استاندارد BS7799/ISO17799

با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستم‌هاي آسيب‌پذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوه‌برآن بايد قادر به طرح‌ريزي برنامه‌هاي بازيابي و جبران خسارت هم باشند. ايجاد يك نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بكارگيري دستاورد‌هاي نوين فناوري اطلاعات و برخورداري از مزاياي انكارناپذير آن در چنين سازمانهايي مي‌شود.
خوشبختانه قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس مي‌گذرد. در اين مدت استاندارد فوق‌الذكر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بين‌المللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نيز يك بازنگري در بخش دوم استانداردBS7799 به‌منظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامين‌كنندگان و راحتي كاربري و مفاهيم مرتبط با امنيت برنامه‌هاي موبايل بر روي اين استاندارد در حال انجام است كه پيش‌بيني مي‌شود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجع‌به استاندارد مذكور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين مي‌شود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينكه اطلاعات مي‌توانند تنها در دسترس كساني باشند كه مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينكه كاربران مجاز در هر زمان كه نياز داشته باشند، امكان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعه‌اي از كنترلها كه شامل سياستها ، عمليات ، رويه‌ها ، ساختارهاي سازماني و فعاليتهاي نرم‌افزاري است، حاصل مي‌شود. اين كنترل‌ها بايد به‌منظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظام‌نامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساخت‌هاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حالي‌كه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيه‌هايي است كه ?? هدف امنيتي و ??? كنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي به‌قرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيه‌هاي مديريتي به‌منظور افزايش امنيت اطلاعات است. اين بخش در قالب يك سند سياست امنيتي شامل مجموعه‌اي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم مي‌شود.
-2 امنيت سازماني: اين بعد اجرايي كردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
– كميته مديريت امنيت اطلاعات
– متصدي امنيت سيستم اطلاعاتي
– صدور مجوزهاي لازم براي سيستم‌هاي پردازش اطلاعات
– بازنگري مستقل تاثيرات سيستم‌هاي امنيتي
– هدايت دسترسي تامين‌كنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقه‌بندي و كنترل داراييها: طبقه‌بندي داراييها و سرمايه‌هاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايه‌هاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات كه به بخشهاي زير قابل تقسيم است :
– كنترل پرسنل توسط يك سياست سازماني كه با توجه به قوانين و فرهنگ حاكم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ مي‌شود.
– مسئوليت پرسنل كه بايد براي ايشان بخوبي تشريح شود.
– شرايط استخدام كه در آن پرسنل بايد به‌وضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
– تعليمات كه شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه مي‌شود.
-5 امنيت فيزيكي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي داده‌ها و تسهيلات مربوط كه شامل بخشهاي امنيت فيزيكي محيط ، كنترل دسترسيها ، امنيت مكان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي مي‌شود .
-6 مديريت ارتباطات و عمليات: كسب اطمينان از عملكرد مناسب و معتبر تجهيزات پردازش اطلاعات كه شامل روشهاي اجرايي‌، كنترل تغييرات ، مديريت وقايع و حوادث‌، تفكيك وظايف و برنامه‌ريزي ظرفيتهاي سازماني مي‌شود.
-7 كنترل دسترسي: كنترل نحوه و سطوح دسترسي به اطلاعات كه در شامل مديريت كاربران ، مسئوليتهاي كاربران، كنترل دسترسي به شبكه، كنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستم‌ها: اطمينان از اينكه امنيت جزء جدانشدني سيستم‌هاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستم‌ها و امنيت كاربردي‌، استانداردها و سياستهاي رمزنگاري‌، انسجام سيستم‌ها و امنيت توسعه است.
-9 تداوم و انسجام كسب و كار: تقليل تاثيرات وقفه‌هاي كسب و كار و محافظت فرايند‌هاي اساسي سازمان از حوادث عمده و شكست.
-10 همراهي و التزام: اجتناب از هرگونه پيمان‌شكني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم كننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات مي‌پردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام مي‌پذيرد.

http://pasakgroup.com

درباره pasakgroup

پیشنهاد ما به شما

پنج اشتباه متداول درباره امنیت شبکه های بی سیم

با ظهور شاخه های جدید فناوری بی سیم، تعداد شرکت هایی که با استفاده از …