امنیت اطلاعات

شرکت صبا سیستم صدرا آماده ارایه خدمات حرفه‌ای امنیت اطلاعات با توجه به نیاز کسب و کار سازمان‌ها است. این خدمات شامل خدمات مدیریتی، فنی، و آموزشی در ارزیابی وضعیت امنیت اطلاعات، امن‌سازی، نظارت و ممیزی امنیت اطلاعات است. این خدمات با رویکرد جامع به «مدیریت مخاطرات کسب و کار» در «سیستم مدیریت امنیت اطلاعات» به مشتریان ارایه می‌گردد.

امروزه مهاجمین دسترسی راحت‌تری به ابزارهای نفوذ دارند و برای نفوذ به سیستم‌های کامپیوتری نیاز به داشتن دانش حرفه‌ای زیادی نیست، از این رو تعداد حملات فضای سایبری روز به روز در حال افزایش است. از طرف دیگر نوع حملات نیز به صورت پیچیده در آمده است و بیشتر حملات به صورت توزیع شده صورت می‌گیرد که این موضوع کشف و شناسایی آن‌ها را نسبت به حملات متمرکز سخت‌تر می‌کند. سازمان‌ها برای افزایش سطح امنیت خود، به تکنولوژی‌ها و ابزارهای مختلف امنیت روی می‌آورند و از شرکت‌های مختلف محصولات امنیتی تهیه می‌کنند. هر چند این موضوع می‌تواند سطح امنیت سازمان‌ها را تا حدی بالا ببرد ولی برای تضمین امنیت کافی نیست زیرا هر یک از این تکنولوژی‌ها و ابزارها حوزه‌ مشخصی را پوشش داده و محافظت می‌کنند. این ابزارها در سازمان‌ها مانند جزیره‌های جدا از هم هستند که نیاز است برای تشخیص حملات پیچیده به خصوص حملات توزیع آن‌ها یکپارچگی و هماهنگی وجود داشته باشد.
مرکز عملیات امنیت(SOC) مجموعه‌ای از ابزارها، فرآیند‌ها و عوامل انسانی است که مانیتورینگ متمرکز رخدادها، جمع‌آوری، تحلیل و مدیریت رخدادها را انجام می‌دهد و امکان یکپارچه‌سازی و ایجاد هماهنگی بین ابزارها و تکنولوژی‌های مختلف را فراهم‌ می‌کند. شرکت صبا سیستم صدرا با توجه به ضرورت مرکز عملیات امنیت برای سازمان‌های کشور اقدام به توسعه ابزار بومی ماورا (SIEM) نموده است که هسته اصلی SOC می‌باشد، همچنین با توجه به در اختیار داشتن نیروی متخصصی که یکی از اولین پروژه‌های مرکز عملیات کشور در سطح را راه‌اندازی کرده‌اند، قادر است مرکز عملیات امنیت را با توجه به نیاز سازمان‌ها طراحی و پیاده‌سازی کند.
خدمات قابل ارائه :
• طراحی ساختار مرکز عملیات امنیت با توجه به هدف تعریف شده برای مرکز
• سفارشی‌سازی و طراحی فرآیندها و رویه‌های مرکز با توجه به نیازها و فرآیند‌های موجود سازمان مشتری
• تهیه و راه‌اندازی ابزارهای مورد نیاز مرکز
• آموزش تخصصی عوامل انسانی مرکز
• ارائه خدمات پشتیبانی و ارائه طرح توسعه و تداوم کسب و کار مرکز و طرح بازیابی از فاجعه
• ارائه برنامه‌های آموزشی مدون منطبق با استانداردهای معتبر در حوزه آموزش امنیت اطلاعات مانند NISTجهت بروز نگه داشتن دانش نیروهای مرکز
• مشاوره به سازمان‌ها جهت گزینش و استخدام نیروهای متخصص مورد نیاز مرکز

با توجه به گسترش حملات و سوانح امنیتی، برای جلوگیری از کاهش آسیب‌ها و هزینه‌های ناشی از این سوانح، لازم است تیمی برای واکنش سریع به فوریت‌های امنیتی در سازمان‌ها در نظر گرفته شود. مرکز واکنش به رخداد(CERT) تیمی است که در صورت بروز حوادث امنیتی راه‌حل‌هایی برای رفع و مقابله ارائه‌ می‌کند. همچنین با توجه به افزایش سطح تهدیدات این تیم اقدامات لازم برای پیشگیری از وقوع رخداد را نیز انجام می‌دهد.
شرکت صبا سیستم صدرا با توجه به تجربه انجام پروژه‌های متعدد در زمینه‌های مختلف امنیت اطلاعات و با توجه به ارتباط مناسب با دانشگاه و تعامل با اساتید و دانشجویان رشته‌ امنیت اطلاعات، این توانایی را دارد کلیه اقدامات لازم برای راه‌اندازی مرکز CERTاعم از طراحی معماری و رویه‌ها، جذب نیروی متخصص مورد نیاز و آموزش آن‌ها را انجام دهد.
خدمات قابل ارائه:
• تعریف ماموریت و محدوده فعالیت مرکز با توجه به نیازمندی‌ها و وضعیت امنیتی فعلی سازمان مشتری
• طراحی معماری و ساختار داخلی مرکز CERT
• تعریف خط‌مشی‌ها، جریان‌های کاری و اطلاعاتی مورد نیاز مرکز با توجه هدف مرکز، رویه‌ها قوانین سازمان مشتری
• تامین، نصب و راه‌اندازی ابزارهای مورد نیاز برای عملکرد بهینه مرکز CERT
• تدوین برنامه‌های آموزشی دوره‌ای برای کارمندان مرکز جهت به روز نگه داشتن دانش آن‌ها
• آموزش تخصصی‌ نیروی انسانی مرکز CERT
• ارائه کلیه خدمات پشتیبانی و نگهداشت مرکز CERT با توجه به نیازهای مشتری

امنیت نرم‌افزار وابستگی شدید به چرخه حیات توسعه آن دارد. در صورتی که امنیت در مراحل نیاز سنجی، آنالیز، طراحی، پیاده سازی، تست، و راه‌‌اندازی نرم افزار در نظر گرفته نشده باشد، به احتمال زیادی دارای آسیب پذیری امنیتی خواهد بود و این آسیب‌پذیری‌های بعضاً منطقی توسط روش‌های معمول مدیریت ریسک قابل رفع نیستند.
کشف هر آسیب پذیری در مراحل ابتدایی تولید نرم افزار هزینه نگهداری نرم‌افزار را به مراتب کاهش می‌دهد. به طور مثال هزینه کشف و رفع هر خطا در هر مرحله از چرخه حیات تولید نرم افزار یک دهم کشف و رفع‌‌ همان خطا در مرحله بعد از چرخه است.
به همین منظور شرکت مایکروسافت با ارائه SDL، چرخه حیاتی برای تولید نرم افزار ارائه کرده است که امنیت را در تمامی مراحل تولید نرم افزار لحاظ می‌کند. شرکت صبا سیستم صدرا با توجه به سابقه طولانی در بررسی امنیت، مشاوره و امن سازی نرم افزارهای بومی و آشنایی با معضلات امنیتی صنعت نرم افزار کشور به ارائه خدمات مشاوره، هدایت، آموزش و نظارت بر پیاده‌سازی SDL برای شرکت‌های تولید کننده نرم افزار می‌پردازد.
شرکت صبا سیستم صدرا با آموزش امنیت به پرسنل دخیل در چرخه تولید نرم افزار در هر سطحی و با توجه به نقش هر یک از کارکنان، نیازمندی اولیه SDL را برای کارفرمایان برآورده می‌سازد. سپس با مشاوره و هدایت کارکنان کارفرما از آغازین مراحل ساخت نرم افزار بر اجرای SDL توسط ایشان نظارت کرده و امنیت را از ابتدای چرخه تولید تا انتهای استقرار نرم افزار در محل مشتریان برقرار می‌سازد و بدین ترتیب هزینه نگهداری نرم افزار به میزان قابل توجهی برای سازندگان آن کاهش می‌یابد.
خدمات قابل ارائه:
• آموزش مفاهیم امنیت به پرسنل کارفرما با توجه به نقش آن‌ها (تحلیلگر، طراح، برنامه نویس، تستر، نیروهای عملیاتی)
• مشاوره و هدایت تحلیلگران در تعریف نیازمندی‌های امنیتی نرمافزار و بازبینی نیازمندی‌های تعریف شده
• بررسی امنیتی طراحی نرم افزار جهت تشخیص زودهنگام آسیب‌پذیری‌های امنیتی منطقی و ارائه راه حل به منظور رفع آن‌ها
• هدایت تیم برنامه‌نویس جهت کدنویسی امن
• بررسی امنیتی ابزار‌ها و بسترهای مورد استفاده در تولید نرم افزار و ارایه راه‌حل‌های جایگزین امن
• تعریف test caseهای امنیتیwhite box وblack box
• راهنمایی جهت رفع آسیب‌پذیری‌های امنیتی کشف شده در مرحله تست
• تست نفوذ و ارزیابی امنیتی نرم افزار در محیط عملیاتی

مدل بلوغ امنیت ابزاری برای سنجش سطح بلوغ امنیت یک سازمان یا یک محصول است. بدون استفاده از مدل بلوغ، تصمیم گیری درباره وضعیت فعلی امنیت سازمان و برنامه‌ریزی جهت ارتقاء آن بسیار دشوار خواهد بود. در واقع مدل بلوغ امنیت است که نشان می‌دهد فعالیت‌های امنیتی، سیستم مدیریت امنیت اطلاعات، و چرخه حیات توسعه امن تا چه حد به بهبود وضعیت امنیت کمک کرده و نقاط ضعف امنیت در چه بخش‌هایی متمرکز شده است.
شرکت صبا سیستم صدرا دارای تجربه زیاد در ارزیابی وضعیت امنیتی سازمان‌ها بوده و با استفاده از متدولوژی‌های بلوغ امنیت به تعیین سطح بلوغ امنیت سازمان‌ها و محصولات آن‌ها می‌پردازد و برای افزایش این سطح بلوغ برنامه‌ای مدون به مشتریان خود ارایه می‌نماید.
شرکت صبا سیستم صدرا با استفاده از معیارهای دو مدل بلوغ امنیتBSIMM وOPEN PRISMA سطح بلوغ محصولات تولیدی سازمان‌ها را اندازه گیری می‌کند. همچنین این شرکت با بهره‌گیری از معیارهای مدل بلوغVIST PRISMA سطح بلوغ فرآیندهای مدیریت امنیت سازمان را می‌سنجد. پس از سنجش میزان بلوغ امنیتی سازمان و محصولاتش، شرکت صبا سیستم صدرا نقشه راه را برای بهبود سطح بلوغ امنیتی سازمان‌ها و محصولاتشان به ایشان ارایه می‌کند.
خدمات قابل ارائه:
• استفاده از مدلBSIMM برای مقایسه امنیتی محصولات سازمان با تولید‌کنندگان بر‌تر جهانی
• استفاده از مدل OpenSAMM برای سنجش سطح بلوغ امنیت محصولات
• ارایه راه کار و نقشه راه برای بهبود سطح بلوغ امنیتی محصولات سازمان با استفاده از مدل OpenSAMM
• تطبیق فعالیت‌هایISMS سازمان با مدلNIST PRISMA جهت سنجش سطح امنیت سازمان
• تدوین و تنظیم فعالیت‌های ISMSسازمان جهت ارتقاء سطح بلوغ امنیتی آن

چالش امنیت اطلاعات در دنیای مجازی مسأله‌ای باز و حل نشده است. در رویکرد سنتی به مسأله امنیت اطلاعات، برقراری کنترل‌های امنیت به صورت موردی و براساس نیاز فعلی پاسخی به تهدیدات امنیتی بوده است. وجود کنترل‌های امنیتی به صورت موردی و غیر یکپارچه، سازمان را در معرض سوء استفاده خرابکاران از ریسک‌های در نظر گرفته نشده قرار می‌دهد.
سیستم مدیریت امنیت اطلاعات به صورت یک چرخه منظم ریسک‌های امنیتی را تشخیص داده و راه حل مناسب را پیدا می‌کند. سپس این راه‌حل‌ها را پیاده سازی و بر حسن اجرای آن‌ها نظارت کرده و در صورت نیاز آن‌ها را بهبود ‌می‌بخشد. وجود یک سیستم مدیریت امنیت اطلاعات باعث می‌شود سازمان تهدیدات امنیتی بالقوه را شناسایی کرده و برای آن‌ها راه حل مناسب پیدا کند و این اعمال را به صورت مداوم و در قالب یک چرخه تکراری اجرا کند.
سال‌ها تجربه متخصصان شرکت صبا سیستم صدرا آن‌ها را بر این باور داشته است که برقراری امنیت در یک سازمان بدون برقراری سیستم مدیریت امنیت اطلاعات امکان پذیر نمی‌باشد. بدین منظور پرسنل شرکت با رویکردی تخصصی بهISMS آماده ارایه انواع خدمات مشاوره، طراحی، پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات برای مشتریان است. تجربه علمی متخصصان شرکت در بومی سازی امنیت و نگهداری امنیتی سازمان‌های مشتری، این شرکت را به گزینه مناسبی برای اجرای پروژه‌هایISMS تبدیل نموده است.

خدمات قابل ارائه :
• تعیین محدوده (Scope) سیستم مدیریت امنیت اطلاعات
• ارزیابی ریسک‌های امنیتی براساس متدلوژی‌های کمی به صورت دوره‌ای و منظم
• تدوین و بازبینی خط‌مشی‌های امنیتی و نظارت بر اجرای آن‌ها بر اساس شرایط سازمان مشتری
• تدوین آیین‌نامه‌ها و راهنماهای امنیتی براساس خط‌مشی‌های امنیتی تدوین شده
• مدیریت ریسک‌های امنیتی شامل اجتناب، کاهش اثر ، انتقال و پذیرش ریسک
• طراحی و تدوین روال‌های پاسخ به رخدادهای امنیتی
• طراحی و تشکیل تیم پاسخ به رخدادها و سوانح امنیتی
• تدوین طرح تداوم کسب و کار و بازیابی از بحران(BCP/DRP) برای سازمان مشتری
• مشاوره و اجرای سیستم مدیریت امنیت اطلاعات جهت دریافت گواهی‌نامه

از آنجاکه برنامه های کاربردی امروزه به هدف اول مهاجمین جهت نفوذ به زیرساخت اطلاعاتی سازمان ها تبدیل شده‌اند، ارزیابی و امن سازی مناسب آن ها می تواند به میزان قابل توجهی ریسک کلی سازمان را کاهش دهد.
تیم متخصص امنیت نرم افزار شرکت صبا سیستم صدرا با داشتن نیروهای مجرب و مسلط به دانش روز امنیتی و ابزارهای مورد نیاز جهت ارزیابی امنیتی و امن سازی برنامه های کاربردی و همچنین پیش زمینه کاری در حوزه توسعه برنامه های کاربردی با تکنولوژی های مختلف نظیر C++/C این امکان را فراهم می کنند تا تمامی مراحل ارزیابی و امن سازی را به صورت کاملاً تخصصی و مطابق با نیازهای مشتری اجرا نمایند.
خدمات ارزیابی امنیتی می تواند بنا به نظر مشتری به صورت جعبه سیاه (بدون در اختیار گذاشتن کد منبع برنامه کاربردی) و جعبه سفید (بررسی امنیتی کد منبع) و یا ترکیبی از هر دو، ارائه شده و گزارش مربوطه در قالبی کاملاً استاندارد و قابل فهم برای سطوح مختلف سازمانی تولید شود (در صورت نیاز نمونه ای از حملات مهم با سوء استفاده از آسیب پذیری های کشف شده، برای کارفرما به صورت زنده نمایش داده می شود).
پس از مرحله ارزیابی، نیروهای متخصص و مسلط به تکنولوژی مرتبط با هر برنامه کاربردی، نظر فنی خود را در خصوص راهکارهای قابل ارائه در تکنولوژی مربوطه، جهت کاهش و یا پیشگیری از مخاطرات مرتبط با هر آسیب پذیری ارائه می دهند. در صورت نیاز کارفرما، این تیم اقدام به مشاوره و یا آموزش برنامه‌نویسان و طراحان سازمانی کرده تا امکان برطرف کردن هرچه سریع تر آسیب پذیری های کشف شده، برای سازمان فراهم گردد.
خدمات قابل ارائه :
• تست نفوذپذیری برنامه های کاربردی
• ارزیابی امنیتی جعبه سیاه برنامه های کاربردی
• ارزیابی امنیتی جعبه سفید و بررسی امنیتی کد برنامه های کاربردی
• تست fuzzing نرم‌افزارهای سیستمی و برنامه های کاربردی با معماری Client-Server
• مهندسی معکوس نرم افزارهای سیستمی و پروتکل های بومی
• مشاوره، نصب و پیکربندی Web Application Firewall و Web Application Honeypot
• مشاوره و امن سازی انواع برنامه های کاربردی با تکنولوژی .NET، J2EE، Python، C/C++، و PHP
• مشاوره و پیاده سازی امنیت در چرخه تولید نرم افزار (SDL)
• ارزیابی و تحلیل ریسک و تولید مدل تهدید نرم افزار
• برگزاری دوره های مقدماتی و پیشرفته امنیت برنامه های کاربردی برای برنامه‌نویسان و طراحان سازمان

مدیریت ریسک‌های امنیتی عمده ترین فعالیت مدیریت امنیت اطلاعات است. در یک نگاه کلی برخورد با ریسک‌های امنیتی شامل شناسایی، تحلیل، ارزیابی و در نهایت واکنش در قبال ریسک است. در فعالیت شناسایی ریسک، ریسک‌های امنیتی شناخته شده و سپس در ارزیابی، شدت اثر و احتمال وقوع هریک تعیین می‌گردد. پس از شناسایی و ارزش‌گذاری ریسک‌ها و مخاطرات امنیتی باید آنها را مدیریت نمود. مدیریت ریسک شامل اجتناب از ریسک با استفاده از کنترل‌های مناسب امنیتی، انتقال ریسک و در نهایت پذیرش ریسک است.
شرکت صبا سیستم صدرا به شناسایی دارایی های اطلاعاتی سازمان پرداخته و پس از ارزش گذاری آنها با استفاده از متدلوژی معتبرOVTAVE تهدیدات امنیتی را ارزیابی می‌کند. در این مرحلهOCTAVE شاخص ریسک هر یک از دارایی‌های اطلاعاتی مذکور را براساس اهمیت آن دارایی و میزان تهدید بالقوه آن مشخص می‌کند.
در فاز مدیریت ریسک شرکت صبا سیستم صدرا با پیاده‌سازی کنترل‌های امنیتی براساس استانداردISO27001,ISO27002 از ریسک‌های اولویت بالا در سازمان مشتری اجتناب می‌نماید. در صورتی که ریسک قابل اجتناب نباشد با استفاده از کنترل‌های امنیتی مناسب اثر رخداد آن ریسک کاهش داده می‌شود. در صورتی که ریسک قابل اجتناب یا کاهش نباشد ، شرکت صبا سیستم صدرا به مشتریان خود راه‌حل‌هایی جهت انتقال یا پذیرش ریسک ارائه می دهد.
خدمات قابل ارائه :
• ارزش گذاری دارایی های سازمان و ساختAsset Inventory
• شناسایی و ارزیابی ریسک‌های امنیتی براساس متدلوژیOCTAVE
• مشاوره، طراحی و پیاده‌سازی کنترل‌های امنیتی براساس استاندارد سری ISO27000 و Best Practiceها جهت اجتناب از ریسک یا کاهش اثر آن
• مشاوره به مشتری جهت انتقال ریسک یا پذیرش آن
• آموزش مدیریت ریسک به بخش امنیت سازمان و ارایه طرح (Plan) آن جهت اجرای برنامه مدیریت ریسک به صورت مداوم و درون سازمانی

برقراری امنیت و پیاده سازی بسیاری از کنترل‌های امنیتی بدون وجود زیرساخت مناسب امکان پذیر نیست. فایروال، WAF، Honey pot، SIEM، IDS/IPS زیر ساخت کلید عمومی، تصدیق اصالت چند فاکتوری، رمز نگاری ارتباطات، ذخیره سازی رمز شده و… زیرساختهای فنی به منظور پیاده سازی خط‌مشی‌ها و کنترل‌های امنیتی در سازمان هستند. بدون استفاده از این تکنولوژی‌ها امکان برقراری امنیت در سازمان و پیاده سازی سیستم مدیریت امنیت اطلاعات غیر ممکن خواهد بود.
شرکت صبا سیستم صدرا با شناخت کامل از محصولات امنیتی موجود در بازار و همچنین ارایه محصولات امنیتیSIEM وWAF در سبد محصولات خود، امکان مشاوره، طراحی و اجرای زیرساخت‌های امنیتی برای مشتریان خود را به وجود آورده است.
تجربه نیروی متخصص امنیت این شرکت در به‌ کارگیری و بومی‌سازی فناوری‌های زیرساخت امنیت اطلاعات باعث شده که این شرکت علاوه بر توانایی در برپاسازی زیرساخت‌های امنیت با استفاده از محصولات رایج در بازار قابلیت یافتن، جذب و بومی‌سازی فناوری‌های جدید مورد نیاز مشتریان خود باشد.
خدمات قابل ارائه:
• طراحی امن و بازبینی امنیت طراحی مرکز داده
• انتخاب، پیکر بندی و راه اندازی فایروال، UTM، Antivirus، TPS/IDS
• نصب، پیکربندی و راه اندازیHoney pot
• نصب، پیکر بندی و راه اندازیSIEM
• نصب، پیکر بندی و راه اندازیWAF
• مشاوره و راه اندازی زیرساخت کلید عمومی مبتنی برRSA وECC
• مشاوره و راه اندازی تصدیق اصالت چند فاکتوری(OTP، توکن، Biometric،…)
• مشاوره، طراحی، راه اندازیVPN و ارتباطات رمزشده
• مشاوره و راه اندازی سیستم‌های ذخیره سازی امن و رمز نگاری شده
• مشاوره و راه اندازی سیستم‌های Authorizationو ACL

زمانی که اتفاق امنیتی در سازمانی به وقوع می‌پیوندد، علاوه بر اجرای طرح تداوم کسب و کار، باید احتمال خرابکاری یا نفوذ مورد بررسی قرار گیرد. درصورت مثبت بودن نتیجه‌ بررسی، سازمان می‌تواند با پیگیری جرم و کشف نفوذ گر و علت رخداد،‌بخشی از خسارت وارده را توسط دستگاه‌های انتظامی و قضایی جبران نماید. به عمل بررسی احتمال خرابکاری و نفوذ و کشف نفوذگر و علت رخداد و جمع‌آوری شواهد محکمه پسند، «پیگیری جرایم رایانه‌ای» گفته می‌شود.
برای پیگیری جرایم رایانه ای, نیاز به وجود بستر اطلاعاتی مناسب است که راه‌اندازی آن نیاز به تخصص و تجربه‌ی کافی دارد زیرا ترکیب تیم پیگیری جرایم رایانه ای بسیار متنوع و متشکل از متخصصان امنیت اطلاعات و مسایل حقوقی است و هزینه ی ایجاد چنین تیمی برای سازمان ها توجیه پذیر نیست.
خدمات قابل ارائه:
• راه‌اندازی بستر مناسب برای اطلاع از رخدادهای امنیتی در لحظه وقوع
• راه‌اندازی بستر مناسب برای جمع آوری شواهد محکمه پسند برای رخدادهای امنیتی
• پیگیری مسایل حقوقی جهت به اثبات رساندن ادعا

پاسخ دهی به سوالات

برای دریافت پاسخ‌های خود در رابطه با فعالیت‌های شرکت صبا سیستم صدرا با ما تماس بگیرید.

در جریان جزئیات بیشتر خدمات قرار گیرید.