بررسی و پیاده‏سازی مدیریت ریسک از استاندارد ISMS

اختصاصی از فی ژوو بررسی و پیاده‏سازی مدیریت ریسک از استاندارد ISMS دانلود با لینک مستقیم و پر سرعت .

در این پروژه به بررسی چگونگی پیاده‏سازی فرآیند مدیریت ریسک بر اساس استاندارد ISO/IEC 27005:2008 می‏پردازیم. این استاندارد بین المللی خط‏مشی‏ها و دستورالعمل‏هایی را برای مدیریت ریسک امنیت اطلاعات[1] در یک سازمان با پشتیبانی از نیازمندی‏های ISMS مطابق با استاندارد ISO/IEC 27001 فراهم می‏کند.

در انجام فرآیند مدیریت ریسک اولین مرحله تهیه لیستی از دارایی های مهم سازمان به همراه میزان اهمیت آنها می‏باشد، پس از آن تعیین سطح معیارهای محرمانگی، دسترس پذیری، یکپارچگی برای هر دارایی بنا بر نوع دارایی و شرایط سازمان صورت می‏گیرد، آسیب‏پذیری‏ها و تهدیدات مرتبط با هر دارایی شناسایی شده و ارزش‏گذاری می‏شوند، وپس از ارزیابی احتمال وقوع هر تهدید، سرانجام ریسک هر دارایی به دست می‏آید.

مرحله بعدی در انجام فرآیند مدیریت ریسک " کاهش ریسک [2]" می‏باشد در این مرحله براساس نوع دارایی و شرایط حاکم بر سازمان، کنترل‏هایی به منظور کاهش ریسک پیاده‏ سازی می‏شوند.

انجام کلیه مراحل فرآیند مدیریت ریسک و تحلیل و ارزیابی مخاطرات، توسط نرم افزار تحلیل و ارزیابی ریسک Callio Secura انجام می‏گیرد.

طبق نتایج به دست آمده از این پروژه اگر در مرحله بدست آوردن ریسک برای هر دارایی، آسیب‏ها‏یی که دارایی را مورد تهدید قرار می‏دهند دقیق و کارشناسانه شناسایی شوند و تعیین سطوح برای معیارهای امنیتی محرمانگی، دسترس‏پذیری و یکپارچگی و همچنین تخصیص مقادیر برای آسیب‏پذیری‏ها و تهدیدات دقیق انجام ‏گیرد در نتیجه ریسک هر دارایی با دقت بیشتری به دست می‏آید.

از طرف دیگر در مرحله کاهش ریسک، اگر کنترل‏هایی که در اثر اعمال آن‏ها تهدیدات بیشتری کاهش می‏یابند در اولویت پیاده‏سازی قرار بگیرند، کاهش ریسک برای هر دارایی، چشم‏گیرتر خواهد بود و فرایند مدیریت ریسک با کیفیت بالاتری انجام می‏گیرد.

مقدمه: 1

فصل اول:آشنایی با ISMS. 2

1-1 ISMS چیست؟ 3

1-2 تعاریف و اختصارات.. 3

1-3 امنیت اطلاعات.. 5

1-4 مزایای سیستم مدیریت امنیت اطلاعات.. 5

1-5 اهداف امنیتی سیستم مدیریت امنیت اطلاعات.. 6

1-5-1 تدوین خط‏مشی امنیت سازمان. 6

1-5-2 سازمان امنیت اطلاعات.. 7

1-5-3 مدیریت دارایی. 7

1-5-4 امنیت پرسنل. 7

1-5-5 امنیت فیزیکی و محیطی. 7

1-5-6 مدیریت عملیات و ارتباطات.. 7

1-5-7 کنترل دسترسی. 7

1-5-8 توسعه و نگهداری سیستم های اطلاعاتی. 7

1-5-9 مدیریت حوادث امنیت اطلاعات.. 8

1-5-10 مدیریت تداوم کسب و کار سازمان. 8

1-5-11 انطباق. 8

1-6 معرفی فازهای طراحی، اجرا، بررسی، اقدام و بخش آموزش.. 18

1-6-1 فاز طراحی سیستم مدیریت امنیت اطلاعات.. 18

1-6-2 فاز اجرا سیستم مدیریت امنیت اطلاعات.. 20

1-6- 3 بخش آموزش.. 20

1-6-4 فاز بررسی. 21

1-6-5 فاز اقدام. 21

1-7 مستندات و سوابق سیستم مدیریت امنیت اطلاعات.. 21

1-7-1 مستندات سیستم مدیریت امنیت اطلاعات.. 21

1-7-2 سوابق سیستم مدیریت امنیت اطلاعات.. 22

1-7-3 فعالیت‏ها و فرایند‏های سیستم مدیریت امنیت اطلاعات.. 23

فصل دوم: معرفی ابزار و محیط.. 27

فصل سوم: معرفی پروژه 30

3-1 معرفی استاندارد بین المللی ISO/IEC 27005:2008: 31

3-2 مدیریت ریسک توسط نرم افزار Callio: 31

3- 3 فرمول محاسبه ریسک: 39

3-4 کاهش ریسک Risk Mitigation : 40

3-5 مراحل انجام "کاهش ریسک" توسط نرم افزار Callio: 41

فصل چهارم: بررسی یک نمونه کاربردی.. 50

فصل پنجم: نتیجه گیری، پیشنهادات و راهکارهایی برای آینده 66

فهرست اشکال و جداول:

شکل1-1 : اهداف کنترلی ISMS 8

جدول 1-1: شرح وظایف و مسئولیت‏های تیم‏ها 10

شکل1-2: مراحل فاز اجرای ISMS  20

شکل1-3: فرایندهای موجود در فازهای مختلف 24

جدول 1-2:روش‏های اجرایی و آیین‏نامه‏ها 25

شکل (2-1): صفحه نخست نرم افزار Callio. 28

شکل (2-2): انتخاب سیستم مدیریت امنیت 29

شکل (3-1): محیط اصلی نرم افزار 32

شکل (3-2): بخش‏های اصلی Risk Management 33

شکل (3-3):ورود دارایی و انتخاب طبقه‏بندی. 34

شکل(3-4):کلیک روی Add برای ورود دارایی. 34

شکل (3-5): وارد کردن مشخصات دارایی. 35

شکل (3-6): تعریف معیار برای هر دارایی. 35

شکل (3-7): تعییین سطح پارامترهای امنیتی. 36

شکل(3-8):شناسایی آسیب‏پذیری‏های هردارایی. 37

شکل (3-9): شناسایی تهدیدات هر دارایی. 37

شکل (3-10): ارزیابی احتمال وقوع تهدید 38

شکل(3-11):ریسک محاسبه شده برای هر دارایی. 38

شکل(3-12):مقدارکل ریسک برای هر Category. 39

شکل(3-13):کاهش ریسک با Risk Mitigation. 41

‏ شکل(3-14):اتخاذیک تصمیم جدیدحاوی کنترل. 42

شکل (3-15): ایجاد یک تصمیم جدید با Add. 42

شکل(3-16):انتخاب نام و توصیف برای تصمیم 43

شکل(3-17): برای نمایش لیست استانداردها 44

شکل (3-18): انتخاب استاندارد مورد نظر 44

شکل(3-19):انتخاب کنترل برای پیاده‏سازی. 45

شکل(3-20):انعکاس تاثیر کنترل انتخاب شده 46

شکل (3-21): کاهش مقادیر برای آسیب‏پذیری‏ 47

شکل(3-22): کاهش مقادیر برای تهدیدات.. 48

شکل(3-23):کاهش ریسک براثر اعمال کنترل‏ها 49

شکل(3-24): ریسک قبل و بعد از اعمال کنترل. 49

شکل (4-1): لیست دارایی‏های مورد بررسی   51

جدول(4-1):پارامترهای امنیتی هر دارایی. 51

جدول(4-2):مرتبط بانرم‏افزارجامع مشترکین 52

جدول(4-3):مرتبط با Visual Studio 2005. 55

جدول(4-4):مرتبط با Data Recovery 57

جدول (4-5): مربوط به نرم افزار Edit Plus 59

جدول (4-6): مربوط به Sql Server     60

جدول (4-7): مربوط به کلیه فرم‏ها 64

جدول(4-8):ریسک محاسبه شده برای هر دارایی. 65