آکادمی امنیت سایبری و تست نفوذ

  • امروز 15، آذر 1398 می‌باشد.
  • 989901416229+

اصطلاحات و تعاریف در ISMS

ارسال شده توسط : MrPenTester


ارسال شده در تاریخ : 31، فروردین 1398 - 20:41:34


تصویر پیدا نشد

اصطلاحات و تعاریف در سیستم مدیریت امنیت اطلاعات (ISMS)

 

Asset

 

منظور از دارایی ها آن است که هر چیزی که برای شما و کسب و کارتان ارزشمند باشد.

بطور مثال: دارایی یک بانک میتواند شامل اطلاعات و داده ها،مشتریان و کارمندان،تجهیزات و سیستم ها،برنامه های کاربردی و... میباشد.

 

Procedure

 

منظور از رویه آن است که راه ها و روش های امنیتی مشخص شده را برای انجام یک فعالیت یا فرآیند پیش برد.

بطور مثال:شما با طی کردن چندین گام امنیتی میتوانید مرورگر خود را در برابر حملات ایمن کنید.

 

Threat

 

منظور از تهدید آن است که بطور ناخواسته یک اتفاقی رخ دهد صد در صد در طول زمان منجر به آسیب سازمان یا سیستم ها میگردد.

بطور مثال:اگر یک باگ(حفره امنیتی) در سیستم بوجود آید و شما آن  را تا زمانی که از بین نبرید یا در اصطلاح پچ نکنید،سیستم شما در طول زمان صدمه و آسیب خواهد دید.

 

Vulnerability

 

منظور از آسیب پذیری آن است که یک ضعف موجود در سیستم یا سازمان که میتواند مورد سوء استفاده قرار گیرد.

بطور مثال: تا هر زمانی که سیستم و سازمان دارای ضعف باشند همیشه مورد تهدید قرار میگیرند و این آسیب پذیری ها یا ضعف ها باعث میشود تا کلیه اطلاعات شما افشا،تخریب گردد یا از بین روند.

 

Attack

 

منظور از حمله آن است که مهاجمین یا در کل رقیبان تلاش میکنند که اطلاعات را تخریب،افشا،سرقت کنند،یا آن ها را تغییر دهند و یا کاملا اطلاعات از بین ببرند.

بطور مثال: شما اگر در حال وارد کردن پسورد ایمیل خود هستید در کنار شما یک شخص یا اشخاصی باشد،شما با رعایت نکردن نکات امنیتی،اطلاعات خود را از بین خواهید برد چرا که پسورد و ایمیل شما را شخص یا اشخاص کنار شما میتوانند ببیند و به سرقت ببرند و از آن ایمیل استفاده کنند و اطلاعات کلی شما را که شامل سایت های که عضو آن هستید،اطلاعات تجاری و شخصی شما را افشا یا از بین ببرند ویا از آن سوء استفاده کنند،به این نوع حملات میتوان مهندسی اجتماعی گفت.

 

Access Control

 

منظور از کنترل دسترسی آن است که دسترسی به اطلاعات و دارایی ها باید بصورت مجاز و محدود باشد اگر کنترل دسترسی از بین رود حملات مختلفی صورت خواهد گرفت.

بطور مثال: شما برای دسترسی به اسناد و مدارک و حتی پول های خود در گاو صندوق نیاز دارید که یک کلید و همچنین یک کد امنیتی داشته باشید در این صورت شما قادر خواهید بود به اسناد و مدارک و پول های گاو صندوق دسترسی داشته باشید،اگر کلید و کد امنیتی گاو صندوق را غیر از شما کسی دیگری بداند اطلاعات شما در خطر خواهد افتاد.

 

Accountability

 

منظور از مسئولیت پذیری آن است که فردی که مسئولیت یک یا چند فعالیت(کار)را برعهده گرفته است پاسخگوی تمام اتفاقات و روند فعالیت های خود باشد.

بطور مثال: اگر در یک باجه بانکی یک اتفاقی رخ دهد باید مسئول همان باجه به آن پاسخگو باشد و بگوید چی شده است.

 

Authenticity

 

منظور از اصالت آن است بررسی اینکه کسی که اطلاعات را میدهد همان شخص است یا خیر.

بطور مثال: شخصی میخواهد وارد ایمیل خود شود برای وارد شدن نیاز به ایمیل،پسورد دارد.که حتما باید آن ها را وارد کند تا وارد ایمیل خود شود.

 

Authentication

 

منظور از احراز هویت آن است که اطلاعات ارائه شده باید تضمین شود که برای شخص مورد نظر میباشد.

بطور مثال: دکتری برای اولین بار میخواهد بعنوان یک پزشک وارد یک بیمارستان شود نیاز است کارت ملی و کارت پزشکی خود را ارائه دهد تا احراز هویت بصورت کامل انجام شود،این عمل دقیقا مثل تایید دو مرحله ای میباشد،اینجا کارت پزشکی یعنی پسورد و کد تایید دو مرحله ای یعنی کارت ملی میباشد.

 

Confidentiality,Integrity,Availability

 

Information Security

 

منظور از امنیت اطلاعات آن است که محرمانگی،صحت و تمامیت(یکپارچگی) و دسترسی پذیری باید حفظ شود،تا بتوان امنیت اطلاعات را تایید کرد(امنیت هیچ گاه صد در صد نیست).

 

Information Security Risk

 

منظور از ریسک امنیت اطلاعات آن است که با توانایی یا فعالیتی که ممکن است بسیار خوب باشد اما چون دارای ریسک های زیادی است،ممکن است  تا به سازمان آسیب وارد شود.

 

Information Security Event

 

منظور از رویداد امنیت اطلاعات آن است که یک رخداد شناخته شده ای در سیستم یا سرویس های شبکه باشد که نشان دهد نقصی در امنیت اطلاعات وجود دارد.

 

Information Security Incident

 

منظور از حادثه امنیت اطلاعات آن است که یک یا مجموعه ای از رویدادهای امنیت اطلاعات بطور غیر منتظره به احتمال بسیار زیاد فعالیت های کسب و کار را به خطر انداخته و تهدیدی برای امنیت اطلاعات محسوب میشود.

 

Information Security Incident management

 

منظور از مدیریت حوادث امنیت اطلاعات آن است که به مجموع فرآیندهای که برای گزارش دهی،ارزیابی،آشکار سازی،پاسخ دهی به،رسیدگی به و یادگیری حوادث امنیت اطلاعات مورد استفاده قرار میگیرد را گویند.

 

 

نویسنده: حامد مقدسی پور

منبع: آکادمی امنیت سایبری و تست نفوذ

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده غیر اخلاقی می باشد.





کلیه حقوق برای آکادمی امنیت سایبری و تست نفوذ محفوظ بوده و برداشت غیر مجاز پیگرد قانونی دارد. | Copyright © 2019 Iranian AcademySecurity.ir All rights reserved