هزینه شرکت در هر کارگاه آموزشی 1,000,000 ریال و به همراه ارائه گواهینامه پایان دوره می باشد.

تخفیفات

  • دانشجویان با ارائه کارت دانشجویی از 30 درصد تخفیف برخوردار می شوند.
  • ثبت نام گروهی با لای 10 نفر شامل 50 درصد تخفیف می باشد.
  • اعضای سازمان شامل 50 درصد تخفیف می باشند.

 

11- خودکارسازی فرآیندهای مدیریت امنیت اطلاعات با استفاده از ابزار
روش ارائه: سخنرانی
استقرار سیستم مدیریت امنیت اطلاعات عموماً با تدوین مجموعه‌ای از فرآیندهای امنیتی و مدیریتی همراه است که تا پیش از آن یا در سازمان اصلاً سابقه نداشته‌اند و یا به صورتی ناقص و پراکنده اجرا می‌شده‌اند. بنابراین پس از استقرار ISMS یکی از مهمترین چالش‌های عملیاتی سازمان‌ها مواجهه با حجم کارهای اضافی است که به واسطه الزامات جدید پدیدار گشته‌اند؛ در عین حال ماهیت برخی فرآیندهای امنیتی که با تجهیزات یا سامانه‌های فناوری اطلاعات سروکار دارند به گونه‌ای است که اجرای آن‌ها به صورت “دستی” و یا با تکیه بر ابزارهای عمومی و سنتی، اگر ناممکن نباشد دست‌کم بسیار ناکارآمد خواهد بود. در چنین فضایی، نیاز به مجموعه ابزارها و راهکارهایی که در اجرایی‌سازی و خودکارسازی فرآیندهای امنیتی ایفای نقش نماید از تسهیل امور اجرایی فراتر رفته و مستقیماً بر کارایی سیستم مدیریت امنیت اطلاعات و به تبع آن سطح امنیت سازمان اثر‌گذار خواهد بود. در این سمینار به بررسی چالش‌های عدم استفاده از ابزارهای مناسب در استقرار ISMS، نقش ابزارهای خودکار سازی فرآیندهای مدیریت امنیت اطلاعات در اثر بخشی سیستم مدیریت امنیت اطلاعات، سناریوهای کاربردی و همچنین ویژگی‌ها و امکانات ضروری و مطلوب ابزارهای خودکارسازی فرآیندهای مدیریت امنیت اطلاعات خواهیم پرداخت.
12- ضرورت پیاده سازی مرکز عمليات امنيت(SOC)
افراد و گروه ها و نفوذگرانی وجود دارند که توانایی مشاهده، بررسی و جمع آوری اطلاعات مورد نیاز بوسیله شبکه ارتباطی سازمان ها و مراکز مختلف را دارند. روش ها و تکنیک های مختلفی جهت نفوذ به شبکه وجود دارد مانند fishing تکنیک که جهت استخراج نقاط ضعف شبکه استفاده شده تا بستر حمله و نفوذ به شبکه فراهم شود.یکی از راه های جلوگیری از نفوذ به شبکه استفاده از Antivirus ،Firewalls و (Intrusion Detection/Prevention System(IDS/IPS می باشد. با وجود این ابزارها امکان شناسایی، جلوگیری و دفاع از حملات سایبری به طور کامل وجود ندارد زیرا ما نیازمند آگاهی رسانی مداوم نیروها و بروزرسانی ابزارهای مورد استفاده زیرساخت بوده تا از این حملات جلوگیری کنیم؛ همچنین ممکن است سازمان ها بودجه و نیروی متخصص لازم جهت نگهداری تجهیزات و ارائه خدمات مانیتورینگ و کنترل شبکه را نداشته باشند. به همین دلیل ما به یک راه حل سازمان یافته و منطقی جهت متمرکز کردن فرایندهای دفاع سایبری نیازمندیم تا بطور شبانه روزی ( 24*7*365) و از راه دور قادر به جلوگیری (Prevention)، شناسایی (Detection)، حفاظت (Protection) و پاسخگویی (Response) در مقابل خطرات، تهدیدات و حوادث بلادرنگ در شبکه را داشته باشیم.مرکز عملیات امنیت (SOC) بعنوان یکی از راه حل های موفق جهت متمرکز کردن دفاع سایبری تعریف می شود.SOC یک واحد متمرکز درون سازمان می باشد که با مسائل امنیتی در سطح فنی و سازمانی سرو کار دارد.همچنین SOC به عنوان یک سایت مرکزی تعریف می شود که به ابزارهایی جهت دسترسی به سیستم مانیتورینگ، کنترل log ها، کنترل موانع و علائم هشدار مجهز می باشد. در حالت کلی SOC به عنوان یک سایت متمرکز مانیتورینگ امنیت و مدیریت شبکه ارائه دهنده سرویس های زیر می باشد:

• ارزیابی ریسک و آسیب پذیری (Vulnerability and Risk Assessment)

• مدیریت رخداد و حوادث (Event & Incident Management)

• مانیتورینگ منطبق بر سیاستهای سازمان و استانداردها (Compliance Monitoring)

• مدیریت پیکربندی و تنظیمات (Configuration Management)

• ارزیابی آسیبها و بحثهای قانونی (Forensics, damage assessment)

• پاسخگویی به حوادث (Incident Response)

• طرح تداوم کسب و کار (Business Continuity Plan)

13- گروگان گرفته نشوید!) آشنایی با باج افزارها و راه های مقابله با آنها(
روش ارائه: سخنران
باج افزار یا Ransomware، نوعی بدافزار است که دسترسی به فایل های کاربر را محدود ساخته و برای دسترسی مجدد، از او درخواست باج می کند. در سال های اخیر تعداد باج افزارها رشد فزاینده ای داشته است. در گونه های های پیشرفته امروزی، باج افزارها اقدام به رمز کردن فایل های کامپیوتر با الگوریتم های نامتقارن می کنند. رمزگشایی فایل هایی که با شیوه های زیرکانه به روش نامتقارن رمزنگاری می شوند، دشوار و در بسیاری مواقع بدون پرداخت باج، غیرممکن است.در این کارگاه، انواع باج افزارها، روش های رمزنگاری و رمزگشایی فایل ها، روش های باجگیری و نحوه انتشار باج افزارها، مورد تحلیل و بررسی قرار گرفته و روش های پیشگیری و مقابله با این نوع بدافزارها ارائه می گردد. همچنین دو نمونه شاخص از باج افزارهای رایج در کشور ایران، کالبدشکافی فنی می شوند.مخاطبین: مدیران و کارشناسان امنیت شبکه و اطلاعات، مدیران و کارشناسان سیستم و شبکه ، مدیران حراست
14- امنیت در رایانش ابری
روش ارائه: سخنرانحمايت از توسعه فناوري يکي از مهمترين وظايف و دغدغه‌هاي دولت‌هاست. که درخصوص رايانش ابري شايد دولت‌ها بايد اين نقش را ايفا کنند. چراکه دولت‌ها به‌طور بالقوه يکي از بزرگ‌ترين ذينفعان رايانش ابري خواهند بود. امکانات رايانش ابري (به‌ويژه در بخش زيرساخت به‌عنوان خدمت) مي‌تواند در توسعه دولت الکترونيکي مستقل و يکپارچه نقش اساسي ايفا کند. خبرگان برخي دولت‌ها مانند دولت هند توسعه رايانش ابري را راهي براي پر کردن شکاف ديجيتالي و در پي آن کاهش تبعيض و نابرابري اجتماعي در جامعه خود يافته‌اند. کشورها همچنين مي‌توانند به رايانش ابري به مثابه يکي از ارکان توسعه صادرات دانش مبنا بنگرند.يکي از فاکتورهاي مهم در اتخاذ تصميم مهاجرت به فضاي ابر، مسأله امنيت است. سازمان بايد در کنار شناخت فرصتهاي بي بديل استفاده از فضاي ابر درک مناسبي نيز از تهديدهاي امنيتي و مخاطرات جديد ناشي از آن داشته باشد. به طور طبيعي امنيت را در سه وجه حفظ محرمانگي، صحت و دسترسپذيري دادهها تعريف ميکنيم و از اين منظر تفاوتي ميان محاسبات ابري با مدلهاي ديگر محاسبات وجود ندارد.يکي از اجزاي مرکزي و تعيين کننده رايانش ابري در مقايسه با روش سنتي فن‌آوري اطلاعات اقتصادي بودن آن است. در روش سنتي منابع به صورت اختصاصي در اختيار هر واحد تجاري قرار مي‌گرفتند، در حالي که در رايانش ابري منابع بسته به نياز هر واحد بين واحدها توزيع مي‌شود. همچنين در رايانش ابري با تخصيص اشتراکي منابع تبديل هزينه سرمايه‌اي (CapEx) به هزينه راهبري (OpEx) راحت‌تر مي‌شود چرا که منابع به جاي اينکه خريداري شوند اجاره مي‌شوند،بنابراين مي‌توان هزينه‌هاي بخش فن‌آوري اطلاعات را کاهش داد.

تخفیفات:

• ثبت نام بالای 10 نفر از 50 درصد تخفیف برخوردار است.

• ثبت نام اعضای سازمان از 50 درصد تخفیف برخوردار است.

• ثبت نام دانشجویی از 30 درصد تخفیف برخوردار است.

15- کارگاه Backup and Disaster Recovery :
روش ارائه:سخنرانعوامل مختلف تخریب داده‌ها، هر ساله هزینه‌های زیادی را به سازمان‌ها (سازمان‌های دولتی، مراکز حساس اطلاعاتی، مراکز داده، کسب‌وکارهای مبتنی بر اینترنت و …) و اشخاص وارد می‌کند. داده‌ها ممکن است به دلایل مختلفی تخریب شوند. طبق آمارهای جهانی، مهمترین عوامل مختلف از دست دادن داده‌ها نقص‌های سخت‌افزاری، اشتباهات انسانی، مشکلات نرم‌افزاری، دزدی، ویروس‌های کامپیوتری و حوادث غیر مترقبه هستند. در کشور ما حملات سایبری را نیز باید به عوامل فوق اضافه کرد که در مقاطعی از زمان داده‌های حجیمی را در کشور به نابودی کشانده‌اند. آمار و ارقام جهانی نشان می‌دهند که:• هر ۵۳ ثانیه یک لپ‌تاپ دزدیده می‌شود.• هر ۱۵ ثانیه یک هارد از کار می‌افتد.

• ۳۵ درصد کسب‌وکارهای آمریکا با از دست دادن داده‌ مواجه هستند. حتی بزرگترین سازمان‌های جهانی نیز از گزند از دست رفتن داده‌ها در امان نیستند: ناسا اطلاعات فرود آپولو ۱۱ بر روی ماه را از دست داد، فایل‌های مربوط به فیلم داستان اسباب‌بازی ۲ شرکت پیکسار پاک شد و تهیه مجدد آن ۳۰۰ نفر ماه زمان برد، و T-Mobile در سال ۲۰۰۹ اعلام کرد که تمامی داده‌های ذخیره شده کاربرانش، شامل دفترچه تلفن، عکس‌ها و … از بین رفته‌اند.

• ۹۳ درصد شرکت‌های آمریکایی که با مشکل سرویس‌دهی مراکز داده‌شان برای بیشتر از ۱۰ روز روبرو شده‌اند، در عرض کمتر از یک سال ورشکست شده‌اند، و ۵۰ درصد کسب‌وکارهایی که با مشکل سرویس‌دهی مراکز داده‌شان روبرو شده‌اند و نتوانسته‌اند آن را مدیریت کنند، بلافاصله ورشکست شده‌اند.

لازم به ذکر است که آمار و اطلاعات فوق در حضور راهکارهای امنیتی، ‌دیواره‌های آتش، آنتی‌ویروس‌ها و … حاصل شده‌اند. و این یعنی اینکه پشتیبان‌گیری از داده‌ها حتی با وجود ابزارهای امنیتی اشاره شده فوق نیز ضروری است.

در این کارگاه انواع روش های پشتیبان گیری و راه حل های مختلف دستی و خودکار، آفلاین، آنلاین و فناوری های متفاوت قابل استفاده در رفع این مشکلات بررسی و معرفی خواهد شد.

عناوین موضوعات پوشش داده شده در این کارگاه به شرح زیر است:

1. چرا پشتیبان گیری لازم است؟

2. چه چیزهایی باید پشتیبان گیری شود؟

3. انواع خرابیها و دلایل از دست رفتن اطلاعات

4. استراتژی های پشتیبان گیری

5. روش ها و ابزارهای پشتیبان گیری

6. پشتیبان گیری ابری

7. مجازی سازی و پشتیبان گیری

8. پشتیبان گیری از پایگاه های داده

9. Disaster Recovery و High Availability

شرکت کنندگان در این کارگاه باید حداقل آشنایی با مفاهیم فناوری اطلاعات (وب سایت، هاست، پایگاه داده، دامین، Raid، سرور، IP و …) داشته باشند.

سطح کارگاه عمومی تا مدیریتی بوده و مخاطب اصلی آن مدیران تصمیم گیر در حوزه ی IT سازمان ها و کارشناسان IT غیرمتخصص در حوزه ی فناوری های پشتیبان گیری می باشند.

کارگاه­های آموزشی دومین نمایشگاه امنیت سایبری ایران

  1. راهکارهای آگاهی رسانی امنیت در فضای سایبر

روش ارائه:پنل

در ایمن‌سازی سیستم‌های اطلاعاتی هیچ‌گاه تضمين صد درصدي وجود ندارد، چرا که هميشه نقايص تازه و راه‌های جديد برای نفوذ كه ناشي از خطاهاي انساني است وجود خواهد داشت.قدرت هر مجموعه ای به اندازه ضعیفترین جزء آن مجموعه است.انسان‌ها سست‌ترین حلقه زنجیره امنیت سازمان‌ها می‌باشند و امروزه تبهکاران دنیای مجازی بیش از پیش به فکر نفوذ از طریق این حلقه سست و در اختیار گرفتن سیستم‌های اطلاعاتی و افکار این افراد (کارکنان و مشتریان) می‌باشند. ضعف در نیروی انسانی، قویترین تدابیر امنیتی را نابود می سازد.آگاهی رسانی به مخاطبین درست، نخستین گام مهم و موثر برای گذر از این چالش است.

برای مرتفع کردن این مشکل سازمان‌ها باید سطح آگاهی کارکنان و مشتریان خود در زمینه تهدیدات دنیای مجازی را افزایش دهند. توانمند سازی افراد در مقابله با تهدیدات امنیتی فضای سایبر یکی از مهمترین فعالیتهایی است که هر مجموعه و هر فردی باید در جهت رسیدن به سطح امنیت مطلوب به آن بپردازند.

این کارگاه آموزشی به سازمان‌ها کمک می‌کند تا با راهکارهای آگاهی رسانی و تدوین طرح آگاهی رسانی امنیتی برای کارکنان و مشتریان خود و مقابله باتهدیدات و آسیب‌پذیری های مرتبط با انسانها در دنیای دیجیتال آشنا شده و با پیاده سازی برنامه های آگاهی رسانی،افراد را تبدیل به سدی در برابر نشت اطلاعات نمایند.

  • رویکرد جدید مدیریت مخاطرات امنیت بر اساس ISO31000

روش ارائه:سخنران

از زمان پيدایش تمدن، انسان ها با احتمال خسارت روبه رو بوده اند. اجداد ما با محيطی سرشار از خطرات و مخاطرات مواجه بوده اند. نخستين خطرات که طبيعت و حيوانات وحشی بودند، موجب ریسک می شدند و این خطرات نه تنها حيوانات وحشی بلكه شامل انسان ها نيز می شد. به تدریج انسان ها آموختند که به صورت جمعی و فردی، اتفاقات ناخوشایند را پيش بينی و خود را برای مقابله با آن آماده کنند.

هدف از مدیریت مخاطره ، مدیریت نااطمینانی ها و عدم قطعیت هاست.

سازمان بین المللی استاندارد (ISO) در نوامبر سال 2009 برای اولین بار یک استاندارد بین المللی را برای مدیریت مخاطره تحت عنوان ISO 31000 منتشر نمود تا از این طریق اصول و رهنمودهایی عام را در حوزه مدیریت مخاطره به سازمانها ارائه دهد. این استاندارد سعی دارد با ارائه یک چارچوب مشخص، یک سیستم مدیریت مخاطره که قابلیت کاربرد برای هر نوع سازمان و صنعتی را داشته باشد ارائه دهد.

در این کارگاه ابتدا شرکت کنندگان با سه بخش اصلی استاندارد ISO 31000 آشنا خواهند :

1- اصول مدیریت مخاطرات

2- چارچوب مدیریت مخاطرات

3- فرآیند های مخاطرات

بعد از آشنایی با این مفاهیم اولیه ، مفاهیم رویکرد مهم این استاندارد ” ایجاد محتوا ” (Establishing the Context ) که در بند “4” استاندارد های ISO 27001:2013 ( سیستم مدیریت امنیت اطلاعات) و ISO 22301:2012 ( سیستم مدیریت تداوم کسب و کار) اشاره شده است، به شرکت کنندگان ارائه میگردد.

مخاطبان :

1- کارشناسان و مدیران ارزیابی و مدیریت مخاطره

2- کارشناسان و مدیران امنیت اطلاعات

3- کارشناسان و مشاوران سیستم های مدیریت

4- ممیزان و مدرسان سیستم های مدیریت

  • مدیریت کار تیمی در امنیت و فناوری اطلاعات

روش ارائه:سخنران

امروزه بسیاری از مطالعات پژوهشگران علم مدیریت در راستای افزایش اثربخشی و كارآمدی فعالیت‌ها، به سمت تیم‌های كاری سوق یافته است. تشكیل تیم‌های كاری كارامد و تعریف پروژه‌های مختلف برای تیم‌ها، با توجه به توان و تخصص آنها، اصلی گریزناپذیر در مدیریت و كنترل فرایندها و فعالیت‌های كاری است.

ازآنجاییکه برقراری امنیت اطلاعات مسلتزم فعالیت های هماهنگ و هدایت شده گروه¬های مختلف سازمان می¬باشد، نیاز به کار تیمی در مقوله¬های امنیت اطلاعات بیش از پیش احساس می گردد.

معرفی کارگاه:

در این کارگاه مخاطبان با اصول اولیه کارتیمی و تشکیل تیم های کاری آشنا می گردند:

• ساختار گروه و تیم

• تفاوت کار تیمی و کار گروهی

• افزایش عملکرد و انگیزش تیم

• ارزیابی عملکرد تیم ها

• هوش اجتماعی و کار تیمی

• تحليل شخصيتهاي مختلف در تيم

• رفتارهاي ارتباطي در تيم

• برنامه ریزی پروژه در تیم ها

• ابزارهای طلایی در خلاقیت تیمی

• دشمنان کار تیمی

• تیم ها در سازمان های پروژه محور

• فرایند و مراحل مدیریت تیم سازی و کار تیمی در سازمان پروژه محور

• موفقیت یک تیم را چگونه می توان تضمین کرد ؟

مخاطبان

1- کارشناسان و مدیران پروژه های فناوری و امنیت اطلاعات

2- کارشناسان و مدیران امنیت اطلاعات

  • جلوگیری از نشت داده ها(DLP)

روش ارائه:پنل

” نشت اطلاعات/داده، یك حادثه یا نقض امنیت داده است كه طی آن داده‌های طبقه‏بندی شده سازمان عمدا یا سهوا به‏ صورت غیرمجاز نسخه‌برداری، انتقال یا رویت می‌شوند و یا مورد سوءاستفاده قرار می‏گیرند. (NIST SP 800-122). این داده‌ها می‌توانند شامل داده‌های مالی (بانک یا جزئیات کارت)، داده‌های بهداشتی و درمانی، جزئیات قابل شناسایی شخصی، اسرار تجاری و مالکیت معنوی شرکت باشند. موضوع نشت داده‌ها همواره داده‌های مستقر در کامپیوتر، داده‌های در حال انتقال، پست الکترونیکی و کانال‌های اینترنتی را تهدید می‌کند. البته تهدید نشت داده‌ها به خارج شرکت هنوز یک نگرانی عمده به حساب می‌آید و باید در نظر داشت که بخش قابل توجهی از نشت داده‌ها نیز همچنان از فعالیت‌های داخلی نتیجه می‌شوند.

DLP مجموعه‏ اي از محصولات، فرآيندها و راهکارهايي است که به حفاظت از اطلاعات حساس و مهم سازماني کمک مي‏کند. DLP تنها يک محصول مستقل مانند فايروال يا ايميل سرور نيست؛ بلکه مجموعه‏اي از تکنولوژي‏هايي است که چندين جنبه مهم از امنيت اطلاعات را در کنار هم قرار مي‏دهد تا بتوان به کمک آن امنيت داده‏ها را در مجموعه و سازمان برقرار کرد. سيستم DLP ممکن است با شناسايي محتوا، رديابي فعاليت‏ها و مسدود نمودن انتقال اطلاعات حساس، به جلوگيري از نشت اطلاعات کمک نمايد.

به طور کلی DLP مجموعه فرآیندهایی است که از نشت اطلاعات جلوگیری می‏کند. در واقع سیستم DLP برای نظارت بر جریان اطلاعات و حفاظت از اطلاعات محرمانه در مقابل نشت و توزیع فاقد مجوز، طراحی شده است. ”

  • بررسی نفوذپذیری شبکه های صنعتی(اسکادا)

روش ارائه:سخنران

در طی سالهای اخیر شاهد آسیب پذیری ها و تهدیدات بدافزار ها به زیر ساخت های حیاتی کشورمان بوده ایم ، از جمله ویروس استاکس نت که در اوایل تابستان سال 1389 سازمان انرژی اتمی کشورمان را مورد حمله قرار داد و از لحاظ ساختاری و عملکردی بسیار پیشرفته بوده و به نفوذ به اینگونه سیستم های حیاتی منجر شده است.

همچنین با پيشرفت روز افزون تكنولوژي و ورود سيستم هاي فناوري اطلاعات به سيستم هاي كنترل صنعتي به منظور تبادل اطلاعات و ضعف امنيتي در پروتكل هاي صنعتي، اين سيستمها با چالشهاي امنيتي جديدي روبرو شده اند. لذا با توجه به این نکته که در سیستم های کنترل صنعتی، امنیت بر پیشرفتگی مقدم هست و همچنین عدم وجود تعريف يكپارچه از امنيت در سيستم هاي صنعتي و بررسي هاي امنيتي قابل ملاحظه در امنيت اين سيستم ها، در این کارگاه به معرفی سیستم های کنترل صنعتی و آسیب پذیری های موجود در سیستم های کنترل صنعتی پرداخته و به بررسی ایجاد استراتژی های مناسب و راهکارهای عملی کلی برای مقابله با خطرات و حفره های امنیتی این سیستم های حیاتی خواهیم پرداخت.

  • ﺍمنیت شبکەهاﯼ پرداخت الکترﻭنیک مبتنی بر ﺍستاندﺍرد PCI – DSS

روش ارائه:سخنران

روش ارائه:سخنران

اهمیت پرداخت الکترونیک و کارکردهای آن از نظر کسب و کار بر کسی پوشیده نیست. اما عدم وجود امنیت کافی همیشه مانعی بر سر راه توسعه و استفاده‎ بهینه از این کسب و کار بوده است. در این کارگاه تلاش می‎شود به طور اجمال، به بررسی راهکار ایجاد امنیت در این حوزه پرداخته شود. بخشی از آنچه که در این کارگاه مورد مباحثه و بررسی قرار خواهدگرفت شامل موارد ذیل می‌باشد:

• آشنایی با نظام پرداخت الکترونیک و ابزارهای آن در ایران

• آشنایی با چرخه حیات تراکنش‌های مالی در ایران

• آشنایی با مخاطرات امنیتی حوزه پرداخت الکترونیک

• بررسی راهکارهای امنیتی شبکه پرداخت الکترونیک با نگاه به استاندارد PCI – DSS

• الزامات ١٢گانه استاندارد امنیت شبکه های پرداخت کارت

  • پیاده سازی مدیریت امنیت اطلاعات بر مبنای ISO27001:2013

روش ارائه:پنل

در دنیای توانمند فناوری تکنولوژی امروز، “اطلاعات” دارایی حياتي برای کسب و کار سازمانها محسوب می شود. بنابراین تامین امنیت آنها بسیار مهم است. عبارت “امنیت اطلاعات”، تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمی شود؛ مقررات و حریم خصوصی یا خط مشی های حفاظت از اطلاعات مختلف، یک تعهد پویا را برای سازمان ها ضروری می سازد. در عین حال ویروسها، هکرها، فیشرها و … برای تمام جوانب سازمان تهدید به حساب می آیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان می شوند، مانند دزدی اطلاعات مشتریان، جاسوسی استراتژی های کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان که هر یک از آنها به تنهایی می تواند صدمات جبران ناپذیری را متوجه سازمان ها نماید. از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS) مناسب برای مدیریت موثر دارایی های اطلاعاتی سازمان الزامی به نظر می رسد. اهمیت این موضوع به حدی است که در همين راستا بخشنامه اي به شمارة 39360 مورخ 19/7/1383رياست جمهوري محترم به کليه وزارتخانه ها, سازمان ها ، مؤسسات، شرکتهاي دولتي و… در خصوص الزام استقرار و پياده سازي سيستم مديريت امنيت اطلاعات طرح ريزي شده است.

پس از بخشنامه شماره 13711-86/م/38505 مورخ 10/08/1386 معاون اول محترم رئيس جمهور کليه دستگاه هاي دولتي و غير دولتي، موظف به تهيه طرح سيستم مديريت امنيت اطلاعات(ISMS) شدند و همچنين با توجه به اهميت اين سيستم مديريتي در کشور طبق مصوبه هيات وزيران کليه دستگاه هاي اجرايي مشمول ماده پنج قانون خدمات کشوري، ملزم شدند نسبت به پياده سازي سامانه مديريت امنيت اطلاعات ISMS اقدام کنند.

براي پيشگيري از تهديدهاي امنيتي، استاندارهاي مختلفي ارائه شده است اما کاملترين و معروف ترين آنها تا به حال استانداردISO/IEC27001:2005 (ISMS) بوده است، در اواخر سال 2013 نسخه ISO/IEC27001:2013 نیز معرفی گردید، این نسخه جدید که باعث برطرف نمودن مشکلات و ابهامات نسخه قبلی گردیده بود، سوالاتی را نیز برای علاقه مندان به این استاندارد و همچنین شرکت هایی که این گواهینامه را دریافت کرده بودند و یا درصدد دریافت این گواهینامه بوده اند ایجاد نموده است. ازجمله مواردی که در این کارگاه مطرح خواهد شد: آشنایی با استانداردهای امنیتی، مقایسه آنها و توضیح در مورد سری استانداردهای ISO27000،توضیح در خصوص ساختار کلی استاندارد ISO27001:2013، ارائه توضیحاتی در رابطه با کنترل ها و اهداف کنترلی ، ارائه توضیحات در مورد تغییرات نسبت به نسخه 2005،تشریح کنترل های جدید،تغییرات در استقرار و پیاده سازی نسخه جدید

  • زیر ساخت کلید عمومی(PKI)

روش ارائه:پنل

به کار گیری درست و به جای تکنولوژی و ابزار در زمان مناسب می تواند باعث افزایش بهره وری ، کیفیت خدمات و افزایش سطح رضایت مندی ذینفعان گردد. هرچند بدیهی است که استفاده از این ابزارها در فضای ناامن دیجیتال امکان ارائه خدمت را خواهد گرفت. دلیل آن تنها در یک کلمه و آنهم “اعتماد” خلاصه می شود. بدون حضور اعتماد بمنظور اعتبار بخشیدن به اسناد الکترونیک و قانونمند نمودن تراکنش ها و فعالیت های اینترنتی, نمی توان افراد جامعه را ملزم به استفاده از آن نمود. این نشست با هدف آشنایی با مبحث زیرساخت کلید عمومی و چگونگی کاربرد آن در افزایش سطح اعتماد طرح و اجرا خواهد شد. عمده مسائل مطرح در آن عبارتند از:

  • حوزه امنیت و حوزه اعتماد
  • آیین نامه های دادرسی در حوزه زیرساخت کلید عمومی
  • آشنایی با بخش های اصلی مراکز گواهی
  • کاربرد های زیرساخت کلید عمومی
  • زیرساخت کلید عمومی و چالشهای آن در دولت الکترونیک
  • حس اعتماد و جایگاه آن در شبکه های خصوصی و اجتماعی

 

  • گروه واکنش هماهنگ رخداد(CERT)

روش ارائه:پنل

گروه واکنش هماهنگ رخداد ترجمه مفهوم Computer Emergency Response Team یا CERT و یا به عبارتیComputer Security Incident Response Team CSIRT است و وظیفه این گروه برنامه‌ریزی برای واکنش فوری در مقابل تهدیدات امنیتی شبکه و اطلاعات است. در مورد رخدادهای حوزه فناوری اطلاعات باید از پیش اندیشید، مراقبت کرد و اقدامات پیشگیرانه‌ و اصلاحی را انجام داد. در تمام دنیا و از جمله کشورمان دایما تعداد رخدادها و شدت آن در حوزه امنیت فناوری اطلاعات بیشتر می‌شود و دولت در راستای بهبود امنیت اطلاعات، سازمان‌های دولتی خصوصا سازمان‌های مرتبط با زیر ساخت‌های حیاتی کشور را موظف به تشکیل گوهر در مجموعه خود کرده است. این گروه‌ها موظف‌اند رخدادهای امنیتی در دنیا و ایران را رصد کرده و با شناسایی خطرات امنیتی، اقدامات پیشگیرانه و برنامه‌ریزی برای واکنش مناسب در زمان وقوع رخداد امنیتی را در دستور کار خود قرار دهند. همچنین این گروه‌ها باید آمادگی این موضوع را داشته باشند که در صورت بروز حادثه، در کم‌ترین زمان ممکن، شرایط را به حالت عادی برگردانند.در حقیقت اگرچه ماهیت CERT پیشگیرانه است، عملیاتی که انجام می‌دهد در راستای اصلاح در هنگام بروز مخاطرات امنیتی است.

در این کارگاه در مورد آشنایی با CERT، پاسخگویی به رخداد ، نحوه انتخاب اعضای گوهر، خدمات و به طور کلی گام‌های اصلی تشکیل گوهر مطرح می گردد.

  • مرکز عملیات امنیت(SOC)

روش ارائه:پنل

  • دغدغه های امنیتی به کار گیری نرم افزارهای متن باز

روش ارائه:سخنران

مهاجرت بستر و سامانههای فناوری اطلاعات کشور به فناوریهای دنیای نرمافزارهای آزاد ) FLOSS ( ضرورتی است که از سالها پیش توسط متخصصین دلسوز کشور مطرح شده است. از طرف دیگر وابستگی زیاد سازمانها و نهادهای کشور به نرم افزارهای مالکانه ( Proprietary ) به طور کلی و نرم افزارهای تولیدی شرکت آمریکائی مایکروسافت به طور خاص چیزی نیست که بر کسی پوشیده باشد.در این کارگاه پس از مروری اجمالی بر مفاهیم نرم افزارهای آزاد و دلایل لزوم مهاجرت به آنها، مهمترین دغدغه های مدیران و متولیان فناوری اطلاعات سازمانها و نهادهای مطرح و روش فایق آمدن بر هرکدام توضیح داده خواهد شد.