امنیت شبکه

سیستم مدیریت امنیت اطلاعات یا ISMS

  • ارسال توسط author-avatar
۲۸ شهریور

این روزها در ایران در حوزه امنیت اطلاعات و ارتباطات یک بحث بسیار داغ است و آن چیزی نیست جز سیستم مدیریت امنیت اطلاعات یا چیزی که ما به عنوان ISMS می شناسیم . این سیستم امروزه به شکل یک تب در بین سازمان های دولتی در آمده است و بسیاری از سازمان ها و شرکت ها حتی برای چشم و هم چشمی هم که شده بایستی به سراغ این سیستم بروند.

ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.

ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

مدل PDCA ساختاری است که در پیاده سازی ISMS بکار برده می شود و ISMS زیربنای BS7799 می باشد .

مراحل چرخه دمینگ PDCA

  • برنامه (plan)

چرخه دمینگ با مطالعه وضع موجود در خلال گردآوری اطلاعات جهت برنامه ریزی برای بهبود آغاز می شود. در این مرحله آنچه را که می خواهید بهبود یابد، تجزیه و تحلیل کرده و نواحی قابل بهبود را پیدا کنید.
نخستین گام، انتخاب آن قسمت هایی است که در اولویت برای بیشترین تلاش شما قرار دارد. برای تشخیص این نواحی قابل تغییر از فلوچارت یا چارت پارتو استفاده کنید.

  • اجراء (do)
    تغییر یا تست را به مورد اجراء گذارید (ترجیحاً در یک مقیاس کوچک). این اجراء مربوط به تغییری است که در مرحله ی برنامه در مورد آن تصمیم گرفته اید.
  • . بررسی یا مطالعه (check)
    این مرحله یک مرحله حیاتی در چرخه PDCA است. پس از اجراء تغییرات در یک مدت کوتاه، شما باید تشخیص دهید که اجراء آن تغییر تا چه حد مؤثر بوده است. آیا واقعاً به بهبود مورد نظر شما منجر شده است یا نه؟ باید متناسب با ارزیابی هائی که می توانید به وسیله آنها سطح بهبود را تنظیم کنید، تصمیم بگیرید.
  • اقدام (action)
    تغییرات را ثبت کنید و یا دوباره چرخه را آغاز کنید. پس از برنامه ریزی، اجراء و تنظیم تغییر، باید تصمیم بگیرید که آیا این تغییر ارزش استمرار دارد یا نه؟ در صورتی که اجرای این تغییر صرفاً به تلف کردن وقت شما می انجامد یا ادامه آن شما را با مشکل مواجه می سازد و یا در نهایت به بهبود نمی انجامد، ممکن است توقف تغییر را مد نظر قرار داده و یا تغییر جدیدی را برنامه ریزی کنید. ممکن است تصمیم بگیرید این تجربه (آزمایش) را به یک ناحیه متفاوت انتقال دهید و یا به تدریج بر پیچیدگی آن بیفزائید. بدین ترتیب شما به مرحله برنامه بر می گردید.

اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات

۱-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان

۲-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان

۳-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان

اجزاء و ساختار تشکيلات امنيت

  • در سطح سياستگذاري : کميته راهبری امنيت فضاي تبادل اطلاعات دستگاه
  • در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
  • در سطح فني : واحد پشتيبانی امنيت فضاي تبادل اطلاعات دستگاه

مزایای اسنفاده از ISMS

– اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها

– اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

– قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات

– ایجاد اطمینان نزد مشتریان و شركای تجاری

– امكان رقابت بهتر با سایر شركت ها

– ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

– بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

 

نحوه پیاده سازی ISMS   در سازمانها

سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.

مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS

  • ایجاد و تعريف سياست ها:
    در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت.

  • تعيين محدوده عملياتي:
    يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده وScope صورت مي پذيرScope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيينScope و الويت براي پياده سازي استاندارد امنيت اطلاعات درScope خواهد بود. پس از پياده سازي و اجراي كنترل هايISO27001 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد.
  • برآورد دارايي ها و طبقه بندي آنها:
    براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد.
  • ارزيابي مخاطرات:
    با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد.
  • مديريت مخاطرات:
    مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.
  • انتخاب كنترلهای مناسب:استانداردISO27001 داراي ۱۰ گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل ۱۲۷ كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.

اين ده گروه كنترلي عبارتند از :

۱- سياستهاي امنيتي
۲- امنيت سازمان
۳- كنترل و طبقه بندي دارايي ها
۴- امنيت فردي
۵- امنيت فيزيكي
۶- مديريت ارتباط ها
۷- كنترل دسترسي ها
۸- روشها و روالهاي نگهداري و بهبود اطلاعات
۹- مديريت تداوم كار سازمان
۱۰-سازگاري با موارد قانوني

  • تعيين قابليت اجرا:

جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خود را براي اخذ استانداردISO27001 آماده خواهيد ساخت.
نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استانداردISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.

 برای اطلاع از فن آوری های نوین ارتباطی شبکه های وایرلس و ماکرویو و مراکز تلفنی تحت شبکه از کانال تلگرامی ما به آدرسهای Wireless_tech@ و Voip_Tech@  دیدن فرمایید.

جدیدتر SQL Injection Attack
بازگشت به لیست
قدیمی تر آشنایی با مادون قرمز

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *