پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹-۲
استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند. این استانداردها به دو بخش عمده تقسیم می گردد:
الف)یک مجموعه قانونمند از متد سنجش امنیتی(ISO/IEC ۱۷۷۹۹ )
ب) یک نظام نامه برای مدیریت امنیت اطلاعات( BS ۷۷۹۹-۲ ).
بطور اساسی یک استاندارد امنیت اطلاعات عمومی مورد تایید بین المللی است.هدف از ایجاد این استانداردها این بوده است که مانند یک منبع منفرد برای تعریف محدوده ای از کنترلهای مورد نیاز برای اغلب موقعیتهایی که سیستمهای اطلاعاتی وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهیلاتی برای رسیدن به انجام تجارت در محیطی قابل اطمینان فراهم می آورد.
●تاریخچه:
▪ اولین نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) برای بررسی ارائه گردید.
▪ تحت یک عنوان مشخص و بصورت بازنگری شده با عنوان نسخه اول BS ۷۷۹۹ در فوریه سال ۱۹۹۵ منتشر گردید.
▪ نسخه ارائه شده بصورت فراگیر اهداف اولیه را تحت پوشش قرار نمیداد و دارای مشکلات ذیل بود:
▪ به اندازه کافی انعطاف پذیر نبود.
▪کلیدهای کنترلی را خیلی ساده بیان کرده بود.
▪تحت فشار مشکلات دیگری انتشار داده شده بود ( مانند مشکل سال ۲۰۰۰ ).
▪تجدید نظر زیادی می بایست صورت می پذیرفت که در نتیجه نسخه دوم BS ۷۷۹۹ در ماه می سال ۱۹۹۹ منتشر گردید.
▪ شماهای رسمی و نظام نامه ارائه گواهینامه و اعتبارنامه های آن در همان سال منتشر گردید.
▪در همان سال ابزاری که از این استاندارد حمایت می نمودند پدیدار گردیدند.
▪همزمان مؤسسه ISO با سرعت زیادی در این راه پیشقدم گردید.
▪ قسمت دوم استاندارد BS ۷۷۹۹ در سال ۲۰۰۲ میلادی ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO ۱۷۷۹۹ در همان سال منتشر گردید.
الف) استانداردISO/IEC ۱۷۷۹۹:
این استاندارد در ده بخش و بیش از ۱۲۷ نوع متد جهت سنجش امنیت سیستم سازماندهی گردیده است.هر بخش بر روی یک سرفصل یا محدوده عملکرد مجزا تعریف شده است. ده عنوان و اهداف آن عبارتند از:
۱) طرح تداوم خدمات تجاری:
اهداف این بخش شامل جلوگیری از منقطع شدن فعالیتهای تجاری و فرایندهای بحرانی اقتصادی بر اثر حوادث ناگوار و یا ناتوانی در ارائه خدمات در سطح وسیع می باشد.
۲) کنترل بر نحوه دستیابی به سیستم:
اهداف این بخش شامل:
۲-۱ )کنترل دسترسی به اطلاعات.
۲-۲ )جلوگیری از دستیابی غیر مجاز به سیستم اطلاعاتی.
۲-۳ )ایجاد تضمین در نحوه خدمت رسانی حمایت شده شبکه.
۲-۴ )جلوگیری از دستیابی غیر مجاز به رایانه ها.
۲-۵ )بازرسی و نظارت بر فعالیتهای غیر مجاز.
۲-۶ )اطمینان حاصل کردن از امنیت اطلاعات در زمانی که در شبکه از تجهیزات شبکه بیسیم و یا تلفن سیار استفاده می گردد.
۳ )پشتیبانی کردن و توسعه دادن سیستم :
اهداف این بخش شامل :
۳-۱ )اطمینان از امکانات امنیتی ایجاد شده در درون سیستمهای قابل کنترل.
۳-۲ )ممانعت از گم شدن ، تغییر و سؤاستفاده از داده های کاربران در سیستم های کاربردی.
۳-۳ )حمایت از جنبه های محرمانگی ، صحت و تمامیت اطلاعات.
۳-۴ )اطمینان از پروژه های IT و فعالیتهای حمایتی آن که در یک چارچوب امن هدایت خواهند شد.
۳-۵ )پشتیبانی امنیتی از داده ها و نرم افزارهای کاربردی.
۴ )ایجاد امنیت فیزیکی و محیطی:
اهداف این بخش شامل ممانعت از دسترسی غیر مجاز ، آسیب رسانی و دخالت در بنیادهای اقتصادی و اطلاعات ؛ ممانعت از گم شدن ، آسیب دیدن و مصالحه بر سر دارایی ها برای تعلیق فعالیتهای اقتصادی مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن یا سرقت اطلاعات و همچنین امکانات پردازش اطلاعات می گردد.
۵ )مورد قبول واقع شدن:
اهداف این بخش شامل :
۵-۱ )اجتناب از بروز هرگونه رخنه ای که مجرمانه بوده ویا قوانین مدنی ، قوانین موضوعی ، قوانین تنظیمی یا قراردادهای الزام آور و هر نوع نیاز امنیتی را مورد هدف قرار دهد.
۵-۲ )ایجاد اطمینان از همخوانی سیستمها با سیاستهای امنیتی و استانداردهای سازمانی.
۵-۳ )به حد اکثر رساندن تاثیرات کارا و به حداقل رساندن فرایندهای اخلال کننده سیستم مراقبت امنیتی وارد شده بر سیستم یا صادر شده از سیستم.
۶ )امنیت شخصی:
اهداف این بخش شامل کاهش خطرات ناشی از خطاهای انسانی ، دزدی ، تقلب یا سؤاستفاده از امکانات ؛ ایجاد اطمینان از اینکه کاربران از تهدیدات امنیتی موجود بر روی اطلاعات واقف و نگران بوده و در روشهای کاری معمول خود ، در جهت حمایت از سیاستهای امنیتی ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهای ناشی از بروز حوادث امنیتی و سؤ عمل و همچنین درس گرفتن از این رخدادهای امنیتی می باشد.
۷ )ایجاد امنیت سازمانی:
اهداف این بخش شامل :
۷-۱ )مدیریت امنیت اطلاعات در محدوده شرکت.
۷-۲ )پشتیبانی از امکانات امنیت فرایندهای اطلاعاتی سازمانی و دستیابی به داراییهای اطلاعاتی به واسطه عوامل ثالث ( Third Party ).
۷-۳ )پشتیبانی از امنیت اطلاعات در زمانی که وظیفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان دیگری سپرده شده باشد.
۸ )مدیریت رایانه و عملیات:
اهداف این بخش شامل :
۸-۱ )ایجاد اطمینان از عملیات موجود و امنیتی بر روی امکانات پردازش اطلاعات.
۸-۲ )به حداقل رساندن خطرات ناشی از ناتوانی های سیستم.
۸-۳ )حمایت از تمامیت اطلاعات و نرم افزار.
۸-۴ )پشتیبانی از در دسترس بودن و تمامیت پردازش اطلاعات و ارتباطات.
۸-۵ )ایجاد اطمینان از امن نگهداشتن اطلاعات در شبکه ها و حمایت از زیربنای پشتیبانی کننده.
۸-۶ )ممانعت از آسیب رسیدن به دارایی ها و تعلیق فعالیتهای اقتصادی.
۸-۷ )ممانعت از گم شدن ، تغییر دادن و سؤاستفاده از اطلاعات در حال مبادله مابین سازمانها.
۹ )کنترل و طبقه بندی داراییها:
اهداف این بخش شامل پشتیبانی مناسب حمایتی از داراییهای مشترک و اطمینان از اینکه داراییهای اطلاعاتی در یک سطح مناسب امنیتی دریافت می گردد ، می باشد.
۱۰ )امنیت اطلاعاتی:
اهداف این بخش شامل ایجاد مدیریت هدفمند و حمایتی برای امنیت اطلاعات می گردد.ب) استاندارد BS ۷۷۹۹-۲
یک استاندارد خاص طراحی شده برای یک سیستم مدیریت امنیت اطلاعات یا ISMS (Information Security Management Systems ) می باشد.ISMS جهت مانیتورینگ ، کنترل امنیت و کاهش درجه خطرپذیری خطا در امنیت اطلاعات مورد استفاده قرار می گیرد. سری استاندارد مدیریتی BS ۷۷۹۹-۲ توضیحات لازم در مورد چگونگی به کارگیری امنیت اطلاعات و بر اساس عملکرد استاندارد ISO/IEC ۱۷۷۹۹ ارائه می دهد و همچنین چگونگی ایجاد ، سپس هدایت و نهایتاً مدیریت یکISMS را بیان مینماید. جزئیات یکISMS در چرخه چهار مرحله حیاتیPlan - Do - Check - Act خلاصه میشود که بترتیب به آنها خواهیم پرداخت.
●Plan
این فاز به زیر شاخه هایScope , Policy , Risk Assessment وRisk Treatment تقسیم می شود.
Scope: در این بخش هدف ISMS تعریف و تدوین می گردد. تعیین اهداف بستگی تام به نیاز شبکه ما دارد که می تواند مربوط به یک بخش خاص از سایتهای سازمان بوده و یا مربوط به ارائه یک سرویس خاص مثلE-Banking باشد.
Policy : در این بخش به سؤالات مهمی مانند:
▪چرا امنیت اطلاعات برای ما مهم است ؟
▪آیا مقابله با ویروس خاصی مد نظر است ؟
▪آیا تنها در صدد تهیه و جمع آوری یک سری اطلاعات مانندConfidentiality ،Integrity وAvailability می باشیم؟
▪چه سطحی از خطا برای ما قابل قبول است؟
▪آیا تنظیمات خاصی مد نظر می باشد؟
▪محدودیت خاصی وجود دارد؟
▪و ......
تمام پاسخهای جمع آوری شده را باید در بخشPolicy جمع آوری کرده و مورد پردازش قرار دهیم.
Risk Assessment : در این بخش با توجه به تدوین Policy ، اکنون ما می دانیم که چه چیزی را می بایست مورد محافظت قرار داده و سطح قابل قبول خطا برای ما چقدر خواهد بود. در این بخش خطرهای مهم و جدی را شناسایی کرده و بر آنها اشراف داریم. بنابراین باید یک روش مناسب که برای سازمان ما قابل قبول باشد را انتخاب ، و هدف از ISMS را تعیین نماییم.
Risk Treatment: بعد از کامل نمودن ارزیابی خطا , استاندارد BS ۷۷۹۹-۲ از ما می خواهد تا در خصوص مدیریت خطا تصمیم گیری کنیم .
نسخه جدید این استاندارد، یهنیBS ۷۷۹۹-۲:۲۰۰۲ در مورد از بین بردن خطا ، استانداردهای زیادی دارد که بر پایه سه سوال اساسی ذیل دسته بندی می شوند:
۱ )آیا خطا را می پذیرید و به توانائی خود برای شناسائی و از بین بردن خطا اعتماد کامل دارید ؟
۲ )از پذیرش خطا اجتناب می کنید و محصولات خود را بیمه می کنید ؟
۳ )آیا می خواهید کنترل مناسبی روی شبکه داشته باشید ؟
Do
در این فاز ما ملزم به کنترل خطا می باشیم. در این مرحله ما به یک فرایند نیازمندیم تا خطا را شناسائی و به ما اعلام کند. همچنین نیازمند به آموزش پرسنل در خصوص مسائل امنیتی خواهیم بود تا پس از آموزشهای مربوطه، به عنوان متخصصین امنیتی منحصراً بتوانند امنیت شبکه را بعهده بگیرند.
●Check
در فازCheck باید از کنترل شبکه در مواقع لازم مطمئن شویم و هر گونه مشاهده ای را آرشیو کنیم. استانداردها دامنه متنوعی از فعالیتهای قابل بررسی را مشخص کرده اند که در ذیل به آنها اشاره می شود:
<div class;mainbodytextnewsEn;>
Intrusion Detection
Incident Handling
Routine Checks
Self – Policing Procedures
Learning From Others (e.g. CERT )
Internal ISMS Audit
Management Review
</div>
دو فعالیت بررسی شونده Internal ISMS Audit و Management Review لازم الاجراء بوده و بقیه موارد اختیاری می باشند.
Act
خروجی فاز Check فعالیتهای این بخش را تشکیل می دهد که در سه بخش خلاصه می شود:
<div classmainbodytextnewsEn;>
Corrective Action
Preventive Action
Improvements
</div>
چهار فاز فوق الذکر در بازه های زمانی مشخصی که حساسیت اطلاعات سازمان مشخص می نماید می بایست تکرار گردد. ذکر این نکته ضروری است که لزوماً ممکن است در اجرای استانداردهای امنیتی خرید تجهیزات جدید پیشنهاد نگردد و با بازنگری تجهیزات موجود ، گرفتن گواهی های استاندارد امکانپذیر باشد.
نویسنده: افسانه كربلایی زاده
ناشر : مهندسی شبكه همكاران سیستم
ناشر : مهندسی شبكه همكاران سیستم
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
ایران اسرائیل آمریکا مجلس شورای اسلامی دولت دولت سیزدهم معلمان رهبر انقلاب نیکا شاکرمی مجلس خلیج فارس بابک زنجانی
آتش سوزی تهران پلیس روز معلم زلزله قتل شهرداری تهران سیل آموزش و پرورش قوه قضاییه سلامت دستگیری
قیمت طلا قیمت دلار قیمت خودرو خودرو بازار خودرو دلار بانک مرکزی ایران خودرو سایپا کارگران تورم ارز
سریال نمایشگاه کتاب فیلم سینمایی تلویزیون عفاف و حجاب جواد عزتی سینمای ایران سینما دفاع مقدس فیلم موسیقی رسانه ملی
مکزیک
رژیم صهیونیستی فلسطین حماس غزه جنگ غزه نوار غزه انگلیس ترکیه ایالات متحده آمریکا اوکراین یمن افغانستان
پرسپولیس فوتبال سپاهان تراکتور علی خطیر لیگ برتر لیگ برتر ایران رئال مادرید لیگ قهرمانان اروپا باشگاه استقلال بایرن مونیخ باشگاه پرسپولیس
هوش مصنوعی تلفن همراه اینستاگرام اپل گوگل همراه اول پهپاد واکسن تبلیغات ناسا نخبگان
سرطان خواب فشار خون کبد چرب بیماری قلبی دیابت کاهش وزن مسمومیت داروخانه