چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات – روز اول

بعد از کلی تبلیغ در ماه های اخیر چهارمین همایش سالانه سیستم مدیریت امنیت اطلاعات در مرکز همایشهای بین المللی صدا و سیما برگزار شد. فکر می کنم جزو معدود افرادی بودم که به صورت شخصی در همایش شرکت کرده بودند و به جهت نوع شخصی شرکت کردن، می توانم گزارش بدون سانسوری را ارائه کنم. سعی کردم برای هر مرحله یک تصویر داشته باشم، (هر چند که با این کار کمی صفحه ها سنگین خواهند شد.) و البته تصاویر از کیفیت خیلی خوبی برخوردار نیستند. لطفا اگر در مورد نام ها و یا مطالب اشتباهی مشاهده می کنید، پیغام بگذارید. پیش از مرور، از زحمات دوستانی که زحمت برگزاری این همایش را بر عهده داشتند، متشکرم ! در نوشتن مطلب سعی کرده ام در تمامی مواردی که امکان پذیر است، پیوند مربوط را ایجاد کنم.

۰۸:۵۷ – نزدیک به ۳۰ دقیقه تاخیر، برای چنین عنوان همایشی برازنده نبود، حتی اگر در ایران این زمان تاخیر ایده آل باشد. دبیر همایش شخصی به نام آقای دکتر محمد رضا نحوی بودند که زحمت اجرای همایش را بر عهده داشتند. هر چند چنین جمعی شاید نیاز به مجری نداشته باشد، ولی مدیریت و اجرای همایش به صورت همزمان باعث کمی بی نظمی شده بود، که امیدوارم در همایش های بعدی شاهد زمان بندی دقیق تری باشیم.

۰۹:۱۱ – اولین سخنران همایش، آقای دکتر ابراهیم محمودزاده ،‌‏ رییس هیات مدیره شرکت ایران‌‏سل و مدیرعامل صاایران بودند. امیدوارم تمامی مواردی که ایشان ذکر کردند، در پیاده سازی سیستم های اپراتور دوم در نظر گرفته شده باشد. اگر این طور باشد، قطعا سرویس خوبی خواهد داشت !

با توجه به ترافیک دهشتناک اطراف بزرگراه چمران با ۱ ساعت تاخیر سالن کم کم پذیرای تمامی شرکت کنندگان شد. این طور که از دور و بر به گوش می رسید، سه دسته شرکت کننده در سمینار وجود داشت: شرکت های برگزار کننده و دوستان، مشتریان بزرگ و دولتی شرکت های برگزار کننده، و دسته اندک شرکت کنندگان شخصی.

۱۰:۳۰ – اولین برنامه رسمی همایش مربوط به تیم مدیریت بحران ایران، تحت عنوان IRAN-CERT بود. دکتر نحوی به کمک آقای دکتر ساتی ساختاری برای ایجاد یک واحد CERT در ایران را پیشنهاد دادند. نکته ای که برای من سوال بود و البته جوابی برای آن پیدا نکردم، وجود چنین مرکزی http://www.ircert.com است که ادعای همین موضوع را دارد. البته فقط اطلاعات موجود در آن برای یک سال قبل است !!! نکته دیگر وجود یک گروه غیر ایرانی (شاید غیر بومی بهتر باشد.) برای پیاده سازی چنین سیستمی است که با توجه به ماهیت CERT ها کمی سوال بر انگیز است.

نکته جالب دیگری برای این مقاله، تبدیل CIA به CIA² بود. یعنی افزودن authenticity به سه ضلع معروف امنیت اطلاعات. این ایده که به صورت اولیه در کتاب Fighting Computer Crime در مورد آن بحث شده است، کمی جای بررسی دارد. آیا تایید سندیت به عهده مرکزی است که برای مدیریت بحران ها فعالیت می کند؟ آیا واگذاری هر فعالیت به تیمی که برای آن وظیفه دارد، موجب به وجود آمدن گزارش های شفاف تر نخواهد شد؟ البته ممکن است من خیلی خوب این مورد را نفهمیده باشم.

آقای دکتر ساتی، به معرفی یک نظام سازمانی پیشنهادی برای پیاده سازی نظام امنیتی ملی ( باز هم ملی؟!!!) پرداختند.

به صورت نمونه، سناریوی امکان پذیر برای راه اندازی یک NOC/SOC کشوری معرفی گردید.

چندین نمونه سناریوی احتمالی حمله و موقعیت های مختلف به صورت خیلی مختصر مورد بررسی قرار گرفت. یکی از ایراد هایی که به این همایش می توان گرفت، کمبود(و یا شاید کمرنگ چون من کمتر ندیدم) افراد متخصص در زمینه امنیت شبکه (کلاه خاکستری ها) بود. هرچند موضوع این همایش ISMS بود، ولی یک همایش دو روزه با این هزینه کمی نیاز به نمایش های واقعی برای مشتریان دارد.

بدون شرح ! آدم که تنها باشه، خودش از خودش عکس می گیره !

۱۱:۱۵ – ارائه سوم، با موضوع مهندسی اجتماعی توسط آقای Balaji V برگزار شد.

۱۴:۰۵ – ارائه چهارم، بعد از ناهار با موضوع طرح بازیابی حوادث اطلاعاتی یا همان Disaster Recovery Plan توسط دکتر ساتی برگزار شد. در کل ارائه خوبی بود و دستشون درد نکند !

۱۵:۴۰ – یکی دیگر از ارئه های خوب امروز، تحت عنوان ممیزی سیستم مدیریت امنیت اطلاعات بود که توسط آقای مهندس پندار وطنیان از DNV برگزار گردید. سعی می کنم در مورد این موضوع در مطلبی جداگانه بنویسم.

۱۶:۲۳ – آخرین ارائه امروز، تحت عنوان آزمایشگاه امنیت و جرایم رایانه ای بود که توسط مهندس علی عباس نژاد از موسسه کهکشان نور برگزار شد. در مورد این ارائه باید بگم که اصلا از کیفیت خوب و منطقی برخوردار نبود. فکر می کنم برای همایش هایی که کمی فنی برگزار می شوند، استفاده از موارد تئوری و بدون راهبرد صحیح با ذائقه خیلی ها سازگار نباشد. در کل مواردی که ذکر شده بودند، به نظر من باعث منحرف شدن Computer Security Forensics به یک پروسه قانونی شده بودند. (هر چند جنبه های قانونی در Forensics  کاملا قابل تامل و لازم به اجرا هستند.) ایده اصلی این ارائه، ایده ای بود به اسم IranLAB که کارهای زیادی را انجام خواهد داد!!!!! و همین دلیل بود که بعد تجاری و بازاریابی این ارائه باعث منحرف شدن مطلب شده بود.

حاشیه ۱: قرار شده است که به زودی اسناد و فایل های همایش بر روی سایت مربوطه قرار بگیرد.

حاشیه ۲: از اینکه موارد انتقادی رو به صورت روشن بیان کردم، فقط به دنبال بهتر شدن این گونه همایش ها هستم، تمامی افرادی که این سمینار را ترتیب داده بوند، زحمت بسیار زیادی کشیده بوده اند.

حاشیه ۳: از زمان اعلام شده، چیزی نزدیک به ۲ساعت اتلاف شد و برنامه کارگاه ها اصلا مناسب نبود، فکر می کنم دبیرخانه همایش با توجه به هزینه ای که برای این موارد دریافت کرده است می بایست برنامه ریزی بهتری انجام می داد.

– گزارش روز دوم را بخوانید. اگر در این مورد نظر و یا انتقادی دارید آن را در قسمت نظرات مطرح کنید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.