مبحث یکم : مقدمه و تاریخچه
مبحث دوم: مراحل نفوذ کردن / جلوگیری از نفوذ
مبحث سوم: حملات شبکه ای
مبحث چهارم - کار عملی
مبحث پنجم - DHCP
مبحث ششم - وب و حملات مطرح در آن
مبحث هفتم - حملات DoS
مبحث هشتم - سیستم عامل
مبحث نهم - مهندسی اجتماعی
مبحث دهم - Vulnerability (آسیب پذیری)

مطالبی درباره ی ISMS که تجربیات یکی از حاضرین کلاس در یکی از سازمانها می باشد .

فعالیت های انجام گرفته  :در اولین فاز باید برای سازمان یک خط مشی امنیت اطلاعات طراحی شود . قبل از تعیین خط مشی باید سه کمیته تعریف شود . کمیته اول کمیته استقرار است ( پیاده سازی فعالیت ) . تیم راهبری و اجرایی برای مدیریت امنیت اطلاعات ( متشکل از مدیران میانی و سرپرستان سازمان ) که قرار است نتایجی که از کمیته راهبری که متشکل از مدیران ارشد سازمان است را دریافت کنند ، در مورد آن قیمت نهایی را بگیرند و در نهایت آن را به تیم استقرار بدهند برای پیاده سازی . حاصل گزارش شناخت بر روی سازمان ، خطی مش امنیتی طی چند بند ( تعداد کم اما به طور کلان) است. یکی از کارهای مهم، شناخت و طبقه بندی دارایی هاست ( در حوزه فعالیت مورد نظر ) و مدیریت ریسک بر روی آن انجام گیرد . در بحث ISMS یکی از موارد، تعیین هدف است که بیان کننده ی این است که در این پروژه چه اتفاقی قرار است رخ دهد . با توجه به آن یک دامنه کاربرد تعیین می شود . تعیین دامنه کاربرد بسیار مهم است . با توجه به حوزه کار یک سری مسئولیت هایی تعیین می شود مثل اجرای پروژه ، نظارت بر اجرای پروژه و نظارت بر صحت اجرای پروژه .

برای شناسایی ریسک ها موارد زیر انجام می گیرد :

  1. شناسایی دارایی ها
  2. شناسایی ارزش دارایی ها
  3. شناسایی تهدیدات
  4. شناسایی آسیب پذیری ها

در بخش شناسایی دارایی ها یک شناسه به دارایی داده می شود . همچنین در این مرحله دارایی ها به گروه های دارایی تقسیم می شوند مثلا سرورها  ، PCها ، لپ تاپ ، مودم ، پرینتر ، سوئیچ ها و … برای اینکه به دارایی ها ارزش داده شود ، به آن ها از سه بعد نگاه شده است . 1 .بعد ساختاری 2. بعد عملیاتی 3. بعد استراتژی . در بعد ساختاری اثر مالی هر دارایی برای سازمان چقدر است و حساسیت آن از دید شرکت چقدر است . در بعد عملیاتی مواردی مثل وابستگی عملیاتی ، محرمانگی ، دسترس پذیری ، صحت و یکپارچگی دارایی در نظر گرفته می شود . در بعد استراتژی اثر حقوقی ، اثر رقابتی و ارتباط با اهداف استراتژیک شرکت بررسی می شوند . حال ، به هر کدام از موارد بالا یک مقدار داده می شود . مثلا اثر مالی می تواند 3 نمره بگیرد یا اثر مالی کمی دارد که امتیاز آن 1 است یا متوسط که امتیاز آن 3 و یا زیاد است که امتیاز آن 5 است . این اعداد تعریفی است و بستگی به سازمان دارد . مثلا در مورد اثر حقوقی احتمال دارد یک دارایی اصلا اثر حقوقی نداشته باشد و یا از بین رفتن یا خدشه دار شدن دارایی می تواند کار را به شکایت برساند و یا … بعد از تعریف این موارد می توانیم به آن ها یک وزن هم بدهیم . مثلا در یک سازمان ممکن است اثر مالی کمتر از وابستگی عملیاتی مهم باشد چرا که سازمان وضع مالی خوبی دارد .

بعد از تعیین ارزش دارایی بدست آمده باید برای آن دارایی، تهدیدها و آسیب پذیری ها را تعریف کنیم . مثلا برای سرورها ، زلزله ، سیل ، طوفان ، آتش سوزی ، نشت مایعات ، نوسانات و قطع برق و … می تواند به عنوان تهدید یاد شود . البته احتال رخ دادن این حادثه را هم با واژه هایی مثل احتمال رخداد کم ، بعید ، زیاد و .. مشخص می کنیم .

با توجه به این موارد عدد ریسک محاسبه می شود : پس ارزیابی ریسک ها و طبقه بندی آن ها صورت می گیرد . با توجه به نیاز سازمان چرخه ISMS پیاده سازی می شود . مستندات و مراحل آن با توجه به شرایط سازمان انجام می­شود . بحث چرخه ای بودن این فعالیت را نیز باید در نظر داشت .

اسکرول به بالا