وبلاگ

شماره تماس : 52768000 - 021

پشتیبانی

شماره تماس : 52768000 - 021

وبلاگ

• مقالات

• سطوح بلوغ در استاندارد IEC 62443

سطوح بلوغ در استاندارد IEC 62443

در حال حاضر اکثر سازمان‌ها با سطوح یکپارچگی ایمنی (SIL) آشنا شده‌اند، با این حال، با توجه به اینکه اخیرا چندین استاندارد امنیت سایبری در سری IEC 62443 منتشر شده است، دانش امنیت صنعتی دچار پیچیدگی بیشتری می‌شود. این سری از استانداردها دو سطح جدید دیگر را معرفی می‌کند که سازمان‌ها باید به سرعت به آنها توجه کنند، که عبارتند از:

  • سطح بلوغ
  • سطح امنیتی

سطوح جدید ممکن است شبیه به SIL به نظر برسند، اما بایستی در محیط عملیاتی قابلیت اجرا داشته باشند.

این استاندارد سه نوع سطح امنیتی را تعریف می‌کند:

  1. سطوح امنیتی هدف (SL-T)
  2. سطوح امنیتی قابلیت (SL-C)
  3. سطوح امنیتی دست یافته (SL-A)

IEC 62443-3-2  مستلزم آن است که سیستم خود را به مناطق امنیتی مختلف تقسیم کنید. سپس با استفاده از فرآیند ارزیابی ریسک امنیتی، سطوح امنیتی خاص را به مناطق و مجراهای مختلف در صنعت، اختصاص دهید. البته بهتر است سطوح امنیتی مناطق و مجراها بر اساس پیامدهای احتمالی در صورت دستیابی به هدف حمله در آن منطقه اختصاص داده شود.

با افزایش سطح امنیتی، افزایش یکپارچگی امنیتی امری بدیهی است. از نظر مفهومی می‌توان این سطح را به عنوان تلاشی برای دستیابی به درجه‌ای از یکپارچگی افزایش یافته برای هر مرحله از تغییر در سطح امنیتی سازمان، در نظر گرفت.

قابلیت سطح امنیتی

اگرچه قابلیت سطح امنیتی برای مناطق و مجراهای سازمان اعمال می شود، اما اجزا و سیستم‌هایی که در داخل سازمان وجود دارند نیز می‌توانند قابلیت سطح امنیتی خاص خود را داشته باشند و در صورت ارائه اطلاعات کافی می‌توانند در تعیین سطح امنیتی کلی منطقه بسیار مفید باشند.

به عنوان مثال یک بخش یا سیستم با تعریف سطح امنیت 3 ، به این معنی است که بخش مذکور، قابلیت انجام عملکردهای امنیتی IEC 62443-3-3 (برای سیستم ها) و IEC 62443-4-2 (برای اجزاء) را دارد.

همچنین باید توجه داشته باشید که سطح امنیتی برای یک دستگاه به کاربر این امکان را می‌دهد که حداقل قابلیت‌های دستگاه را درک کند.

با توجه به موارد ذکر شده فوق، قابلیت‌های امنیتی را می توان به هفت الزام اساسی به شرح زیر طبقه‌بندی کرد:

هر نیاز اساسی شامل بسیاری از قابلیت‌های امنیتی دقیق است. به عنوان مثال، سازمانی که گواهینامه سطح امنیتی 1 را دریافت کرده است، باید تمام قابلیت های سطح امنیتی 1 را در هر هفت مورد از این حوزه ها داشته باشد. با این حال، از نظر عملی، یک سازمان ممکن است سطوح امنیتی مختلفی را در هر یک از لایه‌های خود برآورده کند. بنابراین، درک توانایی سازمان‌ها برای پاسخ به نیازهای اساسی امنیتی هر بخش بسیار مهم است.

سطح بلوغ و نحوه ارتباط آن با سطح امنیتی

ممکن است در این مرحله از خود بپرسید که سطح بلوغ کجا مناسب است و چگونه با سطح امنیت ارتباط دارد؟ سطوح بلوغ برای فرآیندها اعمال می شود و میزان بلوغ یک سازمان در اجرای یک فرآیند مشخص را مستند می‌کند. تقریباً می توان آنها را به شرح زیر توصیف کرد:

  • سطح بلوغ 1 – فرآیند Ad-hoc(فرآیند Ad-hoc به یک روش یا رویکرد غیرساختاری اشاره دارد که بدون راهنمایی و استاندارد خاصی صورت می‌گیرد).
  • سطح بلوغ 2 – فرآیند مستند شده، اما لزوماً قابل تکرار نیست.
  • سطح بلوغ 3 – فرآیند مستندی که قابل تکرار است ولی به طور مداوم دنبال نمی‌شود.
  • سطح بلوغ 4 – فرآیند مستندی که قابل تکرار است و به طور مداوم دنبال می شود، اندازه‌گیری می‌شود و به طور پیوسته بهبود می‌یابد.

اما انجام این موضوع سوالاتی را به وجود می‌آورد، مانند:

  • رابطه بین سطح بلوغ و سطح امنیت چیست؟
  • آیا می توان با وجود فرآیند سطح بلوغ 1 در سازمان ، یک سیستم سطح امنیت 4 ایجاد کرد؟
  • آیا می‌توان یک سیستم سطح امنیت 4 را با استفاده از فرآیند سطح بلوغ 1 حفظ کرد؟

پاسخ به این سوالات تا حدودی چالش برانگیز است.

طبق استانداردهای فعلی  IEC 62443، هیچ رابطه‌ای بین سطح عملکرد و سطح امنیت وجود ندارد. بنابراین، می‌توان با استفاده از فرآیند سطح بلوغ 1، یک سیستم سطح امنیتی 4 را توسعه داد یا حفظ کرد. با این حال، منطقی به نظر می‌رسد که سطح امنیتی به دست آمده، ممکن است به دلیل عدم وجود یک فرآیند تکرارپذیر، اندازه‌گیری نشود.

بنابراین، توصیه می‌شود که صاحبان دارایی در سازمان‌ها به طور مداوم بهبود مستمر را تمرین کرده و به سطوح بلوغ متناسب با SL-T های تعریف شده دست یابند. علاوه بر این، کاربران نهایی تحت مدیریت زنجیره تامین خود قرار بگیرند و برای انجام این مهم، آنها باید اصرار داشته باشند که یک تامین کننده محصول، دارای فرآیندهای کاری با سطح بلوغ متناسب یا فراتر از سطوح امنیتی باشد.

سطوح بلوغ امنیت را بسیار مهم در نظر بگیرید

نکته مهم در این مقاله این است که، هنگام تجزیه و تحلیل و تلاش برای اطمینان از استقرار یک سطح امنیتی خاص با این انتظار که برای سیستم شما مفید و قابل اجرا باشد، عدم در نظر گرفتن سطوح بلوغ تهدید بزرگی تلقی می‌گردد. این سطوح باید در تعیین قابلیت سطح امنیتی و در انتخاب اجزای مورد استفاده در سیستم لحاظ شوند. استفاده از محصولات تایید شده سازمان‌های نظارتی مانند سازمان امنیت فضای تولید و تبادل اطلاعات(افتا)، شاک و… ، در صورت موجود بودن، یکی از راه‌های اطمینان از در نظر گرفته شدن سطح بلوغ امنیت سایبری در سازمان است.

  • IEC 62443 Maturity
ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شاید به این مقالات هم علاقه داشته باشید ...

مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS)

مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از داده‌ها هستند. مدیریت حساب به فرآیند نظارت و کنترل حساب‌های کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیت‌هایی مانند ایجاد حساب‌های کاربری، اعطا یا لغو امتیازات دسترسی، اجرای سیاست‌های رمز عبور و نظارت بر فعالیت کاربر است. مدیریت موثر حساب برای حفظ امنیت و یکپارچگی سیستم‌ها و داده‌های یک سازمان بسیار مهم است. از سوی دیگر، سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس و اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن آن است. ISMS چارچوبی را برای ایجاد، پیاده‌سازی، بهره‌برداری، نظارت، بررسی، حفظ و بهبود امنیت اطلاعات یک سازمان فراهم می‌کند. وقتی صحبت از مدیریت حساب در چارچوب ISMS می‌شود، تمرکز بر اجرای کنترل‌ها و فرآیندهای مناسب برای مدیریت ایمن حساب‌های کاربری است. این شامل اقداماتی مانند: تامین کاربر (User provisioning): ایجاد فرآیندهایی برای ایجاد و اصلاح حساب‌های کاربری بر اساس نقش‌ها و مسئولیت‌های تعریف شده. کنترل دسترسی (Access control): اجرای مکانیسم‌هایی برای اعطای امتیازات دسترسی مناسب به کاربران بر اساس نقش آنها و اجرای اصل کمترین امتیاز. احراز هویت قوی (Strong authentication): استفاده از رمزهای عبور قوی، احراز هویت چند عاملی (MFA) یا سایر مکانیسم‌های احراز هویت برای تأیید هویت کاربران. نظارت کاربر (User monitoring): اجرای مکانیسم‌هایی برای نظارت بر فعالیت‌های کاربر، تشخیص رفتار مشکوک و پاسخ به حوادث امنیتی. حذف حساب (Account deprovisioning): ایجاد فرآیندهایی برای غیرفعال کردن یا حذف حساب‌های کاربری در زمانی که دیگر نیازی به آنها نیست یا زمانی که یک کارمند سازمان را ترک می‌کند. ممیزی و بازبینی منظم (Regular audits and reviews): انجام ممیزی و بررسی دوره‌ای حساب‌های کاربری برای اطمینان از انطباق با خط مشی‌ها و شناسایی هرگونه شکاف یا خطر امنیتی. ادغام شیوه‌های مدیریت حساب در چارچوب ISMS برای اطمینان از امنیت کلی دارایی‌های اطلاعاتی سازمان مهم است. با انجام این کار، سازمان‌ها می‌توانند به طور موثر چرخه عمر حساب‌های کاربری را مدیریت کنند، خطرات مرتبط با دسترسی غیر مجاز را کاهش دهند و از اطلاعات حساس در برابر افشای غیر مجاز یا دستکاری محافظت کنند.

ادامه مطلب
هوش مصنوعی در امنیت سایبری در گذر زمان

هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیش‌بینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولت‌ها و سازمان‌ها تبدیل شده است. اما آینده AI در امنیت سایبری با چالش‌هایی نیز مواجه است؛ به عنوان مثال گرچه AI به سازمان‌ها، امکان ساخت دفاع قوی‌تری می‌دهد، اما ابزارهای متعددی نیز برای انجام حملات پیچیده و پنهانی در اختیار مهاجمان و هکرها قرار داده است. در این مطالعه به بررسی تاثیر AI روی امنیت سایبری از اوایل ۲۰۰۰ پرداخته می‌شود. AI در امنیت سایبری: موج اول (2010 – 2000) در آغاز هزاره‌ی جدید، گام‌های ابتدایی دیجیتالی شدن، زندگی‌های شخصی و حرفه‌ای ما را تحت تأثیر قرار داد. در بیشتر سازمان‌ها، کارمندان از کامپیوترها و لپ‌تاپ‌ها به همراه مراکز داده درون سازمانی که زیرساخت IT سازمان را تشکیل می‌دادند، استفاده می‌کردند. تهدیدات سایبری در این زمان، به شکل عمده بر ایجاد هرج و مرج  تمرکز داشته و در جستجوی کسب شهرت بودند. دهه اول هزاره‌ی جدید، شاهد ظهور نرم‌افزارهای مخربی همچون ILOVEYOU، Melissa و MyDoom بود که در اینرنت آن زمان دنیا اختلالات مهمی ایجاد کردند. در میانه دهه اول ۲۰۰۰، کسب سود مالی منجر به افزایش فیشینگ و بدافزارهای مختلف مالی شد. تروجان بانکی Zeus ظاهر شد که به‌طور پنهانی اطلاعات ورود به حساب بانکی کاربران را می‌دزدید. در آن زمان، سازمان‌ها تنها بر کنترل‌های امنیتی پایه، مانند آنتی ویروس مبتنی بر امضا و فایروال تکیه داشتند. از این رو مفهوم امنیت شبکه با ورود سیستم‌های تشخیص نفوذ (IDS) شروع به تکامل کرد. احراز هویت دو عاملی (2FA) در این زمان محبوبیت پیدا کرد و لایه‌ی اضافی امنیت برای سیستم‌ها و داده‌های حساس اضافه شد. در همین زمان بود که AI، ارزش خود را در دفاع از سازمان نشان داد. زیرا در این زمان، حجم ایمیل‌های اسپم و ناخواسته حاوی بدافزار، که بار کاری زیادی به سرورهای ایمیل تحمیل می‌کردند، و همچنین کاربران را با فریب‌های گوناگون، وادار به افشای اطلاعات شخصی ارزشمند می‌کردند، افزایش یافت. AI ابزاری ایده‌آل برای تشخیص سریع و مسدود کردن پیام‌های مخرب بود و کمک شایانی به کاهش ریسک کرد. هوش مصنوعی در این زمان، هنوز در مراحل نخستین خود بود اما برای دفاع از سازمان‌ها در برابر تهدیداتی که به سرعت و در مقیاس گسترده در حال رشد بودند، پتانسیل زیادی نشان داد. AI در امنیت سایبری: موج دوم (2020 – 2010) با ورود به دهه‌ی دوم هزاره‌ی جدید، زیرساخت IT تغییرات قابل توجهی را تجربه کرد. انفجار نرم‌افزارهای Software-as-a-Service، رایانش ابری و سیاست‌های Bring-Your-Own-Device، دامنه فناوری اطلاعات را پویاتر از هر زمان دیگری کرد و در عین حال، سطوح حمله در برابر تهدیدات سایبری را به طور بی‌سابقه گسترش داد. عوامل تهدید به مراتب پیچیده‌تر شدند و هدف‌های حمله بالقوه به شدت گسترش یافت؛ سرقت مالکیت معنوی، خراب‌کاری در زیرساخت‌ها و کسب سود از طریق حملات در مقیاس بزرگ، به شدت رواج یافتند. سازمان‌ها از تهدیدهای امنیتی کلان بین حکومت‌ها آگاه شدند که از حمایت مالی و تکنیکی فراوان دولت‌ها بهره‌ می‌بردند. این امر، به دفاع‌های پیچیده‌ای با امکان یادگیری خودکار و سریع منجر شد. حوادت امنیتی همچون Stuxnet که هدف آن تأثیرگذاری بر تاسیسات هسته‌ای کشور ما، ایران بود و همچنین حملات ویران‌کننده علیه شرکت‌های معروف مانند Target و Sony Pictures رخ دادند و بر خطرات فزاینده سایبری، مهر تایید زدند. در همان زمان، آسیب‌پذیری زنجیره‌های تأمین به شدت مورد توجه قرار گرفت؛ به عنوان مثال افشا اطلاعات SolarWinds، برای ده‌ها هزار سازمان در کل دنیا تبعاتی مخرب داشت. همچنین حملاتی مانند WannaCry و NotPetya خسارات فراوانی در سراسر جهان به بار آوردند. گرچه حملات اخیر، نسبتاً به آسانی قابل شناسایی بودند، اما حجم تهدیدات و نشانه‌های آنها، نیازمند دفاع با سطحی از سرعت و دقت بود که از توان تحلیلی نیروی انسانی خارج است. در این دوره، AI به ابزار ضروری برای تیم دفاعی تبدیل شد. شرکت Cylance، که در سال ۲۰۱۲ تأسیس شد، با هدف جایگزینی آنتی‌ویروس‎های پیچیده با مدل‌های سبک یادگیری ماشین آغاز به کار کرد. مدل‌های کامپیوتری آموزش داده شدند تا به سرعت و با بهره‌وری زیاد، بدافزارها را شناسایی و متوقف کنند. بدین ترتیب AI در امنیت سایبری گسترش بیشتری یافت و تکنیک‌های یادگیری ماشین برای تشخیص آنومالی‌ها، الگوهای یا رفتارهای غیرعادی نشان‌دهنده یک حمله پیچیده، و تحلیل‌های پیش‌بینی‌کننده برای شناسایی و جلوگیری از مسیرهای حمله ممکن، به کار گرفته شد.

ادامه مطلب
مشاوره و طراحی و اجرای مرکزعملیات امنیت (SOC)

مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده می‌شود، یک واحد متمرکز است که به صورت جامع و یکپارچه  با تلفيق گزارش­‌هاي مختلف و استفاده از نرم­‌افزارهای پیشرفته، سخت‎افزارها و متخصصين امر، رویدادهای امنیتی را

ادامه مطلب
محصولات
خدمات
گروه فرزان
شبکه های اجتماعی
Twitter Whatsapp Linkedin Telegram
تمامی حقوق مادی و معنوی این وبسایت متعلق به شرکت امن گستران فرزان می باشد © 2022
پشتیبانی

موارد بیشتر

شبکه‌های اجتماعی

گروه فرزان

با ما در ارتباط باشید

info@farzan-group.ir

Privacy Policy & Cookies

farzan group2023

پشتیبانی
[maxmegamenu location=primary]

موارد بیشتر

شبکه‌های اجتماعی

گروه فرزان

Twitter Whatsapp Linkedin Telegram

با ما در ارتباط باشید

info@farzan-group.ir

Privacy Policy & Cookies

farzan group2023