 |
|||
به نورا خوش آمديد
We are not an ISP , accounting firm, networking company, or hardware vendor trying to offer security services. Security is what we know and it is all we do. مقالات نورا
اخبار نورا
آخرين آسيب پذيريها
خدمات/امنيت اطلاعات/isms
سيستم مديريت امنيت اطلاعات (ISMS) با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که برپايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قرارداشته و هدف آن، پايه گذاري، پياده سازي ، بهره برداري، نظارت، بازبيني، نگهداري و بهبود امنيت اطلاعات است. «امنيت اطلاعات» بمعنی حفاظت از محرمانگي، تماميت و در دسترسبودن اطلاعات می باشد. علاوه براينها ويژگيهای دیگری از قبيل صحت اطلاعات (authenticity) ، قابليت جوابگويي و اعتبار اطلاعات( accountability ) ، انکارناپذيري ( non- repudiation ) و نیز قابليت اطمينان( reliability ) اطلاعات نيز ميتوانند مشمول اين حفاظت باشند. تا سال 2002، مجموعهاي از استانداردهاي مديريتي و فني بمنظور ايمنسازي فضاي تبادل اطلاعات سازمانها ارائه شدند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد از برجستهترين استانداردها و راهنماهاي فني از آن جمله اند . پس از آن در سال 2005 استاندارد ISO/IEC 27001 ارائه شد که مدل تکامل یافته BS7799:part2 بوده و به استاندارد سیستم مدیریت امنیت اطلاعات (ISMS:information security management system) مشهور است. عموما در اين استانداردها، نکات زير مورد توجه قرار گرفته است: ١- تعيين مراحل ايمنسازي و نحوه شکلگيري چرخه امنيت اطلاعات و ارتباطات سازمان ٢- جزئيات مراحل ايمنسازي و تکنيکهاي فني مورد استفاده در هر مرحله ٣- ليست و محتواي طرحها و برنامههاي امنيتي موردنياز سازمان ٤- ضرورت و جزئيات ايجاد تشکيلات، سياستگذاريها،جزئیات اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان ٥- کنترلهاي امنيتي موردنياز براي هر يک از سيستمهاي اطلاعاتي و ارتباطي سازمان «سيستم مديريت امنيت اطلاعات» براي حصول اطمينان از کافی بودن و مناسب بودن کنترلهاي امنيتي محافظ داراييهاي اطلاعاتي، طراحي شده است تا بدين وسيله به مشتريان و ديگر گروههاي ذينفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطرداده شود. هدف اين سيستم پيادهسازي نوعي از كنترلهاي امنيتي است كه با برقراري زيرساختهاي مورد نياز، امنيت اطلاعات را تضمين نمايند. درحقيقت يک «سيستم مديريت امنيت اطلاعات»، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم ميآورد و کل کارکنان، فرآيندها و سيستمهاي اطلاعاتي يک سازمان را دربر مي گيرد. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد. بدين منظور لازم است هر سازمان بر اساس يک روش و اسلوب مشخص، اقدامات زير را انجام دهد: ١- تهيه طرحها و برنامههاي امنيتي موردنياز سازمان ٢- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان ٣- اجراي طرحها و برنامههاي امنيتي سازمان طراحي، پيادهسازي، نگهداري و بهبودسيستم مديريت امنيت اطلاعات فعاليتهاي مربوط به پيادهسازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ (برنامه-اجرا-بررسي-اقدام اصلاحي) در شکل زير نمايش داده شدهاست: 
فعاليتهايي که در هر فاز از اين پروژه اجرا ميشوند نيز عبارتند از: فاز برنامه: تعريف محدوده اوليه ISMS تعريف سياست و خط مشي كلي در ISMS شناسايي داراييها شناسايي تهديدها ارزيابي ريسك تنظيم برنامه برخورد با ريسكها انتخاب كنترلهاي امنيتي تنظيم بيانيه قابليت اجرا (SOA) فاز اجرا: بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك پياده سازي برنامه برخورد با ريسك و كنترلهاي مربوطه فاز بررسي: نظارت بر اجرا بازبينيهاي منظم بر كارآيي و كارآمدي ISMS نظارت بر ريسكهاي مورد قبول هدايت منظم مميزيهاي ISMS فاز اقدام: پياده سازي موارد بهبود انتخاب اعمال اصلاحي مناسب
|
|||
| |