ParvanehDesigner
جمعه 15 آبان 1383, 18:21 عصر
استاندارد امنیت اطلاعات BS7799 استانداردی جهانی و پویاست که با ارائه کنترل های مختلف سعی در پیاده سازی قالبی مطمئن برای شرکت ها دارد. با اجرای این کنترل ها نه تنها به شرکت خود نظم می بخشیم بلکه امنیت اطلاعات و دارایی های مختلف شرکت را برقرار خواهید ساخت.
استانداردBS7799 پرسنل،تکنیک ها و ایده ها را ایمن خواهد ساخت.
داشتن حجم بالای اطلاعات در سازمان نیازمند پیاده سازی استانداردی مطمئن در زمینه امنیت می باشد. اهمیت این قضیه در برخی سازمان ها حساس تر می باشد. شرکت های بیمه ، بانک ها و پیمانکاران مختلف نمونه اینگونه سازمان ها هستند. همچنین شرکت های ساختمانی و شرکت های مشاوره ای نیازمند حفاظت از اطلاعات سایر سازمان ها می باشند این اطلاعات در قالب طراحی ، نقشه ها و اطلاعات عمومی و . . . هستند.
هدف اصلی و نگرش به استاندارد BS7799 در سه قالب جلوگیری ، حفاظت و ثبت اطلاعات ، خلاصه می شود. استاندارد انواع مختلف اطلاعات مربوط به سازمان، نظیر امضای الکترونیکی، اسناد مکتوب و . . . را شامل می شود اما بحث پیاده سازی سیاست کنترلی مشخص برای افراد مختلف درون سازمانی و برون سازمانی از اهمیت بالاتری برخوردار است. نحوه اطمینان به پرسنل و روالهای مختلف برای برخورد با افرادی که از شرکت می روند شامل این استاندارد می شود.
BS7799 نتیجه تلاش برای رسیدن به یک قالب مشترک امنیتی جهت شرکت های مختلف با زمینه کاری مختلف می باشد.امروزه استاندارد ISO راهنمایی خاص را برای رسیدن به این منظور به نام ISO/IEC 17799:2000 ارائه داده است که در واقع تمرینی جدی و عالی برای پیاده سازی امنیت اطلاعات می باشد.این رهنمودها با دقت خاصی در استاندارد BS7799-2:2002 گردآوری شده است که نتیجه پیاده سازی آن اخذ گواهینامه امنیت اطلاعات می باشد. پیاده سازی این استاندارد سبب خواهد شد تا امکان سوء استفاده از اطلاعات ، ازبین رفتن آن و سایر خطرات به حداقل برسد.
امنیت اطلاعات برای جلوگیری از دسترسی های غیر مجاز به اطلاعات ایجاد شده است. BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.
Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.
در زیر چند کنترل امنیتی مؤثر مدون در استاندارد BS7799 مورد بحث و بررسی قرار خواهد گرفت.
A.8.6 امنیت ابزارهای انتقال اطلاعات
برای جلوگیری از آسیب دیدگی دارایی ها و حفاظت از اطلاعات ابزارهای انتقال اطلاعات نظیر کامپیوتر ها ، فلاپی دیسک ها ، CD ها و . . . کنترلهای زیر در مستندات BS7799 گنجانده شده است.
*مدیریت ابزارهای انتقال اطلاعات (کنترل A.8.6.1)
کلیه ابزارهای انتقال اطلاعات نظیر Tape ها ، فلاپی دیسکت ها ، نسخه های پرینت گرفته شده اطلاعات و . . . نیاز به حفاظت و کنترل دارند. داشتن جداولی از این ابزارها ، مشخص کردن نوع اطلاعات روی آنها و همچنین اشخاص مجاز به دسترسی به آن امری لازم است. همچنین محل نگهداری این ابزارها و ایجاد شرایط محیطی امن و کنترل شده باید در دستور کار قرار گیرد.
*ازرده خارج کردن اطلاعات ( کنترل A.8.6.2 )
در صورتیکه که نیاز به اطلاعات روی ابزار انتقال ندارید نگه داری و امنیت آن کاری دشوار و بیهوده می باشد لذا اقدام به از بین بردن اطلاعات روی آنها نمائید. بطور مثال با هفت بار فرمت هارددیسک و یا با شکستن CD حاوی اطلاعات قدیمی و بدون مصرف قادر به از بین بردن اینگونه اطلاعات خواهید شد.
*امنیت اطلاعات در هنگام حمل ( کنترل A.8.6.3 )
برای جلوگیری از سوء استفاده از اطلاعات و همچنین کاهش ریسک نیاز به تعریف و ایجاد سیاست های امنیتی در هنگام حمل اطلاعات هستید.لذا با زدن برچسب روی ابزارهای انتقال اطلاعات و همچنین مشخص کردن مبدا و مقصد و نیز افراد مجاز به دسترسی قادر به ایجاد امنیت و کنترل اطلاعات خواهید شد.
*امنیت اطلاعات سیستم (کنترل A.8.6.4 )
باتوجه به تنوع اطلاعات در شرکت و وجود شبکه های کامپیوتری امکان دسترسی افراد مختلف به اطلاعات وجود دارد. لذا با دسته بندی اطلاعات و تعریف حق دسترسی افراد امنیت اطلاعات خود را بیش از پیش خواهید کرد.
A.8.7 رد و بدل کردن اطلاعات و نرم افزار بین شرکتهای مختلف
برای جلوگیری از تغییرات ، ازبین رفتن و سوءاستفاده از اطلاعات زمانیکه بین شرکت ها ردوبدل می شوند نیاز به ایجاد سیاستهای کنترلی می باشد.
*قرارداد انتقال اطلاعات بین شرکت ها (A.8.7.1)
برای جلوگیری از سوء استفاده اطلاعات در هنگام ردوبدل شدن آنها بین شرکتها و تعیین حریم استفاده از آنها توسط شرکت مقصد نیاز به عقد قرارداد بین شرکت مبدا و مقصد اطلاعات می باشد.
*امنیت اطلاعات در ترانزیت (A.8.7.2)
همانطور که در کنترل های قبلی اشاره شد امنیت اطلاعات در هنگام انتقال اطلاعات از شرکت مبدا به شرکت مقصد و تعیین دسترسی افراد مختلف به آن امری ضروری است.
*امنیت تجارت الکترونیک (A.8.7.3)
فعالیت های مختلف تجارت الکترونیکی نیازمند تدارک یک سری سیاست های امنیتی و پیاده سازی این سیاستها می باشد. نکات مختلف نظیر جلوگیری از فعالیت افراد تبهکار، حق تغییر اطلاعات،امضای الکترونیکی و . . . باید درنظر گرفته شوند.
*امنیت نامه های الکترونیکی یا e-mail (A.8.7.4)
سیاست های خاصی برای جلوگیری از سوءاستفاده افراد غیر مجاز برای استفاده از نامه های الکترونیکی باید تدوین شوند.ایجاد ایمیل شخصی برای افراد مختلف و آموزش صحیح آنها برای استفاده از ایمیلو همچنین آشنایی آنها با مفاهیم مختلف ایمیل از جمله وظایفی است که مدیر شبکه در دستور کار خود قرار می دهد.
*امنیت سیستم های موجود در شرکت (A.8.7.5)
برای استفاده صحیح از دستگاه های مختلف داخل شرکت نیاز به تعریف سیاست های مختلف و کتابچه های راهنما می اشد. کامپیوتر های مختلف در سازمان ، دستگاههای فکس و . . . از جمله امکاناتی است که در حین ساده کردن کارها نقاط استراتژیک اطلاعاتی هستند.
*صحت اطلاعات (A.8.7.6)
برای رسیدن به اطلاعاتی کارساز و مفید نیاز به پردازش روی اطلاعات خام و اولیه می باشد.حفاظت از این اطلاعات خام گردآوری شده کاری بسیار مهم می باشد که باید در دستور کار قرارگیرد. نتیجه گیری درست از اطلاعات اولیه غلط بسیار بعید می نماید.
*مبادله سایر فرم های اطلاعات(A.8.7.7)
برای سایر اشکال اطلاعات در شرکت ایجاد سیاست های حفاظتی امری ضروری می باشد. ابزارهای صوتی و ارتباطات ویدئویی از جمله این اشکال هستند.
کنترل های بالا تنها بخشی از 127 کنترل مدون در استاندارد BS7799 می باشد که اجرای آنها شما را چند قدم به ایجاد امنیت واقعی نزدیک تر می سازد. درست است که امنیت 100% اطلاعات کاری دشوار است ولی نزدیک تر شدن به آن نیازمند کمی تلاش و مدیریت می باشد.
نویسنده : مهندس کیانوش مرادیان
ناشر : مهندسی شبکه همکاران سیستم
استانداردBS7799 پرسنل،تکنیک ها و ایده ها را ایمن خواهد ساخت.
داشتن حجم بالای اطلاعات در سازمان نیازمند پیاده سازی استانداردی مطمئن در زمینه امنیت می باشد. اهمیت این قضیه در برخی سازمان ها حساس تر می باشد. شرکت های بیمه ، بانک ها و پیمانکاران مختلف نمونه اینگونه سازمان ها هستند. همچنین شرکت های ساختمانی و شرکت های مشاوره ای نیازمند حفاظت از اطلاعات سایر سازمان ها می باشند این اطلاعات در قالب طراحی ، نقشه ها و اطلاعات عمومی و . . . هستند.
هدف اصلی و نگرش به استاندارد BS7799 در سه قالب جلوگیری ، حفاظت و ثبت اطلاعات ، خلاصه می شود. استاندارد انواع مختلف اطلاعات مربوط به سازمان، نظیر امضای الکترونیکی، اسناد مکتوب و . . . را شامل می شود اما بحث پیاده سازی سیاست کنترلی مشخص برای افراد مختلف درون سازمانی و برون سازمانی از اهمیت بالاتری برخوردار است. نحوه اطمینان به پرسنل و روالهای مختلف برای برخورد با افرادی که از شرکت می روند شامل این استاندارد می شود.
BS7799 نتیجه تلاش برای رسیدن به یک قالب مشترک امنیتی جهت شرکت های مختلف با زمینه کاری مختلف می باشد.امروزه استاندارد ISO راهنمایی خاص را برای رسیدن به این منظور به نام ISO/IEC 17799:2000 ارائه داده است که در واقع تمرینی جدی و عالی برای پیاده سازی امنیت اطلاعات می باشد.این رهنمودها با دقت خاصی در استاندارد BS7799-2:2002 گردآوری شده است که نتیجه پیاده سازی آن اخذ گواهینامه امنیت اطلاعات می باشد. پیاده سازی این استاندارد سبب خواهد شد تا امکان سوء استفاده از اطلاعات ، ازبین رفتن آن و سایر خطرات به حداقل برسد.
امنیت اطلاعات برای جلوگیری از دسترسی های غیر مجاز به اطلاعات ایجاد شده است. BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.
Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.
در زیر چند کنترل امنیتی مؤثر مدون در استاندارد BS7799 مورد بحث و بررسی قرار خواهد گرفت.
A.8.6 امنیت ابزارهای انتقال اطلاعات
برای جلوگیری از آسیب دیدگی دارایی ها و حفاظت از اطلاعات ابزارهای انتقال اطلاعات نظیر کامپیوتر ها ، فلاپی دیسک ها ، CD ها و . . . کنترلهای زیر در مستندات BS7799 گنجانده شده است.
*مدیریت ابزارهای انتقال اطلاعات (کنترل A.8.6.1)
کلیه ابزارهای انتقال اطلاعات نظیر Tape ها ، فلاپی دیسکت ها ، نسخه های پرینت گرفته شده اطلاعات و . . . نیاز به حفاظت و کنترل دارند. داشتن جداولی از این ابزارها ، مشخص کردن نوع اطلاعات روی آنها و همچنین اشخاص مجاز به دسترسی به آن امری لازم است. همچنین محل نگهداری این ابزارها و ایجاد شرایط محیطی امن و کنترل شده باید در دستور کار قرار گیرد.
*ازرده خارج کردن اطلاعات ( کنترل A.8.6.2 )
در صورتیکه که نیاز به اطلاعات روی ابزار انتقال ندارید نگه داری و امنیت آن کاری دشوار و بیهوده می باشد لذا اقدام به از بین بردن اطلاعات روی آنها نمائید. بطور مثال با هفت بار فرمت هارددیسک و یا با شکستن CD حاوی اطلاعات قدیمی و بدون مصرف قادر به از بین بردن اینگونه اطلاعات خواهید شد.
*امنیت اطلاعات در هنگام حمل ( کنترل A.8.6.3 )
برای جلوگیری از سوء استفاده از اطلاعات و همچنین کاهش ریسک نیاز به تعریف و ایجاد سیاست های امنیتی در هنگام حمل اطلاعات هستید.لذا با زدن برچسب روی ابزارهای انتقال اطلاعات و همچنین مشخص کردن مبدا و مقصد و نیز افراد مجاز به دسترسی قادر به ایجاد امنیت و کنترل اطلاعات خواهید شد.
*امنیت اطلاعات سیستم (کنترل A.8.6.4 )
باتوجه به تنوع اطلاعات در شرکت و وجود شبکه های کامپیوتری امکان دسترسی افراد مختلف به اطلاعات وجود دارد. لذا با دسته بندی اطلاعات و تعریف حق دسترسی افراد امنیت اطلاعات خود را بیش از پیش خواهید کرد.
A.8.7 رد و بدل کردن اطلاعات و نرم افزار بین شرکتهای مختلف
برای جلوگیری از تغییرات ، ازبین رفتن و سوءاستفاده از اطلاعات زمانیکه بین شرکت ها ردوبدل می شوند نیاز به ایجاد سیاستهای کنترلی می باشد.
*قرارداد انتقال اطلاعات بین شرکت ها (A.8.7.1)
برای جلوگیری از سوء استفاده اطلاعات در هنگام ردوبدل شدن آنها بین شرکتها و تعیین حریم استفاده از آنها توسط شرکت مقصد نیاز به عقد قرارداد بین شرکت مبدا و مقصد اطلاعات می باشد.
*امنیت اطلاعات در ترانزیت (A.8.7.2)
همانطور که در کنترل های قبلی اشاره شد امنیت اطلاعات در هنگام انتقال اطلاعات از شرکت مبدا به شرکت مقصد و تعیین دسترسی افراد مختلف به آن امری ضروری است.
*امنیت تجارت الکترونیک (A.8.7.3)
فعالیت های مختلف تجارت الکترونیکی نیازمند تدارک یک سری سیاست های امنیتی و پیاده سازی این سیاستها می باشد. نکات مختلف نظیر جلوگیری از فعالیت افراد تبهکار، حق تغییر اطلاعات،امضای الکترونیکی و . . . باید درنظر گرفته شوند.
*امنیت نامه های الکترونیکی یا e-mail (A.8.7.4)
سیاست های خاصی برای جلوگیری از سوءاستفاده افراد غیر مجاز برای استفاده از نامه های الکترونیکی باید تدوین شوند.ایجاد ایمیل شخصی برای افراد مختلف و آموزش صحیح آنها برای استفاده از ایمیلو همچنین آشنایی آنها با مفاهیم مختلف ایمیل از جمله وظایفی است که مدیر شبکه در دستور کار خود قرار می دهد.
*امنیت سیستم های موجود در شرکت (A.8.7.5)
برای استفاده صحیح از دستگاه های مختلف داخل شرکت نیاز به تعریف سیاست های مختلف و کتابچه های راهنما می اشد. کامپیوتر های مختلف در سازمان ، دستگاههای فکس و . . . از جمله امکاناتی است که در حین ساده کردن کارها نقاط استراتژیک اطلاعاتی هستند.
*صحت اطلاعات (A.8.7.6)
برای رسیدن به اطلاعاتی کارساز و مفید نیاز به پردازش روی اطلاعات خام و اولیه می باشد.حفاظت از این اطلاعات خام گردآوری شده کاری بسیار مهم می باشد که باید در دستور کار قرارگیرد. نتیجه گیری درست از اطلاعات اولیه غلط بسیار بعید می نماید.
*مبادله سایر فرم های اطلاعات(A.8.7.7)
برای سایر اشکال اطلاعات در شرکت ایجاد سیاست های حفاظتی امری ضروری می باشد. ابزارهای صوتی و ارتباطات ویدئویی از جمله این اشکال هستند.
کنترل های بالا تنها بخشی از 127 کنترل مدون در استاندارد BS7799 می باشد که اجرای آنها شما را چند قدم به ایجاد امنیت واقعی نزدیک تر می سازد. درست است که امنیت 100% اطلاعات کاری دشوار است ولی نزدیک تر شدن به آن نیازمند کمی تلاش و مدیریت می باشد.
نویسنده : مهندس کیانوش مرادیان
ناشر : مهندسی شبکه همکاران سیستم