X
تبلیغات
امنیت اطلاعات ISMS
آشنایی با امنیت شبکه و امنیت اطلاعات طبق استاندارد های امنیت بین المللی
در سال 2005 موسسه بین المللی استاندارد به این نتیجه رسید که یک استاندارد واحد جوابگوی نیاز جامعه جهانی برای برقراری امنیت در حوزه های مختلف نمی باشد. از اینرو اقدام به تشکیل خانواده استاندارد ISO27000 نمود که جنبه های مختلف این امر را پوشش میدهد. شما می توانید هریک از این استانداردها و هدف از بوجود آمدن آن را در زیر ملاحظه نمایید. البته برخی از این استانداردها هنوز منتشر نشده اند که در آینده ای نزدیک این امر تحقق خواهد یافت.

ISO27000: مقدمه و مروری بر استانداردهای خانواده ISMS به همراه تعریف واژگان رایج مورد استفاده.

ISO27001: ارائه الزامات استاندارد به منظور احراز صلاحیت سازمانها جهت اخذ گواهینامه.

ISO27002: مجموعه ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای ISMS.

ISO27003: راهنمای پیاده سازی ISMS.

ISO27004: استاندارد اندازه گیری و تعیین سطح مدیریت امنیت اطلاعات.

ISO27005: استاندارد مدیریت ریسک در امنیت اطلاعات.

ISO27006: راهنمای مراحل دریافت گواهینامه.

ISO27007: راهنمای بازرسی و نظارت بر ISMS.

ISO27011: راهنمایی پیاده سازی ISMS در صنعت مخابرات.

ISO27799: راهنمای پیاده سازی ISMS در حوزه سلامت.

+ نوشته شده در  سه شنبه سوم اسفند 1389ساعت 1:26  توسط مهیار تاج دینی  | 

مروزه امنیت اطلاعات بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر است. لذا، امنیت دارایی های اطلاعاتی برای کلیه سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

امنیت اطلاعات شامل سه بُعد مهم است:

  • 1. محرمانگی (Confidentiality)
  • 2. یکپارچگی (Integrity)
  • 3. دسترس پذیری (Availability)

فراهم آوری صحت و تمامیت اطلاعات به گونه ای که در زمان مناسب، در دسترس افراد مجاز که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است.

سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد ذیل را ایجاد نماید:


ادامه مطلب
+ نوشته شده در  سه شنبه ششم اردیبهشت 1390ساعت 22:40  توسط مهیار تاج دینی  | 
استاندارد ISO27001 امنیت اطلاعات دیجیتال را حفاظت و صیانت از محرمانگی(Confidentiality)، دسترس‌پذیری (Availability) و یکپارچگی (Integrity) داده های سازمانی تعریف می‌کند. بر اساس این تعریف زمانی می توان سیستمی را امن تلقی کرد که در آن سه فاکتور فوق بصورت یکسان درنظر گرفته شده، ابزار و کنترل های لازم جهت ایجاد و پیاده سازی آنها بکار گرفته شده باشد، بنا بر این سطوح اجرای طرح امنیت اطلاعات در یک سازمان را میتوان به شکل زیر تفکیک و ارائه کرد :

  • زیر ساخت شبکه
  • ارتباط داخلی و بیرونی
  • سیستم ها
  • سرویس ها
  • برنامه های کاربردی و نرم افزارها

    جنبه های مختلف یک آزمون نفوذ در یک سازمان عبارت اند از :

  • ارزيابي آسيب­پذيري شبكه­هاي داخلي، خارجي، و بي­سيم.
  • ارزیابی آسیب پذیری وب سایت و وب سرورها.
  • ارزيابي آسيب­پذيري شبكه­هاي خصوصي مجازي.
  • ارزيابي آسيب­پذيري برنامه­هاي كاربردي.
  • ارزيابي آسيب­پذيري برقراري تماسهاي ناخواسته.
  • ارزيابي آسيب­پذيري فرهنگي كاركنان سازمان (با فنون مهندسي اجتماعي).

    فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

    فاز برنامه:

    تعريف محدوده اوليه ISMS

    تعريف سياست  و خط مشي كلي در ISMS

    شناسايي دارايي­ها

    شناسايي تهديدها

    ارزيابي ريسك

    تنظيم برنامه برخورد با ريسك­ها

    انتخاب كنترل­هاي امنيتي

    تنظيم بيانيه قابليت اجرا (SOA)

    فاز اجرا:

    بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك

    پياده ­سازي برنامه برخورد با ريسك و كنترل­هاي مربوطه

    فاز بررسي:

    نظارت بر اجرا

    بازبيني­هاي منظم بر كارآيي و كارآمدي ISMS

    نظارت بر ريسك­هاي مورد قبول

    هدايت منظم مميزي­هاي ISMS

    فاز اقدام:

    پياده سازي موارد بهبود

    انتخاب اعمال اصلاحي مناسب

  • + نوشته شده در  سه شنبه سوم اسفند 1389ساعت 1:29  توسط مهیار تاج دینی  | 
    بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
    • اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
    • طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
    • طرح امنيت فضاي تبادل اطلاعات دستگاه
    • طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
    • برنامة آگاهي رساني امنيتي به پرسنل دستگاه
    • برنامة آموزش امنيتي پرسنل تشكيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
    در اين بخش، به بررسي قسمتي از مستندات فوق خواهيم پرداخت.

    اهداف، راهبردها و سياستهاي امنيتي
    اولين بخش از مستندات ISMS دستگاه، شامل اهداف، راهبردها و سياست هاي امنيتي فضاي تبادل اطلاعات مي باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:

    ۱.اهداف امنيت فضاي تبادل اطلاعات دستگاه
    در اين بخش از مستندات، ابتدا سرمايه هاي فضاي تبادل اطلاعات دستگاه، در قالب
    سخت افزارها، نرم افزارها، اطلاعات، ارتباطات، سرويسها و كاربران تفكيك و دسته بندي شده و
    سپس اهداف كوتاه مدت و ميان مدت تامين امنيت هر يك از سرمايه ها، تعيين خواهد شد.
    نمونه اي از اين اهداف، عبارتند از:
    ۱-۱- نمونه هائي از اهداف كوتاه مدت امنيت:
    ۱-۱-۱-جلوگيري از حملات و دسترسي هاي غيرمجاز، عليه سرمايه هاي فضاي تبادل اطلاعات سازمان
    ۱-۱-۲-مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات سازمان
    ۱-۱-۳-كاهش رخنه پذيريهاي سرمايه هاي فضاي تبادل اطلاعات سازمان

    ۱-۲- نمونه هائي از اهداف ميان مدت امنيت:
    ۱-۲-۱-تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت افزارها متناسب با حساسيت آنها.
    ۱-۲-۲-تامين صحت عملكرد و قابليت دسترسي براي نرم افزارها، متناسب با حساسيت آنها.
    ۱-۲-۳-تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي.
    ۱-۲-۴-تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.
    ۱-۲-۵-تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي رساني امنيتي براي كاربران شبكه، متناسب با طبقه بندي اطلاعات قابل دسترس و نوع كاربران

    + نوشته شده در  سه شنبه سوم اسفند 1389ساعت 1:25  توسط مهیار تاج دینی  | 

     استاندارد ISO/IEC  17799
    در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799منتشر شد.
    راهنماي فني ISO/IEC TR  13335
    اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا2001 توسط موسسه ISO منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد منتشر نشد و بر آن عنوان Technical Reportنهاده شد، ليكن تنها مستندات فني معتبري است كه جزئيات و تكنيكهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مكمل استانداردهاي مديريتي BS 7799 و ISO 17799 مي باشد.

    بخش اول
    در اين بخش كه در سال 1996 منتشر شد، مفاهيم كلي امنيت اطلاعات از قبيل سرمايه،تهديد، آسيب پذيري، ريسك، ضربه و ... روابط بين اين مفاهيم و مدل مديريت مخاطرات امنيتي، ارائه شده است.
    بخش دوم
    اين بخش كه در سال 1997 منتشر شد ، مراحل ايمن سازي و ساختار تشكيلات تامين امنيت اطلاعات سازمان ارائه شده است . بر اساس اين گزارش فني ، چرخه ايمن سازي به 5 مرحله شامل تدوين سياست امنيتي سازمان، تحليل مخاطرات امنيتي، تعيين كنترلها و ارائه طرح امنيت، پياده سازي طرح امنيت و پشتيباني امنيت اطلاعات، تفكيك شده است.

    بخش سوم
    در اين بخش كه در سال 1998 منتشر شد، تكنيكهاي طراحي، پياده سازي و پشتيباني امنيت اطلاعات از جمله محورها و جزئيات سياستهاي امنيتي سازمان، تكنيكهاي تحليل مخاطرات امنيتي، محتواي طرح امنيتي، جزئيات پياده سازي طرح امنيتي و پشتيباني امنيت اطلاعات، ارائه شده است.

    بخش چهارم
    در اين بخش كه در سال 2000 منتشر شد، ضمن تشريح كنترلهاي فيزيكي، سازماني و كنترلهاي خاص سيستم هاي اطلاعاتي، نحوه انتخاب حفاظهاي مورد نياز براي تامين هريك از مولفه هاي امنيت اطلاعات، ارائه شده است.
    بخش پنجم
    در اين بخش كه در سال 2001 منتشر شد، ضمن افزودن مقوله ارتباطات و مروري بر بخشهاي دوم تا چهارم اين گزارش فني، تكنيكهاي تامين امنيت ارتباطات از قبيل شبكه هاي خصوصي مجازي، امنيت در گذرگاه ها، تشخيص تهاجم و كدهاي مخرب، ارائه شده است.

    + نوشته شده در  سه شنبه سوم اسفند 1389ساعت 1:22  توسط مهیار تاج دینی  | 

    استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان ها، عبارتند از:
    موسسه استاندارد انگليس BS استاندارد مديريتي 7799 ·
    موسسه بين المللي استاندارد ISO/IEC استاندارد مديريتي 17799 ·
    موسسه بين المللي استاندارد ISO/IEC TR گزارش فني 13335 ·

    موسسه بين المللي استاندارد ISO/IEC استاندارد مديريتي ۲۷۰۰۱
    درحال به ترتیب به بررسي مختصر استانداردهاي فوق خواهيم پرداخت.

    استاندارد BS7799 :

    بخش اول
    در اين بخش از استاندارد، مجموعه كنترل هاي امنيتي موردنياز سيستم هاي اطلاعاتي و
    ارتباطي هر سازمان، در قالب ده دسته بندي كلي شامل موارد زير، ارائه شده است:
    1 - تدوين سياست امنيتي سازمان
    در اين قسمت، به ضرورت تدوين و انتشار سياست هاي امنيتي اطلاعات و ار تباطات
    سازمان ، بنحوي كه كليه مخاطبين سياست ها در جريان جزئيات آن قرار گيرند، تاكيد
    شده است . همچنين جزئيات و نحوه نگارش سياست هاي امنيتي اطلاعات و ارتباطات
    سازمان، ارائه شده است.
    2 - ايجاد تشكيلات تامين امنيت سازمان
    در اين قسمت، ضمن تشريح ضرورت ايجاد تشكيلات امنيت اطلاعات و ارتباطات
    سازمان، جزئيات اين تشكيلات در سطوح سياستگذاري، اجرائي و فني به همراه
    مسئوليت هاي هر يك از سطوح، ارائه شده است.
    3 - دسته بندي سرمايه ها و تعيين كنترل هاي لازم
    در اين قسمت، ضمن تشريح ضرورت دسته بندي اطلاعات سازمان، به جزئ يات تدوين
    راهنماي دسته بندي اطلاعات سازمان پرداخته و محورهاي دسته بندي اطلاعات را ارائه
    نموده است.
    4 - امنيت پرسنلي
    در اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بكارگيري پرسنل،
    ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از
    مسئوليت هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده
    است.

    5 - امنيت فيزيكي و پيراموني
    در اين قسمت، اهميت و ابعاد امنيت فيزيكي، جزئيات محافظت از تجهيزات و كنترلهاي
    موردنياز براي اين منظور، ارائه شده است.
    6 - مديريت ارتباطات
    در اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر
    يك از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم ها، محافظت در
    مقابل نرم افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان گيري از
    اطلاعات، مديريت شبك ه، محافظت از رسانه ها و روالها و مسئوليت هاي مربوط به
    درخواست، تحويل، تست و ساير موارد تغيير نرم افزارها ارائه شده است.
    7 - كنترل دسترسي
    در اين قسمت، نيازمنديهاي كنترل دسترسي، نحوه مديريت دسترسي پرسنل،
    مسئوليت هاي كاربران، ابزارها و مكانيزم هاي كنترل دسترسي در شبكه، كنترل دسترسي
    در سيستم عاملها و نرم افزارهاي كاربردي، استفاده از سيستم هاي مانيتورينگ و كنترل
    دسترسي در ارتباط از راه دور به شبكه ارائه شده است.
    8 - نگهداري و توسعه سيستم ها
    در اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستم ها، امنيت د ر سيستم هاي
    كاربردي، كنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز
    در توسعه و پشتيباني سيستم ها، ارائه شده است.
    9 - مديريت تداوم فعاليت سازمان
    در اين قسمت، رويه هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت،
    طراحي و تدو ين طرح هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت
    سازمان و طرح هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده
    است.
    10 - پاسخگوئي به نيازهاي امنيتي
    در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست هاي
    امنيتي موردنياز و ابزارها و مكانيزم هاي بازرسي امنيتي سيستم ها، ارائه شده است.

    فصل دوم
    در اين بخش از استاندارد براي تامين امنيت اطلاعات و ارتباطات سازمان يك چرخه ايمن سازي شامل 4 مرحله طراحي، پياده سازي ، تست و اصلاح (چرخه PDCA) ارائه شده و جزئيات هر يك از مراحل به همراه ليست و محتواي مستندات موردنياز جهت ايجاد سيستم مديريت امنيت اطلاعات سازمان، ارائه شده است.

     

    + نوشته شده در  سه شنبه سوم اسفند 1389ساعت 1:14  توسط مهیار تاج دینی  |