خدمات سيستم
   سيستم مديريت امنيت اطلاعات(ISMS)
   تفاهم نامه کدپستي ده رقمي
   نرم افزار امور مجلس سازمانهاي دولتي
   اسکن اسناد اداري
   پروزه مستغلات سازمان امور مالياتي کشور
             نرم افزار توانير
   نرم افزار گزارش عملکرد شرکت هاي توزيع
   گزارش عملکرد شرکت هاي توزيع(نسخه استاني)
             خدمات فناوري
   شبکه، اينترنت ADSL,Wireless,..
   ثبت دامنه و ميزباني وب
   طراحي و توليد نرم افزارهاي تحت وب
   سخت افزار - کامپيوتر سرور لپ تاپ
              آموزش
   مقالات
   دوره هاي آموزشي فناوري اطلاعات
 
 

      مقدمه استاندارد امنيت اطلاعات

      چكيده استاندارد امنيت اطلاعات

 

   مقدمه استاندارد امنيت اطلاعات (ISMS)  

 

هدف :حفظ حيات سازمان، حفظ وجهه مقبول سازمان از منظر مشتري، پرسنل، مديران و سرمايه گذاران اين هدف صرفاً با دسته بندي غير واقعي اسناد و اطلاعات و زدن برچسب هاي ايمن سازي اطلاعات ( محرمانه،... ) ، جداسازي اتاقها و سايت هاي تجهيزات پردازش اطلاعات، ايجاد محدوديت هاي عبور و مرور در برخي اماكن، داشتن اسم رمز براي دسترسي به سيستم ها به دست نمي آيد.

به منظور ايمن سازي سرمايه هاي سازمان اعم از منقول و غير منقول، معنوي و انساني سلسله فعاليتهايي مرتبط و با برنامه ريزي بايد انجام پذيرد . در صورتي كه از وجوه مختلف براي حفظ سرمايه هاي سازمان برنامه ريزي شود، آگاهي بخشي و آموزشهاي لازم به تمامي پرسنل در كليه سطوح ارائه گردد، كنترلهاي مورد نياز براي حفظ سرمايه ها تعريف و پياده سازي شوند، مسئوليت هاي مرتبط با ايمن سازي سرمايه ها تعريف و واگذار شود، به صورت دوره اي تمامي فعاليتها بازبيني و بهينه سازي شوند،شرايط تداوم  سازمان تعيين و اجراي آنها برنامه ريزي گردد، آنگاه به طور نسبي مي توان ادعا كرد كه برنامه ريزي براي حفظ منابع سازمان انجام پذيرفته است.

يكي از روشهاي دسترسي به هدف فوق استقرار استاندارد امنيت اطلاعات است كه بخش مقدمه آن در زير آمده است. 

استاندارد مديريت امنيت اطلاعات ISO/IEC 17799:2000 (E) : 

[1]ISO و  [2]IEC  سيستم ويژه اي براي تدوين استانداردهاي جهاني مي باشند. سازمان هاي ملي عضو ISO  و IEC از طريق كميته هاي فني تخصصي در زمينه هاي مختلف در توسعه استانداردهاي بين المللي مشاركت دارند . كميته هاي فني ISO  و IEC در زمينه هاي مشترك با يكديگر همكاري و ساير سازمان هاي بين المللي، اعم از دولتي و غير دولتي مرتبط با ISO و IES در اين زمينه ايفاي نقش مي كنند.

در زمينه اطلاعات، ISO  و IEC يك كميته مشترك به نام ISO/IEC JTC1 ايجاد كرده اند . پيش نويس استانداردهاي بين المللي توسط كميته فني مشترك تدوين و به منظور جمع آوري نظرات سازمان هاي ملي عضو براي آنان ارسال مي شود. استاندارد بين المللي پس از پذيرش 75% سازمان هاي ملي عضو از طريق نظرسنجي منتشر خواهد شد.استاندارد بين المللي 17799 ISO/IEC توسط انستيتوي استاندارد انگليس با نام BS7799) ) تهيه و توسط كميته فني فناوري اطلاعات ISO/IECJTC1 بازبيني و به طور همزمان مورد پذيرش اين كميته و سازمان هاي ملي عضو ISO  و IEC قرار گرفت.

مقدمه :

اطلاعات از سرمايه هايي است كه مشابه ديگر سرمايه هاي مهم كسب و كار[3]براي سازمان داراي ارزش هستند ،در  نتيجه بايد به طور مناسبي محافظت شوند. امنيت اطلاعات، به منظور اطمينان از حيات كسب و كار، كاهش خرابيها ، افزايش فرصتهاي كسب و كار و بازگشت سرمايه ، محافظت اطلاعات را از حيطه  گسترده اي از تهديدات تضمين مي كند.اطلاعات دراشكال مختلفي شامل چاپ يا نوشته شده بر روي كاغذ، ذخيره شده به طور الكترونيكي ، تبادل شده توسط پست يا وسايل الكترونيكي ،ذكر شده  در فيلم ها و محاورات وجود دارد.صرفنظر از شكل اطلاعات و ابزارهاي ذخيره سازي يا اشتراك آن،اطلاعات همواره بايد به طور مناسبي محافظت شود.

امنيت اطلاعات براي حفاظت موارد زير تعريف شده است:

الف) محرمانگي[4] : حصول اطمينان از اين كه فقط افراد دراري مجوز دسترسي، به اطلاعات دستيابي دارند.

ب ) صحت ( كمال )[5]: درستي و تماميت اطلاعات و روشهاي پردازش تأمين گردد.

ج ) قابليت دسترسي[6]: حصول اطمينان از اين كه افراد مجاز هر زمان كه بخواهند به اطلاعات و سرمايه هاي مرتبط با آن دسترسي خواهند داشت.

امنيت اطلاعات با ايجاد مجموعه مناسبي از كنترلها شامل سياستها، روشها، روالها، ساختارهاي سازماني و فعاليتهاي نرم افزاري بدست مي آيد.

براي حصول اطمينان از دسترسي به اهداف ويژه امنيت، كنترلهاي فوق مي بايست در سازمان پياده سازي شوند. 

چرا به امنيت اطلاعات نيازمنديم :

        اطلاعات، پردازشهاي پشتيبان آنها، سيستم ها و شبكه ها، سرمايه هاي مهم كسب و كار محسوب مي شوند.محرمانگي، صحت و قابليت دسترسي اطلاعات به عنوان اساس و زير بناي ماندگاري در سطح رقابت، سودمندي، عملكرد صحيح و تأثير اقتصادي مي باشد. سازمانها و سيستم هاي اطلاعاتي و شبكه هاي آنها به طور فزاينده با تهديدات امنيتي گسترده اي مواجه هستند اين مخاطرات عبارتند از : بازدارندگي با كمك كامپيوتر، جاسوسي، خرابكاريهاي داخلي، خرابكاريهاي هدف دار، آب و آتش .

منابع ايجاد خسارت از قبيل ويروسهاي كامپيوتري[7]، حملات كامپيوتري[8]و حملات قطع سرويس[9] به صورت فزاينده اي متداول، مؤثر و پيچيده شده اند.

بسته به نوع ابزار، سيستم ها و سرويس هاي اطلاعاتي سازمانها در مقابل تهديدات امنيتي به شدت آسيب پذير شده اند .اتصال شبكه هاي عمومي و خصوصي و به اشتراك گذاري منابع اطلاعاتي موجود، سبب افزايش مشكلات كنترل دسترسي شده است .تأثير گرايش به محيط هاي كامپيوتري توزيع شده اثر بخشي كنترلهاي متمركز و تخصصي را باضعف مواجه كرده است .

اغلب سيستم هاي اطلاعاتي به طور ايمن طراحي نشده اند . ابزارهاي فني در ارائه امنيت محدود مي باشند و براي رفع اين محدوديت مي بايست از طريق روالها و مديريت مناسب مي توان اين محدوديت را برطرف نمود . تعيين نوع كنترلهايي كه بايد استقرار يابند نياز به طراحي دقيق و توجه به اجزاء دارد .

      مديريت امنيت اطلاعات، به عنوان حداقل، به مشاركت تمامي پرسنل سازمان،فراهم كنندگان، مشتريان ، شركاء و دستگاه هاي بالا و پائين دست نياز دارد.بهره گيري از مشاوره و اطلاعات متخصصين بيرون سازمان نيز ضروري مي باشد.

كنترلهاي امنيت اطلاعات چنانچه در مرحله طراحي و نيازسنجي لحاظ شوند به طور قابل ملاحظه اي ارزان و مؤثر خواهند بود.

نحوه تعيين نيازهاي امنيتي :

تعيين نيازهاي امنيتي سازمان اساسي ترين موضوع در اين زمينه است . كه از سه منبع اصلي زير حاصل مي شود.

·      اولين منبع از تشخيص مخاطراتي كه سازمان با آن روبرو است استخراج مي شود. در خلال تشخيص مخاطرات، تهديداتي كه سرمايه ها با آن مواجه هستند تعيين مي شوند. همچنين آسيب پذيريها و احتمال وقوع آنها ارزيابي شده و تأثير بالقوه آنها تخمين زده مي شود.

·         منبع دوم عبارتست از شرايط قانوني،كيفري،نظارتي و قراردادي كه سازمان،شركاء تجاري،طرف قراردادها و تامين كنندگان خدمات بايد برآورده نمايند.

·         منبع سوم مجموعه مشخصي از مفاهيم،اهداف و شرايط پردازشي اطلاعات است كه سازمان براي حمايت از عملكرد خود ايجاد مي نمايد.

 

ارزيابي مخاطرات امنيت:

شرايط و نيازهاي امنيتي[10] به وسيله ارزيابي روشمند مخاطرات امنيتي تعيين مي گردند. ميزان و وزن برقراري كنترلها در سازمان بايد با زيان هاي احتمالي ناشي از خطاهاي امنيتي برابري داشته باشد.فنون ارزيابي مخاطره مي تواند كل سازمان، بخش از آن، سيستم هاي اطلاعاتي خاص، در صورت امكان سرويس ها يا اجزاء سيستمي خاص، را شامل مي شود.

ارزيابي مخاطره[11]، پرداختن سازمان يافته به موارد زير مي باشد:

الف) زيان هاي احتمالي ناشي از خطاهاي امنيتي سازمان، در نظر گرفتن و برآورد نتيجه بالقوه كاهش محرمانگي، صحت و قابليت دسترسي اطلاعات و سرمايه ها.

ب) نتيجه اين ارزيابي به تعيين و هدايت اولويتها و اقدامات مناسب مديريتي براي مديريت مخاطرات امنيت اطلاعات و استقرار كنترلهاي انتخاب شده براي مقابله با اين مخاطرات كمك خواهد كرد. فرايند ارزيابي مخاطرات و انتخاب كنترلها مي تواند چندين بار اجراء شده تا بخش هاي مختلف سازمان يا سيستم هاي اطلاعاتي خاص را شامل مي شود. انجام بازبيني مستمر و دوره اي مخاطرات امنيتي و كنترلهاي استقرار يافته براي رسيدن به اهداف زير از اهميت زيادي برخوردار است:

الف) لحاظ كردن تغييردر اولويتها و نيازهاي سازمان

ب) تشريح آسيب پذيريها و تهديدات جديد

ج) اطمينان از مناسب و مؤثر بودن كنترلها

بر اساس نتيجه ارزيابي هاي قبلي و تغيير سطوح مخاطراتي كه مديريت آمادگي پذيرش آن را دارد، بازبيني بايد در سطوح مختلفي اجرا گردد.به منظور اولويت بندي منابع از نظر حوزه مخاطرات اساسي،ارزيابي مخاطرات اغلب در مرحله اول در سطح بالايي انجام مي شود و سپس براي شناسايي دقيق مخاطرات،ارزيابي به صورت ريز و جزيي انجام مي شود.

انتخاب كنترلها:

پس از تعيين و تعريف نيازهاي امنيتي ،انتخاب و استقرار كنترلها جهت اطمينان از كاهش خاطرات به سطح قابل قبول انجام خواهد شد.كنترلها را مي توان از متن استاندارد 17799 يا مستندات ديگر انتخاب و يا كنترلهاي جديدي براي پوشش مناسب نيازهاي مشخص را طراحي نمود.روشهاي مختلفي براي مديريت مخاطرات وجود دارد كه در استاندارد 17799 نمونه هايي از ذكر اين نكته ضروري است كه برخي كنترلها براي هر محيط يا سيستم اطلاعاتي يا براي هر سازمان قابل پياده سازي و اجراء نخواهد بود. به طور مثال تفكيك وظائف و مسئوليتهاي پرسنل مي تواند يكي از كنترلهايي باشد كه از خطا و مخاطره پيشگيري مي نمايد اما ممكن است در سازمانهاي كوچك امكان تفكيك وظائف وجود نداشته باشد. 

نقطه آغاز امنيت اطلاعات :

به منظور استقرار امنيت اطلاعات تعدادي از كنترلها به مثابه مأخذ اساسي نقطه آغاز خواهند بود.اين كنترلها نيازهاي پايه قانوني يا به عنوان بهترين روشهاي متداول براي امنيت اطلاعات خواهند بود.

كنترلهاي اساسي كه براي هر سازمان از جنبه قانوني بايد درنظرگرفته شود:

الف) حفاظت داده و اطلاعات خصوصي افراد

ب) محافظت از بايگاني ها و سوابق سازماني

ج) حقوق سرمايه هاي معنوي

كنترلهايي كه بايد به عنوان بهترين روشها براي امنيت اطلاعات در نظر گرفته شوند:

الف) مستند سياست امنيت اطلاعات

ب) تعيين مسئوليتهاي امنيت اطلاعات

ج) آموزش و يادگيري امنيت اطلاعات

د) گزارش وقايع امنيتي

ه) مديريت تداوم سازمان

كنترلهاي فوق در اغلب محيط ها و سازمان ها قابل اعمال هستند. لازم به ذكر است يادآوري نمايد اگر چه همه كنترلها ي ذكر شده در اين استاندارد  مهم هستند اماارتباط هر كنترل بايد از نظر مخاطره اي كه سازمان با آن مواجه است تعيين گردد.اگر چه ايده فوق به عنوان نقطه آغاز مناسبي در نظر گرفته شده است اما نبايد جايگزين انتخاب كنترلها بر اساس روش ارزيابي مخاطرات گردد. 

عوامل اساسي موفقيت:

تجربه نشان داده است كه عوامل زير اغلب در موفقيت استقرار امنيت اطلاعات در سازمان حياتي هستند:

الف) اقتباس سياستهاي امنيتي ، اهداف و فعاليتها از اهداف سازمان

  ب) انطباق روش استقرار امنيت اطلاعات با فرهنگ سازمان

  ج) پشتيباني و مشاركت موثر و ملموس مديريت

  د) درك درست از نيازهاي امنيتي،ارزيابي و مديريت مخاطرات

  ه)گزارش آگاهي در خصوص  سياست امنيت اطلاعات و استانداردها براي پرسنل و پيمانكاران

  و) برقراري آموزشها و يادگيري مناسب

  ز) وجود سيستم متوازن و كامل ارزيابي به منظور ارزيابي مديريت امنيت اطلاعات  و ارائه بازخورد براي بهبود

 

[1]International  organization  for  standardization

[2]International  Electrotechnical  Commission

[3]Business

[4]Confidenttiality        

[5]Integrity

[6]Availability

[7]Computer  viruses

[8]Computer hacking

[9]Denial  of  service  attacks

[10]Security   risks

[11]Risk  assessment

بالاي صفحه

   چكيده استاندارد امنيت اطلاعات  

حيات و دوام سازمانها در دنياي پيچيده امروز به عوامل مختلفي بستگي دارد. يكي از اين عوامل تأمين حفاظ براي كليه سرمايه هاي سازمان مي باشد. هدف امنيت اطلاعات ايجاد حفاظ براي سرمايه هاي سازمان است به طوريكه سرعت عمل و انعطاف پذيري سازمان را دچار ضعف نسازد. تدوين استانداردهاي  جهاني ، تصويب قوانين حقوقي و كيفري به منظور حفاظت از سرمايه ها در حال رشد مي باشد.17799 IEC/ ISO يكي از اين استانداردها ست.

اين استاندارد كه مشابه بخش 1 استاندارد 7799BS مي باشد روش استقرار امنيت اطلاعات را در سازمان ارائه مي نمايد. اين استاندارد شامل 10 مرحله است كه تعريف هر مرحله به طور خلاصه در زير آمده است.

1-     سياست امنيت اطلاعات

ايجاد ديدگاه و جلب پشتيباني مديريت براي امنيت اطلاعات و جلب مشاركت در تدوين سند امنيت اطلاعات با محتوي ( اهداف، محدوده عملكرد، سياستها، مفاهيم، استانداردها، قوانين موضوعه، مسئوليتهاي كلان مديريت امنيت اطلاعات، ارزيابي مخاطرات، آسيب پذيري ها، تعهدات و وقايع ) و بازبيني آن با تغيير در زير ساختهاي سازمان يا بروز وقايع و آسيب پذيريهاي جديد

2 – امنيت سازماني

مديريت امنيت اطلاعات در سازمان با تدوين چارچوب امنيت، تشكيل انجمن مديريت امنيت اطلاعات هدايت و اداره كردن استقرار امنيت اطلاعات، تعيين مسئوليتها در حفاظت از سرمايه ها اعم از مشهود و نامشهود

3 – كنترل و دسته بندي سرمايه

برقراري حفاظت مناسب از سرمايه هاي سازمان با شناسائي سرمايه ها و تعيين متولي براي آنها در سه جنبه سرمايه هاي اطلاعاتي، نرم افزاري و فيزيكي

4 – امنيت پرسنل

شناسائي اطلاعات در حوزه هاي فردي و نحوه ايمن سازي آنها، آموزش پرسنل، تدوين،پذيرش و امضاء توافقنامه هاي حفظ محرمانگي اطلاعات

5 – امنيت محيطي و فيزيكي

جلوگيري از دسترسي افراد غير مجاز، پيشگيري از خرابي، تأثير مخرب بر روي اطلاعات سازمان، سازماندهي تجهيزات پردازش اطلاعات در محلهاي امن و ايجاد كنترلهاي لازم.

6 – مديريت عمليات و ارتباطات

حصول اطمينان از عملكرد درست و ايمن تجهيزات پردازش اطلاعات، شناخت روالها و مسئوليتها به منظورمديريت و عملكرد كليه تجهيزات پردازش اطلاعات، از نحوه عملكرد كاربر تا سرويسها و تجهيزات ارتباطي، اطمينان از صحت و در دسترس بودن تجهيزات و برنامه ريزي براي جايگزيني، ارتقاء و استفاده از سيستم جديد،ايمن سازي تبادلات الكترونيكي (تبادل اطلاعات،تجارت الكترونيك،پست الكترونيك).

7- كنترل دسترسي

تدوين، استقرار و مديريت قوانين و كنترلهاي لازم جهت دسترسي كاربران به منابع و سرمايه هاي سازمان اعم از سيستم هاي اطلاعاتي، شبكه و كامپيوترها.

8- امنيت سيستمهاي اطلاعاتي

اطمينان از وجود كنترلهاي امنيتي در سيستمهاي اطلاعاتي، زير ساختها و نرم افزارهاي كاربردي توليد شده توسط كاربران.

شناسايي اطلاعات در حوزه هاي فردي و نحوه ايمن سازي آنها، آموزش پرسنل تدوين توافقنامه هاي حفظ محرمانگي اطلاعات

9 – مديريت دوام ( حيات ) سازمان

كاهش و پيشگيري از وقفه  در فعاليتهاي سازمان و حفاظت از فرايندهاي حياتي سازمان در مقابل خطاها و توقفات ( ناشي از حوادث قهريه، خطاي تجهيزات ، اتفاقات و فعاليتهاي عمومي ) استقرارفرايند تدوام سازمان سبب كاهش خرابي از طريق اقدامهاي بازدارنده و كنترلهاي بازيابي خواهد شد.

كليه مشكلات اعم از خطاهاي امنيتي، نقص در سرويسها و حتي نتايج خرابيها بايد تحليل شود.

برنامه پيشامدهاي احتمالي به منظور بازيابي فرايندهاي سازماني بايد ايجاد و استقرار يابد اين طرحها بايد چنان اجراء شوند كه بخشي از ديگر فرايندهاي مديريتي گردند.

مديريت تدوام سازمان بايد شامل كنترلهاي تعريف و كاهش خطاها، محدود سازي نتايج اتفاقات مخرب و تأمين كننده اطمينان از بازيابي فرايندهاي اصلي باشد.

 

10 – سازگاري

سازگاري با شرايط قانوني به منظور پيشگيري از تخطي از قوانين حقوقي و كشوري و رعايت كليه حقوق معنوي و حق تأليف و تكثير در سيستمهاي سازمان طراحي، عمل، مديريت و استفاده از سيستم هاي اطلاعاتي بايد از شرايط امنيتي قانوني، قراردادي و حقوقي متابعت نمايد. حدود قانوني كه بايد رعايت شود را از سازمانهاي مشاور حقوقي يا وكلاي حقوقي تأييد صلاحيت شده بايد جويا شد. شرايط قانوني در هر كشور متفاوت بوده و  اين شرايط بر اطلاعاتي كه از كشوري به كشور ديگر منتقل مي شود نيز حاكم خواهد بود.

 

بالاي صفحه
 

  Copyright © 2005 شرکت توسعه سبز سگال