یکشنبه، 05 خرداد 92 - 10:59

th11

استاندارد ISO 27001  یک استاندارد بین المللی است که زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمانها و بهره گیری از منافع این رویکرد فراهم می آورد. در حقیقت این استاندارد به منظور جلوگیری از نقض امنیت اطلاعات و اتلاف مالی و پیشگیری از تنش های حاصل از این موضوع در درون سازمان ها به وجود آورده است.روش کلی که استاندارد جهت طراحی و استقرار نظام مدیریت امنیت اطلاعات پیشنهاد می دهد شامل مراحل زیر است:

۱٫تعریف قلمرو

۲٫تعریف خط مشی

۳٫تعیین مخاطرات

۴٫ارزیابی مخاطرات

۵٫انتخاب کنترل های مناسب

در حقیقت در قدم اول باید مشخص شود که سازمان ما در چه قلمروی می خواهد امنیت را به وجود آورد آیا فقط برای دیتا سنتر است یا برای کل سازمان یا برای ساختمان خاص. این قلمرو در ابتدا توسط مدیران ارشد تعیین می گردد.در قدم بعدی اهداف باید مشخص شود و تعیین کنیم که به کجا می خواهیم برسیم پس از آن داراییهای سازمان شناسایی می شود این داراییها هر چیزی است که سازمان بر آن مالکیت دارد. ساختمان، سرور، سوئیچ، منابع انسانی ، اطلاعات و به طور کلی هر آنچه برای سازمان اهمیت دارد و می خواهد امنیت آن را حفظ کند.در گام بعدی مخاطراتی که این دارایی ها را تهدید می کنند شناسایی و آنالیز می شوند مثلاً تعیین می شود مخاطرات دیتا سنتر می تواند بروز آتش سوزی، حمله نفوذ گران، از دست رفتن سخت افزار و مواردی از این قبیل باشد و در آنالیز انجام گرفته تعیین می شود بروز هریک از این مخاطرات می تواند چه مقدار خسارت به وجود آورد و موارد در پایان اولویت بندی می گردد.در گام آخر از کنترل های مناسب جهت حفظ امنیت داراییها در مقابل تهدیدات استفاده می شود. شرح کامل کنترل های لازم در پیوست الف  استاندارد آمده است. این کنترل ها به سه دسته اصلی تقسیم می شوند:

الف) کنترل های اجرایی :

این کنترل ها چهار چوبی برای اجرای کار و مدیریت افراد ایجاد می کند و به افراد نحوه اجرای کارها و عملیات روزانه که با امنیت اطلاعات رابطه دارد را اطلاع رسانی می کند. در حقیقت تدوین خط مشی و روش های اجرایی، استانداردها و راهنما ها برای سازمان در اینجا انجام می پذیرد.

ب) کنترل های منطقی:

این کنترل ها همان کنترل های فنی هستند، ابزارها و نرم افزارهایی که وظیفه کنترل و پایش و دسترسی به اطلاعات و سیستمها را بر عهده دارند. برخی نمونه های آن NAC، فایر وال، IPS و مواردی از این قبیل است.

ج) کنترل های فیزیکی:

 این کنترل ها حفظ امنیت فیزیکی را برقرار می سازند. پایش و کنترل محیط کاری ،کنترل دسترسی فیزیکی، تهویه و کنترل دما و رطوبت با استفاده از این کنترل ها انجام می پذیرد. در استاندارد ذکر نشده که برای انجام کار از چه نرم افزار و یا وسیله ای باید استفاده شود و فقط هدفی که باید محقق شود ذکر گردیده است.

در ادامه برخی از کنترل های پیوست الف استاندارد را مورد بررسی قرار می دهیم.

• کنترل های شبکه: شبکه ها باید به منظور حفاظت در برابر تهدیدها و برای نگهداری امنیت سیستم ها و برنامه های کاربردی که از شبکه استفاده می کنند به میزان کفایت مدیریت و کنترل شود.

• پایش: به منظور تشخیص فعالیت های غیرمجاز پردازش اطلاعات شبکه باید پایش گردد.

•واقعه نگاری ممیزی: سوابق وقایع مبنی بر فعالیت های کاربر، استثنا ها و وقایع امنیت اطلاعات باید برای یک بازه زمانی توافق شده، ایجاد و نگهداری شوند تا در رسیدگی ها و پایش های آتی مورد استفاده قرارگیرد.

• پایش کاربرد سیستم: روش های اجرایی برای پایش کاربرد امکانات پردازش اطلاعات باید ایجاد بشود و نتایج فعالیت های  پایش به طور منظم بازنگری گردد.

• انطباق با الزامات قانونی: الزامات قانونی می تواند از طرف نهادهای کشوری و یا آیین نامه های داخلی سازمان آمده باشد و به گونه ای باید گارانتی شود که الزامات قانونی حتماً انجام می گیرد. به طور مثال در آیین نامه سازمان ذکر گردیده که فقط سیستم هایی حق اتصال به شبکه را دارند که آنتی ویروس آنها به روز است بنابراین باید کنترل مناسب وجود داشته باشد که در صورتی که آنتی ویروس به روز رسانی نشده امکان اتصال به شبکه را به سیستم ندهد.

• پیشگیری از استفاده نا به جا از امکانات پردازش اطلاعات: کاربران باید از به کارگیری امکانات پردازش اطلاعات برای مقاصد غیر مجاز باز داشته شوند. مثلاً کاربر مهمان در سازمان که نیاز به استفاده از اینترنت دارد نباید بتواند به شبکه داخلی سازمان دسترسی داشته باشد.

• کنترل دسترسی به شبکه: پیشگیری از دسترسی غیر مجاز به خدماتی که تحت شبکه ارائه می شود باید انجام پذیرد.

• خط مشی استفاده از خدمات شبکه: کاربران باید تنها به خدماتی که مشخصاً استفاده از آنها برایشان مجاز تعیین شده است دسترسی داشته باشند.

• شناسایی تجهیزات در شبکه: شناسایی خودکار تجهیزات باید به عنوان وسیله ای برای تصدیق هویت اتصالات از مکانها و تجهیزات مشخص در نظر گرفته شود. به طور واضح تر یعنی وقتی که یک لپ تاپ به شبکه متصل می شود به صورت خودکار شناسائی شود که آیا این تجهیز مربوط به خود سازمان است و یا خیر.

• تفکیک در شبکه ها: گروههای خدمات اطلاعاتی، کاربران و سیستم های اطلاعاتی باید در شبکه ها تفکیک شوند.

• کنترل اتصال به شبکه: برای شبکه های اشتراکی به ویژه آنهایی که در محدوده های سازمان گسترش می یابند قابلیت کاربران برای اتصال به شبکه باید در راستای خط مشی کنترل دسترسی و الزامات برنامه های کاربردی سازمان محدود شوند.موارد ذکر شده تنها گوشه ای از کنترل های ذکر شده در استاندارد است که بیان گردید و در استاندارد موارد بسیار دیگری نیز ذکر گردیده است که علاقمندان می توانند در جهت اطلاعات بیشتر به متن آن در پیوست الف استاندارد مراجعه نمایند.

 

امید صفوی 

o.safavi@asre-telecom.com

logo-samandehi