close
تبلیغات در اینترنت
استاندارد های ISO/IEC 17799 و BS7799-2
مرورگرهای پیشنهادی :
موضوعات
  • پایان نامه و مقاله فنی مهندسی
  • مهندسی برق ، الکترونیک ، مخابرات
  • مهندسی فناوری اطلاعات
  • مهندسی کامپیوتر
  • مهندسی مکانیک
  • مهندسی عمران
  • مهندسی معماری
  • مهندسی ساخت و تولید
  • مهندسی منابع طبیعی
  • مهندسی کشاورزی
  • مهندسی شیلات
  • مهندسی صنایع
  • مهندسی مواد
  • مهندسی نقشه برداری
  • مهندسی تاسیسات
  • مهندسی شیمی
  • مهندسی متالوژی
  • مهندسی نساجی
  • مهندسی معدن
  • مهندسی نفت
  • محیط زیست
  • جوشکاری
  • پایان نامه و مقاله علوم انسانی
  • حقوق
  • اقتصاد
  • مدیریت
  • جغرافیا
  • جهانگردی
  • حسابداری
  • تربیت بدنی
  • ادبیات فارسی
  • علوم سیاسی
  • علوم اجتماعی
  • مدیریت صنعتی
  • مدیریت روابط عمومی
  • احکام و معارف اسلامی
  • روانشناسی و علوم تربیتی
  • گرافیک
  • هنر
  • بیمه
  • تاریخ
  • موسیقی
  • صنایع دستی
  • پایان نامه و مقاله پزشکی
  • علوم آزمایشگاهی
  • بهداشت عمومی
  • طب هسته ای
  • چشم پزشکی
  • جنین شناسی
  • روان پزشکی
  • دندانپزشکی
  • پیراپزشکی
  • دامپزشکی
  • طب سنتی
  • داروسازی
  • پرستاری
  • پزشکی
  • مامایی
  • آناتومی
  • ژنتیک
  • پایان نامه و مقاله علوم پایه
  • زیست شناسی
  • زمین شناسی
  • دندانپزشکی
  • دامپزشکی
  • پزشکی
  • فیزیک
  • پاورپوینت و اسلاید فنی مهندسی
  • پاورپوینت معماری
  • پاورپوینت کامپیوتر و IT
  • نمونه سوالات استخدامی
  • نمونه سوالات استخدامی بانک
  • نمونه سوالات استخدامی آموزش و پرورش
  • نمونه سوالات استخدامی شهرداری
  • نمونه سوالات استخدامی تامین اجتماعی
  • نمونه سوالات استخدامی دستگاه اجرایی
  • نمونه سوالات استخدامی فنی و حرفه ای
  • نمونه سوالات استخدامی وزارت خانه ها
  • نمونه سوالات استخدامی نظامی
  • سایر نمونه سوالات استخدامی
  • جزوات دانشگاهی
  • جزوات دروس مشترک دانشگاهی
  • جزوات مهندسی برق
  • جزوات مهندسی مکانیک
  • جزوات مهندسی عمران
  • جزوات رشته حسابداری
  • جزوات مهندسی فیزیک
  • جزوات مهندسی معماری
  • جزوات مهندسی ریاضی
  • جزوات مهندسی صنایع
  • جزوات مهندسی شیمی
  • جزوات مهندسی کامپیوتر و IT
  • جزوات رشته زمین شناسی
  • جزوات رشته روانشناسی
  • جزوات مهندسی مخابرات
  • جزوات رشته مدیریت
  • جزوات تربیت بدنی
  • جزوات حقوق
  • گزارش کارآموزی فنی مهندسی
  • مهندسی کامپیوتر (سخت افزار - نرم افزار)
  • مهندسی مکانیک
  • مهندسی برق
  • مهندسی شیمی
  • مهندسی فناوری اطلاعات
  • صنایع غذایی
  • حسابداری
  • مدیریت
  • مطالب پربازدید
    مطالب تصادفی
    مطالب پیشین
  • بررسی رابطه تيپ های شخصيتی دبيران دبيرستانهای دخترانه با میزان موفقیت (پنجشنبه 13 اردیبهشت 1397)
  • بررسی پيش تجربی سياهه مشاوره ای لوئيس سوال هاي شماره 3 تا 45 (از مقياس اطمينان اجتماعی) (پنجشنبه 13 اردیبهشت 1397)
  • بررسی مقدماتی شخصيتی كرنل براي سوال 36 و 37 بر روي دانشجويان دانشگاه آزاد اسلامي (پنجشنبه 13 اردیبهشت 1397)
  • مقايسه مشكلات زبان عادی ويژه (چهارشنبه 12 اردیبهشت 1397)
  • مقایسه ویژگی های شخصیتی شخصیت ضد اجتماعی و انحرافات اجتماعی در بین دانشجویان دختر و پسر (جمعه 07 اردیبهشت 1397)
  • بررسی رابطة تك فرزندی با اختلالات رفتاری (چهارشنبه 05 اردیبهشت 1397)
  • بررسی توصيفی موسيقی و موسيقی درمانی بر روی انسان ها (چهارشنبه 05 اردیبهشت 1397)
  • بررسی تأثير ناكامی در ميزان پرخاشگری بين دانش آموزان دختر و پسر مقطع ابتدايی (چهارشنبه 05 اردیبهشت 1397)
  • بررسی ميزان تأثير اردوهای تربيتی ـ آموزشی بر رشد شخصيت دانش آموزان (چهارشنبه 05 اردیبهشت 1397)
  • نياز سنجی كاركنان اطلاعات (چهارشنبه 05 اردیبهشت 1397)
  • مقايسه هوش هيجانی و جرأت ورزی در دانش‌آموزان دختر و پسر نابينا و عادی (چهارشنبه 05 اردیبهشت 1397)
  • مقایسه میزان هیجان خواهی دانشجویان متأهل و مجرد (چهارشنبه 05 اردیبهشت 1397)
  • مددکاری (چهارشنبه 05 اردیبهشت 1397)
  • بررسی علل گرايش جوانان و نوجوانان به قرص های روان گردان (چهارشنبه 05 اردیبهشت 1397)
  • شناسايی نيازهای آموزشی و ترويجی توتون کاران (چهارشنبه 05 اردیبهشت 1397)
  •  

    استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند.



    مقدمه:

    استانداردهای ISO/IEC ۱۷۷۹۹ و BS۷۷۹۹ که بصورت واحد بر روی امنیت یک سازمان اعمال می گردند، استانداردهایی می باشند که مجموعه ای فراگیر از کنترلها،شامل بر بهترین متدهای سنجش در امنیت اطلاعات بوده و شامل بر کلیه جزئیات امنیتی هستند. این استانداردها به دو بخش عمده تقسیم می گردد:

    الف)یک مجموعه قانونمند از متد سنجش امنیتی(ISO/IEC ۱۷۷۹۹ )

    ب) یک نظام نامه برای مدیریت امنیت اطلاعات( BS ۷۷۹۹-۲ ).

    بطور اساسی یک استاندارد امنیت اطلاعات عمومی مورد تایید بین المللی است.هدف از ایجاد این استانداردها این بوده است که مانند یک منبع منفرد برای تعریف محدوده ای از کنترلهای مورد نیاز برای اغلب موقعیتهایی که سیستمهای اطلاعاتی وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهیلاتی برای رسیدن به انجام تجارت در محیطی قابل اطمینان فراهم می آورد.

    ●تاریخچه:

    ▪ اولین نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) برای بررسی ارائه گردید.

    ▪ تحت یک عنوان مشخص و بصورت بازنگری شده با عنوان نسخه اول BS ۷۷۹۹ در فوریه سال ۱۹۹۵ منتشر گردید.

    ▪ نسخه ارائه شده بصورت فراگیر اهداف اولیه را تحت پوشش قرار نمیداد و دارای مشکلات ذیل بود:

    ▪ به اندازه کافی انعطاف پذیر نبود.

    ▪کلیدهای کنترلی را خیلی ساده بیان کرده بود.

    ▪تحت فشار مشکلات دیگری انتشار داده شده بود ( مانند مشکل سال ۲۰۰۰ ).

    ▪تجدید نظر زیادی می بایست صورت می پذیرفت که در نتیجه نسخه دوم BS ۷۷۹۹ در ماه می سال ۱۹۹۹ منتشر گردید.

    ▪ شماهای رسمی و نظام نامه ارائه گواهینامه و اعتبارنامه های آن در همان سال منتشر گردید.

    ▪در همان سال ابزاری که از این استاندارد حمایت می نمودند پدیدار گردیدند.

    ▪همزمان مؤسسه ISO با سرعت زیادی در این راه پیشقدم گردید.

    ▪ قسمت دوم استاندارد BS ۷۷۹۹ در سال ۲۰۰۲ میلادی ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO ۱۷۷۹۹ در همان سال منتشر گردید.

    الف) استانداردISO/IEC ۱۷۷۹۹:

    این استاندارد در ده بخش و بیش از ۱۲۷ نوع متد جهت سنجش امنیت سیستم سازماندهی گردیده است.هر بخش بر روی یک سرفصل یا محدوده عملکرد مجزا تعریف شده است. ده عنوان و اهداف آن عبارتند از:

    ۱) طرح تداوم خدمات تجاری:

    اهداف این بخش شامل جلوگیری از منقطع شدن فعالیتهای تجاری و فرایندهای بحرانی اقتصادی بر اثر حوادث ناگوار و یا ناتوانی در ارائه خدمات در سطح وسیع می باشد.

    ۲) کنترل بر نحوه دستیابی به سیستم:

    اهداف این بخش شامل:

    ۲-۱ )کنترل دسترسی به اطلاعات.

    ۲-۲ )جلوگیری از دستیابی غیر مجاز به سیستم اطلاعاتی.

    ۲-۳ )ایجاد تضمین در نحوه خدمت رسانی حمایت شده شبکه.

    ۲-۴ )جلوگیری از دستیابی غیر مجاز به رایانه ها.

    ۲-۵ )بازرسی و نظارت بر فعالیتهای غیر مجاز.

    ۲-۶ )اطمینان حاصل کردن از امنیت اطلاعات در زمانی که در شبکه از تجهیزات شبکه بیسیم و یا تلفن سیار استفاده می گردد.

    ۳ )پشتیبانی کردن و توسعه دادن سیستم :

    اهداف این بخش شامل :

    ۳-۱ )اطمینان از امکانات امنیتی ایجاد شده در درون سیستمهای قابل کنترل.

    ۳-۲ )ممانعت از گم شدن ، تغییر و سؤاستفاده از داده های کاربران در سیستم های کاربردی.

    ۳-۳ )حمایت از جنبه های محرمانگی ، صحت و تمامیت اطلاعات.

    ۳-۴ )اطمینان از پروژه های IT و فعالیتهای حمایتی آن که در یک چارچوب امن هدایت خواهند شد.

    ۳-۵ )پشتیبانی امنیتی از داده ها و نرم افزارهای کاربردی.

    ۴ )ایجاد امنیت فیزیکی و محیطی:

    اهداف این بخش شامل ممانعت از دسترسی غیر مجاز ، آسیب رسانی و دخالت در بنیادهای اقتصادی و اطلاعات ؛ ممانعت از گم شدن ، آسیب دیدن و مصالحه بر سر دارایی ها برای تعلیق فعالیتهای اقتصادی مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن یا سرقت اطلاعات و همچنین امکانات پردازش اطلاعات می گردد.

    ۵ )مورد قبول واقع شدن:

    اهداف این بخش شامل :

    ۵-۱ )اجتناب از بروز هرگونه رخنه ای که مجرمانه بوده ویا قوانین مدنی ، قوانین موضوعی ، قوانین تنظیمی یا قراردادهای الزام آور و هر نوع نیاز امنیتی را مورد هدف قرار دهد.

    ۵-۲ )ایجاد اطمینان از همخوانی سیستمها با سیاستهای امنیتی و استانداردهای سازمانی.

    ۵-۳ )به حد اکثر رساندن تاثیرات کارا و به حداقل رساندن فرایندهای اخلال کننده سیستم مراقبت امنیتی وارد شده بر سیستم یا صادر شده از سیستم.

    ۶ )امنیت شخصی:

    اهداف این بخش شامل کاهش خطرات ناشی از خطاهای انسانی ، دزدی ، تقلب یا سؤاستفاده از امکانات ؛ ایجاد اطمینان از اینکه کاربران از تهدیدات امنیتی موجود بر روی اطلاعات واقف و نگران بوده و در روشهای کاری معمول خود ، در جهت حمایت از سیاستهای امنیتی ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهای ناشی از بروز حوادث امنیتی و سؤ عمل و همچنین درس گرفتن از این رخدادهای امنیتی می باشد.

    ۷ )ایجاد امنیت سازمانی:

    اهداف این بخش شامل :

    ۷-۱ )مدیریت امنیت اطلاعات در محدوده شرکت.

    ۷-۲ )پشتیبانی از امکانات امنیت فرایندهای اطلاعاتی سازمانی و دستیابی به داراییهای اطلاعاتی به واسطه عوامل ثالث ( Third Party ).

    ۷-۳ )پشتیبانی از امنیت اطلاعات در زمانی که وظیفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان دیگری سپرده شده باشد.

    ۸ )مدیریت رایانه و عملیات:

    اهداف این بخش شامل :

    ۸-۱ )ایجاد اطمینان از عملیات موجود و امنیتی بر روی امکانات پردازش اطلاعات.

    ۸-۲ )به حداقل رساندن خطرات ناشی از ناتوانی های سیستم.

    ۸-۳ )حمایت از تمامیت اطلاعات و نرم افزار.

    ۸-۴ )پشتیبانی از در دسترس بودن و تمامیت پردازش اطلاعات و ارتباطات.

    ۸-۵ )ایجاد اطمینان از امن نگهداشتن اطلاعات در شبکه ها و حمایت از زیربنای پشتیبانی کننده.

    ۸-۶ )ممانعت از آسیب رسیدن به دارایی ها و تعلیق فعالیتهای اقتصادی.

    ۸-۷ )ممانعت از گم شدن ، تغییر دادن و سؤاستفاده از اطلاعات در حال مبادله مابین سازمانها.

    ۹ )کنترل و طبقه بندی داراییها:

    اهداف این بخش شامل پشتیبانی مناسب حمایتی از داراییهای مشترک و اطمینان از اینکه داراییهای اطلاعاتی در یک سطح مناسب امنیتی دریافت می گردد ، می باشد.

    ۱۰ )امنیت اطلاعاتی:

    اهداف این بخش شامل ایجاد مدیریت هدفمند و حمایتی برای امنیت اطلاعات می گردد.

    ب) استاندارد BS ۷۷۹۹-۲

    یک استاندارد خاص طراحی شده برای یک سیستم مدیریت امنیت اطلاعات یا ISMS (Information Security Management Systems ) می باشد.ISMS جهت مانیتورینگ ، کنترل امنیت و کاهش درجه خطرپذیری خطا در امنیت اطلاعات مورد استفاده قرار می گیرد. سری استاندارد مدیریتی BS ۷۷۹۹-۲ توضیحات لازم در مورد چگونگی به کارگیری امنیت اطلاعات و بر اساس عملکرد استاندارد ISO/IEC ۱۷۷۹۹ ارائه می دهد و همچنین چگونگی ایجاد ، سپس هدایت و نهایتاً مدیریت یکISMS را بیان مینماید. جزئیات یکISMS در چرخه چهار مرحله حیاتیPlan - Do - Check - Act خلاصه میشود که بترتیب به آنها خواهیم پرداخت.

    ●Plan

    این فاز به زیر شاخه هایScope , Policy , Risk Assessment وRisk Treatment تقسیم می شود.

    Scope: در این بخش هدف ISMS تعریف و تدوین می گردد. تعیین اهداف بستگی تام به نیاز شبکه ما دارد که می تواند مربوط به یک بخش خاص از سایتهای سازمان بوده و یا مربوط به ارائه یک سرویس خاص مثلE-Banking باشد.

    Policy : در این بخش به سؤالات مهمی مانند:

    ▪چرا امنیت اطلاعات برای ما مهم است ؟

    ▪آیا مقابله با ویروس خاصی مد نظر است ؟

    ▪آیا تنها در صدد تهیه و جمع آوری یک سری اطلاعات مانندConfidentiality ،Integrity وAvailability می باشیم؟

    ▪چه سطحی از خطا برای ما قابل قبول است؟

    ▪آیا تنظیمات خاصی مد نظر می باشد؟

    ▪محدودیت خاصی وجود دارد؟

    ▪و ......

    تمام پاسخهای جمع آوری شده را باید در بخشPolicy جمع آوری کرده و مورد پردازش قرار دهیم.

    Risk Assessment : در این بخش با توجه به تدوین Policy ، اکنون ما می دانیم که چه چیزی را می بایست مورد محافظت قرار داده و سطح قابل قبول خطا برای ما چقدر خواهد بود. در این بخش خطرهای مهم و جدی را شناسایی کرده و بر آنها اشراف داریم. بنابراین باید یک روش مناسب که برای سازمان ما قابل قبول باشد را انتخاب ، و هدف از ISMS را تعیین نماییم.

    Risk Treatment: بعد از کامل نمودن ارزیابی خطا , استاندارد BS ۷۷۹۹-۲ از ما می خواهد تا در خصوص مدیریت خطا تصمیم گیری کنیم .

    نسخه جدید این استاندارد، یهنیBS ۷۷۹۹-۲:۲۰۰۲ در مورد از بین بردن خطا ، استانداردهای زیادی دارد که بر پایه سه سوال اساسی ذیل دسته بندی می شوند:

    ۱ )آیا خطا را می پذیرید و به توانائی خود برای شناسائی و از بین بردن خطا اعتماد کامل دارید ؟

    ۲ )از پذیرش خطا اجتناب می کنید و محصولات خود را بیمه می کنید ؟

    ۳ )آیا می خواهید کنترل مناسبی روی شبکه داشته باشید ؟

    Do

    در این فاز ما ملزم به کنترل خطا می باشیم. در این مرحله ما به یک فرایند نیازمندیم تا خطا را شناسائی و به ما اعلام کند. همچنین نیازمند به آموزش پرسنل در خصوص مسائل امنیتی خواهیم بود تا پس از آموزشهای مربوطه، به عنوان متخصصین امنیتی منحصراً بتوانند امنیت شبکه را بعهده بگیرند.

    ●Check

    در فازCheck باید از کنترل شبکه در مواقع لازم مطمئن شویم و هر گونه مشاهده ای را آرشیو کنیم. استانداردها دامنه متنوعی از فعالیتهای قابل بررسی را مشخص کرده اند که در ذیل به آنها اشاره می شود:

    <div class;mainbodytextnewsEn;>

    Intrusion Detection

    Incident Handling

    Routine Checks

    Self – Policing Procedures

    Learning From Others (e.g. CERT )

    Internal ISMS Audit

    Management Review

    </div>

    دو فعالیت بررسی شونده Internal ISMS Audit و Management Review لازم الاجراء بوده و بقیه موارد اختیاری می باشند.

    Act

    خروجی فاز Check فعالیتهای این بخش را تشکیل می دهد که در سه بخش خلاصه می شود:

    <div classmainbodytextnewsEn;>

    Corrective Action

    Preventive Action

    Improvements

    </div>

    چهار فاز فوق الذکر در بازه های زمانی مشخصی که حساسیت اطلاعات سازمان مشخص می نماید می بایست تکرار گردد. ذکر این نکته ضروری است که لزوماً ممکن است در اجرای استانداردهای امنیتی خرید تجهیزات جدید پیشنهاد نگردد و با بازنگری تجهیزات موجود ، گرفتن گواهی های استاندارد امکانپذیر باشد.

    کسب درآمد با فروش فایل های سایت ما

    درباره :
    برچسب ها :استاندارد های ISO/IEC 17799 و BS7799-2،مقالات شبکه،کاردان شبکه، ,
    بازدید : 732 تاریخ : نویسنده : بهرام محمدپور | نظرات ()
    ارسال نظر برای این مطلب

    نام
    ایمیل (منتشر نمی‌شود) (لازم)
    وبسایت
    :):(;):D;)):X:?:P:*=((:O@};-:B/:):S
    نظر خصوصی
    مشخصات شما ذخیره شود ؟[حذف مشخصات] [شکلک ها]
    کد امنیتی
    آمار سایت
  • آمار مطالب
  • کل مطالب : 4311
  • کل نظرات : 17
  • آمار کاربران
  • افراد آنلاین : 6
  • آمار بازدید
  • بازدید امروز : 11,929
  • باردید دیروز : 23,407
  • گوگل امروز : 21
  • گوگل دیروز : 46
  • بازدید هفته : 11,929
  • بازدید ماه : 150,739
  • بازدید سال : 838,659
  • بازدید کلی : 6,692,385
  • نظرسنجی
    چه مطالبی در سایت قرار دهیم؟





    کدهای اختصاصی