فیدیبو نماینده قانونی انتشارات اندیشه طلایی و بیش از ۶۰۰ ناشر دیگر برای عرضه کتاب الکترونیک و صوتی است .
کتاب سیستم مدیریت امنیت اطلاعات isms

کتاب سیستم مدیریت امنیت اطلاعات isms

نسخه الکترونیک کتاب سیستم مدیریت امنیت اطلاعات isms به همراه هزاران کتاب دیگر از طریق فیدیبو به صورت کاملا قانونی در دسترس است.


فقط قابل استفاده در اپلیکیشن‌های iOS | Android | Windows فیدیبو

با کد تخفیف fdb40 این کتاب را در اولین خریدتان با ۴۰٪ تخفیف یعنی ۲,۴۰۰ تومان دریافت کنید!

درباره کتاب سیستم مدیریت امنیت اطلاعات isms

اطلاعات، گنجینه­ای که تا چندی قبل در کمدی و پستوهای سازمان ها نگهداری می شد، از چند سال قبل وبا توسعه شبکه های محلی درون سازمانی، به شبکه داخلی سازمان ها راه یافت. در آن زمان، اطلاعات محدود کاربران شبکه واعمال کنترل های مدیریتی، محافظت های فیزیکی ومحدود نمودن تعداد افرادی که به سرویس ها وبویژه سرویس های حساس دسترسی داشتند، موجب می شد تا مشکل خاصی بروز نکند. اما اینک با اتصال شبکه های سازمانی به شبکه جهانی، همان گنجینه حساس در معرض دید واستفاده طیف وسیعی از مخاطبین درسراسر جهان قرار گرفته است. مخاطبینی که مجهز به انواع اطلاعات وابزارهای اطلاعاتی می باشند. البته تهدید فقط از سوی مخاطبین خارج از سازمان نیست. بررسی های انجام شده نشان می دهد که امروزه عمده تهدیدهای موجود علیه اطلاعات وسیستم های اطلاعاتی سازمان ها، منشاء داخلی داشته وخواسته یا ناخواسته توسط پرسنل سازمان ایجاد می شود. در این شرایط تامین امنیت همان گنجینه گران مایه یعنی اطلاعات، بدون شک یکی از ضروریات هر سازمانی است. حاصل تجربه واقدامات انجام شده در طول یک دهه گذشته در جهان، رویکردی است تحت عنوان سیستم مدیریت امنیت اطلاعات که دراین کتاب به بررسی آن می پردازیم.

ادامه...

بخشی از کتاب سیستم مدیریت امنیت اطلاعات isms

شما به آخر نمونه کتاب رسیده‌اید، برای خواندن نسخه کامل، کتاب الکترونیک را خریداری نمایید و سپس با نصب اپلیکیشن فیدیبو آن را مطالعه کنید:



فصل سوم:تدوین اهداف، راهبردها وسیاست های امنیتی

اولین گام به سوی تامین امنیت هر سازمان تعیین تدوین واعلام سیاست های راهبردی امنیت سازمان می باشد. مدیر امنیت فن اوری سازمان، مسئول تهیه وارائه این سیاست ها به کمیته راهبری امنیت فن اوری سازمان می باشد. سیاست های پیشنهادی پس از تصویب به شیوه ای مناسب به اطلاع کلیه مخاطبین این سیاست ها رسانده می شود.
برای تعیین سیاست های امنیتی، باید ابتدا اهداف نهائی واحیاناً اهداف مقطعی امنیت را تعیین نمود ودر ادامه، راهبرهای مناسبی که سازمان با رویکرد به آنها بتواند به اهداف مورد نظر دست یابد را مشخص نمود.

اهداف امنیت اطلاعات

به منظور اهداف امنیت، باید امنیت سرمایه های مرتبط با اطلاعات وارتباطات سازمان، شناسائی شده وسپس اهداف تامین امنیت برای هر یک از این سرمایه ها، مشخص شود.

سرمایه های مرتبط با اطلاعات سازمان

سرمایه های مرتبط با اطلاعات سازمان، عبارتند از:

سخت افزارها: شامل ایستگاههای کاری، سرویس دهنده ها، خطوط ارتباطی، تجهیزات، تجهیزات انتقال داده، لینک های ارتباطی، اینترفیس ها و سیستم های ارتباطی.
نرم افزارها: شامل سیستم عامل ها، نرم افزارهای کاربردی عمومی، نرم افزارهای کاربردی اختصاصی، نرم افزارهای مدیریت شبکه واطلاعات و داده هاوابزارهای نرم افزاری.
اسناد: شامل اسناد واطلاعات ذخیره شده، اسناد واطلاعات پشتیبان واسناد واطلاعات در حال انتقال.
ارتباطات: شامل ارتباطات داخلی سازمان وارتباطات سازمان با سایر، شبک های داخلی ایجاد شده
کاربران: شامل مدیران، کارشناسان فنی وکاربران عادی، مدیر وکارشناسان فنی تیم مدیریت امنیت اطلاعات، کارشناسان فنی ومدیرامنیت، پیمانکاران مرتبط وسایر کاربرانی که به نحوی، اطلاعاتی از سازمان داشته ویا با آن در ارتباط می باشند.
طرح پیشنهادی جهت تعیین اهداف امنیت اطلاعات در سازمان
موارد مطرح به عنوان اهداف کوتاه مدت ومیان مدت امنیت، به شرح زیر، می باشند:

الف:اهداف کوتاه مدت امنیت اطلاعات:

  • جلوگیری از حملات ودسترسی های غیر مجاز، علیه سرمایه های اطلاعاتی(بخصوص در مکاتبات اداری واسناد طبقه بندی شده نظامی)
  • مهار خسارت های ناشی از ناامنی موجود در نقص سیستم نظارتی

ب: اهداف میان مدت امنیت اطلاعات:

  • تامین صحت عملکرد، قابلیت دسترسی ومحافظت فیزیکی اطلاعات برای سخت افزارها، متناسب با حساسیت آنها.
  • تامین صحت عملکرد وقابلیت دسترسی برای نرم افزارها، متناسب با حساسیت آنها.
  • تامین محرمانگی، صحت وقابلیت دسترسی برای اطلاعات، متناسب با طبقه بندی اطلاعات ازحیث محرمانگی
  • تامین قابلیت تشخیص هویت، حدود اختیارات وپاسخ گویی، حریم خصوصی وآگاهی رسانی امنیتی برای کاربران، متناسب با طبقه بندی اطلاعات قابل دسترس ونوع کاربران.

راهبردهای تامین امنیت

  • راهبردهای امنیت، بیانگر رویکرد سازمان به منظور دست یابی به اهداف امنیت اطلاعات ومنابع تعیین شده برای سازمان می باشد.
الف:راهبردهای کوتاه مدت
به منظور تامین امنیت در کوتاه مدت راهبردهای زیر مناسب می باشند:
شناسائی ورفع ضعف های امنیتی
  • به منظورایجاد امنیت اولیه برای سازمان لازم است بررسی دقیقی در خصوص ضعیت امنیت، انجام گرفته، ضعف های موجود شناسائی و اولویت بندی شده وبرنامه ریزی لازم جهت رفع آنها انجام گیرد. در این مرحله جهت رفع ضعف های موجود، حدالمقدور باید از امکانات در دسترس استفاده شود واز درگیر شدن در پروسه های زمان بر از قبیل خرید تجهیزات اجتناب نمود.
آگاهی رسانی به کاربران
  • به منظور تامین بخشی از امنیت اطلاعات اولیه برای سازمان، لازم است آشنائی واموزش کاربران با مباحث امنیت واطلاع از شیوه های نفوذ از داخل وخارج از شبکه سازمان به سرمایه های این ومسئولیت کاربران در خصوص تامین امنیت این شبکه مورد توجه قرار گیرد.
ب:راهبردهای میان مدت
به من منظور تامین امنیت اطلاعات در سازمان، به صورت میان مدت، راهبردهای زیر مناسب می باشند:
الف: تهیه طرح ها وبرنامه های امنیت اطلاعات
به منظور تامین امنیت اطلاعات وداده هاسازمان در میان مدت لازم است طرح ها وبرنامه های امنیتی از قبیل موارد ذیل، تهیه وارائه شوند:
  • اهداف، راهبردها وسیاست های امنیتی سازمان
  • طرح ارزیابی مخاطرات امنیتی اطلاعات سازمان
  • طرح امنیت فزیکی و برنامه ای سازمان
  • طرح پشتیبانی حوادث امنیتی اطلاعات سازمان
  • برنامه آگاهی رسانی تربیت نیروی انسانی وآموزش امنیت اطلاعات سازمان
ب: ایجاد وآماده سازی تشکیلات تامین امنیت اطلاعات
برای این منظور لازم است اقدامات زیر انجام گیرد:
ساختار وشرح وظایف تشکیلات مورد نیاز به منظور تامین تدوام امنیت اطلاعات، در سطوح مختلف، طراحی وتدوین شود.
  • اقدامات لازم به منظور ایجاد تشکیلات، انجام گیرد. از جمله این اقدامات، می توان به گنجانیدن تشکیلات امنیت در چارت سازمانی وتامین پرسنل مورد نیاز برای تشکیلات اشاره نمود.
  • آموزش های لازم جهت آماده سازی تشکیلات فوق به منظور پذیرش مسئولیت تامین تداوم امنیت، انجام گیرد.
اجرای طرح ها وبرنامه های امنیت اطلاعات
کلیه طرح ها وبرنامه های امنیتی سازمان، باید بطور کامل اجرا شوند. در خاتمه اجرای این طرح ها وبرنامه ها، امنیت در سطوح مطلوب برقرار شده وتمهیدات لازم به منظور پشتیبانی امنیت نیز اندیشیده شده است.

پشتیبانی امنیت اطلاعات

پس از نصب وراه اندازی تجهیزات امنیتی در سازمان، پشتیبانی ازامنیت سازمان بر اساس طرح پشتیبانی حوادث وطرح تدوام فعالیت سازمان، به عهده تشکیلات تامین امنیت سازمان گذشته خواهد شد.

الف: تشکیلات تامین امنیت
هر سازمان باید تشکیلات امنیت خود را ایجاد نماید. اجزاء ساختار وشرح وظایف این تشکیلات عبارتند از:

اجزاء وساختار تشکیلات
تشکیلات امنیت، متشکل از سه جزء اصلی به شرح زیر می باشد:
در سطح راهبری وسیاست گذاری: کمیته راهبری امنیت
درسطح مدیریت اجرائی: مدیر امنیت
در سطح فنی: واحد پشتیبانی امنیت
علاوه بر موارد فوق، واحدهای دیگری از جمله مشاوره وطراحی ونظارت بر اجرای طرح ها وبرنامه های امنیتی نیز لازم است. لیکن این این واحدها الزاماً دز داخل سازمان وچارت سازمانی، تشکیل نخواهد شد.

ساختار تشکیلات امنیت
اعضاء تشکیلات امنیت
کمیته راهبری امنیت
اعضاء مناسب جهت حضور در کمیته راهبری امنیت سازمان عبارتند از:

مدیر سازمان(رئیس کمیته)
جانشین یانماینده ویژه مدیر سازمان
مدیر حراست سازمان
مدیر فن آوری اطلاعات سازمان
مدیر امنیت سازمان(دبیر کمیته)

مدیر امنیت سازمان
که مدیریت واحد پشتیبانی امنیت شبکه را به عهده دارد وتوسط مدیرفن آوری اطلاعات سازمان تعیین می شود.

تیم های پشتیبانی امنیتی سازمان
تیم ها کارشناسی که زیر نظرمدیر امنیت سازمان فعالیت نموده وتوسط وی تعیین می شوند.

شرح وظایف تشکیلات امنیت فناوری

کمیته راهبری:
  • بررسی، تغییر وتصویب سیاست ی امنیتی
  • پیگیری اجرای سیاست های امنیتی از مدیر امنیت
  • تائید طرح های وبرنامه های امنیت
  • بررسی ضرورت تغییر سیاست های امنیتی
  • بررسی، تغییر وتصویب تغییرات سیاست های امنیتی
مدیر امنیت:
  • تهیه پیش نویس سیاست های امنیتی وارائه به کمیته راهبری
  • نظارت بر اجرای کامل سیاست های امنیتی
  • تهیه طرح ها وبرنامه های امنیت
  • مدیریت واحد پشتیبانی امنیت
  • تشخیص ضرورت وپیشنهاد بازنگری واصلاح سیاست های امنیتی
  • تهیه پیش نویس تغییرات سیاست های امنیتی
واحد پشتیبانی امنیت:
شرح وظایف پشتیبانی حوادث امنیتی:
  • تشخیص ومقابله با تهاجم
  • مرور روزانه log تجهیزات وامنیت اطلاعات و شبکه های ارتباطی
  • مرور ترددهای انجام شده به سایت
  • مرور روزانه گزارش سیستم های تشخیص تهاجم
  • انجام اقدامات لازم به منظور کنترل دامنه تهاجم
  • ترمیم خرابی های ناشی از تهاجم
  • مستند سازی وارائه گزارش تهاجم
  • اعمال تغییرات لازم در سیستم امنیت
  • آگاهی رسانی به کاربران
  • تشخیص ومقابله با ویروس
  • بررسی، انتخاب، تست نرم افزار ضد ویروس مناسب به صورت دوره ای
  • نصب نرم افزار ضد ویروس روی ایستگاههای کاری وسرویس دهنده ها
  • تهیه راهنمای نصب و update نمودن نرم افزار ضد ویروس
  • مرور روزانه log وگزارشات نرم افزارهای ضد ویروس
  • مطالعه وبررسی ویروس های جدید وروش های مقابله با آن
  • ارائه روش های مقابله با ویروس

انجام اقدامات پیشگیرانه وبه منظور کنترل دامنه تاثیر ویروس

  • ترمیم خرابی های ناشی از ویروس
  • مستند سازی وارائه گزارشهای آماری از ویروس ها، مقابله با آنها خرابی های ناشی از ویروس ها
  • فراهم نمودن امکان update نمودن نرم افزار ضد ویروس، بصورت دوره ای
  • آگاهی رساندن به کاربران در خصوص ویروس های جدید و روش های مقابله با آنها

تشخیص وپشتیبانی حوادث فیزیکی

  • انتخاب ابزارهای مناسب جهت محافظت فیزیکی از تجهیزات وسرمایه هادر مقابل حوادث
  • فیزیکی ودسترسی های غیر مجاز
  • مرور روزانه رویدادنامه های دسترسی فیزیکی
  • سرکشی دوره ای به سایت، تجهیزات مستقر در طبقات ساختمان ها ومسیر عبورکابل ها
  • منظور اطمینان از تامین امنیت فیزیکی
  • مطالعه وبررسی حوادث فیزیکی وروش های مقابله با آن
  • انجام اقدامات لازم به منظور کنترل دامنه حوادث فیزیکی
  • ترمیم خرابی های ناشی از حوادث فیزیکی
  • مستند سازی وارائه گزارشهای آماری از حوادث فیزیکی، مقابله با این حوادث وخرابی های ناشی از آنها
  • ارائه پیشنهاد در خصوص تغییر تجهیزات وروش های تامین امنیت فیزیکی ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران

شرح وظایف نظارت وبازرسی امنیتی

  • مانیتورینگ ترافیک خطوط(در حیطه مانیتورینگ مجاز)
  • بازرسی دوره ای از ایستگاههای کاری، سرویس دهنده ها، تحهیزات وسایر سخت افزارهای موجود، به منظور اطمینان از رعایت سیاست های امنیتی
  • بازرسی دوره ای از سخت افزارهای خریداری شده وتطبیق پروسه سفارش، خرید، تست، نصب وبررسی پیکربندی سخت افزارهای سازمان با سیاست های امنیتی
  • بازرسی دوره ای از نرم افزارهای موجود به منظور اطمینان از رعایت سیاست های امنیتی
  • بازرسی دوره ای از نرم افزارهای خریداری شده وتطبیق پروسه سفارش، خرید، تست، نصب
  • وپیکربندی نرم افزارهای سازمان با سیاست های امنیتی
  • بازرسی دوره ای از نحوه اتصال سازمان بر اساس سیاست های امنیتی
  • بازرسی دوره ای از اطلاعات سازمان به منظرو اطمینان از رعایت سیاست های امنیتی
  • بازرسی دوره ای از کاربران سازمان به منظور اطمینان از رعایت سیاست های امنیتی
  • بازرسی دوره ای از کاربران سازمان به منظور اطمینان از آگاهی کاربران از حقوق ومسئولیت های خود ورعایت سیاست های امنیتی
  • بازرسی دوره ای از روند تهیه اطلاعات پشتیبان
  • بازرسی دوره ای از روند پشتیبانی حوادث
  • بازرسی دوره ای از روند نگهداری سیستم امنیتی
  • بازرسی دوره ای از روند مدیریت تغییرات در
  • بازرسی دوره ای روند آگاهی رسانی امنیتی به کاربران
  • بازرسی دوره ای از روند آموزش پرسنل واحد پشتیبانی امنیت.
  • بازرسی دوره ای از روند واگذاری فعالیت ها یه پیمانکاران خارج از سازمان

شرح وظایف مدیریت تغییرات

  • بررسی در خواست خرید، ایجاد یا تغییر سخت افزارها، نرم افزارها، لینک ارتباطی، سیستم عامل هاوسرویس ها از دیدگاه امنیت،آسیب پذیری های سیستم یا سرویس مورد نظر، مشکلات امنیتی ناشی از بکارگیری آن بر سایر بخش های ونهایتا تصمیم گیری در خصوص تائید یا رد درخواست
  • بررسی آسیب پذیری های سخت افزارها، نرم افزارها کاربردی،سیستم عامل ها، خطوط ارتباطی وسرویس ها ارائه شده
  • بررسی موارد مربوط به جابجایی کاربران وپرسنل تشکیلات امنیت به منظور تغییر در دسترسی وحدود اختیارات آنها
  • بررسی نیازمندی های امنیتی وروش های ایمن سازی سیستم عامل ها، سرویس دهنده های، خطوط ارتباطی، نرم افزاری، تجهیزات وامنیت جدید که بکارگیری آنها در ش، مورد تائید قرار گرفته است.

شرح وظایف نگهداری امنیت

  • بررسی وضعیت عملکرد سیستم امنیتی
  • ارائه گزارشات روزانه در خصوص عملکرد سیستم امنیتی
  • ارائه گزارشات آماری از وضعیت سیستم امنیتی
  • رفع اشکالات تشخیص داده شده در عملکرد سیستم امنیت

فصل چهارم: سیاست های امنیت اطلاعات در محیط های سخت افزاری

آسیب پذیری در زمینه تجهیزات و محیط های سخت افزاری بسیار جدی ومهم می باشد بطوری که مهمترین نفوذ ها و تهدیدات ومخاطرات چندسال گذشته از این طریق صورت گرفته است.
سیاستهای امنیتی تجهیزات زیر ساختار اطلاعات (بانک های اطلاعاتی - شبکه های اطلاعاتی و...)
در سیاست های امنیتی تجهیزات زیر ساختار، لازم است سیاست سازمان موارد ذیل مشخص گردد:

مدیریت تجهیزات:

تعیین امکان مدیریت از راه دور تجهیزات، پروتکل های مجاز و مکانیزم های امنیتی مورد نیاز جهت مدیریت از راه دور تجهیزات
تاکید بر مبادله اطلاعات پیکربندی با تجهیزات، بصورت امن
تاکید بر نگهداری از یک نسخه ازاطلاعات پیکربندی تجهیزات، در محل امن و قابل دسترسی
حذف اینترفیسها و سرویس های غیر ضروری:
تاکید بر غیر فعال نمودن سرویس های بالقوه خطرناک و سرویس هائی که معمولا مورد استفاده قرار نمی گیرند
تاکید بر غیر فعال نمودن اینترفیسهایی از تجهیزات که در حال حاضر مورد استفاده قرار نمی گیرد

رویدادنگاری:

ثبت تنظیمات، دسترسی ها و مبادلات با جزئیات مناسب
استفاده همزمان از روش های مختلف ثبت رویداد به منظور افزایش ایمنی در تجهیزات زیر ساختار
سنکرون بودن کلیه تجهیزات، به منظور استفاده مفید از رویداد نامه ها
تصدیق هویت، تعیین حدود اختیارات و ثبت اقدامات کاربران:
تاکید بر استفاده از ماکنیزم های مناسب تعیین هویت
تاکید بر تعیین حدود اختیارات کاربران مدیریتی تجهیزات

تشخیص و خنثی نمودن حملات:

تاکید بر تشخیص و خنثی نمودن حملات انجام شده علیه خود تجهیزات، بویژه حملات ممانعت از سرویس، با استفاده از کنترل های موجود روی تجهیزات
تعیین نحوه برخورد با بسته هائی که از خارج، به مقصد تجهیزات ارسال شده اند
تعیین نحوه برخورد با بسته هائی که توسط ایستگاههای کاربران غیر مدیریتی داخل برای تجهیزات شبکه ارسال می شوند
تعیین نحوه برخورد با حذف بسته هایی که آدرس جعل شده دارند

سخت افزار تجهیزات:

تاکید بر بررسی و رفع دوره ای آسیب پذیری های سخت افزار تجهیزات
تاکید بر ارتقاء دوره ای نسخه سخفت افزار تجهیزات

محافظت فیزیکی:

شناسنامه تجهیزات:
تاکید بر ایجاد شناسنامه تجهیزات و یادداشت اطلاعات زیر در آن:
  • اینترفیسهای موجود و فعال
  • روش پروتکل مدیریت
  • ایستگاههای مجاز برای مدیریت
  • نسخه سخت افزار
  • آخرین patch های نصب شده
  • آخرین تغییرات انجام شده روی پیکربندی
  • متن آخرین پیکربندی
  • آدرس هر یک از اینترفیسها
  • مشخصات VALAN های تعریف شده (برای سوئیچ ها)

بازرسی امنیتی تجهیزات:

  • تاکید بر بررسی دوره ای رعایت کلیه سیاست های فوق
  • سیاستهای امنیتی سفارش، خرید، تست، و نصب و پیکربندی سخت افزار
در سیاستهای امنیتی سفارش، خرید، تست، و نصب و پیکربندی سخت افزار، لازم است سیاست سازمان در خصوص موارد ذیل مشخص گردد:

سفارش خرید سخت افزار:
  • بیان ضرورت توجه به آسیب پذیری های امنیتی سخت افزارها دز زمان اعلام مشخصات
  • بیان ضرورت اعلام مشخصات و قابلیتهای امنیتی سخت افزارها در زمان اعلم مشخصات
  • بیان ضرورت اعلام مشخصات و قابلیتهای امنیتی مدیریت سخت افزارها در زمان اعلام مشخصات
  • تعیین مسئول اعلام مشخصات امنیتی مورد نیاز سخت افزارها
  • تعیین دستوالعمل ها و مجوزهای موردنیاز
  • بیان ضرورت توجه به پیش بینی سیستم ها و ماجولهای redundant
  • تعیین مسئول و ضرورت توجه به موارد امنیتی در خرید سخت افزارها
خرید سخت افزار:
  • بیان ضرورت عدم اعلام شرایط ومحل بکارگیری سخت افزار در سازمان
تست و تحویل سخت افزار:
  • بیان ضرورت انجام بررسی های فیزیکی قبل از نصب سخت افزارها
  • تاکید بر تست سخت افزارها به صورت جداگانه
  • تعیین واعلام تستهای مورد نیاز سخت افزارها
پیکربندی سخت افزار:
  • تاکید بر عدم واگذاری تنظیم نهائی پیکربندی سخت افزارها به فروشنده
  • بیان ضرورت تغییر کلیه رمزهای عبور پیش فرض یا تنظیم شده توسط شرکت فروشنده
  • بیان ضرورت بستن کلیه پورتها و سرویس های غیر ضروری، قبل از نصب در پیکربندی سخت افزار
  • تاکید بر عدم واگذاری تنظیم نهائی پیکربندی سخت افزارها به فروشنده
  • بیان بیان ضرورت تغییر کلیه رمزهای عبور پیش فرض یا تنظیم شده توسط شرکت فروشنده
  • بیان ضرورت بستن کلیه پورتها و سرویس های غیر ضروری، قبل از نصب
نصب سخت افزار:
  • تاکید بر ضرورت هماهنگی قبل از اتصال سخت افزارهائی که موجب قطع موقت می شوند
  • محدودیت های تغییر، حذف با افزودن سخت افزارهائی ک موجب قطع موقت می شوند، بویژه در ساعات اداری
  • محافظتهای فیزیکی خاص از سخت افزارهای حساس از قبیل تجهیزات شبکه و سرویس دهنده ها-سرورهاو..
  • کنترل ها و حساسیت های برق تجهیزات لایه هسته، لایه توزیع، سرویس دهنده ها و تجهیزات گذرگاه های داخلی و اینترنت سازمان به سایر شبکه ها(تامین برق اضطراری وپشتیبانی ضروری است)
پشتیبانی سخت افزار:
  • تاکید برضرورت بررسی دوره ای
  • تعیین مسئول بررسی های دوره ای
  • سیاست های امنیتی نرم افزارها
  • اولویت بندی نرم افزار ها
نتیجه گیری
واما یک نکته مهم:تامین تجهیزات و اقلام سخت افزاری مورد نیاز جهت زیر ساخت تامین امنیت داده ها از منابع معتبر ودارای شناسنامه تهیه گردد توجه به نکات بسیار ساده و پیش پا فتاده در بحث سخت افزار حتی در مورد محل خرید و تست در مورد ظریب نفوذ پذیری آسیب پذیری سازمان را کاهش می دهد.

فصل اول:تعریف

ISMS چیست؟

سیستم مدیریت امنیت اطلاعات یا Management System Information Security سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی­اطلاعات را تضمین می نماید.

رویکرد فرآیندی:

به کاربرد سیستم فرآیندها در یک سازمان و شناسایی و تعامل این فرآیندها و مدیریت آنها "رویکرد فرآیندی" گفته می شود و استاندارد های مطرح مبتنی بر رویکرد فرآیندی است

هدف از تدوین استانداردهای ISMS:

هدف از تهیه این استاندارد بین المللی، ارائه مدلی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات یا همان ISMS را ایجاد، اجرا، بهره برداری، پایش، بازنگری، نگهداری و بهبود و ارتقاء بخشید.

در استاندارد ISO27001 از مدل PDCA استفاده می شود

طرحی کلی از سیستم مدیریت امنیت اطلاعات Plan ISMS

سیاست و خط مشی ISMS، اهداف، فرآیندها و رویه های متناسب با مدیریت خطر و بهبود امنیت اطلاعات را تعیین نمایی و نتایج را بر اساس سیاست ها و اهداف کلی سازمان ها تبیین نمایید.
Do (انجام بده)
سیاست ISMS، کنترل ها، فرآیندها و رویه ها را پیاده نموده و از آنها بهره برداری کن.
Check(کنترل کن)
اجرای فرآیند را بر اساس سیاست ISMS، اهداف و تجربه عملی مورد ارزشیابی و در صورت امکان مورد سنجش قرار بده و نتایج را جهت بازنگری در اختیار مدیریت قرار بده.
Act (بهبود بده)
بر اساس نتایج ممیزی داخلی ISMS و بازنگری مدیریتی یا سایر اطلاعات مربوطه، اقدامات اصلاحی یا پیشگیرانه را اتخاذ نمایید تا بهبود مستمر ISMS محقق گردد.

شکل از چرخه اجرای سیستم مدیریت امنیت اطلاعات



طراحی و مستند سازی ISMS:

الف) با مشخص نمودن دامنه باید حدود و ثغور سیستم مدیریت امنیت اطلاعات را بر حسب مشخصات فعالیت سازمان، مکان دارایی
ها و توجیهات مربوط به هر یک از حذفیات از دامنه را تعریف و تعیین نمائید.ب) بر اساس سیاست و خط مشی سیستم مدیریت امنیت اطلاعات بر حسب مشحصات فعالیت های سازمان دارایی ها را تعریف و تعیین نمایید.
پ) متدولوژی ارزشیابی خطر که از هر حیث مناسب با امنیت اطلاعات سازمانی و الزامات قانونی باشد را تعیین کنید.
ت) خطرات را تعیین و مشخص نمایید: دارایی ها ی اطلاعاتی را مشخص کنید.
عوامل تهدید کننده دارایی ها را تعیین نمائید. نقاط آسیب پذیر که ممکن است از سوی عوامل تهدید کننده مورد استفاده قرار گیرند را تعیین و مشخص کنید.
تاثیرات از بین رفتن محرمانگی، تمامیت و در دسترس بودن بر دارایی ها را مشخص نمائید.
ث) نتیجه تهدیدات و آسیب پذیری های جاری و تاثیرات آن بر دارایی ها و اقدامات کنترلی که در حال حاضر انجام می شوند را مورد ارزشیابی قرار داده، سطوح خطر را برآورد نمایید.
ج) راهکارهای مربوط به اتخاذ تدابیر لازم جهت رفع خطرات را تعیین و مورد ارزشیابی قرار دهید.
چ) مجوز مدیریت را برای اجرا و بهره برداری از سیستم مدیریت
ح) تاییدیه خطرات باقیمانده پیشنهادی را از مدیریت اخذ نمایید.
چ) مجوز مدیریت را برای اجرا و بهره برداری از سیستم مدیریت امنیت اطلاعات دریافت نمایید.
ح) تاییدیه خطرات باقیمانده پیشنهادی را از مدیریت اخذ نمایید.
خ) گزارش کاربرد پذیری را تهیه و تنظیم نمایید.
موارد ذیل باید در گزارش کاربرد پذیری لحاظ گردد:
۱) اهداف و اقدامات کنترلی انتخاب شده و دلایل انتخاب آنها
۲) اهداف و اقدامات کنترلی که در حال حاضر اجرا می شوند
۳) ذکر دلایل توجیهی برای حذف هر یک از اهداف اقدامات کنترلی
اجرا و بهره برداری از سیستم مدیریت امنیت اطلاعات:
الف) سازمان ملزم است تا برنامه مقابله با خطر را تدوین نماید و در آن برنامه اقدامات مدیریت، منابع، مسئولیت ها و اولویت های مدیریت خطرات امنیت اطلاعات را تعیین و مشخص نماید.
ب) سازمان باید به منظور دستیابی به اهداف کنترلی تعیین شده، برنامه مقابله با خطرات را به مورد اجرا بگذارد و منابع مالی لازم و نقش ها و مسئولیت ها را در آن لحاظ نماید.
پ) سازمان باید به منظور تامین اهداف کنترلی، اقدامات کنترلی انتخاب شده را به مورد اجرا بگذارد.
ت) سازمان باید نحوه اندازه گیری کارآمدی اقدامات کنترلی یا مجموعه اقدامات کنترلی را تعیین نماید.
ث) سازمان باید برنامه های آموزش و آگاه سازی را اجرا نماید.
ج) سازمان باید بهره برداری از سیستم مدیریت امنیت اطلاعات را مدیریت نماید.
چ) سازمان باید امکان شناسایی فوری رویدادهای امنیتی و نشان دادن واکنش به حادثه های امنیتی را فراهم کند.
پایش و بازنگری سیستم مدیریت امنیت اطلاعات:
الف) سازمان باید رویه های پایش و بازنگری را اجرا نماید تا به این ترتیب امکان انجام به موقع اقدامات زیر برایش فراهم گردد:
۱) اشتباهات بوجود آمده در نتایج پردازش را به موقع شناسایی نماید.
۲) هر گونه حوادث و سایر اقدامات دیگر در جهت نقض امنیت را به موقع شناسایی کند.
۳) اطمینان حاصل نماید که آیا اقدامات اتخاذ شده جهت حل و فصل مشکل نقض امنیت کارآمد و موثر هستند یا خیر.

کنترل اثر بخشی سیستم امنیت اطلاعات

الف) سازمان باید اثربخشی ISMS را به در فواصل زمانی برنامه ریزی شده بازنگری نماید.
ب) سازمان باید ارزشیابی های خطر را در فواصل زمانی برنامه ریزی شده مورد بازنگری قرار دهد وخطرات باقیمانده و سطوح قابل پذیرش خطر را مورد بازنگری قرار دهد.
پ) سازمان باید ممیزی های داخلی سیستم مدیریت امنیت اطلاعات را در فواصل زمانی برنامه ریزی شده انجام دهد.
ت) سازمان ملزم خواهد بود تا بازنگری مدیریتی ISMS را در فواصل زمانی برنامه ریزی شده انجام دهد تا به این ترتیب از کفایت دامنه
وپیشرفت های بدست آمده در فرآیندهای سیستم مدیریت امنیت اطلاعات اطمینان حاصل نماید
ث) سازمان ملزم خواهد بود تا با توجه به نتایج حاصل از فعالیت های انجام شده در زمینه پایش و بازنگری، برنامه های امنیتی را ارتقاء دهد.
ج) سازمان ملزم خواهد بود تا اقدامات و رویدادهایی که به نحوی از انحاء بر اثر بخشی یا اجرای سیستم مدیریت امنیت اطلاعات تاثیر گذار هستند را ثبت و ضبط نماید.

نگهداری و ارتقای سیستم مدیریت امنیت اطلاعات:

الف) سازمان ملزم خواهد بود تا اصلاحات تعیین شده در فاز Check را اجرا نماید.
ب) سازمان باید اقدامات اصلاحی و پیشگیرانه مناسب را اتخاذ نماید و آنچه را که از تجربیات سایر سازمان ها فرا گرفته است بکار بندد.
پ) سازمان باید اقدامات و اصلاحات را با ذکر جزئیات در اختیار تمام طرفین ذینفع قرار دهد.
ت) سازمان باید اطمینان حاصل نماید که اصلاحات مورد نظر، اهداف مورد نظر را محقق خواهد نمود.

فصل دوم:استاندارهای مدیریت امنیت اطلاعات

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال۱۹۹۵،نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. براساس این نگرش، تامین امنیت اطلاعات در یک مجموعه سازمانی، دفعتا مقدور نمی باشد ولازم است این امر بصورت مداوم و در یک چرخه ایمن سازی شامل مراحل طراحی، پاده سازی، ارزیابی واصطلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدلوژی مشخص، ضمن تهیه طرح ها وبرنامه های امنیتی مورد نیاز تشکیلات لازم جهت ایجاد وتداوم امنیت اطلاعات خود را نیز ایجاد نماید.
در حال حاضر، مجموعه ای از استانداردهای مدیریتی وفنی امنیت اطلاعات وارتباطات، ارائه شده اند که استاندارد مدیریتی ۷۷۹۹ BS موسسه استاندارد انگلیس، استاندارد مدیریتی۱۷۷۹۹ ISO/IEC وگزارش فنی ISO/ IEC TR ۱۳۳۳۵ موسسه بین المللی استاندارد، از برجسته ترین استانداردها وراهنماهای فنی محسوب می گردند. در این استاندارد؛ نکات زیر مورد توجه قرار گرفته شده است:
  • تعیین مراحل ایمن سازی ونحوه شکل گیری چرخه امنیت
  • جزئیات مراحل ایمن سازی وتکنیکهای فنی مورد استفاده در هر مرحله
  • لیست ومحتوای طرح ها وبرنامه های امنیت اطلاعات مورد نیاز سازمان
  • ضرورت وجزئیات ایجاد تشکیلات سیاستگذاری، اجرائی وفنی تامین امنیت
  • کنترل های امنیتی مورد نیاز برای هریک از سیستم های اطلاعاتی وارتباطی
در این فصل، ابتدا مروری بر استاندارد مدیریتی۷۷۹۹BS موسسه استاندارد انگلیس، از برجسته ترین استانداردهامحسوب می گردد، می پردازیم. در این استاندارد؛ نکات زیر مورد توجه قرار گرفته شده است:
تعیین مراحل ایمن سازی ونحوه شکل گیری چرخه امنیت
جزئیات مراحل ایمن سازی وتکنیکهای فنی مورد استفاده در هر مرحله
لیست ومحتوای طرح ها وبرنامه های امنیت اطلاعات مورد نیاز سازمان
ضرورت وجزئیات ایجاد تشکیلات سیاستگذاری، اجرائی وفنی تامین امنیت
استاندار۷۷۹۹ BS اولین استاندارد مدیریت امنیت اطلاعات است که توسط موسسه استاندارد انگلیس ارائه شده است. نسخه اول این استاندارد(۱: ۷۷۹۹ BS) در سال ۱۹۹۵ در یک بخش منتشر شد ونسخه دوم آن(۲: ۷۷۹۹BS) که در سال ۱۹۹۵ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش مستقل ارائه گردید. همچین آخرین نسخه این استاندارد،(۲۰۰۲: ۷۷۹۹BS) در سال ۲۰۰۲ وهمانند نسخه دوم، در دو بخش منتشر گردید.

بررسی استاندارد ۷۷۹۹BS

این استاندارد در حال حاضر بصورت فراگیر در سح جهان مورد استفاده قرار بگیرد وبر اساس آمار منتشر شده درسایت گروه کاربران بین المللی سیستم مدیریت امنیت اطلاعات(ISMS IUG) تا انتهای اکتبر سال ۲۰۰۴، مجموعا تعداد ۹۱۵ سازمان در سطح جهان، موفق به اجرای isms بر اسا این استاندارد واخذ تائیدیه از مراکز صدور گواهی مبتنی بر این استاندارد شده اند. این در حالی است که بر اسا آمار همین سایت، تا انتهای جولای۲۰۰۴، تعداد سازمان های فوق مجموعا۸۰۸ مورد و در انتهای اکتبر۲۰۰۳، ۳۸۸ مورد بوده است.

بخش اول استاندارد۱۹۹۹ ۲: bs۷۷۹۹:

در بخش اول این استاندارد، که تحت عنوان آئین نامه کار مدیریت امنیت اطلاعات ارائه شده است، مجموعه کنترل های امنیتی مورد نیاز سیستم های اطلاعاتی وارتباطی هر سازمان، در قالب ده دسته بندی کلی شامل موارد زیر، ارائه شده است:

۱-تدوین سیاست امنیتی سازمان
در این بخش، ضرورت تدوین واعلام سیاست امنیت سازمان ومشخصات مورد نیاز برای چندین سیاستی ارائه شده است.

۲-تشکیلات امنیت
در این بخش، نکاتی در خصوص موضوعات زیر ساخت امنیت اطلاعات در سازمان امنیت دسترسی شخص ثالث وواگذاری فعالیت ها به خارج از شازمان ارائه شده است.
در موضوع زیر ساخت امنیت اطلاعات سازمان،نکاتی در خصوص ضرورت تشکیل مجمع مدیریت امنیت اطلاعات، تعیین هماهنگ کننده امنیت اطلاعات، مسئولیت ها واختیارات مرتبطین با امنیت اطلاعات وهمکاری اجزاء درگیر در تامین امنیت اطلاعات سازمان با یکدیگر، ارائه شده است. در خصوص امنیت دسترسی شخص ثالث، شناسائی ریسک دسترسی شخص ثالث از طریق تعیین انواع دسترسی عا، اهداف دسترسی ها، پرسنل قراردادی ونیازهای امنیتی که باید در قراردادهای شخص ثالث مورد توجه قرار بگیرند، ارائه شده است. در خصوص واگذاری فعالیت ها به خارج از سازمان نیز ملاحظاتی که باید در قراردادها مورد توجه قرار بگیرند، ارائه شده است.

۳-طبقه بندی سرمایه ها وتعیین کنترل های لازم
در این بخش، مواردی در خصوص ضرورت شناسائی وتهیه لیست از کلیه سرمایه های سازمان وضرورت ونحوه طبقه بندی اطلاعات سازمان، ارائه شده است.

۴-امنیت پرسنلی
در این بخش، نکاتی در خصوص موضوعات امنیت در تعریف کار پرسنل، آموزش کاربران وپاسخ گویی به حوادث امنیتی وضعف عملکردی، ارائه شده است.
در خصوص امنیت در تعریف کار پرسنل، آزمایش پرسنل قبل از بکارگیری، محرمانگی پیمان، دوره انتصاب وشرایط پرسنل ارائه شده است.
در خصوص آموزش کاربران، ضرورت ارائه آموزش به کلیه کاربران در زمینه امنیت اطلاعات اشاره شده است
در خصوص پاسخ گویی به حوادث امنیتی وضعف عملکرد، نکاتی در خصوص گزارش نمودن حوادث، ضعف ها وعملکرد اشتباه نرم افزارها، درس گرفتن از حوادث ووجود روندهای انضباطی برای پزسنل ارائه شده است.

۵- امنیت فیزیکی وپیرامونی
در این بخش، نکاتی در خصوص موضوعات محیطهای امن، امنیت تجهیزات وکنترل های عمومی، ارائه شده است.
در خصوص محیطهای امن، نکاتی در خصوص امنیتی فیزیکی، کنترل مدخل های فیزیکی، ایمن سازی دفاتر،اطاق ها ووسایل، ملاحظات کار در محیط امن وضرورت ایزوله نمودن محیطهای تحویل وبارگیری از محیطهای اطلاعاتی سازمان ارائه شده است.
در خصوص امنیت تجهیزات، نکاتی در خصوص قرار دادن تجهیزات در سایت وایمن سازی سایت، منابع تغذیه، امنیت کابل کشی، نگهداری وتجهیزات وامنیت تجهیزات با قابلیت کاربرد مجدد ارائه شده است.
در خصوص کنترل های عمومی، مواردی از قبیل سیاست میز خالی، سیاست صفحه نمایش خالی وتغییر خصوصیات سیستم ها ارائه شده است.

۶-مدیریت ارتباطات وبهره برداری
در این بخش، نکاتی در خصوص موضوعات رویه ها ومسئولیت های بهره برداری، طراحی وپذیرش سیستم، محافظت در برابر نرم افزارهای مخرب، عملیات روزمره پشتیبانی، امنیت در مدیریت شبکه، امنیت در پشتیبانی رسانه، مبادله اطلاعات ونرم افزارها، ارائه شده است.
در خصوص رویه ها ومسئولیت های بهره برداری، نکاتی در خصوص رورت مستند سازی عملکرد، کنترل موثر تغییرات، رویه های مدیریت حوادث، تفکیک ماموریت ها، جدا سازی امکانات توسعه، تست وبهره برداری سیستم هاومدیریت امکانات خارج از سازمان ارائه شده است.
در خصوص امنیت در پشتیبانی رسلنه ها، نکاتی در خصوص پیمان مبادله اطلاعات ونرم افزارهای، نکاتی در خصوص پیمان مبادله اطلاعات ونرم افزار، امنیت رسانه در انتقال، امنیت تجارت الکترونیک، امنیت پست الکترونیک،امنیت سیستم های اتوماسیون اداری وسیستم های در دسترس عموم ارائه شده است.

۷- کنترل دسترسی
در این بخش، نکاتی در خصوص موضوعات نیازهای تجاری برای کنترل دسترسی، مدیریت دسترسی کاربران، مسئولیت کاربران، کنترل دسترسی شبکه، کنترل دسترسی در سیستم عامل، کنترل دسترسی نرم افزارهای کاربردی، نظارت بر استفاده ودستیابی سیستم وپردازش متحرک وکار از راه دور، ارائه شده است.
در خصوص مسئولیت کاربران، نکاتی در خصوص ثبت کاربران، مدیریت اختیارات، مدیریت رمز عبور ومروز دسترسی های واقعی کاربران ارائه شده است.
در خصوص کنترل دسترسی شبکه، نکاتی در خصوص تصدیق هویت کاربرد وایستگاه، کنترل اتصلات ومسیر یابی شبکه، در سرویس های شبکه ارائه شده است.

۸- توسعه وپشتیبانی سیستم ها
در این بخش، نکاتی در خصوص موضوعات نیازهای امنیتی سیستم ها، امنیت در سیستم های کاربردی، کنترل های مبتنی بر رمزنگاری، امنیت در فایل های سیستم وامنیت در فرآیند توسعه وپشتیبانی ارائه شده است.
در خصوص امنیت در سیستم های کاربردی، نکاتی در خصوص اعتبار سنجی اطلاعات ورودی وخروجی وکنترل پروسه داخلی سیستم، ارائه شده است.
در خصوص امنیت در فرآیند توسعه وپشتیبانی،نکاتی در خصوص رویه های کنترل تغییرات، مرور فنی تغییرات ومحدود سازی تغییرات ارائه شده است.

۹- مدیریت تدوام فعالیت
در این بخش، نکاتی در خصوص موضوعات فرآیند مدیریت تدوام فعالیت، آنالیز تداوم فعالیت، تدوین وپیاده سازی برنامه های تداوم فعالیت، گروه کاری تداوم فعالیت وآزمایش، نگهداری وارزیابی برنامه های تداوم فعالیت، ارائه شده است.

۱۰- سازگاری
در این بخش، نکاتی در خصوص موضوعات سازگاری با قانون، مرورسیاست
حفاظتی وسازگاری فنی وملاحظات بازرسی سیستم ارائه شده است.

بخش دوم استاندارد۱۹۹۹ ۲: ۷۷۹۹ BS

در این بخش از استاندارد که تحت عنوان ویژگی های سیستم مدیریت امنیت اطلاغات ارائه شده است، ضمن تاکید بر ضرورت ایجاد سیستم مدیریت امنیت اطلاعات نیازهای سیستم مدیریت امنیت اطلاعات وکنترل های همه جانبه که برای تامین امنیت اطلاعات مورد نیاز می باشند ارائه شده است.

۱-نیازهای سیستم مدیریت امنیت اطلاعات
در این قسمت تاکید شده که هر سازمان باید سیستم مدیریت امنیت اطلاعات خود را مستند، تعریف ایجاد ونگهداری نماید. در چارچوب مدیریتی ارائه شده در این بخش، لازم است مراحل شش گانه زیر برای مدیریت امنیت اطلاعات در نظر گرفته شده باشند:

تعریف سیاست امنیت اطلاعات

  • تعریف قلمرو سیستم مدیریت امنیت اطلاعات ومرز بندی آن، متناسب نوع ونیازهای سازمان
  • انجام وپذیرش برآورد مخاطرات، متناسب با نوع ونیازهای سازمان
  • پیش بینی زمینه هاو نوع مخاطرات، بر اساس سیاست های امنیتی
  • انتخاب هدف های کنترل وکنترل های مناسب که قبول توجیه باشند، از لیست کنترل های همه جانبه
  • تدوین دستورالعمل عملیاتی
۲-کنترل همه جانبه
کنترل های امنیتی مورد نیاز برای هریک از سیستم های اطلاعاتی وارتباط

شکل چارچو ب ایجاد مدیریت امنیت اطلاعات



نتیجه گیری:

استاندارد BS ۷۷۹۹ حفاظت از اطلاعات را در سه مفهوم خاص یعنی محرمانگی و صحت اطلاعات و در قابلیت دسترسی اطلاعات تعریف می کند.
برای داشتن سازمانی با برنامه و ایده آل، هدفمند کردن این تلاش ها برای رسیدن به حداکثر ایمنی امری است که باید مدنظر قرار گیرد. شناخت نیاز ها ی سیستم مدیریت امنیت وکنترل همه جانبه از مهمترین اهداف امنیت اطلاعات می باشد

نظرات کاربران درباره کتاب سیستم مدیریت امنیت اطلاعات isms