مقاله فرایند امنیتی اطلاعات مربوطه  به صورت فایل ورد  word و قابل ویرایش می باشد و دارای ۴۳  صفحه است . بلافاصله بعد از پرداخت و خرید لینک دانلود مقاله فرایند امنیتی اطلاعات نمایش داده می شود، علاوه بر آن لینک مقاله مربوطه به ایمیل شما نیز ارسال می گردد

 فهرست مطالب

روش شناسی معیار خطر   ۳
درس ۷ فرآیند امنیتی اطلاعات   ۴
ارزیابی آسیب پذیری در سطح سیستم   ۶
ارزیابی خطر در سطح شبکه   ۶
ارزیابی خطر در سطح سازمان   ۷
حسابرسی   ۷
تست نفوذ   ۷
ارزیابی   ۸
شبکه رایانه ای   ۱۰
امنیت فیزیکی   ۱۲
سیسات‌ها و روش‌ها   ۱۴
احتیاط‌ها(هشدارها)   ۱۶
آگاهی   ۱۸
مردم   ۱۹
میزان کار   ۱۹
رویکرد (نگرش)   ۲۰
وفاداری   ۲۱
تجارت   ۲۱
نتایج ارزیابی   ۲۲
تدبیر   ۲۳
انتخاب ترتیب گسترش سیاست‌ها   ۲۴
به روز کردن تدابیر موجود   ۲۶
به کارگیری   ۲۷
سیستم‌های گزارش دهنده امنیتی   ۲۷
استفاده از مونیتورینگ   ۲۷
اسکن آسیب پذیری سیستم   ۲۸
رعایت سیاست   ۲۸
سیستم‌های تائید   ۲۹
ایمنی اینترنت   ۳۰
سیستم‌های تشخیص مزاحمت   ۳۱
رمز گذاری   ۳۲
الگوریتم   ۳۲
مدیریت کلیدی   ۳۳
ایمنی فیزیکی   ۳۳
کارکنان   ۳۴
آموزش آگاهی دهنده (هشدار آموزشی)   ۳۵
کارکنان   ۳۵
مسئولان   ۳۶
توسعه دهندگان   ۳۶
کارکنان ایمنی   ۳۷
حسابرسی   ۳۸
حسابرسی عمل به سیاست   ۳۸
ارزیابی‌های دوره ای و جدیدپروژه   ۳۹
آزمایشات نفوذ   ۴۰

روش شناسی معیار خطر

ظاهرا در زمان سنجش خطر میزان پرسش‌ها بسیار بیش از پاسخ‌هاست. اگر بتوان این خطرها را بر حسب ارزش مالی تعیین کرد این فرآیند بسیار ساده تر خواهد بود. اما واقعیت چیز دیگری و اینکار عملا ممکن نیست. بنابراین باید از اطلاعات موجود در جهت سنجش خطر بهره جست. برای هر خطر خلاصه ای از بهترین ، بدترین و محکمترین وضعیت تهیه کنید. سپس برای هر معیار خطر (پول،زمان،منابع،شهرت و زیان تجاری) میزان آسیب هر وضعیت را مشخص کنید. شرح کار خود را بر اساس این معیارها تنظیم کنید.

بهترین وضعیت:‌ سازمان بلافاصله متوجه نفوذ می‌شود. مشکل سریعا برطرف می‌شود و اطلاعات در بیرون سازمان درز  می‌کند. کل خسارت ناچیز است.

بدترین وضعیت:‌ یکی از مشتریان متوجه نفوذ می‌شود و این قضیه را به اطلاع سازمان می‌رساند. مشکل بلافاصله برطرف نمی‌شود. اطلاعات مربوط به این نفوذ در اختیار رسانه‌ها قرار گرفته و در مطبوعات چاپ می‌شود. هزینه کل خسارت بالاست.

محتمل ترین وضعیت:‌ نفوذ بعد از مدتی تشخیص داده می‌شود. برخی اطلاعات مربوط به این حادثه به مشتریان درز می‌کند نه کل آن لذا سازمان قادر به کنترل بخش اعظم اطلاعات است. میزان کل خسارت متوسط است.

ویژگی‌های محتمل ترین وضعیت را می‌توان بر اساس شرایط/  امنیتی  حقیقتی حاکم بر سازمان تعیین نمود. در برخی موارد محتمل ترین وضعیت بدترین وضعیت است.

اکنون برای هر خطر معین نتایج احتمالی هر معیار خطر را مشخص نمائید. پرسش‌های زیر را بپرسید:

– هزینه یک نفوذ موفق چقدر است؟ زمان گفتگو و ردیابی کارکنان، زمان مشاوره و هزینه تجهیزات جدید

– اصلاح یک نفوذ موفق چقدر زمان می‌برد؟ آیا یک نفوذ موفق بر محصول جدید یا برنامه‌های تولید موجود تاثیر می‌گذارد؟

– این حادثه چه تاثیری نام و شهرت سازمان دارد؟

– آیا یک نفوذ موفق باعث شکست تجاری می‌شود؟ اگر بله، چه مقدار و به چه صورت؟

زمانی که به هر سوال پاسخ میدهید جدولی بکشید که نتایج احتمالی هر خطر را نشان دهد. سپس می‌توانید از این اطلاعات برای گسترش روش‌های مناسب مدیریت خطر استفاده کنید.

درس ۷ فرآیند امنیتی اطلاعات

ایمنی اطلاعات یک فرآیند پویشگرا در مدیریت خطر است. بر خلاف یک الگوی واکنشی که در آن سازمان قبل از اقدام برای محافظت از منابع اطلاعاتی حادثه ای را تجربه می‌کند، مدل پویشگرا قبل از بروز تخلف اقدام می‌کند. در مدل واکنش میزان کل هزینه مربوط به امور امنیتی نامشخص است.

کل هزینه ایمنی= هزینه حادثه+ هزینه چاره جوئی

متاسفانه هزینه حادثه تا زمان وقوع آن نامشخص است. از آنجائیکه سازمان قبل از بروز حادثه هیچ اقدا می‌نکرده است ن می‌توان هزینه بروز احتمالی حادثه را تخمین زد. لذا مادامیکه حادثه ای بروز نکرده میزان ریسک سازمان نامشخص است.

خوشبختانه، سازمان‌ها می‌توانند هزینه امنیت اطلاعات را کاهش دهند. برنامه ریزی مناسب ومدیریت خطر هزینه بروز یک حادثه را اگر از بین نبرد به میزان قابل ملاحظه ای کاهش می‌دهد. چنانچه سازمان بیش از بروز حادثه اقدامات لازم را انجام داده و از بروز حادثه ممانعت به عمل آورده باشد هزینه آن چنین برآورد می‌شود.

هزینه امنیت اطلاعات= هزینه چاره جوئی

توجه داشته باشید که:

هزینه حادثه + هزینه چاره جوئی << هزینه چاره جوئی است.

انجام اقدام مناسب پیش از بروز یک روش پویشگر در امنیت اطلاعات است. در این روش سازمان نقاط ضعف خود را مشخص می‌کند و میزان خطری را که سازمان در زمان بروز حادثه با آن مواجه خواهد شد را مشخص  می‌کند.اکنون سازمان  می‌تواند راه حل‌های مقرون به صرفه را برگزیند. این نخستین قدم در فرآیند امنیت اطلاعات است.

فرآیند امنیت اطلاعات (رجوع کنید به شکل ۱-۷) یک فرایند متفاوت است که از ۵ مرحله مهم تشکیل یافته است:

۱- ارزیابی وتشخیص       ۲- سیاست و تدبیر    ۳- اجرا و به کار       ۴- آموزش   ۵- حسابرسی

هرکدام از این مراحل به تنهائی برای سازمان ارزش و اعتبار به همراه دارند هر چند زمانی که همه با هم به خدمت گرفته شوند بنیانی را به وجود  می‌آورندکه سازمان  می‌تواند بر اساس آن خطر بروز حوادث امنیت اطلاعات را به نحوی کارآمد کنترل و مدیریت نماید.

نوع ارزیابی سازمان تغییری در این اهداف ایجاد ن می‌کند. البته میزان نیل به هدف نیز به محدوده کار بستگی دارد. بطور کلی ۵ نوع ارزیابی وجوددارد:

ارزیابی آسیب پذیری در سطح سیستم

سیستمهای رایانه ای از نظر آسیب پذیری‌های مشخص و اجرای سیاست اولیه مورد بررسی قرار  می‌گیرند.

ارزیابی خطر در سطح شبکه

کل شبکه رایانه ای و شالوده اطلاعات سازمان از نظر مناطق خطر مورد ارزیابی قرار  می‌گیرد.

ارزیابی خطر در سطح سازمان

کل سازمان مورد تجزیه و تحلیل قرار  می‌گیرد تا خطراتی را که مستقیما دارائی‌های سازمان را تهدید  می‌کنند مشخص کند. کلیه انواع اطلاعات از جمله اطلاعات الکترونیکی و فیزیکی بررسی  می‌شوند.

حسابرسی

سیاستهای خاص بررسی شده و تابعیت سازمان از آن‌ها مورد بازبینی قرار  می‌گیرد.

تست نفوذ

در این بحث فرض، بر این است که حسابرسی و تست نفوذ در مرحله حسابرسی پوشش داده  می‌شوند. هر دو این ارزیابی‌ها بیانگر نوعی شناخت قبلی از خطر و به انجام فعالیت‌های امنیتی و مدیریت خطر است. هیچکدام از این ارزیابی‌ها زمانی که سازمان تلاش  می‌کند تا وضعیت ایمنی موجود درون سازمان را شناسائی کند مناسب نیست.

ارزیابی شما باید بعد از جمع آوری اطلاعات از سه منبع اصلی صورت بگیرد.

– مصاحبه با کارکنان

– بازبینی مدارک و اسناد

– بررسی فیزیکی

مصاحبه باید با افراد مناسبی صورت بگیرد که اطلاعاتی در مورد سیستمهای ایمنی موجود و نحوه عملکرد شرکت در اختیارتان بگذارند. ترکیب مناسب موقعیت کارکنان و مدیریت بسیار حائز اهمیت است. مصاحبه‌ها نباید خصمانه باشند. مصاحبه کننده باید سعی کند با توضیح هدف ارزیابی و اینکه فرد مصاحبه شوند چگونه  می‌تواند در حفظ اطلاعات سازمان کمک کند به وی آرامش دهد. همچنین باید به مصاحبه شونده اطمینان داد که در بیان اطلاعات نا می‌از وی به میان نخواهد آمد.

همچنین باید کلیه سیاست‌های حفظ ایمنی موجود و نیز مدارک مهم و اصلی وضع موجود مورد بازبینی قراربگیرند. این بررسی نباید به مدارکی کامل شده از محدود شود. اسناد پیش نویش نیز باید بررسی شوند.

آخرین اطلاعاتی که باید جمع آوری شود مربوط به بررسی فیزیکی تسهیلات سازمان است. در صورت امکان کلیه وسایل و اتاق‌ها را بررسی کنید.

ارزیابی

فرآیند ارزیابی اطلاعات با ارزیابی آغاز  می‌شود. ارزیابی به پرسش‌های بنیادین “ماکه هستیم؟” و “کجا  می‌رویم؟” پاسخ  می‌دهد.  ارزیابی برای تعیین ارزش مجموعه اطلاعات یک سازمان، میزان تهدیدها و آسیب‌های اطلاعاتی و اهمیت خطرپذیری سازمان مورد استفاده قرار  می‌گیرد. واضح است که این مرحله حائز اهمیت است زیرا بدون آگاهی از وضعیت موجود خطری که ذخیره اطلاعاتی یک سازمان را تهدید  می‌کند به کارگیری یک برنامه امنیتی مناسب برای حفظ این گنجینه اطلاعاتی غیرممکن است.

این امر با روش مدیریت خطر که در ذیل آمده میسر  می‌شود. پس از تعیین نوع و میزان خطر  می‌توانید راهکارهای مقرون به صرفه ای را برای کاهش یا از بین بردن خطر برگزینید.

اهداف ارزیابی ایمنی اطلاعات عبارتند از:

– تعیین ارزش ذخیره اطلاعات

– تعیین آنچه که حریم، کلیت، موجودیت و / یا قابل قبول بودن اطلاعات را تهدید  می‌کند.

– تعیین آسیب‌های موجود حاصل از فعالیت‌های فعلی سازمان

– تعیین خطراتی که به خاطر وجود اطلاعات سازمان را تهدید  می‌کنند.

– توصیه تغییراتی که به خاطر وجود اطلاعات سازمان را تهدید  می‌کنند.

– توصیه تغییراتی جهت کاهش خطر تا حد قابل قبول

– ارائه شالوده ای که بر اساس آن بتوان طرح ایمنی مناسبی به وجود آورد.

هنگام ارزیابی یک سازمان،موارد ذیل را بررسی کنید:

–        شبکه سازمان

–        اقدامات امنیتی فیزیکی در سازمان

–        سیاست‌ها و روش‌های فعلی سازمان

–        اقدامات احتیاطی که سازمان در نظر گرفته است.

–        میزان آگاهی کارکنان از مسائل امنیتی

–        کارکنان سازمان

–        میزان کار کارکنان

–        برخورد و نگرش کارکنان

–        وفاداری کارکنان به سیاست‌ها و روش‌های موجود

شبکه رایانه ای

تمام مقالات و پایان نامه و پروژه ها به صورت فایل دنلودی می باشند و شما به محض پرداخت آنلاین مبلغ همان لحظه قادر به دریافت فایل خواهید بود. این عملیات کاملاً خودکار بوده و توسط سیستم انجام می پذیرد.

 جهت پرداخت مبلغ شما به درگاه پرداخت یکی از بانک ها منتقل خواهید شد، برای پرداخت آنلاین از درگاه بانک این بانک ها، حتماً نیاز نیست که شما شماره کارت همان بانک را داشته باشید و بلکه شما میتوانید از طریق همه کارت های عضو شبکه بانکی، مبلغ  را پرداخت نمایید.