سطوح و جنبه های مختلف اجرای امنیت اطلاعات در سازمانها

استاندارد ISO27001 امنیت اطلاعات دیجیتال را حفاظت و صیانت از محرمانگی(Confidentiality)، دسترس‌پذیری (Availability) و یکپارچگی (Integrity) داده های سازمانی تعریف می‌کند. بر اساس این تعریف زمانی می توان سیستمی را امن تلقی کرد که در آن سه فاکتور فوق بصورت یکسان درنظر گرفته شده، ابزار و کنترل های لازم جهت ایجاد و پیاده سازی آنها بکار گرفته شده باشد، بنا بر این سطوح اجرای طرح امنیت اطلاعات در یک سازمان را میتوان به شکل زیر تفکیک و ارائه کرد :
زیر ساخت شبکه
ارتباط داخلی و بیرونی
سیستم ها
سرویس ها
برنامه های کاربردی و نرم افزارها

جنبه های مختلف یک آزمون نفوذ در یک سازمان عبارت اند از :
ارزيابي آسيب­پذيري شبكه­هاي داخلي، خارجي، و بي­سيم.
ارزیابی آسیب پذیری وب سایت و وب سرورها.
ارزيابي آسيب­پذيري شبكه­هاي خصوصي مجازي.
ارزيابي آسيب­پذيري برنامه­هاي كاربردي.
ارزيابي آسيب­پذيري برقراري تماسهاي ناخواسته.
ارزيابي آسيب­پذيري فرهنگي كاركنان سازمان (با فنون مهندسي اجتماعي).

فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

فاز برنامه:

تعريف محدوده اوليه ISMS

تعريف سياست  و خط مشي كلي در ISMS

شناسايي دارايي­ها

شناسايي تهديدها

ارزيابي ريسك

تنظيم برنامه برخورد با ريسك­ها

انتخاب كنترل­هاي امنيتي

تنظيم بيانيه قابليت اجرا (SOA)

فاز اجرا:

بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك

پياده ­سازي برنامه برخورد با ريسك و كنترل­هاي مربوطه

فاز بررسي:

نظارت بر اجرا

بازبيني­هاي منظم بر كارآيي و كارآمدي ISMS

نظارت بر ريسك­هاي مورد قبول

هدايت منظم مميزي­هاي ISMS

فاز اقدام:

پياده سازي موارد بهبود

انتخاب اعمال اصلاحي مناسب

 
مستندات ISMS : بخش 1
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
• اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
• طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
• طرح امنيت فضاي تبادل اطلاعات دستگاه
• طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
• برنامة آگاهي رساني امنيتي به پرسنل دستگاه
• برنامة آموزش امنيتي پرسنل تشكيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش، به بررسي قسمتي از مستندات فوق خواهيم پرداخت.

اهداف، راهبردها و سياستهاي امنيتي
اولين بخش از مستندات ISMS دستگاه، شامل اهداف، راهبردها و سياست هاي امنيتي فضاي تبادل اطلاعات مي باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:

۱.اهداف امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش از مستندات، ابتدا سرمايه هاي فضاي تبادل اطلاعات دستگاه، در قالب
سخت افزارها، نرم افزارها، اطلاعات، ارتباطات، سرويسها و كاربران تفكيك و دسته بندي شده و
سپس اهداف كوتاه مدت و ميان مدت تامين امنيت هر يك از سرمايه ها، تعيين خواهد شد.
نمونه اي از اين اهداف، عبارتند از:
۱-۱- نمونه هائي از اهداف كوتاه مدت امنيت:
۱-۱-۱-جلوگيري از حملات و دسترسي هاي غيرمجاز، عليه سرمايه هاي فضاي تبادل اطلاعات سازمان
۱-۱-۲-مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات سازمان
۱-۱-۳-كاهش رخنه پذيريهاي سرمايه هاي فضاي تبادل اطلاعات سازمان
۱-۲- نمونه هائي از اهداف ميان مدت امنيت:
۱-۲-۱-تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت افزارها متناسب با حساسيت آنها.
۱-۲-۲-تامين صحت عملكرد و قابليت دسترسي براي نرم افزارها، متناسب با حساسيت آنها.
۱-۲-۳-تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي.
۱-۲-۴-تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.
۱-۲-۵-تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي رساني امنيتي براي كاربران شبكه، متناسب با طبقه بندي اطلاعات قابل دسترس و نوع كاربران

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

تداوم کسب وکار و فناوری اطلاعات

موضوع تداوم دیرینه و حائر اهمیت می باشد. انسان هوشمند از بدو زندگی اجتماعی خود …

Leave a Reply

Your email address will not be published. Required fields are marked *