جستجو
هدف ما از ایجاد راه حل های مبتنی بر فناوری اطلاعات نه تنها از بین بردن نیروهای انسانی نیست بلکه دانش خود را بصورت قابل درک در اختیار همگان قرار خواهیم داد ، تا مشکلات کاری را آن طور که خود می پسندند برطرف نمایند.


پیامک صوتی


تبلیغات تلفنی

نظرسنجی تلفنی
سـامـانـه مـدیـریـت امـنـیـت - کد صفحه : 18

    ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوری‌های نوین با غلبه بر فاصله ها و محدودیتهای فیزیكی و كاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را بشدت تحت تأثر قرار داده‌اند. این فناوری‌های نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.

    IT هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:

    - شبکه بانکی کشور هک شده و کلیه اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابجا شده...

    - سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...

    - تمام اطلاعات و سوابق شخصیتان بواسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...

    - شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...

       و دهها سناریوی وحشتناک دیگر...

    فکر کنم حالا به این باور رسیدید : IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها میشود میتواند باعث خلق مصائبی این چنینی شود و کشوری را فلج کند !

     تا اوایل دهه هفتاد، فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و شبکه‌های محلی کامپیوتری بود. در چنین محیط‌هایی، روشهای حفاظت فیزیکی امنیت سیستم‌ها و اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستم‌های داخلی به شبکه‌های خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکه‌ها خطرات و تهدیدات جدیدی را ایجاد کرده‌است. مهمترین نگرانی‌های امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستم‌های اطلاعاتی و سرقت اطلاعات آنهاذ- ایجاد وقفه و اختلال در ارائه سرویس‌های حیاتی و تغییر یا تخریب اطلاعات می‌باشند. بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بكارگرفتن روش‌های جدید حفاظت اطلاعات و كنترل دسترسی‌ها به منابع سازمان شده‌اند.

    تاریخچه استاندارد امنیت

    برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم!

    تاریخچه این استاندارد نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry   در سال 1987 برمیگردد.

    این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.

    CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

    با توجه به تجارب گذشته این گروه در گردآوری سناد و قوانین و مستندات امنیتی استاندارد امنیتی BS7799 توسط این گروه منتشر گردید و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا  Information Security Management System که حالا دیگر آن را به اختصار ISMS مینامند منتشر شد.
    
    طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.

     BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability)  تعریف می كند.

     Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.

    Integrity : كامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.

    Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.

    استاندارد BS7799 دارای 10 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است بنابراین در كل 127 كنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه كنترلی عبارتند از :
    
    1- سیاستهای امنیتی

    2- امنیت سازمان

    3- كنترل و طبقه بندی دارایی ها

    4- امنیت فردی

    5- امنیت فیزیكی

    6- مدیریت ارتباط ها

    7- كنترل دسترسی ها

    8- روشها و روالهای نگهداری و بهبود اطلاعات

    9- مدیریت تداوم كار سازمان

    10- سازگاری با موارد قانونی
    
    فوائد استاندارد BS7799 و لزوم پیاده سازی

    استاندارد BS7799 قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

     - اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها

    - اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

    - قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات

    - ایجاد اطمینان نزد مشتریان و شركای تجاری

    - امكان رقابت بهتر با سایر شركت ها

    - ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

    - بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

    ISMS ، سیستم مدیریت امنیت اطلاعات
    
    پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد‌ویروس، و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی ،استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی كارساز نخواهند بود.

    ISMS به مدیران این امکان را میدهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.
    
    سیستم مدیریت امنیت اطلاعات ( ISMS )  راهكار حل مشكلات مذكور در سیستم‌های اطلاعاتی می‌باشد یک سیستم جامع امنیتی بر سه پایه بنا می‌شود:

     سیاستها و دستورالعملهای امنیتی : طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.

    تکنولوژی و محصولات امنیتی: این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت می‌باشد. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .

    عوامل اجرایی: افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.
    
    با پیشرفت علوم كامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشكل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100% داشت باید به نكات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟

     مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار میتراشتند و دور خود جمع میکنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟! شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.

    سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که کلیه عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار می‌دهد و با برقراری امكان نظارت و بهبود مستمر، امنیت کل مجموعه راتامین می‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده میکند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.
    
    یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

    ارائه مشاوره در زمینه تهیه سیاستها و استراتژی‌های امنیتی

    طراحی و مستند‌سازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)

    ارائه مشاوره و خدمات فنی جهت دریافت گواهی‌نامه امنیت اطلاعات BS7799

    ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات

    شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی

    طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری

    ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:

    خدمات بررسی آسیب‌پذیری‌های امنیتی

    راهکارهای مدیریت آسیب‌پذیری‌های امنیتی

© 1393 - 1384 شرکت داده پرداز کیمیا. تمامی حقوق محفوظ است.