فا

‫ استانداردهاي مديريت امنيت اطلاعات

IRCAR201002050

استانداردهاي مديريت امنيت فضاي تبادل اطلاعات، يك سري استانداردهاي امنيتي هستند كه به سازمان ها توانايي اجراي سياست ها و تكنيك هايي را مي دهند كه تعداد حملات موفق فضاي تبادل اطلاعات را به حداقل مي رسانند. در واقع اين راهنماها يك چارچوب امنيتي كلي و يك سري تكنيك هاي تخصصي تر را براي پياده سازي امنيت فضاي تبادل اطلاعات فراهم مي سازند. براي برخي استانداردهاي خاص، گواهينامه امنيت فضاي تبادل اطلاعات صادر مي شود كه از مزيت هاي آن توانايي گرفتن بيمه امنيت فضاي تبادل اطلاعات است. لازم به ذكر است در حال حاضر، در ايران خدمات بيمه امنيت فضاي تبادل اطلاعات ارائه نمي شود.
امنيت فضاي تبادل اطلاعات براي انواع كاربران اينترنت حائز اهميت است. براي مثال افراد عادي به منظور محافظت در برابر سرقت هويت و شركت هاي تجاري نيز براي حفاظت از اسرار تجاري، مالكيت اطلاعات و اطلاعات مربوط به مشتريان، نيازمند بستري امن براي تبادل اطلاعات هستند. از طرف ديگر امنيت فضاي تبادل اطلاعات براي دولت ها نيز به منظور اطمينان از اطلاعاتي كه در اختيار آنها قرار دارد، بسيار مهم تلقي مي شود.
اولين استاندارد مديريت امنيت اطلاعات در سال 1995 ارائه شد و در نتيجه نوعي نگرش سيستماتيك به موضوع امنيت اطلاعات را ايجاد كرد. بر طبق اين نگرش جديد، شركت ها و سازمان ها لازم است براي حفط امنيت اطلاعات خود، از يك چرخه امنيتي استفاده كنند. مجموعه اي از اقدامات پيشگيرانه و تدافعي كه لازم است به صورت مداوم توسط شركت ها و سازمان هاي مختلف به منظور حفظ امنيت اطلاعات انجام پذيرد، به عنوان چرخه امنيت شناخته مي شود. اين چرخه ايمن سازي شامل مراحل طراحي، پياده سازي، ارزيابي و ترميم بوده كه لازم است طبق يك متدولوژي مشخص اجرا شوند.
اولين استاندارد مديريت امنيت اطلاعات توسط مؤسسه استانداردهاي انگلستان (BSI) و با نام BS 7799 ارائه شده است. اين استاندارد توسط دپارتمان دولتي تجارت و صنعت انگلستان (DTI) نوشته شده و داراي چندين بخش است كه به صورت جداگانه منتشر شده اند.
بخش اول استاندارد مذكور كه در رابطه با مديريت امنيت اطلاعات است، در سال 1995 منتشر شد. اين استاندارد در سال 1998 بازنويسي شده و در سال 2000 تحت نظر موسسه بين المللي استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان كامل استاندارد مذكور Information Technology - Code of practice for information security management مي باشد كه در سال 2005 بازنگري شده و بالاخره در زير گروه استانداردهاي امنيتي ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 بر اساس آن در جولاي 2007 عرضه شد.
بخش دوم BS 7799 براي اولين بار در سال 1999 توسط BSI با عنوان " Information Security Management Systems - Specification with guidance for use" ارائه شد و تمركز آن بر روي پياده سازي سيستم هاي مديريت امنيت اطلاعات (ISMS) بود. نسخه دوم استاندارد BS 7799-2 كه در سال 2002 ارائه شد يك مدل جديد به نام Plan-Do-Check-Act(PDCA) را معرفي كرد كه در رابطه با تضمين كيفيت ارائه شد. ارائه مدل PDCA استاندارد مذكور را به استانداردهاي كيفيتي ISO 9000 نزديك كرد. بر اساس سياست ها و ساختارهاي مديريت امنيت اطلاعات ارائه شده در دو نسخه مذكور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد.
بخش سوم BS 7799 در سال 2005، با موضوع تحليل و مديريت مخاطرات منتشر شد. اين استاندارد نيز در رديف ISO/IEC 27001 قرار مي گيرد.

خانواده استانداردهاي مديريت امنيت اطلاعات شامل استانداردهاي بين المللي زير مي شوند كه با عنوان كلي فناوري اطلاعات – تكنيك هاي امنيتي معرفي مي شوند:

ISO/IEC 27000:2009 Information security management systems — Overview and vocabulary



 

  • سيستم هاي مديريت امنيت اطلاعات – مرور و لغت نامه
    ISO/IEC 27001:2005, Information security management systems — Requirements

  • سيستم هاي مديريت امنيت اطلاعات – نيازمندي ها
    ISO/IEC 27002:2005, Code of practice for information security management

  • آئين نامه كاري مديريت امنيت اطلاعات
    ISO/IEC 27003, Information security management system implementation guidance

  • راهنماي پياده سازي سيستم مديريت امنيت اطلاعات
    ISO/IEC 27004, Information security management — Measurement

  • مديريت امنيت اطلاعات - سنجش
    ISO/IEC 27005:2008, Information security risk management

  • مديريت مخاطرات امنيت اطلاعات
    ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems

  • نيازمندي هاي مميزان و ارائه دهندگان گواهينامه هاي سيستم هاي مديريت امنيت اطلاعات
    ISO/IEC 27007, Guidelines for information security management systems auditing

  • راهنماي مميزي سيستم هاي مديريت امنيت اطلاعات
    ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

  • راهنماي مديريت امنيت اطلاعات براي سازمان هاي مخابراتي بر مبناي ISO/IEC 27002

در ادامه در مورد بخش هاي مهم استانداردهاي مذكور به ترتيب زمان انتشار توضيح خواهيم داد.

استاندارد ISO/IEC 27002 - بخش اول استاندارد BS 7799:

اين بخش همان طور كه گفته شد با عنوان "آيين نامه كاري مديريت امنيت اطلاعات" يا Information Technology - Code of practice for information security management ارائه شد و بدون هيچگونه تغييري در سال 2000 توسط موسسه بين المللي استاندارد با عنوان ISO/IEC 17799 منتشر گشت. استاندارد مذكور بالاخره در زيرگروه استانداردهاي امنيتي با عنوان ISO/IEC 27002 عرضه شد. در اين استاندارد موضوعاتي در قالب سياست ها و آيين نامه هاي كاري عمومي در زمينه امنيت ارائه شده است. اين استاندارد خود را به عنوان "نقطه شروعي براي توسعه راهكار امنيتي مخصوص هر سازمان" معرفي مي كند. در واقع ممكن است تمام راهنمايي ها و كنترل هايي كه در آن وجود دارد، براي يك سازمان مورد نياز نباشد و از طرف ديگر سياست هاي امنيتي ديگري مورد نياز باشد كه در استاندارد به آن اشاره نشده است. در اين استاندارد به جزئيات دقيق و يا چگونگي پياده سازي اشاره اي نشده است. به طور خلاصه استاندارد مذكور موضوعات زير را بررسي مي كند:

  • تدوين سياست امنيتي سازمان
  • زيرساخت امنيتي سازمان
  • كنترل و طبقه بندي سرمايه ها
  • امنيت كارمندان
  • امنيت فيزيكي و محيطي
  • مديريت ارتباطات و عملكرد
  • كنترل دسترسي
  • توسعه و نگهداري سيستم
  • مديريت تداوم فعاليت
  • سازگاري

همان طور كه اشاره شد اين استاندارد در هيچ كدام از موضوعات فوق وارد جزئيات دقيق و يا پياده سازي آن نمي شود و تنها يك راهنمايي كلي را در حوزه موضوعات مطرح شده، فراهم مي آورد. اين استاندارد اطلاعات كافي را براي بررسي دقيق وضعيت مديريت امنيت اطلاعات سازمان ها در اختيار نمي گذارد. همچنين برنامه اي براي ارائه گواهينامه اي مانند گواهينامه ISO 9000 را شامل نمي شود. بلكه اين استاندارد براي مرور كلي موضوعات امنيت اطلاعات مفيد واقع مي شود و مي تواند توسط مديران ارشد براي فهميدن مشكلات امنيتي كه در هر يك از موضوعات مذكور با آن روبرو مي شوند، مورد استفاده قرار بگيرد. در صورتي كه استاندارد ISO/IEC 17799 همراه با راهنمايي هاي فني تكميلي به كار گرفته شود، مي تواند به عنوان يك ابزار بازنگري امنيتي بسيار مؤثر واقع شود.

استاندارد ISO/IEC 27001 - بخش دوم BS 7799:

اين بخش از استاندارد مديريت امنيت اطلاعات همان طور كه در بالا اشاره شد با عنوان " Information Security Management Systems - Specification with guidance for use" يا "ويژگي هاي سيستم مديريت امنيت اطلاعات همراه با راهنماي استفاده" ارائه شد و تمركز آن بر روي ايجاد سيستم هاي مديريت امنيت اطلاعات و يا ISMS ها است. اين استاندارد تحت نظر موسسه بين المللي استاندارد با عنوان ISO/IEC 27001 و در اكتبر سال 2005 منتشر شده است.
اصلي كه در وراي ISMS وجود دارد، توانايي بخشيدن به يك سازمان براي طراحي، پياده سازي، نگهداري و پشتيباني يك مجموعه پيوسته از فرآيندها و سيستم ها جهت مديريت مخاطرات دارايي هاي اطلاعاتي است. فرآيندها و سيستم هاي مذكور بايد به گونه اي باشند كه سطح قابل قبولي از امنيت اطلاعات شامل محرمانگي، تماميت و در دسترس بودن را فراهم كنند.
يك ISMS همزمان با همه فرآيندهاي مديريتي، لازم است اثرگذاري و كارايي خود را در طول زمان حفظ كرده و توانايي هماهنگي با تغييرات داخل سازمان و تغييرات محيطي را داشته باشد. به همين منظور ISO/IEC 27001 چرخه مديريتي PDCA يا Plan-Do-Check-Act را معرفي كرده است:


  • Plan يا طراحي. اين مرحله در مورد طراحي ISMS، ارزيابي مخاطرات و انتخاب روش هاي كنترلي مناسب است.
  • Do يا اجرا. اين مرحله در مورد پياده سازي و اجراي كنترل ها است.
  • Check يا مرور. هدف از اين مرحله بازنگري و ارزيابي بهره وري (كارايي، اثرگذاري) يك ISMS است.
  • Act يا اقدام. در اين مرحله تغييرات مورد نياز اعمال شده و سعي مي شود ISMS به بالاترين حد كارايي برسد.

شكل ديگري از استاندارد ISMS نيز با عنوان مدل به كمال رسيده مديريت امنيت اطلاعات (Information Security Management Maturity Model ) يا ISMS3 ارائه شده است. سيستم مديريت امنيت اطلاعات ISMS3 بر اساس استانداردهاي ISO 20000، ISO 9001، CMM، ISO/IEC 27001 و مفاهيم عمومي كنترل و امنيت اطلاعات تهيه شده است. در واقع ISMS3 مي تواند به عنوان قالبي براي ISO 9001 منطبق با ISMS در نظر گرفته شود. استاندارد ISO/IEC 27001 مبتني بر كنترل است در حالي كه ISMS3 مبتني بر پروسه است. مدل ISMS3 در استاندارد ISO/IEC 21827 توضيح داده شده است.

استاندارد ISO/IEC 27006

اين استاندارد در سال 2007 و براي سازمان هاي ارائه دهنده گواهينامه هاي امنيتي (مميزان امنيت اطلاعات) مبتني بر ISO/IEC 27001 منتشر شده است. در اين استاندارد طرح نيازمندي هاي سازمان هاي مذكور ترسيم شده و به نوعي معنادار و قابل اطمينان بودن گواهينامه هاي ISO/IEC 27001 را تضمين مي كند.

استاندارد ISO/IEC 27005

اين استاندارد راهنمايي را براي مديريت مخاطرات امنيت اطلاعات فراهم مي آورد و در ژوئن 2008 منتشر شده است. اين استاندارد مفاهيمي را كه در استاندارد ISO/IEC 27001 معرفي شده اند، پشتيباني مي كند و براي كمك به پياده سازي مؤثر امنيت اطلاعات مبتني بر روش مديريت مخاطرات طراحي شده است. در اين استاندارد از هيچ روش خاصي براي تحليل مخاطرات اسم برده نشده و همچنين هيچ روشي نيز پيشنهاد نشده است ولي يك پروسه ساخت يافته، سيستماتيك و صريح از تحليل مخاطرات گرفته تا ايجاد برنامه رفع مخاطرات مشخص شده است.

استاندارد ISO/IEC 27011

استاندارد ISO/IEC 27011 در دسامبر سال 2008 بر پايه ISO/IEC 27002 منتشر گشته است. اين استاندارد راهنمايي را براي پياده سازي مديريت امنيت اطلاعات در سازمانهاي مخابراتي فراهم مي آورد. در واقع استاندارد مذكور ويژگي هاي مخصوص به اين بخش صنعت را در نظر گرفته و تغييرات لازم را در نيازمندي هاي ISO/IEC 27001 و همچنين ISO/IEC 27002 متناسب با نيازمندي هاي شركت ها و سازمان هاي مخابراتي به وجود آورده است.

استاندارد ISO/IEC 27004

هدف از اين استاندارد كه در دسامبر سال 2009 منتشر شده است كمك به سازمان ها براي اندازه گيري، گزارش و بهبود سيستماتيك اثرگذاري سيستم مديريت امنيت اطلاعات (ISMS) است. اين استاندارد داراي بخش هاي اصلي زير است:

  • بررسي كلي سنجش يا اندازه گيري امنيت اطلاعات
  • مسئوليت هاي مديريت
  • توسعه سنجش و معيارهاي آن
  • عمليات سنجش
  • گزارش گيري از نتايج سنجش و تحليل داده ها
  • توسعه و ارزيابي برنامه سنجش امنيت اطلاعات

استاندارد ISO/IEC 27003

هدف از اين استاندارد كمك و راهنمايي براي پياده سازي سيستم مديريت امنيت اطلاعات (ISMS) است و در سوم فوريه 2010 منتشر شده است.موضوعات مطرح شده در استاندارد مذكور عبارتند از:

  • به دست آوردن تصويب مديريت براي شروع پياده سازي پروژه ISMS
  • تعريف حوزه ISMS و سياست ISMS
  • هدايت تحليل سازمان
  • هدايت ارزيابي مخاطرات و رفع مخاطرات
  • طراحي ISMS

استاندارد ISO/IEC 27007

اين استاندارد راهنمايي را براي مميزي ISMS جهت ارائه گواهينامه هاي امنيتي به جز ISO/IEC 27001 فراهم مي كند. استاندارد مربوط به مميزي ISO/IEC 27001 همان طور كه گفته شد در ISO/IEC 27006 پوشش داده شده است. حوزه هاي مربوط به اين استاندارد عبارتند از:

مميزي داخلي، براي مثال به مميزان فناوري اطلاعات كمك مي كند تا از كاهش مكفي مخاطرات امنيتي توسط كنترل هاي امنيت اطلاعات سازمان، اطمينان حاصل كنند.
مميزي خارجي كه شامل مميزي فناوري اطلاعات نيز مي شود، به عنوان بخشي از مميزي مالي انجام مي شود. براي مثال مميزان بايد از داده ها و اطلاعات موجود در قسمت هاي مختلف مثلاً سيستم هاي تداركات اطمينان حاصل كنند . همچنين براي مميزي شركت هاي پيمانكار ISMS به كار مي رود (براي مثال شرايط قرارداد متصديان سرويس هاي فناوري اطلاعات در قسمت هايي كه مربوط به امنيت اطلاعات مي شود).
بازنگري مديريتي. از طرفي شامل فعاليت هاي روتين به عنوان بخشي از عمليات ISMS مي شود تا صحت همه چيز را بررسي كند و از طرف ديگر با بررسي موردي رخدادهاي امنيتي به دنبال علت ريشه اي مخاطرات گشته و سعي در ايجاد واكنش هاي اصلاح كننده دارد.

اين استاندارد در دست بررسي است و احتمالاً در سال 2010 منتشر خواهد شد.

در زير نموداري كه ارتباط استانداردهاي مذكور به يكديگر را نشان مي دهد مشاهده مي كنيد.





نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0