امنيت شرط اطمينان‌

نام نویسنده: كيانوش مراديان‌

همكاران سيستم‌ – پيشرفت علوم كامپيوترى و در نتيجه، پيشرفت شبكه‌هاى سخت‌افزارى و نرم‌افزارى، امكان دسترسى آسان و سريع را به منابع اشتراك گذاشته شده سازمان‌ها و شركت‌ها پديد آورده است. سيستم‌هاى خود پرداز بانكى، كارت‌هاى اعتبارى، امكانات كامپيوترى بر روى تلفن‌هاى همراه و… همگى مثال‌هاى بارزى از تاثير امكانات كامپيوترى بر جامعه كنونى ايران هستند. با نظر به‌اين تحولات نكاتى نظير خطر آشكار شدن رمز عبور، خطر ويروسى شدن سيستم‌ها، از بين رفتن اطلاعات و… جلوه‌گرى خاصى مى‌كنند.

آيا به راستى براى امنيت سازمان يا شركت خد چه كرده‌ايد؟ آيا پس از نابود شدن اطلاعات و يا رسوخ افراد بيگانه به سيستم اطلاعاتى سازمان و به تاراج بردن اطلاعات به ياد ايمن‌سازى خواهيد افتاد؟ آيا فكر نمى‌كنيد پيشگيرى بهتر از درمان است؟

7799BS استاندارد مطمئن براى ايمن‌سازى اطلاعات شركت شماست.

اين استاندارد از مدل PDCA تبعيت مى‌كند PDCA . الگويى با چهار مرحله زير است.

PLAN

اين فاز در واقع مرحله مشخص شدن تعاريف اوليه پياده‌سازى ISMS مى‌باشد.

تهيه سياست‌هاى امنيتى، مقاصد، تعريف پردازش‌هاى مختلف درون سازمانى و روتين‌هاى عملياتى و… در اين مرحله تعريف و پياده‌سازى مى‌شوند.

DO

پياده‌سازى و اجراى سياست‌هاى امنيتى‌، كنترل‌ها و پردازش‌ها در اين مرحله انجام مى‌شوند. در واقع اين مرحله اجراى كليه تعاريف فاز اول را طلب مى‌كند.

Check
اين مرحله را مى‌توان فاز ارزيابى نيز ناميد. در اين مرحله ارزيابى موفقيت پياده‌سازى سياست‌هاى مختلف امنيتى، همچنين تجربه‌هاى عملى و گزارش‌هاى مديريتى گردآورى خواهند شد. مرور نتايج ما را در جهت پيدا كردن ديدى بهتر رهنمون مى‌سازد.

ACT

اجراى موارد ترميمى‌و بازنگرى در نحوه مديريت اطلاعات، همچنين تصحيح موارد مختلف در اين فاز انجام مى‌شود.

پس از پايان عمليات فاز چهار دوباره به فاز ول يعنى مرحله PLAN بازگشته و با تعريف سياست‌هاى جديد مورد نياز مراحل بعدى را پى مى‌گيريم.

با توجه به تعريفى كه در بالا ملاحظه مى‌شود عمليات فوق پروسه‌اى چرخشى و پويا مى‌باشد كه با تغييرات درون سازمانى امكان تصحيح در مديريت اطلاعات همواره وجود دارد.

ISMS چيست؟

سيستم مديريت امنيت اطلاعات يا Information Security Management System سيستمى ‌براى پياده‌سازى كنترل‌هاى امنيتى مى‌باشد كه با برقرارى زيرساخت‌هاى مورد نياز ايمنى اطلاعات را تضمين مى‌نمايد. مدل PDCA ساختارى است كه در پياده‌سازى ISMS بكار برده مى‌شود و ISMS زيربناي7799 BS مى‌باشد.

7799BS حفاظت از اطلاعات را در سه مفهوم خاص يعنى قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مى‌كند.

:Confidentiality تنها افراد مجاز به اطلاعات دسترسى خواهند يافت.

:Integrity كامل بودن و صحت اطلاعات و روش‌هاى پردازش اطلاعات مورد نظر هستند.

: Availability اطلاعات در صورت نياز به‌طور صحيح در دسترس بايد باشد.

استاندارد7799 BS داراى 10 گروه كنترلى مى‌باشد كه هر گروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براى داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلى عبارتند از:

-1 سياستهاى امنيتى‌

-2 امنيت سازما‌

-3 كنترل و طبقه‌بندى دارايى‌ها

-4 امنيت فردى‌

-5 امنيت فيزيكى

-6 مديريت ارتباط‌ها

-7 كنترل دسترسى‌ها

-8 روش‌ها و روال‌هاى نگهدارى و بهبود اطلاعات‌

-9 مديريت تداوم كار سازمان‌

– 10 سازگارى با موارد قانونى‌

در زير چند زيركنترل از كنترل شماره4.9 A. استاندارد7799 BS آورده شده است. زير كنترل‌هاى مذكور تماما مربوط به اجراى موارد امنيتى مورد نياز در شبكه‌هاى كامپيوترى مى‌باشند.

مشخص كردن سياست‌هاى امنيتى در استفاده از شبكه1.4.9.A

كاربران تنها به سرويس‌هاى مورد نيازشان در شبكه دسترسى داشته باشند و دسترسى آنها به ساير قسمتها بايد محدود و يا حتى ممنوع شود. با انجام اينكار منابع مختلف سازمان كلاسه بندى شده و سطح دسترسى افراد به‌اين منابع تعيين مى‌شوند.

مشخص كردن مسيرهاى مختلف جهت استفاده راه دور از اطلاعات2.4.9.A

مسيرهاى مختلف ترمينال كردن و دسترسى راه دور به سرورها نظير خطوط Leased Line و خطوط تلفنى و… مشخص شده و محدوديت‌هاى لازم بر روى آنها اعمال خواهد شد.

احراز هويت كاربران خارج از سازمان (3.4.9.A

دسترسى كاربران خارج از سازمان توسط تعريف نام كاربرى و كلمه عبور مشخص و محدود مى‌شود، لذا ليست كاربران خارج از سازمان خود را تهيه كرده و با مشخص كردن نام كاربرى و كلمه عبور دسترسى آنها را محدود نماييد.

احراز هويت تعريف نام كاربر و كلمه عبور جهت دسترسى به منابع خارج سازمان 4.4.9.A

دسترسى كاربران درون سازمان به منابع خارج سازمان نظير سرور در يكى از شعب شركت شما نيازمند تعيين يك سرى محدوديت‌ها مى‌باشد. لذا براى اين منظور با مشخص كردن اين‌گونه منابع و تعيين افراد مجاز به آنها ايمنى اطلاعات خارج از سازمان را نيز بهبود بخشيد.

حفاظت از پورت‌هاى شاخص شبكه در دستور كار قرار گيرد5.4.9.A

با توجه به ‌اين‌كه 99درصد از شبكه‌ها از پروتكل TCP/IP براى ارتباطات كامپيوترى خود استفاده مى‌كنند، لزوم اعمال كنترل‌هاى امنيتى براى دسترسى به‌اي پورت‌ها را در دستور خود قرار دهيد . به عنوان مثال FTP ياFile Transfer Protocol پروتكلى براى انتقال اطلاعات روى شبكه‌هاى كامپيوترى مى‌باشد كه از پورت‌هاى 20 و 21 استفاده مى‌كند. اگر انتقال اطلاعات از طريق اين پورت‌ها در سازمان شما صورت نمى‌گيرد و اين پورت‌ها روى سرور شبكه شما باز مى‌باشند اقدام به بستن اين پورت‌ها نماييد، زيرا با باز بودن اين‌گونه پورت‌ها امكان سوءاستفاده از منابع سازمانتان همواره وجود دارد.

تفكيك و كلاسه كردن در شبكه6.4.9.A

تفكيك سرويس‌هاى مختلف اطلاعاتى، كاربران و سيستم اطلاعات و در نتيجه آن تعيين دسترسى به هريك از گروه‌هاى اطلاعاتى و سروس‌هاى تفكيك شده از جمله اقداماتى است كه براى بهبود وضعيت ايمنى اطلاعات شبكه انجام مى‌شود.

كنترل ارتباط‌هاى شبكه7.4.9.A

امكان ارتباط كاربران به منابع به اشتراك گذارده شده شبكه كامپيوترى مستقر در سازمان با تعيين و تعريف سياست‌هاى كنترلى دسترسى افراد و محدود كردن اين دسترسى‌ها براى گروه‌هاى كارى مختلف از جمله اقداماتى هستند كه مدنظر قرار مى‌گيرند.

كنترل‌هاى مسير يابى شبكه8.4.9.A

Router هاى مختلف در سازمان‌ها و تعيين مسيرهاى شبكه و تبديل آدرس‌هاى مختلف شبكه براى ايجاد ارتباطSegmentها امرى روزمره و طبيعى است. با كنترل مسيرهاى مختلف منتهى به منابع اطلعاتى قادر به محدود كردن و ايجاد ايمنى بيشتر خواهيد شد.