نتیجه جستجوی عبارت 'ISO'
Generic placeholder image
آسیب پذیری های بازنشانی رمز عبور و راه کارهای امن سازی آنها- قسمت اول

هر سامانه ای که کاربر را ملزم به احراز هویت با رمز عبور می‌کند، باید مکانیزمی داشته باشد که در صورت فراموش کردن رمز عبور، کاربر بتواند دوباره به حساب خود دسترسی پیدا کند. هدف از ارائه این مقاله آشنایی و امن سازی با برخی از آسیب پذیری های بازنشانی رمز عبور است. از آنجایی که این عملکرد یک مسیر مستقیم برای به خطر انداختن حساب کاربر فراهم می کند، بسیار مهم است که به صورت ایمن پیاده سازی شود. در این مقاله سعی میکنیم تا برخی از آسیب پذیری های امنیتی وب که در عملکرد بازنشانی رمز عبور ممکن است مورد سوء استفاده قرار گیرد، تشریح شده و راهکارهای امن سازی در برابر آنها مطرح شده است.

نویسنده: امیر عبدلی

دسته بندی: ارزیابی امنیتی

Generic placeholder image
مزایا و لزوم پیاده سازی Threat Intelligence در سازمان ها

با توجه به پیچیدگی و گسنرش حملات سایبری، سازمان ها باید نسبت به جمع آوری اطلاعات تهدیدها و تجزیه و تحلیل آنها اقدام نمایند تا از وقوع آنها جلوگیری کنند. هوش تهدید یا Threat intelligence فرآیندی است که شامل جمع آوری،تجزیه وتحلیل اطلاعات تهدید و تولید خروجی مناسب است. این فرآیند سازمان را قادر می سازد تا در برابرتهدیدهای سایبری، تصمیمات سریع‌تر و آگاهانه‌تر اتخاذ کند. در این مقاله سعی شده است تا ضمن تعریف هوش تهدید، الزامات این فرآیند را با نگاهی به کنترل های امنیتی استاندارد ISO 27002 نسخه 2022 بررسی نماییم.

نویسنده: سعید ترکمانی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
بررسی کنترل‌های امنیتی ISMS در ویرایش جدید استاندارد ISO 27002:2022

نسخه جدید استاندارد ISO 27002 به عنوان یکی از استانداردهای مهم خانواده ISMS در سال 2022 منتشر شده است که در آن مجموعاً 93 کنترل وجود دارد که 11 مورد جدید را در آن نسبت به استاندارد سال 2013 شاهد هستیم، همچنین 24 مورد با یکدیگر تلفیق شده و 58 کنترل امنیتی به‌روز شده‌اند. از جمله تغییرات جالب در این نسخه، اضافه شدن مفهومی جدید با عنوان Attribute است که جهت دسته‌بندی کنترل‌ها کاربرد دارد. در این مطلب قصد داریم ضمن بررسی تغییرات نسخه جدید، تأثیر این تغییرات را بر سازمان‌هایی که دارای سیستم فعال هستند و یا در حال استقرار ISMS می‌باشند، مورد بررسی قرار دهیم.

نویسنده: محبوبه سپهری نسب

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
تشریح و بررسی مدیریت دسترسی به اطلاعات در سازمان

یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی به اطلاعات است. مدیران سازمانی همواره با این چالش مواجه‌اند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند. در این مقاله به تشریح الگوی مطرح شده از سوی استاندارد ISO 27001 در خصوص کنترل دسترسی پرداخته می شود.

نویسنده: محسن دهقان

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
معرفی متدولوژی های ارزیابی ریسک امنیت اطلاعات

موضوع ارزیابی ریسک امنیت اطلاعات به عنوان یکی از مهمترین فرآیندهای پیاده سازی استانداردهای GRC و به ویژه ISMS، همواره مورد توجه قرار گرفته است. در این بین بکارگیری و انتخاب یک روش و متدولوژی مناسب و درخور سازمان که بتواند با صرف کمترین زمان و انرژی، به خوبی آسیب پذیری ها و تهدیدات سازمان را تحلیل و شناسایی نماید، همواره به عنوان یکی از اصلی ترین چالش های مدیران و راهبران امنیت اطلاعات بوده است. در این مقاله سعی داریم تا با معرفی شاخص ترین متدهای ارزیابی ریسک، شما را در انتخاب یک روش مناسب یاری نماییم.

نویسنده: سعید ترکمانی

دسته بندی: مدیریت ریسک

روش های ارزیای ریسک

آسیب پذیری دارایی های اطلاعاتی در یک سازمان می توانند نهدید های امنیتی بزرگی را برای یک سازمان ایجاد کنند و در کسب وکار سازمان اختلال ایجاد کنند. مطابق با استاندارد ISO27001 سازمان ها باید یک فرآیند مقابله با ریسک های امنیت اطلاعات را تعریف کرده و به کار گیرند تا بتوانند ریسک های امنیتی را کاهش دهند در این مقاله سعی بر آن شده است که انواع روش های ارزیابی ریسک معرفی شود

نویسنده: سعید ترکمانی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
الزامات مربوط به امنیت و حریم خصوصی برای توسعه دهندگان و تولید کننده گان IOT

با توجه به ساختار نسبتا پیچیده فناوری اینترنت اشیاء (IOT)، این حوزه با چالش های امنیتی متفاوتی رو به رو است. به همین دلیل نیاز به استانداردسازی و نگاه ویژه از منظر امنیت اطلاعات به این موضوع بدیهی می باشد. در همین راستا استاندارد ISO 27030 از سوی خبرگان امنیتی سازمان جهانی استاندارد در راستای الزامات سیستم مدیریت امنیت اطلاعات ISMS پیشنهاد شده است که در آینده ای نزدیک منتشر خواهد شد. در این مقاله سعی شده است تا ضمن ایجاد نگاه استانداردگونه به این موضوع، الزامات مورد نیاز امنیتی و حریم خصوصی برای توسعه دهندگان و تولیدکننده گان IOT تشریح شود.

نویسنده: سعید ترکمانی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
تشریح الزامات مرکز مدیریت راهبردی افتای ریاست جمهوری در حوزه استقرار ISMS

مرکز مدیریت راهبردی افتای ریاست جمهوری به عنوان متولی امن‌سازی زیرساخت‌های دستگاه‌های حیاتی کشور، مجری بررسی و ارزیابی وضعیت پیاده‌سازی استاندارد سیستم مدیریت امنیت اطلاعات (ISO/IEC 27001:2013) در سازمان‌ها و تعیین صلاحیت آن‌ها جهت اخذ گواهینامه معتبر ملی است. این مرکز، الزاماتی را در خصوص چگونگی پیاده‌سازی این سیستم در سازمان تدوین و ابلاغ نموده است که این الزامات، حداقل انتظارات مدنظر از پیاده‌سازی این سیستم است. در این مقاله، به بررسی این الزامات و چگونگی استقرار این سیستم در سازمان خواهیم پرداخت.

نویسنده: محسن دهقان

دسته بندی: سیستم مدیریت امنیت اطلاعات