پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
مدیریت حفاظت امنیت اطلاعات
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی اشاره نمود. بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساختهائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد. از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاههای دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
۱) سیستم مدیریت امنیت اطلاعات (ISMS)
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمنسازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمیباشد و لازم است این امر بصورت مداوم در یک چرخه ایمنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام گیرد.برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
ـ تهیه طرحها و برنامههای امنیتی موردنیاز سازمان
ـ ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
ـ اجرای طرحها و برنامههای امنیتی سازمان
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی ایمنسازی فضای تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بینالمللی استاندارد و گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بینالمللی استاندارد از برجستهترین استاندادرها و راهنماهای فنی در این زمینه محسوب میگردند.
▪ در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
ـ تعیین مراحل ایمنسازی و نحوه شکلگیری چرخه امنیت اطلاعات و ارتباطات سازمان
ـ جزئیات مراحل ایمنسازی و تکنیکهای فنی مورد استفاده در هر مرحله
ـ لیست و محتوای طرحها و برنامههای امنیتی موردنیاز سازمان
ـ ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
کنترلهای امنیتی موردنیاز برای هر یک از سیستمهای اطلاعاتی و ارتباطی سازمان
۱-۲) مروری بر استانداردهای مدیریت امنیت اطلاعات
▪ استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
ـ استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس
ـ استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بینالمللی استاندارد
ـ گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بینالمللی استاندارد
در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.
۱-۲-۳) استاندارد BS۷۷۹۹ موسسه استاندارد انگلیس
استاندارد BS۷۷۹۹ اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS۷۷۹۹:۱) در سال ۱۹۹۵ منتشر شد. نسخه دوم این استاندارد (BS۷۷۹۹:۲) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS۷۷۹۹:۲۰۰۲) نیز در سال ۲۰۰۲ و در دو بخش منتشر گردید.
● بخش اول
در این بخش از استاندارد، مجموعه کنترلهای امنیتی موردنیاز سیستمهای اطلاعاتی و ارتباطی هر سازمان، در قالب ده دستهبندی کلی شامل موارد زیر، ارائه شده است:
۱) تدوین سیاست امنیتی سازمان
در این قسمت، به ضرورت تدوین و انتشار سیاستهای امنیتی اطلاعات و ارتباطات سازمان ، بنحوی که کلیه مخاطبین سیاستها در جریان جزئیات آن قرار گیرند، تاکید شده است همچنین جزئیات و نحوه نگارش سیاستهای امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است
۲) ایجاد تشکیلات تامین امنیت سازمان
در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیتهای هر یک از سطوح، ارائه شده است.
۳) دستهبندی سرمایهها و تعیین کنترلهای لازم
در این قسمت، ضمن تشریح ضرورت دستهبندی اطلاعات سازمان، به جزئیات تدوین راهنمای دستهبندی اطلاعات سازمان پرداخته و محورهای دستهبندی اطلاعات را ارائه نموده است.
۴) امنیت پرسنلی
در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیتهای پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.
۵) امنیت فیزیکی و پیرامونی
در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.
۶) مدیریت ارتباطات
در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستمها، محافظت در مقابل نرمافزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبانگیری از اطلاعات، مدیریت شبکه، محافظت از رسانهها و روالها و مسئولیتهای مربوط به درخواست، تحویل، تست و سایر موارد تغییر نرمافزارها ارائه شده است.
۷) کنترل دسترسی
در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیتهای کاربران، ابزارها و مکانیزمهای کنترل دسترسی در شبکه، کنترل دسترسی در سیستمعاملها و نرمافزارهای کاربردی، استفاده از سیستمهای مانیتورینگ و کنترل دسترسی در ارتباط از راه دور به شبکه ارائه شده است.
۸) نگهداری و توسعه سیستمها
در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستمها، امنیت در سیستمهای کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستمها، ارائه شده است.
۹) مدیریت تداوم فعالیت سازمان
در این قسمت، رویههای مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرحهای تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرحهای تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.
۱۰) پاسخگوئی به نیازهای امنیتی
در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاستهای امنیتی موردنیاز و ابزارها و مکانیزمهای بازرسی امنیتی سیستمها، ارائه شده است.
نویسنده: علی مقامی
منبع : سایر منابع
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
ایران اسرائیل غزه مجلس شورای اسلامی دولت نیکا شاکرمی معلمان رهبر انقلاب دولت سیزدهم مجلس بابک زنجانی شهید مطهری
آتش سوزی قوه قضاییه هلال احمر تهران پلیس روز معلم سیل شهرداری تهران آموزش و پرورش فضای مجازی سلامت سازمان هواشناسی
قیمت خودرو قیمت طلا قیمت دلار بازار خودرو خودرو دلار بانک مرکزی ایران خودرو حقوق بازنشستگان سایپا کارگران تورم
سریال نمایشگاه کتاب جواد عزتی تلویزیون عفاف و حجاب فیلم سینمایی مسعود اسکویی سینما رضا عطاران سینمای ایران دفاع مقدس فیلم
رژیم صهیونیستی فلسطین آمریکا حماس جنگ غزه نوار غزه چین انگلیس ترکیه اوکراین نتانیاهو یمن
استقلال پرسپولیس فوتبال سپاهان علی خطیر باشگاه استقلال لیگ برتر ایران تراکتور لیگ قهرمانان اروپا رئال مادرید بایرن مونیخ لیگ برتر
هوش مصنوعی هواپیما کولر تبلیغات موبایل تلفن همراه اینستاگرام اپل گوگل ناسا عیسی زارع پور وزیر ارتباطات
فشار خون کبد چرب بیمه بیماری قلبی کاهش وزن دیابت داروخانه