Upload
craig
View
65
Download
3
Embed Size (px)
DESCRIPTION
استانداردهای امنیت. ا رائه کننده:فاطمه واعظی 871113037. اهمیت امنیت اطلاعات. - PowerPoint PPT Presentation
Citation preview
1
استانداردهاامنیت ی
2
: اشارهفناوری زیرساختهای اصلی اجزای از یكی دیرباز از امنیت
. به منحصر تنها امنیتی تهدیدهای است میرفته شمار به اطالعاتفیزیكی نظر از باید شبكه هر بلكه نیستند، الكترونیكی تهدیدات
. و هكرها تهدیدات شامل 0 غالبا الكترونیكی خطرات گردد ایمن نیز . كه حالی در باشند می شبكهها در داخلی و خارجی نفوذگران
سایتهای به پرسنل خروج و ورود كنترل شامل فیزیكی امنیت . سازی پیاده برای هست نیز سازمانی روالهای همچنین و شبكه
سختافزاری ایمنسازی بر عالوه فوق، حوزههای در امنیتفناوری حوزه در امنیتی سیاستهای تدوین به نیاز شبكه،
. از است الزم راستا این در باشد می نیز سازمان یك در اطالعاتبتوان آنها واسطه به كه شود استفاده استانداردی روالهای
ایمن اطالعات فناوری سازی پیاده برای را سازمان یك ساختاراستاندارد. را BS7799 نمود آن معرفی قصد شماره این در كه
سازمان یك در ابعاد همه در امنیت سازی پیاده چگونگی به داریمپردازد . می
.
3
در اول گروه که باشند مي اصلي گروه دو به تقسيم قابل امنيت استانداردهايبا فني از امنيترابطه با لحاظ رابطه در دوم گروه و مديريتي ، لحظ از امنيت
زمينه. در فني امنيتي استانداردهاي رمزنگاري است ديجيتال، امضاء نظير هائياصالت احراز رمزنگاري توابع ساز، درهم توابع متقارن، رمزنگاري عمومي، کليد . باشند، مي مديريتي امنيتي استانداردهاي که دوم گروه دارند کاربرد غيره و پيام . حاضر حال در گيرند مي بر در را سازمان مديريت مختلف هاي قسمتارائه ارتباطات، و اطالعات امنيت فني و مديريتي استانداردهاي ا اي مجموعه
مديريتي شده استاندارد که استاندارد BS7799اند انگليس، استاندارد موسسهISO/IECمديريتي 17799 ( آن جديد ISO/IECنسخه 27001 ) و باشد مي
فني ISO/IECگزارش TR برجسته 13335 از استاندارد، المللي بين موسسهنکات . استانداردها، اين در گردند مي محسوب فني راهنماهاي و استانداردها ترين
: است گرفته قرار توجه مورد زير امنيت چرخه گيري شکل نحوه و سازي ايمن مراحل تعيين مرحله هر در استفاده مورد فني تکنيکهاي و سازي ايمن مراحل جزئيات سازمان نياز مورد اطالعات امنيت هاي برنامه و طرحها محتواي و ليست امنيت تامين فني و اجرائي سياستگذاري، تشکيالت ايجاد جزئيات و ضرورت ارتباطي و اطالعاتي هاي سيستم از يک هر براي موردنياز امنيتي هاي کنترل
4
استانداردBS7799 موسسه توسط که است امنيت مديريت استاندارد اولين( . استاندارد اين اول نسخه است شده ارائه انگليس ( BS7799-1استاندارد
سsال عنsوان 1995دsر sاsب و بخش يsک دsر BS7799-1:CodeofPracticeوfor InformationSecurityManagement . دوم نسخه و گرديد منتشر
سال( BS7799-2آن ) در نسخه 1999که به نسبت تغيير بر عالوه شد، ارائه . استاندارد اين تدوين از هدف گرديد ارائه مستقل بخش دو از متشکل اول،که است کساني براي اطالعات امنيت مديريت زمينه در پيشنهاداتي ارائه مي سازمان يک در امنيتي مسائل پشتيباني يا سازي پياده طراحي، مسئول
از. متشکل استاندارد اين و 35باشند امنيتي براي 127هدف بازدارنده اقدام کند نمي مطرح را چگونگيها و جزئيات که ميباشد شده تعيين اهداف تامين . استاندارد طراحان کند مي بيان را کلي موضوعات و سرفصلها بلکه
BS7799 و ها کنترل است ممکن استاندارد، اين تدوين در که دارند اعتقاد به نياز ويا نباشد استفاده قابل ها سازمان همه براي شده مطرح راهکارهاي
است نداده پوشش را آنها استاندارد، اين که باشد بيشتري .کنترلهاي
5
سال استاندارد 2000در اول بخش هيچگونه BS7799-2ميالدي بدوناسsتاندارد بعنsوان اسsتاندارد المللي بين موسسsه توسsط ISO/IECتغيsيري
17799: . است ذيل هاي فصل سر وشامل گرديد منتشر سازمان امنيتي سياست تدوين امنيتي تشکيالت الزم کنترلهاي تعيين و ها سرمايه بندي طبقه پرسنلي امنيت پيراموني و فيزيکي امنيت برداري بهره و ارتباطات مديريت دسترسي کنترل ها سيستم پشتيباني و توسعه فعاليت تداوم مديريتسازگاري
6
سال در مجددا استاندارد منتشر 2002اين و بازنويسي ميالديسال. در دو 2005گرديد با و بازنويسي استاندارد اين دوباره
BSنام ISO/IEC BSو 17799:2005 در 7799-1:2005 . از متشکل نسخه اين انتشاريافت سند و 39يک امنيتي هدف
134 . به نسبت استاندارد اين که تغييراتي است بازدارنده اقدام: از است عبارت است کرده آن قبل استاندارد
-از بعضي نمودن تغييير و جديد فصل يک يافتن افزايش الفگذشته فصول
-اضافه و قديمي کنترلهاي از بعضي شدن وحذف تغيير بجديد 17شدن کنترل
-به کنترلها تعداد افزايش عدد134ج7
استاندارد عملكرد BS7799نحوه یعنی شد، اشاره آن به كه استاندارد این پیدایش هدف دومین تحقق راستای در
در كه سازمان یك در امنیت سازی پیاده نحوه برای سرفصلهایی كاربران به كمك: از عبارتند كه است شده تعیین باشد، می امنیتی های سیستم كاربر یك حقیقت
امنیت ● چرخه گیری شكل نحوه و سازی ایمن مراحل تعیینمرحله● هر در استفاده مورد فنی تكنیكهای و سازی ایمن مراحل جزییاتسازمان● نیاز مورد اطالعات امنیت های برنامه و ها طرح محتوای و لیست
امنیت● تامین فنی و اجرایی سیاستگذاری، تشكیالت ایجاد جزییات و ضرورت ● ارتباطی و اطالعاتی های سیستم از یك هر برای نیاز مورد امنیتی كنترلهای ● اطالعات امنیت سیاستهای تعریف
نیازهای● نوع با متناسب آن مرزبندی و اطالعات امنیت مدیریت سیستم قلمرو تعریفسازمان
سازمان● نیازهای با متناسب مخاطرات، برآورد پذیرش و انجامشده● تدوین امنیتی سیاستهای اساس بر مخاطرات نوع و ها زمینه بینی پیش
كنترلهای● لیست از باشند، توجیه قابل كه مناسب كنترلهای و كنترل هدفهای انتخابجانبه همه
عملیاتی● های دستورالعمل تدوین
8
امنیتشبكه مدیریتاطالعات با مرتبط سرمایههای باید ابتدا امنیت، اهداف تعیین منظور بهبرای امنیت تامین اهداف سپس و شده شناسایی سازمان، ارتباطات و . سازمان شبكه با مرتبط سرمایههای شود مشخص سرمایهها، از هریك
. : كاربران ارتباطات، اطالعات، نرمافزار، افزار، سخت از عبارتند
امنیتی تعیین اهداف میانمدت و كوتاهمدت صورت به باید سازمانهاو تكنولوژیها تغییرات با متناسب آنها تغییر امكان تا گردد
. در مدت كوتاه اهداف عمده باشد داشته وجود امنیتی استانداردهای: از عبارتند سازمان یك در امنیت پیادهسازی خصوص
شبكه- های سرمایه علیه غیرمجاز دسترسیهای و حمالت از جلوگیریشبكه - در موجود ناامنی از ناشی خسارتهای مهار
پذیری - رخنه كاهش
9
: از عبارتند 0 عمدتا نیز میانمدت اهداف
و - نرمافزارها برای دسترسی قابلیت عملكرد، صحت تامین افزارها سخت برای 0 صرفا فیزیكی محافظت و سختافزارها
و - ارتباطات برای دسترسی قابلیت و صحت محرمانگی، تامین
و محرمانگی حیث از آنها بندی طبقه با متناسب اطالعاتحساسیت
حریم - پاسخگویی، و اختیارات حدود هویت، تشخیص قابلیت تامینبا متناسب شبكه، كاربران برای امنیتی آگاهیرسانی و خصوصی
كاربران نوع و دسترس قابل اطالعات طبقهبندی
10
استانداردBS7799 شامل 10دارای هرگروه كه باشد می كنترلی گروهكل در بنابراین است زیرمجموعه كنترل سیستم 127چندین داشتن برای كنترل
: . از عبارتند كنترلی گروه ده این قراردارد مدنظر اطالعات امنیت مدیریت 1- سازمان امنيتي سياست انتشار :تدوين و تدوين ضرورت به قسمت، اين در
تباطات ار و اطالعات امنيتي هاي سياست سياست مخاطبين كليه كه بنحوي ، سازمانتاكيد گيرند، قرار آن جزئيات جريان در است ها نگارش . شده نحوه و جزئيات همچنين
ارتباطات و اطالعات امنيتي هاي است سياست شده ارائه .سازمان، 2- سازمان امنيت تامين تشكيالت ايجاد :ايجاد ضرورت تشريح ضمن قسمت، اين در
ارتباطات و اطالعات امنيت سطوح تشكيالت در تشكيالت اين جزئيات سازمان،همراه به فني و اجرائي شده سياستگذاري، ارائه سطوح، از يك هر هاي مسئوليت
.است-3 الزم هاي كنترل تعيين و ها سرمايه بندي تشريح :دسته ضمن قسمت، اين در
تدوين يات جزئ به سازمان، اطالعات بندي دسته بندي ضرورت دسته راهنمايارائه را اطالعات بندي دسته محورهاي و پرداخته سازمان است اطالعات .نموده
ن.
11
-4 پرسنلي مالحظات : امنيت رعايت ضرورت به اشاره ضمن قسمت، اين درپرسنل، بكارگيري در اطالعات امنيتي امنيت زمينه در پرسنل آموزش ضرورت
تامين پروسه در پرسنل هاي ازمسئوليت ليستي و شده مطرح ارتباطات، وشده ارائه سازمان، ارتباطات و اطالعات امنيت
است.5 پيراموني و فيزيكي فيزيكي، : امنيت امنيت ابعاد و اهميت قسمت، اين در
كنترلهاي و تجهيزات از محافظت شده جزئيات ارائه منظور، اين براي موردنياز.است
6 ارتباطات اجرائي : مديريت روالهاي جزئيات و ضرورت قسمت، اين دربه مربوط روالهاي پرسنل، از هريك مسئوليت تعيين بمنظور موردنياز،
افزارهاي نرم درمقابل محافظت ها، سيستم آموزش و تست خريد، سفارش،ازاطالعات، گيري پشتيبان و وقايع ثبت خصوص در موردنياز اقدامات مخرب،
به مربوط هاي مسئوليت و روالها و ها رسانه از محافظت ه، شبك مديريت است شده ارائه افزارها نرم تغيير موارد ساير و تست تحويل، .درخواست،
12
-7 دسترسي كنترل :كنترل نيازمنديهاي قسمت، اين درهاي پرسنل،مسئوليت دسترسي مديريت نحوه دسترسي،شبكه، در دسترسي كنترل هاي مكانيزم و ابزارها كاربران،
دسترسي كاربردي، كنترل افزارهاي نرم و عاملها سيستم دركنترل و مانيتورينگ هاي سيستم از در استفاده دسترسياست شده ارائه شبكه به دور راه از .ارتباط
-8 ها سيستم توسعه و ضرورت :نگهداري قسمت، اين درهاي سيستم ر د امنيت ها، سيستم امنيتي نيازمنديهاي تعيين
و سيستم فايلهاي از محافظت رمزنگاري، كنترلهاي كاربردي،ها، سيستم پشتيباني و توسعه موردنيازدر امنيتي مالحظات
است شده .ارائه
13
- 9 سازمان فعاليت تداوم مديريت :مديريت هاي رويه قسمت، اين درفعاليت، تداوم در ضربه تحليل نقش فعاليت، طرح تداوم ين تدو و طراحي
فعاليت تداوم طرح براي پيشنهادي قالب فعاليت، تداوم و هاي سازمانارائه سازمان، فعاليت تداوم مجدد ارزيابي و پشتيباني تست، هاي طرح
.است شده
-10 امنيتي نيازهاي به در :پاسخگوئي موردنياز مقررات قسمت، اين درهاي سياست امنيتي، نيازهاي به پاسخگوئي و خصوص موردنياز امنيتي
است شده ارائه ها، سيستم امنيتي بازرسي هاي مكانيزم و .ابزارها
14
امنیتی تهدیدهای: از عبارتند عمده صورت به كامپیوتری شبكههای امنیت برای بالقوه تهدیدهای
مبادله● حال در پیامهای یا دادهها استراقسمع نتیجه در اطالعات غیرمجاز شدن فاششبكه روی
خرابكارانه● اقدام یك واسطه به شبكه در اختالل و ارتباط قطعاین● از جلوگیری برای ارسالشده پیغام یك یا اطالعات مجاز غیر دستكاری و تغییر
یكی كه زمانی و شود ارائه كامپیوتری شبكههای در زیر امنیتی سرویسهای باید صدمات و كشف برای الزم امنیتی تدابیر تمامی بایستی شود نقص امنیتی سرویسهای از
: شود گرفته نظر در رخنه جلوگیریاطالعات● ماندن محرمانه
پیغام● فرستنده هویت احرازنگهداری● یا انتقال طی در دادهها سالمت
نمی● اعتماد قابل شبكه به دسترسی برای كه افرادی منع امكان و دسترسی كنترلباشد.
در● اختالل امكان عدم و مجاز افراد برای شبكه امكانات تمام بودن دسترس دردسترسی
15
استانداردBS7799 اطمینان مورد سیستم یك داشتن برای مطمئن قالبی . استاندارد این سازی پیاده فوائد از تعدادی به زیر در باشد می امنیتی
: است شده اشاره - تجارت تداوم از و اطمینان اطالعات ساختن ایمن توسط صدمات كاهش و
تهدیدها كاهش - سازگاری از ها اطمینان داده از محافظت و اطالعات امنیت استاندارد با - گیری تصمیم كردن اطمینان امنیت قابل مدیریت سیستم زدن محك و ها
اطالعات - مشتریان نزد اطمینان تجاری ایجاد شركای و - رقابت ها بهتر امكان شركت سایر با - مدیریتفعال اطالعات و ایجاد و ها داده امنیت سازی پیاده در پویا - امنیتی مشكالت نسازید بخاطر پنهان سازمان خارج در را خود های ایده و اطالعات
16
استاندارد فوائد BS7799 سازی پیاده لزوم و
فضاي ايمنسازي فني و مديريتي استانداردهاي از مجموعهاي حاضر، حال درمديريتي استاندارد که شدهاند ارائه سازمانها اطالعات BS7799تبادل
مديريتي استاندارد انگليس، استاندارد موسسه ISO/IEC17799موسسهفني گزارش و استاندارد بينالمللي ISO/IECTR13335بينالمللي موسسه
فني راهنماهاي و استاندادرها برجستهترين از زمينه استاندارد اين محسوب درميگردند.
: است شده گرفته قرار توجه مورد زير نکات استانداردها، اين در1 -امنيت چرخه شکلگيري نحوه و ايمنسازي مراحل و تعيين اطالعات
سازمان ارتباطات2 -مرحله هر در استفاده مورد فني تکنيکهاي و ايمنسازي مراحل جرئيات3 -سازمان موردنياز امنيتي برنامههاي و طرحها محتواي و ليست4 -تامين فني و اجرائي سياستگذاري، تشکيالت ايجاد جزئيات و ضرورت
سازمان امنيت ارتباطات و اطالعات5 -ارتباطي و اطالعاتي سيستمهاي از يک هر براي موردنياز امنيتي کنترلهاي
سازمان
17
استانداردISO27001 (روز به به( BS7799نسخه یااستاندارد همان می ISO/IEC17799عبارتی
، زمینه باشد این در اشاره قابل این همسانی نكتهاستاندارد با . ISO9000استاندارد قسمت میباشد
استاندارد سیستم BS7799سوم توسعه حقیقت درISMS . در شده ایجاد تغییرات مانند درست میباشد
.ISO9004استاندارد استانداردISO27001 باشد می یکپارچه استانداردی
در که می آن بندهای کامل توضیح به ارائه این از بعد قسمت
پردازیم .18
19
سازمانبينالمللي(ISOاستاندارد)
internationalorganizationforstandardization
محلآندركشورسوئيسشهرژنونحتپوششسازمانمللياصندوقبين
الملليپولنيستكشور146سازمانيمستقلواعضايآناز
تشكيلشدهاستوظيفهآنتدويناستانداردميباشدفعاليتهايمميزيوصدورگواهينامه
راانجامنميدهد.باتوجهبهنيازهايجهانيتغييرميكند
20
تولداستانداردمديريتامنیتاطالعات
کمیته ISO/IEC27001استاندارد توسطمشترک فناوری) ISO/IECJTC1فنی
کمیته ،زیر امنیتی SC27اطالعات ،فنوناست ( شده تهیه اطالعات فناوری
موردبازنگريقرارگرفت2005ودرسال
21
مزاياياستقراراستانداردايزو27001
تجارت- تداوم از ایمن اطمینان توسط صدمات كاهش وتهدیدها كاهش و اطالعات ساختن
سازگاری- از و اطمینان اطالعات امنیت استاندارد با
ها داده از محافظت
گیری- تصمیم كردن اطمینان سیستم قابل زدن محك و هااطالعات امنیت مدیریت
مشتریان - نزد اطمینان تجاری ایجاد شركای و
22
مزاياياستقراراستانداردايزو)ادامه(27001
رقابت- ها امكان شركت سایر با بهتر
مدیریتفعال - و ایجاد ها داده امنیت سازی پیاده در پویا واطالعات
و - اطالعات امنیتی مشكالت را بخاطر خود های ایدهنسازید پنهان سازمان خارج در
23
Do
Check
Plan
Act
عملكرد
زمان
ودبهبخط
تمرمس
Informationsecuritymanagementsystem
requirements
25
4-1- لزاماتكليا سازمانبايديكسيستممديريتامنیتاطالعات
ايناستانداردبينالملليرامطابقباالزامات
درچارچوبتمامیفعالیتهایکالنکسبوکار
ايجاد،سازمانومخاطراتیکهباآنمواجهاست
مستقرونگهداري،مستند
نمايدوبطورمستمربهبوددهدوچگونگيتحققاين
الزاماترانيزمشخصنمايد
26
ایجادومدیریتسیستمامنیتاطالعات4-2 EstabilishngandmanangingtheISMS
:سازمانبایدمواردزیرراانجامدهد
الف(:سازمانبايددامنهكاربردومرزهایسيستمامنیتاطالعاتخودرابرمبنایویژگیهایکسب
وکار،سازمان،مکان،دارائیهاوفناوریآنتعريفومدوننمايدومشتملبرجزئیاتوتوجیهبرایکناره
گذاریهرچیزیازدامنهب(مديريتردهباالبايدخطمشیسيستمامنیتاطالعات
برمبنایویژگیهایکسبوکار،سازمان،مکان،دارائی:هاوفناوریآنتعريفکه
.
27
مشتملبرچارچوبیبرایتعییناهدافوایجادیکدرککالناز)1.مسیرومبانیبرایاقدامباتوجهبهامنیتاطالعات
دربرگیرندهکسبوکار،الزاماتقانونییاآییننامهوتعهدات)2.امنیتیقراردادیباشد
بامفادمدیریتمخاطراتراهبردیسازمانکهدرایجادو:)3نگهداریسيستممدیریتامنیتاطالعاتلحاظخواهد
.شد،هماهنگشود.معیاریایجادکندکهمطابقآنمخاطراتارزیابیخواهندشد)4
توسطمدیریتتصویبشود)5
ایجادومدیریتسیستمامنیتاطالعات4-2EstabilishngandmanangingtheISMS
ج(تعریفرویکردبرآوردسازیمخاطراتسازمان
(شناسایییکمتدولوژیبرآوردمخاطراتمتناسب1(ایجادمعیاریبرایپذیرشمخاطراتوشناساییسطوحقابلقبول2
د(شناساییمخاطرات(شناساییدارائیهایواقعدردامنهسیستم1(شناساییتهدیدهایبالقوهوبالفعلمتوجهدارائیها2(شناساییآسیبهایبالقوهوبالفعلحاصلازتهدیدها3(شناساییآسیبهایحاصلازعدمرعایتامنیت،محرمانگی،یکپارچگی4
28
ایجادومدیریتسیستمامنیتاطالعات4-2EstabilishngandmanangingtheISMS
29
برطرف(: برای هایی گزینه ارزیابی و شناسایی ومخاطرات :سازی
1( مناسب کنترلهای گیری کار به 2( وهدفمند آگاهانه صورت به مخاطرات پذیرش
3( مخاطرات از اجتناب
4( دیگر های طرف کاربه و کسب مخاطرات انتقال
منظور(: به هایی کنترل و کنترلی اهداف گزینش زمخاطرات سازی :برطرف
باقیمانده( مخاطرات برای مدیریت مصوبه دریافت حپیشنهادی
30
سازی( پیاده برای مدیریت مجوز دریافت طمدیریت سیستم امنیتاطالعاتواجرای
باشد( زیر موارد شامل که کاربست بیانیه تهیه :ی
1- آنها انتخاب دالیل و برگزیده کنترلی اهداف سازی -2 حاضرپیاده حال در که وکنترلهایی کنترلی اهداف
اند شده گذاری )3 کناره وتوجیه کنترلی اهداف از هریک گذاری کناره
آنها
31
امنیت -4-2-2 مدیریت سیستم واجرای سازی پیادهاطالعات
دهد انجام را زیر موارد باید :سازمان ،به ( مخاطرات سازس برطرف طرح یک کردن مند قاعده الف
اقدام ،که اطالعات امنیت مخاطرات کردن مدیریت منظورشناسایی را ها واولویت ها ،مسئولیت ،منابع مناسب مدیریتی
کند منظور ( به مخاطرات سازی برطرف طرح طرح سازی پیاده ب
دربرگیرنده شده،که شناسایی کنترلی اهداف به دستیابیباشد ها ومسئولیت ها نقش وتخصیص مالی مالحظات
برآورده( منظور به شده برگزیده های کنترل سازی پیاده جکنترلی اهداف سازی
32
نتایج( وارائه ها کنترل اثربخشی سنجش چگونگی تعریف دکنترل برآورداثربخشی تعیین از بعد پذیر وتجدید قیاس قابل
ها تا :یادآوری دهد می اجازه وکارکنان مدیران ،به ها کنترل اثربخشی گیری اندازه
تعیین نمایند می حاصل را شده ریزی طرح کنترلی اهداف اندازه ها،تاچه کنترل که .کند
سازی( وآگاه آموزشی های برنامه سازی پیاده ه اطالعات( امنیت مدیریت سیستم عملیات مدیریت و
اطالعات( امنیت مدیریت سیستم برای منابع مدیریت ز قادر( که هایی ودیگرکنترل اجرایی های روش سازی پیاده ح
وپاسخ امنیتی وقایع سریع آشکارسازی ساختن توانمند بهباشد امنیتی حوادث به . دهی
33
4-2-3- اطالعات امنیت مدیریت سیستم وبازنگری پایش دهد انجام را زیر موارد باید :سازمان
به ( ها کنترل دیگر و پایش اجرایی های روش اجرای الف:منظور
1( ها پردازش نتایج در خطاها سریع تشخیص 2( تمام ونا موفق امنیتی هاوحوادث نقص سریع شناسایی
که )3 آنگونه فعالیتها اجرای اطمینان به مدیریت ساختن قادررود انتظارمی
حوادث )4 از ،پیشگیری طریق آن واز امنیتی وقایع درتشخیص کمکنشانگرها از استفاده بوسیله امنیتی
5( امنیتی نقایص رفع برای گرفته صورت اقدامات اثربخشی تعیین
34
مدیریت( سیستم منداثربخشی قاعده تعهدبازنگری بنتایج ، امنیتی ممیزیهای نتایج به توجه با اطالعات امنیت
و پیشنهادها ، حوادث ، بخشی اثر گیریهای اندارهذینفع طرفهای تمامی بازخوردهای
اینکه ( بمنظورتصدیق کنترلها اثربخشی سنجش جاند شده براورده امنیتی الزامات
طرح( زمانی فواصل در مخاطرات براوردهای بازنگری دشناسایی و باقیمانده مخاطرات بازنگری و شده ریزی
در تغییرات به توجه با مخاطرات قبول قابل : سطح سازمان)1 2)فناوری
35
4-2-4- اطالعات امنیت مدیریت سیستم وبهبود نگهداری دهد راانجام ذیل موارد منظم صورت به بایستی :سازمان
درسیستم( شده شناسایی بهبودهای سازی پیاده الفاطالعات امنیت مدیریت
مناسب( وپیشگیرانه اصالحی اقدامات انجام ب تمامی( وبهبودها،به اقدامات به مربوط اطالعات انتقال ج
کار ادامه چگونگی مورد در وتوافق ذینفع طرفهایمی( حاصل را موردنظرشان بهبودها،اهداف اینکه از اطمینان د
.کنند
36
3( کار و کسب فرایندهای و اهداف 4( شده شناسایی تهدیدهای
5( شده سازی پیاده های کنترل اثربخشی و )6 ای نامه آیین یا قانونی فضای در تغییرات همانند برونی رویدادهای
قراردادی تعهدات در وتغییر اجتماعی شرایط اطالعات( امنیت مدیریت سیستم داخلی های ممیزی انجام ه
شده درفواصل ریزی طرح زمانی امنیت( مدیریت سیستم مند قاعده مدیریت بازنگری به تعهد و
اطالعات وبازنگری( پایش نتایج به باتوجه امنیتی طرحهای بروزرسانی ز
امنیت( مدیریت سیستم بر وکارا اثربخش ووقایع اقدامات ثبت ح
37
4-3-Doucumentationrequirements
39
:کلیات-4-3-1مستندسازیبایدشاملسوابقتصمیماتمدیریتیبوده،اطمیناندهد
کهاقداماتقابلردیابیمیباشدمهماستکهبتوانارتباطبینکنترلهایانتخابشدهونتایجحاصل
ازبرآوردمخاطراتوفرایندبرطرفسازیمخاطراتومتعاقباارتباطبااهدافوخطمشیسیستممدیریتامنیتاطالعاترا
.نشانداد
:مستنداتسیستممدیریتامنیتاطالعاتبایدشاملمواردذیلباشد
امنیت( مدیریت سیستم مشی خط شده مدون بیانه الفواهداف اطالعات
اطالعات( مدیریت سیستم دامنه ب سیستم( از پیشنهادی در وکنترلهایی اجرایی های روش ج
اطالعات مدیریت مخاطرات( برآورد متدولوژی تشریح د
مخاطرات( برآورد گزارش ه مخاطرات( سازی برطرف طرح و
سازمان( نیاز مورد شده مدون اجرایی های روش ز است( شده الزام استاندارد این توسط که سوابقی ح
کاربست( بیانیه ط
40
4-3-2- مستندات کنترل::مدارکازنظرمواردزيربايدتحتکنترلباشدمدارکازنظرمواردزيربايدتحتکنترلباشد
تصويبمدارکازنظرکفايتقبلازصدورتصويبمدارکازنظرکفايتقبلازصدور بازنگريوبروزکردنمدارکبرحسبنيازوتصويبمجددآنهابازنگريوبروزکردنمدارکبرحسبنيازوتصويبمجددآنها
مشخصکردنتغييراتوويرايشکنونيمدارکمشخصکردنتغييراتوويرايشکنونيمدارک دردسترسبودنمدارکدرمکانهاييکهالزماستدردسترسبودنمدارکدرمکانهاييکهالزماست
مدارکبايدخواناوقابلشناساييباشندمدارکبايدخواناوقابلشناساييباشند تحتکنترلقراردادنمدارکبرونسازمانيتحتکنترلقراردادنمدارکبرونسازماني
پيشگيريازاستفادهسهويازمدارکمنسوخشدهپيشگيريازاستفادهسهويازمدارکمنسوخشده مدارکگردآوریشدهبههردلیلیبهنحومناسبیموردمدارکگردآوریشدهبههردلیلیبهنحومناسبیمورد
شناساییقرارگیرندشناساییقرارگیرند
41
4-3-3- سوابق کنترلشواهد تا شده ونگهداری ایجاد بايد سوابق
فراهم سیستم موثر واجرای الزامات با انطباق:: گردد خوانا
دستيابي و شناسايي قابل شناسايي نظر از کنترل ذخيره ،تحت و ،بايگاني
تعيين ،دستيابي ،حفاظت و نگهداري زمان مدت تعيينتکليف و
42
5- مدیریت مسئولیت
1-5- مدیریت تعهد
2-5- منابع مدیریت
43
از سازمان ارشد مديريت تعهد بر دال شواهدي ارائه:طريق
اهداف ( برآوردسازی اهمیت درباره سازمان به الزم اطالعات ارائه الفاطالعات مشی امنیت خط با وتطابق اطالعات امنیت
اطالعات مدیریت ( امنیت مشي خط کردن برقرار و تعيين ب اطالعات ( امنیت برای ها مسئولیت و ها نقش ایجاد ج
اند شده تعيين کيفيت اهداف از ( اينکه اطمينان حصول د اطالعات مديريت ( امنیت هاي بازنگري انجام ه
قبول( قابل وسطوح مخاطرات پذیرش برای معیاری درباره گیری تصمیم و خاطرات
منابع( بودن دسترس در از اطمينان حصول ز امنیت ( مدیریت سیستم داخلی ممیزی ازانجام اطمینان حصول ح
اطالعات44
-1-2-5- منابع آوری فراهم
::منابعموردنيازبرايمواردزيربايدفراهمگرددمنابعموردنيازبرايمواردزيربايدفراهمگردد بهاجرادرآوردنسيستممديريتامنیتاطالعاتوبرقرار
نگهداشتنآنوبهبودمستمراثربخشيآنشناساییونشاندهیالزاماتقانونیوآییننامهایوتعهدات
امنیتیقراردادینگهداریامنیتدرسطحمناسب
انجامبازنگریدرصورتلزوموواکنشمناسببهایننتایجحصولاطمینانازاینکهروشهایاجراییامنیتاطالعات
الزاماتکسبوکارراپوششدهد
45
2-2-5- وصالحیت سازی ،آگاه آموزش سازمانبایددرراستایاهدافآموزشیسازمانسازمانبایددرراستایاهدافآموزشیسازمان
تعيينصالحیتهایموردنيازکارکنانموثربرسیستممدیریتامنیتاطالعات
فراهمآوردنآموزشهايموردنيازآنها ارزيابياثربخشيآموزشهايارائهشده
آگاهيکارکنانازاهميتفعاليتهايخوددرجهترسيدنبهاهدافکيفيتعيينشدهدرسیستممدیریت
امنیتاطالعات نگهداريسوابقآموزشی
46
47
نجاممميزيهايداخليبرايتعيينآنکهسیستممدیریتا:امنیتاطالعات
باالزاماتايناستانداردومقرراتوقوانینمرتبطانطباقدارد
باالزاماتشناساییشدهامنیتاطالعاتانطباقدارد
بطورموثراجراونگهداریميشود
آنگونهکهانتظارمیرود،اجراءمیشود
گيرد مي صورت واحدهاوفرآيندها ووضعيت اهميت مبناي بر مميزي برنامه دهی وگزارش شده انجام اقدامات تصدیق شامل باید پیگیری های فعالیت
باشد تصدیق نتایج
48
کلیات-1-7
ارشد مديريت توسط کيفيت مديريت سيستم بازنگري
جهت شده ريزي برنامه زماني فواصل در سازمان
. بازنگری ،این آن کارآيي و بودن مناسب تداوم از اطمينان
تغییرات اعمال به ونیاز بهبود موقعیتهای بررسی باید ها
نتایج شود شامل را اطالعات امنیت مدیریت سیستم در
آن سوابق و شده مدون وضوح به باید مدیریت بازنگری
شوند نگهداری49
50
33-7--7- بازنگري هاي بازنگري خروجی هاي خروجی تمامی دربرگیرنده باید مدیریت بازنگري هاي تمامی خروجی دربرگیرنده باید مدیریت بازنگري هاي خروجی
باشد ذیل موارد به مربوط اقدامات و باشد تصمیمات ذیل موارد به مربوط اقدامات و ::تصمیماتo و )1 اطالعات امنیت مديريت سيستم بخشي اثر بهبود
آن فرآيندهاي 2( اند شده گیری اندازه ها کنترل اثربخشی چگونه اینکه بهبود
3( منابع تامين به مربوط نيازهاي سازی )4 برطرف طرح و مخاطرات برآورد بروزآوری
مخاطرات 5( گذارند تاثیر اطالعات امنیت بر که اجرایی روشهای اصالح
51
مدیریت -8 سیستم بهبود امنیت
اطالعات 8ISMSimprovment
52
8-1- مستمر بهبود
گيري بهره طريق از کيفيت مديريت سيستم بخشي اثراطالعات امنیت مشي خط امنیت ،از اهداف
مميزي ،اطالعات رویدادهای ،نتايج تحليل و تجزیهشده و ،پایش پيشگيرانه و اصالحي اقدامات
یابد بهبود مستمر طور به مديريت بازنگري
53
2-8- اصالحی اقدام
باالفعل هاي انطباق عدم هاي ريشه رفع براي انطباق عدم بازنگري
انطباق عدم علل تعيين
و خطا هاي ريشه رفع جهت الزم اقدامات انجام و تعيينآنها مجدد وقوع از پيشگيري
سوابق ثبت و اصالحي اقدامات بودن موثر ارزيابي
شده انجام اصالحی اقدامات بازنگری
54
3-8- پیشگیرانه اقدام
بالقوه هاي انطباق عدم هاي ريشه رفع براي آنها علل و بالقوه انطباقهاي عدم تعيين
پيشگيرانه اقدام به نياز ارزيابي پيشگيرانه اقدام انجام و تعيين
شده انجام اقدامات نتایج سوابق ثبت شده انجام اقدامات بازنگري
55
سال در اطالعات امنيت مديريت استاندارد اولين ارائه باتبادل 1995 فضاي ايمنسازي مقوله به سيستماتيک نگرش ،
. امنيت تامين نگرش، اين اساس بر گرفت شکل اطالعاتالزم و نميباشد مقدور دفعتا سازمانها، اطالعات تبادل فضايشامل ايمنسازي چرخه يک در مداوم بصورت امر اين است
. گيرد انجام اصالح، و ارزيابي پيادهسازي، طراحي، مراحليک اساس بر سازمان هر است الزم منظور اين براي
مشخص، :متدولوژي دهد انجام را زير اقدامات1 - موردنياز امنيتي برنامههاي و طرحها سازمان تهيه2 -تبادل موردنياز تشکيالت ايجاد فضاي امنيت تداوم و ايجاد جهت
سازمان اطالعات3 -سازمان امنيتي برنامههاي و طرحها اجراي
56
اطالعات امنيت مديريت (ISMS)سيستم
،ارتباطات و اطالعات امنيت مديريت استانداردهاي اساس برسازمان و مجموعهبايد هر اطالعات امنيت مديريت مستندات
نمايد ارتباطات تدوين خود براي زير، شرح به :را • دستگاه اطالعات تبادل فضاي امنيتي سياستهاي و راهبردها اهداف، • دستگاه اطالعات تبادل فضاي امنيتي مخاطرات تحليل طرح • دستگاه اطالعات تبادل فضاي امنيت طرح • اطالعات تبادل فضاي خرابيهاي ترميم و امنيتي حوادث با مقابله طرح
دستگاه • دستگاه پرسنل به امنيتي رساني آگاهي برنامة • تبادل فضاي امنيت تامين تشكيالت پرسنل امنيتي آموزش برنامة
اطالعاتدستگاه پرداخت خواهيم فوق مستندات بررسي به بخش، اين .در
57
ISMS مستندات
سياس و راهبردها امنيتي تاهداف، هاي و راهبردها اهداف، شامل دستگاه، مستندات از بخش اولين
امنيتي هاي مي ISMSسياست دستگاه اطالعات تبادل فضايشوند . باشد گنجانيده زير، موارد است الزم مستندات، اين :در
دستگاه اطالعات تبادل امنيتفضاي اهداف تبادل فضاي هاي سرمايه ابتدا مستندات، از بخش اين در
قالب در دستگاه، افزارها، اطالعات نرم افزارها، سختبندي دسته و تفكيك كاربران و سرويسها ارتباطات، اطالعات،
و شده از يك هر امنيت تامين مدت ميان و مدت كوتاه اهداف سپس
شد خواهد تعيين ها، .سرمايه
58
ISMS مستندات
از عبارتند اهداف، اين از اي :نمونه
امنيت مدت كوتاه اهداف از هائي :نمونه فضاي هاي سرمايه عليه غيرمجاز، هاي دسترسي و حمالت از جلوگيري
·تبادل دستگاه اطالعات دستگاه اطالعات تبادل فضاي در موجود ناامني از ناشي خسارتهاي ·مهار دستگاه اطالعات تبادل فضاي هاي سرمايه پذيريهاي رخنه ·كاهش
59
ISMS مستندات
امنيت مدت ميان اهداف از هائي :نمونه ،افزارها سخت براي فيزيكي محافظت و دسترسي قابليت عملكرد، صحت ·تامين آنها حساسيت با .متناسب حساسيت با متناسب افزارها، نرم براي دسترسي قابليت و عملكرد صحت ·تامينآنها. هبندي طبق با متناسب اطالعات، براي دسترسي قابليت و صحت محرمانگي، ·تامين محرمانگي حيث از .اطالعات بندي طبقه با متناسب ارتباطات، براي دسترسي قابليت و صحت محرمانگي، ·تامين ارتباطات حساسيت و محرمانگي حيث از .اطالعات و خصوصي حريم پاسخگوئي، و اختيارات حدود هويت، تشخيص قابليت ·تامين قابل اطالعات بندي طبقه با متناسب شبكه، كاربران براي امنيتي رساني آگاهي
دسترس كاربران نوع و
60
ISMS مستندات
61
ISMS مستنداتراهبردهايامنيتفضايتبادلاطالعاتدستگاه
راهبردهايامنيتفضايتبادلاطالعاتدستگاه،بيانگراقداماتياستكهنمونهاياز.اهدافامنيتدستگاه،بايدانجامگيردبهمنظورتامين
فضايتبادلاطالعاتدستگاه،مدتوميانمدتامنيتراهبردهايكوتاه:عبارتنداز
امنيت مدت كوتاه راهبردهاي از هائي :نمونهدستگاه اطالعات تبادل فضاي امنيتي ضعفهاي رفع و ·شناسائي
دستگاه اطالعات تبادل فضاي كاربران به رساني ·آگاهيدستگاه داخلي شبكه ارتباطات در محدوديت اعمال و ·كنترل
امنيت مدت ميان راهبردهاي از هائي :نمونهاطالعات امنيت مديريت استانداردهاي ·رعايت
اساس بر دستگاه، اطالعات تبادل فضاي امنيتي هاي برنامه و ها طرح تهيهفوق استانداردهاي
دستگاه اطالعات تبادل فضاي امنيت تامين تشكيالت سازي آماده و ·ايجاددستگاه اطالعات تبادل فضاي امنيتي هاي برنامه و ها طرح اجراي
62
ISMS مستنداتسياستهايامنيتيفضايتبادلاطالعاتدستگاه
سياستهايامنيتيفضايتبادلاطالعاتدستگاه،متناسببادستهبنديانجام:سرمايههايفضايتبادلاطالعاتدستگاه،عبارتندازشدهروي
·فضايتبادلاطالعاتدستگاهسرويسهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهسختافزارهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهنرمافزارهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهاطالعاتسياستهايامنيتي·فضايتبادلاطالعاتدستگاهارتباطاتسياستهايامنيتي·فضايتبادلاطالعاتدستگاهكاربرانسياستهايامنيتي
سياستهايامنيتيفضايتبادلاطالعاتدستگاهسياستهايامنيتيفضايتبادلاطالعاتدستگاه،متناسببادستهبنديانجام
:سرمايههايفضايتبادلاطالعاتدستگاه،عبارتندازشدهروي
·فضايتبادلاطالعاتدستگاهسرويسهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهسختافزارهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهنرمافزارهايسياستهايامنيتي·فضايتبادلاطالعاتدستگاهاطالعاتسياستهايامنيتي·فضايتبادلاطالعاتدستگاهارتباطاتسياستهايامنيتي·فضايتبادلاطالعاتدستگاهكاربرانسياستهايامنيتي
63
ISMS مستنداتطرحتحليلمخاطراتامنيتي
پسازتدويناهداف،راهبردهاوسياستهايامنيتيفضايتبادلاطالعاتدستگاهوقبلازطراحيامنيتفضايتبادلاطالعات،الزماستشناخت
دراين.موجوددستگاهبدستآورددقيقيازمجموعهفضايتبادلاطالعاتمرحله،ضمنكسبشناختنسبتبهاطالعات،ارتباطات،تجهيزات،سرويس
هاوساختارشبكهارتباطيدستگاه،ضعفهايامنيتيموجوددربخشهايمختلف،شناسائيخواهندشدتادرمراحلبعدي،راهكارهايالزمبهمنظور
روشتحليلمخاطراتامنيتي،.رفعاينضعفهاومقابلهباتهديدها،ارائهشوندفضايتبادلاطالعاتدستگاه،مشخصبايددرمجموعهراهبردهايامنيتي
.شدهباشددرتحليلمخاطراتامنيتي،بهموارديپرداختهميشودكهبصورتبالقوه،
غيرمجاز،نفوذوحملهكاربرانمجازياغيرمجازفضايتبادلامكاندسترسيمنابعودستگاهاطالعاتتبادلفضاي(هايسرمايه)اطالعاتدستگاه،بهمنابع
نمايندميفراهمرافضااينكاربراندر حداقل اطالعات، تبادل فضاي امنيتي مخاطرات است الزم مستند، اين در
شبكه " محورهاي شبكه "، "معماري شبكه "، "تجهيزات هاي دهنده ، "سرويسشبكه " نگهداري و و" مديريتشبكه " امنيت مديريت روشهاي و شوند "تشكيالت بررسي ،.
طرحتحليلمخاطراتامنيتيپسازتدويناهداف،راهبردهاوسياستهايامنيتيفضايتبادلاطالعات
دستگاهوقبلازطراحيامنيتفضايتبادلاطالعات،الزماستشناختدراين.موجوددستگاهبدستآورددقيقيازمجموعهفضايتبادلاطالعات
مرحله،ضمنكسبشناختنسبتبهاطالعات،ارتباطات،تجهيزات،سرويسهاوساختارشبكهارتباطيدستگاه،ضعفهايامنيتيموجوددربخشهاي
مختلف،شناسائيخواهندشدتادرمراحلبعدي،راهكارهايالزمبهمنظورروشتحليلمخاطراتامنيتي،.رفعاينضعفهاومقابلهباتهديدها،ارائهشوند
فضايتبادلاطالعاتدستگاه،مشخصبايددرمجموعهراهبردهايامنيتي.شدهباشد
درتحليلمخاطراتامنيتي،بهموارديپرداختهميشودكهبصورتبالقوه،غيرمجاز،نفوذوحملهكاربرانمجازياغيرمجازفضايتبادلامكاندسترسي
منابعودستگاهاطالعاتتبادلفضاي(هايسرمايه)اطالعاتدستگاه،بهمنابعنمايندميفراهمرافضااينكاربران
در حداقل اطالعات، تبادل فضاي امنيتي مخاطرات است الزم مستند، اين درشبكه " محورهاي شبكه "، "معماري شبكه "، "تجهيزات هاي دهنده ، "سرويس
شبكه " نگهداري و و" مديريتشبكه " امنيت مديريت روشهاي و شوند "تشكيالت بررسي ،.
64
ISMS مستنداتمعماريشبكهارتباطي
دراينبخش،الزماستمعماريشبكهارتباطيدستگاه،حداقلدرمحورهايزيرمورد:تجزيهوتحليلقرارگيرد
·ساختارشبكهارتباطي·ساختارآدرسدهيومسيريابي
·ساختاردسترسيبهشبكهارتباطيتجهيزاتشبكهارتباطي
دراينبخش،الزماستتجهيزاتشبكهارتباطيدستگاه،حداقلدرمحورهايزيرمورد:تجزيهوتحليلقرارگيرد
·محافظتفيزيكي·نسخهوآسيبپذيريهاينرمافزار
·مديريتمحليوازراهدورمديريتيتصديقهويت،تعييناختياراتوثبتعملكردسيستم،بويژهدردسترسيهاي
·ثبتوقايع·نگهداريوبهروزنمودنپيكربندي
سرويسازممانعتحمالتبويژه،سيستمخودعليهحمالتبامقابله
معماريشبكهارتباطيدراينبخش،الزماستمعماريشبكهارتباطيدستگاه،حداقلدرمحورهايزيرمورد
:تجزيهوتحليلقرارگيرد·ساختارشبكهارتباطي
·ساختارآدرسدهيومسيريابي·ساختاردسترسيبهشبكهارتباطي
تجهيزاتشبكهارتباطيدراينبخش،الزماستتجهيزاتشبكهارتباطيدستگاه،حداقلدرمحورهايزيرمورد
:تجزيهوتحليلقرارگيرد·محافظتفيزيكي
·نسخهوآسيبپذيريهاينرمافزار·مديريتمحليوازراهدور
مديريتيتصديقهويت،تعييناختياراتوثبتعملكردسيستم،بويژهدردسترسيهاي·ثبتوقايع
·نگهداريوبهروزنمودنپيكربنديسرويسازممانعتحمالتبويژه،سيستمخودعليهحمالتبامقابله
65
ISMS مستنداتارتباطي شبكه نگهداري و مديريت
در حداقل دستگاه، ارتباطي شبكه نگهداري و مديريت است الزم ، بخش اين درگيرد محورهاي قرار تحليل و تجزيه مورد :زير
ارتباطي شبكه نگهداري و مديريت روشهاي و ·تشكيالتارتباطي شبكه نگهداري و مديريت هاي مكانيزم و ·ابزارها
ارتباطي شبكه سرويسهايمحورهاي در حداقل دستگاه، ارتباطي شبكه هاي سرويس است الزم ، بخش اين در
گيرد قرار تحليل و تجزيه :زيرمورددهنده سرويس عامل ·سيستم
سيستم و ماجول سطح در افزونگي رعايت بويژه دهنده، سرويس افزار ·سختسرويس افزار ·نرم
ها دهنده سرويس روي امنيتي هاي مكانيزم و ابزارها از ·استفادهارتباطي امنيتشبكه تامين روشهاي و تشكيالت
در حداقل دستگاه، ارتباطي شبكه امنيت روشهاي و تشكيالت است الزم بخش، اين درگيرد قرار تحليل و تجزيه مورد زير :محورهاي
امنيتي مستندات ساير و ها برنامه ها، ·طرحامنيت پرسنل وظايف شرح و اجرائي روالهاي امنيت، تشكيالت
ارتباطي شبكه نگهداري و مديريتدر حداقل دستگاه، ارتباطي شبكه نگهداري و مديريت است الزم ، بخش اين در
گيرد محورهاي قرار تحليل و تجزيه مورد :زيرارتباطي شبكه نگهداري و مديريت روشهاي و ·تشكيالت
ارتباطي شبكه نگهداري و مديريت هاي مكانيزم و ·ابزارهاارتباطي شبكه سرويسهاي
محورهاي در حداقل دستگاه، ارتباطي شبكه هاي سرويس است الزم ، بخش اين درگيرد قرار تحليل و تجزيه :زيرمورد
دهنده سرويس عامل ·سيستمسيستم و ماجول سطح در افزونگي رعايت بويژه دهنده، سرويس افزار ·سخت
سرويس افزار ·نرمها دهنده سرويس روي امنيتي هاي مكانيزم و ابزارها از ·استفاده
ارتباطي امنيتشبكه تامين روشهاي و تشكيالتدر حداقل دستگاه، ارتباطي شبكه امنيت روشهاي و تشكيالت است الزم بخش، اين در
گيرد قرار تحليل و تجزيه مورد زير :محورهايامنيتي مستندات ساير و ها برنامه ها، ·طرح
امنيت پرسنل وظايف شرح و اجرائي روالهاي امنيت، تشكيالت
66
ISMS مستنداتطرحامنيت
بنديمخاطراتامنيتيپسازتحليلمخاطراتامنيتيشبكهارتباطيدستگاهودستهشبكه،درطرحامنيت،ابزارهاومكانيزمهايموردنيازبهمنظوررفعاينضعفهاواين
درطرحامنيت،الزماستكليهابزارهاومكانيزمهاي.مقابلهباتهديدها،رائهميشوند.شوندامنيتيموجود،بكارگرفته
:نمونهايازاينابزارهاعبارتندازسيستمهايكنترلجرياناطالعاتوتشكيلنواحيامنيتي1-فايروالها
·سايرسيستمهايتامينامنيتگذرگاهها:سيستمهايتشخيصومقابلهياتشخيصوپيشگيريازحمالت،شامل2-
·سيستمهايمبتنيبرايستگاه·سيستمهايمبتنيبرشبكه
طرحامنيتبنديمخاطراتامنيتيپسازتحليلمخاطراتامنيتيشبكهارتباطيدستگاهودسته
شبكه،درطرحامنيت،ابزارهاومكانيزمهايموردنيازبهمنظوررفعاينضعفهاوايندرطرحامنيت،الزماستكليهابزارهاومكانيزمهاي.مقابلهباتهديدها،رائهميشوند
.شوندامنيتيموجود،بكارگرفته:نمونهايازاينابزارهاعبارتنداز
سيستمهايكنترلجرياناطالعاتوتشكيلنواحيامنيتي1-فايروالها
·سايرسيستمهايتامينامنيتگذرگاهها:سيستمهايتشخيصومقابلهياتشخيصوپيشگيريازحمالت،شامل2-
·سيستمهايمبتنيبرايستگاه·سيستمهايمبتنيبرشبكه
67
(E-Mailبويژهبرايسرويس)سيستمفيلترينگمحتوا 3-نرمافزارهايتشخيصومقابلهباويروس4-سيستمهايتشخيصهويت،تعيينحدوداختياراتوثبتعملكرد5-
كاربرانسيستمهايثبتوتحليلرويدادنامهها6-سيستمهايرمزنگارياطالعات7-نرمافزارهاينظارتبرترافيكشبكه8-نرمافزارهايپويشگرامنيتي9-نرمافزارهايمديريتامنيتشبكه10-
ISMS مستنداتطرحامنيت
68
دستگاه، ارتباطي شبكه امنيتي سيستم اصلي ويژگيهاياز :عبارتند
امنيتي سيستم بودن ·چنداليهامنيتي سيستم بودن شده ·توزيع
شبكه هاي سرويس به دسترسي دقيق كنترل جهت امنيتي نواحي تشكيل·
شبكه ارتباطي گذرگاههاي در بويژه امنيتي، هاي مكانيزم ·يكپارچگيشبكه امنيت مديريت زيرساختار سيستم ) تفكيك اصلي بخش حداقل
·امنيتي (شبكه
ضعفهاي كه بنحوي مختلف، امنيتي Brand هاي سيستم اجزاء انتخاباز · شبكه،
دهند كاهش را باقيمانده مخاطره و داده پوشش را يكديگر امنيتيبي ارزيابي موسسات از معتبر، ههاي تائيدي داراي كه محصوالتي انتخاب
·نالمللي باشند مي
ISMS مستندات
امنیت استاندارد مستندات بررسی به قسمت این در اطالعات
) الزامات ) با متناسب که سینره زنده طبیعت شرکتاستاندارد
پردازیم می است شده ISO27001:2005. تکمیل
69
زنده گیاهیطبیعت داروهای البراتوارهای
: سند عنوان اطالعات امنیت نامه آیین
اطالعات فناوری ارتباطات واحد و
: سند كدQI-WI-07-00
70
: فهرستمطالب بازنگري: وضعيت الف
هدف كاربرد دامنه
تعاريف واختيارات مسئوليتها
اجرا روش مرتبط مستندات
71
هدف باشد می ذیل موارد به نیا نامه آیین این تدوین از :هدف
باشند دسترسی قابل سازمان از خارج و درون در مجاز افراد توسط صرفا .اطالعات شود حفظ همواره اطالعات .محرمانگی
شود حفظ اطالعات یکپارچگی فرایندها کلیه .در گیرد قرار آزمایش مورد و شده مستقر کار و کسب استمرار های .طرح
قبول که شوند مطلع و نموده دریافت اطالعات امنیت مورد در را الزم آموزشهای کارمندان تمامیاست اجباری امنیتی های .سیاست
گردد رسیدگی آنها به و داده گزارش احتمالی های ضعف و اطالعات امنیت های رخنه .تمامی . ) ها ) روش این است بدیهی گردد ایجاد امنیتی های سیاست از پشتیبانی برای ها رویه اجرایی های روش
باشد می استمرار های طرح و عبور های رمز مدیریت ها، ویروس با مقابله و شناسایی .شامل شوند رعایت بایست می اطالعاتی های سیستم و اطالعات بودن دسترس در برای کار و کسب .الزامات اطالعات امنیت مدیر عهده بر استقرار و سازی پیاده حین در امنیتی های سیاست از پشتیبانی و نگهداری
.باشد امور به مربوط امنیتی سیاستهای شدن عملیاتی و سازی پیاده مسئولیت مستقیم صورت به مدیران کلیه
بود خواهند .خود سالیانه صورت به بایست می و است شده تایید سازمان ارشد مدیریت توسط امنیتی سیاست این
گیرد قرار بازبینی مورد مدیریتی بازنگری تیم .توسط
72
- کاربرد :دامنه باشند می متصل شبکه به که تجهیزاتی و کامپیوتری های سیستم .کلیه
:تعاریف-3 Email: شرکت خارجی و داخلی مکاتبات انجام جهت الکترونیکی پست
Mailbox: کاربر الکترونیکی پست ذخیره محل CC: از گرفتن پشتیبان جهت که الکترونیکی پست کاربن یا Email کپی باشد می ارسالی .های
Login: سیستم به ورود Logoff: سیستم از خروج
VPN: شرکت با مرتبط های سایت دیگر با توان می شبکه این توسط که خصوصی مجازی شبکهنمود جابجا را اطالعات و بوده ارتباط در زنده طبیعت گیاهی .البراتوارهای
CleanDesk: کاربری کد از استفاده سوء از جلوگیری منظور به کاربر توسط کامپیوتر نمودن قفلهای دکمه )Ctrl+Alt+Del( توسط
4- اختیارات و :مسئولیتها سرپرست عهده بر نامه آیین این اجرای . IT مسئولیت اجرای برحسن نظارت مسئولیت همچنین باشد می
باشد می مدیریتی سیستمهای در مدیریت نماینده عهده بر . آن
73
5- :روشاجرا 5-1- الکترونیکی پست از استفاده
5-1-1- مجاز غیر :استفاده و ضوابط از خارج های پیام انتشار و ایجاد برای نباید سازمان الکترونیکی پست سیستم
. که کارمندانی رود بکار سازمانی Email فرهنگ های آدرس از مطالبی چنین حاوی هاییکنند اعالم خود مدیریت به را موضوع بالفاصله میبایست میکنند، دریافت سازمان .رسمی
5-1-2- شخصی :استفاده
برای سازمان منابع از متعارف Email استفاده ولی است، پذیرفتنی شخصی Email هایاز جدا و جداگانه پوشه در میبایست کار با مرتبط غیر Email های شوند نگهداری کاری .های
Email ارسال همچنین و تفریحی مطالب و لطیفه حاوی Email های از زنجیرهای هایEmail آدرس . ارسال همچنین و ویروسها هشدار پیامهای ارسال نمیباشد مجاز سازمان
Email . این میباشد مجاز مدیریت، تایید با صرفا سازمان آدرس از انبوه صورت به هابرای همچنین ها سازمان Email کردنForward محدودیت کارمندان توسط که هایی
میباشد صادق میشوند .دریافت
74
:نظارت-5-1-3 الکترونیکی پست سیستم در که پیامهایی که باشند داشته انتظار نباید سازمان کارمندانمحرمانه و شود تلقی آنها شخصی حیطه قالب در میکنند، دریافت و ارسال ذخیره، سازمان
بررسی. و نظارت به قبلی هشدار بدون است ممکن سازمان Email باشد بپردازد .ها
5-2- الکترونیک پست پیشینه نگهداری کسب Email تمامی پیشینه نگهداری سیاست محدوده در که هستند اطالعاتی حاوی که هایی
. طریق از شده مبادله اطالعات تمامی گیرند می قرار پوشش تحت دارند، قرار کار Email وباشند می پیشینه نگهداری مشی خط دارای و شوند می بندی طبقه گروه چهار در :سازمان
اداری ) (4مکاتبات سال مالی ) (4مکاتبات سال
عمومی ) (1مکاتبات سال ) معدوم ) آن از پس شدن، خوانده زمان تا نگهداری دوام بی و روزمره مکاتبات
75
5-2-1- اداری مکاتبات کارکنان، پوشش چگونگی تعطیالت، خروج، و ورود اطالعات شامل سازمان اداری مکاتبات
. تمامی است ها ایده مالکیت حق نظیر قانونی مورد هر و کار، محیط در رفتار Email چگونگی " اداری " مکاتبات عنوان به بایست می مدیران فقط حساسیت میزان برچسب دارای های
. یک پیشینه، نگهداری از اطمینان برای شوند Mailbox شناخته نام [email protected] باکپی یک اگر شود، ایجاد شود، Email از)CC( میبایست ارسال آدرس این به ارسالی های
گرفت خواهد انجام اطالعات فناوری دپارتمان توسط پیشینه .نگهداری
5-2-2- مالی مکاتبات می مرتبط سازمان های هزینه و درآمد با که هستند اطالعاتی تمامی سازمان مالی مکاتبات
یک. پیشینه، نگهداری از اطمینان برای Mailbox باشند نام [email protected] باکپی یک اگر شود، ایجاد بایست شود، Email از)CC( می ارسال آدرس این به ارسالی های
انجام اطالعات فناوری دپارتمان توسط پیشینه نگهداری گرفت .خواهد
5-2-3- مکاتباتعمومی تصمیم و مشتریان با تعامل و ارتباط به مربوط اطالعات گیرنده بر در سازمان عمومی مکاتبات
. است عمومی مکاتبات پیشینه نگهداری مسئول کارمند هر است کار و کسب عملیاتی .های
76
5-2-4- دوام بی و روزمره مکاتبات
گیرنده بر در که دهند می تشکیل را گروه بزرگترین سازمان دوام بی و روزمره مکاتباتEmail نظرات یا و پیشنهاد دریافت برای ها درخواست شخصی، های ، Email با مرتبط های
باشد می وضعیت گزارشات و تغییرات محصوالت، .تولید
5-2-5- مکاتباتهمزمان همزمان ارتباطات سیستم قابلیتهای از استفاده با تواند می همزمان عمومی مکاتبات
فایل )MicrosoftOfficeCommunicatorنظیر( در آنها کپی لزوم درصورت و انجام . یک در بایست می مالی یا و اداری های گفتگو شود نگهداری Email نگهداری آدرس به و کپی
شوند ارسال مربوطه .پیشینه
77
5-3 -تلفن خطوط طریق از داخلی شبکه به دور راه از (VPN)اتصال صورت به دسترسی مجوز که کارمندانی اختیار VPNکلیه در مجوز این که هستند مسئول دارند را
. کلیه کنند پیدا دسترسی سیستم منابع کلیه به وسیله بدین میتوانند که چرا نگیرد، قرار متفرقه افرادبوسیله که های VPNافرادی دارایی از کامل طور به باید میکنند پیدا دسترسی سازمان شبکه به
. کنند محافظت سازمان اطالعاتی مدت به که کاربری های شناسه کلیه .6همچنین شوند فعال غیر سیستم در باید اند نشده استفاده هفته تصویب به و اعالم مربوطه مدیر جانب از باید نیرو اخراج یا تعدیل مانند حساس موارد خصوص در
. گردد فعال غیر سیستم از و رسیده مدیریت 5-4- ها کامپیوتر روی بر اطالعات سازی ذخیره
باید اطالعات فضاهای فقطکلیه روی روی Z و Dبر بر نباید اطالعاتی هیچ و شوند سازی MyذخیرهDocument وDesktop وDriveC\: . بخش همچنین گردد از ITذخیره پشتیبانی مسوولیت فقط
.Zدرایو دارد عهده بر را5-5 -محرمانه اطالعات اداره و نگهداری ) یا ) کاغذی سخت از اعم فرمتی، و قالب هر در سازمان، محرمانه اطالعات اداره و نگهداری
. الکترونیکی، سازی ذخیره بسترهای سخت، های نسخه تمامی شامل که گیرد می بر در را الکترونیکی،پاره کارمندان پیمانکاران، مدیران، اعضاء، کارمندان، توسط که است افزارهایی نرم و ها سیستم
قرار استفاده مورد هستند، سازمان اطالعات به دسترسی به مجاز که کارمندانی دیگر و موقتی و وقت. . گیرد می بر در نیز را هستند سازمان شبکه از خارج که ای شده تایید کاربران همچنین گیرند می
78
خطمشی -مشخصه برچسب دارای که باشد ای شده قفل های بسته در بایست می اطالعات نقل و حمل
باشند. -کارمندان با همراه بایست می هستند، شده قفل های بسته در نقل و حمل حال در که اطالعاتی
بمانند. باقی حامل خودرو در نباید اطالعات گیرد، می صورت روز شبانه در نقل و حمل اگر باشند. شوند منتقل امنی اتاق به باید و
. شوند- بندی بسته و شوند زده برچسب ، اطالعاتی مشخصات با مطابق بایست می اطالعات -یا و گیرند قرار استفاده مورد ندارند، تعلق سازمان به که هایی سیستم طریق از نباید اطالعات
. یابد اختصاص کار این برای خاص های مجوز که این مگر شوند، ذخیره آنها روی -محرمانه و حساس اطالعات کردن فکس -نظارت تحت و مطمئن فکس های دستگاه به ارسال -افشا خطر احتمال کاهش برای نیاز مورد اطالعات کمترین از استفاده - جهت شده ریزی برنامه گیری شماره سرعت از استفاده امکان صورت در و فکس شماره تایید
اشتباه گیری شماره احتمال کاهش -افشاء با مرتبط اطالعات و فرستنده اطالعات شامل پوشاننده برگه از استفاده -ها فکس سوابق ثبت و نگهداری بوسیله کننده دریافت تایید -تمامیemail بایست نمی و شوند ارسال سازمان رسمی آدرس از بایست می سازمانی های
. شود استفاده کار این برای شخصی های آدرس از
79
خطمشی -دار قفل های میز یا کشو در بایست می استفاده، عدم هنگام در کاغذی، اطالعات تمامی
. شوند خرد بایست می نیاز عدم صورت در و شوند نگهداری -اطالعات حاوی اسناد تمامی کند، می ترک زمانی مدت برای را میزش کارمند یک وقتی
. هیچ شوند نگهداری دار قفل های کمد یا کشو نظیر امن های محل در بایست می محرمانه. شوند رها شب مدت طول در باز های محل در بایست نمی ای محرمانه اطالعاتی گونه
-فورا بایست می اطالعات محرمانگی و امنیت در نقص بروز مورد در حدس و گمان هرگونه. شود داده اطالع مربوطه مسئول به
-قوانین همان تحت نیز ایشان باشند، داشته خاطر به بایست می سازمان از خارج پیمانکاران. کنند می تبعیت آنها از سازمان درون کارمندان که هستند اطالعاتی امنیت
-این مگر باشد، کنندگان بازدید دید معرض در نباید آنها نظایر و ها فایل ها، بایگانی اطالعات،. باشند اطالعات مشاهده به مجاز اختصاصا بازدیدکنندگان که
-ای شیوه به نیستند، نیاز مورد دیگر که زمانی در بایست می فرمتی و شکل هر در اطالعات. شوند منهدم امن
-خاتمه از پس است، آمده دست به سازمان با همکاری مدت در که دانشی و اطالعات . شده، جدا افراد توسط احتمالی محرمانگی نقض شود محافظت بایست می نیز همکاری
. بینجامد قانونی اقدامات نظیر بعدی اقدامات به است ممکن و شود می پیگیری
80
5-6 -آنها از مجدد استفاده و تجهیزات انهدام
تجهیزات روی بر مانده باقی اطالعات برابر در حفاظت برای استاندارد حداقل تعیینها، دیسک فالپی ها، درایو هارد تجهیزات شامل که مجدد استفاده یا انهدام از پیش کامپیوتری
نوری، های دیسک مغناطیسی، CDنوارهای ، ZIPDisk. میباشد
از شده حذف اطالعات و ها فایل بازیابی برای توانند می که دارند وجود زیادی افزارهای نرمافزاری ) سخت تجهیزات . Formatروی ) احتمال کاهش برای گیرند قرار استفاده مورد شده
روی بر موجود اطالعات میبایست محرمانه، و حساس اطالعات مجوز بدون انتشار خطر . این از پس شوند حذف امن طور به اند، گرفته قرار استفاده مورد پیشتر که تجهیزاتیبرای و بود نخواهد پذیر امکان معمولی افزارهای نرم توسط اطالعات بازیابی عملیات،
. می اطالعات حذف برای همچنین شوند گرفته کار به تخصصی های تکنیک بایست می بازیابی. نباشد پذیر امکان نیز تخصصی های تکنیک توسط بازیابی که نمود استفاده روشهایی از توان
81
خطمشی -حاوی است ممکن که آنها با مرتبط های رسانه و کامپیوتری های سیستم اطالعات تمامی
. شوند پاک انهدام، یا و مجدد استفاده از پیش بایست می باشند، محرمانه یا حساس اطالعات -مجددا سازمان در که قطعاتی و سیستمها اطالعات سازی ذخیره های بستر تمامی اطالعات
. موارد از دربرخی شوند پاک تایید مورد افزار نرم یک با باید می گیرند، می قرار استفاده مورد. شود تهیه کامل پشتیبان نسخه یک مجدد استفاده از پیش سیستمها از باید
-،گرفته قرار مجدد استفاده مورد که تجهیزاتی و ها سیستم سازی ذخیره های بستر تمامیاز بیرون به استفاده قابل غیر وسایل عنوان به حتی یا و شوند می بخشیده یا و شده فروخته
. شوند پاک تایید مورد افزار نرم توسط است الزم شوند، می منتقل سازمان: شوند- ثبت زیر اطالعات با باید می تجهیزات انهدام یا و کردن پاک عملیات تمامی -عملیات زمان و تاریخ -مربوطه کارشناس امضاء و عنوان نام، -گرفته انجام اقدامات شرح
82
5-7( -میزپاکCleanDesk) از پیشگیری برای و کاری های ایستگاه فیزیکی امنیت استانداردهای برقراری جهت مشی خط این
موقت کارمندان وقت، پاره کارمندان کاران، پیمان مدیران، کارمندان، تمامی کاری های ایستگاه سرقت. باشد می اند، شده شناخته سازمان اطالعاتی های سیستم به دسترسی به مجاز که را کارکنانی دیگر و
خطمشی -واحد تاییدیه فاقد که جانبی دستگاه هیچ نباید کاری های ایستگاه باشد ITکاربران های می ایستگاه به را
. کنند متصل کاری -حساس اطالعات شدن دیده از که گیرند قرار ای گونه به بایست می کاری های ایستگاه مانیتورهای
جلو مجاز غیر افراد .توسط شود گیری( -شوند خارج ایستگاه از شخصا بایست می کاری ایستگاه ترک هنگام در ( Logoffکاربران و کنند
شوند ) قفل کاربر، فعالیت عدم صورت در خودکار صورت به بایست می ها محیط( Lockایستگاه از یا وشوند ) (.Logoffخارج
-اقدامات از نظر صرف شوند، می رها متصدی بدون که زمانهایی در حمل، قابل کاری های ایستگاه . روش به تواند می محافظت این شوند محافظت فیزیکی صورت به بایست می ساختمان، قرار امنیتی
قفل دارای کمدهای یا ها میز در باشد دادن . وقتی- شوند رها متصدی بدون بایست نمی زمان هیچ در حمل قابل کاری های ایستگاه سفر، هنگام در
. شود جدا کارمند از بایست نمی حمل قابل تجهیزات باشند نمی امن کار محیط اصلی، کار محیط در که. گیرد قرار توجه مورد بایست می رستوران و هتل اتاق اتومبیل، فرودگاه، در بخصوص موضوع این
- 0 سریعا باید و آورند می وجود به را امنیتی رخنه یک شده، مفقود یا و رفته سرقت به کاری های ایستگاهواحد .ITبه شوند گزارش
83
5-8 -عبور رمز هر برای کاربران ی شده ذخیره اطالعات از نگهداری جهت بیشتر امنیت برقراری منظور به
اطالع یکدیگر عبور های رمز از نباید مختلف افراد و شود می گرفته نظر در عبور رمز کاربر. باشند داشته
خطمشی -هر 0 حدودا باید هرکاربر عبور .6رمز کند تغییر یکبار هفته -تغییر را خود عبور رمز ممکن زمان ترین سریع در باید کاربر عبور، رمز شدن فاش هنگام در
دهد.. ندارند- را دیگران به خود عبور رمز و کاربری نام واگذاری ی اجازه کاربران -از حداقل باید کاربران عبور .4رمز باشد شده تشکیل حرف. باشد- % $ # ... داشته وجود و و ، کاراکترهای از یکی حداقل باید عبور رمز در . مانند- شود استفاده هم سر پشت حروف از نباید عبور رمز mnopدر. باشد- داشته وجود فرد خانوادگی نام یا نام از ای نشانه نباید عبور رمز در -قابل واحد مدیر کتبی مجوز با فقط عبور رمز بازگرداندن عبور، رمز کردن فراموش هنگام در
. میباشد انجام
84
5-9 -پشتیبان نسخه سازمان اطالعات جامعیت و پشتیبان نسخ صحت از اطمینان برای استاندارد کارهای راه تعیین منظور به
. میگیرد دربر را سازمان پشتیبان نسخ تمامی که باشد می
خطمشی. شوند- تهیه اطالعات از مرتب طور به و روزانه زمانی فواصل در باید پشتیبان های نسخه -روی بر باید پشتیبان نسخ نگهداری و Tapeکلیه مناسب امنیتی تدابیر با مکان یک در و محل از خارج در
شوند. -اطمینان آن اطالعات صحت از و گیرد صورت اصلی نسخه با تطابق باید پشتیبان نسخ تهیه هنگام در
. شود حاصل. باشد- شده مشخص ابتدا از باید پشتیبان نسخ نگهداری زمان مدت. شوند- نابود باید گذشته، تاریخ های رسانه -اطمینان آن از تا گیرد قرار آزمایش مورد باید پشتیبان نسخ بازیابی قابلیت مشخص، زمانی های بازه در
. شود حاصل: باشد- زیر اطالعات حاوی باید پشتیبان نسخ1. است- شده تهیه پشتیبان نسخه آن از که سیستمی نام2 -پشتیبان نسخه تهیه تاریخ3. است- شده تهیه پشتیبان نسخه آنها از که اطالعاتی اهمیت میزان4. است- کرده تهیه را پشتیبان نسخه که فردی نام5 -پشتیبان نسخه مصرف تاریخ85
5-10 -کاربران دسترسی مدیریت و ایجاد کاربران دسترسی حذف و مدیریت نظارت، ایجاد، جهت استاندارد کارهای راه تعیین منظور به
. گیرد می بر در را سازمان کاربران کلیه که باشد می
خطمشی. شوند- ایجاد شده تایید و مستند درخواست یک از پس باید ها دسترسی کلیه -کرده امضاء را سازمان اطالعات امنیت قوانین تاییدیه بایست می سازمان کاربران کلیه
باشند.. شوند- ایجاد فرد به منحصر صورت به بایست می سیستم در کاربری اسامی کلیه -سازمان عبور رمز مشی خط با مطابق بایست می کاربران، برای شده ایجاد های رمز کلیه
باشند. -زمان سازمان، عبور رمز مشی خط با مطابق باید می سیستم، در شده ایجاد کاربران کلیه
. باشند داشته عبور رمز انقضای -از بیش که .30کاربرانی شوند فعال غیر بایست می ننموده، استفاده خود کاربری کد از روز -مورد مشخص زمانی های دوره در و شود مستند بایست می کاربران تغییر و ایجاد مراحل
. گیرند قرار بازبینی
86
5-11 -ویروسها برابر در حفاظت می تراوا های اسب و ها کرم ها، ویروس با مقابله و شناسایی همچنین و ورود از جلوگیری منظور به
. گیرد می بر در را کنند می استفاده سازمان اطالعاتی منابع از که را افرادی کلیه و باشد
خطمشی -همینطور شوند، می مدیریت سازمان توسط یا و دارند تعلق سازمان به که کامپیوترهایی کلیه
Laptop می قرار استفاده مورد مستقل صورت به یا و شوند می متصل سازمان شبکه به که هاییسازمان اطالعات فناوری واحد تایید مورد تنظیمات و ویروس آنتی افزار نرم از بایست می گیرند،
. کنند استفاده -هرگونه از پیش باشند، نمی سازمان مدیریت تحت یا و ندارند تعلق سازمان به که کامپیوترهایی تمامی
تایید مورد تنظیمات و ویروس ضد افزار نرم از بایست می سازمان، اطالعاتی منابع به اتصال و ارتباط. کنند استفاده سازمان اطالعات فناوری مدیریت
-فعال غیر نباید ویروس ضد افزار .(Disable)نرم شود . دهد- کاهش را آن تاثیرگذاری قابلیت که کند تغییر ای گونه به نباید ویروس ضد افزار نرم تنظیمات -روز به زمانی های بازه که کند تغییر ای گونه به نباید ویروس ضد افزار نرم رسانی روز به تنظیمات
. دهد کاهش را آن رسانی -تایید مورد ویروس ضد افزار نرم از باید است، متصل سازمان شبکه به که ای دهنده سرویس هر
. کند استفاده سازمان -و کنند استفاده سازمان تایید مورد ویروس ضد افزار نرم از باید الکترونیکی پست های گذرگاه تمامی
. شوند کنترل افزار نرم این توسط باید می خروجی و ورودی های نامه تمامی -واحد به ممکن زمان اولین در باید نشود، پاک افزار نرم توسط خودکار صورت به که ویروسی هر
. شود داده گزارش اطالعات فناوری پشتیبانی 87
5-12 -اطالعاتی تاسیسات به دسترسی خطمشیمحدوده سازمان به متعلق که ارتباطی تجهیزات و ها کامپیوتر تمامی به فیزیکی دسترسی مشی، خط این
. بر در مشی خط این گیرد می بر در را گیرند می قرار استفاده مورد سازمان توسط یا و استو کارآموزان موقت، کارمندان وقت، پاره کارمندان کاران، پیمان مدیران، کارمندان، تمامی گیرنده
می اند، شده شناخته سازمان اطالعاتی های سیستم به دسترسی به مجاز که را کارکنانی دیگرباشد.
خطمشی ( اطالعاتی های سیستم آنها در که هایی محدوده شده کنترل های محدوده به فیزیکی دسترسی
) ثبت و شده مدیریت بایست می سرورها اتاق نظیر شوند، می نگهداری حساس اطالعات یاشوند.
تناسب به و شوند زده برچسب و گذاری نشانه بایست می شده کنترل های محدوده تمامی. گیرند قرار فیزیکی حفاظت مورد عملکردشان اهمیت و حساسیت
) قوانین ) به محدود نه و با مطابق بایست می فیزیکی امنیت تجهیزات و ها سیستم تمامی) ( . نشانی آتش کدهای و ها ساختمان گذاری شماره نظیر باشند مربوطه
مجاز پیمانکارانی و کارمندان برای صرفا بایست می شده کنترل های محدوده به دسترسی. است نظر مورد محدوده به دسترسی نیازمند شان کاری مسئولیت که شود شناخته
. پذیرد صورت دسترسی برقراری اجرایی روش طبق بایست می دسترسی برای درخواست
88
مواقع در و شود آماده بایست می شده کنترل های محدوده برای احتمالی دسترسی اجرایی روش. گیرد قرار استفاده مورد دسترسی خودکار کنترل سیستم افتادن کار از
/ به یا و گیرند قرار استفاده مورد اشتراکی صورت به بایست نمی ها کلید یا و دسترسی های کارت. شوند داده قرض دیگران
/ کنترل محدوده مسئول به بایست می نیستند، نیاز مورد دیگر که کلیدهایی یا و دسترسی های کارت . داده اختصاص دیگر افراد به بازگرداندن، مراحل طی بدون نباید کارتها شوند داده بازپس شده
شوند.. شوند گزارش شده کنترل محدوده مسوول به بایست می شده سرقت یا شده گم های کارت بازدیدکنندگان مشی خط مطابق بایست می شده کنترل های محدوده به بازدیدکنندگان دسترسی
باشد. اساس بر ای دوره بازنگری برای بایست می بازدیدها و ها دسترسی به مربوط اطالعات های رکورد
. شوند نگهداری شده، حفاظت اطالعاتی های سیستم و اطالعات حساسیت خط اساس بر را افراد کلید یا کارت دسترسی مجوزهای بایست می شده کنترل محدوده مسوول
. کند حذف دسترسی لغو مشی اطالعاتی های رکورد بازبینی به زمانی، های دوره در بایست می شده کنترل محدوده مسوول
. زمانی دوره کند شناسایی را غیرعادی های دسترسی و بپردازد بازدیدها و ها دسترسی به مربوطشده حفاظت اطالعاتی های سیستم و اطالعات حساسیت میزان براساس بایست می بازبینی
. شود تعیین / یا و کارت دسترسی حقوق بازنگری به زمانی های دوره در بایست می شده کنترل محدوده مسئول
. کند قطع را ندارند نیاز آن به دیگر که را افرادی دسترسی و بپردازد کلیدها
89
5-13 -اطالعات امنیت حوادث مدیریت خطمشی . باشد می اطالعات امنیت حوادث با مقابله برای نیازمندیها تعیین مشی، خط این از هدف
) استفاده ) تراوا، های اسب ها، کرم ها، ویروس حمالت به محدود نه و شامل امنیتی حوادثنادرست استفاده همچنین و اطالعات پردازش و نگهداری تجهیزات و ها دسترسی از مجاز غیر
پردازش و نگهداری تجهیزات از قبول قابل استفاده مشی خط در که صورتی به آنها از. باشد می است، شده ذکر اطالعات
خطمشی حوادث با مقابله تیم راهبری و مدیریت سازمان، اطالعات فناوری واحد مقام باالترین
. دارد برعهده را ای شده تعیین پیش از های مسئولیت و وظایف دارای حوادث با مقابله تیم اعضاء
. دارد برتری آنها عادی وظایف بر که هستند بازه در و کنند می فراهم را حوادث با مقابله اجرایی های روش ، حوادث با مقابله تیم
. دهند می قرار بازنگری و آزمایش مورد زمانی های ،کرم ویروس، قبیل از امنیتی حادثه یک که هنگامی شناسایی emailدر دروغین،
اجرایی . . . روش شد، تایید و شناسایی و شده کاری دست اطالعات نفوذ، ابزارهای. شود اجرا بایست می مربوطه امنیتی حوادث با مقابله
90
: برساند زیر افراد اطالع به را حوادث بایست می اطالعات فناوری مدیریت عامل مدیریت. اند گرفته قرار تاثیر تحت که شریکانی و مشتریان. شود داده اطالع آنها به بایست می قانون طبق که مراجعی تمامی
. باشد ارتباط در سازمانها دیگر با مختلف حوادث زمینه در باید اطالعات فناوری مدیریت ) می ) شوند، می احتمالی امنیتی حوادث به محدود نه و شامل که مشکوک های فعالیت تمامی
. شوند داده گزارش سازمان اطالعات فناوری مدیریت به بایست
6 -مستنداتمرتبطندارد
91
بگيريد امنيتى مشاور
جديد ابزارهاى آمدن بوجود همچنين و كامپيوترى علوم پيشرفت و Crackو Hackباامنيتى روالهاى و مختلف افزارهاى نرم طراحى در ناخواسته مشكل صدها وجود همچنين
. ترين قوى حتى دارد وجود غيرمجاز افراد دسترسى و حمله خطر هميشه ، ها سازمان . چون آيا ولى دارند قرار سودجو و غيرمجاز افراد خطر معرض در دنيا در موجود سايتهاى
امنيت توان بى% 100نمى امنيتى مختلف سياستهاى ايجاد و امنيتى نكات به بايد داشتبود؟ توجه
و معاون و مشاور جين دو يک خود براى خصوصى و دولتى ادارات و سازمانها مديرانپيمانکار و امنيتى مشاور يک آنها ميان چرا اما ميکنند جمع خود دور و ميتراشتند پيمانکار ! بايد اول که باشد دليل اين به شايد ؟ نيست اطالعات امنيت استانداردهاى سازى پياده
! " " " توجه" نکته اين به ايرانى مديران اگر اما باشيم اش درمان فکر به بعد و شود نازل بال " به " شوند حاضر شايد دارد قرار خاورميانه اى رايانه جرايم جدول صدر در ايران که کنندمديريت مبانى سازى پياده حتى و اطالعات امنيت با مرتبط مسائل به توجه زحمت خود
. بدهند را اطالعات امنيت
92
امنيت مديريت سيستم يک به نياز سازمان يک امنيتى و اطالعاتى اجزاى مديريت و سازماندهىتحت را اطالعاتى واحدهاى و دستورالعملها ها، رويه اجرايى، عوامل کليه که داشت خواهد اطالعات
. مىکند راتامين مجموعه کل امنيت مستمر، بهبود و نظارت امكان برقرارى با و مىدهد قرار پوششانجام براى ارتباطات و اطالعات فناورى بر مبتنى هاى حل راه از که شرکتى يا سازمان يک امروزه
نرم و شبکه و افزار سخت کار پيمان و مشاور يک که همانطور بايد ميکند استفاده خود خدمات و امورو خود مجموعه امنيتى ضريب مداوم ارزيابى براى اختصاصى پيمانکارى حتى و مشاور دارد افزار
داشته احتمالى زيان و ضرور از جلوگيرى براى امنيتى مشاور سوى از پيشنهادى هاى حل راه اعمالباشد.
امنيت مديريت سيستمهاى اجراى و طراحى تحليل، با مرتبط خدمات بايد امنيتى پيمانکار و مشاور يک : دهد ارائه زير شرح به را اطالعات
امنيتى استراتژىهاى و سياستها تهيه زمينه در مشاوره ارائهامنيت استانداردهاى با مطابق امنيتى دستورالعملهاى و ها رويه مستندسازى و طراحى
( BS7799/ISO17799اطالعات)اطالعات امنيت گواهىنامه دريافت جهت فنى خدمات و مشاوره BS7799ارائه
اطالعات امنيت سيستمهاى پيرامون پرسنل و مديران براى امنيتى آموزش خدمات ارائهشبکههاى اطالعاتى، سيستمهاى براى مرتبط تهديدات و امنيتى ضعفهاى مستندسازى و شناسائى
سازمانى روالهاى و رايانهاىکامپيوترى شبکههاى و اطالعاتى سيستمهاى براى کنترلى و حفاظتى راهکارهاى پيادهسازى و طراحى
: اطالعات مديريت سيستم اجزاى بر نظارت جهت نرمافزارى و سختافزارى خدمات ارائهامنيتى آسيبپذيرىهاى بررسى خدمات
امنيتى آسيبپذيرىهاى مديريت راهکارهاى
93
IT : ف هم دوروست سکه هم رصتيک و به ! تهديداست که نسبتى همان به اگر " به " ميتواند نکنيم توجه آن امنيت به ميکنيم تکيه و توجه اش گيرى همه و توسعه
. در را مصائب اين شود بزرگ مصيبت و تهديد يک به تبديل ثانيه از کسرى در و سادگى : کنيد مجسم خود ذهن
, شده- دزديده کارتها عبور کلمات بانکى اطالعات کليه و شده هک کشور بانکى شبکه... شده جابجا کالنى مبالغ و
... شده- فلج نفوذگران توسط کشور برق شبکه مديريت سيستمسازمان- اطالعاتى بانک به هکرها نفوذ بواسطه شخصيتان سوابق و اطالعات تمام
... شده سرقت احوال ثبت ... المللى- بين و شهرى داخلى،بين تلفنى تماس هيچ شده فلج کشور مخابراتى شبکه
... نيست ممکن... ديگر- وحشتناک سناريوى دهها و
رسيديد : من باور به حاال کنم و ITفکر رفاه باعث که سرعتى همان به ميتواندرا کشورى و شود چنينى اين مصائبى خلق باعث ميتواند ميشود ها توانايى باالرفتن
کند ! فلج
94
95
پایان