شبکه اطلاع رسانی قاصدک

مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات

امروزه با گسترش تهديد هاي امنيتي، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد. سازمان هایی که موجودیتشان به طور عمومی به فن آوری اطلاعات  وابسته است باید از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند. جهت دستیابی به امنیت قابل قبول اطلاعات به همکاری مشتریان ، شرکای تجاری و دولت  نیاز خواهد بود. در ضمن بررسی دوره ای امنیت اطلاعات توسط سازمان های امنیتی یک روش مقبول در  این زمینه خواهد بود. پیاده سازی استاندارد های امنیتی موجود نیز ، سازمان ها را در نیل به اهداف خود یاری می رساند. پیاده سازی به طور اساسی در دو سطح صورت می گیرد. در سطح اول که سطح  کلی می باشد تمرکز بر روی پروسه های تجاری و امنیتی می باشد، به طوریکه فرهنگ امنیت اطلاعات به عنوان مفاهیم اصلی این سطح مورد بررسی قرار می گیرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معیار های امنیتی در تمامی سطوح سازمانی تفهیم گردد. در سطح دوم، پیاده سازی فنی و با جامعیت بیشتر صورت می گیرد که  با استفاده از استانداردهای بین المللی و سیستم ها و ابزارهای لازم صورت می گیرد. بعد از پیاده سازی پروسه های مدیریتی و تجاری و نیز پیاده سازی فنی و عملیاتی امنیت، سازمان تا حد قابل قبولی می تواند  از پوشش مناسب  مدیریت امنیت اطلاعات  اطمینان پیدا نماید. پیاده سازی مدیریت امنیت اطلاعات بر اساس یک استاندارد بین المللی مانند ISO1799 صورت می گیرد تا سازمان بتواند تاییدیه و گواهی مربوطه را اخذ نماید. شرکت قاصدک با بهره گیری از تیم فنی متخصص میتواند سازمان و مجموعه مطبوع شما را در دستیابی به یک استاندارد مديريت امنيت اطلاعات بصورت پیوسته و در يک چرخه ايمن سازي شامل مراحل طراحي، پياده سازي، ارزيابي و اصلاح در قالبهای مشاوره، طراحی، پیاده سازی و نظارت یاری نماید.

جهت پیاده سازی مدیریت امنیت اطلاعات به چک لیست های کاملی جهت بررسی وضعیت امنیتی و تشخیص نقاط ضعف جهت  بر طرف نمودن آنها نیاز خواهیم داشت که این چک لیست ها شامل موارد ذيل می باشد:

1. چک ليست استمرار فعاليت هاي شبکه
2. چک ليست امنيت اطلاعات
   1. انتقال ايمن اطلاعات
   2. آماده کردن اطلاعات جهت استفاده در مسيرهاي امن و حفاظت شده
   3. امکان پشتيبان گيري از اطلاعات
   4. نگهداري مالکيت اطلاعات
3. چک ليست امنيت نرم افزار و سرويس دهنده ها
   1. امنيت نرم افزار
   2. امنيت سرويس دهنده ها
4. چک ليست آموزش امنيتي پرسنل شبکه
5. چک ليست امنيت فيزيکي
   1. امنيت فيزيکي مکان هاي استقرار تجهيزات در کلاس B ، A و C ( اماکن )
   2. امنيت فيزيکي تجهيزات
   3. جريان برق
6. چک ليست امنيت دسترسي کاربران
   1. تدوين روالي جهت کنترل فعاليت کاربران
   2. آماده کردن کد شناسايي کاربر
   3. روند احراز هويت شخصي
   4. توسعه روندهاي استاندارد ورود به سيستم
   5. سازمان دهي اصول امنيت فيزيکي مهم
   6. دقت در دسترسي راه دور
   7. دسترسي ديگر نهاد اجرايي به شبکه

سيتم مديريت امنيت اطلاعات نظام جامع امنيت اطلاعات سازمان

مفهوم «سيستم مديريت امنيت اطلاعات»اولين بار طي مراحل تحرير وتوسعه استاندارد بريتانيايي 7799 در سال‌هاي انتهايي دهه 1980 ميلادي مورد بحث و توجه قرار گرفت. آخرين تعريف «سيستم مديريت امنيت اطلاعات» از نظر استاندارد بين المللي آن عبارت است از :

«سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که برپايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قراردارشته و هدف آن، پايه ‌گذاري، پياده ‌سازي ، بهره ‌برداري، نظارت، بازبيني، نگهداري و بهبود امنيت اطلاعات است.»

«امنيت اطلاعات» نيز چنين تعريف مي‌شود:

«حفاظت از محرمانگي، تماميت و دسترس‌پذيري اطلاعات، علاوه براين‌ها ساير ويژگي‌ها از قبيل اصالت ( authenticity ) ، قابليت جوابگويي و اعتبار ( accountability ) ، انکارناپذيري ( non- repudiation )، و قابليت اطمينان( reliability ) اطلاعات نيز مي‌توانند مشمول اين حفاظت باشند.»

«سيستم مديريت امنيت اطلاعات» براي حصول اطمينان از کفايت و تناسب کنترل‌هاي امنيتي محافظ  دارايي‌هاي اطلاعاتي طراحي شده‌است تا به اين وسيله به مشتريان و ديگر گروه‌هاي ذي‌نفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطرداده‌شود.  هدف اين سيستم پياده‌سازي نوعي از كنترل‌هاي امنيتي است كه با برقراري زير‌ساخت‌هاي مورد نياز، امنيت اطلاعات را تضمين مي‌نمايند. درحقيقت يک «سيستم مديريت امنيت اطلاعات»، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم مي‌آورد و کل کارکنان، فرآيندها و سيستم‌هاي اطلاعاتي يک سازمان را دربر مي ‌گيرد.

ميزان نسبي در معرض ريسک بودن يک سيستم اطلاعاتي براساس فعاليت در بخش‌هاي مختلف

طراحي، پياده‌سازي، نگهداري و بهبود سيستم مديريت امنيت اطلاعات

فعاليت‌هاي مربوط به پياده‌سازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ (برنامه-اجرا-بررسي-اقدام اصلاحي) به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل زير نمايش داده شده‌است:

فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

• فاز برنامه :
  

• تعريف محدوده اوليه ISMS
• تعريف سياست  و خط مشي كلي در ISMS
• شناسايي دارايي ها
• شناسايي تهديدها
• ارزيابي ريسك
• تنظيم برنامه برخورد با ريسك ها
• انتخاب كنترل هاي امنيتي
• تنظيم بيانيه قابليت اجرا (SOA)

• فاز اجرا :

• بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
• پياده  سازي برنامه برخورد با ريسك و كنترل هاي مربوطه

• فاز بررسي:

• نظارت بر اجرا
• بازبيني هاي منظم بر كارآيي و كارآمدي ISMS
• نظارت بر ريسك هاي مورد قبول
• هدايت منظم مميزي هاي ISMS

• فاز اقدام :

• پياده سازي موارد بهبود
• انتخاب اعمال اصلاحي مناسب
• اطمينان از رسيدن به اهداف بهبود و توسعه

استانداردهاي BS7799 و ISO 27001

BS 7799 و ISO 27001 جديدترين استانداردهاي بين‌المللي براي استقرار و بهبود سيستم مديريت امنيت اطلاعات در شركتها و سازمانهاي مرتبط با فناوري اطلاعات و تجارت الكترونيك به شمار مي‌آيند. براي مقابله با خطراتي كه در سيستمهاي اطلاعاتي اين سازمانها نهفته مي‌باشند، وجود يك سيستم مديريت امنيت اطلاعات (ISMS) جهت اطمينان از مديريت مؤثر اين خطرات بسيار حياتي است.

مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001 :

• استاندارد مورد تأييد و اجباري از سوي شوراي‌عالي امنيت فضاي تبادل اطلاعات كشور
• كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
• تأمين امنيت در همه سطوح شامل امنيت فيزيكي، پرسنلي و ارتباطات
• ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
• کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
• جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
• كاهش هزينه‌ها
• سيستم مديريت امنيت پويا و مستمر با نگاه همه جانبه به امنيت
• آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت