استاندارد ISO27001 امنیت اطلاعات دیجیتال را حفاظت و صیانت از محرمانگی(Confidentiality)، دسترسپذیری (Availability) و یکپارچگی (Integrity) داده های سازمانی تعریف میکند. بر اساس این تعریف زمانی می توان سیستمی را امن تلقی کرد که در آن سه فاکتور فوق بصورت یکسان درنظر گرفته شده، ابزار و کنترل های لازم جهت ایجاد و پیاده سازی آنها بکار گرفته شده باشد، بنا بر این سطوح اجرای طرح امنیت اطلاعات در یک سازمان را میتوان به شکل زیر تفکیک و ارائه کرد :
زیر ساخت شبکه
ارتباط داخلی و بیرونی
سیستم ها
سرویس ها
برنامه های کاربردی و نرم افزارها
جنبه های مختلف یک آزمون نفوذ در یک سازمان عبارت اند از :
ارزيابي آسيبپذيري شبكههاي داخلي، خارجي، و بيسيم.
ارزیابی آسیب پذیری وب سایت و وب سرورها.
ارزيابي آسيبپذيري شبكههاي خصوصي مجازي.
ارزيابي آسيبپذيري برنامههاي كاربردي.
ارزيابي آسيبپذيري برقراري تماسهاي ناخواسته.
ارزيابي آسيبپذيري فرهنگي كاركنان سازمان (با فنون مهندسي اجتماعي).
فعاليتهايي که در هر فاز از اين پروژه اجرا ميشوند نيز عبارتند از:
فاز برنامه:
تعريف محدوده اوليه ISMS
تعريف سياست و خط مشي كلي در ISMS
شناسايي داراييها
شناسايي تهديدها
ارزيابي ريسك
تنظيم برنامه برخورد با ريسكها
انتخاب كنترلهاي امنيتي
تنظيم بيانيه قابليت اجرا (SOA)
فاز اجرا:
بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
پياده سازي برنامه برخورد با ريسك و كنترلهاي مربوطه
فاز بررسي:
نظارت بر اجرا
بازبينيهاي منظم بر كارآيي و كارآمدي ISMS
نظارت بر ريسكهاي مورد قبول
هدايت منظم مميزيهاي ISMS
فاز اقدام:
پياده سازي موارد بهبود
انتخاب اعمال اصلاحي مناسب
مستندات ISMS : بخش 1
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
• اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
• طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
• طرح امنيت فضاي تبادل اطلاعات دستگاه
• طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
• برنامة آگاهي رساني امنيتي به پرسنل دستگاه
• برنامة آموزش امنيتي پرسنل تشكيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش، به بررسي قسمتي از مستندات فوق خواهيم پرداخت.
اهداف، راهبردها و سياستهاي امنيتي
اولين بخش از مستندات ISMS دستگاه، شامل اهداف، راهبردها و سياست هاي امنيتي فضاي تبادل اطلاعات مي باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:
۱.اهداف امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش از مستندات، ابتدا سرمايه هاي فضاي تبادل اطلاعات دستگاه، در قالب
سخت افزارها، نرم افزارها، اطلاعات، ارتباطات، سرويسها و كاربران تفكيك و دسته بندي شده و
سپس اهداف كوتاه مدت و ميان مدت تامين امنيت هر يك از سرمايه ها، تعيين خواهد شد.
نمونه اي از اين اهداف، عبارتند از:
۱-۱- نمونه هائي از اهداف كوتاه مدت امنيت:
۱-۱-۱-جلوگيري از حملات و دسترسي هاي غيرمجاز، عليه سرمايه هاي فضاي تبادل اطلاعات سازمان
۱-۱-۲-مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات سازمان
۱-۱-۳-كاهش رخنه پذيريهاي سرمايه هاي فضاي تبادل اطلاعات سازمان
۱-۲- نمونه هائي از اهداف ميان مدت امنيت:
۱-۲-۱-تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت افزارها متناسب با حساسيت آنها.
۱-۲-۲-تامين صحت عملكرد و قابليت دسترسي براي نرم افزارها، متناسب با حساسيت آنها.
۱-۲-۳-تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي.
۱-۲-۴-تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.
۱-۲-۵-تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي رساني امنيتي براي كاربران شبكه، متناسب با طبقه بندي اطلاعات قابل دسترس و نوع كاربران