نمایش نتایج: از شماره 1 تا 6 , از مجموع 6

موضوع: استانداردی برای مدیریت امنیت اطلاعات

  1. #1
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    استانداردی برای مدیریت امنیت اطلاعات

    چكیده

    نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعاتو ارتباطات، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را بیش از پیشآشكار مینماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظاممدیریتی به معرفی استاندارد بینالمللی موجود در این زمینه و نحوه رویكردمناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یك نظاممدیریت امنیت اطلاعات را برشمردهایم .

  2. #2
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    Re: استانداردی برای مدیریت امنیت اطلاعات

    مقدمه
    امروزه شاهد بكارگیری تجهیزات الكترونیك و روشهای مجازی در بخش عمدهای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاعرسانی هستیم . فضایی كه چنین فعالیتهایی در آن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذكور همواره در معرض تهدیدهای الكترونیك یا آسیبهای فیزیكی از قبیل جرایم سازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانكهای اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی و نقض حقوق مالكیت معنوی است.
    از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبكههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود . از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیح بكارگیری امكانات یادشده نیز در سطح جامعه ترویج شود .
    بدیهی است كه توجه نكردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذكور در میان آحاد جامعه و جلب اعتماد مدیران در بكارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد . ایجاد یك نظام منسجم در سطح ملی با لحاظ كردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یك ضرورت است. برخی از این ویژگیها بهقرار زیر است:
    _ امنیت فضای تبادل اطلاعات مفهومی كلان و مبتنی بر حوزههای مختلف دانش است .
    _ امنیت با توجه به هزینه و كارایی تعریف میشود و مقولهای نسبی است .
    _ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است .
    _ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
    خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی كه ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات كشور تا پایان سال اول برنامه الزام شده است . همچنین در پیشنویس این سند پیشنهاد شده است كه دستگاههای مجری طرحهای خود در انطباق با سند مذكور ارائه كنند .

  3. #3
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    Re: استانداردی برای مدیریت امنیت اطلاعات

    استاندارد BS7799/ISO17799
    با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یك نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بكارگیری دستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انكارناپذیر آن در چنین سازمانهایی میشود.
    خوشبختانه قریب به یك دهه از ارائه یك ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذكر(BS7799) مورد بازنگری قرار گرفته و در سال 2000 میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نیز یك بازنگری در بخش دوم استانداردBS7799 بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO9001-2000 و ISO14001-1996 صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینكنندگان و راحتی كاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد در حال انجام است كه پیشبینی میشود در سال جاری میلادی ارائه شود.
    پیش از توضیح راجعبه استاندارد مذكور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین میشود :
    _ محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات میتوانند تنها در دسترس كسانی باشند كه مجوز دارند.
    _ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
    _ در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیاز داشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
    در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از كنترلها كه شامل سیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاری است، حاصل میشود. این كنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
    استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
    _ ((ISO/IEC17799 part1) یك نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
    _ (BS7799 part 2) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندیها استوار است.
    بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی بکار گیرد، در حالیكه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
    بخش اول شامل رهنمودها و توصیههایی است كه ?? هدف امنیتی و ??? كنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نموده است :
    -1 سیاست امنیتی: دربرگیرنده راهنماییها و توصیههای مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.
    -2 امنیت سازمانی: این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
    - كمیته مدیریت امنیت اطلاعات
    - متصدی امنیت سیستم اطلاعاتی
    - صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
    - بازنگری مستقل تاثیرات سیستمهای امنیتی
    - هدایت دسترسی تامینكنندگان به اطلاعات درون سازمان را دربرمی گیرد.
    -3 طبقهبندی و كنترل داراییها: طبقهبندی داراییها و سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم این بحث است.
    -4 امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات كه به بخشهای زیر قابل تقسیم است :
    - كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود.
    - مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
    - شرایط استخدام كه در آن پرسنل باید بهوضوح از مسئولیتهای امنیتی خویش آگاه شوند.
    - تعلیمات كه شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه میشود.
    -5 امنیت فیزیكی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط ، كنترل دسترسیها ، امنیت مكان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی میشود .
    -6 مدیریت ارتباطات و عملیات: كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روشهای اجرایی، كنترل تغییرات ، مدیریت وقایع و حوادث، تفكیك وظایف و برنامهریزی ظرفیتهای سازمانی میشود.
    -7 كنترل دسترسی: كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران ، مسئولیتهای كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسیهاست.
    -8 توسعه و نگهداری سیستمها: اطمینان از اینكه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت كاربردی، استانداردها و سیاستهای رمزنگاری، انسجام سیستمها و امنیت توسعه است.
    -9 تداوم و انسجام كسب و كار: تقلیل تاثیرات وقفههای كسب و كار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شكست.
    -10 همراهی و التزام: اجتناب از هرگونه پیمانشكنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی
    بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.

  4. #4
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    Re: استانداردی برای مدیریت امنیت اطلاعات

    نظام مدیریت امنیت اطلاعات
    نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یك رویكرد نظاممند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است . در چنین رویكردی بسیار مهم است كه فعالیتهای گوناگون امنیتی را با راهبردی مشترك بهمنظور تدارك یك سطح بهینه از حفاظت همراستا كنیم . نظام مدیریتی مذكور باید شامل روشهای ارزیابی، محافظت، مستندسازی و بازنگری باشد ، كه این مراحل در قالب یك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO9001 دارد. )
    _ برنامه ریزی Plan :
    - تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی سازمان.
    - تعیین و ارزیابی مخاطرات.
    - انتخاب اهداف كنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میكند.
    - آمادهسازی شرایط اجرایی.
    _ انجام Do:
    - تدوین و اجرای یك طرح برای تقلیل مخاطرات.
    - اجرای طرحهای كنترلی انتخابی برای تحقق اهداف كنترلی.
    _ ارزیابی Check :
    - استقرار روشهای نظارت و پایش.
    - هدایت بازنگریهای ادواری بهمنظور ارزیابی اثربخشی ISMS.
    - بازنگری درحد قابل قبول مخاطرات.
    - پیشبرد و هدایت ممیزیهای داخلی بهمنظور ارزیابی تحقق ISMS.
    _ بازانجام Act:
    - اجرای توصیههای ارائه شده برای بهبود.
    - نظام مدیریتی مذكور.
    - انجام اقدامات اصلاحی و پیشگیرانه.
    - ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
    همانند نظامهای مدیریت كیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یك نظام مدیریتی است كه سازمان بهمنظور بكارگیری محصولات نرمافزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره میگیرد . چیزی كه این دو بخش را به هم پیوند میدهد میزان انطباق با بخشهای استاندارد است كه در یكی از چهار رده زیر قرار میگیرد :
    * كلاس اول : حفاظت ناكافی
    * كلاس دوم : حفاظت حداقل
    * كلاس سوم : حفاظت قابل قبول
    * كلاس چهارم : حفاظت كافی

  5. #5
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    Re: استانداردی برای مدیریت امنیت اطلاعات

    مراحل اجرای نظام مدیریت امنیت اطلاعات
    پیادهسازی ISMS در یك سازمان این مراحل را شامل میشود:
    - آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش ببینند . باید توجه شود كه امنیت اطلاعات یك برنامه نیست بلكه یك فرایند است .
    - تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب میشود .
    - ایجاد سند سیاست امنیت اطلاعات : كه پیشتر به آن اشاره شد .
    - ارزیابی مخاطرات : باید به بررسی سرمایههایی كه نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیبپذیری اطلاعات و سرمایههای فیزیكی مرتبط نیز مشخص شود .
    - آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
    - آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم كرد.
    - ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
    - كنترل و بهبود مداوم : اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل بهرسمیت شناخته شده كنترل و ارتقا یابد.
    در كلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی از اهمیت ویژهای برخوردار است. مستندات از یك طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات میپردازند و از طرف دیگر كنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در كل میتوان مستندات را به چهار دسته تقسیم كرد:
    -1 سیاست ، چشمانداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذكور كه در مجموع بهعنوان نظامنامه امنیتی شناخته میشود .
    -2 توصیف فرایندها كه پاسخ سؤالات چه كسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مكانی را می دهد و بهعنوان روشهای اجرایی شناخته میشوند .
    -3 توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده كه شامل دستورالعملهای كاری ، چك لیستها ، فرمها و نظایر آن میشود .
    -4 مدارك و شواهد انطباق فعالیتها با الزامات ISMS كه از آنها بهعنوان سوابق یاد میشود .

  6. #6
    YAS
    کاربرسایت YAS آواتار ها
    تاریخ عضویت
    ۸۷-۰۲-۲۸
    نوشته ها
    1,482
    سپاس ها
    0
    سپاس شده 0 در 0 پست

    Re: استانداردی برای مدیریت امنیت اطلاعات

    نتیجه گیری
    هر چند بكارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO17799 بتنهایی نشاندهنده برقراری امنیت كامل در یك سازمان نیست، اما استقرار این نظام مزایایی دارد كه مهمترین آنها چنین است:
    - در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و كاركنان سازمان در این زمینه است.
    - در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میكند كه سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میكند.
    - در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها میشود . علاوهبر این چنین نظامی استفاده مطمئنتر از سختافزار و نرمافزار را تضمین میكند .
    - در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شركا و مشتریان اطمینان خاطر بیشتری را فراهم میآورد.
    - در سطح مالی این اقدام باعث كاهش هزینههای مرتبط با مسائل امنیتی و كاهش احتمالی حق بیمههای مرتبط میشود .
    - در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بكارگیری چنین نظامی است.

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. پاسخ ها: 0
    آخرين نوشته: جمعه ۰۵ آذر ۸۹, ۲۱:۰۱
  2. پاسخ ها: 0
    آخرين نوشته: پنجشنبه ۱۹ آذر ۸۸, ۲۰:۵۶
  3. استانداردی برای مدیریت امنیت اطلاعات
    توسط SAREH در انجمن مدیریت
    پاسخ ها: 0
    آخرين نوشته: جمعه ۰۸ آذر ۸۷, ۱۰:۱۹
  4. موسویان شکایت خود از سایت توکلی را پس می گیرد
    توسط YAS در انجمن دنیای اینترنت
    پاسخ ها: 0
    آخرين نوشته: سه شنبه ۲۶ شهریور ۸۷, ۱۸:۱۱
  5. پاسخ ها: 0
    آخرين نوشته: چهارشنبه ۲۴ بهمن ۸۶, ۲۱:۴۲

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •