چهارچوب بررسى امنيتى سيستم هاى اطلاعاتى ISSAF
نام نویسنده: * سيد حميد كشفى
آی تی ایران – امروزه ارزيابى امنيتى سيستم هاى اطلاعاتى بر طبق نيازهاى تجارى ، از جمله اجراء جدا ناپذير استراتـژى هاى كارى يك سازمان ميباشد . در حالى كه تـعداد معـــــــدود و محدودى استاندارد ، اسلوب و چهارچوب براى رسيدگى به امنيت اطلاعات ، و فيلد هايى كه ميبايست مورد بررسى قرار گيرند در دسترس ميباشد ، هيچ يك از آنها چگونگى و دليل انجام اين رسيدگى و حتى روش هاى امن سازى پارامترهاى مورد بحث را تحت پوشش قرار نميدهند .
ISSAF – (Information System Security Assessment Framework) يك چهارچوب ساخت يافته براى بررسى امنيت اطلاعات ميباشد كه امر بررسى امنيتى را تحت بخش هاى متنوع و مختلف ارائه داده و به ذكر جزييات در مورد هريك از بخش هاى عنوان شده مى پردازد.
اين توضيحات شامل مواردى است كه ميبايست مورد ارزيابى قرار گيرند ، و همچنين روش و محدوده بررسى . در ISSAF سعى بر آن شده تا فيلد هاى مطرح شده براى بررسى ، انعكاسى از موارد واقعى و كاملآ كاربردى باشد .
ISSAF ميبايست بعنوان يك مرجع و راهنماى اوليه براى رفع نياز بررسى امنيتى سازمان ها و همچنين بعنوان مرجعى براى ساير موارد امنيتى مورد رجوع و استفاده قرار گيرد.
ISSAF همچنين زيربخش هاى كوچك و مفيدى را براى پيشبرد پروسه هاى امنيتى ، بررسى و محكم سازى و ترسيم تصوير كاملى از ضعف هاى امنيتى موجود در بردارد.
اطلاعات در ISSAF بر اساس معيارها و محدوده هاى بررسى مختلفى تقسيم بندى شده كه هر بخش توسط يك متخصص در آن زمينه خاص تهيه و مورد بازبينى قرار گرفته است.
هر محدوده و معيار بررسى تعريف شده شامل بخش هاى زير ميباشد
• توضيحى در مورد معيارهاى رسيدگى
• اهداف و ايده آل ها
• شرايط لازم براى انجام بررسى
• مراحل و پروسه بررسى
• عنوان نتايجى كه انتظار ميرود
• پيشنهاد رش ها و اقدامات مقابله و متقابل
• ارجاع به مطالب و منابع خارجى
مطالب ارائه شده در اين چهارچوب گسترده ميباشند . ما تصميم به ارائه هرچه بيشتر اطلاعات كرديم با اين قصد كه استفاده كننده از اين چهارچوب بجاى نياز به گسترش و بسط دادن مطالب لازم و عنوان شده ، از آنها صرف نظر و چشم پوشى كند. ISSAF يك سند باز ميباشد كه بصورت مداوم در آينده گسترش خواهد يافت و اصلاح و بروز رسانى خواهد شد .
اهداف ISSAF
• عمل كردن بعنوان يك مرجع پيوسته براى بررسى امنيتى ( Security Assessment )
• استاندارد سازى پروسه بررسى امنيتى سيستم هاى اطلاعاتى
• بكارگيرى حداقل و كوتاه ترين پروسه قابل قبول وممكن
• فراهم كردن يك روال استاندارد كه بررسى ميتواند ( بايد ) بر اساس آن انجام شود
• بررسى و بازبينى اقدامات پياده سازى شده براى مقابله با دسترسى غيرمجاز
• عمل كردن بعنوان يك مرجع اجرا سازى امنيت اطلاعات
• تقويت پروسه هاى امنيتى و تكنولوژى هاى موجود
هدف اصلى ISSAF فراهم آوردن يك نقطه رجوع واحد براى بررسى امنيتى ميباشد . و در تهيه آن سعى بر آن شده تا مواردى كه عنوان ميگردد نزديكى هرچه بيشترى به پيامد ها و مسايل بررسى هاى امنيتى واقعى داشته باشد كه اين موضوع از لحاظ كارى موقعيتى ارزشمند را فراهم ميكند .
براى دسترسى به اين هدف ISSAF از اين دستوركار استفاده ميكند :
• ارزيابى رويه هاى ( Policy ) امنيت اطلاعات سازمان ها براى اطمينان از اينكه با معيارها و نيازهاى صنعتى مطابقت داشته و آئين نامه ها و قوانين تعريف شده را مختل نميكنند .
• تشخيص نيازهاى حياتى زيربناى سيستم هاى اطلاعاتى مورد نياز سازمان ها براى انجام پروسه هاى كارى و ارزيابى امنيت آنها
• هدايت پروسه هاى تشخيص نقاط آسيب پذير و تست نفوذ براى نمايان كردن نقاط ضعف سيستم ها و در نتيجه تشخيص نقاط ضعف مربوط به شبكه ، سيستم ها و برنامه ها
• ارزيابى كنترل هاى اعمال شده بر حوزه هاى مختلف امنيت با :
o پيدا كردن تنظيمات غلط اعمال شده و تصحيح آنها
o تشخيص ريسك هاى شناخته شده و ناشناخته مربوط به فناورى و اداره كردن آنها
o تشخيص ريسك هاى شناخته شده و ناشناخته مربوط به كاركنان و پروسه هاى كارى و اداره كردن آنها
o تحكيم و تقويت پروسه ها و فناورى هاى موجود
• اولويت بندى انجام بررسى ها بر اساس ميزان اهميت سيستم ، هزينه بررسى و منافع مورد توقع
• تربيت كردن افراد براى انجام بررسى هاى امنيتى
• تربيت كردن افراد در زمينه سيستم هاى امنيتى ، شبكه ها و برنامه ها
• ارائه اطلاعات در زمينه
o بازبينى گزارش ها، مانيتورينگ و پروسه هاى مميزى ( Audit) و بررسى
o تهيه و بازبينى روال هاى بازيابى از حوادث (Disaster Recovery (
o بازبينى مسايل مربوط به Outsource كردن امنيت
• مطابقت دادن با استاندارد هاى قانونى و قواعد
• ايجاد آگاهى امنيتى ( Security Awareness )
• مديريت مؤثر پروژه هاى بررسى امنيتى
• محافظت در برابر حملات مهندسى اجتماعى
• بازبينى امنيت فيزيكى
اين خط مشى بر اساس استـفاده از كوتاه ترين راه براى رسيدن به هدف شخص ، بر اساس يافتن نقاط ضعفى كه بطور مؤثر و با كمترين تلاش قابل بهره بردارى هستند ميباشد . هدف اين چهارچوب دادن تماميت ودقت و كارايى به امر بررسى امنيتى ميباشد .
چرا ما به فكر ISSAF افتاديم ؟
پس از كار بر روى پروژه هاى بسيار در زمينه بيمه و امنيت اطلاعات ، عدم وجود يك منبع و چهارچوب جامع كه امنيت اطلاعات در قالب تشخيص نقاط ضعف ، تست نفوذپذيرى و بررسى امنيتى را بصورت استاندارد شده فراهم آورد احساس شد.
ISSAF يك چهارچوب جامع و ژرف ميباشد كه به پرهيز از عواقب استفاده از روش هاى بررسى امنيتى ناقص و غير استاندارد كمك ميكند . در ISSAF سعى ما بر آن بوده تا چهارچوب بررسى امنيتى سيستم هاى اطلاعاتى كامل ترى نسبت به انواع موجود و مشابه تهيه گردد و هدف سبك سازى ريسك هاى آميخته با خود پروسه بررسى امنيتى ميباشد .
اين به ما كمك ميكند تا خطراتى را كه ما را در حين انجام اموركارى روزانه تهديد ميكند بهر بشناسيم . تهديدات ، افشا سازى اطلاعات وآسيب پذيرى هايى كه سازمان ما را تهديد ميكنند بسيار بزرگتر از آن هستند كه از بتوان از آنها صرف نظر كرد.
در حال حاضر ISSAF پاسخگوى تمامى نيازها و موقعيت ها نميباشد اما ما با بهبود مطالب عنوان شده كنونى و اضافه كردن حوزه هاى جديد متعهد به بهبود پيوسته اين چهارچوب شده ايم.
استفاده كننده گان اين چهارچوب
اين چهارچوب طيف وسيعى از كاربران را پوشش ميدهد كه شامل موارد ذيل ميباشند
• ارزياب هاى داخلى و خارجى امنيتى ، بررسى كننده هاى نفوذ ، مميزى هاى امنيتى
• افراد حرفه اى كه پيرامون مسايل امنيت اطلاعات داراى مسئوليت ميباشند
• مهندسين و مشاورين امنيتى
• مديران پروژه هاى بررسى امنيت
• موارد مربوط به سيستم هاى اطلاعاتى با مسئوليت امنيت اطلاعات
• مديران سيستم / شبكه / وب
• مديران فنى
*عضو كميته ارشد و دبير ايران در OISSG