پنجشنبه, ۲۰ دی, ۱۴۰۳ / 9 January, 2025
مدیریت حفاظت امنیت اطلاعات
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی اشاره نمود. بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساختهائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد. از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاههای دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
۱) سیستم مدیریت امنیت اطلاعات (ISMS)
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمنسازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمیباشد و لازم است این امر بصورت مداوم در یک چرخه ایمنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام گیرد.برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
ـ تهیه طرحها و برنامههای امنیتی موردنیاز سازمان
ـ ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
ـ اجرای طرحها و برنامههای امنیتی سازمان
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی ایمنسازی فضای تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بینالمللی استاندارد و گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بینالمللی استاندارد از برجستهترین استاندادرها و راهنماهای فنی در این زمینه محسوب میگردند.
▪ در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
ـ تعیین مراحل ایمنسازی و نحوه شکلگیری چرخه امنیت اطلاعات و ارتباطات سازمان
ـ جزئیات مراحل ایمنسازی و تکنیکهای فنی مورد استفاده در هر مرحله
ـ لیست و محتوای طرحها و برنامههای امنیتی موردنیاز سازمان
ـ ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
کنترلهای امنیتی موردنیاز برای هر یک از سیستمهای اطلاعاتی و ارتباطی سازمان
۱-۲) مروری بر استانداردهای مدیریت امنیت اطلاعات
▪ استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
ـ استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس
ـ استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بینالمللی استاندارد
ـ گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بینالمللی استاندارد
در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.
۱-۲-۳) استاندارد BS۷۷۹۹ موسسه استاندارد انگلیس
استاندارد BS۷۷۹۹ اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS۷۷۹۹:۱) در سال ۱۹۹۵ منتشر شد. نسخه دوم این استاندارد (BS۷۷۹۹:۲) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS۷۷۹۹:۲۰۰۲) نیز در سال ۲۰۰۲ و در دو بخش منتشر گردید.
● بخش اول
در این بخش از استاندارد، مجموعه کنترلهای امنیتی موردنیاز سیستمهای اطلاعاتی و ارتباطی هر سازمان، در قالب ده دستهبندی کلی شامل موارد زیر، ارائه شده است:
۱) تدوین سیاست امنیتی سازمان
در این قسمت، به ضرورت تدوین و انتشار سیاستهای امنیتی اطلاعات و ارتباطات سازمان ، بنحوی که کلیه مخاطبین سیاستها در جریان جزئیات آن قرار گیرند، تاکید شده است همچنین جزئیات و نحوه نگارش سیاستهای امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است
۲) ایجاد تشکیلات تامین امنیت سازمان
در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیتهای هر یک از سطوح، ارائه شده است.
۳) دستهبندی سرمایهها و تعیین کنترلهای لازم
در این قسمت، ضمن تشریح ضرورت دستهبندی اطلاعات سازمان، به جزئیات تدوین راهنمای دستهبندی اطلاعات سازمان پرداخته و محورهای دستهبندی اطلاعات را ارائه نموده است.
۴) امنیت پرسنلی
در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیتهای پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.
۵) امنیت فیزیکی و پیرامونی
در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.
۶) مدیریت ارتباطات
در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستمها، محافظت در مقابل نرمافزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبانگیری از اطلاعات، مدیریت شبکه، محافظت از رسانهها و روالها و مسئولیتهای مربوط به درخواست، تحویل، تست و سایر موارد تغییر نرمافزارها ارائه شده است.
۷) کنترل دسترسی
در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیتهای کاربران، ابزارها و مکانیزمهای کنترل دسترسی در شبکه، کنترل دسترسی در سیستمعاملها و نرمافزارهای کاربردی، استفاده از سیستمهای مانیتورینگ و کنترل دسترسی در ارتباط از راه دور به شبکه ارائه شده است.
۸) نگهداری و توسعه سیستمها
در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستمها، امنیت در سیستمهای کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستمها، ارائه شده است.
۹) مدیریت تداوم فعالیت سازمان
در این قسمت، رویههای مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرحهای تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرحهای تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.
۱۰) پاسخگوئی به نیازهای امنیتی
در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاستهای امنیتی موردنیاز و ابزارها و مکانیزمهای بازرسی امنیتی سیستمها، ارائه شده است.
نویسنده: علی مقامی
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست