close
دانلود فیلم
استاندارد های ISO/IEC 17799 و BS7799-2

 

استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند.



مقدمه:

استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند. این استانداردها به دو بخش عمده تقسیم می گردد:

الف)یک مجموعه قانونمند از متد سنجش امنیتی(ISO/IEC ۱۷۷۹۹ )

ب) یک نظام نامه برای مدیریت امنیت اطلاعات( BS ۷۷۹۹-۲ ).

بطور اساسی یک استاندارد امنیت اطلاعات عمومی مورد تایید بین المللی است.هدف از ایجاد این استانداردها این بوده است که مانند یک منبع منفرد برای تعریف محدوده ای از کنترلهای مورد نیاز برای اغلب موقعیتهایی که سیستمهای اطلاعاتی وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهیلاتی برای رسیدن به انجام تجارت در محیطی قابل اطمینان فراهم می آورد.

●تاریخچه:

▪ اولین نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) برای بررسی ارائه گردید.

▪ تحت یک عنوان مشخص و بصورت بازنگری شده با عنوان نسخه اول BS ۷۷۹۹ در فوریه سال ۱۹۹۵ منتشر گردید.

▪ نسخه ارائه شده بصورت فراگیر اهداف اولیه را تحت پوشش قرار نمیداد و دارای مشکلات ذیل بود:

▪ به اندازه کافی انعطاف پذیر نبود.

▪کلیدهای کنترلی را خیلی ساده بیان کرده بود.

▪تحت فشار مشکلات دیگری انتشار داده شده بود ( مانند مشکل سال ۲۰۰۰ ).

▪تجدید نظر زیادی می بایست صورت می پذیرفت که در نتیجه نسخه دوم BS ۷۷۹۹ در ماه می سال ۱۹۹۹ منتشر گردید.

▪ شماهای رسمی و نظام نامه ارائه گواهینامه و اعتبارنامه های آن در همان سال منتشر گردید.

▪در همان سال ابزاری که از این استاندارد حمایت می نمودند پدیدار گردیدند.

▪همزمان مؤسسه ISO با سرعت زیادی در این راه پیشقدم گردید.

▪ قسمت دوم استاندارد BS ۷۷۹۹ در سال ۲۰۰۲ میلادی ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO ۱۷۷۹۹ در همان سال منتشر گردید.

الف) استانداردISO/IEC ۱۷۷۹۹:

این استاندارد در ده بخش و بیش از ۱۲۷ نوع متد جهت سنجش امنیت سیستم سازماندهی گردیده است.هر بخش بر روی یک سرفصل یا محدوده عملکرد مجزا تعریف شده است. ده عنوان و اهداف آن عبارتند از:

۱) طرح تداوم خدمات تجاری:

اهداف این بخش شامل جلوگیری از منقطع شدن فعالیتهای تجاری و فرایندهای بحرانی اقتصادی بر اثر حوادث ناگوار و یا ناتوانی در ارائه خدمات در سطح وسیع می باشد.

۲) کنترل بر نحوه دستیابی به سیستم:

اهداف این بخش شامل:

۲-۱ )کنترل دسترسی به اطلاعات.

۲-۲ )جلوگیری از دستیابی غیر مجاز به سیستم اطلاعاتی.

۲-۳ )ایجاد تضمین در نحوه خدمت رسانی حمایت شده شبکه.

۲-۴ )جلوگیری از دستیابی غیر مجاز به رایانه ها.

۲-۵ )بازرسی و نظارت بر فعالیتهای غیر مجاز.

۲-۶ )اطمینان حاصل کردن از امنیت اطلاعات در زمانی که در شبکه از تجهیزات شبکه بیسیم و یا تلفن سیار استفاده می گردد.

۳ )پشتیبانی کردن و توسعه دادن سیستم :

اهداف این بخش شامل :

۳-۱ )اطمینان از امکانات امنیتی ایجاد شده در درون سیستمهای قابل کنترل.

۳-۲ )ممانعت از گم شدن ، تغییر و سؤاستفاده از داده های کاربران در سیستم های کاربردی.

۳-۳ )حمایت از جنبه های محرمانگی ، صحت و تمامیت اطلاعات.

۳-۴ )اطمینان از پروژه های IT و فعالیتهای حمایتی آن که در یک چارچوب امن هدایت خواهند شد.

۳-۵ )پشتیبانی امنیتی از داده ها و نرم افزارهای کاربردی.

۴ )ایجاد امنیت فیزیکی و محیطی:

اهداف این بخش شامل ممانعت از دسترسی غیر مجاز ، آسیب رسانی و دخالت در بنیادهای اقتصادی و اطلاعات ؛ ممانعت از گم شدن ، آسیب دیدن و مصالحه بر سر دارایی ها برای تعلیق فعالیتهای اقتصادی مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن یا سرقت اطلاعات و همچنین امکانات پردازش اطلاعات می گردد.

۵ )مورد قبول واقع شدن:

اهداف این بخش شامل :

۵-۱ )اجتناب از بروز هرگونه رخنه ای که مجرمانه بوده ویا قوانین مدنی ، قوانین موضوعی ، قوانین تنظیمی یا قراردادهای الزام آور و هر نوع نیاز امنیتی را مورد هدف قرار دهد.

۵-۲ )ایجاد اطمینان از همخوانی سیستمها با سیاستهای امنیتی و استانداردهای سازمانی.

۵-۳ )به حد اکثر رساندن تاثیرات کارا و به حداقل رساندن فرایندهای اخلال کننده سیستم مراقبت امنیتی وارد شده بر سیستم یا صادر شده از سیستم.

۶ )امنیت شخصی:

اهداف این بخش شامل کاهش خطرات ناشی از خطاهای انسانی ، دزدی ، تقلب یا سؤاستفاده از امکانات ؛ ایجاد اطمینان از اینکه کاربران از تهدیدات امنیتی موجود بر روی اطلاعات واقف و نگران بوده و در روشهای کاری معمول خود ، در جهت حمایت از سیاستهای امنیتی ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهای ناشی از بروز حوادث امنیتی و سؤ عمل و همچنین درس گرفتن از این رخدادهای امنیتی می باشد.

۷ )ایجاد امنیت سازمانی:

اهداف این بخش شامل :

۷-۱ )مدیریت امنیت اطلاعات در محدوده شرکت.

۷-۲ )پشتیبانی از امکانات امنیت فرایندهای اطلاعاتی سازمانی و دستیابی به داراییهای اطلاعاتی به واسطه عوامل ثالث ( Third Party ).

۷-۳ )پشتیبانی از امنیت اطلاعات در زمانی که وظیفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان دیگری سپرده شده باشد.

۸ )مدیریت رایانه و عملیات:

اهداف این بخش شامل :

۸-۱ )ایجاد اطمینان از عملیات موجود و امنیتی بر روی امکانات پردازش اطلاعات.

۸-۲ )به حداقل رساندن خطرات ناشی از ناتوانی های سیستم.

۸-۳ )حمایت از تمامیت اطلاعات و نرم افزار.

۸-۴ )پشتیبانی از در دسترس بودن و تمامیت پردازش اطلاعات و ارتباطات.

۸-۵ )ایجاد اطمینان از امن نگهداشتن اطلاعات در شبکه ها و حمایت از زیربنای پشتیبانی کننده.

۸-۶ )ممانعت از آسیب رسیدن به دارایی ها و تعلیق فعالیتهای اقتصادی.

۸-۷ )ممانعت از گم شدن ، تغییر دادن و سؤاستفاده از اطلاعات در حال مبادله مابین سازمانها.

۹ )کنترل و طبقه بندی داراییها:

اهداف این بخش شامل پشتیبانی مناسب حمایتی از داراییهای مشترک و اطمینان از اینکه داراییهای اطلاعاتی در یک سطح مناسب امنیتی دریافت می گردد ، می باشد.

۱۰ )امنیت اطلاعاتی:

اهداف این بخش شامل ایجاد مدیریت هدفمند و حمایتی برای امنیت اطلاعات می گردد.

ب) استاندارد BS ۷۷۹۹-۲

یک استاندارد خاص طراحی شده برای یک سیستم مدیریت امنیت اطلاعات یا ISMS (Information Security Management Systems ) می باشد.ISMS جهت مانیتورینگ ، کنترل امنیت و کاهش درجه خطرپذیری خطا در امنیت اطلاعات مورد استفاده قرار می گیرد. سری استاندارد مدیریتی BS ۷۷۹۹-۲ توضیحات لازم در مورد چگونگی به کارگیری امنیت اطلاعات و بر اساس عملکرد استاندارد ISO/IEC ۱۷۷۹۹ ارائه می دهد و همچنین چگونگی ایجاد ، سپس هدایت و نهایتاً مدیریت یکISMS را بیان مینماید. جزئیات یکISMS در چرخه چهار مرحله حیاتیPlan - Do - Check - Act خلاصه میشود که بترتیب به آنها خواهیم پرداخت.

●Plan

این فاز به زیر شاخه هایScope , Policy , Risk Assessment وRisk Treatment تقسیم می شود.

Scope: در این بخش هدف ISMS تعریف و تدوین می گردد. تعیین اهداف بستگی تام به نیاز شبکه ما دارد که می تواند مربوط به یک بخش خاص از سایتهای سازمان بوده و یا مربوط به ارائه یک سرویس خاص مثلE-Banking باشد.

Policy : در این بخش به سؤالات مهمی مانند:

▪چرا امنیت اطلاعات برای ما مهم است ؟

▪آیا مقابله با ویروس خاصی مد نظر است ؟

▪آیا تنها در صدد تهیه و جمع آوری یک سری اطلاعات مانندConfidentiality ،Integrity وAvailability می باشیم؟

▪چه سطحی از خطا برای ما قابل قبول است؟

▪آیا تنظیمات خاصی مد نظر می باشد؟

▪محدودیت خاصی وجود دارد؟

▪و ......

تمام پاسخهای جمع آوری شده را باید در بخشPolicy جمع آوری کرده و مورد پردازش قرار دهیم.

Risk Assessment : در این بخش با توجه به تدوین Policy ، اکنون ما می دانیم که چه چیزی را می بایست مورد محافظت قرار داده و سطح قابل قبول خطا برای ما چقدر خواهد بود. در این بخش خطرهای مهم و جدی را شناسایی کرده و بر آنها اشراف داریم. بنابراین باید یک روش مناسب که برای سازمان ما قابل قبول باشد را انتخاب ، و هدف از ISMS را تعیین نماییم.

Risk Treatment: بعد از کامل نمودن ارزیابی خطا , استاندارد BS ۷۷۹۹-۲ از ما می خواهد تا در خصوص مدیریت خطا تصمیم گیری کنیم .

نسخه جدید این استاندارد، یهنیBS ۷۷۹۹-۲:۲۰۰۲ در مورد از بین بردن خطا ، استانداردهای زیادی دارد که بر پایه سه سوال اساسی ذیل دسته بندی می شوند:

۱ )آیا خطا را می پذیرید و به توانائی خود برای شناسائی و از بین بردن خطا اعتماد کامل دارید ؟

۲ )از پذیرش خطا اجتناب می کنید و محصولات خود را بیمه می کنید ؟

۳ )آیا می خواهید کنترل مناسبی روی شبکه داشته باشید ؟

Do

در این فاز ما ملزم به کنترل خطا می باشیم. در این مرحله ما به یک فرایند نیازمندیم تا خطا را شناسائی و به ما اعلام کند. همچنین نیازمند به آموزش پرسنل در خصوص مسائل امنیتی خواهیم بود تا پس از آموزشهای مربوطه، به عنوان متخصصین امنیتی منحصراً بتوانند امنیت شبکه را بعهده بگیرند.

●Check

در فازCheck باید از کنترل شبکه در مواقع لازم مطمئن شویم و هر گونه مشاهده ای را آرشیو کنیم. استانداردها دامنه متنوعی از فعالیتهای قابل بررسی را مشخص کرده اند که در ذیل به آنها اشاره می شود:

<div class;mainbodytextnewsEn;>

Intrusion Detection

Incident Handling

Routine Checks

Self – Policing Procedures

Learning From Others (e.g. CERT )

Internal ISMS Audit

Management Review

</div>

دو فعالیت بررسی شونده Internal ISMS Audit و Management Review لازم الاجراء بوده و بقیه موارد اختیاری می باشند.

Act

خروجی فاز Check فعالیتهای این بخش را تشکیل می دهد که در سه بخش خلاصه می شود:

<div classmainbodytextnewsEn;>

Corrective Action

Preventive Action

Improvements

</div>

چهار فاز فوق الذکر در بازه های زمانی مشخصی که حساسیت اطلاعات سازمان مشخص می نماید می بایست تکرار گردد. ذکر این نکته ضروری است که لزوماً ممکن است در اجرای استانداردهای امنیتی خرید تجهیزات جدید پیشنهاد نگردد و با بازنگری تجهیزات موجود ، گرفتن گواهی های استاندارد امکانپذیر باشد.

لینک کوتاه پست
  • نکات مهم
    1- لطفا نظر خود را با زبان فارسی بیان کنید
    2- رایتم نظرات اسپم و تبلیغی شما را تایید نمی کند
    3- لطفا نظرات شما بدون ابهام و واضح باشد
  • نام
    ایمیل (منتشر نمی‌شود) (لازم)
    وبسایت
    :):(;):D;)):X:?:P:*=((:O@};-:B/:):S
    نظر خصوصی
    مشخصات شما ذخیره شود ؟[حذف مشخصات] [شکلک ها]
    کد امنیتی
به کانال تلگرام سایت ما بپیوندید