نتیجه جستجوی عبارت 'ISMS'
Generic placeholder image
یکپارچه‌سازی خروجی تست نفوذپذیری با فرآیند مدیریت ریسک امنیت اطلاعات

ارزیابی ریسک به عنوان یکی از اصلی ترین الزامات ISMS محسوب می شود. استخراج و ارزیابی آسیب پذیری های فنی که عمدتا از فرآیند تست نفوذپذیری منتج می شوند نیز سهم عمده ای را در این بخش در اختیار دارد. با توجه به تنوع رویکردهای ارزیابی ریسک های فنی و فرآیندی، یکی از دغدغه مدیران در این خصوص این است که تست نفوذپذیری چگونه باید انجام شود و نتایج آن چگونه با نتایج فرآیند مدیریت ریسک یکپارچه شود. در این مقاله ابتدا کلیات فرآیند مدیریت ریسک تشریح شده و قید خواهد شد که در هر گام، چگونه خروجی تست نفوذپذیری در نتایج مدیریت ریسک ادغام خواهد شد.

نویسنده: محسن دهقان

دسته بندی: مدیریت ریسک

Generic placeholder image
چالش‌های رمزنگاری در استقرار سیستم مدیریت امنیت اطلاعات

در این مقاله، به جایگاه رمزنگاری در استقرار سیستم مدیریت امنیت اطلاعات پرداخته‌ شده است. در آخرین نسخه استاندارد به موضوع رمزنگاری به‌ عنوان یک حوزه کنترلی مستقل پرداخته‌ شده است؛ درحالی‌ که در نسخه های پیشین این‌ چنین نبود و به موضوع رمزنگاری در قالب حوزه های کنترلی دیگر اشاره شده بود؛ برای تشریح این حوزه کنترلی، ابتدا باید رمزنگاری را تعریف و مصادیق رمزنگاری را شناسایی نمود و در ادامه الزامات استاندارد را در خصوص آن تعیین نمود.

نویسنده: احمد فرجی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
آسیب پذیری های جدید سیستم های کنترل صنعتی(SCADA)

با توجه به آخرین آسیب پذیری های گزارش شده در پایگاه داده آسیب‌پذیری‌ها (NIST) مشخص شد که در تاریخ 13 آگوست 2019 کارشناسان امنیتی شرکت زیمنس 2 آسیب پذیری جدید با درجه امنیت بالا، مربوط به سیستم های کنترل صنعتی را گزارش داده اند. در این مطلب قصد داریم ضمن بررسی و توضیح آسیب پذیری های مذکور، تجهیزات و سخت افزارهایی که با استفاده از آنها تهدید میشوند را معرفی کنیم و در نهایت نحوه جلوگیری و کاهش ریسک این آسیب پذیری ها نیز آورده شده است.

نویسنده: محمد کیانی

دسته بندی: ارزیابی امنیتی

Generic placeholder image
سیر تاریخی ITIL: از ابتدا تا ITIL 4

با توجه به گسترش ارائه خدمات فناوری اطلاعات، به جرات می توان بیان داشت ITIL محبوبترین مرجع استقرار سیستم های مدیریت خدمات فناوری اطلاعات(ITSM) در سازمان ها می باشد. اگر علاقه‌مند به این حوزه موضوعی می باشید، می توانید با مطالعه این مقاله در زمانی کوتاه، به خواستگاه و نحوه پیدایش ITIL، سیر تکاملی آن (از ITIL V1 تا ITIL 4) و همچنین ساختار و تفاوت های اساسی آنها پی ببرید.

نویسنده: مجید یداللهی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
ساختار مراکز عملیات امنیت (SOC)

با پیشرفت سریع تکنولوژی در عصر حاضر، تمامی کسب و کارها باید از اطلاعات حساس خود در مورد مشتریان، کارکنان، شرکای خود و عیره بیشتر محافظت کنند. اما با افزایش پیچیدگی جرایم سایبری و نرم افزارهای نفوذگر، این حفاظت به کاری سخت و پیچیده تبدیل شده است. با توجه به این پیچیدگیها ، کسب و کارها روشهای جدیدی را برای دفاع از خود در برابر حملات سایبری بررسی می کنند؛ برخی از راهکارهای داخلی استفاده کرده و برخی امنیت سایبری خود را بطور کامل برون سپاری می کنند. اما موثرترین مفهومی که در میان سازمانها از محبوبیت بیشتری برخوردار است، استفاده از یک مرکز عملیات امنیت (SOC) است.

نویسنده: احمد آسنجرانی

دسته بندی: زیرساخت

Generic placeholder image
طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری

مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال 97 نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری را به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ نمود. در این مطلب تلاش شده است، خلاصه‌­ای از الزامات در نظر گرفته شده در مستند مذکور ارائه گردد. در بخش اول این مقاله مرکز مدیریت راهبردی افتا و اهداف آن معرفی شده و در ادامه به الزامات و مخاطبین طرح که پیاده ­سازی موارد برای آن­ها الزامی است اشاره شده است.

نویسنده: پگاه عیوضی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
اولویت‌بندی پیاده سازی دامنه های کنترلی استاندارد ISO27001:2013 با استفاده از مدل وابستگی

اولویت پیاده‌سازی میان کنترل های 114 گانه مندرج در پیوست الف استاندارد ISO27001:2013 بویژه در چرخه های بهبود ISMS، به عنوان یکی از چالشهای مهم در استقرار سیستم مدیریت امنیت اطلاعات، همواره مورد بحث بوده است. در این مقاله قصد داریم به‌منظور تعیین راهبرد پیاده سازی، بهبود و ارتقای سیستم در سازمانها، به بررسی نوع ارتباط میان دامنه‌های کنترلی اصلی استاندارد و ارائه یک مدل وابستگی میان آنها بپردازیم.

نویسنده: میلاد یداللهی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
استفاده از OWASP برای استقرار سیستم مدیریت امنیت اطلاعات

امنیت برنامه های کاربردی به عنوان یکی از حوزه های مهم و اساسی در استقرار سیستم مدیریت امنیت اطلاعات بر مبنای استاندارد ISO 27001 به شمار می آید. به منظور استقرار و پیاده سازی اثربخش این حوزه از استاندارد، کارشناسان و متخصصین معمولا از استانداردها و متدولوژی های مکمل نیز بهره می گیرند. در این مقاله راهنمای کلان استفاده از اطلاعات پروژه های OWASP به منظور استقرار حوزه امنیت برنامه های کاربردی در سیستم مدیریت امنیت اطلاعات تشریح می گردد.

نویسنده: امیر خوانی

دسته بندی: سیستم مدیریت امنیت اطلاعات