محصولات :

سیستم کنترل دماو رطوبت اتاق سرور,..........شمارشگر تردد نمایشگاهی و فروشگاهی ,......... footfall.........,visitor counter........,people counter.........,server room monitoring,........هشدار دهنده دمای اتاق سرور ,..........مانیتورینگ دمای انبار و سردخانه,........مانیتورینگ دمای یخچال و فریزر,........کنترلر دمای گلخانه ,...... سامانه کنترل و مانیتورینگ دمای اتاق تمیز ,........سامانه کنترل شرایط محیطی اتاق سرور ,.........سیستم کنترل و نظارت بر اتاق تمیز ,.........,سیستم شمارشگر نفرات ورودی به نمایشگاه,........ آمارگیرهای تردد نمایشگاهی ,.........,temprature controller for server room .......,سیستم آبیاری اتوماتیک ........,کنتور تفکیک آب............,server room controller............کنتور آب گرم........کنتور آب داغ............کنتور گازوییل .........کنتور مازوت........کنتور الکل.......کنتور پارافین.........کنتور بچینگ و پیش تنظیم.......تایمر ابیاری و صنعتی........شمارنده فروشگاهی.......کنترل پمپ با موبایل........سیستمهای آبیاری اتومانیک قطره ای........کنترل هوشمند موتورخانه........کنترل موتورخانه از راه دور.......کنترل و بهینه سازی انرژی..........کنترل هوشمند اتاق سرور.......پرکن اتومانیک مخازن مایعات........سامانه مانیتورینگ و هشدار دهنده دما و رطوبت اتاق سرور ..........کنترل دمای انبار دارو........سیستم هشدار افزایش دمای یخچال دارویی......سیستم کنترل از راه دور موتورخانه و پمپ آب.........اندازه گیری سطح مخازن........فلومتر حجمی سیال......انرژی میتر صنعتی........سیستم های اتوماسیون صنعتی مبتنی بر پی ال سی ........سیستم اتوماتیک کنترل دمای جکوزی و سونا........نمایشگرهای دما و رطوبت محیطی.......شیر برقی .......شیر موتوری........شیر آنالوگ.........شیر اتوماتیک.........شیر اتو درین.......dry protection ..........سامانه کنترل و مانیتورینگ دما و رطوبت محیطی........مانیتورینگ دمای دیتا سنترو اتاق سرور.........اندازه گیری از راه دور دما و رطوبت.......کنتورهای هوشمند صنعتی و خانگی........هشدار دهنده های صنعتی.......سیستم اعلان و اطفای حریق.........سامانه کنترل دمای اتاق سرور روی کامپیوتر.......کنترل و مانیتورینگ دمای اتاق سرور..........سامانه کنترل و مانیتورینگ اتاق سرور..........سیستم مانیتورینگ دمای اتاق سرور.......سیستم مانیتورینگ اتاق سرور.......شیر برقی.......شیر موتوری......کنترل آبیاری از راه دور.........آبیاری اتومانیک .......آبیاری قطره ای .......کنترل دمای یخچال .......کنترل و مانیتورینگ دمای سردخانه و انبار........دیتالاگر دمای یخچال ......دیتالاگر دما و رطوبت صنعتی .......دیتالاگر دمای آزمایشگاهی .........شمارشگر تردد نمایشگاهی ..........شمارشگرهای تردد فروشگاهی ..........سیستم آمارگیر تردد نمایشگاهی و فروشگاهی .........کانترهای صنعتی.........سیستم نظر سنجی مشتریان رستوران ..........سیستم نظر سنجی مشتریان فروشگاهی ........کنترل و مانیتورینگ دمای انبار ..........سیستم کنترل و نظارت بر اتاق سرور .......تایمرهای صنعتی .......تایمر پمپ آب .......تایمر تکرار کننده...........سامانه کنترل اتاق سرور ........سیستم کنترل و نظارت بر اتاق سرور...........مانیتورینگ دما و رطوبت اتاق سرور......سیستم هوشمند آبیاری .........سامانه مانیتورینگ اتاق سرور.........اتاق سرور هوشمند.........اتوماسیون دمای اتاق سرور..........شمارشگر مشتریان فروشگاهی ......آمارگیر مشتریان نمایشگاهی ........دیتالاگر دما و رطوبت فریزر و یخچال آزمایشگاهی .......سیستم ثبت آمار نمایشگاهی ....آمارگیر تردد فروشگاهی.......سیستم مانیتورینگ جامع اتاق سرور.........کنترل سیستمهای حرارتی وبرودتی .................استابلایزر......استابلایزر سه فاز .......یو پی اس های صنعتی........سیستمهای برق اضطراری........سیستمهای روشنایی اضطراری.......کنترل درب و جک پارکینگی ........سیستمهای اعلام حریق مسکونی ........اعلام حریق تجاری ........اعلام حریق صنعتی ........سیستمهای اطفای حریق .........اعلام +++ حریق اتاق سرور ........اکسس کنترل اتاق سرور........سیستمهای کنترل rfid...... دیتالاگر دما و رطوبت سردخانه ای ........دیتالاگر داروخانه........خانه هوشمند.........bms........سیستم اعلان حریق........ویلای هوشمند.........گیتهای مکانیزه...... دوربین های مدار بسته........اکسس کنترل.......هشدار دهنده های یخچال و فریزر دارویی............تابلوی برق صنعتی و کارگاهی .......تابلوهای برق فارم ماینر.........سیستمهای هوشمند کنترل دمای فارم ماینر..........تابلوهای برق سردخانه .........خانه هوشمند ..........smarthome .......هوشمند سازی تجهیزات خانگی .......سیستمهای هوشمند آبیاری ........کنترل اتوماتیک آبیاری .......کنتورهای هوشمند .......سیستم کنترل و نظارت بر اتاق سرور ......مانیتورینگ دما و رطوبت روی کامپیوتر.......سامانه مانیتورینگ دیتا سنتر و اتاق سرور...........مانیتورینگ پارامترهای فارم ماینر..........تابلوی برق فارم ماینر .........تابمرهای کنترل تک فاز و سه فاز ........

nist cybersecurity

 

 

 


اگر به مقالات منتشرشده در حوزه امنیت نگاهی داشته باشید، مشاهده می‌کنید بخش عمده‌ای از این مقالات پیرامون مباحث فنی و کار با ابزارها هستند، در حالی که برای موفقیت در دنیای امنیت مسائل مهم دیگری مثل حاکمیت، ریسک و انطباق وجود دارد. چگونه این سه اصل مهم را در قالب یک فرآیند عملی پیاده‌سازی کنیم؟ پاسخ در مفهومی به‌نام چارچوب (Framework) خلاصه می‌شود که زیرساختی منسجم برای مدیریت مخاطره یا کنترل‌های امنیتی در اختیارمان قرار می‌دهد. مزیت بزرگ چارچوب این است که آزادی عمل زیادی ارائه می‌دهد تا خط‌مشی‌ها را هماهنگ با نیازهای کاری پیاده‌سازی کنید. به‌طور کلی، چارچوب‌ها به سه گروه مهم چارچوب‌های مخاطره، چارچوب‌های امنیت اطلاعات و چارچوب‌های معماری سازمانی تقسیم می‌شوند. چارچوب مدیریت مخاطره اهمیت بیشتری نسبت به دو نمونه دیگر دارد، زیرا امکان پیاده‌سازی موفق هر برنامه امنیت اطلاعاتی را به‌وجود می‌آورد و اجازه می‌دهد دو چارچوب دیگر را بر مبنای آن بدون مشکل پیاده‌سازی کنیم.


مروری بر چارچوب‌ها

چارچوب یک ساختار اساسی در بطن معماری‌های بزرگ امنیتی است که راه‌حل‌ها بر مبنای آن پیاده‌سازی می‌شوند. بنابراین، چارچوب‌ها در فناوری اطلاعات و امنیت سایبری با هدف ارائه ساختاری مورد استفاده قرار می‌گیرند تا بتوانیم بر مبنای آن مخاطرات را مدیریت ‌کنیم، معماری‌های سازمانی را توسعه ‌دهیم و همه دارایی‌های خود را ایمن کنیم. چارچوب‌ها نقشه راهی هستند که کارشناسان فناوری اطلاعات و امنیت سایبری یک سازمان بر آن اتفاق نظر دارند و با در نظر گرفتن مسائل مختلف تدوین می‌شوند. چارچوب‌ها دارای مولفه‌های مختلفی هستند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:
مخاطره (Risk)

در زیرمجموعه مخاطره چهار استاندارد مهم زیر وجود دارد:

     NIST RMF: چارچوب مدیریت مخاطره‌ای است که توسط موسسه ملی استانداردها و فناوری ایجاد شده است و خود ماحصل هم‌گرایی سه خط‌مشی ارائه‌شده توسط موسسه NIST Special Publications به ‌نام‌های 800-39، 800-37 و 800-30 است.
     ISO/IEC 27005: چارچوبی است که روی رفع مخاطره متمرکز است و توسط سازمان International Organization for Standardization در زیرمجموعه استاندارد ISO/IEC 27000 انتشار پیدا کرده است.
     OCTAVE: چارچوب ارزیابی تهدید، دارایی و آسیب‌پذیری در عملیات حیاتی است که دانشگاه کارنگی ملون آن‌را توسعه داده و بر ارزیابی ریسک متمرکز است.
     FAIR : چارچوب تحلیل مخاطره اطلاعات است که توسط موسسه FAIR منتشر شده و بر اندازه‌گیری دقیق‌تر احتمال بروز حوادث و تاثیرات آن‌ها بر فعالیت‌های تجاری تمرکز دارد.

برنامه امنیتی (Security Program)

     سری ISO/IEC 27000: مجموعه‌ای از استانداردهای بین‌المللی در مورد نحوه توسعه و نگه‌داری سیستم مدیریت امنیت اطلاعات (ISMS) است که توسط دو سازمان ISO و IEC ایجاد شده است.
     NIST Cybersecurity Framework: چارچوب امنیت سایبری NIST با هدف ایمن‌سازی سامانه‌های مورد استفاده در موسسات دولتی تدوین شده است. این چارچوب پرکاربرد و جامع بر روی تامین امنیت اطلاعاتی که مخاطره زیادی دارند، متمرکز است.

کنترل‌های امنیتی (Security Controls)

     NIST SP 800-53: فهرستی از کنترل‌ها و فرآیندهای انتخابی است که برای محافظت از سیستم‌های فوق حساس به آن استناد می‌شود.
     کنترل‌های CIS: سازمان غیرانتفاعی Center for Internet Security یکی از ساده‌ترین رویکردها برای محافظت از دارایی‌ها و اطلاعات حساس سازمانی را ارائه کرده که قابل پیاده‌سازی در شرکت‌های بزرگ و کوچک هستند.
     COBIT 2019: یک چارچوب تجاری است که تمرکزش بر نحوه مدیریت و حاکمیت فناوری اطلاعات در شرکت‌ها است.



    Zachman Framework: مدلی برای توسعه معماری‌های سازمانی است که توسط جان زاچمن (John Zachman) توسعه پیدا کرده است.
     Open Group Architecture Framework: مدلی برای توسعه معماری‌های سازمانی است.
     SABSA: معماری امنیت کسب‌و‌کار کاربردی شروود سرنام Sherwood Applied Business Security Architecture مدل و روشی برای توسعه معماری امنیت اطلاعات سازمانی ریسک‌محور و مدیریت خدمات است. ویژگی اصلی مدل SABSA این است که تمرکز زیادی روی تجزیه‌وتحلیل الزامات تجاری با هدف تامین امنیت آن‌ها دارد.

چارچوب‌های ریسک

چارچوب مدیریت مخاطره (RFM) سرنام Risk Management Framework را باید به‌عنوان یک فرآیند ساختاریافته تعریف کرد که به سازمان اجازه می‌دهد مخاطره را شناسایی و ارزیابی کند و آن‌را تا حد قابل قبول کاهش دهد و اطمینان حاصل کند مخاطره در سطح قابل قبول و کنترل‌شده‌ای وجود دارد. در اصل، RMF یک رویکرد ساختاریافته برای مدیریت مخاطره (ریسک) است.

همان‌گونه که مشاهده می‌کنید، طیف گسترده‌ای از چارچوب‌های مدیریتی در دسترس قرار دارند، آن‌چه برای شما به‌عنوان یک متخصص امنیت اطلاعات باید مهم باشد این است که اطمینان حاصل کنید سازمان دارای یک RMF است که بدون مشکل کار می‌کند. برخی چارچوب‌ها در مقایسه با نمونه‌های دیگر مورد پذیرش بیشتر سازمان‌ها قرار دارند، زیرا کارکرد مثبت خود در طول سال‌های گذشته را نشان داده‌اند. از این‌رو، هنگام انتخاب یک چارچوب باید تحقیق کاملی انجام دهید و گزینه هماهنگ با استراتژی‌های تجاری سازمان را انتخاب یا در صورت لزوم ویرایش و پیاده‌سازی کنید. یکی از چارچوب‌های موفق و مهم در این حوزه NIST RMF است که قصد داریم در ادامه با مفهوم و مولفه‌های آن آشنا شویم.
NIST RMF

چارچوب NIST برای کمک به سازمان‌هایی با ابعاد مختلف و عمدتا بزرگ تنظیم شده و روی حفظ حریم خصوصی هنگام تهیه یک محصول، خدمات یا اطلاعات متمرکز است. هدف اصلی این دستورالعمل، ارتقاء امنیت زیرساخت‌های حیاتی سازمان‌های بزرگ در برابر حمله‌های داخلی و خارجی است. به‌طور خاص،NIST  پنج رویکرد اصلی را برای مدیریت ریسک‌های موجود در امنیت داده‌ها و اطلاعات پیشنهاد می‌کند. این عملکردها عبارتند از: شناسایی، محافظت، تشخیص، پاسخ‌گویی و بازیابی. توضیح اجمالی هر یک از عملکردها به‌شرح زیر است:

    شناسایی (Identify): به سازمان‌ها در شناسایی مخاطرات امنیتی پیرامون دارایی‌ها، محیط کسب‌و‌کار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک کمک می‌کند.
    محافظت (Protect): کنترل‌های امنیتی مورد نیاز برای حفاظت از سیستم‌های اطلاعاتی و داده‌ها را تعریف می‌کند و شامل کنترل دسترسی، آموزش و آگاه‌سازی، امنیت داده‌ها، روش‌های حفاظت از اطلاعات و نگه‌داری از فناوری‌های محافظتی است.
    تشخیص (Detect): دستورالعمل‌هایی برای تشخیص ناهنجاری‌ها در سیستم‌های امنیتی، نظارتی و شبکه‌ها برای تفکیک حوادث امنیتی از حوادث غیرامنیتی مثل خرابی تجهیزات ارائه می‌دهد.
    پاسخ (Repones): شامل توصیه‌ها و تکنیک‌هایی در جهت برنامه‌ریزی با هدف پاسخ‌گویی به رویدادهای امنیتی، کاهش ریسک و فرایندهای پاسخ‌گویی به حوادث است.
    بازیابی (Recovery): دستورالعمل‌هایی را ارائه می‌دهد که سازمان‌ها می‌توانند از آن‌ها برای بازگشت به شرایط پایدار در هنگام بروز حمله‌های سایبری استفاده کنند.

این چارچوب شامل عناصر کلیدی مدیریت ریسک است که باید به‌عنوان یک متخصص امنیتی در مورد آن‌ها اطلاع داشته باشید. ذکر این نکته ضروری است که چارچوب فوق برای سازمان‌های بزرگ طراحی شده و ممکن است برای پیاده‌سازی در سازمان مجبور به اعمال تغییراتی در ساختار کلی آن باشید. NIST RMF بر مبنای یک فرآیند هفت مرحله‌ای کار می‌کند

به این نکته مهم دقت کنید که چرخه نشان‌داده‌شده در شکل ۱ بی‌پایان است، زیرا سیستم‌های اطلاعاتی دائما در حال تغییر هستند. هر تغییری باید تجزیه‌وتحلیل شود تا مشخص شود که آیا نیازی به اعمال تغییر در مراحل دیگر ضروری است یا خیر. توضیح هر یک از مراحل نشان‌داده‌شده در شکل 1 به‌شرح زیر است:

شکل 1
آماده‌سازی (Prepare)

اولین قدم حصول اطمینان از این مسئله است که فعالیت‌های مدیران ارشد (در هر دو سطح استراتژیک و عملیاتی) در یک سازمان هماهنگ باشد. این موضوع شامل توافق بر سر نقش‌ها، اولویت‌ها، محدودیت‌ها و تحمل مخاطره است. یکی دیگر از فعالیت‌های کلیدی در مرحله آماده‌سازی، انجام ارزیابی مخاطره سازمانی است که دید روشنی در اختیار تیم امنیتی قرار می‌دهد تا بتوانند مخاطرات را به‌خوبی درک کنند. یکی از نتایج این ارزیابی، شناسایی دارایی‌های باارزش است که باید به بهترین شکل از آن‌ها محافظت شود.
طبقه‌بندی (Categorize)

گام بعدی این است که سیستم‌های اطلاعاتی را بر مبنای حساس بودن و میزبانی اطلاعات حساسی که قرار است توسط تجهیزات کلاینت مورد دستیابی قرار گرفته، پردازش شوند یا انتقال پیدا کنند، طبقه‌بندی کنیم. هدف این است که برای سیستم‌های خود طبقه‌بندی‌هایی بر مبنای میزان حساسیت و مهم بودن آن‌ها ایجاد کنیم تا بتوانیم از ابزارهای امنیتی مناسبی برای محافظت از آن‌ها استفاده کنیم. امروزه بیشتر سازمان‌های اروپایی و آمریکایی ملزم به پیاده‌سازی چارچوب NIST SP 800-60 هستند. NIST SP 800-60 با تمرکز بر میزان حساسیت و اهمیت دارایی‌های سازمانی (محرمانگی، یکپارچگی و دسترس‌پذیری) سعی می‌کند میزان خطرپذیری سامانه‌ها را تعیین کند. به‌طور مثال، فرض کنید یک سیستم مدیریت ارتباط با مشتری (CRM) دارید. اگر محرمانگی آن در معرض خطر قرار گیرد، آسیب قابل توجهی به شرکت وارد می‌شود، به‌خصوص اگر اطلاعات به دست رقبا بیفتد، اما در مقابل نقض یکپارچگی و دسترس‌پذیری سیستم احتمالا برای کسب‌و‌کار پیامدهای بحرانی و جدی نخواهد داشت و از این‌رو، به دارایی با مخاطره کم طبقه‌بندی می‌شود. بر مبنای این تعریف، طبقه‌بندی امنیتی برای یک سیستم مدیریت ارتباط با مشتری از طریق فرمول زیر محاسبه می‌شود:

SCCRM=  {(محرمانگی، بالا)، (یکپارچگی، کم)، (دسترس‌پذیری، کم)} SP 800-60 از سه سطح طبقه‌بندی امنیتی کم، متوسط و زیاد استفاده می‌کند. برچسب کم اشاره به سیستم‌های اطلاعاتی دارد که اطلاعات مهمی روی آن‌ها قرار ندارد و در نتیجه نقض اصول سه‌گانه محرمانگی، یکپارچگی و دسترس‌پذیری کسب‌وکار را با چالش جدی روبه‌رو نمی‌کند. برچسب متوسط اشاره به سیستم‌هایی دارد که نقض حداقل یکی از اصول سه‌گانه باعث ایجاد اختلال در عملکرد فعالیت‌های تجاری می‌شود. برچسب بالا، به سیستم‌هایی اشاره دارد که نقض هر یک از این اصول باعث متوقف شدن عملیات تجاری می‌شود. در مثال ما، نقض اصل محرمانگی اهمیت زیادی دارد، زیرا به اعتبار برند خدشه وارد می‌کند.
انتخاب (Select)

هنگامی که سیستم‌ها را دسته‌بندی کردید، نوبت به انتخاب و احتمالا تنظیم کنترل‌هایی می‌رسد که برای محافظت از دارایی‌ها از آن‌ها استفاده می‌کنید. NIST RMF سه نوع کنترل امنیتی مشترک، خاص و ترکیبی را تعریف می‌کند.

کنترل مشترک، کنترلی است که برای چند سیستم تعریف و اعمال می‌شود. به‌طور مثال، در سناریو CRM اگر یک فایروال برنامه کاربردی وب‌محور (WAF) را برای CRM پیاده‌سازی کنیم از مکانیزم کنترل امنیتی مشترک استفاده کرده‌ایم، زیرا امکان استفاده از دیوارآتش در ارتباط با دیگر مولفه‌های نرم‌افزاری و سرویس‌های سازمان وجود دارد. WAF فراتر از نظارت بر یک سیستم CRM کار می‌کند و قادر به محافظت از CRM دیگر سامانه‌های تحت شبکه است.

کنترل‌های خاص در محدوده سیستم‌ها پیاده‌سازی می‌شوند و بدیهی است که تنها از یک سیستم خاص محافظت می‌کنند. به‌طور مثال، صفحه ورود به سیستم CRM را تصور کنید که از پروتکل امنیت لایه انتقال (TLS) برای رمزگذاری اطلاعات محرمانه کاربر استفاده می‌کند. اگر زیرسیستم احراز هویت بخش جدایی‌ناپذیر CRM باشد، آن‌گاه مورد مذکور نمونه‌ای از یک کنترل خاص است.

در نگاه اول به‌نظر می‌رسد در چارچوب NIST همه‌چیز به رنگ سیاه یا سفید هستند، اما دنیای امنیت پیچیده‌تر از آن است و اغلب اوقات، کنترل‌ها در حد فاصل کنترل‌های مشترک و خاص قرار می‌گیرند. یک کنترل ترکیبی تا حدی اشتراکی و تا حدی مختص یک سیستم است. در مثال CRM، یک کنترل ترکیبی می‌تواند آموزش و آگاهی‌رسانی امنیتی باشد.
پیاده‌سازی (Implement)

در این مرحله دو وظیفه کلیدی وجود دارد که باید انجام شود؛ پیاده‌سازی و مستندسازی. قسمت اول خیلی سرراست است. به‌طور مثال، اگر در مرحله قبل تشخیص دادید که باید یک قانون به WAF اضافه کنید تا حملاتی مانند تزریق زبان پرس‌و‌جو ساختاریافته (SQL) را فیلتر کنید، آن قانون را اجرا می‌کنید. کار ساده است. بخشی که بیشتر ما با آن مشکل داریم، مستندسازی تغییر‌اتی است که اعمال می‌کنیم.

مستندسازی به دو دلیل اهمیت دارد. اول آن‌که اجازه می‌دهد تا متوجه شویم چه کنترل‌هایی وجود دارند، در چه مکانی قرار دارند و چرا تعریف و پیاده‌سازی شده‌اند. آیا تا به‌حال مسئولیت سیستمی به شما محول شده که پیکربندی آن در وضعیت بحرانی قرار داشته باشد؟ شما سعی می‌کنید بفهمید چه پارامترها یا قوانین خاصی وجود دارند، اما در تغییر آن‌ها تردید دارید، زیرا ممکن است عملکرد سیستم مختل شود. این مشکل به دلیل نبود یا تنظیم اشتباه اسناد به‌وجود می‌آید که در نهایت باعث می‌شود هکرها از آسیب‌پذیری‌های مستتر یا پیکربندی‌های اشتباه بهره‌برداری کرده و یک حمله سایبری را با موفقیت پیاده‌سازی کنند. دلیل دوم اهمیت مستندسازی این است که امکان می‌دهد کنترل‌ها را به‌طور کامل در برنامه ارزیابی و نظارت کلی ادغام کنیم و اطلاع دقیقی در ارتباط با کنترل‌هایی داشته باشیم که در طول زمان منسوخ و بی‌اثر شده‌اند.
ارزیابی (Assess)

کنترل‌های امنیتی که قصد پیاده‌سازی آن‌ها را داریم، تنها در صورتی مانع بروز حمله‌های سایبری می‌شوند که توانایی ارزیابی آن‌ها را داشته باشیم. ارزیابی کنترل‌ها، نقش مهمی در مدیریت درست مخاطرات دارد. برای سازمان‌ها ضروری است که یک برنامه جامع داشته باشند که تمام کنترل‌های امنیتی (مشترک، ترکیبی و خاص سیستم) را با توجه به خطراتی که قرار است به آن‌ها رسیدگی کنند، ارزیابی کند. این طرح باید توسط مقام یا مقامات مربوطه بررسی و تایید شود تا قابلیت اجرایی پیدا کند.

ارزیابی باید نشان ‌دهد که چارچوب تدوین‌شده توانایی مقابله با مخاطرات را دارد و قادر است از دارایی‌های سازمانی به بهترین شکل محافظت کند. از این‌رو، تیم توسعه‌دهنده چارچوب نباید آن‌را ارزیابی کنند و این مسئولیت باید به کارشناس امنیتی امین سازمان سپرده شود تا اثربخشی کنترل‌ها را ارزیابی کند و اطمینان دهد ابزارهای درستی انتخاب شده‌اند و اسناد به‌درستی تدوین شده‌اند. به همین دلیل، ارزیابی تمامی فرآیندها، ابزارها و خط‌مشی‌هایی که قرار است پیاده‌سازی شوند اهمیت زیادی دارد.

ارزیابی باید تعیین کند آیا پیاده‌سازی کنترل‌ها موثر هستند یا خیر. از این‌رو، نتایج در گزارش‌ها باید مستند‌سازی شوند تا به‌عنوان مرجعی برای ارزیابی‌های بعدی قابل استفاده باشند. اگر کنترل‌ها موثر نیستند باید اقدامات اصلاحی برای رفع کاستی‌ها انجام شود و نتیجه ارزیابی دومرتبه مستند‌سازی شود. در نهایت، طرح‌های امنیتی به‌روزرسانی می‌شوند تا یافته‌ها و توصیه‌های ارزیابی در آن‌ها اعمال شود. ارزیابی کنترل‌های امنیتی «ممیزی» نامیده می‌شود.
مجوزدهی (Authorize)

همان‌گونه که می‌دانید، هیچ سیستمی در جهان بدون مخاطره نیست. یکی از بزرگ‌ترین مشکلاتی که کارشناسان امنیتی در یک سازمان با آن روبه‌رو هستند، دریافت مجوزهای مختلف از مدیران ارشد است تا بتوانند خط‌مشی‌های امنیتی در معماری شبکه سازمانی را پیاده‌سازی کنند.

در این مرحله، نتایج ارزیابی ریسک و کنترل‌ها باید به فرد تصمیم‌گیرنده تحویل داده شود تا تاییدیه اتصال کنترل‌های امنیتی به سیستم‌های اطلاعاتی را صادر کند. این شخص (یا گروه) از نظر قانونی مسئول و پاسخ‌گو هستند که پس از پیاده‌سازی کنترل‌ها، سیستم‌ها بدون مشکل به کار ادامه می‌دهند. از این‌رو، باید اطلاعات معتبر و قابل استنادی در اختیار آن‌ها قرار گیرد، زیرا مسئولیت هرگونه اختلال در عملکرد شبکه بر عهده این افراد و نه مسئول پیاده‌سازی مکانیزم‌های امنیتی خواهد بود.

به همین دلیل، افرادی که چارچوب امنیتی را آماده می‌کنند باید برای مدیرعامل این مسئله را به روشنی شرح دهند که چه مخاطراتی برای سازمان چالش‌آفرین هستند و در صورت عدم توجه به مخاطرات، سازمان با چه زیان‌هایی روبه‌رو می‌شود. گاهی‌اوقات پس از تدوین چارچوب امنیتی مجبور به بازنگری در برنامه عملیاتی می‌شوید تا بتوانید در صورت بروز یک حمله سایبری به‌سرعت واکنش نشان دهید و هکرها موفق نشوند به‌راحتی از نقاط ضعف و کاستی‌های مستتر در سیستم‌های اطلاعاتی بهره‌برداری کنند. در بیشتر سازمان‌ها مجوزهای پیاده‌سازی چارچوب‌های امنیتی برای یک دوره زمانی مشخص و در قالب برنامه اقدام و نقطه عطف (POAM یا POA&M) صادر می‌شوند.
نظارت (Monitor)

ما باید به‌صورت دوره‌ای تمام کنترل‌ها را بررسی کنیم و مشخص کنیم که آیا هنوز موثر هستند یا خیر. آیا تغییراتی در الگوی تهدیدات تاکتیکی و تکنیکی به‌وجود آمده است، آیا آسیب‌پذیری‌های جدیدی کشف شده‌اند، آیا یک تغییر غیرمستند یا تاییدنشده در پیکربندی باعث شده تا اثربخشی کنترل‌های امنیتی کمتر شده و سطح مخاطرات پیرامون دارایی‌های سازمانی به درجه بحرانی نزدیک شده باشند؟ این‌ها تنها برخی از مسائلی هستند که ما از طریق نظارت مستمر و بهبود مستمر قادر به پاسخ‌گویی به آن‌ها هستیم.

کلام آخر

چارچوب NIST RMF یکی از مهم‌ترین چارچوب‌های مدیریت ریسک امنیت اطلاعات است که به‌طور گسترده مورد استفاده قرار می‌گیرد. این چارچوب دستورالعمل‌هایی برای مدیریت ریسک امنیت اطلاعات در یک سازمان را تعریف می‌کند، اما رویکرد خاصی را برای اجرای آن دیکته نمی‌کند. به عبارت دیگر، چارچوب به ما می‌گوید که چه کارهایی را باید انجام دهیم، نه این‌که چگونه آن‌ها را انجام دهیم.

 

 

 

شروع با پیشران

شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه  مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص  برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین  مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای محتلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi  در ایران است.

 تماس با پیشران    رزومه وپروژها

مشتریان پیشران

شرکتها - موسسات - ادارات دولتی و مشتریان خصوصی پیشران صنعت ویرا موسسات مشتریان پیشران صنعت شرکت های مشتری پیشران صنعت ویرا ادارات مشتری پیشران صنعت ویرا مشتریان ما

پروژه های پیشران

پروژه های اجرا شده توسط پیشران صنعت ویرا پیشران صنعت ویرا پروژه های پیشران صنعت ویرا دستگاه اتوماسیون اداری شرکت پیشران صنعت ویرا