کنترل های کلیدی امنیت اطلاعات، ارزیابی و رفع مستمر آسیب پذیری ها

دیدگاه‌ خود را بنویسید / کنترل های امنیت اطلاعات

شرح کنترل

آسیب پذیری ها (vulnerability) ضعیف های بالقوه سیستم ها و زیرساخت های سازمان هستند که می توانند توسط نفوذگران و حمله کنندگان مورد سو استفاده قرار گیرند. براین اساس ضروری است تا به صورت مستمر وضعیت آسیب پذیری امنیت اطلاعات در سازمان مورد ارزیابی قرار گرفته، آسیب پذیری ها شناسایی شده و برای رفع آنها اقدام گردد. برخی از آسیب پذیری ها ممکن است در یک نرم افزار یا سیستم عامل وجود داشته باشد، لیکن تا مدت زمانی شناسایی نشده باشند. از این رو کارشناسان امنیت اطلاعات باید به صورت مرتب اطلاعات مربوط به آسیب پذیری های جدید شناسایی شده را از منابع اطلاعاتی معتبر دریافت کنند تا در صورتی که سازمان نیز به آسیب پذیری مذکور دچار است، آنرا رفع کنند.

همچنین برای رفع آسیب پذیری ها باید به صورت مستمر نسخه های جدید نرم افزارها و وصله های امنیتی آنها به روزرسانی شوند. تولیدکنندگان نرم افزارها برای رفع مشکلات و آسیب پذیری های جاری خود، وصله های امنیتی جدیدی منتشر می کنند که باید در سازمان به روزرسانی گردند.

نکته حائز اهمیت در این میان این است که هکرها و نفوذگران به اطلاعاتی مشابه با اطلاعات کارشناسان امنیت دسترسی دارند. از این رو زمانی که یک آسیب پذیری در نرم افزاری مانند سیستم عامل ویندوز توسط محققان یا مراجع مربوطه گزارش می شود، هکرها مسابقه ای را برای سو استفاده از این آسیب پذیری آغاز می کنند. در این حالت تیم امنیت اطلاعات سازمان باید سرعت عمل بالایی داشته باشد به نحوی که فرصت سو استفاده از هکرها را بگیرد.
پایش و اسکن مستمر سیستم ها و زیرساخت ها برای شناسایی آسیب پذیری های بالقوه از اقداماتی است که باید توسط تیم امنیتی سازمان انجام شود.

طبقه بندي آسيب پذيری ها

طبقه بندي آسيب پذيري هاي امنيتي به شناخت و ارزيابي بهتر آنها كمك مي كند. سازمان بين المللي استاندارد آسيب پذيري هاي متداول امنيتي را به شرح زير تقسيم بندي نموده است:

آسيب پذيري هاي سخت افزاري:
• حساسيت در مقابل رطوبت هوا
• حساسيت در مقابل گرد و خاك
• حساسيت در مقابل خيس شدن
• حساسيت در مقابل ذخيره سازي نا ايمن

آسيب پذيري هاي نرم افزار:
• آزمون هاي غير كافي
• وجود نداشتن شواهد حسابرسي
• ضعف طراحي

آسيب پذيري هاي شبكه:
• خطوط ارتباطي محافظت نشده
• معماري غير ايمن شبكه

آسيب پذيري هاي نيروي انساني:
• فرآيند ضعيف استخدام
• ضعف در اطلاع رساني امنيتي

آسيب پذيري هاي سايت فيزيكي:
• مناطق در معرض سيل
• منابع برق غير قابل اتكا

آسيب پذيري هاي سازماني:
• وجود نداشتن حسابرسي هاي مستمر
• وجود نداشتن برنامه بازيابي در زمان بحران
• ضعف امنيت (منظور تمامي جنبه هاي امنيت فراتر از امنيت اطلاعات است مانند امنيت فيزيكي).

آزمون کنترل

نرم افزارهای محافظتی سازمان از جمله آنتی ویروس ها بررسی شده تا از به روز بودن آنها اطمینان حاصل شود.
با استفاده از نرم افزارهای پایش و اسکن آسیب پذیری، موارد آسیب پذیری شناسایی شده و در مورد اثربخشی کنترل قضاوت گردد.

گزارش کار تیم امنیتی در خصوص شناسایی و رفع آسیب پذیری ها مرور شود.
آسیب پذیری های جدید شناسایی شده و از تیم امنیتی در خصوص اقدامات انجام شده برای ارزیابی و اقدام در خصوص آنها توضیحات مستدل درخواست گردد.

 

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top