با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازى فضاى تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاى تبادل اطلاعات سازمانها، دفعتا مقدور نمى‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازى شامل مراحل طراحى، پياده‌سازى، ارزيابى و اصلاح، انجام گيرد.

در حال حاضر، مجموعه‌اى از استانداردهاى مديريتى و فنى ايمن‌سازى فضاى تبادل اطلاعات سازمان‌ها ارائه شده‌اند که مقاله بطور خلاصه به تعريف سيستم مديريت امنيت اطلاعات و بيان استانداردهاي مرتبط با ان مي پردازد.

 

کلمات کليدي: سيستم مديريت امنيت اطلاعات، استانداردهاي مديريتي امنيت اطلاعات ، راهبرد امنيتي اطلاعات ، کميته امنيت اطلاعات

 

1. مقدمه

در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساخت‌هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي اشاره نمود.

بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساخت‌هائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت‌هاي امنيت فضاي تبادل اطلاعات در کشور مي‌باشد. از سوي ديگر، وجود زيرساخت‌هاي فوق، قطعا تاثير بسزائي در ايمن‌سازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت.

صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه‌هاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه‌ها شده و کاهش اعتبار اين دستگاه‌ها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي، ضروري به نظر مي‌رسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاه‌هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.

 

2. سيستم مديريت امنيت اطلاعات [3]

با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:

1-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان

2-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان

3-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان

در حال حاضر، مجموعه‌اي از استانداردهاي مديريتي و فني ايمن‌سازي فضاي تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد از برجسته‌ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي‌گردند.

در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:

1-      تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان

2-      جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله

3-      ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان

4-      ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان

5-      کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان

 

3. مروري بر استانداردهاي مديريت امنيت اطلاعات

استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

·         استاندارد مديريتي BS7799 موسسه استاندارد انگليس

·         استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد

·         گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد

در اين بخش، به بررسي مختصر استانداردهاي فوق خواهيم پرداخت.

 

 

1.3  استاندارد BS7799 موسسه استاندارد انگليس

استاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد.

 

1.1.3 بخش اول

در اين بخش از استاندارد، مجموعه کنترل‌هاي امنيتي موردنياز سيستم‌هاي اطلاعاتي و ارتباطي هر سازمان، در قالب ده دسته‌بندي کلي شامل موارد زير، ارائه شده است:

1-      تدوين سياست امنيتي سازمان

در اين قسمت، به ضرورت تدوين و انتشار سياست‌هاي امنيتي اطلاعات و ارتباطات سازمان ، بنحوي که کليه مخاطبين سياست‌ها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياست‌هاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است.

2-      ايجاد تشکيلات تامين امنيت سازمان

در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليت‌هاي هر يک از سطوح، ارائه شده است.

3-      دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازم

در اين قسمت، ضمن تشريح ضرورت دسته‌بندي اطلاعات سازمان، به جزئيات تدوين راهنماي دسته‌بندي اطلاعات سازمان پرداخته و محورهاي دسته‌بندي اطلاعات را ارائه نموده است.

4-      امنيت پرسنلي

در اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بکارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از مسئوليت‌هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده است.

5-      امنيت فيزيکي و پيراموني

در اين قسمت، اهميت و ابعاد امنيت فيزيکي، جزئيات محافظت از تجهيزات و کنترلهاي موردنياز براي اين منظور، ارائه شده است.

6-      مديريت ارتباطات

در اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر يک از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم‌ها، محافظت در مقابل نرم‌افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان‌گيري از اطلاعات، مديريت شبکه، محافظت از رسانه‌ها و روالها و مسئوليت‌هاي مربوط به درخواست، تحويل، تست و ساير موارد ‌تغيير نرم‌افزارها ارائه شده است.

7-      کنترل دسترسي

در اين قسمت، نيازمنديهاي کنترل دسترسي، نحوه مديريت دسترسي پرسنل، مسئوليت‌هاي کاربران، ابزارها و مکانيزم‌هاي کنترل دسترسي در شبکه، کنترل دسترسي در سيستم‌عاملها و نرم‌افزارهاي کاربردي، استفاده از سيستم‌هاي مانيتورينگ و کنترل ‌دسترسي در ارتباط از راه دور به شبکه ارائه شده است.

8-      نگهداري و توسعه سيستم‌ها

در اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستم‌ها، امنيت در سيستم‌هاي کاربردي، کنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز در توسعه و پشتيباني سيستم‌ها، ارائه شده است.

9-      مديريت تداوم فعاليت سازمان

در اين قسمت، رويه‌هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدوين طرح‌هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرح‌هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.

10-   پاسخگوئي به نيازهاي امنيتي

در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست‌هاي امنيتي موردنياز و ابزارها و مکانيزم‌هاي بازرسي امنيتي سيستم‌ها، ارائه شده است.

 

2.1.3 بخش دوم

در اين بخش از استاندارد براي تامين امنيت اطلاعات و ارتباطات سازمان ،‌ مطابق شکل (1)‌ يک چرخة‌ ايمن سازي شامل 4 مرحلة طراحي، پياده سازي،‌ تست و اصلاح ارائه شده و جزئيات هر يک از مراحل به همراه ليست و محتواي مستندات موردنياز جهت ايجاد سيستم مديريت امنيت اطلاعات سازمان، ارائه شده است.

 

 

 

 

شکل(1) : مراحل ايمن سازي بر اساس استاندارد BS7799:2002

 

 

 

2.3 استاندارد ISO/IEC 17799 موسسه بين‌المللي استاندارد

در سال 2000، بخش اول استاندارد BS7799:2 بدون هيچگونه تغييري توسط موسسة بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد.

 

 

3.3 راهنماي فني ISO/IEC TR13335 موسسه بين‌المللي استاندارد

اين گزارش فني در قالب 5 بخش مستقل در فواصل  سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO  منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد.

 

 

 

 

 

 

 1.3.3 بخش اول

در اين بخش که در سال 1996منتشر شد، ‌مفاهيم کلي امنيت اطلاعات از قبيل سرمايه، تهديد، آسيب پذيري، ريسک،‌ ضربه و ...  روابط بين اين مفاهيم و مدل مديريت مخاطرات امنيتي، ارائه شده است.

 

2.3.3 بخش دوم

اين بخش که در سال 1997منتشر شد ، مراحل ايمن سازي و ساختار تشکيلات تامين امنيت اطلاعات سازمان ارائه شده است . بر اساس اين گزارش فني ،‌ چرخة ايمن سازي مطابق شکل (2) به 5 مرحله شامل تدوين سياست امنيتي سازمان، تحليل مخاطرات امنيتي، تعيين حفاظها و ارائة‌ طرح امنيت، پياده سازي طرح امنيت و پشتيباني امنيت اطلاعات، تفکيک شده است.

 

شکل(2): مراحل ايمن سازي بر اساس گزارش فني ISO/IEC 13335

 

تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان

تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان

انتخاب حفاظ ها و ارائه طرح امنيت

پياده‌سازي طرح امنيت

پشتيباني امنيت فضاي تبادل اطلاعات سازمان

 

 

 

 

 

 

 

 

 

 

 


      3.3.3 بخش سوم

در اين بخش که در سال 1998منتشر شد، تکنيکهاي طراحي، پياده سازي و پشتيباني امنيت اطلاعات از جمله محورها و جزئيات سياستهاي امنيتي سازمان، تکنيکهاي تحليل مخاطرات امنيتي، محتواي طرح امنيتي، جزئيات پياده سازي طرح امنيتي و پشتيباني امنيت اطلاعات، ارائه شده است.

 

4.3.3 بخش چهارم

در اين بخش که در سال 2000 منتشر شد، ضمن تشريح حفاظهاي فيزيکي، سازماني و حفاظهاي خاص سيستم‌هاي اطلاعاتي، نحوة انتخاب حفاظهاي مورد نياز براي تامين هريک از مولفه‌هاي امنيت اطلاعات، ارائه شده است.

 

5.3.3 بخش پنجم

در اين بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروري بر بخشهاي دوم تا چهارم اين گزارش فني، تکنيکهاي تامين امنيت ارتباطات از قبيل شبکه‌هاي خصوصي مجازي، امنيت در گذرگاه‌ها، تشخيص تهاجم و کدهاي مخرب، ارائه شده است.

 

4. مستندات ISMS

 

بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:

·         اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه

·         طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه

·         طرح امنيت فضاي تبادل اطلاعات دستگاه

·         طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه

·         برنامة آگاهي رساني امنيتي به پرسنل دستگاه

·         برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

در اين بخش، به بررسي مستندات فوق خواهيم پرداخت.

 

1.4 اهداف، ‌راهبردها و سياست‌هاي امنيتي

اولين بخش از مستندات ISMS سازمان، شامل اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات دستگاه مي‌باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:

2.4 اهداف امنيت فضاي تبادل اطلاعات دستگاه

در اين بخش از مستندات، ابتدا سرمايه‌هاي فضاي تبادل اطلاعات دستگاه، در قالب سخت‌افزارها، نرم‌افزارها، اطلاعات، ارتباطات، سرويسها و کاربران تفکيک و دسته‌بندي شده و سپس اهداف کوتاه‌مدت و ميان‌مدت تامين امنيت هر يک از سرمايه‌ها، تعيين خواهد شد. نمونه‌اي از اين اهداف، عبارتند از:

 

نمونه‌هائي از اهداف کوتاه مدت امنيت:

·         جلوگيري از حملات و دسترسي‌هاي غيرمجاز، عليه سرمايه‌هاي فضاي تبادل اطلاعات دستگاه

·         مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات دستگاه

·         کاهش رخنه‌پذيريهاي سرمايه‌هاي فضاي تبادل اطلاعات دستگاه

 

نمونه‌هائي از اهداف ميان مدت امنيت:

·         تامين صحت عملکرد، قابليت دسترسي و محافظت فيزيکي براي سخت‌افزارها، متناسب با حساسيت آنها.

·         تامين صحت عملکرد و قابليت دسترسي براي نرم‌افزارها، متناسب با حساسيت آنها.

·         تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه‌بندي اطلاعات از حيث محرمانگي.

·         تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه‌بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.

·         تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي‌رساني امنيتي براي کاربران شبکه، متناسب با طبقه‌بندي اطلاعات قابل دسترس و نوع کاربران.

 

3.4 راهبردهاي امنيت فضاي تبادل اطلاعات دستگاه

راهبردهاي امنيت فضاي تبادل اطلاعات دستگاه، بيانگر اقداماتي است که به منظور تامين اهداف امنيت دستگاه، بايد انجام گيرد. نمونه‌اي از راهبردهاي کوتاه‌مدت و ميان‌مدت امنيت فضاي تبادل اطلاعات دستگاه، عبارتند از:

نمونه‌هائي از راهبردهاي کوتاه مدت امنيت:

·         شناسائي و رفع ضعفهاي امنيتي فضاي تبادل اطلاعات دستگاه

·         آگاهي‌رساني به کاربران فضاي تبادل اطلاعات دستگاه

·         کنترل و اعمال محدوديت در ارتباطات شبکه داخلي دستگاه

 

نمونه‌هائي از راهبردهاي ميان مدت امنيت:

·         رعايت استانداردهاي مديريت امنيت اطلاعات

·         تهيه طرح‌ها و برنامه‌هاي امنيتي فضاي تبادل اطلاعات دستگاه، بر اساس استانداردهاي فوق

·         ايجاد و آماده‌سازي تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

·         اجراي طرح‌ها و برنامه‌هاي امنيتي فضاي تبادل اطلاعات دستگاه

 

4.4 سياست‌هاي امنيتي فضاي تبادل اطلاعات دستگاه

سياست‌هاي امنيتي فضاي تبادل اطلاعات دستگاه، متناسب با دسته‌بندي انجام شده روي سرمايه‌هاي فضاي تبادل اطلاعات دستگاه، عبارتند از:

·         سياست‌هاي امنيتي سرويس‌هاي فضاي تبادل اطلاعات دستگاه

·         سياست‌هاي امنيتي سخت‌افزارهاي فضاي تبادل اطلاعات دستگاه

·         سياست‌هاي امنيتي نرم‌افزارهاي فضاي تبادل اطلاعات دستگاه

·         سياست‌هاي امنيتي اطلاعات فضاي تبادل اطلاعات دستگاه

·         سياست‌هاي امنيتي ارتباطات فضاي تبادل اطلاعات دستگاه

·         سياست‌هاي امنيتي کاربران فضاي تبادل اطلاعات دستگاه

 

5.4 طرح تحليل مخاطرات امنيتي

پس از تدوين اهداف،‌ راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات دستگاه و قبل از طراحي امنيت فضاي تبادل اطلاعات، لازم است شناخت دقيقي از مجموعه فضاي تبادل اطلاعات موجود دستگاه بدست آورد. در اين مرحله، ضمن کسب شناخت نسبت به اطلاعات، ‌ارتباطات، تجهيزات، سرويس‌ها و ساختار شبکه ارتباطي دستگاه، ضعفهاي امنيتي موجود در بخشهاي مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهکارهاي لازم به منظور رفع اين ضعفها و مقابله با تهديدها، ارائه شوند. روش تحليل مخاطرات امنيتي، بايد در مجموعه راهبردهاي امنيتي فضاي تبادل اطلاعات دستگاه، مشخص شده باشد.

در تحليل مخاطرات امنيتي، به مواردي پرداخته مي‌شود که بصورت بالقوه، امکان دسترسي غيرمجاز، نفوذ و حمله  کاربران مجاز يا غيرمجاز فضاي تبادل اطلاعات دستگاه، به منابع ( سرمايه‌هاي) فضاي تبادل اطلاعات دستگاه  و منابع کاربران اين فضا را فراهم مي‌نمايند.

در اين مستند،‌ لازم است مخاطرات امنيتي فضاي تبادل اطلاعات، حداقل در محورهاي "معماري شبکه"، "تجهيزات شبکه"، "سرويس‌دهنده‌هاي شبکه"، "مديريت و نگهداري شبکه" و "تشکيلات و روشهاي مديريت امنيت شبکه"، بررسي شوند.

 

6.4 معماري شبکه ارتباطي

در اين بخش،‌ لازم است معماري شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:

·         ساختار شبکه ارتباطي

·         ساختار آدرس‌دهي و مسيريابي

·         ساختار دسترسي به شبکه ارتباطي

 

7.4 تجهيزات شبکه ارتباطي

در اين بخش،‌ لازم است تجهيزات شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:

·         محافظت فيزيکي

·         نسخه و آسيب‌پذيريهاي نرم‌افزار

·         مديريت محلي و از راه دور

·         تصديق هويت، تعيين اختيارات و ثبت عملکرد سيستم، بويژه در دسترسي‌هاي مديريتي

·         ثبت وقايع

·         نگهداري و به‌روزنمودن پيکربندي

·         مقابله با حملات عليه خود سيستم، بويژه حملات ممانعت از سرويس 

 

8.4 مديريت و نگهداري شبکه ارتباطي

در اين بخش،‌ لازم است مديريت و نگهداري شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:

·         تشکيلات و روشهاي مديريت و نگهداري شبکه ارتباطي

·         ابزارها و مکانيزم‌هاي مديريت و نگهداري شبکه ارتباطي

 

9.4 سرويس‌هاي شبکه ارتباطي

در اين بخش،‌ لازم است سرويس‌هاي شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:

·         سيستم عامل سرويس‌دهنده

·         سخت‌افزار سرويس‌دهنده، ‌بويژه رعايت افزونگي در سطح ماجول و سيستم

·         نرم‌افزار سرويس

·         استفاده از ابزارها و مکانيزم‌هاي امنيتي روي سرويس‌دهنده‌ها

 

10.4 تشکيلات و روشهاي تامين امنيت شبکه ارتباطي

در اين بخش،‌ لازم است تشکيلات و روشهاي امنيت شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:

·         طرح‌ها، برنامه‌ها و ساير مستندات امنيتي

·         تشکيلات امنيت، روالهاي اجرائي و شرح وظايف پرسنل امنيت

 

 

5. طرح امنيت

پس از تحليل مخاطرات امنيتي شبکه ارتباطي دستگاه و دسته‌بندي مخاطرات امنيتي اين شبکه، در طرح امنيت، ابزارها و مکانيزم‌هاي موردنياز به منظور رفع اين ضعفها و مقابله با تهديدها، ارائه مي‌شوند. در طرح امنيت، لازم است کليه ابزارها ومکانيزم‌هاي امنيتي موجود، بکار گرفته شوند. نمونه‌اي از اين ابزارها عبارتند از:

1-      سيستم‌هاي کنترل جريان اطلاعات و تشکيل نواحي امنيتي

·         فايروال‌ها

·         ساير سيستم‌هاي تامين امنيت گذرگاه‌ها

2-      سيستم‌هاي تشخيص و مقابله يا تشخيص و پيشگيري از حملات،‌شامل:

·         سيستم‌هاي مبتني بر ايستگاه

·         سيستم‌هاي مبتني بر شبکه

3-      سيستم فيلترينگ محتوا ( بويژه براي سرويس E-Mail)

4-      نرم‌افزارهاي تشخيص و مقابله با ويروس

5-      سيستم‌هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربران

6-      سيستم‌هاي ثبت و تحليل رويدادنامه‌ها

7-      سيستم‌هاي رمزنگاري اطلاعات

8-      نرم‌افزارهاي نظارت بر ترافيک شبکه

9-      نرم‌افزارهاي پويشگر امنيتي

10-   نرم‌افزارهاي مديريت امنيت شبکه

 

ويژگيهاي اصلي سيستم امنيتي شبکه ارتباطي دستگاه، عبارتند از:

·         چندلايه بودن سيستم امنيتي

·         توزيع‌شده بودن سيستم امنيتي

·         تشکيل نواحي امنيتي جهت کنترل دقيق دسترسي به سرويس‌هاي شبکه

·         يکپارچگي مکانيزم‌هاي امنيتي، بويژه در گذرگاههاي ارتباطي شبکه

·         تفکيک زيرساختار مديريت امنيت شبکه ( حداقل بخش اصلي سيستم امنيتي شبکه)

·         انتخاب اجزاء سيستم امنيتي شبکه، از Brandهاي مختلف، بنحوي که ضعفهاي امنيتي يکديگر را پوشش داده و مخاطره باقيمانده را کاهش دهند

·         انتخاب محصولاتي که داراي تائيديه‌هاي معتبر، از موسسات ارزيابي بين‌المللي مي‌باشند

 

1.5 شرح وظايف تشکيلات امنيت

 

1.1.5  شرح وظايف کميته راهبري امنيت:

·              بررسي، تغيير و تصويب سياستهاي امنيتي شبکه

·              پيگيري اجراي سياستهاي امنيتي از مدير امنيت شبکه

·              تائيد طرح‌هاي و برنامه‌هاي امنيت شبکه دستگاه شامل:

o       طرح تحليل مخاطرات امنيتي

o       طرح امنيت شبکه

o       طرح مقابله با حوادث و ترميم خرابيها

o       برنامه آگاهي‌رساني امنيتي کاربران

o       برنامه آموزش واحد پشتيباني امنيت شبکه

·              بررسي ضرورت تغيير سياستهاي امنيتي شبکه

·              بررسي، تغيير و تصويب تغييرات سياستهاي امنيتي شبکه

 

2.1.5  شرح وظايف مدير امنيت :

·         تهيه پيش نويس سياستهاي امنيتي شبکه و ارائه به کميته راهبري امنيت شبکه

·         نظارت بر اجراي کامل سياستهاي امنيتي شبکه توسط واحد پشتيباني امنيت شبکه، کاربران شبکه، مديران و کارشناسان ادارات و طراحان امنيت شبکه دستگاه

·         تهيه طرح‌ها و برنامه‌هاي امنيت شبکه دستگاه با کمک واحد مشاوره و طراحي و ارائه آنها به کميته راهبري

·         مديريت واحد پشتيباني امنيت شبکه دستگاه و نظارت بر عملکرد اجزاء اين واحد

·         تشخيص ضرورت و پيشنهاد بازنگري و اصلاح سياستهاي امنيتي شبکه

·         تهيه پيش نويس تغييرات سياستهاي امنيتي شبکه

 

3.1.5 شرح وظايف واحد پشتيباني امنيت :

 

·              شرح وظايف پشتيباني حوادث امنيتي شبکه:

تشخيص و مقابله با تهاجم

آگاهي‌رساني به کاربران شبکه در خصوص روشهاي جديد نفوذ به سيستم‌ها و روشهاي مقابله با آن، آسيب‌پذيريهاي جديد ارائه شده براي سيستم‌هاي مختلف و روشهاي بر طرف نمودن آنها.

o                       تشخيص و مقابله با ويروس

آگاهي‌رساني به کاربران شبکه در خصوص ويروسهاي جديد و روشهاي مقابله با آنها.

 

 

 

 

 

6. منابع

1. ايمن‌سازي فضاي تبادل اطلاعات در دستگاه‌هاي دولتي ، سيستم مديريت امنيت اطلاعات (ISMS) ، دبيرخانه شوراي عالي امنيت فضاي تبادل اطلاعات کشور، تابستان 1383

 2. http://www.amnafzar.com/services/bs7799.htm

3. http://www.itna.ir

4. http://www.sgnec.net/Articledet-f.asp?number=39

5. http://www.sgnec.net/Articledet-f.asp?number=43

 


[1] Information security management system

[3] ISMS : Information security management system