آشنایی جامع با کنترل‌های CIS، سیستم مدیریت امنیت اطلاعات (ISMS) و چارچوب امنیت سایبری NIST CSF

کنترل‌های امنیتی حیاتی CIS (CIS Critical Security Controls)

CIS Controls مجموعه‌ای از اقدامات اولویت‌بندی شده برای بهبود امنیت سایبری است. این کنترل‌ها به سازمان‌ها کمک می‌کنند تا رایج‌ترین و مخرب‌ترین حملات سایبری را مسدود کنند.

  1. شناسایی و کنترل دارایی‌های سازمانی
    • Inventory and Control of Enterprise Assets
  2. شناسایی و کنترل نرم‌افزارهای سازمانی
    • Inventory and Control of Software Assets
  3. حفاظت از داده‌ها
    • Data Protection
  4. پیکربندی امن دارایی‌ها و نرم‌افزارها
    • Secure Configuration of Enterprise Assets and Software
  5. مدیریت حساب‌های کاربری
    • Account Management
  6. مدیریت کنترل دسترسی‌ها
    • Access Control Management
  7. مدیریت مستمر آسیب‌پذیری‌ها
    • Continuous Vulnerability Management
  8. مدیریت لاگ‌ها و ثبت وقایع
    • Audit Log Management
  9. حفاظت از ایمیل و مرورگر
    • Email and Web Browser Protections
  10. دفاع در برابر بدافزارها
    • Malware Defenses
  11. بازیابی داده‌ها
    • Data Recovery
  12. مدیریت زیرساخت شبکه
    • Network Infrastructure Management
  13. پایش و دفاع شبکه‌ای
    • Network Monitoring and Defense
  14. آموزش آگاهی امنیتی
    • Security Awareness and Skills Training
  15. مدیریت تأمین‌کنندگان خدمات
    • Service Provider Management
  16. امنیت نرم‌افزارهای کاربردی
    • Application Software Security
  17. مدیریت پاسخ به حوادث
    • Incident Response Management
  18. تست نفوذ
    • Penetration Testing

سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس ISO/IEC 27001

ISO/IEC 27001 یک استاندارد بین‌المللی برای سیستم مدیریت امنیت اطلاعات (ISMS) است. این استاندارد چارچوبی را برای سازمان‌ها فراهم می‌کند تا اطلاعات حساس را مدیریت و حفاظت کنند.

  1. بخش 1: آماده‌سازی و برنامه‌ریزی
    1. تعیین دامنه (Scope) سیستم مدیریت امنیت اطلاعات
      • Determine ISMS Scope
    2. تعیین مالکیت و مسئولیت ISMS
      • Assign ISMS Ownership and Responsibilities
    3. تعیین الزامات قانونی، قراردادی و مقرراتی
      • Identify Legal, Contractual and Regulatory Requirements
    4. تعیین ذی‌نفعان و نیازهای آن‌ها
      • Identify Stakeholders and Their Needs
    5. تعریف سیاست امنیت اطلاعات
      • Define Information Security Policy
    6. انجام تحلیل وضعیت فعلی امنیت اطلاعات (GAP Analysis)
      • Conduct Information Security GAP Analysis
    7. تعیین اهداف امنیت اطلاعات (SMART)
      • Define SMART Information Security Objectives
    8. تعریف چارچوب ارزیابی ریسک امنیت اطلاعات
      • Define Risk Assessment Framework
  2. بخش 2: ارزیابی و مدیریت ریسک
    1. شناسایی دارایی‌ها و ارزیابی آسیب‌پذیری‌ها
      • Identify Assets and Assess Vulnerabilities
    2. شناسایی تهدیدها و تحلیل تأثیرات آن‌ها
      • Identify Threats and Analyze Their Impact
    3. ارزیابی سطح ریسک بر اساس احتمال و تأثیر
      • Evaluate Risk Level Based on Likelihood and Impact
    4. انتخاب کنترل‌ها از Annex A (93 کنترل)
      • Select Controls from Annex A (93 Controls)
    5. تدوین بیانیه اعمال کنترل‌ها (SoA)
      • Develop Statement of Applicability (SoA)
    6. طراحی و اجرای طرح‌های برخورد با ریسک
      • Design and Implement Risk Treatment Plans
  3. بخش 3: اجرای ISMS
    1. تهیه و اجرای رویه‌ها و دستورالعمل‌های امنیتی
      • Develop and Implement Security Procedures
    2. اجرای کنترل‌های فنی (فایروال، آنتی‌ویروس، MFA، لاگینگ...)
      • Implement Technical Controls (Firewall, Antivirus, MFA, Logging...)
    3. اجرای کنترل‌های فیزیکی (کنترل دسترسی، دوربین، تجهیزات ایمن)
      • Implement Physical Controls (Access, Cameras, Secure Equipment)
    4. اجرای آموزش و آگاهی‌بخشی به پرسنل
      • Conduct Security Awareness Training
    5. اجرای سیاست مدیریت تغییر
      • Implement Change Management Policy
    6. آماده‌سازی طرح تداوم کسب‌وکار و بازیابی بحران (BCP/DRP)
      • Prepare BCP/DRP Plans
  4. بخش 4: پایش، بازنگری و بهبود مستمر
    1. پایش و ثبت لاگ فعالیت‌ها
      • Monitor and Log Activities
    2. انجام ممیزی داخلی ISMS
      • Conduct Internal ISMS Audit
    3. رسیدگی به عدم انطباق‌ها و اقدامات اصلاحی
      • Handle Nonconformities and Corrective Actions
    4. برگزاری جلسات بازنگری مدیریت
      • Hold Management Review Meetings
    5. بهبود مستمر سیستم مدیریت امنیت اطلاعات
      • Continual Improvement of ISMS

کنترل‌های Annex A در ISO/IEC 27002:2022

ISO/IEC 27002:2022 راهنمایی برای پیاده‌سازی کنترل‌های امنیت اطلاعات است و به سازمان‌ها در انتخاب، پیاده‌سازی و مدیریت کنترل‌های امنیتی کمک می‌کند.

  1. سازمانی (Organizational Controls)
    • A.5.1: Policies for information security
    • سیاست‌های امنیت اطلاعات
    • A.5.2: Information security roles and responsibilities
    • نقش‌ها و مسئولیت‌های امنیت اطلاعات
    • A.5.3: Segregation of duties
    • تفکیک وظایف
    • A.5.4: Management responsibilities
    • مسئولیت‌های مدیریت
    • A.5.5: Contact with authorities
    • ارتباط با مقامات
    • A.5.6: Contact with special interest groups
    • ارتباط با گروه‌های تخصصی
    • A.5.7: Threat intelligence
    • اطلاعات تهدیدات
    • A.5.8: Information security in project management
    • امنیت اطلاعات در مدیریت پروژه
    • A.5.9: Inventory of information and other associated assets
    • فهرست دارایی‌های اطلاعاتی و مرتبط
    • A.5.10: Acceptable use of information and other associated assets
    • استفاده قابل‌قبول از اطلاعات و دارایی‌های مرتبط
    • A.5.11: Return of assets
    • بازگرداندن دارایی‌ها
    • A.5.12: Classification of information
    • طبقه‌بندی اطلاعات
    • A.5.13: Labelling of information
    • برچسب‌گذاری اطلاعات
    • A.5.14: Information transfer
    • انتقال اطلاعات
    • A.5.15: Access control
    • کنترل دسترسی
    • A.5.16: Identity management
    • مدیریت هویت
    • A.5.17: Authentication information
    • اطلاعات احراز هویت
    • A.5.18: Access rights
    • حقوق دسترسی
    • A.5.19: Information security in supplier relationships
    • امنیت اطلاعات در روابط تأمین‌کننده
    • A.5.20: Addressing information security within supplier agreements
    • پرداختن به امنیت اطلاعات در قراردادهای تأمین‌کننده
    • A.5.21: Managing information security in the ICT supply chain
    • مدیریت امنیت اطلاعات در زنجیره تأمین ICT
    • A.5.22: Monitoring, review, and change management of supplier services
    • نظارت، بازبینی و مدیریت تغییر خدمات تأمین‌کننده
    • A.5.23: Information security for use of cloud services
    • امنیت اطلاعات برای استفاده از خدمات ابری
    • A.5.24: Information security incident management planning and preparation
    • برنامه‌ریزی و آمادگی مدیریت رخدادهای امنیت اطلاعات
    • A.5.25: Assessment and decision on information security events
    • ارزیابی و تصمیم‌گیری درباره رخدادهای امنیت اطلاعات
    • A.5.26: Response to information security incidents
    • پاسخ به رخدادهای امنیت اطلاعات
    • A.5.27: Learning from information security incidents
    • یادگیری از رخدادهای امنیت اطلاعات
    • A.5.28: Collection of evidence
    • جمع‌آوری شواهد
    • A.5.29: Information security during disruption
    • امنیت اطلاعات در زمان اختلال
    • A.5.30: ICT readiness for business continuity
    • آمادگی ICT برای تداوم کسب‌وکار
    • A.5.31: Legal, statutory, regulatory, and contractual requirements
    • الزامات قانونی، مقرراتی و قراردادی
    • A.5.32: Intellectual property rights
    • حقوق مالکیت فکری
    • A.5.33: Protection of records
    • حفاظت از سوابق
    • A.5.34: Privacy and protection of PII
    • حریم خصوصی و حفاظت از اطلاعات شناسایی شخصی (PII)
    • A.5.35: Independent review of information security
    • بازبینی مستقل امنیت اطلاعات
    • A.5.36: Compliance with policies, rules, and standards
    • انطباق با سیاست‌ها، قوانین و استانداردها
    • A.5.37: Documented operating procedures
    • رویه‌های عملیاتی مستند
  2. کنترل‌های مردمی (People Controls)
    • A.6.1: Screening
    • بررسی پیشینه
    • A.6.2: Terms and conditions of employment
    • شرایط استخدام
    • A.6.3: Information security awareness, education, and training
    • آگاهی، آموزش و تعلیم امنیت اطلاعات
    • A.6.4: Disciplinary process
    • فرآیند انضباطی
    • A.6.5: Responsibilities after termination or change of employment
    • مسئولیت‌ها پس از خاتمه یا تغییر شغل
  3. کنترل‌های فیزیکی (Physical Controls)
    • A.7.1: Physical security perimeter
    • مرز امنیت فیزیکی
    • A.7.2: Physical entry controls
    • کنترل‌های ورود فیزیکی
    • A.7.3: Securing offices, rooms, and facilities
    • ایمن‌سازی دفاتر، اتاق‌ها و امکانات
    • A.7.4: Physical security monitoring
    • پایش امنیت فیزیکی
    • A.7.5: Protection against physical and environmental threats
    • حفاظت در برابر تهدیدهای فیزیکی و محیطی
    • A.7.6: Working in secure areas
    • کار در مناطق امن
    • A.7.7: Clear desk and clear screen policy
    • سیاست میز پاک و صفحه نمایش پاک
    • A.7.8: Equipment siting and protection
    • قرارگیری و حفاظت از تجهیزات
    • A.7.9: Security of assets off-premises
    • امنیت دارایی‌ها خارج از محل
    • A.7.10: Storage media
    • رسانه‌های ذخیره‌سازی
    • A.7.11: Supporting utilities
    • خدمات پشتیبانی
    • A.7.12: Cabling security
    • امنیت کابل‌کشی
    • A.7.13: Equipment maintenance
    • نگهداری تجهیزات
    • A.7.14: Secure disposal or reuse of equipment
    • دفع ایمن یا استفاده مجدد از تجهیزات
  4. کنترل‌های فنی (Technological Controls)
    • A.8.1: User endpoint devices
    • دستگاه‌های انتهایی کاربران
    • A.8.2: Privileged access rights
    • حقوق دسترسی ویژه
    • A.8.3: Information access restriction
    • محدودیت دسترسی به اطلاعات
    • A.8.4: Access to source code
    • دسترسی به کد منبع
    • A.8.5: Secure authentication
    • احراز هویت امن
    • A.8.6: Capacity management
    • مدیریت ظرفیت
    • A.8.7: Protection against malware
    • حفاظت در برابر بدافزارها
    • A.8.8: Management of technical vulnerabilities
    • مدیریت آسیب‌پذیری‌های فنی
    • A.8.9: Configuration management
    • مدیریت پیکربندی
    • A.8.10: Information deletion
    • حذف اطلاعات
    • A.8.11: Data masking
    • مخفی‌سازی داده‌ها
    • A.8.12: Data leakage prevention
    • پیشگیری از نشت اطلاعات
    • A.8.13: Information backup
    • پشتیبان‌گیری از اطلاعات
    • A.8.14: Redundancy of information processing facilities
    • تکرارپذیری امکانات پردازش اطلاعات
    • A.8.15: Logging
    • ثبت لاگ‌ها
    • A.8.16: Monitoring activities
    • پایش فعالیت‌ها
    • A.8.17: Clock synchronization
    • همگام‌سازی ساعت
    • A.8.18: Use of privileged utility programs
    • استفاده از برنامه‌های کاربردی با دسترسی ویژه
    • A.8.19: Secure development life cycle
    • چرخه حیات توسعه امن
    • A.8.20: Application security requirements
    • الزامات امنیتی برنامه‌ها
    • A.8.21: Secure system architecture and engineering principles
    • معماری و اصول مهندسی سیستم‌های امن
    • A.8.22: Secure coding
    • کدنویسی امن
    • A.8.23: Security testing in development and acceptance
    • تست امنیت در توسعه و پذیرش
    • A.8.24: Outsourced development
    • توسعه برون‌سپاری شده
    • A.8.25: Separation of development, test and production environments
    • تفکیک محیط‌های توسعه، آزمون و تولید

چارچوب امنیت سایبری NIST (NIST Cybersecurity Framework - CSF)

NIST CSF چارچوبی انعطاف‌پذیر است که به سازمان‌ها کمک می‌کند تا ریسک‌های امنیت سایبری خود را مدیریت و کاهش دهند. این چارچوب بر اساس پنج عملکرد اصلی ساخته شده است.

  1. شناسایی (Identify)
    • مدیریت دارایی‌ها (Asset Management)
    • مدیریت محیط (Business Environment)
    • حاکمیت (Governance)
    • ارزیابی ریسک (Risk Assessment)
    • مدیریت ریسک عرضه‌کنندگان (Supply Chain Risk Management)
    • Identify
      • Asset Management
      • Business Environment
      • Governance
      • Risk Assessment
      • Supply Chain Risk Management
  2. محافظت (Protect)
    • کنترل دسترسی (Identity Management and Access Control)
    • آموزش و آگاهی (Awareness and Training)
    • امنیت داده‌ها (Data Security)
    • فرآیندها و رویه‌های حفاظتی (Information Protection Processes and Procedures)
    • نگهداری (Maintenance)
    • محافظت از فناوری‌ها (Protective Technology)
    • Protect
      • Identity Management and Access Control
      • Awareness and Training
      • Data Security
      • Information Protection Processes and Procedures
      • Maintenance
      • Protective Technology
  3. شناسایی رخداد (Detect)
    • ناهنجاری‌ها و رخدادها (Anomalies and Events)
    • نظارت مستمر امنیتی (Security Continuous Monitoring)
    • فرآیندهای شناسایی (Detection Processes)
    • Detect
      • Anomalies and Events
      • Security Continuous Monitoring
      • Detection Processes
  4. پاسخ‌گویی (Respond)
    • برنامه‌ریزی پاسخ (Response Planning)
    • ارتباطات (Communications)
    • تحلیل (Analysis)
    • کاهش (Mitigation)
    • یادگیری از رخدادها (Improvements)
    • Respond
      • Response Planning
      • Communications
      • Analysis
      • Mitigation
      • Improvements
  5. بازیابی (Recover)
    • برنامه‌ریزی بازیابی (Recovery Planning)
    • بهبودها (Improvements)
    • ارتباطات (Communications)
    • Recover
      • Recovery Planning
      • Improvements
      • Communications