عناوين



 اخبار


برگزیده


امنيت


مقاله


گزارش و گفتگو


ياداشت


اخبار شرکتها


همايشها



فراخوانها و آئين نامه ها


عکس و ویدئو

 
  خدمات



نسخه موبایل



خروجی پیامک



خروجی RSS



عضویت در خبرنامه ها

 

راهنما
تبليغات


 

سفارش آگهی
مهمترین عناوین ایستنا
یکشنبه، 26 تیرماه 1384

06:08 PM

July 17, 2005


مدیریت امنیت اطلاعات

آنهایی که به امنیت اطلاعات اهمیت نمیدهند بخوانند 


 


نوشته : آرش کریم بیگی


info@ictna.ir


 


 


ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوری‌های نوین با غلبه بر فاصله ها و محدودیتهای فیزیكی و كاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را بشدت تحت تأثر قرار داده‌اند. این فناوری‌های نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.


 


IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:


 


-          شبکه بانکی کشور هک شده و کلیه اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابجا شده...


-          سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...


-          تمام اطلاعات و سوابق شخصیتان بواسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...


-          شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...


-          و دهها سناریوی وحشتناک دیگر...


 


فکر کنم حالا به باور من رسیدید : IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها میشود میتواند باعث خلق مصائبی این چنینی شود و کشوری را فلج کند !


 


 


همیشه باید نگران باشید !


 


تا اوایل دهه هفتاد، فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و شبکه‌های محلی کامپیوتری بود. در چنین محیط‌هایی، روشهای حفاظت فیزیکی امنیت سیستم‌ها و اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستم‌های داخلی به شبکه‌های خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکه‌ها خطرات و تهدیدات جدیدی را ایجاد کرده‌است. مهمترین نگرانی‌های امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستم‌های اطلاعاتی و سرقت اطلاعات آنهاذ- ایجاد وقفه و اختلال در ارائه سرویس‌های حیاتی و تغییر یا تخریب اطلاعات می‌باشند. بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بكارگرفتن روش‌های جدید حفاظت اطلاعات و كنترل دسترسی‌ها به منابع سازمان شده‌اند.


 


تاریخچه استاندارد امنیت  


برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم!


 


تاریخچه این استاندارد نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry   در سال 1987 برمیگردد.


این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.


 


CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.


 


با توجه به تجارب گذشته این گروه در گردآوری سناد و قوانین و مستندات امنیتی استاندارد امنیتی BS7799 توسط این گروه منتشر گردید و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا  Information Security Management System که حالا دیگر آن را به اختصار ISMS مینامند منتشر شد.


 


طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.


 


BS7799


 


BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability)  تعریف می كند.


 


Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.


Integrity : كامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.


Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.


 


استاندارد BS7799 دارای 10 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است بنابراین در كل 127 كنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه كنترلی عبارتند از :


 


1-      سیاستهای امنیتی


2-      امنیت سازمان


3-      كنترل و طبقه بندی دارایی ها


4-      امنیت فردی


5-      امنیت فیزیكی


6-      مدیریت ارتباط ها


7-      كنترل دسترسی ها


8-      روشها و روالهای نگهداری و بهبود اطلاعات


9-      مدیریت تداوم كار سازمان


10-    سازگاری با موارد قانونی


 


 


فوائد استاندارد BS7799 و لزوم پیاده سازی


استاندارد BS7799 قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:


 


- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها


- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها


- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات


- ایجاد اطمینان نزد مشتریان و شركای تجاری


- امكان رقابت بهتر با سایر شركت ها


- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات


- بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید


 


 


ISMS ، سیستم مدیریت امنیت اطلاعات


 


پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد‌ویروس، و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی ،استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی كارساز نخواهند بود.


ISMS به مدیران این امکان را میدهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.


 


 


سیستم مدیریت امنیت اطلاعات ( ISMS )  راهكار حل مشكلات مذكور در سیستم‌های اطلاعاتی می‌باشد یک سیستم جامع امنیتی بر سه پایه بنا می‌شود:


 


سیاستها و دستورالعملهای امنیتی : طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.


تکنولوژی و محصولات امنیتی: این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت می‌باشد. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .


عوامل اجرایی: افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.


 


مشاور امنیتی بگیرید


 


با پیشرفت علوم كامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشكل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100% داشت باید به نكات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟


 


مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار میتراشتند و دور خود جمع میکنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟! شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.


 


سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که کلیه عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار می‌دهد و با برقراری امكان نظارت و بهبود مستمر، امنیت کل مجموعه راتامین می‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده میکند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.


 


یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:


ارائه مشاوره در زمینه تهیه سیاستها و استراتژی‌های امنیتی


طراحی و مستند‌سازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)


ارائه مشاوره و خدمات فنی جهت دریافت گواهی‌نامه امنیت اطلاعات BS7799


ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات


شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی


طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری


ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:


خدمات بررسی آسیب‌پذیری‌های امنیتی


راهکارهای مدیریت آسیب‌پذیری‌های امنیتی


 


 


ISMS در ایران


 


متاسفانه تابحال هیچ سازمان ایرانی ای موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) در حالی كه تاكنون یك هزار و سیصد و بیست و هفت سازمان از كشورهای مختلف گواهی مدیریت امنیت اطلاعات را كسب كرده اند، هیچ سازمان ایرانی موفق به دریافت این گواهینامه نشده است.


 


آخرین آمار منتشر شده در پایگاه اینترنتی ‪http://www.xisec.com كه ارگان "گروه كاربران بین‌المللی مدیریت امنیت اطلاعات ‪ ICTیا ‪" IUG است، تعداد سازمانهایی كه در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده‌اند به ‪۱۳۲۷سازمان رسیده است كه از این میان بیشترین تعداد سازمان دارای گواهی ‪ ISMSمتعلق به كشور ژاپن است. در واقع ‪ ۶۲۱سازمان از ‪ ۱۳۲۷سازمان دارای گواهی ‪ ISMSدر دنیا متعلق به كشور ژاپن است. بعد از كشور ژاپن كشور انگلیس قرار دارد كه تعداد سازمانهای دارای گواهی مزبور در این كشور ‪ ۲۰۷سازمان است.


این در حالی‌ است كه در آخرین امار منتشر شده از پایگاه اینترنتی معتبر ‪ IUGنام كشورهایی مانند قطر، مصر عربستان نیز به چشم می‌خورد، اما هنوز هیچ سازمانی در ایران موفق به اخذ گواهی ‪ ISMSنشده‌است.


 


متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با این حال اخیرا مناقصاتی در شركتهای تابعه وزارت ارتباطات و فن آوری اطلاعات مانند شركت داده، شركت ارتیاطات سیار و شركت مخابرات استان تهران در زمینه پیاده‌سازی ‪ISMSدر حال اجراست كه امیدواریم استاندارد ‪BS۷۷۹۹ نیز حداقل در بخشی از شركتهای مرتبط با زیرساختهای فن‌آوری اطلاعات كشور جهت برقراری سطح قابل قبولی از امنیت اطلاعات در انها طراحی و پیاده‌سازی شود.


 


 


* درنگارش این مقاله از منابع و مستندات موجو




لینک ثابت || اضافه شده توسط آرش کریم بیگی|| نسخه قابل چاپ || بازگشت به صفحه اصلی || آرش کریم بیگی

برای عضویت در خبرنامه پیامکی ایستنا اینجا را کلیک کنید. برای عضوریت در خبرنامه روزانه ایمیلی ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه  ایمیلی ایستنا نمایش داده میشود.


فهرست آخرین عناوین

 
    تبليغات  
 







 
  سفارش آگهی