آموزش SQL Server2012

«و عنده مفاتح الغیب لا یعلمها الا هو»

سیستم مدیریت امنیت اطلاعات (ISMS)

امروزه اطلاعات یکی از با ارزش ترین دارایی های شرکتها می باشد. فاش شدن اطلاعات بازرگانی یا خرابى در  سیستم اطلاعات براى شرکت شما چه مفهومى دارد؟ چنانچه از نقطه نظر تهدید مداوم  و توسعه شرکتتان، این ریسک ها برایتان مهم هستند، باید از طریق مشاوره یک سیستم مدیریت امنیت اطلاعات به دنبال راه حلى باشید.

به وسیله ی دریافت گواهی این سیستم می توانید اعتماد شرکایتان را براى دسترسی به سیستم های اطلاعات آنها یا برای تسهیم دوجانبه ی داده و اطلاعات، کسب نمایید.
تعدادی از شرکت های معروف، ریسک های مربوط به استفاده گسترده و ارتباط با سیستم های اطلاعات الکترونیکی را تجزیه و تحلیل کرده و پی بردند که مهمترین دلیل سوء استفاده، فاش شدن یا نقص اطلاعاتIT، مربوط به فقدان کنترل های ابتدایی مى باشد.
تامین امنیت اطلاعات نیاز حیاتی هر سازمانی است. یک سیستم استاندارد و کارآمد مدیریت امنیت اطلاعات
(ISMS)، ضمن مقابله با تهدیدات امنیتی، آمادگی سازمان را در مواجهه و واکنش به وقایع امنیتی احتمالی، تضمین می نماید.

 

اساس سیستم مدیریت امنیت اطلاعات

سیستم جامع مدیریت امنیت اطلاعات بر سه پایه استوار است:
1)     سیاست ها و دستورالعملهای امنیتی
2)     تکنولوژی و محصولات امنیتی
3)     عوامل اجرایی

سیاستها و دستورالعملهای امنیتی

طرحها و برنامه های مرتبط برای نحوه محافظت از سیستم های اطلاعاتی و داده های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.

تکنولوژی و محصولات امنیتی

این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال کنترل، نظارت و دستورالعملها می‌باشد. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند.

عوامل اجرایی

افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.

استانداردهای سیستم مدیریت امنیت اطلاعات

  • ISO /IEC 17799

همزمان با بکارگیری استانداردBS 7799 در برخی سازمانها و همچنین جلوگیری از گسترش آن در برخی کشورها، تقاضا برای انتشار یک استاندارد امنیت اطلاعات تحت نظر یک موسسه مشخص بین المللی نظیر ISO افزایش یافت و منجر به «پیگیری سریع» بخش اول BS 7799 توسط موسسه بین المللی استاندارد (ISO) شد و با انتشار آن برای نخستین بار توسط موسسه ISO تحت عنوان ISO/IEC 17799 : 2000 در دسامبر سال ۲۰۰۰به اوج خود رسید.

  • ISO 27001

بخش اولBS 7799 به دلیل اینکه در تمام سازمانها و در هر نقطه ای ازجهان قابل انطباق و استفاده بود، برای استاندارد شدن توسط موسسه بین المللی استاندارد ISO در قالب ISO 17799 و سپس در قالب ISO 27002 پذیرفته شد. سپس با توجه به گسترش سیستم های مدیریت امنیت اطلاعات و نیاز به یک استاندارد مخصوص به آن، بخش دوم BS 7799 نیز در قالب ISO 27001 توسط موسسه بین المللی استاندارد ارائه گردید.

 

· سایر استانداردهای سری ISO27001

ISO27002، ISO27003، ISO 27004، ISO 27005، ISO 27011و سایر


مزیت پیاده سازی استانداردISO 27001 درسازمانها

استانداردISO 27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

  • اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
  • اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
  • قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
  • ایجاد اطمینان نزد مشتریان و شرکای تجاری
  • امکان رقابت بهتر با سایر شرکت ها
  • ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
  • بیان نمودن ایده ها در خارج از سازمان (بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید)

بنابراین، این استاندارد علاوه بر داشتن رویکردی فرآیندگرایانه و مشتری محوری، رویکردی تجاری دارد. یک مشاور امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

  • ارائه مشاوره در زمینه تهیه سیاستها و استراتژی ‌های امنیتی
  • طراحی و مستند‌سازی رویه ها و دستورالعمل های امنیتی مطابق با استانداردهای امنیت اطلاعات و قوانین موجود مثل شورای عالی انفورماتیک (BS7799/ISO17799 )
  • ارائه مشاوره و خدمات فنی جهت دریافت گواهینامه امنیت اطلاعات
  • ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات
  • شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی
  • طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری
  • ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات شامل:
  1. خدمات بررسی آسیب‌پذیری ‌های امنیتی
  2. راهکارهای مدیریت آسیب‌پذیری ‌های امنیتی

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر تعداد معدودی سازمان اقدام به پیاده سازی راهکارهای امنیتی و استقرار استاندارد مدیریت امنیت اطلاعات نموده اند.

ISMSفازهای

بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات و مطابق با سند افتا، هر سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:

  • اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
  • طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
  • طرح امنیت فضای تبادل اطلاعات سازمان
  • طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات سازمان
  • برنامه آگاهی رسانی امنیتی به پرسنل سازمان
  • برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات سازمان

بر اساس این استاندارد، شرکت گیلاس کامپیوتر در جهت تهیه مستندات فوق فازبندیهایی را بصورت زیر در نظر می گیرد:

فاز صفر:ارزیابی اولیه از وضع موجود سازمان در حوزه فناوری اطلاعات و فعالیت­های آن

فازاول: تعیین اهداف،‌ راهبردها و سیاست‌های امنیتی سازمان (در حوزه کاربرد –Scope)

فاز دوم: طرح تحلیل مخاطرات امنیتی

فاز سوم: ارائه طرح جامع امنیت شبکه و اطلاعات

فاز چهارم: انتخاب کنترل­های مناسب استاندارد ISO 27001برای سازمان

فاز پنجم: ممیزی داخلی سازمان (در حوزه کاری–Scope)

فاز ششم: صدور گواهینامه بین‌المللی استاندارد ISO 27001(بسته به دامنه کاربرد نهایی جهت صدور گواهینامه متغیر خواهدبود.)

+ سید حسین موسوی ; ٢:٥۸ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()