شروع دوره آزمایشی رایگان
EnglishEnglish
EspañolSpanish
简体中文Chinese
繁體中文Chinese (Traditional)
FrançaisFrench
DeutschGerman
日本語Japanese
PortuguêsPortuguese
ItalianoItalian
한국어Korean
РусскийRussian
NederlandsDutch
العربيةArabic
PolskiPolish
हिन्दीHindi
Tiếng ViệtVietnamese
SvenskaSwedish
ΕλληνικάGreek
TürkçeTurkish
ไทยThai
ČeštinaCzech
RomânăRomanian
MagyarHungarian
УкраїнськаUkrainian
IndonesiaIndonesian
DanskDanish
SuomiFinnish
БългарскиBulgarian
עבריתHebrew
NorskNorwegian
HrvatskiCroatian
CatalàCatalan
SlovenčinaSlovak
LietuviųLithuanian
SlovenščinaSlovenian
СрпскиSerbian
EestiEstonian
LatviešuLatvian
فارسیPersian
മലയാളംMalayalam
தமிழ்Tamil
اردوUrdu
Searching...
SoBrief
توسعه برنامه‌ها و سیاست‌های امنیت سایبری

توسعه برنامه‌ها و سیاست‌های امنیت سایبری

اثر عمر سانتوس 2018 672 صفحه
4.00
۳ امتیاز
گوش دادن
Amazon Kindle Audible
۳ روز دسترسی کامل رایگان
قفل گوش دادن و امکانات بیشتر را باز کنید!
ادامه

نکات کلیدی

1. امنیت سایبری یک رشته حیاتی برای حفاظت از دارایی‌های اطلاعاتی است

امنیت سایبری دیگر نمی‌تواند به تیم فناوری اطلاعات (IT) واگذار شود. همه افراد باید در این امر مشارکت داشته باشند، از جمله هیئت مدیره.

رویکرد جامع. امنیت سایبری باید در تمام سازمان یکپارچه شود و در بخش IT محدود نگردد. این امر نیازمند مشارکت رهبری، کارکنان و شرکا برای اثربخشی است. سازمان‌ها باید چارچوب امنیتی مانند NIST یا ISO 27001 را برای ایجاد ساختار مناسب اتخاذ کنند.

محرک کسب‌وکار. زمانی که امنیت به‌طور استراتژیک هم‌راستا شود، به‌عنوان یک محرک کسب‌وکار عمل می‌کند که ارزش افزوده ایجاد می‌کند. باید به همان اندازه که سایر عوامل اساسی کسب‌وکار مورد توجه قرار می‌گیرند، به آن توجه شود. این نیازمند رهبری است که ارزش امنیت سایبری را درک کند، در افراد و فرآیندها سرمایه‌گذاری کند و آن را به‌عنوان یک عنصر ضروری برای دستیابی به اهداف سازمانی تلقی کند.

پایه‌گذاری سیاست‌ها. سیاست‌های امنیت سایبری مکتوب، که توسط رهبری تأیید شده‌اند، جهت‌گیری و تعهد سازمان را مشخص می‌کنند. این سیاست‌ها باید مرتبط، واقع‌گرایانه، قابل تطبیق و فراگیر باشند. آن‌ها باید به‌طور منظم بازبینی و به‌روزرسانی شوند تا با تغییرات تهدیدات هم‌راستا شوند.

2. مثلث CIA پایه‌گذار اهداف امنیت اطلاعات است

محرمانگی، یکپارچگی و دسترسی (CIA) ویژگی‌های مشترک یک برنامه امنیت اطلاعات هستند.

محرمانگی اطلاعات را از دسترسی یا افشای غیرمجاز محافظت می‌کند. کنترل‌ها شامل رمزنگاری، محدودیت‌های دسترسی و طبقه‌بندی داده‌ها هستند.

یکپارچگی اطمینان می‌دهد که اطلاعات به‌طور نادرست تغییر یا نابود نمی‌شوند. این امر به کنترل‌هایی مانند هشینگ، امضای دیجیتال و فرآیندهای مدیریت تغییر وابسته است.

دسترس‌پذیری به معنای این است که اطلاعات و سیستم‌ها در زمان نیاز قابل دسترسی باشند. این نیازمند افزونگی، تحمل خطا و برنامه‌ریزی تداوم کسب‌وکار است.

  • اهمیت نسبی C، I و A ممکن است بر اساس مأموریت سازمان و الزامات قانونی متفاوت باشد
  • تمام کنترل‌ها و فرآیندهای امنیتی باید به حفاظت از یک یا چند عنصر مثلث CIA مرتبط باشند
  • ارزیابی‌های ریسک تأثیرات بالقوه بر CIA را بررسی می‌کنند تا تدابیر مناسب را تعیین کنند

3. سیاست‌های مؤثر امنیت سایبری نیازمند حاکمیت و مدیریت ریسک مناسب هستند

حاکمیت فرآیند ایجاد و حفظ یک چارچوب و ساختار مدیریتی و فرآیندهای پشتیبانی است که اطمینان می‌دهد استراتژی‌های امنیت اطلاعات با اهداف کسب‌وکار هم‌راستا و از آن‌ها پشتیبانی می‌کنند.

مشارکت رهبری. هیئت مدیره و مدیران اجرایی باید به‌طور فعال در حاکمیت امنیت سایبری شرکت کنند. این شامل تأیید سیاست‌ها، تأمین منابع و دریافت گزارش‌های منظم درباره وضعیت امنیت است.

رویکرد مبتنی بر ریسک. سازمان‌ها باید یک فرآیند مدیریت ریسک رسمی را برای شناسایی، ارزیابی و کاهش ریسک‌های امنیت سایبری اتخاذ کنند. این امر به اولویت‌بندی تلاش‌ها و منابع کمک می‌کند.

نقش‌های کلیدی حاکمیت:

  • مدیر ارشد امنیت اطلاعات (CISO)
  • کمیته راهبری امنیت سایبری
  • مالکان اطلاعات
  • نگهدارندگان اطلاعات
    مراحل مدیریت ریسک:
  1. شناسایی ریسک
  2. ارزیابی ریسک
  3. درمان ریسک (پذیرفتن، کاهش، انتقال، اجتناب)
  4. نظارت مستمر

4. مدیریت دارایی و طبقه‌بندی داده‌ها برای حفاظت ضروری است

مالکان اطلاعات مسئول طبقه‌بندی داده‌ها هستند.

فهرست دارایی‌ها. سازمان‌ها باید یک فهرست جامع از دارایی‌های اطلاعاتی، شامل سخت‌افزار، نرم‌افزار و داده‌ها، نگهداری کنند. این امر دیدی به آنچه که باید محافظت شود، فراهم می‌کند.

طرح طبقه‌بندی. داده‌ها باید بر اساس حساسیت و اهمیت آن‌ها برای سازمان طبقه‌بندی شوند. طبقه‌بندی‌های رایج در بخش خصوصی شامل:

  • محافظت‌شده/محرمانه
  • استفاده داخلی
  • عمومی

استانداردهای مدیریت. هر سطح طبقه‌بندی باید الزامات مشخصی برای ذخیره‌سازی، انتقال، دسترسی و دور انداختن داشته باشد. این امر اطمینان می‌دهد که تدابیر مناسب به‌طور مداوم اعمال می‌شوند.

مسئولیت‌های مدیریت دارایی:

  • شناسایی و مستندسازی دارایی‌ها
  • تعیین مالکیت
  • تعریف استفاده قابل قبول
  • اطمینان از دور انداختن صحیح
    مزایای طبقه‌بندی:
  • تمرکز تلاش‌های امنیتی بر روی مهم‌ترین دارایی‌ها
  • امکان کنترل‌های متناسب بر اساس حساسیت
  • پشتیبانی از انطباق با مقررات

5. منابع انسانی نقش حیاتی در حفظ امنیت سایبری دارند

برنامه‌های آگاهی امنیتی، آموزش امنیتی و تحصیلات امنیتی همگی به تقویت این پیام کمک می‌کنند که امنیت مهم است.

چرخه زندگی کارکنان. ملاحظات امنیتی باید در تمام مراحل چرخه زندگی کارکنان گنجانده شود:

  • استخدام: بررسی سوابق، انتظارات امنیتی در توصیف شغل
  • ورود: توافق‌نامه‌های محرمانگی، سیاست‌های استفاده قابل قبول
  • ادامه: آموزش و برنامه‌های آگاهی منظم
  • خاتمه: لغو سریع دسترسی

فرهنگ امنیتی. ابتکارات منابع انسانی می‌توانند به پرورش فرهنگی از آگاهی امنیتی کمک کنند که در آن کارکنان نقش خود را در حفاظت از دارایی‌های اطلاعاتی درک کنند.

برنامه آموزشی. یک برنامه جامع آموزش امنیتی باید شامل:

  • آگاهی: یادآوری‌های مربوط به شیوه‌های امنیتی (مانند پوسترها، خبرنامه‌ها)
  • آموزش: آموزش مهارت‌های خاص (مانند شناسایی ایمیل‌های فیشینگ)
  • تحصیلات: دانش عمیق برای متخصصان امنیت

6. امنیت فیزیکی و محیطی از اطلاعات و سیستم‌ها محافظت می‌کند

هدف امنیت فیزیکی و محیطی جلوگیری از دسترسی غیرمجاز، آسیب و مداخله به محل‌های کسب‌وکار و تجهیزات است.

رویکرد لایه‌ای. امنیت فیزیکی باید از چندین لایه حفاظت استفاده کند:

  • انتخاب و طراحی محل
  • امنیت پیرامونی (حصارها، دروازه‌ها، نگهبانان)
  • کنترل‌های دسترسی به ساختمان
  • مناطق امن در داخل ساختمان‌ها
  • حفاظت در سطح تجهیزات

کنترل‌های محیطی. تدابیر حفاظتی در برابر تهدیدات محیطی شامل:

  • شناسایی و خاموش کردن آتش
  • کنترل آب و هوا (دما، رطوبت)
  • حفاظت از برق (UPS، ژنراتورها)
  • شناسایی/حفاظت در برابر آب

دور انداختن دارایی‌ها. دور انداختن صحیح تجهیزات و رسانه‌ها برای جلوگیری از نقض داده‌ها بسیار مهم است:

  • پاک‌سازی امن دستگاه‌های ذخیره‌سازی
  • تخریب فیزیکی در صورت لزوم
  • مستندسازی زنجیره custody
  • خدمات تخریب معتبر

7. مدیریت کنترل دسترسی برای جلوگیری از دسترسی غیرمجاز حیاتی است

هدف اصلی کنترل‌های دسترسی حفاظت از اطلاعات و سیستم‌های اطلاعاتی در برابر دسترسی غیرمجاز (محرمانگی)، تغییر (یکپارچگی) یا اختلال (دسترس‌پذیری) است.

اصول بنیادی:

  • حداقل امتیاز: کاربران باید تنها حداقل دسترسی لازم برای نقش خود را داشته باشند
  • نیاز به دانستن: دسترسی باید به اطلاعات مورد نیاز برای وظایف شغلی محدود شود
  • تفکیک وظایف: وظایف حیاتی باید بین چندین فرد تقسیم شود

مدل‌های کنترل دسترسی:

  • کنترل دسترسی اجباری (MAC): مبتنی بر سیاست و به‌طور سیستم‌محور (در محیط‌های با امنیت بالا استفاده می‌شود)
  • کنترل دسترسی اختیاری (DAC): مجوزهای تعریف‌شده توسط مالک (رایج در سیستم‌های تجاری)
  • کنترل دسترسی مبتنی بر نقش (RBAC): مجوزها به نقش‌ها اختصاص داده می‌شوند و کاربران به نقش‌ها منصوب می‌شوند

عوامل احراز هویت:

  1. چیزی که می‌دانید (گذرواژه، PIN)
  2. چیزی که دارید (کارت هوشمند، توکن)
  3. چیزی که هستید (بیومتریک)
  • احراز هویت چندعاملی ترکیبی از دو یا چند عامل برای امنیت قوی‌تر است
  • دسترسی باید به‌طور منظم بازبینی و به‌محض عدم نیاز به‌سرعت لغو شود

8. رویه‌های امنیت عملیاتی از فعالیت‌های روزمره محافظت می‌کنند

رویه‌های عملیاتی استاندارد (SOPs) توضیحات دقیقی از نحوه انجام یک کار هستند.

مدیریت تغییر. یک فرآیند رسمی برای درخواست، ارزیابی، تأیید و اجرای تغییرات به حفظ ثبات و امنیت کمک می‌کند:

  • ارسال درخواست تغییر (RFC)
  • ارزیابی تأثیر
  • جریان تأیید
  • برنامه‌ریزی اجرا
  • بازبینی پس از تغییر

مدیریت وصله. اعمال به‌موقع وصله‌های امنیتی بسیار حیاتی است:

  • ارزیابی‌های منظم آسیب‌پذیری
  • اولویت‌بندی بر اساس ریسک
  • آزمایش قبل از استقرار
  • رویه‌های اضطراری برای آسیب‌پذیری‌های حیاتی

حفاظت در برابر بدافزار. یک رویکرد چندلایه ضروری است:

  • نرم‌افزار ضد بدافزار
  • فیلتر کردن ایمیل و وب
  • آموزش آگاهی کاربران
  • تقسیم‌بندی شبکه
  • حفاظت از نقاط پایانی

9. پاسخ به حوادث و تداوم کسب‌وکار تضمین‌کننده تاب‌آوری هستند

قابلیت پاسخ به حوادث و چگونگی رعایت قوانین متعدد مربوط به اطلاع‌رسانی نقض داده‌ها.

برنامه پاسخ به حوادث. سازمان‌ها به یک برنامه مستند برای شناسایی، پاسخ به و بازیابی از حوادث امنیتی نیاز دارند:

  • نقش‌ها و مسئولیت‌ها
  • رویه‌های شناسایی و تحلیل
  • استراتژی‌های مهار
  • مراحل از بین بردن و بازیابی
  • فعالیت‌های پس از حادثه

تداوم کسب‌وکار. برنامه‌ریزی برای اختلالات به حفظ عملیات حیاتی کمک می‌کند:

  • تحلیل تأثیر کسب‌وکار
  • اهداف زمان بازیابی (RTO)
  • اهداف نقطه بازیابی (RPO)
  • برنامه‌ریزی برای سایت‌های جایگزین
  • آزمایش و تمرین‌های منظم

رعایت مقررات. بسیاری از صنایع الزامات خاصی برای گزارش‌دهی و اطلاع‌رسانی حوادث دارند:

  • درک قوانین و مقررات قابل اجرا
  • مستندسازی شواهد برای تحقیقات
  • اطلاع‌رسانی به‌موقع به طرف‌های آسیب‌دیده
  • همکاری با مقامات قانونی در صورت لزوم

آخرین بروزرسانی:

Report Issue

خلاصه نقدها

4.00 از 5
میانگین ۳ امتیاز از Goodreads و Amazon.

متن ارائه شده خالی است و شامل هیچ محتوایی نمی‌باشد. لطفاً متن مورد نظر خود را برای ترجمه ارسال کنید تا بتوانم به شما کمک کنم.

Your rating:
4.47
59 امتیاز
Want to read the full book?

درباره نویسنده

متن ارائه شده خالی است و شامل هیچ محتوایی نمی‌باشد. لطفاً متن مورد نظر خود را برای ترجمه ارسال کنید تا بتوانم به شما کمک کنم.

دانلود PDF

To save this توسعه برنامه‌ها و سیاست‌های امنیت سایبری summary for later, download the free PDF. You can print it out, or read offline at your convenience.
Download PDF

دانلود EPUB

To read this توسعه برنامه‌ها و سیاست‌های امنیت سایبری summary on your e-reader device or app, download the free EPUB. The .epub digital book format is ideal for reading ebooks on phones, tablets, and e-readers.
Download EPUB
Want to read the full book?
Follow
گوش دادن
Now playing
توسعه برنامه‌ها و سیاست‌های امنیت سایبری
0:00
-0:00
Now playing
توسعه برنامه‌ها و سیاست‌های امنیت سایبری
0:00
-0:00
1x
Queue
Home
Swipe
Library
Get App
Try Full Access for 3 Days
Listen, bookmark, and more
Compare Features Free Pro
📖 Read Summaries
Read unlimited summaries. Free users get 3 per month
🎧 Listen to Summaries
Listen to unlimited summaries in 40 languages
❤️ Unlimited Bookmarks
Free users are limited to 4
📜 Unlimited History
Free users are limited to 4
📥 Unlimited Downloads
Free users are limited to 1
Risk-Free Timeline
امروز: دسترسی فوری
گوش دادن به خلاصه کامل بیش از ۲۶,۰۰۰ کتاب. بیش از ۱۲,۰۰۰ ساعت محتوای صوتی!
روز دوم: یادآوری دوره آزمایشی
به شما اطلاع می‌دهیم که دوره آزمایشی‌تان به‌زودی پایان می‌یابد.
روز سوم: شروع اشتراک شما
مبلغ اشتراک در تاریخ Jul 15,
کسر می‌شود. هر زمان قبل از آن می‌توانید لغو کنید.
Consume 2.8× More Books
2.8× more books Listening Reading
Our users love us
600,000+ readers
Trustpilot Rating
TrustPilot
4.6 Excellent
This site is a total game-changer. I've been flying through book summaries like never before. Highly, highly recommend.
— Dave G
Worth my money and time, and really well made. I've never seen this quality of summaries on other websites. Very helpful!
— Em
Highly recommended!! Fantastic service. Perfect for those that want a little more than a teaser but not all the intricate details of a full audio book.
— Greg M
Save 62%
Yearly
$119.88 $44.99/year/yr
$3.75/mo
Monthly
$9.99/mo
Start a 3-Day Free Trial
3 days free, then $44.99/year. Cancel anytime.
Unlock a world of fiction & nonfiction books
26,000+ books for the price of 2 books
Read any book in 10 minutes
Discover new books like Tinder
Request any book if it's not summarized
Read more books than anyone you know
#1 app for book lovers
Lifelike & immersive summaries
30-day money-back guarantee
Download summaries in EPUBs or PDFs
Cancel anytime in a few clicks
Scanner
Find a barcode to scan

We have a special gift for you
Open
38% OFF
DISCOUNT FOR YOU
$79.99
$49.99/year
only $4.16 per month
Continue
2 taps to start, super easy to cancel
Settings
General
Widget
Loading...
We have a special gift for you
Open
38% OFF
DISCOUNT FOR YOU
$79.99
$49.99/year
only $4.16 per month
Continue
2 taps to start, super easy to cancel