فرهمند آریاشکوه
فرهمند آریاشکوه

کارشناس مهندسی فناوری اطلاعات

کارشناس سرممیزی و ممیزی سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO 27001

برنامه نویس و توسعه دهنده نرم افزار

تحلیل گر سیستم های مدیریت مراکز پزشکی و امنیت اطلاعات

 

  • تاریخ عضویت: 1396/07/29
  • آخرین زمان حضور : ‫۹ ماه قبل، چهار شنبه ۲۰ دی ۱۳۹۶، ساعت ۱۸:۱۹
  • بازدید از پروفایل : 18

گزارش خطا

علت گزارش برای را بنویسید


حفظ حریم خصوصی و امنیت اینترنت اشیاء

گزارش

اینترنت اشیا اغلب به شبکه بزرگی از دستگاه‌های مجهز به سنسور گفته می‌شود که به منظور جمع‌آوری داده از محیط اطراف که شامل اطلاعات مرتبط با افراد میباشد طراحی شده‌ است.

ابتدا اینترنت اشیاء چیست؟ Internet of Things به معنی اینترنت چیزها، اینترنت اشیاء که گاهی چیزنت هم گفته میشود.

به‌ طور کلی به بسیاری از چیزها شامل اشیاء و وسایل محیط پیرامون‌ مان که به شبکه اینترنت متصل شده و بتوان توسط اپلیکیشن‌ های (نرم افزار های) موجود در تلفن های هوشمند و تبلت، کنترل و مدیریت شوند. اینترنت اشیاء به زبان ساده، ارتباط سنسور ها و دستگاه‌ ها با شبکه‌ ای است که از طریق آن می‌توانند با یکدیگر و با کاربرانشان ارتباط داشته باشند. می‌تواند به سادگی ارتباط یک گوشی هوشمند با تلویزیون باشد یا به پیچیدگی نظارت بر زیرساخت‌ های شهری و ترافیک، از ماشین لباسشویی و یخچال گرفته تا پوشاک و حتی سیستم گرمایش و سرمایش، این شبکه بسیاری از دستگاه‌ های اطراف ما را در برمی‌گیرد.

اما مسئله اصلی حریم خصوصی و امنیت اینترنت اشیاء میباشد، کسانی که در عرصه حفاظت از مصرف کنندگان و حفظ اطلاعات خصوصی فعالیت دارند همیشه نسبت به اینترنت به عنوان منبعی بالقوه خطرناک هشدار می دهند.

تیم تحقیق و توسعه آروین رایان ارتباط و کارشناسان امنیتی این مجموعه در خصوص اینکه « آیا مصرف کنندگان می فهمند داده ها و اطلاعات چگونه بوجود می آیند، چگونه در ارتباط با هم قرار می گیرند و با آنها چه می کنند یا خیر» تحقیق و پژوهش می کنند.

چه راهکارهایی برای حفظ حریم خصوصی و امنیت اینترنت اشیاء وجود دارد؟

ساده ترین راهکار : اصلا از دستگاه های هوشمند استفاده نکنیم.

مردم در بسیاری از موارد نمی‌دانند به چه چیزهایی باید توجه کنند. هر جا داده‌ها در جریان باشند، جاسوسی از آنها هم ممکن است. از این رو در موارد مشکوک بهتر است به طور کلی از استفاده از وسایل الکترونیکی هوشمند صرف نظر کنیم.

کنترل وسایل در خانه یا محیط کار: کدام ها هوشمند هستند و به اینترنت متصل هستند؟

بسیاری از مصرف‌کنندگان نمی‌دانند وسایلی که روزانه استفاده می‌کنند به اینترنت متصل و در نتیجه دریافت‌کننده یک سری داده‌ها هستند. از این رو مفید است که اطلاعاتی درباره دستگاه‌هایی که در خانه یا محیط کار استفاده می‌کنیم به دست آوریم و در جستجوی پاسخ به این پرسش‌ها باشیم :

ـ کدام دستگاه‌ الکترونیکی در خانه اطلاعات جمع می‌کند؟ و چه اطلاعاتی توسط آنها جمع‌ آوری می‌شوند؟

ـ به چه منظور این اطلاعات گردآوری می‌شوند و چه کسی به آنها دسترسی دارد؟

ـ تولیدکننده دستگاه چه کار می‌تواند با اطلاعات بکند، برای مثال اجازه دارد آن را به شخص سوم بدهد؟

و بخصوص آیا می‌توان از دستگاه استفاده کرد بدون آنکه اطلاعاتی به تولیدکننده بدهد؟

کسانی که نامطمئن هستند، می‌توانند برای نمونه از جستجوگر Shoden.io استفاده کنند. با بهره‌گیری از این جستجوگر می‌توان دانست که کدام دستگاه ها به اینترنت وصل هستند و چگونه می‌توان از آنها حفاظت کرد.

کلمه عبور : کلید خانه دیجیتالی

مصرف‌کنندگانی هستند که می‌خواهند هم از دستگاه‌های الکترونیکی متصل به اینترنت استفاده کنند و هم مطمئن باشند که اطلاعاتی از طریق این دستگاه‌ها به دست کسی نمی‌افتد.

به این گروه از مصرف‌کنندگان پیشنهاد می شود که با استفاده از پسورد و دیگر رمزگذاری‌ ها از جریان داده‌ های دیجیتالی جلوگیری کنند. در بیشتر موارد رمزگذاری در بخش تنظیمات دستگاه‌ ها صورت می‌گیرد. بدین ترتیب نه خود دستگاه بلکه مصرف‌ کننده می‌تواند تعیین کند که چه داده‌ هایی به چه صورت در اختیار تولید کننده دستگاه قرار بگیرد.

شبکه : استفاده از ارتباط امن برای داشتن دستگاه امن

کسی که می‌خواهد از جریان داده‌ها در داخل خانه‌ اش محافظت کند باید از ارتباطات اینترنتی امن استفاده کند. شرط نخست در این مورد هم پسورد یا کلمه عبور است. اما می‌توان قدمی فراتر از این هم برداشت. می‌توان شبکه‌ ای را درست کرد که کسی نتواند از خارج به آن دسترسی داشته باشد.

البته ساختن چنین شبکه‌ ای کار می‌ برد. برای این کار احتیاج به سرور (Server) داریم. باید سرور را راه بیندازیم و منتظر باشیم. و این کار هر کسی نیست. یا باید تخصص انفورماتیک داشت یا کار را به یک متخصص انفورماتیک (علم اطلاعات و پردازش اطلاعات و مهندسی سامانه‌های اطلاعاتی) واگذار کرد که در نتیجه گران تمام می‌شود.

شبکه‌ های محلی اشکال دیگری هم دارند، موقعی که سرور را راه انداخته باشیم، تنها در محل می‌توانیم آن را هدایت کنیم. اگر بخواهیم آن را از خارج محل هدایت کنیم، باید یک شبکه خصوصی مجازی (VPN) را راه‌اندازی کنیم. بدین ترتیب می‌توان بااطمینان در اینترنت حرکت کرد.

به ‌روز رسانی : واکسینه مرتب نرم‌افزار

حتی اگر امنیت راه ورود به اینترنت تامین شده باشد، ممکن است خطای امنیتی در سیستم عامل (Operating System) مشکل‌ساز شود. کمپانی‌ هایی که به مسائل ایمنی بسیار اهمیت می‌دهند به طور مرتب نرم‌افزار های خود را کنترل می‌کنند و اگر حفره‌ ای امنیتی بیابند سعی می‌کنند آن را بهبود ببخشند. بدین خاطر به مصرف‌کنندگان توصیه می شود : «دقت کنید دستگاهی که تهیه کرده‌اید چنین آپدیت‌ هایی را در اختیارتان قرار دهد.»

دستگاه‌هایی که چنین سرویسی را در اختیار مشتریان نمی‌گذارند، به طور معمول ارزانتر هستند. درست است که چنین دستگاه‌هایی ارزانترند اما با خرید آنها این خطر را پذیرفته‌ایم که دیگران بتوانند به اطلاعات ما دسترسی پیدا کنند.

نرم افزاری برای این کار وجود دارد؟ بله، پس از آن استفاده کنید

فرض کنیم هم اینترنت و هم دستگاه امن باشند. پیام‌ هایی که میفرستیم چطور؟ امن هستند؟ در این میان برای ارتباطات و رمزگذاری و پسورد مطمئن نرم افزار های بسیاری وجود دارد. بیشتر این نرم افزار ها امنیت لازم را به دست می‌دهند، اما در اینجا نیز امکان هک شدن وجود دارد.

فرهمند آریاشکوه - کارشناس مهندسی فناوری اطلاعات

فرهمند آریاشکوه

سیستم مدیریت امنیت اطلاعات ISMS

گزارش

امروزه با گسترش تهديد هاي امنيتي ، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد.

سازمان هايی که موجوديتشان به طور عمومی به فن آوری اطلاعات  وابسته است بايد از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند .

جهت دستيابی به امنيت قابل قبول اطلاعات به همکاری مشتريان ، شرکای تجاری و دولت  نياز خواهد بود ، در ضمن بررسی دوره ای امنيت اطلاعات توسط سازمان های امنيتی يک روش مقبول در  اين زمينه خواهد بود . 

پياده سازی استاندارد های امنيتی موجود نيز ، سازمان ها را در نيل به اهداف خود ياری می رساند . پياده سازی به طور اساسی در دو سطح صورت می گيرد .

در سطح اول که سطح کلی می باشد تمرکز بر روی پروسه های تجاری و امنيتی می باشد ، به طوريکه فرهنگ امنيت اطلاعات به عنوان مفاهيم اصلی اين سطح مورد بررسی قرار می گيرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معيار های امنيتی در تمامی سطوح سازمانی تفهيم گردد .

در سطح دوم ، پياده سازی فنی و با جامعيت بيشتر صورت می گيرد که  با استفاده از استانداردهای بين المللی و سيستم ها و ابزارهای لازم صورت می گيرد .

بعد از پياده سازی پروسه های مديريتی و تجاری و نيز پياده سازی فنی و عملياتی امنيت ، سازمان تا حد قابل قبولی می تواند از پوشش مناسب  مديريت امنيت اطلاعات  اطمينان پيدا نمايد . پياده سازی مديريت امنيت اطلاعات بر اساس يک استاندارد بين المللی مانند ISO1799 صورت می گيرد تا سازمان بتواند تاييديه و گواهی مربوطه را اخذ نمايد .

جهت پياده سازی مديريت امنيت اطلاعات به چک ليست های کاملی جهت بررسی وضعيت امنيتی و تشخيص نقاط ضعف جهت  بر طرف نمودن آنها نياز خواهيم داشت که اين چک ليست ها شامل موارد ذيل می باشد :

  1. چک ليست استمرار فعاليت هاي شبکه
  2. چک ليست امنيت اطلاعات
  3. انتقال ايمن اطلاعات
  4. آماده کردن اطلاعات جهت استفاده در مسيرهاي امن و حفاظت شده
  5. امکان پشتيبان گيري از اطلاعات
  6. نگهداري مالکيت اطلاعات
  7. چک ليست امنيت نرم افزار و سرويس دهنده ها
  8. امنيت نرم افزار
  9. امنيت سرويس دهنده ها
  10. چک ليست آموزش امنيتي پرسنل شبکه
  11. چک ليست امنيت فيزيکي
  12. امنيت فيزيکي مکان هاي استقرار تجهيزات در کلاس (A,B,C) و اماکن
  13. امنيت فيزيکي تجهيزات
  14. جريان برق
  15. چک ليست امنيت دسترسي کاربران
  16. تدوين روالي جهت کنترل فعاليت کاربران
  17. آماده کردن کد شناسايي کاربر
  18. روند احراز هويت شخصي
  19. توسعه روندهاي استاندارد ورود به سيستم
  20. سازمان دهي اصول امنيت فيزيکي مهم
  21. دقت در دسترسي راه دور
  22. دسترسي ديگر نهاد اجرايي به شبکه

سيستم مديريت امنيت اطلاعات نظام جامع امنيت اطلاعات سازمان

مفهوم « سيستم مديريت امنيت اطلاعات » اولين بار طي مراحل تحرير و توسعه استاندارد بريتانيايي 7799 در سال‌هاي انتهايي دهه 1980 ميلادي مورد بحث و توجه قرار گرفت . آخرين تعريف « سيستم مديريت امنيت اطلاعات » از نظر استاندارد بين المللي آن عبارت است از :

سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که بر پايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قرار داشته و هدف آن ، پايه ‌گذاري ، پياده ‌سازي ، بهره ‌برداري ، نظارت ، بازبيني ، نگهداري و بهبود امنيت اطلاعات است .

« امنيت اطلاعات » نيز چنين تعريف مي‌شود :

حفاظت از محرمانگي ، تماميت و دسترس‌پذيري اطلاعات ، علاوه براين‌ها ساير ويژگي‌ها از قبيل اصالت ( authenticity ) ، قابليت جوابگويي و اعتبار ( accountability ) ، انکارناپذيري ( non- repudiation )، و قابليت اطمينان(reliability) اطلاعات نيز مي‌توانند مشمول اين حفاظت باشند .

« سيستم مديريت امنيت اطلاعات » براي حصول اطمينان از کفايت و تناسب کنترل‌هاي امنيتي محافظ  دارايي‌هاي اطلاعاتي طراحي شده ‌است تا به اين وسيله به مشتريان و ديگر گروه‌هاي ذينفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطر داده ‌شود .  هدف اين سيستم پياده‌سازي نوعي از كنترل‌هاي امنيتي است كه با برقراري زير‌ساخت‌هاي مورد نياز ، امنيت اطلاعات را تضمين مي‌نمايند . درحقيقت يک « سيستم مديريت امنيت اطلاعات » ، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم مي‌آورد و کل کارکنان ، فرآيندها و سيستم‌هاي اطلاعاتي يک سازمان را دربر مي ‌گيرد .

ميزان نسبي در معرض ريسک بودن يک سيستم اطلاعاتي براساس فعاليت در بخش‌هاي مختلف

طراحي ، پياده‌سازي ، نگهداري و بهبود سيستم مديريت امنيت اطلاعات

فعاليت‌ هاي مربوط به پياده‌سازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ ( برنامه ، اجرا ، بررسي ، اقدام اصلاحي ) به همراه گروه های ذينفع و روابط آنها با يکديگر در شکل زير نمايش داده شده‌است :

فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

فاز برنامه :                                                                         

  1. تعريف محدوده اوليه  ISMS                                        
  2. تعريف سياست  و خط مشي كلي در ISMS
  3. شناسايي دارايي ها
  4. شناسايي تهديدها
  5. ارزيابي ريسك
  6. تنظيم برنامه برخورد با ريسك ها
  7. انتخاب كنترل هاي امنيتي
  8. تنظيم بيانيه قابليت اجرا (SOA)

فاز اجرا :  

  1. بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
  2. پياده  سازي برنامه برخورد با ريسك و كنترل هاي مربوطه

فاز بررسي :

  1. نظارت بر اجرا
  2. بازبيني هاي منظم بر كارآيي و كارآمدي ISMS
  3. نظارت بر ريسك هاي مورد قبول
  4. هدايت منظم مميزي هاي ISMS

فاز اقدام  :

  1. پياده سازي موارد بهبود
  2. انتخاب اعمال اصلاحي مناسب
  3. اطمينان از رسيدن به اهداف بهبود و توسعه

استانداردهاي BS7799 و ISO 27001

BS 7799   و ISO 27001 جديدترين استانداردهاي بين‌المللي براي استقرار و بهبود سيستم مديريت امنيت اطلاعات در شركتها و سازمانهاي مرتبط با فناوري اطلاعات و تجارت الكترونيك به شمار مي‌آيند . براي مقابله با خطراتي كه در سيستمهاي اطلاعاتي اين سازمانها نهفته مي‌باشند ، وجود يك سيستم مديريت امنيت اطلاعات (ISMS) جهت اطمينان از مديريت مؤثر اين خطرات بسيار حياتي است .

مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001  :

  1. استاندارد مورد تأييد و اجباري از سوي شوراي ‌عالي امنيت فضاي تبادل اطلاعات كشور
  2. كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
  3. تأمين امنيت در همه سطوح شامل امنيت فيزيكي ، پرسنلي و ارتباطات
  4. ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
  5. کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
  6. جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
  7. كاهش هزينه‌ها
  8. سيستم مديريت امنيت پويا و مستمر با نگاه همه جانبه به امنيت
  9. آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت 

نویسنده : فرهمند آریاشکوه - کارشناس سرممیز و ممیز سیستم مدیریت امنیت اطلاعات ISMS ISO27001

فرهمند آریاشکوه

پسندیده شده توسط: سهیل علیزاده , شیوا محمدی

امنیت کودکان در فضای سایبری

گزارش

اینترنت درواقع یک وب جهانی است که تقریباً هر چیزی که نیاز داریم یا خواهان آن هستیم در آن یافت می شود، اما به یاد داشته باشید می تواند وبی خطرناك برای کودکان باشد.

چگونه می توانم به کودکانم کمک کنم در اینترنت ایمن بمانند؟

در ابتدا خطرات ممکن را که با آن مواجه می شوند، در نظر بگیرید. این خطرات شامل موارد زیر می شود : 

  1. “ دانلودهای ناآگاهانه ” (یعنی برنامه های بدخواهانه و مخرب که هنگام بازدید از یک صفحه وب در رایانه شما به صورت خودکار نصب می شود) .
  2. خطر آلودگی از طریق برنامه های P2P اشتراک فایل که به دیگران امکان دسترسی به رایانه شما را می دهد .
  3. تبلیغات ناخواسته ، شامل: صفحات بازشو و برنامه های تبلیغاتی ؛ اینها گاهی به طور خودکار همراه با برنامه های رایگانی نصب می شوند که در اینترنت برای دانلود  در دسترس هستند .
  4. محتوای جنسی (یا سایر محتوای نامناسب) .
  5. فریب خوردن جهت افشای اطلاعات شخصی (درباره دیگران یا خودتان) .
  6. دانلود محتوای غیرمجاز (مانند فایلهای موزیک یا ویدیو) .
  7. هدف قرار گرفتن توسط تهدید کنندگان آنلاین .
  8. مجذوب شدن (مثلاً در اتاق های گفتگو) توسط اشخاص نا سالم .

چه گام هایی را برای محافظت از کودکانم می توانم بردارم؟ 

کودکان می توانند همانند دنیای واقعی، در دنیای آنلاین نیز آسیب پذیر باشند و مهم این است که شما خطرات بالقوه را بشناسید. اقدامات زیر را می توانید انجام دهید تا شانس این که آنها در معرض خطرات قرار بگیرند را به حداقل برسانید. 

  1. با کودکان خود درباره خطرات بالقوه در اینترنت صحبت کنید.
  2. کودکان خود را تشویق کنید تا در مورد هرچیز آنلاینی که تجربه می کنند و آنها را مضطرب یا ناراحت می کند، با شما صحبت کنند.
  3. از رهنمودهای بالا جهت حفاظت از رایانه تان در برابر برنامه های مخرب و هکرها پیروی نمایید و به کودکان خود توضیح دهید چگونه به حفاظت از آنها کمک می کند.
  4. در صورت امکان، رایانه خود را در یک اتاق تفریح خانوادگی قرار دهید و بکوشید رایانه را به صورت یک تجربه خانوادگی مشترک درآورید.
  5. دانلود محتوای غیرمجاز (مانند محتوای قابل دسترسی از رایانه را محدود کنید. بسیاری از نرم افزارهای امنیت اینترنتی این امکان را در اختیار شما قرار می دهند. به علاوه، اینترنت اکسپلورر حاوی یک برنامه Content Advisor است که می تواند به شما در انجام این کار کمک کند. (در مسیر زیر می توانید آن را بیابید Tools | Internet Options | Content)
  6. رهنمودهایی برای آنها در مورد این که چه کاری را انجام دهند و چه کاری را انجام ندهند ،ارائه نمایید. موارد زیر برخی از کارهایی است که باید در مورد آنها فکر کنید.
  7. آیا خوشحال هستید که به کودکان خود اجازه می دهید...
  8. در شبکه های اجتماعی یا سایر وب سایتها ثبت نام کنند؟
  9. خرید آنلاین انجام دهند؟
  10. فایل های موسیقی، ویدیو یا برنامه دانلود کنند؟
  11. از برنامه های پیام رسانی آنی استفاده نمایند؟
  12. از اتاق های گفتگو بازدید نمایند؟ 

(اگر پاسخ به دو سوال آخر مثبت است، مطمئن شوید کودکان شما می فهمند نباید با افراد ناشناس گفتگو (chat) نمایند) 

- به خاطر داشته باشید كه پاسخ ها ممکن است با رشد سنی کودکان تغییر یابد. 

جهت محافظت از کودکان در محیط آنلاین : 

  1. با آنها درباره خطرات بالقوه صحبت نمایید؛
  2. رایانه را در یک اتاق تفریح خانواده نگه دارید؛
  3. کودکان خود را تشویق نمایید تا با شما درباره تجربه های آنلاین خود صحبت نمایند؛
  4. رهنمودهایی برای فعالیت آنلاین به آنها ارائه نمایید؛
  5. تنظیمات برنامه ها را به کار برید تا محتوای دسترسی آنلاین را محدود نمایید؛
  6. از توصیه بالا در مورد چگونگی محافظت در برابر حملات کدهای مخرب و هکرها پیروی نمایید؛

 
دیگر نگران نباشید، اگر فرزندانتان در اینترنت گشت و گذار می کنند و در ها را بسته اند!!

نویسنده : کارشناس امنیت اطلاعات آروین رایان ارتباط

فرهمند آریاشکوه

پسندیده شده توسط: سهیل علیزاده , شیوا محمدی
ثبت نام ورود