<sup>۲. استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال۲۰۰۰ به این اسم نامیده شد.

۳. گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد که این گزارش فنی در قالب ۵ بخش مستقل در فواصل سالهای ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بین المللی استاندارد منتشر شده است. اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیک های مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد و شامل مراحل زیر است:

۱) تعیین اهداف، راهبردها و سیاست‌های امنیتی فضای تبادل اطلاعات سازمان

۲) تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان

۳) انتخاب حفاظ ها و ارائه طرح امنیت

۴) پیاده‌سازی طرح امنیت

۵) پشتیبانی امنیت فضای تبادل اطلاعات سازمان

 

مستندات ISMS

    اهداف، راهبردها و سیاست های امنیتی فضای تبادل اطلاعات دستگاه
    طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
    طرح امنیت فضای تبادل اطلاعات دستگاه
    طرح مقابله با حوادث امنیتی و ترمیم خرابی های فضای تبادل اطلاعات دستگاه
    برنامه آگاهی رسانی امنیتی به پرسنل دستگاه
    برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه</sup>

 

<sup>اجزاء تشکیلات امنیت

تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد:

  1.  در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
  2.  در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
  3.  در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه


نحوه پیاده سازی ISMS در سازمان ها


سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند. مشاور در جلسه هیات مدیره، خط مشی امنیتی را مشخص و پس از آن پیاده سازی صورت می گیرد.

 

مشکلات موجود در زمینه پیاده سازی ISMS

۱- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.

۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

۴- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.

۵- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.


مزایای استفاده از ISMS

استاندارد ISO 27001 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاست های متناسب با سازمان و همچنین پیاده سازی کنترل های مختلف، اطلاعات سازمان را ایمن می سازد. این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرورها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت.

استانداردISO 27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

  -  اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
  -  اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
  -  قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
  -  ایجاد اطمینان نزد مشتریان و شرکای تجاری
  -  امکان رقابت بهتر با سایر شرکت ها
  -  ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
  -  بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید.

به وجود آمدن خطوط پرسرعت اینترنتی و دسترسی آسان تر به این شاهراه اطلاعاتی توسط خطوط Leased و همچنین ارزان شدن تکنولوژی مبتنی بر ارتباط بی سیم، شرکت ها و سازمان ها را به تدریج مجبور به رعایت نکات مربوط به ایمنی اطلاعات و نیز نصب انواع Firewall و IDS ساخته است. دراین راستا داشتن سیاست امنیتی مؤثر و ایجاد روال های درست امری اجتناب ناپذیر می نماید. برای داشتن سازمانی با برنامه و ایده آل ، هدفمند کردن این تلاش ها برای رسیدن به حداکثر ایمنی امری است که باید مدنظر قرار گیرد.

 

مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS

 

    ایجاد و تعریف سیاست ها:
    در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد. روالها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می شود. مدیران کلیدی و کارشناسان برنامه ریز نقش کلیدی در گردآوری این سند خواهند داشت.

    تعیین محدوده عملیاتی:
    یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه های کاری باشد لذا شروع پیاده سازی سیستم امنیت اطلاعات کاری بس دشوار است . برای جلوگیری از پیچیدگی پیاده سازی ، تعریف محدوده وScope صورت می پذیرScope می تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیینScope و الویت برای پیاده سازی استاندارد امنیت اطلاعات درScope خواهد بود. پس از پیاده سازی و اجرای کنترل هایISO27001 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده سازی آن در سایر قسمت ها می رسد که مرحله به مرحله اجرا خواهند شد.

    برآورد دارایی ها و طبقه بندی آنها:
    برای اینکه بتوان کنترل های مناسب را برای قسمت های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی ها می باشیم. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی های سازمان تهیه شده و باتوجه به درجه اهمیت آن طبقه بندی خواهند شد.

    ارزیابی مخاطرات:
    با داشتن لیست دارایی ها و اهمیت آن ها برای سازمان ، نسبت به پیش بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.</sup>

    ^{مدیریت مخاطرات:
    مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتی شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آنها می نماید.}

• 

 

<sup>انتخاب کنترل های مناسب:

استانداردISO 27001 دارای ۱۰ گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل ۱۲۷ کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت یا سازمان شما پتانسیل پیاده سازی کنترل های مذکور را خواهد داشت.

این ده گروه کنترلی عبارتند از :

۱- سیاستهای امنیتی
۲- امنیت سازمان
۳- کنترل و طبقه بندی دارایی ها
۴- امنیت فردی
۵- امنیت فیزیکی
۶- مدیریت ارتباط ها
۷- کنترل دسترسی ها
۸- روشها و روالهای نگهداری و بهبود اطلاعات
۹- مدیریت تداوم کار سازمان
۱۰-سازگاری با موارد قانونی

  تعیین قابلیت اجرا:

جمع آوری لیست دارایی ها، تعیین تهدیدها، نقاط ضعف امنیتی و در نهایت ایجاد جدول کنترل ها مارا در به دست آوردن جدولی موسوم به SOA یا Statement Of Applicability یاری می رساند. این جدول لیستی نهایی از کلیه کنترل های مورد نیاز برای پیاده سازی را ارائه می دهد. با مطالعه این جدول و مشخص کردن کنترل های قابل اجرا و اعمال آنها، سازمان یا شرکت خود را برای اخذ استانداردISO 27001 آماده خواهید ساخت.


نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استانداردISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.</sup>

 

<sup>پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعات

متن زیر یک تست سریع و آموزنده می باشد که به برخی از سوالات شما در زمینه امنیت اطلاعات پاسخ می دهد. همانطور که خواهید دید به صورت پرسش و پاسخ بیان شده است. باب امنیت اطلاعات اغلب پیچیده می باشد. بر همین اساس این مبحث به برخی از سوالاتی که ممکن است برای شما ایجاد شود ، پاسخ داده است و پیشنهاداتی را برای آن ارائه داده است تا به سادگی قبول کنید که سیستم های شما نیز ممکن است در معرض خطر قرار گیرد.

 

۱– اگر امنیت اطلاعات را افزایش دهیم ، کارایی کاهش پیدا می کند. درست یا غلط ؟
درست- امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن است به روالهای موثر اضافی از جمله (تکنولوژی) و (سرمایه گذاری) نیاز داشته باشد.افزایش امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر ممکن است در کارایی افراد و شبکه شما نمود پیدا کند. امنیت اطلاعات ممکن است به معنی قفل کردن ایستگاهای کاری و محدود کردن دسترسی به اتاقهای کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت اطلاعات می پردازد به صورت اندیشمندانه ای بین خطرات ( Risks ) و کارآیی توازن برقرار کند.

 

۲- حملاتی که توسط نفوذگران خارجی انجام می گیرد نسبت به حملات کارمندان داخلی هزینه بر تر و خسارت بار تر می باشد. درست یا غلط ؟
غلط- حملات کارمندان داخلی نوعا بسیار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستیتو امنیت کامپیوتر (Computer Security Institute) میانگین حملات خارجی ۵۷۰۰۰ دلار و میانگین هزینه حملات داخلی ۲۷۰۰۰۰۰ دلار برآورد شده است. کارمندان داخلی، اطلاعات محرمانه بیشتری درباره سیستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعالیت های دیده بانی (Monitoring) را نام برد.

 

۳- پیکربندی یک دیواره آتش (Firewall) به صورت کامل ما را در مقابل حملات خارجی ایمن می کند. درست یا غلط ؟
غلط- آمارهای انستیو امنیت کامپیوتر نشان می دهد که حجم قابل توجهی از شرکتهایی که از دیواره آتش استفاده کرده اند هنوز از دست نفوذگران بد اندیش در امان نمانده اند. اولین کارکرد دیواره آتش بستن پورتهای مشخص می باشد به همین دلیل در بعضی از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز می تواند یک خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد. ترافیکی که از میان یک پورت می گذرد را باید همیشه به صورت سختگیرانه ای دیده بانی کرد تا تمامی تلاشهایی که منجر به نفوذ در شبکه می شود شناسایی و گزارش شود. یک دیواره آتش به تنهایی نمی تواند یک راه حل جامع باشد و باید از آن به همراه تکنولوژی های (IDS (Intrusion Detection System و روش های ترکیبی استفاده کرد.

 

۴- اگر دیواره آتش من به صورت مناسبی پیکر بندی شود دیگر نیازی به دیده بانی بیشتر ترافیک شبکه نمی باشد. درست یا غلط ؟
غلط- همیشه نفوذگران خبره می توانند یک دیواره آتش را در هم شکنند و به آن نفوذ کنند. به همین دلیل دیده بانی کلیدی برای هر برنامه امنیت اطلاعات می باشد. فراموش نکنید که دیواره آتش نیز ممکن است هک شود و IDS ها راهی می باشند برای اینکه بدانید چه سیستم هایی در شرف هک شدن می باشند.

 

۵- دیواره های آتش باید به گونه ای پیکربندی شوند که علاوه بر ترافیک ورودی به شبکه ، ترافیک های خروجی را نیز کنترل کنند . درست یا غلط ؟
درست – بسیاری از سازمانها توجه زیادی به محدود کردن ترافیک ورودی خود دارند، اما در مقایسه توجه کمتری در مسدود کردن ترافیک خروجی از شبکه را دارند. خطرات زیادی ممکن است در درون سازمان وجود داشته باشد. یک کارمند ناراضی یا یک نفوذگر که شبکه شما را در دست گرفته است، ممکن است که بخواهد اطلاعات حساس و محرمانه شما را برای شرکت رقیب بفرستد.

 

۶- امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط ؟
غلط- امنیت اطلاعات یک پی آمد تجاری – فرهنگی می باشد. یک استراتژی جامع امنیت طلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری ، کنترل دسترسی های فیزیکی، کنترل دسترسی های تکنیکی. این عناصر اگر به صورت مناسبی اجرا شود مجموعا یک فرهنگ امنیتی ایجاد می کند. بیشتر متخصصین امنیتی معتقدند که تکنولوژیهای امنیتی فقط کمتر از ۲۵ درصد مجموعه امنیت را شامل می شوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه نمود دارد ،( افراد ) می باشند. (کاربر انتهایی) افراد یکی از ضعیف ترین حلقه ها، در هر برنامه امنیت اطلاعات می باشند.

 

۷- هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین می روند. درست یا غلط ؟
غلط- به طور واضح غلط است. برای شهادت غلط بودن این موضوع می توان به شرکت Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای کامپیوتری برای خود ایجاد کرده بود. بر طبق گفته های FBI حجم فعالیتهای خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد کرد.

 

۸- نرم افزارهای بدون کسب مجوز (Unauthorized Software) یکی از عمومی ترین رخنه های امنیتی کاربران داخلی می باشد. درست یا غلط ؟
درست- رخنه ها (Breaches) می تواند بدون ضرر به نظر بیاید ، مانند Screen Saver های دریافت شده از اینترنت یا بازی ها و … نتیجه این برنامه ها، انتقال ویروس ها، تروجان ها و … می باشد. اگر چه رخنه ها می تواند خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که می تواند یک در پشتی (Backdoor) قابل سوءاستفاده ای را در شبکه ایجاد کند که به وسیله دیواره آتش نیز محافظت نمی شود.بر طبق تحقیقاتی که توسط ICSA.net و Global Integrity انجام شده است بیش از ۷۸ درصد گزارش ها مربوط به ایجاد یک رخنه در نرم افزار دریافتی از افراد یا سایتهای ناشناخته است.

 

۹- خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد. درست یا غلط ؟
درست- درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می کند. سازمانها نیازمند این می باشند که مداوم سایت های اطلاع رسانی را بازبین کنند تا به تهدید های احتمالی شبکه های خود خیلی سریع پی ببرند و در مقابل آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد جلوگیری کنند.

 

۱۰- رمزهای عبور می تواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند ، بگیرد. درست یا غلط ؟
غلط- کلمات رمز نوعا خیلی کم می توانند جلو کارمندان داخلی و خبره را بگیرند. بسیاری از سازمانها تمامی تلاش خود را روی امور تکنیکی امنیت اطلاعات صرف می کنند و در برخورد با مسائل اداری و کنترل دسترسی فیزیکی لازم برای ایجاد یک محافظت مناسب، با شکست مواجه می شوند.

 

۱۱- یک نام کاربری و یک رمز عبور می تواند شبکه ما را از ارتباط با یک شبکه غیردوستانه (Unfriendly) محافظت کند. درست یا غلط؟
غلط- یک ارتباط فیزیکی و یک آدرس شبکه همه آنچیزی می باشد که یک نفوذگر برای نفوذ در شبکه نیاز دارد. با یک ارتباط می توان تمامی ترافیک شبکه را جذب کرد (به این کار Sniffing می گویند) . مهاجم قادر است با استفاده از تکنیکهای Sniffing کل ترافیک حساس شبکه، شامل ترکیباتی از نام کاربری/رمز عبور را جذب کند و در حملات بعدی از آنها استفاده کند.

 

۱۲- هیچ کسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه . درست یا غلط ؟
غلط- هیچ کس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد ، حتی مدیر امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند. برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده می شود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که کاربران رمزهای عبور خود را فراموش کرده اند در نظر گرفت.

 

۱۳- رمزگذاری باید برای ترافیک های داخلی شبکه به خوبی ترافیک خروجی شبکه انجام گیرد. درست یا غلط ؟
درست- به عنوان یک نکته باید گفت که فرآیند Sniffing (جذب داده هایی که روی شبکه رد و بدل می شود) به عنوان یک خطر امنیتی داخلی و خارجی مطرح می شود.

 

۱۴- امنیت داده ها در طول انتقال آنها هدف رمزگذاری است . درست یا غلط ؟
غلط- رمزگذاری همچنین می تواند جامعیت (Integrity)، تصدیق (Authentication) و عدم انکار (non-repudiation) داده ها را نیز پشتیبانی کند.

 

 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست؟

   - سازمان تصمیم به دریافت استاندارد ISO 27001 می گیرد.

   - این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.

   - شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .

   - بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود.

   - قبل از اینکه سر ممیز اصلی (Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی، بازرسی های لازم را انجام می دهند.

   - از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند، برای انجام بازرسی های لازم دعوت می شود.

   - در صورت تایید صلاحیت و کسب حداقل امتیازات لازم، گواهینامه صادر می شود.</sup>

 

 

^{ISMS, ISO/ IEC 27001 Certification Process}