• 27001
   http://www.isiri.org/portal/files/std/27001.pdf

27002 http://www.isiri.org/portal/files/std/27002.pdf

•  ISIRI-ISO-IEC 27005
  http://www.isiri.org/portal/files/std/ISIRI-ISO-IEC 27005.pdf
  

 

اغلب سازمان‌ها در مواجهه با تهديدات امنيتی ، خريد محصولات امنيتی مانند فايروال و برنامه‌های ضد ‌ويروس و بکارگيری آنها در سيستم‌های کامپيوتری است. اما استفاده از گرانقيمت‌ترين محصولات امنيتی بدون شناخت و تحليل دقيق نيازهای امنيتی ، استفاده از رويه های استاندارد در بکارگيری و کنترل سيستم های امنيتی و بروز رسانی مداوم اين سيستم‌ها به تنهائی كارساز نخواهند بود.

ISMS به مديران اين امکان را مي دهد تا بتوانند امنيت سيستم های خود را با به حداقل رساندن ريسک های امنيتي و تجاری کنترل کنند.

 سيستم مديريت امنيت اطلاعات راهکار حل مشکلات مذکور در سيستم های اطلاعاتي مي باشد. يک سيستم جامع امنيتي بر سه پايه استوار است:

امروزه شاهد گسترش  حضور کامپیوتر در تمامی ابعاد زندگی خود می باشیم . کافی است به اطراف خود نگاهی داشته باشیم تا به صحت گفته فوق بیشتر واقف شویم . همزمان با  گسترش استفاده از کامپیوترهای شخصی و مطرح شدن شبکه های کامپیوتری و به دنبال آن اینترنت (بزرگترین شبکه جهانی ) ، حیات کامپیوترها و کاربران آنان دستخوش  تغییرات اساسی شده است . استفاده کنندگان کامپیوتر به منظور استفاده از دستاوردها و مزایای فن آوری اطلاعات و ارتباطات ، ملزم به رعایت اصولی خاص و اهتمام جدی به تمامی مولفه های تاثیر گذار در تداوم ارایه خدمات در یک سیستم کامپیوتری می باشند . امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری از جمله این مولفه ها بوده که نمی توان آن را مختص یک فرد و یا سازمان در نظر گرفت . پرداختن به مقوله امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری بوده و می بایست به این مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنیتی در شبکه های کامپیوتری و اطلاعاتی ، عدم آموزش و توجیه صحیح تمامی کاربران صرفنظر از مسیولیت شغلی آنان نسبت به جایگاه و اهمیت امنیت اطلاعات ، عدم وجود دستورالعمل های لازم برای پیشگیری از نقایص امنیتی ، عدم وجود سیاست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات  امنیتی ، مسایلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپیوتر در یک کشور شده و عملا" زیرساخت اطلاعاتی یک کشور را در معرض آسیب و تهدید جدی قرار می دهد.

در این مقاله قصد داریم به بررسی مبانی و اصول اولیه امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری پرداخته و از این رهگذر با مراحل مورد نیاز به منظور حفاظت کامپیوترها در مقابل حملات ، بیشتر آشنا شویم.

• اطمينان از صحت پيكربندي امنيتي سيستمها
• اطمينان از به روز بودن سيستمها و رايانه ها
• اطمينان از ايمني در مقابل آخرين آسيب‌پذيريها
• يافتن نقاط ضعف، پيش از سوء استفاده مهاجمان از آنها
• كاهش هزينه هاي ترميم، با كاهش مخاطره نفوذ مهاجمان

جنبه‌هاي مختلف يك آزمون نفوذ

  چارچوب کنترل و ارزیابی فناوری اطلاعات

در سال های اخیر، نیاز به یک چارچوب مرجع برای کنترل و ارزیابی فناوری اطلاعات و نیز حصول اطمینان از ارائه مناسب خدمات فناوری اطلاعات بیش از پیش احساس می شود.

این استاندارد با رویکردی فرآیندگرا در 4 دامنه و 34 فرآیند و مجموعه ای از 318 هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه ای از سنجش ها، شاخص ها، فرآیندها و بهروش ها را برای کمک به مدیران، ممیزان و کاربران IT در حداکثر کردن سود حاصل از کاربرد فناوری اطلاعات و توسعه نظارت و کنترل مناسب IT در سازمان، ارائه می دهد.

پیاده سازی و بکارگیری COBIT در سازمان ها، برای مدیران چارچوبی را فراهم می آورد تا به کمک آن بتوانند برنامه استراتژیک IT، معماری اطلاعاتی، نرم افزارها و سخت افزارهای مورد نیازIT و کنترل عملکرد سیستم های IT سازمان خود را طراحی نمایند و با کمک این ابزارها به تصمیم گیری و سرمایه گذاری های مرتبط با فناوری اطلاعات بپردازند.

چارچوب COBIT

مزایای پیاده سازی COBIT در سازمان:

• کمک به درک مخاطرات فناوری اطلاعات؛
• حصول اطمینان از یکپارچگی سیستم های اطلاعاتی؛
• همسویی با سایر استانداردها و آئین نامه ها؛
• تأمین محیطی انعطاف پذیر در سازمان های فناوری اطلاعات؛
• ایجاد ارتباطی روشن میان الزامات نظارتی IT، فرآیندها و کنترل خدمات فناوری اطلاعات.

لزوم پیاده سازی و بکارگیری COBIT در سازمان های IT محور:

• رشد پیچیدگی محیط های تجاری؛
• افزایش وابستگی به اطلاعات و سیستم های اطلاعاتی؛
• افزایش طیف گسترده ای از تهدیدات همچون تهدیدات کامپیوتری و جنگ اطلاعاتی؛
• فقدان زیرساخت های مناسب برای محیط های فناوری اطلاعات؛
• خلاء های ارتباطی میان مدیران IT و مدیران واحدهای کسب و کار؛
• افزایش تأمین کنندگان خارجی خدمات فناوری اطلاعات؛
• خارج از کنترل بودن هزینه های IT؛
• افزایش نسبت بازدهی سرمایه به بهره وری در سرمایه گذاری های فناوری اطلاعات؛
• عدم انعطاف پذیری و چابکی سازمان ها در برابر تغییرات؛
• افزایش نارضایتی کاربران.

آزمون نفوذپذیری، فرآیند ارزیابی امنیتی شبکه ها، سایت ها یا سیستم های کامپیوتری است که بوسیله شبیه سازی یک حمله که توسط هکر انجام می شود، صورت می گیرد و هدف از انجام آن، اطمینان از صحت پیکربندی امنیتی سیستم ها، اطمینان از ایمنی در مقابل آخرین آسیب پذیری ها، یافتن نقاط ضعف پیش از سوءاستفاده مهاجمان از آنها، کاهش هزینه های ترمیم و کاهش مخاطرات نفوذ مهاجمان می باشد.

  با استفاده از روش های White Box، Gray Box و Black Box نقاط آسیب پذیری موجود کشف، علت بروز آنها  مشخص و چگونگی برطرف سازی یا کاهش مخاطرات آنها گزارش می شود. این گزارش کمک فراوانی به مدیران در تولید، توسعه و مستندسازی سیاست های امنیتی سازمان ها خواهد نمود.

Published standards

• ISO/IEC 27000 — Information security management systems — Overview and vocabulary
• ISO/IEC 27001 — Information security management systems — Requirements
• ISO/IEC 27002 — Code of practice for information security management
• ISO/IEC 27003 — Information security management system implementation guidance
• ISO/IEC 27004 — Information security management — Measurement
• ISO/IEC 27005 — Information security risk management
• ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems
• ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
• ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity
• ISO/IEC 27033-1 — Network security overview and concepts
• ISO/IEC 27035 — Security incident management
• ISO 27799 — Information security management in health using ISO/IEC 27002

In preparation

• ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system)
• ISO/IEC 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)
• ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
• ISO/IEC 27014 — Information security governance framework
• ISO/IEC 27015 — Information security management guidelines for the finance and insurance sectors
• ISO/IEC 27032 — Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet)
• ISO/IEC 27033 — IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part 1 is published already)
• ISO/IEC 27034 — Guideline for application security
• ISO/IEC 27036 — Guidelines for security of outsourcing
• ISO/IEC 27037 — Guidelines for identification, collection and/or acquisition and preservation of digital evidence

 

Security Operation Center

مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از:

سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient ‌هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايين‌تري برخوردارند، پاسخ داده مي‌شود.

Security Operation Center

مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از:

سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient ‌هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايين‌تري برخوردارند، پاسخ داده مي‌شود.

هر سازه ای نیازمند امنیت است. شاهرگ حیاتی سازمان شما در اطلاعات شما نهفته است و امنیت این اطلاعات و ارتباطات ضامن بقای کسب و کار شما است. امروزه امنیت اطلاعات فراتر از خرید چند تجهیز امنیتی است. تامین امنیت نیازمند به کارگیری راهکارهای جامع است. راهکارهایی که زیرساخت شبکه، کاربران نهایی، مدیران سیستم و کلیه ی عناصر یک شبکه را شامل شود که تحقق این راهکار نیازمند به کارگیری معماری صحیح امنیتی در قلب شبکه و آموزش کاربران و مدیران سیستم ها خواهد بود. افزایش امنیت باید به گونه ای باشد که کارایی سیستم را در کل کاهش ندهد و اعمال سیاست ها و لیست های امنیتی باعث کاهش سرعت و کارایی نگردند. همچنین در اعمال سیاست های امنیتی در سطح سازمان و به کاربران سیستم باید به گونه ای عمل شود که قوانین قابل اجرا باشند. به گونه ای عمل نماییم که تامین امنیت در بالاترین سطح و با منطقی ترین هزینه ممکن شود.

اهميت امنيت اطلاعات و ايمن سازی کامپيوترها

تمامی کامپيوترها از کامپيوترهای موجود در منازل تا کامپيوترهای موجود در سازمان ها  و موسسات بزرگ، در معرض آسيب و تهديدات امنيتی می باشند. با انجام تدابير لازم و استفاده از برخی روش های  ساده می توان پيشگيری لازم و اوليه ای را در خصوص ايمن سازی محيط کامپيوتری خود انجام داد. عليرغم تمامی مزايا و دستاوردهای اينترنت، اين شبکه عظيم به همراه فن آوری های مربوطه، دريچه ای را در مقابل تعداد زيادی از تهديدات امنيتی برای تمامی استفاده کنندگان (افراد، خانواده ها، سازمان ها، موسسات و ...) ، گشوده است. با توجه به ماهيت حملات، می بايست در انتظار نتايج نامطلوب متفاوتی بود. در معرض آسيب قرار گرفتن داده ها و اطلاعات حساس، تجاوز به حريم خصوصی کاربران، استفاده از کامپيوتر کاربران برای تهاجم بر عليه ساير کامپيوترها، از جمله اهداف مهاجمانی است که با بهره گيری از آخرين فن آوری های موجود، حملات خود را سازماندهی و بالفعل می نمايند. بنابراين، می بايست به موضوع امنيت اطلاعات، ايمن سازی کامپيوترها و شبکه های کامپيوتری، توجه جدی شده و از فرآيندهای متفاوتی در جهت مقاوم سازی آنان، استفاده نمود.

انواع امنيت

امروزه امنیت اطلاعات بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در مقابل دسترسی غیر مجاز، تغییرات، خرابکاری و افشاء، امری ضروری و اجتناب ناپذیر است. لذا، امنیت دارایی های اطلاعاتی برای کلیه سازمان ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش می باشد.

امنیت اطلاعات شامل سه بُعد مهم است:

• 1. محرمانگی (Confidentiality)
• 2. یکپارچگی (Integrity)
• 3. دسترس پذیری (Availability)

فراهم آوری صحت و تمامیت اطلاعات به گونه ای که در زمان مناسب، در دسترس افراد مجاز که نیازمند آن می باشند، عاملی است که منجر به اثربخشی کسب و کار می گردد. استاندارد ISO/IEC 27001 زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و بهره گیری از منافع این رویکرد، فراهم آورده است.

سیستم مدیریت برحسب امنیت اطلاعات، به یک سازمان این امکان را می دهد تا موارد ذیل را ایجاد نماید: