با سلام من جهت فراگیری و پیاده سازی سیستم امنیت اطلاعات نیاز به راهنمائی دارم
یکی دوتا موسسه دوره های کاملی در حد 230 ساعت آموزش دارند
که احتیاج به همفکری شما دارد.یا اینکه شما نظر بهتری دارین؟خواهش میکنم راهنمائی کنید؟
Printable View
با سلام من جهت فراگیری و پیاده سازی سیستم امنیت اطلاعات نیاز به راهنمائی دارم
یکی دوتا موسسه دوره های کاملی در حد 230 ساعت آموزش دارند
که احتیاج به همفکری شما دارد.یا اینکه شما نظر بهتری دارین؟خواهش میکنم راهنمائی کنید؟
موسسات آموزشی مختلفی در این زمینه اقدام به برگزاری دوره ها می کنند. ولی مشکل اینجاست که در این عرصه، متخصص حرفه ای در ایران بسیار کم است. اکثر آنهایی که در این زمینه مدعی هستند، خودشان در ساده ترین مفاهیم هم دچار مشکل هستند.
بهترین مسیر برای یادگیری، خودآموزی است. البته حضور در کلاس ها هم می تواند در مراحل اولیه کمک کننده باشد.
سلام .
در مورد راهکارهای آموزش isms که فرموده اید خودآموز بهترین روش است لطفاً منابعی هم متذکر شوید
تا دستمایه قراردهیم.در ضمن آیا یادگیری در این مبحث در قالب اجرای یک پروژه امکاتن پذیر نیست؟
اگر هست آیا خود شمادوستان پروژه ای در دست اجرا سراغ دارید که ما بتوانیم بصورت bootcamp در آن شرکت نمائیم؟
ارادتمند HB
استانداردهای ISO 27001 و ISO 27002 مستندات رسمی امنیت اطلاعات می باشند.
کتاب های آموزشی CISSP نیز می توانند در این زمینه به شما کمک کنند.
جناب آقای حکیمی
CISSP در مورد موارد مدیریتی امنیت اطلاعات است ؟؟؟
شما برای Technical چه پیشنهادی دارید ؟؟؟ آیا این مدرک به این درد می خورد ؟؟؟
CISSP در مورد این مباحث هستش
[LIST][*]Access Control[*]Application Security[*]Business Continuity and Disaster Recovery Planning[*]Cryptography[*]Information Security and Risk Management[*]Legal, Regulations, Compliance and Investigations[*]Operations Security[*]Physical (Environmental) Security[*]Security Architecture and Design[*]Telecommunications and Network Security[/LIST]
با سلام.در ادامه مبحث آموزش isms می خوام بدونم که این سیستم در اصل قسمت دوم bs7799 و یک استاندارد هستش ؟یا اینکه نمونه develop شده bs7799هست؟یا اینکه bs7799یک استاندارده و ismsراهکار اجرائی اونه و یه استاندارد بحساب نمی اد؟ ارادتمندHB
CISSP مربوط به امنیت سیستم های اطلاعاتی است و همه حوزه های ISMS را تحت پوشش قرار نمی دهد، ولی می تواند کمک کننده باشد.
اگر منظورتان از Technical، مباحث مربوط به امنیت شبکه است، دوره های آموزشی امنیت شبکه بسیاری وجود دارند که برای فناوری های مختلف به مباحث امنیتی می پردازند. مثلا CCSP برای Cisco
ISMS یک مفهوم است. سیستم مدیریت امنیت اطلاعات.
برای مدیریت امنیت اطلاعات، در دنیا استانداردهای مختلفی وجود دارد. در این مورد قبلا چند جمله ای نوشته ام که بهتر است نگاهی به آن بیندازید:
[url]http://forum.persiannetworks.com/f89/t20821.html#post188828[/url]
سلام دوستان عزیر .چند لینک SOURCE PDF فارسی یا ENGLISH که هم اکنون فعال باشه در زمینه ISMSمی خواستم؟ ممنون می شم راهنمائی کنین؟ ارادتمند HB
شما که تجربه چندساله در زمینه استانداردهای امنیت اطلاعات دارین می خواستم لطفاً بهم بگین چه مدت زمانی می شه خودم رو EXPERT کنم؟
دوستان عزیز آیا در زمینه ISMS و استانداردهای خانواده BS7799 , 17799, ISO27000در خارج از کشور و یا حتی داخل کشور BOOTCAMP اونم بصورت PROبرگزار می شه یا خیر؟ممنون می شم سایتهای دست اندرکار بهم معرفی شن؟
با سلام
ممنون می شم بخصوص اگه آقای حکیمی یا سایر دوستان جواب سوالات دیروز منو در زمینه isms بدن
ارادتمند HB
پياده سازي نرم افزاري ISMS موضوع پايان نامه كارشناسي ارشد من بود كه بيچاره شدم چون هيچ كس همونطوري كه كوروش خان گفتن اطلاعات درست و حسابي در اين مورد نداره فقط خودتون بايد بريد دنبالش. حتي استاد من كه مثلا دكتري آي تي از كانادا داشت قبل من يه پايان نامه رو ISO 27001 با يكي از دانشجو هاش انجام داده بود و تو اون رساله كلا يادش رفته بود به مهمترين بخش قضيه كه Asset ها باشن حتي اشاره كنه!!!!!! :)
خلاصه حسين خان كس نخارد پشت من جز ناخن انگشت من.......!!!!!!
راستي قبل از شروع از emule مستندات ISO/IEC در مورد ISMS رو بگير بخون خيلي به دردت ميخوره
Great
ولی اگه لطفاً یه source بهم معرفی کنی ممنون می شم؟
یه پست منو که مدیر عمومی سایت حذف کرد آپلود میکنم میزام همینجا
البته باید تا عصر صبر کنی که برگردم خونه.....
[I] آقا من نميدونم شما دقيقا با ISMS ميخواي چيكار كني ولي دست به نقد اين دوتا pdf رو بخون، بعدش مسلما 50000تا سوال برات پيش مياد بگو دقيقا ميخواي چيكار كني راهنماييت كنم
من پوستم كنده شد تا درست و حسابي سر از كارش در بيارم و بفهمم چه جوري تو سازمان اجرا ميشه
[/I][URL="http://rapidshare.com/files/248204861/ISMS.pdf.html"]RapidShare: Easy Filehosting[/URL]
[URL="http://rapidshare.com/files/248207040/ISO-IEC_27001_2005.pdf.html"]RapidShare: Easy Filehosting[/URL]
موسسه استاندارد و تحقیقات صنعتی ایران استاندارد های امنیت اطلاعات رو فارسی کردند به همه پیشنهاد می کنم حتماً مطالعه کنند چون می تونه خیلی مفید واقع بشه
[URL="http://www.isiri.org/asp/account/checklog.asp?ID=27001.pdf"]فن آوري اطلاعات - فنون امنيتي -سيستم هاي مديريت امنيت اطلاعات-الزامات [/URL] 27001
[URL="http://www.isiri.org/asp/account/checklog.asp?ID=27002.pdf"]فن آوري اطلاعات - فنون امنيتي -آيين کارمديريت امنيت اطلاعات [/URL] 27002
راستي ISMS از ISO/IEC 17799 شروع ميشه تا ISO 27006 اگه درست يادم باشه
آخريش هم ISO/IEC 27001:2008 هست.... حالا شما با كدومش ميخواي كار كني؟
فكر كنم لينك اول آقاي آرش ترجمه لينك دوم من باشه!!!!!
حتما از اين قضيه هم خبر داريد كه هيات دولت بخشنامه زده تو سال 85 كه تا پايان يادم نيست چه سالي!!!!*كليه ادارات دولتي كه از شبكه كامپيوتري استفاده ميكنن بايد ISMS رو پياده سازي كرده باشن
ولي در حال حاظر فقط يه شركت نفتي تو جنوب تنها شركت داخل ايرانه كه ISO 27001 گرفته!!!!!
سال 86 بخشنامه ای به امضای معاون اول رئیس جمهور به همه سازمان ها و نهادهای دولتی ارسال شد و همه را موظف کرد که تا پیش از پایان همان سال، [B]طرح [/B]امنیت اطلاعات خود را تهیه و برای تصویت به شورای عالی امنیت فضای تبادل اطلاعات ارسال کنند.
[QUOTE=mcmilad;220343]حتما از اين قضيه هم خبر داريد كه هيات دولت بخشنامه زده تو سال 85 كه تا پايان يادم نيست چه سالي!!!!*كليه ادارات دولتي كه از شبكه كامپيوتري استفاده ميكنن بايد ISMS رو پياده سازي كرده باشن
ولي در حال حاظر فقط يه شركت نفتي تو جنوب تنها شركت داخل ايرانه كه ISO 27001 گرفته!!!!![/QUOTE]
قبلاً فقط اگه اسمش رو درست بگم سازمان بنادر و کشتیرانی امام خمینی isms گرفته بود که برای چند سال پیش هست و دیگر فاقد اعتباره ، الان می دونم شرکت های دیگر هم ISMS رو گرفتند ولی باید بپرسم کدوم شرکت ها بودند چون حضور ذهن ندارم
آقای حکیمی سلام
بهتر نبود مقدماتی از isms رو هرروزبصورت جز به جز در انجمن می نوشتین تا مقدمه واسه شروع باشه؟
مقدمه که نوشته شده. لینکی را هم پیش تر ذکر کردم.
حس خوبی ندارم که بالای منبر بروم و به صورت Monologue به نوشتن بپردازم. اینجا هم وبلاگ نیست. اصولا باید پرسش و پاسخی باشد تا مطالب نوشته شوند. من آماده ام که اگر پرسشی مطرح شد، پاسخگو باشم.
سلام
من موضوع پایان نام کارشناسی ارشد مشابه کار شماست. می تونم از راهنماییتون استفاده کنم؟
شروع بفرمایید، در قالب پرسش های مستقل و جداگانه با توجه به قوانین انجمن موارد مورد نظر را مطرح کنید تا در موردشان با هم به تبادل اطلاعات بپردازیم.
[QUOTE=Hakimi;302633]شروع بفرمایید، در قالب پرسش های مستقل و جداگانه با توجه به قوانین انجمن موارد مورد نظر را مطرح کنید تا در موردشان با هم به تبادل اطلاعات بپردازیم.[/QUOTE]
خوب اول موضوع پایان نامه
"مطالعه معیار های ارزیابی مدیریت امنیت اطلاعات بر اساس استاندارد های بین المللی"
هدفم از این پایان نامه ارائه چارچوب برای ارزیابی امنیت اطلاعات هست، البته چون ایراد می گرفتن که عنوان چارچوب بیاد تو عنوانم این جوری شد. یه کاری دیدم اومده بود 5 تا حوزه تقسیم کرده بود بر اساس ایزو 27001 و 27002. من میخوام همین کارو با حوزه های بیشتر و اگه بشه با مطالعه چند تا استاندارد انجام بدم.
این شروع بحث.
اگه ممکنه تا همین جاش نظرتون رو بدین.
دوستان رفتن تعطیلات!!!!
سلام
من فکر کنم اینجا جواب شما رو نوشتم ولی الان نیست؟
من یک دوره ممیزی داخلی ISMS بر اساس ISO 27001 گذروندم
بیشتر توضیح بدید تا بحث داغ بشه و ادامش بدیم
چیزی نگفتید که ما نظر بدیم
معیارها یعنی چی ؟ یعنی میخواین سنجه های ارزیابی استاندارد رو بررسی کنید ؟
[QUOTE=mhdganji;304406]من یک دوره ممیزی داخلی ISMS بر اساس ISO 27001 گذروندم
بیشتر توضیح بدید تا بحث داغ بشه و ادامش بدیم
چیزی نگفتید که ما نظر بدیم
معیارها یعنی چی ؟ یعنی میخواین سنجه های ارزیابی استاندارد رو بررسی کنید ؟[/QUOTE]
من می خوام حوزه ها رو که زیر مجموعه اونها کنترل ها هستن(البته اگه درست گفته باشم) رو با توجه به استاندارد بررسی کنم. البته می خواستم از 2 یا 3 تا استاندارد استفاده کنم به غیر از ایزو . یه جور چارچوب خود ارزیابی برای سازمان ارائه کنم که اولویت بندی حوزه ها رو هم شامل بشه. مثلا توی 27001 اگه 10 تا حوزه داره 1 تا 10 مشخص بشه.
ممنون میشم بحث رو ادامه بدین
خوب شما میخواین کنترلها رو تغییر بدید ؟ یا کلا حوزه ها رو که مثلا شامل امنیت، طرف های خارجی، نیروی انسانی و .. هستند ؟
میدونید که کنترلها جزو استاندارد نیستند (جزو 27001) بلکه ضمیمه A اون هستند و به ما کمک میکنند ممیزی (چه اول شخص چه در ممیزی نهایی) رو بتونیم هم خوب برگزار کنیم هم بگذرونیم ! کلا بدونیم برای دستیابی به شرایط مناسب بندهای اصلی استاندارد چه اقداماتی باید انجام بشه !
حالا شما میخواین به این کنترلها چیزی اضافه و کم بکنید ؟ میخواین اونها رو بومی کنید ؟
این رو هم بگم دوست عزیز اگه میخواین نتایج بهتری بگیرید باید بیشتر توضیح بدید تا بقیه هم در جریان قرار بگیرن چون بحث های این تیپی کمتر مطرح شده
شما بد موقعی موضوع رو مطرح کردید
جناب جکیمی چند روی نیست و ایشون تو این موضوع خوب کار کرده
مدیر ما هم فوق لیسانس امنیت داره و تا جایی که یادمه موضوع پایان نامش شبیه به شما بوده
که خوب رفتند تا بعد عید
بهرحال به نظرم ادامه بدیم
[QUOTE=mhdganji;304416]خوب شما میخواین کنترلها رو تغییر بدید ؟ یا کلا حوزه ها رو که مثلا شامل امنیت، طرف های خارجی، نیروی انسانی و .. هستند ؟
میدونید که کنترلها جزو استاندارد نیستند (جزو 27001) بلکه ضمیمه A اون هستند و به ما کمک میکنند ممیزی (چه اول شخص چه در ممیزی نهایی) رو بتونیم هم خوب برگزار کنیم هم بگذرونیم ! کلا بدونیم برای دستیابی به شرایط مناسب بندهای اصلی استاندارد چه اقداماتی باید انجام بشه !
حالا شما میخواین به این کنترلها چیزی اضافه و کم بکنید ؟ میخواین اونها رو بومی کنید ؟
این رو هم بگم دوست عزیز اگه میخواین نتایج بهتری بگیرید باید بیشتر توضیح بدید تا بقیه هم در جریان قرار بگیرن چون بحث های این تیپی کمتر مطرح شده
شما بد موقعی موضوع رو مطرح کردید
جناب جکیمی چند روی نیست و ایشون تو این موضوع خوب کار کرده
مدیر ما هم فوق لیسانس امنیت داره و تا جایی که یادمه موضوع پایان نامش شبیه به شما بوده
که خوب رفتند تا بعد عید
بهرحال به نظرم ادامه بدیم[/QUOTE]
نمیدونم شاید طبق گفته شما همون بومی سازی بشه. من توی وب سایت دیدم که اومده بود 10 حوزه رو به 5 تا تغییر داده بود و 25 تا سوال با توجه به کنترل ها تهیه کرده بود برای ارزیابی. من می خوام با توجه به 3 تا استاندارد که پیدا کردم یه چارچوب ارائه بدم.
البته همونطور که قبلا هم گفتم کلمه چارچوب توی عنوان پایان نامه نیست. از دیدگاه خبرگان(متخصصانی که در زمینه امنیت اطلاعات و استاندارد های مربوطه کار کردند) و با توجه به ورودی 3 تا استاندارد( اطلاعات استاندارد ها) معیار های ارزیابی مدیریت امنیت اطلاعات رو توی چارچوب جدید مثلا 7 تا حوزه با کنترل هاشون(با توجه به اهمیت کنترل ها) مثلا 30 تا کنترل یه مدل برای ارزیابی مدیریت امنیت اطلاعات بدم. همونطور که می دونید کنترل ها توی ضمضمه ایزو بیشتر از 100 تا هستند و اگه قرار باشه همه رو مثل ایزو بیاریم دیگه کار جدید نمیشه.
در ادامه یه لیست از حوزه های 3 تا استاندارد رو مینویسم .
[URL="http://en.wikipedia.org/wiki/ISO/IEC_27001"]ISO/IEC 27001[/URL]
[LIST=1][*]Risk assessment and treatment - analysis of the organization's information security risks[*]Security policy - management direction[*]Organization of information security - governance of information security[*]Asset management - inventory and classification of information assets[*]Human resources security - security aspects for employees joining, moving and leaving an organization[*]Physical and environmental security - protection of the computer facilities[*]Communications and operations management - management of technical security controls in systems and networks[*]Access control - restriction of access rights to networks, systems, applications, functions and data[*]Information systems acquisition, development and maintenance - building security into applications[*]Information security incident management - anticipating and responding appropriately to information security breaches[*]Business continuity management - protecting, maintaining and recovering business-critical processes and systems[*]Compliance - ensuring conformance with [URL="http://en.wikipedia.org/wiki/Information_security_policies"]information security policies[/URL], standards, laws and regulations[/LIST]
[B][[URL="http://en.wikipedia.org/w/index.php?title=Security_controls&action=edit§ion=3"]edit[/URL]] U.S. Federal Government information security standards[/B]
From [URL="http://en.wikipedia.org/wiki/NIST"]NIST[/URL] Special Publication [URL="http://en.wikipedia.org/w/index.php?title=SP_800-53&action=edit&redlink=1"]SP 800-53[/URL] revision 3.
[LIST=1][*]AC Access Control[*]AT Awareness and Training[*]AU Audit and Accountability[*]CA Certification, Accreditation, and Security Assessments[*]CM Configuration Management[*]CP Contingency Planning[*]IA Identification and Authentication[*]IR Incident Response[*]MA Maintenance[*]MP Media Protection[*]PE Physical and Environmental Protection[*]PL Planning[*]PS Personnel Security[*]RA Risk Assessment[*]SA System and Services Acquisition[*]SC System and Communications Protection[*]SI System and Information Integrity[*]PM Program Management[/LIST]
[B][[URL="http://en.wikipedia.org/w/index.php?title=Security_controls&action=edit§ion=4"]edit[/URL]] [URL="http://en.wikipedia.org/wiki/United_States_Department_of_Defense"]U.S. Department of Defense[/URL] information security standards[/B]
From [URL="http://en.wikipedia.org/w/index.php?title=DoDI_8500.2&action=edit&redlink=1"]DoD Instruction 8500.2[/URL] there are 8 [URL="http://en.wikipedia.org/wiki/Information_Assurance"]Information Assurance[/URL] (IA) areas and the controls are referred to as IA controls.
[LIST=1][*]DC Security Design & Configuration[*]IA Identification and Authentication[*]EC Enclave and Computing Environment[*]EB Enclave Boundary Defense[*]PE Physical and Environmental[*]PR Personnel[*]CO Continuity[*]VI Vulnerability and Incident Management[/LIST]
DoD assigns the IA control per [URL="http://en.wikipedia.org/wiki/CIA_Triad"]CIA Triad[/URL] leg.
خوب موضوع ارشد شما میشه همین ؟
بومی سازی ؟ تغییر حوزه ها و کنترلها بر اساس چند استاندارد مختلف ؟
قبول میکنند ؟
البته جسارت نشه ها ! من که خودم اصلا لیسانس هستم و فوق ندارم
ولی خوب این موضوع کمی آبکی به نظر نمیاد برای فوق لیسانس ؟ رشته شما گرایشتون دقیقا چیه ؟ صنایعی هستید یا IT ؟
راستی استاندارد IDS 279 رو دیدید >؟
(امیدوارم شمارش رو اشتباه نگفته باشم)
مركز [I]استاندارد دفاعي ايران روش کار کرده ! شبیه به همین کار شماست تو حوزه دفاعی
[/I] [RIGHT][FONT=Lotus]بوميسازي استاندارد مديريت امنيت اطلاعات[/FONT][/RIGHT]
[RIGHT][FONT=Lotus]10/8/84 تا 1/3/86[/FONT][/RIGHT]
[FONT=Lotus]موسسه آموزشي و تحقيقاتي صنايع دفاعي، مركز استاندارد دفاعي ايران[/FONT]
[QUOTE=mhdganji;304426]خوب موضوع ارشد شما میشه همین ؟
بومی سازی ؟ تغییر حوزه ها و کنترلها بر اساس چند استاندارد مختلف ؟
قبول میکنند ؟
البته جسارت نشه ها ! من که خودم اصلا لیسانس هستم و فوق ندارم
ولی خوب این موضوع کمی آبکی به نظر نمیاد برای فوق لیسانس ؟ رشته شما گرایشتون دقیقا چیه ؟ صنایعی هستید یا IT ؟
راستی استاندارد IDS 279 رو دیدید >؟
(امیدوارم شمارش رو اشتباه نگفته باشم)
مركز [I]استاندارد دفاعي ايران روش کار کرده ! شبیه به همین کار شماست تو حوزه دفاعی
[/I] [RIGHT][FONT=Lotus]بوميسازي استاندارد مديريت امنيت اطلاعات[/FONT][/RIGHT]
[RIGHT][FONT=Lotus]10/8/84 تا 1/3/86[/FONT][/RIGHT]
[FONT=Lotus]موسسه آموزشي و تحقيقاتي صنايع دفاعي، مركز استاندارد دفاعي ايران[/FONT][/QUOTE]
پروپوزال که قبول شده
البته به یه نکته اشاره کنم که پایان نامه های دیگه هم چیز بیشتری ندارند. گرایش من مدیریت فناوری اطلاعات هست و صنایع خوندم. اگه یه نگاهی به پایان نامه ها بندازید (به کل پایان نامه و نه عنوان خالی) میبینید که در حد ارشد چیز بیشتری توشون نیست. من خودم تازه دارم دربارش مطالعه می کنم ولی کار کاربردی هست همونطور که گفته یه سایت ژاپنی یه پایگاه داده انلاین ساخته و با روش مشابه داره ارزیابی امنیت اطلاعات رو انجام میده که کلی هم دیتابیسش رشد داشته و استقبال شده ازش.
توی جلسه دفاع از پروپوزال ازم سوال کردن که این کار چه تفاوتی با ایزو داره؟
من جواب دادم که این کار اولویت بندی رو داره +ارزیابی رو میتونیم با استفاده از اون انجام بدیم(ایزو ارزیابی رو انجام نمیده)
حالا به نظر شما جواب من درست بوده؟
باز هم عرض میکنم من مدرکم از شما پایین تره و البته تو این موضوع هم تخصص چندانی ندارم
امیدوارم جناب حکیمی و سایر دوستان هم به کمک بیان
اما اگه دوست داشتید پروپزالتون رو به صورت جزئی تر بیان کنید تا بهتر بشه فهمید چه میخواهید بکنید
اما در این خصوص :
[QUOTE] من جواب دادم که این کار اولویت بندی رو داره +ارزیابی رو میتونیم با استفاده از اون انجام بدیم(ایزو ارزیابی رو انجام نمیده) [/QUOTE]استاندارد خودش اولویت ها رو بیان کرده و ارزیابی هم بر اساس یک سری تکنیک ها و سنجه ها و کنترلها انجام میشه
میدونید که ممیزان به صورت تصادفی برخی موضوعات رو انتخاب میکنند و کلا میزی مثل امتحان چی بگم مثلا writing for IELTS میمونه و به سلیقه مصحح بستگی زیادی داره ! اما موضوعاتی مثل نسخ پشتیبان که فکر کنم بند 10 کنترلهاست کاملا حیاتی و ضررویه و همه میرن سراغش
میخوام بگم یکجور اولویت نانوشته تو ذهن ممیزان و البته متخصصین هست (که البته شاید تو استاندارد و ضمایم و مدارک مرتبط به اون مثل TR ها این مسئله کاملا دم نظر قرار گرفته باشه و اولویت بندی انجام شده باشه)
پس ممیز میاد ! با کنترلهای موجود ارزیابی میکنه (پس ارزیابی در ایزو هست) و در این ارزیابی اولویت ها رو در نظر میگیره
مثلا اگر نسخ پشتیبانتون فرآیند و سوابق نداشته باشه یک Non-Conformity کله گنده میگیرید و خداحافظ ولی خوب اگر تجارت الکترونیکی چندان پیشرفت نکرده باشه و کسب و کارتون هم تا حدودی به اون ربط داشته باشه و بشه بهبود کاری رو با استفاده از اون شاهد بود یک OFI میگیرید
باز شما بیشتر و دقیقتر توضیح بدید که بشه بهتر کمک کرد
راستی اون سایت ژاپنی داستانش چیه ؟ لینکش رو میدید ؟ و اینکه بگید دقیقا داره چیکار میکنه
این ادرس سایت ژاپنی
[url=http://www.ipa.go.jp/security/english/index.html]IPA/ISEC : IT Security Center[/url]
یه نگاه بندازید بعدش ادامه میدیم.
اینم لینکی که بهتره نگاش کنید:
[url]http://www.ipa.go.jp/security/english/benchmark/documents/Howtouse_ISM_Benchmark.pdf[/url]
در زمینه همون اولویت نانوشته می خوام کار کنم من دوره ایزو رو طی نکردم برای همین مثل شما وارد نیستم باید ببخشید. مدارک TR هم نپمیدونم چیه اگه میشه توضیح بدید.
با سلام
با اجازه محمد جون من یه دستنوشته دارم که چند مدت پیش واسه جایی گذاشتم اگه اجازه بدین اینجا میزارم شاید مورد استفاده قرار گرفت !؟
[B] [/B]
[INDENT] [RIGHT][RIGHT]با سلام
عصر جدید عصر اطلاعات و فن آوری است و سرعت رشد فن آوری و تکنولوژی در این عصر بسیار سریع گشته . رسانه ها و
وسایل ارتباط جمعی نیز به این امر کمک زیادی نموده اند .
تفاوت اين عصر با ساير اعصار را بايستي در سرعت تغييرات فن آوري و رشد سريع و چشمگيرعلوم محسوب کرد که
همه اين ها را بايد مديون دسترسي وسيع همگاني به اطلاعات دانست.
همچنين برخي از انديشمندان ، دنياي امروز را دنيای اطلاعات ، سرعت وشتاب دانسته اند. به قول بيل گيتس اگر ويژگي
دهه 1980 رويکرد به کيفيت و دهه 1990 دوران مهندسي مجدد فرآيندها بوده است , دهه2000 را بايد دوران شتاب دانست.
یکی از همین فن آوریها و تکنولوژیها ، دنیای زیبا و جالب شبکه و در وسعت وسیع تری اینترنت است که باعث دسترسی سریع و
همگانی به اطلاعات شده و از این طریق میتوان به راحتی اطلاعات را به اشتراک گذاشت و یا اطلاعاتی را کسب نمود !
به اشتراک گذاری اطلاعات باعث رشد و شکوفایی بسیار شده و این امر موجب گردیده که اکثر کشورها سریعتر رشد و ارتقاء
پیدا کنند .
از سوی دیگر تولید ، ارائه و نقل و انتقال اطلاعات یا به نحوی میتوان گفت داد و ستد اطلاعات باعث رشد اقتصادی
میشود ولی در عین حال نگهداری و امنیت آن ، برای سازمان تولید کننده بسیار حیاتی است .
این اطلاعات هر روز وهر سال بیشتر و مهم تر میگردند ، این اطلاعات با ارزش ترین سرمایه سازمان ها می باشند و باعث
رقابت ما بین سازمانها می شوند .
از بین رفتن یا صدمه دیدن این اطلاعات حتی در حد شخصی باعث متضرر شدن شخص یا سازمان میشود چه از لحاظ زمانی
ویا مالی و حتی مهم تر اینکه باعث از دست دادن بازار رقابت و صنعت میگردد .
اطلاعات در دنیای انفورماتیک یا آی تی دو حالت را شامل میشود ، یا یک فرصت است یا یک تهدید ! به همان راحتی که
میتواند باعث پیشرفت و سازندگی شود در عین حال میتواند باعث از بین رفتن و سرنگونی نیزگردد . البته اگر به امنیت
آن توجه نکنیم .
چند مثال بابت درک بهتراین موضوع ارائه میکنم :
اطلاعات سازمان ثبت اسناد و املاک را اگر کسی تغییر دهد و یا از بین ببرد !!
یک کارخانه تولید مواد شیمیائی و یا همین نیروگاه های هسته ای را در نظر بگیرید اگر اطلاعات و اسناد محرمانه ی فرمولهای
ساخت مواد مربوطه به دست دیگران بیفتد !!!!
و کوچکترین قسمت آن همین رمز و پسورد کارتهای اعتباری و حسابهای بانکی شخصی !!!
لذا جهت حفظ اطلاعات و مديريت آنها و جلوگيري از هر گونه سوء استفاده مي بايست بر اساس آخرين دستاورد هاي روز دنيا و
استاندارد هاي مربوطه اقدام کرد و به روز بود .
در این راستا سازمانهای خاصی بوجود آمدند که استانداردهایی را در این زمینه معرفی کرده اند که مورد استفاده قرارمیگیرد.
تاريخچه ورود اين استانداردها با [URL="http://ifile.it/plngus5/292166___bs_iso-iec_27001_2005.rar"]BS 7799 [/URL] شروع شده است كه در
دوره خود كاملترين و معروفترين استاندارد در اين زمينه بود.
اين استاندارد در سال 1987 توسط موسسه Commercial Computer Security Center(CCSC) بخش UK Department of
trade and industry تدوين گرديده سپس با توجه به گذشت زمان و تجارب مختلف از سنجش ميزان امنيت اطلاعات توسط CSC
و مرکز محاسبات بين المللي NCC ويک کنسرسيوم از کاربران يک نسخه استاندارد امنيت با عنوان مستندات راهبري PD003 در
انگلستان منتشر شد و نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد [URL="http://www.iso.org/iso/home.html"]ISO [/URL]International Organization for Standardization ثبت گرديد .
در فوريه سال 1998 نسخه دوم اين استاندارد (BS 7799) تحت عنوان سيستم مديريت امنيت اطلاعات ISMS)) منتشر شد.
در سال 2000 با افزودن الحاقيه اي به استاندارد BS7799 که به عنوان ISO ثبت شده بود اين استاندارد تحت عنوان راهنماي
اجراي استاندارد امنيت اطلاعاتISO/IEC 17799 به ثبت رسيد.
استاندارد BS7799 در سال 2002 مجدداٌ مورد بازنگري قرار گرفت و نها يتاٌ آخرين ويرايش استاندارد ISMS در28 ژوئن
سال 2005 تحت عنوان ISO/IEC FDIS 27001:2005 (Draft BS7799-2:2005) توسط کميته IST/33 سازمان ISO چاپ
و منتشر شد.
البته بعد از چند مدت این سازمان به این نتیجه رسید که یک استاندارد جوابگوی نیازهای جامعه جهانی در مورد برقراری امنیت نمی باشد لذا
اقدام به تهیه یک استاندارد کلی و سر فصلی نمود که شامل مجموعه ای از استاندارد ها می باشد به نام ISO27000 که چند مورد از آنها
را در ذیل نام میبرم و مختصری در مورد هر یک از آنها و خصوصیات مربوطه توضیح میدهم :
ISO27000 : مقدمه و مروری بر استانداردهای خانواده [URL="http://www.google.com/url?sa=t&source=web&cd=1&sqi=2&ved=0CBIQFjAA&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FInformation_security_management_system&rct=j&q=isms&ei=7tsgTcBHicyzBvqgjP4M&usg=AFQjCNGDygrLrRWWAt6Aqu3CfmHeOghVWg&cad=rja"]ISMS [/URL]به همراه تعریف واژگان رایج مورد استفاده.
Information Security Management System (ISMS)
سيستم مديريت امنيت اطلاعات( ISO 27001 )
ISO27001 : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمانها جهت اخذ گواهینامه.
ISO27002 : مجموعه ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای ISMS.
ISO27003 : راهنمای پیاده سازی ISMS.
ISO27004 : استاندارد اندازه گیری و تعیین سطح مدیریت امنیت اطلاعات.
[URL="http://ifile.it/bwu8fhx"]ISO27005 [/URL]: استاندارد مدیریت ریسک در امنیت اطلاعات.
[URL="http://ifile.it/24rqyx0/292170___bs_iso-iec_27006_2007.rar"]ISO27006 [/URL]: راهنمای مراحل دریافت گواهینامه.
ISO27007 : راهنمای بازرسی و نظارت بر ISMS.
ISO27011 : راهنمایی پیاده سازی ISMS در صنعت مخابرات.
ISO27799 : راهنمای پیاده سازی ISMS در حوزه سلامت.
مهم ترین موارد ارائه شده در اين استاندارد ها به شرح زير مي باشد :
1- تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيت
2- تکنيک هاي مورد استفاده در هر مرحله از ايمن سازي و جزئيات آن
3- خط مشي امنيتي و طرح ها و برنامه هاي تدوين شده و مورد نياز سازمان در اين زمينه
4- شناسايي ، ارزيابي و تدوين راه کارهاي برخورد با مخاطرات ( Risks ) در سازمان
5- نياز و نحوه ايجاد تشکيلات سياست گذاري ، اجرائي و فني در زمينه امنيت فضاي تبادل اطلاعات ( افتا )
6- کنترل هاي امنيتي مورد نياز براي حفاظت از سيستم هاي اطلاعاتي و ارتباطي
در ادامه باید عرض کنم که اکثر نهادها و سازمانها اولین راهکار برای امنیت را، استفاده از دیواره های آتشین یا فایروالها و آنتی ویروسهای
گرانقیمت درسیستم های رایانه ای خویش در نظر میگیرند ولی آیا به نظر شما استفاده از این امکانات بدون محاسبه دقیق و در نظر گرفتن
نیازهای یک سازمان تحت یک استاندارد خاص چاره ساز است ؟
ISMS به مديران اين امکان را مي دهد تا بتوانند امنيت سيستم های خود را با به حداقل رساندن ريسک های امنيتي و تجاری کنترل کنند.
یک مدیر با تجربه و تحصیل کرده همواره به فکر مدون سازی یک برنامه و سیستم منظم مخصوص سازمان خویش بر اساس استاندارد
و برنامه جامع امنیتی است .
یک سیستم جامع امنیتی بر چند اصل پایدار می باشد که به شرح ذیل است :
1- سياست ها و دستورالعملهاي امنيتي
2- تکنولوژي و محصولات امنيتي
3- عوامل اجرايي
سياست ها و دستورالعملهاي امنيتي : در این مرحله برنامه های مربوط به شیوه نگهداری از سیستم های اطلاعاتی و دیتا های آنها مورد توجه قرار
میگیرد . قوانین امنیتی در این مرحله شامل دو بخش است که در قسمت اول مشخص نمودن لایه های امنیتی مطلوب و ارائه استاندارد امنیتی مربوط
ودر قسمت بعدی ارائه راهکارهای امنیتی و به کارگرفتن آنها برای رسیدن به هدف می باشد .
تکنولوژي و محصولات امنيتي : در این مرحله کلیه راهکارهای امنیتی اعم از آنتی ویروسها و فایروالها و نظارت دقیق بر شبکه و سیستم های
کنترل کننده اعمال میشود .
عوامل اجرائی : در این مرحله مدیران و پرسنل و افراد مربوطه قرار میگیرند .
ادامه دارد .
کیوان دارابخانی[/RIGHT]
[/RIGHT]
[/INDENT]
سایت رو دیدید؟؟
[QUOTE]یه سایت ژاپنی یه پایگاه داده انلاین ساخته و با روش مشابه داره ارزیابی امنیت اطلاعات رو انجام میده که کلی هم دیتابیسش رشد داشته و استقبال شده ازش[/QUOTE]
خودتون بیشتر در موردش توضیح بدید
اینی که من دیدم یک شرکته که ادعا بر ارائه سرویسهای امنیتی در حوزه های مختلف داره
با این اهداف
[QUOTE]
[B]3 missions[/B]
[LIST=1][*]Assuring the security and reliability of IT in the social infrastructure[*]Strengthening international competitiveness[*]Cultivating highly skilled world-class IT human resources[/LIST]
[/QUOTE]
پایگاه داده ان لاین ؟ ارزیابی ؟ کی کجا ؟ میشه خودتون بیشتر توضیح بدید ؟
سلام دوستان
بحث استاندارد و مقاله وپایان نامه و ... شد دیدم بهتره این لینک رو بذارم
[url]http://forum.persiannetworks.com/f109/t43219.html[/url]
[QUOTE=mhdganji;304469]خودتون بیشتر در موردش توضیح بدید
اینی که من دیدم یک شرکته که ادعا بر ارائه سرویسهای امنیتی در حوزه های مختلف داره
با این اهداف
پایگاه داده ان لاین ؟ ارزیابی ؟ کی کجا ؟ میشه خودتون بیشتر توضیح بدید ؟[/QUOTE]
این فایل رو بالا هم گذاشته بودم ولی مثل اینکه اون رو دانلود نکردید.
[url]http://www.ipa.go.jp/security/english/benchmark/documents/Howtouse_ISM_Benchmark.pdf[/url]
توی این فایل حوزه ها و نحوه ارزیابی و اطلاعات دیگه رو به صورت خلاصه نوشته
[QUOTE=hamidkh;304504]این فایل رو بالا هم گذاشته بودم ولی مثل اینکه اون رو دانلود نکردید.
[URL]http://www.ipa.go.jp/security/english/benchmark/documents/Howtouse_ISM_Benchmark.pdf[/URL]
توی این فایل حوزه ها و نحوه ارزیابی و اطلاعات دیگه رو به صورت خلاصه نوشته[/QUOTE]
.... دیدم :hmm::hmm:
جالبه ! خیلی جالبه ! کار قشنگیه !
استانداردها رو چیده کنار هم ! نکات مهم رو دراورده ! بر اساس هر کدوم یکسری سوالات مطرح کرده و شما با حواب دادن به اون سوالات میتونید تقریبا بفهمید تو چه شرایطی هستید !
کار قشنگیه !
به نظرم شما هم میتونید چیز خوبی با این شرایط دربیارید ! البته باز هم به نظرم پایان نامه فوق باید چیز تپل تری باشه
ولی خوب چیز خوبیه ! من هم حاضرم اگه بتونم حتی در حد اینکه محیط تست شما باشم کمک کنم
سوالات باید خیلی هوشمندانه و بر اساس شرایط بومی ما انتخاب بشوند و جوابها هم به طرق مختلف (شاید شکل، شاید تیک، شاید چند جوابی و ...)
به نفرات مختلف هم در سازمان داده بشه و البته نتیجه گیری درست و درمونی هم بر اساس اونها صورت بگیره
اگه بتونید یک نرم افزار قشنگ هم ازش دربیارید (مثل همین سایت یک چیز تحت وب یا یک برنامه که خودتون می نویسید) جالب میشه
من پایان نامه خودم در مورد شبیه سازی فارغ التحصیلی دانشجویان بود با VB نوشتم ! قشنگ شد ولی از اون مهمتر نتایجش بود که به واقعیت خیلی شباهت داشت و میتونست بچه های رشته هایی خاص رو در گرفتن واحدها و اتفاقاتی که براشون میفته راهنمایی کنه
برید جلو ! کمکی از دستمون بر بیاد هستیم در خدمتتون ! :)
با سلام
عرض شود که بنده هیچ تخصصی در زمینه امنیت اطلاعات ندارم و نمیتونم در این زمینه اظهار نظر کنم و در زمینه امنیت شبکه و داده ها ( رمز نگاری و ... ) کمی کار کردیم و میشه نظری داد . در این تاپیک من احساس کردم یک جایی رو شما دوست عزیز اشتباه متوجه شدید و اون هم سر سایت ژاپنی هستش . این سایت یک سایت pentest هستش ، مانند سایت Securityfucos ، که آسیب پذیری های سرویس ها ، نرم افزار ها، پروتکل ها ، پرتال ها و .... رو گزارش می کنه . که این بر میگرده به مبحث امنیت شبکه ، نه امنیت شبکه بلکه به امنیت داده ها و امنیت نرم افزار هم مربوط میشه . زیرا در این سایت ممکن هستش یک آسیب پذیری از نوع Bufferoverflow در یک نرم افزار ، یا در یک سرویس گزارش بشه ، ممکن هستش یک آسب پذیری تحت وب ( مانند Sql injection - RFi - LFI - RCE ,... ) در یک پرتال گزارش بشه و یا ممکن هستش یک آسیب پذیری رمز گشایی یا تقلید کلید در الگوریتم یک پروتکل یا آسیب پذیری مبنی بر حمله Denial of Service بر علیه یک پروتکل رو گزارش بده . بنابر این در هر زمینه ای که باشه به امنیت اطلاعات مربوط نمیشه .
باز هم طلب بخشش می کنم که در جمع بزرگان پا برهنه وارد شدیم و اظهار نظر کردیم .
با تشکر