یکشنبه, ۱۷ تیر, ۱۴۰۳ / 7 July, 2024
استانداردهای ISO IEC ۱۷۷۹۹ و BS۷۷۹۹ ۲
مقدمه:
استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند. این استانداردها به دو بخش عمده تقسیم می گردد:
الف)یک مجموعه قانونمند از متد سنجش امنیتی(ISO/IEC ۱۷۷۹۹ )
ب) یک نظام نامه برای مدیریت امنیت اطلاعات( BS ۷۷۹۹-۲ ).
بطور اساسی یک استاندارد امنیت اطلاعات عمومی مورد تایید بین المللی است.هدف از ایجاد این استانداردها این بوده است که مانند یک منبع منفرد برای تعریف محدوده ای از کنترلهای مورد نیاز برای اغلب موقعیتهایی که سیستمهای اطلاعاتی وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهیلاتی برای رسیدن به انجام تجارت در محیطی قابل اطمینان فراهم می آورد.
●تاریخچه:
▪ اولین نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) برای بررسی ارائه گردید.
▪ تحت یک عنوان مشخص و بصورت بازنگری شده با عنوان نسخه اول BS ۷۷۹۹ در فوریه سال ۱۹۹۵ منتشر گردید.
▪ نسخه ارائه شده بصورت فراگیر اهداف اولیه را تحت پوشش قرار نمیداد و دارای مشکلات ذیل بود:
▪ به اندازه کافی انعطاف پذیر نبود.
▪کلیدهای کنترلی را خیلی ساده بیان کرده بود.
▪تحت فشار مشکلات دیگری انتشار داده شده بود ( مانند مشکل سال ۲۰۰۰ ).
▪تجدید نظر زیادی می بایست صورت می پذیرفت که در نتیجه نسخه دوم BS ۷۷۹۹ در ماه می سال ۱۹۹۹ منتشر گردید.
▪ شماهای رسمی و نظام نامه ارائه گواهینامه و اعتبارنامه های آن در همان سال منتشر گردید.
▪در همان سال ابزاری که از این استاندارد حمایت می نمودند پدیدار گردیدند.
▪همزمان مؤسسه ISO با سرعت زیادی در این راه پیشقدم گردید.
▪ قسمت دوم استاندارد BS ۷۷۹۹ در سال ۲۰۰۲ میلادی ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO ۱۷۷۹۹ در همان سال منتشر گردید.
الف) استانداردISO/IEC ۱۷۷۹۹:
این استاندارد در ده بخش و بیش از ۱۲۷ نوع متد جهت سنجش امنیت سیستم سازماندهی گردیده است.هر بخش بر روی یک سرفصل یا محدوده عملکرد مجزا تعریف شده است. ده عنوان و اهداف آن عبارتند از:
۱) طرح تداوم خدمات تجاری:
اهداف این بخش شامل جلوگیری از منقطع شدن فعالیتهای تجاری و فرایندهای بحرانی اقتصادی بر اثر حوادث ناگوار و یا ناتوانی در ارائه خدمات در سطح وسیع می باشد.
۲) کنترل بر نحوه دستیابی به سیستم:
اهداف این بخش شامل:
۲-۱ )کنترل دسترسی به اطلاعات.
۲-۲ )جلوگیری از دستیابی غیر مجاز به سیستم اطلاعاتی.
۲-۳ )ایجاد تضمین در نحوه خدمت رسانی حمایت شده شبکه.
۲-۴ )جلوگیری از دستیابی غیر مجاز به رایانه ها.
۲-۵ )بازرسی و نظارت بر فعالیتهای غیر مجاز.
۲-۶ )اطمینان حاصل کردن از امنیت اطلاعات در زمانی که در شبکه از تجهیزات شبکه بیسیم و یا تلفن سیار استفاده می گردد.
۳ )پشتیبانی کردن و توسعه دادن سیستم :
اهداف این بخش شامل :
۳-۱ )اطمینان از امکانات امنیتی ایجاد شده در درون سیستمهای قابل کنترل.
۳-۲ )ممانعت از گم شدن ، تغییر و سؤاستفاده از داده های کاربران در سیستم های کاربردی.
۳-۳ )حمایت از جنبه های محرمانگی ، صحت و تمامیت اطلاعات.
۳-۴ )اطمینان از پروژه های IT و فعالیتهای حمایتی آن که در یک چارچوب امن هدایت خواهند شد.
۳-۵ )پشتیبانی امنیتی از داده ها و نرم افزارهای کاربردی.
۴ )ایجاد امنیت فیزیکی و محیطی:
اهداف این بخش شامل ممانعت از دسترسی غیر مجاز ، آسیب رسانی و دخالت در بنیادهای اقتصادی و اطلاعات ؛ ممانعت از گم شدن ، آسیب دیدن و مصالحه بر سر دارایی ها برای تعلیق فعالیتهای اقتصادی مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن یا سرقت اطلاعات و همچنین امکانات پردازش اطلاعات می گردد.
۵ )مورد قبول واقع شدن:
اهداف این بخش شامل :
۵-۱ )اجتناب از بروز هرگونه رخنه ای که مجرمانه بوده ویا قوانین مدنی ، قوانین موضوعی ، قوانین تنظیمی یا قراردادهای الزام آور و هر نوع نیاز امنیتی را مورد هدف قرار دهد.
۵-۲ )ایجاد اطمینان از همخوانی سیستمها با سیاستهای امنیتی و استانداردهای سازمانی.
۵-۳ )به حد اکثر رساندن تاثیرات کارا و به حداقل رساندن فرایندهای اخلال کننده سیستم مراقبت امنیتی وارد شده بر سیستم یا صادر شده از سیستم.
۶ )امنیت شخصی:
اهداف این بخش شامل کاهش خطرات ناشی از خطاهای انسانی ، دزدی ، تقلب یا سؤاستفاده از امکانات ؛ ایجاد اطمینان از اینکه کاربران از تهدیدات امنیتی موجود بر روی اطلاعات واقف و نگران بوده و در روشهای کاری معمول خود ، در جهت حمایت از سیاستهای امنیتی ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهای ناشی از بروز حوادث امنیتی و سؤ عمل و همچنین درس گرفتن از این رخدادهای امنیتی می باشد.
۷ )ایجاد امنیت سازمانی:
اهداف این بخش شامل :
۷-۱ )مدیریت امنیت اطلاعات در محدوده شرکت.
۷-۲ )پشتیبانی از امکانات امنیت فرایندهای اطلاعاتی سازمانی و دستیابی به داراییهای اطلاعاتی به واسطه عوامل ثالث ( Third Party ).
۷-۳ )پشتیبانی از امنیت اطلاعات در زمانی که وظیفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان دیگری سپرده شده باشد.
۸ )مدیریت رایانه و عملیات:
اهداف این بخش شامل :
۸-۱ )ایجاد اطمینان از عملیات موجود و امنیتی بر روی امکانات پردازش اطلاعات.
۸-۲ )به حداقل رساندن خطرات ناشی از ناتوانی های سیستم.
۸-۳ )حمایت از تمامیت اطلاعات و نرم افزار.
۸-۴ )پشتیبانی از در دسترس بودن و تمامیت پردازش اطلاعات و ارتباطات.
۸-۵ )ایجاد اطمینان از امن نگهداشتن اطلاعات در شبکه ها و حمایت از زیربنای پشتیبانی کننده.
۸-۶ )ممانعت از آسیب رسیدن به دارایی ها و تعلیق فعالیتهای اقتصادی.
۸-۷ )ممانعت از گم شدن ، تغییر دادن و سؤاستفاده از اطلاعات در حال مبادله مابین سازمانها.
۹ )کنترل و طبقه بندی داراییها:
اهداف این بخش شامل پشتیبانی مناسب حمایتی از داراییهای مشترک و اطمینان از اینکه داراییهای اطلاعاتی در یک سطح مناسب امنیتی دریافت می گردد ، می باشد.
۱۰ )امنیت اطلاعاتی:
اهداف این بخش شامل ایجاد مدیریت هدفمند و حمایتی برای امنیت اطلاعات می گردد.
نویسنده: افسانه كربلایی زاده
ناشر : مهندسی شبكه همكاران سیستم
مسعود پزشکیان انتخابات انتخابات ریاست جمهوری پزشکیان انتخابات ریاست جمهوری 1403 ایران سعید جلیلی انتخابات ریاست جمهوری چهاردهم دولت چهاردهم انتخابات ریاست جمهوری ۱۴۰۳ انتخابات 1403 ریاست جمهوری
تهران هواشناسی کنکور قتل آلودگی هوا شهرداری تهران سلامت سازمان هواشناسی پلیس راهور آموزش و پرورش قوه قضاییه پلیس
قیمت دلار خودرو قیمت خودرو قیمت طلا بانک مرکزی بازار خودرو بورس بازار سرمایه واردات خودرو حقوق بازنشستگان دلار ایران خودرو
عاشورا کربلا تلویزیون سینمای ایران سینما نقاشی امام حسین (ع) رامبد جوان کتاب هنرمندان سریال تئاتر
کنکور ۱۴۰۳ طب سنتی آزمون سراسری
رژیم صهیونیستی فلسطین جنگ غزه غزه روسیه اسرائیل انگلیس آمریکا جو بایدن چین دونالد ترامپ حماس
پرسپولیس فوتبال استقلال یورو 2024 خوان کارلوس گاریدو باشگاه پرسپولیس تیم ملی آلمان تیم ملی اسپانیا لیگ برتر علیرضا بیرانوند لیگ برتر ایران کریستیانو رونالدو
هوش مصنوعی سامسونگ موبایل ناسا نخبگان گوگل استاندارد باتری
رژیم غذایی تب دانگ کاهش وزن پوکی استخوان آلزایمر سردرد پیاده روی