پروژه پایانی – چکیده مقاله ۳: بررسی استاندارد مدیریت امنیت اطلاعات BS7799 و ISO 17799
این پروژه به عنوان یکی از ۴ پروژه پایان ترم درس امنیت سیستمهای اطلاعاتی تهیه شده است. 

دانلود فایل به فرمت PDF به همراه شکل ها و صفحه بندی مناسب

بررسی استاندارد مدیریت امنیت اطلاعات BS7799 و ISO 17799

 

استاندارد BS7799

 BS7799 استانداردی در جهت بالابردن امنیت اطلاعات در سازمان و شرکتها می باشد. با کمک این استاندارد کلیه دارایی ها لیست و طبقه بندی شده، تهدیدها و نقاط ضعف امنیتی مشخص می شوند و درنهایت کنترل های مختلف برای هریک از این موارد لحاظ می شوند. در واقع BS7799 نیاز سازمان شما را در پیاده سازی یک قالب موفق امنیتی برآورده می سازد.

BS7799 استانداری مطمئن برای ایمن سازی و امنیت اطلاعات شرکت شماست. این استاندارد از مدل PDCA تبعیت می کند.PDCA الگویی با چهار مرحله زیر است.

 PLAN

این فاز در واقع مرحله مشخص شدن تعاریف اولیه پیاده سازی ISMS می باشد.  تهیه سیاست های امنیتی ،مقاصد ،تعریف پردازشهای مختلف درون سازمانی و روتین های عملیاتی و  . . . در این مرحله تعریف و پیاده سازی می شوند.

 DO

پیاده سازی و اجرای سیاست های امنیتی ،کنترل ها و پردازش ها در این مرحله انجام می شوند. درواقع این مرحله اجرای کلیه تعاریف فاز اول را طلب می کند.

 Check

این مرحله را می توان فاز ارزیابی نیز نامید. در این مرحله ارزیابی موفقیت پیاده سازی سیاست های مختلف امنیتی، همچنین تجربه های عملی و گزارش های مدیریتی گردآوری خواهند شد. مرور نتایج ما را در جهت پیدا کردن دیدی بهتر رهنمون می سازد.

 ACT

اجرای موارد ترمیمی و بازنگری در نحوه مدیریت اطلاعات،همچنین تصحیح موارد مختلف در این فاز انجام می شود.

 پس از پایان عملیات فاز چهار دوباره به فاز اول یعنی مرحله PLAN بازگشته و با تعریف سیاستهای جدید مورد نیاز مراحل بعدی را پی می گیریم. باتوجه به تعریفی که در بالا ملاحظه می شود عملیات فوق پروسه ای چرخشی و پویا می باشد که با تغییرات درون سازمانی امکان تصحیح در مدیریت اطلاعات همواره وجود دارد.

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability)  تعریف می کند.

 Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.

Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.

Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.

 استاندارد امنیت اطلاعات BS7799 دارای 10 گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه کنترلی عبارتند از :

1- سیاستهای امنیتی

2- امنیت سازمان

3- کنترل و طبقه بندی دارایی ها

4- امنیت فردی

5- امنیت فیزیکی

6- مدیریت ارتباط ها

7- کنترل دسترسی ها

8- روشها و روالهای نگهداری و بهبود اطلاعات

9- مدیریت تداوم کار سازمان

10- سازگاری با موارد قانونی

نمونه هایی از استانداردهای موجود:

  • تفکیک و کلاسه کردن در شبکه (A.9.4.6)
  • کنترل ارتباطهای شبکه (A.9.4.7)
  • کنترل های مسیر یابی شبکه (A.9.4.8)
  • امنیت ابزارهای انتقال اطلاعات A.)8.6 (
  • رد و بدل کردن اطلاعات و نرم افزار بین شرکتهای مختلفA.)8.7(
  • قرارداد انتقال اطلاعات بین شرکت ها (A.8.7.1)
  • امنیت اطلاعات در ترانزیت (A.8.7.2)
  • امنیت تجارت الکترونیک (A.8.7.3)
  • امنیت نامه های الکترونیکی یا e-mail (A.8.7.4)
  • امنیت سیستم های موجود در شرکت (A.8.7.5)
  • صحت اطلاعات (A.8.7.6)

 فوائد استاندارد BS7799 و لزوم پیاده سازی

استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

 اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها

اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات

ایجاد اطمینان نزد مشتریان و شرکای تجاری

امکان رقابت بهتر با سایر شرکت ها

ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

 مراحل ایجاد سیستم مدیریت امنیت اطلاعات :

 ایجاد و تعریف سیاست ها:

در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد. روالها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می شود. مدیران کلیدی و کارشناسان برنامه ریز نقش کلیدی در گردآوری این سند خواهند داشت.

تعیین محدوده عملیاتی :

یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه های کاری باشد لذا شروع پیاده سازی سیستم امنیت اطلاعات کاری بس دشوار است . برای جلوگیری از پیچیدگی پیاده سازی ، تعریف محدوده و Scope صورت می پذیرد. Scope  می تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیین  Scope و الویت برای پیاده سازی استاندارد امنیت اطلاعات در Scope خواهد بود. پس از پیاده سازی و اجرای کنترل های BS7799 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده سازی آن در سایر قسمت ها می رسد که مرحله به مرحله اجرا خواهند شد.

برآورد دارایی ها و طبقه بندی آنها:

برای اینکه بتوان کنترل های مناسب را برای قسمت های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی ها می باشیم. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی های سازمان تهیه شده و باتوجه به درجه اهمیت آن طبقه بندی خواهند شد.

ارزیابی خطرات:

با داشتن لیست دارایی ها و اهمیت آن ها برای سازمان ، نسبت به پیش بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.

مدیریت خطرات :

مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتی شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آنها می نماید.

انتخاب کنترل مناسب :

استاندارد امنیت اطلاعات BS7799 دارای 10 گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت یا سازمان شما پتانسیل پیاده سازی کنترل های مذکور را خواهد داشت.

این ده گروه کنترلی عبارتند از :

 1-  سیاستهای امنیتی

2-  امنیت سازمان

3-  کنترل و طبقه بندی دارایی ها

4-  امنیت فردی

5-  امنیت فیزیکی

6-  مدیریت ارتباط ها

7-  کنترل دسترسی ها

8-  ر�ات و کاهش تهدیدها

اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات

ایجاد اطمینان نزد مشتریان و شرکای تجاری

امکان رقابت بهتر با سایر شرکت ها

ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید.

سیاست‌های امنیتی فضای تبادل اطلاعات دستگاه

سیاست‌های امنیتی فضای تبادل اطلاعات دستگاه، متناسب با دسته‌بندی انجام شده روی سرمایه‌های فضای تبادل اطلاعات دستگاه، عبارتند از:

    !–mep-tab–>

  • ساختار آدرس‌دهی و مسیریابی
  • ساختار دسترسی به شبکه ارتباطی

تجهیزات شبکه ارتباطی

در این بخش،‌ لازم است تجهیزات شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:

  • محافظت فیزیکی
  • نسخه و آسیب‌پذیریهای نرم‌افزار
  • مدیریت محلی و از راه دور
  • تصدیق هویت، تعیین اختیارات و ثبت عملکرد سیستم، بویژه در دسترسی‌های مدیریتی
  • ثبت وقایع
  • نگهداری و به‌روزنمودن پیکربندی
  • مقابله با حملات علیه خود سیستم، بویژه حملات ممانعت از سرویس

سرویس‌های شبکه ارتباطی

در این بخش،‌ لازم است سرویس‌های شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:

  • سیستم عامل سرویس‌دهنده
  • سخت‌افزار سرویس‌دهنده، ‌بویژه رعایت افزونگی در سطح ماجول و سیستم
  • نرم‌افزار سرویس
  • استفاده از ابزارها و مکانیزم‌های امنیتی روی سرویس‌دهنده‌ها

طرح امنیت :

پس از تحلیل مخاطرات امنیتی شبکه ارتباطی دستگاه و دسته‌بندی مخاطرات امنیتی این شبکه، در طرح امنیت، ابزارها و مکانیزم‌های موردنیاز به منظور رفع این ضعفها و مقابله با تهدیدها، ارائه می‌شوند. در طرح امنیت، لازم است کلیه ابزارها ومکانیزم‌های امنیتی موجود، بکار گرفته شوند. نمونه‌ای از این ابزارها عبارتند از:

1-  سیستم‌های کنترل جریان اطلاعات و تشکیل نواحی امنیتی

  • فایروال‌ها
  • سایر سیستم‌های تامین امنیت گذرگاه‌ها

2-  سیستم‌های تشخیص و مقابله یا تشخیص و پیشگیری از حملات،‌شامل:

  • سیستم‌های مبتنی بر ایستگاه
  • سیستم‌های مبتنی بر شبکه

3- سیستم فیلترینگ محتوا ( بویژه برای سرویس E-Mail)

4-  نرم‌افزارهای تشخیص و مقابله با ویروس

5- سیستم‌های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران

6- سیستم‌های ثبت و تحلیل رویدادنامه‌ها

7- سیستم‌های رمزنگاری اطلاعات

8- نرم‌افزارهای نظارت بر ترافیک شبکه

9- نرم‌افزارهای پویشگر امنیتی

10- نرم‌افزارهای مدیریت امنیت شبکه

 طرح مقابله با حوادث امنیتی و ترمیم خرابیها

طرح مقابله با حوادث امنیتی، با هدف پیشگیری، تشخیص و مقابله با حوادث امنیتی فضای تبادل اطلاعات، ارائه می‌گردد. محتوای این طرح، حداقل شامل موارد زیر می‌باشد:

1- دسته‌بندی حوادث

2- سیاست‌های مربوط به هر یک از سرویس‌های مقابله با حوادث امنیتی

3- ساختار و شرح وظایف مربوط به تیم مقابله با حوادث امنیتی دستگاه

4- سرویس‌های پیشگیری و مقابله با حوادث که توسط تیم مقابله با حوادث امنیتی دستگاه ارائه می‌گردد

5- روالهای اجرائی مربوط به هر یک از سرویس‌ها

6- متدولوژی مقابله با حوادث امنیتی

  • آماده‌سازی تیم
  • تشخیص و تحلیل حوادث
  • محدودسازی،‌ ترمیم و ریشه‌کنی حوادث
  • فعالیت‌های بعد از حوادث
  • چک لیست مقابله با حوادث

7- الگوی مقابله با حوادث امنیتی

برنامه آگاهی‌رسانی امنیتی

برنامه آگاهی‌رسانی امنیتی، با هدف برنامه‌ریزی نحوه آگاهی رسانی به کاربران شبکه دستگاه و در راستای مدیریت امنیت اطلاعات ارائه می‌گردد و باید حاوی موارد ذیل باشد:

1- اهداف آگاهی‌رسانی

2- راهبردها

3- برنامه اجرائی آگاهی‌رسانی

4-  مفاد دوره‌های آگاهی‌رسانی از قبیل:

  • اعلام حیطه حریم خصوصی کاربران
  • اعلام وظایف، مسئولیتها و مواردی که کاربران باید پاسخگو باشند
  • اعلام مواردی که کاربران باید نسبت به آن حساسیت داشته باشند ( از قبیل اعلام حوادث به تیم مقابله با حوادث )
  • ارائه اطلاعات در زمینه آسیب‌پذیری سیستم‌ها و مواردی که کاربران باید دقت بیشتری لحاظ نمایند.

برنامه آموزش پرسنل تشکیلات امنیت

  • در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
  • در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
  • در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه


علاوه بر موارد فوق، واحدهای “مشاوره و طراحی” و “نظارت و بازرسی” نیز لازم است. لیکن این واحدها الزاما در داخل دستگاه و چارت سازمانی، ‌تشکیل نخواهند شد.


ساختار تشکیلات امنیت :


ساختار تشکیلات امنیت شبکه دستگاه، عبارتست از:


اعضاء تشکیلات امنیت فضای تبادل اطلاعات دستگاه عبارتند از:


1-     اعضاء کمیته راهبری امنیت:


 2-     مدیر امنیت :


مدیریت واحد پشتیبانی امنیت شبکه را به عهده دارد و توسط مدیر فن‌آوری اطلاعات دستگاه تعیین می‌شود.


 3-     تیم‌های پشتیبانی امنیت :


شامل تیم‌های زیر بوده و اعضاء آن مستقیما توسط مدیر امنیت شبکه دستگاه تعیین می‌شوند:

  • تیم پشتیبانی حوادث
  • تیم نظارت و بازرسی
  • تیم نگهداری امنیت
  • تیم مدیریت تغییرات
  • تیم بررسی پاسخگوئی به نیازهای امنیتی