امنيت شرط اطمينان

2055

          admin 
            بازدید : 691
          دوشنبه 28 آذر 1390
           نظرات (0)
        

پيشرفت علوم كامپيوتري و درنتيجه ، پيشرفت شبكه هاي سخت افزاري و نرم افزاري، امكان دسترسي آسان و سريع را به منابع اشتراك گذاشته شده سازمان ها و شركت ها پديد آورده است. سيستم هاي خود پرداز بانكي ، كارتهاي اعتباري ، امكانات كامپيوتري بر روي تلفن هاي همراه و . . . همگي مثال هاي بارزي از تاثير امكانات كامپيوتري بر جامعه كنوني ايران هستند. با نظر به اين تحولات نكاتي نظير خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستم ها ، ازبين رفتن اطلاعات و . . . جلوه گري خاصي مي كنند.

آيا به راستي براي امنيت سازمان يا شركت خود چه كرده ايد؟ آيا پس از نابود شدن اطلاعات و يا رسوخ افراد بيگانه به سيستم اطلاعاتي سازمان و به تاراج بردن اطلاعات به ياد ايمن سازي خواهيد افتاد؟ آيا فكر نمي كنيد پيشگيري بهتر از درمان است؟

BS7799 استانداري مطمئن براي ايمن سازي اطلاعات شركت شماست. اين استاندارد از مدل PDCA تبعيت مي كند.PDCA الگويي با چهار مرحله زير است.

PLAN

اين فاز در واقع مرحله مشخص شدن تعاريف اوليه پياده سازي ISMS مي باشد. تهيه سياست هاي امنيتي ،مقاصد ،تعريف پردازش هاي مختلف درون سازماني و روتين هاي عملياتي و . . . در اين مرحله تعريف و پياده سازي مي شوند.

پياده سازي و اجراي سياست هاي امنيتي ،كنترل ها و پردازش ها در اين مرحله انجام مي شوند. درواقع اين مرحله اجراي كليه تعاريف فاز اول را طلب مي كند.

Check

اين مرحله را مي توان فاز ارزيابي نيز ناميد. در اين مرحله ارزيابي موفقيت پياده سازي سياست هاي مختلف امنيتي، همچنين تجربه هاي عملي و گزارش هاي مديريتي گردآوري خواهند شد. مرور نتايج ما را در جهت پيدا كردن ديدي بهتر رهنمون مي سازد.

ACT

اجراي موارد ترميمي و بازنگري در نحوه مديريت اطلاعات،همچنين تصحيح موارد مختلف در اين فاز انجام مي شود.

پس از پايان عمليات فاز چهار دوباره به فاز اول يعني مرحله PLAN بازگشته و با تعريف سياستهاي جديد مورد نياز مراحل بعدي را پي مي گيريم. باتوجه به تعريفي كه در بالا ملاحظه مي شود عمليات فوق پروسه اي چرخشي و پويا مي باشد كه با تغييرات درون سازماني امكان تصحيح در مديريت اطلاعات همواره وجود دارد.

ISMS چيست؟

سيستم مديريت امنيت اطلاعات يا Information Security Management System سيستمي براي پياده سازي كنترل هاي امنيتي مي باشد كه با برقراري زيرساخت هاي مورد نياز ايمني اطلاعات را تضمين مي نمايد. مدل PDCA ساختاري است كه در پياده سازي ISMS بكار برده مي شود و ISMS زيربناي BS7799 مي باشد.

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.

Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.

Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي

2- امنيت سازمان

3- كنترل و طبقه بندي دارايي ها

4- امنيت فردي

5- امنيت فيزيكي

6- مديريت ارتباط ها

7- كنترل دسترسي ها

8- روشها و روالهاي نگهداري و بهبود اطلاعات

9- مديريت تداوم كار سازمان

10- سازگاري با موارد قانوني

در زير چند زيركنترل از كنترل شماره A.9.4 استاندارد BS7799 آورده شده است.زير كنترل هاي مذكور تماما مربوط به اجراي موارد امنيتي مورد نياز در شبكه هاي كامپيوتري مي باشند.

مشخص كردن سياست هاي امنيتي در استفاده از شبكه (A.9.4.1)

كاربران تنها به سرويس هاي مورد نيازشان در شبكه دسترسي داشته باشند و دسترسي آنها به ساير قسمت ها بايد محدود و يا حتي ممنوع شود. با انجام اينكار منابع مختلف سازمان كلاسه بندي شده و سطح دسترسي افراد به اين منابع تعيين مي شوند.

مشخص كردن مسيرهاي مختلف جهت استفاده راه دور از اطلاعات (A.9.4.2)

مسيرهاي مختلف ترمينال كردن و دسترسي راه دور به سرورها نظير خطوط Leased Line و خطوط تلفني و . . . مشخص شده و محدوديتهاي لازم بر روي آنها اعمال خواهد شد.

احراز هويت كاربران خارج از سازمان (A.9.4.3)

دسترسي كاربران خارج از سازمان توسط تعريف نام كاربري و كلمه عبور مشخص و محدود مي شود لذا ليست كاربران خارج از سازمان خود را تهيه كرده و با مشخص كردن نام كاربري و كلمه عبور دسترسي آنها را محدود نماييد.

احرار هويت تعريف نام كاربر و كلمه عبور جهت دسترسي به منابع خارج سازمان(A.9.4.4)

دسترسي كاربران درون سازمان به منابع خارج سازمان نظير سرور در يكي از شعب شركت شما نيازمند تعيين يك سري محدوديت ها مي باشد. لذا براي اين منظور با مشخص كردن اينگونه منابع و تعيين افراد مجاز به آنها ايمني اطلاعات خارج از سازمان را نيز بهبودبخشيد.

حفاظت از پورت هاي شاخص شبكه در دستور كار قرار گيرد(A.9.4.5)

با توجه به اينكه 99% از شبكه ها از پروتكل TCP/IP براي ارتباطات كامپيوتري خود استفاده مي كنند لزوم اعمال كنترل هاي امنيتي براي دسترسي به اين پورت ها را در دستور خود قرار دهيد . به عنوان مثال FTP يا File Transfer Protocol پروتكلي براي انتقال اطلاعات روي شبكه هاي كامپيوتري مي باشد كه از پورت هاي 20 و 21 استفاده مي كند. اگر انتقال اطلاعات از طريق اين پورت ها در سازمان شما صورت نمي گيرد و اين پورت ها روي سرور شبكه شما باز مي باشند اقدام به بستن اين پورت ها نماييد زيرا با باز بودن اينگونه پورت ها امكان سوء استفاده از منابع سازمانتان همواره وجود دارد.

تفكيك و كلاسه كردن در شبكه (A.9.4.6)

تفكيك سرويس هاي مختلف اطلاعاتي ، كاربران و سيستم اطلاعات و درنتيجه آن تعيين دسترسي به هريك از گروه هاي اطلاعاتي و سرويس هاي تفكيك شده از جمله اقداماتي است كه براي بهبود وضعيت ايمني اطلاعات شبكه انجام مي شود.

كنترل ارتباطهاي شبكه (A.9.4.7)

امكان ارتباط كاربران به منابع به اشتراك گذارده شده شبكه كامپيوتري مستقر در سازمان با تعيين و تعريف سياست هاي كنترلي دسترسي افراد و محدود كردن اين دسترسي ها براي گروه هاي كاري مختلف از جمله اقداماتي هستند كه مدنظر قرار مي گيرند.

كنترل هاي مسير يابي شبكه (A.9.4.8)

Routerهاي مختلف در سازمان هاو تعيين مسيرهاي شبكه و تبديل آدرس هاي مختلف شبكه براي ايجاد ارتباط Segment ها امري روزمره و طبيعي است.با كنترل مسيرهاي مختلف منتهي به منابع اطلاعاتي قادر به محدود كردن و ايجاد ايمني بيشتر خواهيد شد.

ارسال نظر برای این مطلب