Salar
Active Member
استاندارد امنيت اطلاعات BS7799 استانداردي جهاني و پوياست كه با ارائه كنترل هاي مختلف سعي در پياده سازي قالبي مطمئن براي شركت ها دارد. با اجراي اين كنترل ها نه تنها به شركت خود نظم مي بخشيم بلكه امنيت اطلاعات و دارايي هاي مختلف شركت را برقرار خواهيد ساخت.
استانداردBS7799 پرسنل،تكنيك ها و ايده ها را ايمن خواهد ساخت.
داشتن حجم بالاي اطلاعات در سازمان نيازمند پياده سازي استانداردي مطمئن در زمينه امنيت مي باشد. اهميت اين قضيه در برخي سازمان ها حساس تر مي باشد. شركت هاي بيمه ، بانك ها و پيمانكاران مختلف نمونه اينگونه سازمان ها هستند. همچنين شركت هاي ساختماني و شركت هاي مشاوره اي نيازمند حفاظت از اطلاعات ساير سازمان ها مي باشند اين اطلاعات در قالب طراحي ، نقشه ها و اطلاعات عمومي و . . . هستند.
هدف اصلي و نگرش به استاندارد BS7799 در سه قالب جلوگيري ، حفاظت و ثبت اطلاعات ، خلاصه مي شود. استاندارد انواع مختلف اطلاعات مربوط به سازمان، نظير امضاي الكترونيكي، اسناد مكتوب و . . . را شامل مي شود اما بحث پياده سازي سياست كنترلي مشخص براي افراد مختلف درون سازماني و برون سازماني از اهميت بالاتري برخوردار است. نحوه اطمينان به پرسنل و روالهاي مختلف براي برخورد با افرادي كه از شركت مي روند شامل اين استاندارد مي شود.
BS7799 نتيجه تلاش براي رسيدن به يك قالب مشترك امنيتي جهت شركت هاي مختلف با زمينه كاري مختلف مي باشد.امروزه استاندارد ISO راهنمايي خاص را براي رسيدن به اين منظور به نام ISO/IEC 17799:2000 ارائه داده است كه در واقع تمريني جدي و عالي براي پياده سازي امنيت اطلاعات مي باشد.اين رهنمودها با دقت خاصي در استاندارد BS7799-2:2002 گردآوري شده است كه نتيجه پياده سازي آن اخذ گواهينامه امنيت اطلاعات مي باشد. پياده سازي اين استاندارد سبب خواهد شد تا امكان سوء استفاده از اطلاعات ، ازبين رفتن آن و ساير خطرات به حداقل برسد.
امنيت اطلاعات براي جلوگيري از دسترسي هاي غير مجاز به اطلاعات ايجاد شده است. BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.
Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.
در زير چند كنترل امنيتي مؤثر مدون در استاندارد BS7799 مورد بحث و بررسي قرار خواهد گرفت.
A.8.6 امنيت ابزارهاي انتقال اطلاعات
براي جلوگيري از آسيب ديدگي دارايي ها و حفاظت از اطلاعات ابزارهاي انتقال اطلاعات نظير كامپيوتر ها ، فلاپي ديسك ها ، CD ها و . . . كنترلهاي زير در مستندات BS7799 گنجانده شده است.
*مديريت ابزارهاي انتقال اطلاعات (كنترل A.8.6.1)
كليه ابزارهاي انتقال اطلاعات نظير Tape ها ، فلاپي ديسكت ها ، نسخه هاي پرينت گرفته شده اطلاعات و . . . نياز به حفاظت و كنترل دارند. داشتن جداولي از اين ابزارها ، مشخص كردن نوع اطلاعات روي آنها و همچنين اشخاص مجاز به دسترسي به آن امري لازم است. همچنين محل نگهداري اين ابزارها و ايجاد شرايط محيطي امن و كنترل شده بايد در دستور كار قرار گيرد.
*ازرده خارج كردن اطلاعات ( كنترل A.8.6.2 )
در صورتيكه كه نياز به اطلاعات روي ابزار انتقال نداريد نگه داري و امنيت آن كاري دشوار و بيهوده مي باشد لذا اقدام به از بين بردن اطلاعات روي آنها نمائيد. بطور مثال با هفت بار فرمت هاردديسك و يا با شكستن CD حاوي اطلاعات قديمي و بدون مصرف قادر به از بين بردن اينگونه اطلاعات خواهيد شد.
*امنيت اطلاعات در هنگام حمل ( كنترل A.8.6.3 )
براي جلوگيري از سوء استفاده از اطلاعات و همچنين كاهش ريسك نياز به تعريف و ايجاد سياست هاي امنيتي در هنگام حمل اطلاعات هستيد.لذا با زدن برچسب روي ابزارهاي انتقال اطلاعات و همچنين مشخص كردن مبدا و مقصد و نيز افراد مجاز به دسترسي قادر به ايجاد امنيت و كنترل اطلاعات خواهيد شد.
*امنيت اطلاعات سيستم (كنترل A.8.6.4 )
باتوجه به تنوع اطلاعات در شركت و وجود شبكه هاي كامپيوتري امكان دسترسي افراد مختلف به اطلاعات وجود دارد. لذا با دسته بندي اطلاعات و تعريف حق دسترسي افراد امنيت اطلاعات خود را بيش از پيش خواهيد كرد.
A.8.7 رد و بدل كردن اطلاعات و نرم افزار بين شركتهاي مختلف
براي جلوگيري از تغييرات ، ازبين رفتن و سوءاستفاده از اطلاعات زمانيكه بين شركت ها ردوبدل مي شوند نياز به ايجاد سياستهاي كنترلي مي باشد.
*قرارداد انتقال اطلاعات بين شركت ها (A.8.7.1)
براي جلوگيري از سوء استفاده اطلاعات در هنگام ردوبدل شدن آنها بين شركتها و تعيين حريم استفاده از آنها توسط شركت مقصد نياز به عقد قرارداد بين شركت مبدا و مقصد اطلاعات مي باشد.
*امنيت اطلاعات در ترانزيت (A.8.7.2)
همانطور كه در كنترل هاي قبلي اشاره شد امنيت اطلاعات در هنگام انتقال اطلاعات از شركت مبدا به شركت مقصد و تعيين دسترسي افراد مختلف به آن امري ضروري است.
*امنيت تجارت الكترونيك (A.8.7.3)
فعاليت هاي مختلف تجارت الكترونيكي نيازمند تدارك يك سري سياست هاي امنيتي و پياده سازي اين سياستها مي باشد. نكات مختلف نظير جلوگيري از فعاليت افراد تبهكار، حق تغيير اطلاعات،امضاي الكترونيكي و . . . بايد درنظر گرفته شوند.
*امنيت نامه هاي الكترونيكي يا e-mail (A.8.7.4)
سياست هاي خاصي براي جلوگيري از سوءاستفاده افراد غير مجاز براي استفاده از نامه هاي الكترونيكي بايد تدوين شوند.ايجاد ايميل شخصي براي افراد مختلف و آموزش صحيح آنها براي استفاده از ايميلو همچنين آشنايي آنها با مفاهيم مختلف ايميل از جمله وظايفي است كه مدير شبكه در دستور كار خود قرار مي دهد.
*امنيت سيستم هاي موجود در شركت (A.8.7.5)
براي استفاده صحيح از دستگاه هاي مختلف داخل شركت نياز به تعريف سياست هاي مختلف و كتابچه هاي راهنما مي اشد. كامپيوتر هاي مختلف در سازمان ، دستگاههاي فكس و . . . از جمله امكاناتي است كه در حين ساده كردن كارها نقاط استراتژيك اطلاعاتي هستند.
*صحت اطلاعات (A.8.7.6)
براي رسيدن به اطلاعاتي كارساز و مفيد نياز به پردازش روي اطلاعات خام و اوليه مي باشد.حفاظت از اين اطلاعات خام گردآوري شده كاري بسيار مهم مي باشد كه بايد در دستور كار قرارگيرد. نتيجه گيري درست از اطلاعات اوليه غلط بسيار بعيد مي نمايد.
*مبادله ساير فرم هاي اطلاعات(A.8.7.7)
براي ساير اشكال اطلاعات در شركت ايجاد سياست هاي حفاظتي امري ضروري مي باشد. ابزارهاي صوتي و ارتباطات ويدئويي از جمله اين اشكال هستند.
كنترل هاي بالا تنها بخشي از 127 كنترل مدون در استاندارد BS7799 مي باشد كه اجراي آنها شما را چند قدم به ايجاد امنيت واقعي نزديك تر مي سازد. درست است كه امنيت 100% اطلاعات كاري دشوار است ولي نزديك تر شدن به آن نيازمند كمي تلاش و مديريت مي باشد.
نويسنده : مهندس كيانوش مراديان
ناشر : مهندسي شبكه همكاران سيستم
استانداردBS7799 پرسنل،تكنيك ها و ايده ها را ايمن خواهد ساخت.
داشتن حجم بالاي اطلاعات در سازمان نيازمند پياده سازي استانداردي مطمئن در زمينه امنيت مي باشد. اهميت اين قضيه در برخي سازمان ها حساس تر مي باشد. شركت هاي بيمه ، بانك ها و پيمانكاران مختلف نمونه اينگونه سازمان ها هستند. همچنين شركت هاي ساختماني و شركت هاي مشاوره اي نيازمند حفاظت از اطلاعات ساير سازمان ها مي باشند اين اطلاعات در قالب طراحي ، نقشه ها و اطلاعات عمومي و . . . هستند.
هدف اصلي و نگرش به استاندارد BS7799 در سه قالب جلوگيري ، حفاظت و ثبت اطلاعات ، خلاصه مي شود. استاندارد انواع مختلف اطلاعات مربوط به سازمان، نظير امضاي الكترونيكي، اسناد مكتوب و . . . را شامل مي شود اما بحث پياده سازي سياست كنترلي مشخص براي افراد مختلف درون سازماني و برون سازماني از اهميت بالاتري برخوردار است. نحوه اطمينان به پرسنل و روالهاي مختلف براي برخورد با افرادي كه از شركت مي روند شامل اين استاندارد مي شود.
BS7799 نتيجه تلاش براي رسيدن به يك قالب مشترك امنيتي جهت شركت هاي مختلف با زمينه كاري مختلف مي باشد.امروزه استاندارد ISO راهنمايي خاص را براي رسيدن به اين منظور به نام ISO/IEC 17799:2000 ارائه داده است كه در واقع تمريني جدي و عالي براي پياده سازي امنيت اطلاعات مي باشد.اين رهنمودها با دقت خاصي در استاندارد BS7799-2:2002 گردآوري شده است كه نتيجه پياده سازي آن اخذ گواهينامه امنيت اطلاعات مي باشد. پياده سازي اين استاندارد سبب خواهد شد تا امكان سوء استفاده از اطلاعات ، ازبين رفتن آن و ساير خطرات به حداقل برسد.
امنيت اطلاعات براي جلوگيري از دسترسي هاي غير مجاز به اطلاعات ايجاد شده است. BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.
Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.
در زير چند كنترل امنيتي مؤثر مدون در استاندارد BS7799 مورد بحث و بررسي قرار خواهد گرفت.
A.8.6 امنيت ابزارهاي انتقال اطلاعات
براي جلوگيري از آسيب ديدگي دارايي ها و حفاظت از اطلاعات ابزارهاي انتقال اطلاعات نظير كامپيوتر ها ، فلاپي ديسك ها ، CD ها و . . . كنترلهاي زير در مستندات BS7799 گنجانده شده است.
*مديريت ابزارهاي انتقال اطلاعات (كنترل A.8.6.1)
كليه ابزارهاي انتقال اطلاعات نظير Tape ها ، فلاپي ديسكت ها ، نسخه هاي پرينت گرفته شده اطلاعات و . . . نياز به حفاظت و كنترل دارند. داشتن جداولي از اين ابزارها ، مشخص كردن نوع اطلاعات روي آنها و همچنين اشخاص مجاز به دسترسي به آن امري لازم است. همچنين محل نگهداري اين ابزارها و ايجاد شرايط محيطي امن و كنترل شده بايد در دستور كار قرار گيرد.
*ازرده خارج كردن اطلاعات ( كنترل A.8.6.2 )
در صورتيكه كه نياز به اطلاعات روي ابزار انتقال نداريد نگه داري و امنيت آن كاري دشوار و بيهوده مي باشد لذا اقدام به از بين بردن اطلاعات روي آنها نمائيد. بطور مثال با هفت بار فرمت هاردديسك و يا با شكستن CD حاوي اطلاعات قديمي و بدون مصرف قادر به از بين بردن اينگونه اطلاعات خواهيد شد.
*امنيت اطلاعات در هنگام حمل ( كنترل A.8.6.3 )
براي جلوگيري از سوء استفاده از اطلاعات و همچنين كاهش ريسك نياز به تعريف و ايجاد سياست هاي امنيتي در هنگام حمل اطلاعات هستيد.لذا با زدن برچسب روي ابزارهاي انتقال اطلاعات و همچنين مشخص كردن مبدا و مقصد و نيز افراد مجاز به دسترسي قادر به ايجاد امنيت و كنترل اطلاعات خواهيد شد.
*امنيت اطلاعات سيستم (كنترل A.8.6.4 )
باتوجه به تنوع اطلاعات در شركت و وجود شبكه هاي كامپيوتري امكان دسترسي افراد مختلف به اطلاعات وجود دارد. لذا با دسته بندي اطلاعات و تعريف حق دسترسي افراد امنيت اطلاعات خود را بيش از پيش خواهيد كرد.
A.8.7 رد و بدل كردن اطلاعات و نرم افزار بين شركتهاي مختلف
براي جلوگيري از تغييرات ، ازبين رفتن و سوءاستفاده از اطلاعات زمانيكه بين شركت ها ردوبدل مي شوند نياز به ايجاد سياستهاي كنترلي مي باشد.
*قرارداد انتقال اطلاعات بين شركت ها (A.8.7.1)
براي جلوگيري از سوء استفاده اطلاعات در هنگام ردوبدل شدن آنها بين شركتها و تعيين حريم استفاده از آنها توسط شركت مقصد نياز به عقد قرارداد بين شركت مبدا و مقصد اطلاعات مي باشد.
*امنيت اطلاعات در ترانزيت (A.8.7.2)
همانطور كه در كنترل هاي قبلي اشاره شد امنيت اطلاعات در هنگام انتقال اطلاعات از شركت مبدا به شركت مقصد و تعيين دسترسي افراد مختلف به آن امري ضروري است.
*امنيت تجارت الكترونيك (A.8.7.3)
فعاليت هاي مختلف تجارت الكترونيكي نيازمند تدارك يك سري سياست هاي امنيتي و پياده سازي اين سياستها مي باشد. نكات مختلف نظير جلوگيري از فعاليت افراد تبهكار، حق تغيير اطلاعات،امضاي الكترونيكي و . . . بايد درنظر گرفته شوند.
*امنيت نامه هاي الكترونيكي يا e-mail (A.8.7.4)
سياست هاي خاصي براي جلوگيري از سوءاستفاده افراد غير مجاز براي استفاده از نامه هاي الكترونيكي بايد تدوين شوند.ايجاد ايميل شخصي براي افراد مختلف و آموزش صحيح آنها براي استفاده از ايميلو همچنين آشنايي آنها با مفاهيم مختلف ايميل از جمله وظايفي است كه مدير شبكه در دستور كار خود قرار مي دهد.
*امنيت سيستم هاي موجود در شركت (A.8.7.5)
براي استفاده صحيح از دستگاه هاي مختلف داخل شركت نياز به تعريف سياست هاي مختلف و كتابچه هاي راهنما مي اشد. كامپيوتر هاي مختلف در سازمان ، دستگاههاي فكس و . . . از جمله امكاناتي است كه در حين ساده كردن كارها نقاط استراتژيك اطلاعاتي هستند.
*صحت اطلاعات (A.8.7.6)
براي رسيدن به اطلاعاتي كارساز و مفيد نياز به پردازش روي اطلاعات خام و اوليه مي باشد.حفاظت از اين اطلاعات خام گردآوري شده كاري بسيار مهم مي باشد كه بايد در دستور كار قرارگيرد. نتيجه گيري درست از اطلاعات اوليه غلط بسيار بعيد مي نمايد.
*مبادله ساير فرم هاي اطلاعات(A.8.7.7)
براي ساير اشكال اطلاعات در شركت ايجاد سياست هاي حفاظتي امري ضروري مي باشد. ابزارهاي صوتي و ارتباطات ويدئويي از جمله اين اشكال هستند.
كنترل هاي بالا تنها بخشي از 127 كنترل مدون در استاندارد BS7799 مي باشد كه اجراي آنها شما را چند قدم به ايجاد امنيت واقعي نزديك تر مي سازد. درست است كه امنيت 100% اطلاعات كاري دشوار است ولي نزديك تر شدن به آن نيازمند كمي تلاش و مديريت مي باشد.
نويسنده : مهندس كيانوش مراديان
ناشر : مهندسي شبكه همكاران سيستم
