استانداردهای امنیت‌ ـ آشنایی با استاندارد BS7799

در پست قبلی خبری با عنوان درج شد که به نقل از  و  خبر برگزاری همایش ارایه شد، گرچه مطابق با پروتکل و دستورکار وبلاگ فن آوری اطلاعات یزد سعی می کنیم وارد مباحث فنی و تخصصی نشویم اما سعی شد در این گفتار به صورت کوتاه با مقوله استاندارهای امنیت آشنا شویم ، اگر شما هم مانند من شرکت معظم با شبکه پیچیده کامپیوتری ندارید ، یا اصلا شبکه را نمی شناسید ، ویا با اینترنت سروکله نمی زنید یا با مقوله کامپیوتر میانه ای ندارید جالب است که با این مبحث آشنا شوید، لااقل اگر همین اصول را در زندگی حرفه ای و شغلی خود رعایت کنید می توانید امنیت اطلاعات و خواسته خود را کامل رعایت کنید، نگاهی به استاندار امنیت منشاء استاندارد British Standard BS7799 نحوه عملكرد استاندارد BS 7799 مدیریت امنیت شبكه‌ و تهدیدهای پیش رو مباحثی جذاب این گفتارمان است

استاندارد در مقوله فن آوری اطلاعات یعنی :

با مثالی با معنای تحت الفظی استاندارد آشنا می شویم مثالی می آورم در وبلاگ فن آوری اطلاعات  برای انجام کار گروهی به صورت مجازی به صورت پیوسته و منظم یک پروتکل و شیوه نامه داریم( در اصطلاح فنی استاندارد گویند) در ایناستانداردهای امنیت‌ ـ آشنایی با استاندارد BS7799 شیوه نامه ابتدا جایگاهها( سمت و عنوانها) و عملکرد هریک ، نحوه ازتباط با هم تعریف و تدوین شده است ، چگونگی انجام فعالیت ،چگونگی دسته بندی و .... در شیوه نامه درج شده است ، به این گونه مجموع شیوه نامه استاندارد گویند  ، مانند اساسنامه یک شرکت است که تمام مراحل مالی اجرایی و ... را تعریف می کند به گونه ای که تمام فعالیتها باید در چهارچوب این استاندارد انجام شود!!!!

BS7799  یعنی چه؟

BS7799 استانداردی انگلیسی و راهنمایی برای حفاظت اطلاعات و تجهیزات سازمان می باشد.BS7799  در دو قسمت ISO/IEC 17799:2000 و  BS7799-2 1999 آمده است.

بخش اول:

كدهای استانداردی است كه راهنمای اولیه برای حفاظت دارایی و اطلاعات یك سازمان می باشد كه باید اجرا شود. محدوده این استاندارد صوت،اینترنت ، تلفن ها ، نمابر و  . . . را در بر می گیرد.

بخش دوم:

 شرایط استاندارد مدیریتی برای مدیریت و امنیت اطلاعات (ISMS) می باشد. با كمك این بخش به سازمانها پیمودن مراحل مختلف این قالب مدیریتی آموزش داده می شود. این قالب ، افراد ، سیستم IT و پروسه های مختلف را در بر می گیرد.

مدیریت امنیت اطلاعات به زبان ساده

ISMS یا Information Security Management System برای حصول موارد زیر ایجاد می شود.

- دارایی های با ارزش كه نیاز به حفاظت دارند مشخص خواهند شد.

- سازمان را برای مدیریت خطرها آماده می كند.

- كنترل های مختلف را برای این حفاظت ایجاد می كند.

- میزان اطمینان مورد نیاز را مشخص می كند.

كنترل هایی كه در استاندارد  لحاظ شده است به قرار زیر است :

1-      سیاست های امنیتی

2-      امنیت سازمان

3-      دسته بندی دارایی های با ارزش و كنترل آنها

4-      امنیت افراد

5-      امنیت فیزیكی و محیط كار

6-      امنیت ارتباطات و مدیریت اجرا

7-      كنترل دسترسی ها

8-      سیستم نگهداری و ارتقاء

9-      نقشه ادامه Bussiness  شركت

10-   سازگاری با موارد قانونی

چرا BS7799  معروف است ؟

بیشتر صحبتها امروزه در مورد BS7799-2 است كه در سال 1999 منتشر شده است. دلیل محبوبیت این استاندارد در سالهای اخیر اهمیت بسیارزیادحفاظت اطلاعات می باشد.

امروزه دسته بندی و درجه بندی اهمیت دارایی های با ارزش سازمان توسط مدیریت سازمان مشخص می شود. هر چقدر این دسته بندی و اطلاعات كامل تر باشند پیشبرد اهداف امنیتی یك سازمان آسان تر صورت خواهد پذیرفت. همانطور كه می دانید “Knowledge is power”.

BS7799-2 یكی از معدود روشهایی است كه اطلاعات و امنیت آنها را با جزئیات كامل بیان می كند. در واقع چگونگی مدیریت امنیت اطلاعات توسط BS7799 بیان شده است.

سازگاری !

سازگاری با BS7799 سازمان را مجبور می سازد سیستم امنیت اطلاعات را اجرا نموده و مستند نماید همچنین بندهای كنترلی مختلف در آن سازمان اجرا خواهند شد.

گواهینامه !

گواهینامه BS7799 در صورت مستند بودن كلیه موارد امنیتی یك سازمان و همچنین به اجرا درآمدن صحیح آنها به سازمان تعلق می گیرد. در واقع پیاده سازی كلیه كنترلهای BS7799 شرط دریافت گواهینامه می باشد.

قبل از تطابق و حركت در مسیر داشتن این استاندارد موارد زیر مدنظر هستند.

1-      دانستن وسعت و گستردگی كنترلهای مختلف استاندارد

2-      مشخص كردن كنترلهای وابسته به سازمان

3-      سنجیدن فوائد استاندارد با توجه به هزینه ها و زمان

4-      نیازمندیهای قانونی

5-      نیازمندیهای تنظیمی

6-      ساختار سازمان

ممكن است در این ارزیابی اولیه خیلی از سازمانها به این نتیجه برسند كه نیاز برای اجرای كامل استاندارد وجود ندارد و تنها به استاندارد سازی بخشی از سازمان اكتفا نمایند.

چه مواردی جهت این سازگاری لازم هستند؟

اولین قدم برای رسیدن به این مهم برقراری و نگهداری مستندات ISMS می باشد.

1-      دارایی های با ارزش حفاظت شوند

2-      سازمان به سمت مدیریت خطرات پیش برود

3-      كنترلهای موجود در استاندارد لحاظ شود

4-      درجه امنیت مورد نیاز سازمان تعیین شود

سازگاری با BS7799 اجرای شش مرحله را طلب می كند.

مرحله اول : سیاست های امنیت اطلاعات سازمان مشخص می شود.

مرحله دوم : ناحیه اجرای استاندارد مشخص می شود. سازمان مشخص می كند كدام كنترل ها برای سازمان ضروری می باشند . حاصل این كنترل های انتخاب شده به نیازمندیهای سازمان، دارایی های نیازمند به ایمنی ،مكان و تكنولوژی بستگی دارد.

مرحله سوم : ارزیابی خطرات : هدف از این ارزیابی مشخص كردن تهدیدها و مخاطرات دارایی ها می باشد. نتیحه این ارزیابی درجه خطر را مشخص می نماید.

مرحله چهارم : مدیریت خطرها می باشد. محدوده مدیریت خطر توسط سیاستهای امنیتی اطلاعات و همچنین میزان امنیت مورد نیاز سازمان مشخص خواهد شد.

مرحله پنجم : انتخاب كنترل ها در بند 4 استاندارد BS7799 لحاظ شده است كه باید اجرا شوند.

مرحله ششم : امكان پذیری اجرا مدنظر قرار گیرد

یك سازمان نیاز به مستند كردن كنترلهای انتخاب شده دارد. بعضی از این كنترلها به دلیل ماهیت سازمان نیاز به اجرا ندارند كه باید مشخص شوند.

 

شش مرحله اصلی در BS7799

آیا باید گواهینامه گرفت ؟

تصمیم گیری در این مورد كاملا خصوصی است و به موارد زیر و میزان اهمیت امنیت در یك سازمان بستگی دارد.

1-      محدوده امنیتی مشخص شود

2-      مستندات و اجرا با كنترلهای مصوب در استاندارد سازگاری داشته باشد.

3-      استثنا ها مشخص و توجیه منطقی شوند.

بعد از این مراحل می توان برای دریافت گواهینامه BS7799 اقدام كرد لذا نیاز به حضور ارزیاب و كارشناسان BS7799 پیدا خواهد شد.

اجرای پیش نیازها پروسه پرزحمت و مداومی را طلب می كند كه باید با دقت و كاملا دقیق اجرا شود. برای اجرا این پیش نیازها نیاز به مرور دوره ای توسط ارزیاب های BS7799 می باشد كه در صورت اخذ گواهینامه BS7799 این بازدید توسط ارزیابان BS7799 هر سه سال تكرار خواهد شد.

در آخر ، نتایج اخذ این مدرك و مفید بودن آن در پیشبرد اهداف سازمان باید كاملا مدنظر قرار گیرد.

البته اعتباری كه یك سازمان در نتیجه اخذ این مدرك خواهد گرفت باید مورد توجه قرارگیرد.

تفكر اینكه اخذ این گواهینامه 100% اطلاعات شما را امن می كند كاملا اشتباه است و تنها شما قادر شده اید خطرات را تا حد زیادی پیش بینی كرده ، قانونمند نموده و خنثی نمایید.

چه مواردی برای اخذ گواهینامه مورد نیاز است؟

برای دریافت این گواهینامه كلیه سازگاریها با بندهای استاندارد صورت پذیرد همچنین نیاز به بازدیدهای دوره ای توسط ارزیابهای BS7799 می باشد. پس از محقق شدن كلیه مراحل و ارزیابی های مختلف و سازگاری كامل، شخص گواهینامه دهنده ازشركت معتبر BSI جهت بازدید نهایی و اعطای گواهینامه مراجعه خواهد كرد . در صورت عدم تطابق بیش از یك كنترل مهم اعطای گواهینامه به آینده و بازدید بعدی منوط خواهد شد.

نتیجه فنی : BS7799-2 استانداردی مدیریتی برای حفاظت از اطلاعات و دارایی های با اهمیت یك سازمان می باشد و اگر سازمان شما نیازمند امنیت اطلاعات است BS7799 نظر شما را تامین خواهد كرد.

منبع: آیا استاندارد BS7799 مورد نیاز شماست؟ نوشته مهندس مرادیان

منابع دیگر:

اگر تمایل دارید مبحث را تخصصی تر دنبال کنید

1- استانداردهای امنیت‌ ـ آشنایی با استاندارد BS7799 نوشته سرکار خانم مهندس افسانه دشتی ماهنامه شبکه - خرداد ۱۳۸۴ شماره 54 را مطالعه کنید اینجا را کلیک کنید

2- مروری بر استانداردهای مدیریت امنیت اطلاعات هم مطالب خواندنی دارد که اینجا کلیک کنید تا مطالعه نمایید

یک مقاله هم اینجاست فکر کنم با نام آشنایی با استاندارد کلیک کنید تا اینهم مطالعه کنید

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

نوشته شده در تاریخ سه شنبه بیست و دوم آذر 1384    | توسط: تی ان تی- یک هکر خوب/۴/    | طبقه بندی: هک - هکر - کراک،     | نظرات()
ارسال به ارسال به 100 درجه کلوب دات کام