, COBIT EMPOWERS
ORGANIZATIONS TO IDENTIFY, ASSESS, AND MITIGATE IT-RELATED RISKS SYSTEMATICALLY.
REGULATORY COMPLIANCE: COBIT AIDS ORGANIZATIONS IN ESTABLISHING CONTROLS AND
PROCESSES THAT ALIGN WITH REGULATORY REQUIREMENTS, MINIMIZING THE RISK OF LEGAL AND
FINANCIAL REPERCUSSIONS.
VALUE CREATION: BY OPTIMIZING IT PROCESSES, COBIT ENHANCES THE DELIVERY OF VALUE FROM IT
INVESTMENTS, ENSURING THAT RESOURCES ARE UTILIZED EFFECTIVELY.
CONTINUOUS IMPROVEMENT: THE FRAMEWORK'S MATURITY MODELS FACILITATE ONGOING
ASSESSMENT AND IMPROVEMENT OF IT PROCESSES, FOSTERING A CULTURE OF CONTINUOUS
ENHANCEMENT.
 IMPACT ON MODERN BUSINESSES
IN TODAY'S WORLD, WHERE TECHNOLOGICAL ADVANCEMENTS SHAPE INDUSTRIES AND
ECONOMIES, THE COBIT FRAMEWORK IS MORE THAN JUST AN ACRONYM; IT'S A PARADIGM
SHIFT. BUSINESSES THAT ADOPT COBIT GAIN A COMPETITIVE ADVANTAGE BY HARNESSING IT AS
A STRATEGIC ENABLER. THEY NAVIGATE RISKS CONFIDENTLY, ENHANCE REGULATORY
COMPLIANCE, AND DELIVER VALUE TO STAKEHOLDERS CONSISTENTLY.
 BENEFITS OF COBIT
THE COBIT FRAMEWORK HELP ORGANIZATIONS OPTIMIZE THEIR IT MANAGEMENT AND
GOVERNANCE PROCESSES BY MEETING CONTRACTUAL AGREEMENTS AND COMPLYING WITH
THE LATEST REGULATORY AND LEGAL REQUIREMENTS. COBIT PROVIDES TOOLS THAT ESTABLISH
AND PRIORITIZE CLEAR AND ACTIONABLE IT GOALS. FOR EXAMPLE, COBIT’S MATURITY MODEL
CAN HELP USERS ASSESS THE REQUIRED LEVEL OF PERFORMANCE FOR AN IT ELEMENT TO FULFILL
AN ORGANIZATIONAL TASK.
ADDITIONALLY, COBIT PROVIDES ORGANIZATIONS WITH ACCESS TO QUALITY INFORMATION
THAT DRIVES OPTIMAL DECISIONS AND BUSINESS GOALS..
 COBIT FOR INFORMATION SECURITY
• IN TODAY'S INTERCONNECTED AND DATA-DRIVEN WORLD, INFORMATION SECURITY HAS
EVOLVED FROM A NICHE CONCERN TO A PARAMOUNT PRIORITY FOR ORGANIZATIONS
SPANNING ALL SIZES AND INDUSTRIES. THE RAPID PACE OF CYBER THREATS NECESSITATES THE
IMPLEMENTATION OF ROBUST FRAMEWORKS THAT GUIDE EFFECTIVE INFORMATION SECURITY
PRACTICES. AMONG THE NOTABLE FRAMEWORKS, CONTROL OBJECTIVES FOR INFORMATION
AND RELATED TECHNOLOGIES (COBIT) STANDS OUT, OFFERING A COMPREHENSIVE APPROACH
TO MANAGING AND GOVERNING INFORMATION SECURITY PROCESSES WITHIN
ORGANIZATIONS. THIS BLOG POST EMBARKS ON AN EXPLORATION OF THE KEY FACETS
OF COBIT FOR INFORMATION SECURITY AND DELVES INTO ITS SIGNIFICANCE IN ESTABLISHING
AND MAINTAINING A SECURE DIGITAL ENVIRONMENT.
 BENEFITS OF IMPLEMENTING COBIT FOR INFORMATION
SECURITY
ALIGNMENT WITH BUSINESS OBJECTIVES: THE ALIGNMENT OF INFORMATION SECURITY PRACTICES
WITH BUSINESS GOALS ENSURES THAT SECURITY MEASURES ARE NOT ONLY ROBUST BUT ALSO
RELEVANT AND CONTRIBUTE TO THE ORGANIZATION'S OVERALL SUCCESS.
EFFECTIVE RISK MANAGEMENT: COBIT 5'S EMPHASIS ON RISK MANAGEMENT ENABLES
ORGANIZATIONS TO PROACTIVELY IDENTIFY POTENTIAL THREATS, ASSESS THEIR POTENTIAL IMPACT,
AND IMPLEMENT CONTROLS TO MITIGATE RISKS EFFECTIVELY.
CLEAR ACCOUNTABILITY: BY DEFINING ROLES AND RESPONSIBILITIES ACROSS THE ORGANIZATION,
COBIT 5 REDUCES CONFUSION AND ENHANCES ACCOUNTABILITY AT EVERY LEVEL.
IMPROVED DECISION-MAKING: WITH A STRUCTURED APPROACH TO GOVERNANCE AND
MANAGEMENT, COBIT 5 PROVIDES DECISION-MAKERS WITH THE NECESSARY INSIGHTS TO MAKE
INFORMED CHOICES REGARDING INFORMATION SECURITY INITIATIVES.
REGULATORY COMPLIANCE: COBIT 5 ASSISTS ORGANIZATIONS IN MEETING REGULATORY
REQUIREMENTS BY OFFERING A STRUCTURED APPROACH TO INFORMATION SECURITY GOVERNANCE
THAT ALIGNS WITH INDUSTRY STANDARDS.
 IMPLEMENTING COBIT FOR INFORMATION SECURITY

1- ASSESSMENT: INITIATING THE IMPLEMENTATION OF COBIT 5 FOR INFORMATION SECURITY

INVOLVES ASSESSING THE ORGANIZATION'S CURRENT SECURITY POSTURE. THIS ASSESSMENT
HIGHLIGHTS STRENGTHS, IDENTIFIES WEAKNESSES, AND PINPOINTS AREAS THAT REQUIRE
IMPROVEMENT.
2 - GOAL ALIGNMENT: THE ALIGNMENT OF INFORMATION SECURITY GOALS WITH THE
ORGANIZATION'S BROADER BUSINESS OBJECTIVES ENSURES THAT SECURITY EFFORTS ARE NOT
ISOLATED BUT ARE CLOSELY TIED TO THE ORGANIZATION'S MISSION AND VISION.
3 - GOVERNANCE AND MANAGEMENT: ESTABLISHING ROBUST GOVERNANCE AND
MANAGEMENT PROCESSES FOR INFORMATION SECURITY ENTAILS DEFINING POLICIES,
ASSIGNING RESPONSIBILITIES, AND ESTABLISHING PERFORMANCE METRICS TO ENSURE THE
EFFECTIVE OPERATION OF SECURITY INITIATIVES.
 IMPLEMENTING COBIT FOR INFORMATION SECURITY
4 - RISK MANAGEMENT: IDENTIFYING POTENTIAL RISKS TO THE ORGANIZATION'S
INFORMATION ASSETS, ASSESSING THEIR POTENTIAL IMPACT AND LIKELIHOOD, AND
DEVELOPING STRATEGIES TO MITIGATE THESE RISKS FORM THE CORNERSTONE OF EFFECTIVE
RISK MANAGEMENT WITHIN COBIT
5 - CONTROLS IMPLEMENTATION: THE IMPLEMENTATION OF APPROPRIATE SECURITY CONTROLS,
GUIDED BY RECOGNIZED FRAMEWORKS AND BEST PRACTICES, IS ESSENTIAL. THESE CONTROLS
ENCOMPASS VARIOUS FACETS OF INFORMATION SECURITY, INCLUDING ACCESS CONTROL,
DATA PROTECTION, AND INCIDENT RESPONSE.
6 - CONTINUOUS MONITORING: REGULARLY MONITORING THE EFFECTIVENESS OF SECURITY
CONTROLS AND PROCESSES IS VITAL. CONTINUOUS ASSESSMENTS OF THE ORGANIZATION'S
SECURITY POSTURE FACILITATE TIMELY ADJUSTMENTS AND IMPROVEMENTS.
7 - ASSURANCE AND IMPROVEMENT: CONDUCTING PERIODIC ASSESSMENTS AND AUDITS
PROVIDES STAKEHOLDERS WITH THE ASSURANCE THEY REQUIRE. THE FINDINGS FROM THESE
ASSESSMENTS GUIDE CONTINUOUS IMPROVEMENT EFFORTS, ENHANCING THE
ORGANIZATION'S OVERALL SECURITY POSTURE.
 CONCLUSION
IN AN ERA WHERE DATA BREACHES AND CYBER ATTACKS CAN HAVE FAR-REACHING
CONSEQUENCES, ORGANIZATIONS MUST ADOPT A PROACTIVE STANCE TOWARD
INFORMATION SECURITY. COBIT 5 PRESENTS A ROBUST FRAMEWORK THAT ALIGNS
INFORMATION SECURITY WITH BUSINESS GOALS, FOSTERS EFFECTIVE GOVERNANCE, AND
FACILITATES COMPREHENSIVE RISK MANAGEMENT. THROUGH THE APPLICATION OF COBIT 5'S
PRINCIPLES AND DOMAINS, ORGANIZATIONS CAN ELEVATE THEIR INFORMATION SECURITY
POSTURE, REDUCE RISKS, AND ESTABLISH A SECURE DIGITAL ENVIRONMENT THAT INSTILLS
CONFIDENCE IN STAKEHOLDERS. REMEMBER, EFFECTIVE INFORMATION SECURITY TRANSCENDS
TECHNICAL CONSIDERATIONS; IT'S A STRATEGIC IMPERATIVE THAT DEMANDS A STRUCTURED
AND COMPREHENSIVE APPROACH LIKE THAT OFFERED BY COBIT 5. BY EMBRACING THIS
FRAMEWORK, ORGANIZATIONS CAN NAVIGATE THE COMPLEX LANDSCAPE OF MODERN
INFORMATION SECURITY WITH CONFIDENCE AND RESILIENCE.
 ‫چرا از استانداردهای امنیت استفاده میکنیم؟‬
‫‪ o‬استانداردهای سری ایزو ‪ 27000‬به عنوان یکی از انواع استانداردهای امنیت اطالعات برای کمک به شرکتها در مدیریت‬
‫خطرات حمله سایبری و تهدیدات امنیتی دادههای داخلی طراحی شده است‪ .‬استانداردهای امنیت اطالعات با رشد سازمان‪،‬‬
‫پیچیدهتر میشوند و راهحلهای فناوری برای آسیبپذیریهای بیشتر فورا آشکار نمیشوند و نیاز به زمان دارند‪.‬‬
‫‪ o‬مجرمان سایبری برای تمام صنایعی که از فناوریهای شبکه استفاده میکنند تهدیدی مداوم بهحساب میآیند و محافظت از‬
‫دادههای شرکت میتواند کاری فوقالعاده دشوار باشد‪ .‬عالوهبراین استانداردهای سری ایزو ‪ 27000‬در اجرای راهحلهای موثر و‬
‫مقرون به صرفه موثر است‪ .‬این استاندارد میتواند در محافظت از دادههای شخصی‪ ،‬دادههای شرکتها و خصوصیات معنوی‬
‫کمک کند‪ .‬از بین انواع استانداردهای امنیت اطالعات‪ ،‬ایزو ‪ 27001‬محبوبترین استاندارد بهشمار میرود زیرا تنها استانداردی‬
‫است که پس از ممیزی قابلیت ارائه یک گواهینامه برای شرکت دارد‪ .‬ایزو ‪ ،27001‬تنها استاندارد از بین انواع استانداردهای‬
‫امنیت است که میتواند در حمایت از کسبوکار سازمان موثر باشد‪ .‬استاندارد ایزو ‪ 27032‬نیز راهنمایی کلی در مورد بهترین‬
‫شیوههای اجرای اقدامات سایبری است‬
 ‫مزایای استفاده از استانداردهای سری‪ISO 27000‬‬
‫استانداردهای امنیت اطالعات این امکان را به سازمان میدهد تا از دادههای مهم در تجارت و اطالعات کارمندان و مشتریان‬
‫محافظت کند‪ .‬این حفاظت از طریق استانداردهای امنیت منجر به اعتماد بیشتر مشتریان و کارمندان به فرآیندهای سازمان‬
‫خواهد شد‪ .‬اطمینان موجب بهبود چشمگیر شهرت شما خواهد شد و از سازمانتان در برابر هرگونه ضربهای که منجر به از بین‬
‫رفتن اعتماد مخاطبانتان میشود‪ ،‬جلوگیری میکند‪ .‬نقض دادهها میتواند با جریمههای سنگین همراه باشد‪ ،‬بهخصوص اگر شما‬
‫استانداردهای امنیت اطالعات مانند مقررات حفاظت از داده عمومی را نقض کنید‪ .‬این جریمهها نه تنها به موقعیت مالی شما‪،‬‬
‫بلکه به شهرتتان هم لطمه میزند‪.‬‬
‫پیروی از استانداردهای سری ‪ ISO 27001‬و دریافت گواهینامه ‪ISO 27001‬به این معنی است که شما اعتمادبهنفس مشتری‬
‫را بهبود میبخشید و نشان خواهید داد که شرکت شما قادر به پیروی از قویترین و قابل اعتمادترشین رویههای امنیتی است‪ .‬با‬
‫کمک استانداردهای امنیت سری ‪ ISO 27000‬صرفنظر از صنعت انتخابشده‪ ،‬همواره قادر به حفاظت از حساسترین اطالعات‬
‫سازمان خود و ایجاد اعتماد با کارمندان و مشتریان خود خواهید بود‪.‬‬
 ‫خانواده استانداردهای مدیریت امنیت اطالعات شامل استانداردهای بین المللی ذیل‬
‫می شوند که با عنوان کلی فناوری اطالعات – تکنیک های امنیتی معرفی می شوند‬

‫سیستم های مدیریت امنیت اطالعات –مرور و لغت نامه‬

ISO/IEC 27001:2005, INFORMATION SECURITY MANAGEMENT SYSTEMS — REQUIREMENTS

‫سیستم های مدیریت امنیت اطالعات –نیازمندی ها‬

ISO/IEC 27002:2005, CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT

‫آئین نامه کاری مدیریت امنیت اطالعات‬

ISO/IEC 27003, INFORMATION SECURITY MANAGEMENT SYSTEM IMPLEMENTATION GUIDANCE

‫راهنمای پیاده سازی سیستم مدیریت امنیت اطالعات‬

ISO/IEC 27004, INFORMATION SECURITY MANAGEMENT — MEASUREMENT

‫سنجش‬- ‫مدیریت امنیت اطالعات‬

ISO/IEC 27005:2008, INFORMATION SECURITY RISK MANAGEMENT

‫مدیریت مخاطرات امنیت اطالعات‬

ISO/IEC 27006:2007, REQUIREMENTS FOR BODIES PROVIDING AUDIT AND CERTIFICATION OF INFORMATION SECURITY
MANAGEMENT SYSTEMS
 ‫‪ACCESS CONTROL‬‬ ‫کنترل دسترسی‬
‫کنترل دسترسی به سیستم های اطالعاتی و شبکه های ارتباطی برای حفظ محرمانگی و صحت داده ها و دسترس‬
‫پذیری مورد نیاز است و بنابراین باعث میشود که افراد غیر مجاز به داده های محرمانه ما دسترسی نداشته باشند ‪.‬‬
‫کنترل دسترسی در این جهت به طور کلی در صحت داده ها دو هدف زیر را دنبال میکند‪.‬‬
‫پیشگیری از دستکاری داده ها توسط کاربران غیر مجاز‬
‫پیشگیری از تغییر داده ها به صورت عمدی یا غیر عمدی توسط کاربران مجاز (با این مثال که در نظر بگیرید کارمندان‬
‫واحد امور مالی به عنوان کارکنان مجاز سازمان جهت رسیدگی به فاکتور های دریافتی از سایر واحدها و جمع دخل و‬
‫خرج سازمان به اطالعات عددی موجود در فاکتور ها دسترسی دارند ‪ .‬اما مجاز به دست بردن در این اسناد مالی و ایجاد‬
‫هر نوع تغییر در مقادیر عددی اعالم شده از طرف واحد های مربوطه نیستند و صرفا وظیفه جمع و تفریق اعداد را بر‬
‫عهده دارند‬
‫‪ ACCESS CONTROL‬سه موردی که شما باید برای برنامه ریزی و اجرای مکانیزم های کنترل‬
‫دسترسی باید در نظر بگیرید شامل‬

‫تهدیدات سیستم‬
‫آسیب پزیری سیستم ها‬
‫ریسک ها وخطرات‬
‫تهدید ‪ :‬یک رویداد و یا فعالیتی که منجر به آسیب به سیستم های اطالعاتی و شبکه میشود‬
‫آسیب پزیری ‪ :‬ضعف یا عدم وجود یک حفاظ مطمئن که باعث اسیب رساندن به سیستم های اطالعاتی و‬
‫شبکه میشود‬
‫خطر ‪ :‬پتانسیلی برای آسیب یا از دست دادن یک سیستم اطالعاتی یا شبکه‬
‫کنترل ‪ :‬اجرای سیاستهای کنترلی باعث کاهش ریسک و باعث کاهش بلقوه از دست دادن‬
‫اطالعات و نیز پیشگیری ‪ ,‬تشخیص‪ ,‬و اصالح روش های مورد استفاده برای حفظ داده ها‬
‫میشود‪ .‬پیاده سازی این اقدامات میتواند‬
‫‪( CONTROLS ADMINISTRATIVE‬کنترل های مدیریتی )‬
‫‪( LOGICAL OR TECHNICAL CONTROLS‬کنترل های منطقی یا تکنولوژیکی)‬
‫‪(PHYSICAL CONTROLS‬کنترل های فیزیکی ) را شامل شود ‪.‬‬
 ‫کنترل های مدیریتی‬
‫سیاستها و روشهای اموزش وآگاهی های امنیتی‬
‫چک کردن عادات کار‬
‫بررسی تاریخچه تعطیالت سازمان و افزایش امور نظارتی‬

‫کنترل فنی و منطقی‬

‫ایجاد محدودیت دسترسی به سیستم و حفاظت اطالعاتی‪،‬که برای نمونه میتوان به رمز نگاری ‪ ,‬کارتهای هوشمند‪,‬‬
‫لیستهای کنترل دسترسی و پروتکلهای انتقال اشاره نمود‪.‬‬
 ‫کنترل فیزیکی‬
‫کنترل های دسترسی یا ‪ AC‬شامل استفاده از نگهبانان‪ ،‬کنترل امنیتی ساختمان با استفاده از دوربین های‬
‫مداربسته‪ ،‬درب های ضد سرقت‪ ,‬امنیت اتاق سرور‪ ،‬محافظت از بستر کابل کشی‪ ,‬پشتیبان گیری از فایل ها‬
‫مراقبت از کامپیوتر های مستقر در سازمان و لپ تاب های مورد استفاده مدیران که به نوعی باعث خروج‬
‫اطالعات از سازمان میشود‪.‬و ارائه سیستم های کنترلی پاسخگو برای افرادی که به اطالعات حساس دسترسی‬
‫دارند این پاسخگویی از طریق مکانیسم هایی که نیاز به شناسایی و احراز هویت دارند انجام می شود این کنترل‬
‫ها باید مطابق با سیاست های امنیتی سازمان باشد مکانیسم هایی که به طور کامل و مطمئن در روند جاری‬
‫سازمان لحاظ شده باشند (به طور کلی چرخه ای از سیستم اطالعاتی است‪ ،‬که گروهی از فرایندها می باشد که‬
‫دسترسی به منابع به اشتراک گذارده شده در یک دامنه را سبب می شود‪).‬‬
 ‫‪AAA‬‬
‫کنترل دسترسی ‪:‬سازمان ها دسترسی به اطالعات سامانه ها را از طریق کنترل دسترسی و محدود سازی متناسب اعمال می کنند‪ .‬فرآیند کنترل دسترسی کاربران در‬
‫سه مرحله شناسایی موفق کاربران‪ ،‬احراز هویت آنها و در نهایت اعطا و لغو مجوزهای دسترسی صورت می گیرد‪.‬‬
‫ورود خودکار و سپس ممیزی اطالعات مرتبط با فعالیت های شبکه می تواند احتمال کشف رفتار خطرناک را افزایش دهد‪ .‬اختصاص یک شناسه کاربری یکتا به هر کاربر‬
‫باعث ایجاد مسئولیت پذیری و پاسخگویی به رفتار کاربران می شود‪ .‬همچنین استفاده از گواهی های کافی برای اطمینان از صحت یک کاربر‪ ،‬احتمال اعمال خطرناک را‬
‫کاهش می دهد مثال در حمله مهندسی اجتماعی به درخواست کلمه عبور مجدد )‪ (PASSWORD RESET‬داشتن دو عامل مثل سواالت خاص و ایمیل اختصاصی یا‬
‫شماره تلفن همراه برای شناسایی کاربر و ارسال کلمه عبور جدید الزامی است‪.‬‬
‫استفاده از کلمات عبور پیچیده و طوالنی و غیرقابل حدس به عنوان سیاست انتخاب کلمه عبور که می تواند دروازه ورود و بهره برداری کاربران از سامانه های سازمانی باشد‪،‬‬
‫برای ایجاد امنیت مناسب بسیار ضروری است‪ .‬چراکه حمالتی مانند ‪ BRUTE FORCE‬می تواند کلمات عبور ‪ ۶‬حرفی را در چند دقیقه بشکند‪ .‬استفاده از احراز هویت چند‬
‫عاملی نیز که حداقل از چند عامل مجزا مانند آنچه هست (بایومتریک)‪ ،‬آنچه دارد (توکن رمز شده و کارت هوشمند) و آنچه می داند(عبارت عبور) ترکیب شده باشد‪ ،‬در‬
‫مقابله با حمالت بسیار کارآمد است‪.‬‬
‫اصوال مجوزهای دسترسی در دو الیه قرار می گیرد‪ .‬الیه اول مجوز دسترسی به سامانه قابل اتصال به اطالعات و شبکه که شامل رایانه یا دسکتاپ مجازی یا ابزار موبایل است‬
‫و الیه دوم نیاز به مجوزهای دسترسی به برنامه کاربردی مورد نظر‪ ،‬بانک اطالعاتی یا منابع اطالعاتی در آن سامانه است‪ .‬استفاده از مکانیزم اعتبار سنجی‪ ،‬حفاظت مضاعفی‬
‫را برای کاهش مخاطرات در یافتن و استفاده از اطالعات توسط کاربری به ظاهر معتبر‪ ،‬بوجود می آورد‪ .‬برای این کار نیاز است از مکانیزم اعتبار سنجی‪ ،‬الگ گیری و ممیزی‬
‫قوی جهت دسترسی به اطالعات استفاده شود تا نفوذگر نتواند به راحتی خود را در قالب یک کاربر معتبر قرار داده و از منابع استفاده نماید‪ .‬در الگ گیری‪ ،‬داده های کافی‬
‫باید نگهداری شود تا به کمک این داده ها در ممیزی آنها بتوان دسترسی های غیرمجاز و تخطی از هرگونه سیاست های امنیتی کشف گردد‪.‬‬
 ‫مخاطرات سایبری‬

‫شناسایی نادرست و عدم توجه به مخاطرات امنیتی عالوه بر اینکه میتواند مشکالت جدی را برای شرکتها و‬
‫سازمانها در برداشته باشد‪ ،‬حتی ممکن است بقا و تداوم فعالیتهای کسب و کاری آنها را نیز با چالشهای‬
‫جدی مواجه سازد‪ .‬به همین منظور الزم است که تمامی سازمانها راهبردهایی را برای کاهش مخاطرات امنیتی‬
‫خود برگزینند ‪ .‬شناسایی‪ ،‬ارزیابی و مدیریت مخاطرات امنیت اطالعات‪ ،‬یکی از گامهای اساسی در کاهش‬
‫تهدیدات سایبری به سازمانها و همچنین جلوگیری از پیامدهای ناگوار حوادث امنیتی است که سازمانها را در‬
‫رویارویی با مخاطرات سایبری‪ ،‬با آمادگی بیشتری مواجه میکند‪ .‬فرایند ارزیابی مخاطره که اولین فاز از مجموعه‬
‫فعالیتهای مدیریت مخاطره است کمک شایان توجهی را به سازمانها برای تصمیمگیری صحیح جهت انتخاب‬
‫راه حلهای امنیتی میکند‪.‬‬
SMART DEVICES NEED SMART USERS
‫مدیریت مخاطره‪ ،‬یک فرایند جامع است که به منظور تعیین‪ ،‬شناسایی‪ ،‬کنترل و حداقل ساختن تأثیرات و‬

‫پیامدهای رویدادهای احتمالی مورد استفاده قرار میگیرد‪ .‬این فرایند‪ ،‬به مدیران امکان میدهد میان هزینههای‬

‫عملیاتی و هزینههای مالی اقدامهای حفاظتی‪ ،‬تعادل و توازن مناسبی برقرار کرده و از طریق حفاظت از‬

‫فرایندهای کسب و کار که پشتیبان اهداف سازمان هستند‪ ،‬به منافع مربوطه دست یابند‪ .‬فرایند مدیریت‬

‫مخاطرات میتواند تعداد و شدت حوادث امنیتی به وقوع پیوسته در سازمان را به شدت کاهش دهد‪.‬‬
 ‫مدیریت مخاطره‪ ،‬دارای ‪ 5‬مرحله است‬
‫‪ .1‬برنامهریزی‪ :‬در این مرحله‪ ،‬نحوه مدیریت خطرهای احتمالی در سازمان مشخص شده و با توسعه طرح مدیریت مخاطره‪ ،‬تکمیل میشود‪ .‬این طرح‪ ،‬تیم مدیریت مخاطره‬
‫را مشخص کرده‪ ،‬نقشها و مسئولیتهای افراد را تعریف و معیار ارزیابی مخاطرات شناسایی شده را مستند میکند‪.‬‬
‫‪ .2‬شناسایی‪ :‬در این مرحله‪ ،‬افراد تیم دور یکدیگر جمع شده‪ ،‬مخاطرههای احتمالی را شناسایی کرده و آنها را در لیست مخاطرات سازمان‪ ،‬ثبت میکنند‪ .‬ترتیب دادن‬
‫جلسات توفان فکری گروهی‪ ،‬روش خوبی برای شناسایی مخاطرات است‪.‬‬
‫‪ .3‬ارزیابی‪ :‬در این مرحله‪ ،‬ارزیابی مخاطرههای شناسایی شده با استفاده از معیار تعریف شده در طرح مدیریت مخاطره انجام میشود‪ .‬مخاطرات بر اساس احتمال وقوع و‬
‫پیامدهای احتمالیشان مورد ارزیابی قرار میگیرند‪.‬‬
‫‪ .4‬اداره کردن‪ :‬مرحله چهارم در فرایند مدیریت مخاطره‪ ،‬اداره کردن آن است‪ .‬چهار روشی که برای اداره کردن مخاطرات وجود دارد‪ ،‬عبارتند از‪:‬‬
‫‪ .4-1‬کاهش‪ :‬که به معنای ایجاد طرحهایی عملیاتی برای کاهش احتمال مخاطره و پیامدهای آن است‪.‬‬
‫‪ .4-2‬اجتناب‪ :‬که به معنای ایجاد تغییر در چیزی برای اجتناب کامل از مخاطره است‪.‬‬
‫‪ .4-3‬انتقال‪ :‬که به معنای واگذاری مخاطره به گروهی دیگر است (برای مثال بیمه گذاران)‪.‬‬
‫‪ .4-4‬پذیرش‪ :‬این روش بدون ایجاد طرحهای کاهشی‪ ،‬احتمال وجود مخاطره را میپذیرد‪ .‬این امر ممکن است به این دلیل باشد که هزینه طرحهای کاهشی‪ ،‬بیشتر از آن‬
‫است که هزینههای ناشی از مخاطره احتمالی را پوشش دهد‪.‬‬
‫‪ .5‬نظارت و گزارشدهی‪ :‬مرحله پنجم شامل نظارت و گزارشدهی است که توسط آن میتوان از کارکرد مؤثر برنامههای مربوط به اداره کردن اطمینان حاصل کرد‪ .‬این‬
‫گزارش باید حاوی فهرستی از مخاطرات شناسایی شده‪ ،‬طرحهای اداره کردن جهت کاهش مخاطره و ماتریسی از مخاطره برای طبقهبندی آن به سه دسته باال‪ ،‬متوسط و‬
‫پایین باشد‪.‬‬
HOW TO PROTECT YOUR NETWORK
FROM INSIDER THREATS
1. DISABLE FORMER EMPLOYEES' ACCOUNTS
2. RESTRICT CERTAIN ACCESS TO SELECT EMPLOYEES
3. LIMIT RESOURCES TO INTERNAL USERS
4. BE UP-TO-DATE ON INTERNAL SECURITY NEWS
5. EDUCATE YOUR EMPLOYEES
6. RESTRICT DATA TRANSFER AND COPYING
7. CONFIGURE INTERNAL SESSION TIMEOUTS
8. DIVIDE YOUR NETWORK INTO SEGMENTS
9. SCREEN NEW WORKERS
10. OUTSOURCE INSIDER THREAT SECURITY MEASURES TO EXPERTS
PROTECT COMPUTER (LOCAL
ACCESS
 FORMAT INFORMATION
USE RECOVERY SOFTWARE
( WIPER , EARASER ,….)
SHIFT+ DELET
HIGHT LEVEL FORMAT
LOW LEVEL FORMAT
BROKEN STORAGE , HARD , EXTERNAL MEMORY
 ‫?‪WHAT IS CYBERSTALKING‬‬

‫سایبراستاکینگ نوعی جرایم سایبری است که از اینترنت و فناوری‬

‫برای آزار و اذیت یا تعقیب یک فرد استفاده می کند‪ .‬میتوان آن را‬
‫گسترش زورگویی سایبری و تعقیب حضوری در نظر گرفت‪ .‬با این‬
‫حال‪ ،‬به شکل پیامهای متنی‪ ،‬ایمیل‪ ،‬پستهای رسانههای اجتماعی و‬
‫سایر رسانهها است و اغلب مداوم‪ ،‬عمدی و روشمند است‪.‬‬
 ‫مفاهیم حقوقی و قوانین و مقررات امنیت فن آوری اطالعات‬
‫قوانین و مقررات در ‪ 4‬بخش بعنوان سیاست های کلی ‪ ،‬اسناد باال دستی ‪،‬آیین نامه ها و قوانین مورد دقت قرار می گیرد‪ .‬سیاست های کلی نظام در‬
‫زمینه افتا ‪،‬در بخش پدافند غیر عامل ‪ ،‬سند راهبری امنیت فضای تولید و تبادل اطالعات ‪ ،‬سند پدافند سایبری ‪،‬سند الزامات امنیت اطالعات بازار‬
‫سرمایه و سند راهبردی نظام جامع فناوری اطالعات‬
‫قانون جرایم رایانه ای مصوب سال ‪1388‬‬

‫دسترسی غیر مجاز‬

‫جاسوسی رایانه ای‬
‫شنود غیر مجاز‬

‫جعل رایا نه ای‬

‫سرقت و کاله برداری مرتبط با رایانه‬
‫جرایم علیه عفت و اخالق عمومی‬

‫هتک حیثیت و نشر اکاذیب‬

 HOW CAN ORGANIZATION IMPROVE CYBERSECURITY?

THERE ARE SEVERAL PROACTIVE STEPS THAT CAN BE TAKEN TO IMPROVE CYBER
SECURITY FOR ORGANIZATION . TYPES OF SECURITY IN ORG OFTEN INCLUDE:

INVESTING IN STRONG SECURITY SOLUTIONS

TAKING A ‘ZERO TRUST’ APPROACH
MAKING SURE THIRD PARTY PARTNERS ARE NOT A SECURITY RISK
TRAINING EMPLOYEES IN CYBERSECURITY AWARENESS
HAVING STRONG MOBILE SECURITY SYSTEMS
HAVING FAST RESPONSE TIMES IN THE EVENT OF A BREACH.
 ‫‪ZERO TRUST NETWORK‬‬

‫یک مدل امنیتی و کنترل شبکه است که در سازمانهای فناوری محور استفاده می شود ‪،‬در‬
‫این مدل امنیتی به صورت پیش فرض به هیچ ماشین ‪،‬سرویس و یا شخصی اعتماد نمیشود‬
‫و در تمام مراحل و از هر جایی ( داخل شبکه ‪ ، DMZ ،‬بیرون شبکه سازمانی ) کاربران و‬
‫دستگاهها باید احراز هویت و تایید شوند و دسترسی آنها به صورت حداقل سطح دسترسی‬
‫به منبع خاص مورد نیاز تعریف میشود‪.‬‬
‫با احراز هویت مداوم و محدود کردن سطوح دسترسی به فقط منابع کامال ضروری فرصت‬
‫های بسیار کمتر و محدود تری به هکرها و بد افزارها برای دستیابی به اطالعات حیاتی داده‬
‫میشود‪.‬‬
‫شبکه ای که با این مدل طراحی اجرا و مدیریت میشود اصطالحا شبکه بدون اعتماد ‪،‬شبکه با‬
‫اعتماد صفر گفته میشود‪.‬‬
 ‫پژوهشگاه نیرو – مرکز آموزش های الکترونیکی‬

‫سپاس از توجه شما‬