+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: ISMS چیست؟ (/showthread.php?tid=1428)
ISMS چیست؟ - saberi - ۹۵/۵/۱۹
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمنسازى فضاى تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضاى تبادل اطلاعات سازمانها، یکباره مقدور نمىباشد و لازم است این امر بصورت مداوم در یک چرخه ایمنسازى شامل مراحل طراحى، پیادهسازى، ارزیابى و اصلاح، انجام گیرد.
براى این منظور لازم است هر سازمان بر اساس یک متدولوژى مشخص، اقدامات زیر را انجام دهد:
با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت ۱۰۰% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
در حال حاضر، مجموعهاى از استانداردهاى مدیریتى و فنى ایمنسازى فضاى تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتى bs7799 موسسه استاندارد انگلیس، استاندارد مدیریتى ISO/IEC 17799 موسسه بینالمللى استاندارد و گزارش فنى ISO/IEC TR 13335 موسسه بینالمللى استاندارد از برجستهترین استانداردها و راهنماهاى فنى در این زمینه محسوب مىگردند.
در این استانداردها و در راس آنها ISO270001، نکات زیر مورد توجه قرار گرفته شده است:
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات عبارتند از :
۱- تهیه طرحها و برنامههای امنیتی مورد نیاز سازمان
۲- ایجاد تشکیلات مورد نیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
۳- اجرای طرحها و برنامههای امنیتی سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
۱. استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس که شامل ۲ بخش است :
BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب ۱۰ دسته بندی کلی زیر است :
۱. تدوین سیاست امنیتی سازمان
۲. ایجاد تشکیلات تامین امنیت سازمان
۳. دستهبندی سرمایهها و تعیین کنترلهای لازم
۴. امنیت پرسنلی
۵. امنیت فیزیکی و پیرامونی
۶. مدیریت ارتباطات
۷. کنترل دسترسی
۸. نگهداری و توسعه سیستمها
۹. مدیریت تداوم فعالیت سازمان
۱۰. پاسخگوئی به نیازهای امنیتی
BS7799:2 که در سال ۲۰۰۵ به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل ۴ مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
![[تصویر: do.php?img=1807]](http://romaak.ir/up/do.php?img=1807)
۲. استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال ۲۰۰۰ به این اسم نامیده شد.
۳. گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد که این گزارش فنی در قالب ۵ بخش مستقل در فواصل سالهای ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بین المللی استاندارد منتشر شده است.اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد و شامل مراحل زیر است :
۱) تعیین اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
۲) تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
۳) انتخاب حفاظ ها و ارائه طرح امنیت
۴) پیادهسازی طرح امنیت
۵) پشتیبانی امنیت فضای تبادل اطلاعات سازمان
مستندات ISMS
اجزاء تشکیلات امنیت
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد :
نحوه پیاده سازی ISMS در سازمانها
سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.
مشکلات موجود در زمینه پیاده سازی ISMS
۱- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
۴- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.
۵- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات )انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
استانداردISO27001 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاستهای متناسب با سازمان و همچنین پیاده سازی کنترل های مختلف، اطلاعات سازمان را ایمن می سازد. این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرور ها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت.
استانداردISO27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS
این ده گروه کنترلی عبارتند از :
۱- سیاستهای امنیتی
۲- امنیت سازمان
۳- کنترل و طبقه بندی دارایی ها
۴- امنیت فردی
۵- امنیت فیزیکی
۶- مدیریت ارتباط ها
۷- کنترل دسترسی ها
۸- روشها و روالهای نگهداری و بهبود اطلاعات
۹- مدیریت تداوم کار سازمان
۱۰-سازگاری با موارد قانونی
نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استانداردISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.
پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعات
متن زیر یک تست سریع و آموزنده می باشد که به برخی از سوالات شما در زمینه امنیت اطلاعات پاسخ می دهد. همانطور که خواهید دید به صورت پرسش و پاسخ بیان شده است. باب امنیت اطلاعات اغلب پیچیده می باشد. بر همین اساس این مبحث به برخی از سوالاتی که ممکن است برای شما ایجاد شود ، پاسخ داده است و پیشنهاداتی را برای آن ارائه داده است تا به سادگی قبول کنید که سیستم های شما نیز ممکن است در معرض خطر قرار گیرد.
۱– اگر امنیت اطلاعات را افزایش دهیم ، کارایی کاهش پیدا می کند. درست یا غلط ؟
درست- امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن است به روالهای موثر اضافی از جمله (تکنولوژی) و (سرمایه گذاری) نیاز داشته باشد.افزایش امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر ممکن است در کارایی افراد و شبکه شما نمود پیدا کند. امنیت اطلاعات ممکن است به معنی قفل کردن ایستگاهای کاری و محدود کردن دسترسی به اتاقهای کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت اطلاعات می پردازد به صورت اندیشمندانه ای بین خطرات ( Risks ) و کارآیی توازن برقرار کند.
۲- حملاتی که توسط نفوذگران خارجی انجام می گیرد نسبت به حملات کارمندان داخلی هزینه بر تر و خسارت بار تر می باشد. درست یا غلط ؟
غلط- حملات کارمندان داخلی نوعا بسیار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستیتو امنیت کامپیوتر (Computer Security Institute ) میانگین حملات خارجی ۵۷۰۰۰ دلار و میانگین هزینه حملات داخلی ۲۷۰۰۰۰۰ دلار برآورد شده است. کارمندان داخلی، اطلاعات محرمانه بیشتری درباره سیستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعالیت های دیده بانی(Monitoring ) را نام برد.
۳- پیکربندی یک دیواره آتش (Firewall ) به صورت کامل ما را در مقابل حملات خارجی ایمن می کند. درست یا غلط ؟
غلط- آمارهای انستیو امنیت کامپیوتر نشان می دهد که حجم قابل توجهی از شرکتهایی که از دیواره آتش استفاده کرده اند هنوز از دست نفوذگران بد اندیش در امان نمانده اند. اولین کارکرد دیواره آتش بستن پورتهای مشخص می باشد به همین دلیل در بعضی از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز می تواند یک خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد. ترافیکی که از میان یک پورت می گذرد را باید همیشه به صورت سختگیرانه ای دیده بانی کرد تا تمامی تلاشهایی که منجر به نفوذ در شبکه می شود شناسایی و گزارش شود. یک دیواره آتش به تنهایی نمی تواند یک راه حل جامع باشد و باید از آن به همراه تکنولوژی های (IDS (Intrusion Detection System و روشهای ترکیبی استفاده کرد.
۴- اگر دیواره آتش من به صورت مناسبی پیکر بندی شود دیگر نیازی به دیده بانی بیشتر ترافیک شبکه نمی باشد. درست یا غلط ؟
غلط- همیشه نفوذگران خبره می توانند یک دیواره آتش را در هم شکنند و به آن نفوذ کنند. به همین دلیل دیده بانی کلیدی برای هر برنامه امنیت اطلاعات می باشد. فراموش نکنید که دیواره آتش نیز ممکن است هک شود و IDS ها راهی می باشند برای اینکه بدانید چه سیستم هایی در شرف هک شدن می باشند.
۵- دیواره های آتش باید به گونه ای پیکربندی شوند که علاوه بر ترافیک ورودی به شبکه، ترافیک های خروجی را نیز کنترل کنند. درست یا غلط ؟
درست – بسیاری از سازمانها توجه زیادی به محدود کردن ترافیک ورودی خود دارند، اما در مقایسه توجه کمتری در مسدود کردن ترافیک خروجی از شبکه را دارند. خطرات زیادی ممکن است در درون سازمان وجود داشته باشد. یک کارمند ناراضی یا یک نفوذگر که شبکه شما را در دست گرفته است، ممکن است که بخواهد اطلاعات حساس و محرمانه شما را برای شرکت رقیب بفرستد.
۶- امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط ؟
غلط- امنیت اطلاعات یک پی آمد تجاری – فرهنگی می باشد. یک استراتژی جامع امنیت طلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری ، کنترل دسترسی های فیزیکی، کنترل دسترسی های تکنیکی. این عناصر اگر به صورت مناسبی اجرا شود مجموعا یک فرهنگ امنیتی ایجاد می کند. بیشتر متخصصین امنیتی معتقدند که تکنولوژیهای امنیتی فقط کمتر از ۲۵ درصد مجموعه امنیت را شامل می شوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه نمود دارد ،( افراد ) می باشند. (کاربر انتهایی) افراد یکی از ضعیف ترین حلقه ها، در هر برنامه امنیت اطلاعات می باشند.
۷- هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین می روند. درست یا غلط ؟
غلط- به طور واضح غلط است. برای شهادت غلط بودن این موضوع می توان به شرکت Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای کامپیوتری برای خود ایجاد کرده بود. بر طبق گفته های FBI حجم فعالیتهای خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد کرد.
۸- نرم افزارهای بدون کسب مجوز (Unauthorized Software ) یکی از عمومی ترین رخنه های امنیتی کاربران داخلی می باشد. درست یا غلط ؟
درست- رخنه ها (Breaches ) می تواند بدون ضرر به نظر بیاید ، مانند Screen Saver های دریافت شده از اینترنت یا بازی ها و … نتیجه این برنامه ها ، انتقال ویروس ها ، تروجانها و … می باشد. اگر چه رخنه ها می تواند خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که می تواند یک در پشتی (Backdoor ) قابل سوءاستفاده ای را در شبکه ایجاد کند که به وسیله دیواره آتش نیز محافظت نمی شود.بر طبق تحقیقاتی که توسط ICSA.net و Global Integrity انجام شده است بیش از ۷۸ درصد گزارش ها مربوط به ایجاد یک رخنه در نرم افزار دریافتی از افراد یا سایتهای ناشناخته است.
۹- خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد. درست یا غلط ؟
درست- درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می کند. سازمانها نیازمند این می باشند که مداوم سایت های اطلاع رسانی را بازبین کنند تا به تهدید های احتمالی شبکه های خود خیلی سریع پی ببرند و در مقابل آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد جلوگیری کنند.
۱۰- رمزهای عبور می تواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند ، بگیرد. درست یا غلط ؟
غلط- کلمات رمز نوعا خیلی کم می توانند جلو کارمندان داخلی و خبره را بگیرند. بسیاری از سازمانها تمامی تلاش خود را روی امور تکنیکی امنیت اطلاعات صرف می کنند و در برخورد با مسائل اداری و کنترل دسترسی فیزیکی لازم برای ایجاد یک محافظت مناسب، با شکست مواجه می شوند.
۱۱- یک نام کاربری و یک رمز عبور می تواند شبکه ما را از ارتباط با یک شبکه غیردوستانه(Unfriendly ) محافظت کند. درست یا غلط ؟
غلط- یک ارتباط فیزیکی و یک آدرس شبکه همه آنچیزی می باشد که یک نفوذگر برای نفوذ در شبکه نیاز دارد. با یک ارتباط می توان تمامی ترافیک شبکه را جذب کرد (به این کار Sniffing می گویند) . مهاجم قادر است با استفاده از تکنیکهای Sniffing کل ترافیک حساس شبکه، شامل ترکیباتی از نام کاربری/رمز عبور را جذب کند و در حملات بعدی از آنها استفاده کند.
۱۲- هیچ کسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه . درست یا غلط ؟
غلط- هیچ کس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد ، حتی مدیر امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند. برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده می شود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که کاربران رمزهای عبور خود را فراموش کرده اند در نظر گرفت.
۱۳- رمزگذاری باید برای ترافیک های داخلی شبکه به خوبی ترافیک خروجی شبکه انجام گیرد. درست یا غلط ؟
درست- به عنوان یک نکته باید گفت که فرآیند Sniffing (جذب داده هایی که روی شبکه رد و بدل می شود) به عنوان یک خطر امنیتی داخلی و خارجی مطرح می شود.
۱۴- امنیت داده ها در طول انتقال آنها هدف رمزگذاری است . درست یا غلط ؟
غلط- رمزگذاری همچنین می تواند جامعیت (Integrity )، تصدیق (Authentication ) و عدم انکار (nonrepudiation ) داده ها را نیز پشتیبانی کند.
براى این منظور لازم است هر سازمان بر اساس یک متدولوژى مشخص، اقدامات زیر را انجام دهد:
- تهیه طرحها و برنامههاى امنیتى موردنیاز سازمان
- ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضاى تبادل اطلاعات سازمان
- اجراى طرحها و برنامههاى امنیتى سازمان
با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت ۱۰۰% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
در حال حاضر، مجموعهاى از استانداردهاى مدیریتى و فنى ایمنسازى فضاى تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتى bs7799 موسسه استاندارد انگلیس، استاندارد مدیریتى ISO/IEC 17799 موسسه بینالمللى استاندارد و گزارش فنى ISO/IEC TR 13335 موسسه بینالمللى استاندارد از برجستهترین استانداردها و راهنماهاى فنى در این زمینه محسوب مىگردند.
در این استانداردها و در راس آنها ISO270001، نکات زیر مورد توجه قرار گرفته شده است:
- تعیین مراحل ایمنسازى و نحوه شکلگیرى چرخه امنیت اطلاعات و ارتباطات سازمان.
- جزئیات مراحل ایمنسازى و تکنیکهاى فنى مورد استفاده در هر مرحله
- لیست و محتواى طرحها و برنامههاى امنیتى موردنیاز سازمان
- ضرورت و جزئیات ایجاد تشکیلات سیاستگذارى، اجرائى و فنى تامین امنیت اطلاعات و ارتباطات سازمان
- کنترلهاى امنیتى موردنیاز براى هر یک از سیستمهاى اطلاعاتى و ارتباطى سازمان
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات عبارتند از :
۱- تهیه طرحها و برنامههای امنیتی مورد نیاز سازمان
۲- ایجاد تشکیلات مورد نیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
۳- اجرای طرحها و برنامههای امنیتی سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
۱. استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس که شامل ۲ بخش است :
BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب ۱۰ دسته بندی کلی زیر است :
۱. تدوین سیاست امنیتی سازمان
۲. ایجاد تشکیلات تامین امنیت سازمان
۳. دستهبندی سرمایهها و تعیین کنترلهای لازم
۴. امنیت پرسنلی
۵. امنیت فیزیکی و پیرامونی
۶. مدیریت ارتباطات
۷. کنترل دسترسی
۸. نگهداری و توسعه سیستمها
۹. مدیریت تداوم فعالیت سازمان
۱۰. پاسخگوئی به نیازهای امنیتی
BS7799:2 که در سال ۲۰۰۵ به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل ۴ مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
۲. استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال ۲۰۰۰ به این اسم نامیده شد.
۳. گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد که این گزارش فنی در قالب ۵ بخش مستقل در فواصل سالهای ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بین المللی استاندارد منتشر شده است.اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد و شامل مراحل زیر است :
۱) تعیین اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
۲) تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
۳) انتخاب حفاظ ها و ارائه طرح امنیت
۴) پیادهسازی طرح امنیت
۵) پشتیبانی امنیت فضای تبادل اطلاعات سازمان
مستندات ISMS
- اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
- طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
- طرح امنیت فضای تبادل اطلاعات دستگاه
- طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه
- برنامه آگاهی رسانی امنیتی به پرسنل دستگاه
- برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
اجزاء تشکیلات امنیت
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد :
- در سطح سیاستگذاری : کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
- در سطح مدیریت اجرائی : مدیر امنیت فضای تبادل اطلاعات دستگاه
- در سطح فنی : واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
نحوه پیاده سازی ISMS در سازمانها
سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.
مشکلات موجود در زمینه پیاده سازی ISMS
۱- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
۴- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.
۵- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات )انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
استانداردISO27001 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاستهای متناسب با سازمان و همچنین پیاده سازی کنترل های مختلف، اطلاعات سازمان را ایمن می سازد. این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرور ها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت.
استانداردISO27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
- قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
- ایجاد اطمینان نزد مشتریان و شرکای تجاری
- امکان رقابت بهتر با سایر شرکت ها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
- بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS
- ایجاد و تعریف سیاست ها:
در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد. روالها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می شود. مدیران کلیدی و کارشناسان برنامه ریز نقش کلیدی در گردآوری این سند خواهند داشت.
- تعیین محدوده عملیاتی:
یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه های کاری باشد لذا شروع پیاده سازی سیستم امنیت اطلاعات کاری بس دشوار است . برای جلوگیری از پیچیدگی پیاده سازی ، تعریف محدوده وScope صورت می پذیرScope می تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیینScope و الویت برای پیاده سازی استاندارد امنیت اطلاعات درScope خواهد بود. پس از پیاده سازی و اجرای کنترل هایISO27001 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده سازی آن در سایر قسمت ها می رسد که مرحله به مرحله اجرا خواهند شد.
- برآورد دارایی ها و طبقه بندی آنها:
برای اینکه بتوان کنترل های مناسب را برای قسمت های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی ها می باشیم. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی های سازمان تهیه شده و باتوجه به درجه اهمیت آن طبقه بندی خواهند شد.
- ارزیابی مخاطرات:
با داشتن لیست دارایی ها و اهمیت آن ها برای سازمان ، نسبت به پیش بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.
- مدیریت مخاطرات:
مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتی شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آنها می نماید.
- انتخاب کنترلهای مناسب:
این ده گروه کنترلی عبارتند از :
۱- سیاستهای امنیتی
۲- امنیت سازمان
۳- کنترل و طبقه بندی دارایی ها
۴- امنیت فردی
۵- امنیت فیزیکی
۶- مدیریت ارتباط ها
۷- کنترل دسترسی ها
۸- روشها و روالهای نگهداری و بهبود اطلاعات
۹- مدیریت تداوم کار سازمان
۱۰-سازگاری با موارد قانونی
- تعیین قابلیت اجرا:
نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استانداردISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.
پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعات
متن زیر یک تست سریع و آموزنده می باشد که به برخی از سوالات شما در زمینه امنیت اطلاعات پاسخ می دهد. همانطور که خواهید دید به صورت پرسش و پاسخ بیان شده است. باب امنیت اطلاعات اغلب پیچیده می باشد. بر همین اساس این مبحث به برخی از سوالاتی که ممکن است برای شما ایجاد شود ، پاسخ داده است و پیشنهاداتی را برای آن ارائه داده است تا به سادگی قبول کنید که سیستم های شما نیز ممکن است در معرض خطر قرار گیرد.
۱– اگر امنیت اطلاعات را افزایش دهیم ، کارایی کاهش پیدا می کند. درست یا غلط ؟
درست- امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن است به روالهای موثر اضافی از جمله (تکنولوژی) و (سرمایه گذاری) نیاز داشته باشد.افزایش امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر ممکن است در کارایی افراد و شبکه شما نمود پیدا کند. امنیت اطلاعات ممکن است به معنی قفل کردن ایستگاهای کاری و محدود کردن دسترسی به اتاقهای کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت اطلاعات می پردازد به صورت اندیشمندانه ای بین خطرات ( Risks ) و کارآیی توازن برقرار کند.
۲- حملاتی که توسط نفوذگران خارجی انجام می گیرد نسبت به حملات کارمندان داخلی هزینه بر تر و خسارت بار تر می باشد. درست یا غلط ؟
غلط- حملات کارمندان داخلی نوعا بسیار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستیتو امنیت کامپیوتر (Computer Security Institute ) میانگین حملات خارجی ۵۷۰۰۰ دلار و میانگین هزینه حملات داخلی ۲۷۰۰۰۰۰ دلار برآورد شده است. کارمندان داخلی، اطلاعات محرمانه بیشتری درباره سیستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعالیت های دیده بانی(Monitoring ) را نام برد.
۳- پیکربندی یک دیواره آتش (Firewall ) به صورت کامل ما را در مقابل حملات خارجی ایمن می کند. درست یا غلط ؟
غلط- آمارهای انستیو امنیت کامپیوتر نشان می دهد که حجم قابل توجهی از شرکتهایی که از دیواره آتش استفاده کرده اند هنوز از دست نفوذگران بد اندیش در امان نمانده اند. اولین کارکرد دیواره آتش بستن پورتهای مشخص می باشد به همین دلیل در بعضی از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز می تواند یک خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد. ترافیکی که از میان یک پورت می گذرد را باید همیشه به صورت سختگیرانه ای دیده بانی کرد تا تمامی تلاشهایی که منجر به نفوذ در شبکه می شود شناسایی و گزارش شود. یک دیواره آتش به تنهایی نمی تواند یک راه حل جامع باشد و باید از آن به همراه تکنولوژی های (IDS (Intrusion Detection System و روشهای ترکیبی استفاده کرد.
۴- اگر دیواره آتش من به صورت مناسبی پیکر بندی شود دیگر نیازی به دیده بانی بیشتر ترافیک شبکه نمی باشد. درست یا غلط ؟
غلط- همیشه نفوذگران خبره می توانند یک دیواره آتش را در هم شکنند و به آن نفوذ کنند. به همین دلیل دیده بانی کلیدی برای هر برنامه امنیت اطلاعات می باشد. فراموش نکنید که دیواره آتش نیز ممکن است هک شود و IDS ها راهی می باشند برای اینکه بدانید چه سیستم هایی در شرف هک شدن می باشند.
۵- دیواره های آتش باید به گونه ای پیکربندی شوند که علاوه بر ترافیک ورودی به شبکه، ترافیک های خروجی را نیز کنترل کنند. درست یا غلط ؟
درست – بسیاری از سازمانها توجه زیادی به محدود کردن ترافیک ورودی خود دارند، اما در مقایسه توجه کمتری در مسدود کردن ترافیک خروجی از شبکه را دارند. خطرات زیادی ممکن است در درون سازمان وجود داشته باشد. یک کارمند ناراضی یا یک نفوذگر که شبکه شما را در دست گرفته است، ممکن است که بخواهد اطلاعات حساس و محرمانه شما را برای شرکت رقیب بفرستد.
۶- امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط ؟
غلط- امنیت اطلاعات یک پی آمد تجاری – فرهنگی می باشد. یک استراتژی جامع امنیت طلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری ، کنترل دسترسی های فیزیکی، کنترل دسترسی های تکنیکی. این عناصر اگر به صورت مناسبی اجرا شود مجموعا یک فرهنگ امنیتی ایجاد می کند. بیشتر متخصصین امنیتی معتقدند که تکنولوژیهای امنیتی فقط کمتر از ۲۵ درصد مجموعه امنیت را شامل می شوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه نمود دارد ،( افراد ) می باشند. (کاربر انتهایی) افراد یکی از ضعیف ترین حلقه ها، در هر برنامه امنیت اطلاعات می باشند.
۷- هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین می روند. درست یا غلط ؟
غلط- به طور واضح غلط است. برای شهادت غلط بودن این موضوع می توان به شرکت Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای کامپیوتری برای خود ایجاد کرده بود. بر طبق گفته های FBI حجم فعالیتهای خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد کرد.
۸- نرم افزارهای بدون کسب مجوز (Unauthorized Software ) یکی از عمومی ترین رخنه های امنیتی کاربران داخلی می باشد. درست یا غلط ؟
درست- رخنه ها (Breaches ) می تواند بدون ضرر به نظر بیاید ، مانند Screen Saver های دریافت شده از اینترنت یا بازی ها و … نتیجه این برنامه ها ، انتقال ویروس ها ، تروجانها و … می باشد. اگر چه رخنه ها می تواند خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که می تواند یک در پشتی (Backdoor ) قابل سوءاستفاده ای را در شبکه ایجاد کند که به وسیله دیواره آتش نیز محافظت نمی شود.بر طبق تحقیقاتی که توسط ICSA.net و Global Integrity انجام شده است بیش از ۷۸ درصد گزارش ها مربوط به ایجاد یک رخنه در نرم افزار دریافتی از افراد یا سایتهای ناشناخته است.
۹- خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد. درست یا غلط ؟
درست- درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می کند. سازمانها نیازمند این می باشند که مداوم سایت های اطلاع رسانی را بازبین کنند تا به تهدید های احتمالی شبکه های خود خیلی سریع پی ببرند و در مقابل آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد جلوگیری کنند.
۱۰- رمزهای عبور می تواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند ، بگیرد. درست یا غلط ؟
غلط- کلمات رمز نوعا خیلی کم می توانند جلو کارمندان داخلی و خبره را بگیرند. بسیاری از سازمانها تمامی تلاش خود را روی امور تکنیکی امنیت اطلاعات صرف می کنند و در برخورد با مسائل اداری و کنترل دسترسی فیزیکی لازم برای ایجاد یک محافظت مناسب، با شکست مواجه می شوند.
۱۱- یک نام کاربری و یک رمز عبور می تواند شبکه ما را از ارتباط با یک شبکه غیردوستانه(Unfriendly ) محافظت کند. درست یا غلط ؟
غلط- یک ارتباط فیزیکی و یک آدرس شبکه همه آنچیزی می باشد که یک نفوذگر برای نفوذ در شبکه نیاز دارد. با یک ارتباط می توان تمامی ترافیک شبکه را جذب کرد (به این کار Sniffing می گویند) . مهاجم قادر است با استفاده از تکنیکهای Sniffing کل ترافیک حساس شبکه، شامل ترکیباتی از نام کاربری/رمز عبور را جذب کند و در حملات بعدی از آنها استفاده کند.
۱۲- هیچ کسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه . درست یا غلط ؟
غلط- هیچ کس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد ، حتی مدیر امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند. برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده می شود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که کاربران رمزهای عبور خود را فراموش کرده اند در نظر گرفت.
۱۳- رمزگذاری باید برای ترافیک های داخلی شبکه به خوبی ترافیک خروجی شبکه انجام گیرد. درست یا غلط ؟
درست- به عنوان یک نکته باید گفت که فرآیند Sniffing (جذب داده هایی که روی شبکه رد و بدل می شود) به عنوان یک خطر امنیتی داخلی و خارجی مطرح می شود.
۱۴- امنیت داده ها در طول انتقال آنها هدف رمزگذاری است . درست یا غلط ؟
غلط- رمزگذاری همچنین می تواند جامعیت (Integrity )، تصدیق (Authentication ) و عدم انکار (nonrepudiation ) داده ها را نیز پشتیبانی کند.