بررسی برخی از کنترل‌های اجباری در استاندارد مدیریت امنیت اطلاعات (ISO 27001)

بررسی برخی از کنترل‌های اجباری در استاندارد مدیریت امنیت اطلاعات (ISO 27001)
0
مدیر سایت مدیر سایت
مقالات
۴ بهمن

استاندارد ISO 27001 چیست؟

استاندارد ISO 27001 یک استاندارد بین‌المللی است که زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) و ارزیابی آن در سازمانها و بهره گیری از منافع این رویکرد فراهم می‌آورد. در حقیقت این استاندارد به منظور جلوگیری از نقض امنیت اطلاعات و اتلاف مالی و پیشگیری از تنش‌های حاصل از این موضوع در درون سازمان‌ها به وجود آورده است.

 

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات

روش کلی که استاندارد جهت طراحی و استقرار نظام مدیریت امنیت اطلاعات پیشنهاد می‌دهد شامل مراحل زیر است:

1- تعریف قلمرو

2- تعریف خط مشی

3- تعیین مخاطرات

4- ارزیابی مخاطرات

5- انتخاب کنترل های مناسب

در حقیقت در قدم اول باید مشخص شود که سازمان ما در چه قلمروی می‌خواهد امنیت را به وجود آورد؟ آیا فقط برای دیتا سنتر است یا برای کل سازمان یا برای ساختمان خاص. این قلمرو در ابتدا توسط مدیران ارشد تعیین می‌گردد. در قدم بعدی اهداف باید مشخص شود و تعیین کنیم که به کجا می‌خواهیم برسیم پس از آن داراییهای سازمان شناسایی می‌شود این داراییها هر چیزی است که سازمان بر آن مالکیت دارد. ساختمان، سرور، سوئیچ، منابع انسانی، اطلاعات و به طور کلی هر آنچه برای سازمان اهمیت دارد و می‌خواهد امنیت آن را حفظ کند.

در گام بعدی مخاطراتی که این دارایی‌ها را تهدید می‌کنند شناسایی و آنالیز می‌شوند مثلاً تعیین می‌شود مخاطرات دیتا سنتر می‌تواند بروز آتش سوزی، حمله نفوذ گران، از دست رفتن سخت افزار و مواردی از این قبیل باشد و در آنالیز انجام گرفته تعیین می‌شود بروز هریک از این مخاطرات می‌تواند چه مقدار خسارت به وجود آورد و موارد در پایان اولویت‌بندی می‌گردد.

در گام آخر از کنترل‌های مناسب جهت حفظ امنیت دارایی‌ها در مقابل تهدیدات استفاده می‌شود. شرح کامل کنترل‌های لازم در پیوست الف استاندارد آمده است. این کنترل‌ها به سه دسته اصلی تقسیم می‌شوند:

 

کنترل‌های اجباری در استاندارد ISO 27001

الف) کنترل‌های اجرایی:

یکی از کنترل‌های اجباری در استاندارد ISO 27001، کنترل‌های اجرایی هستند که چهار چوبی برای اجرای کار و مدیریت افراد ایجاد می‌کند و به افراد نحوه اجرای کارها و عملیات روزانه که با امنیت اطلاعات رابطه دارد را اطلاع‌رسانی می‌کند. در حقیقت تدوین خط مشی و روش‌های اجرایی، استانداردها و راهنما‌ها برای سازمان در اینجا انجام می‌پذیرد.

ب) کنترل‌های منطقی:کنترل‌های اجباری در استاندارد ISO 27001

این کنترل‌ها همان کنترل‌های فنی هستند و ابزارها و نرم افزارهایی که وظیفه کنترل و پایش و دسترسی به اطلاعات و سیستمها را بر عهده دارند. برخی نمونه های آن NAC، فایروال، IPS و مواردی از این قبیل است.

ج) کنترل‌های فیزیکی:

کنترل‌های فیزیکی به عنوان یکی از کنترل‌های اجباری در استاندارد ISO 27001، حفظ امنیت فیزیکی را برقرار می‌سازند. پایش و کنترل محیط کاری،کنترل دسترسی فیزیکی، تهویه و کنترل دما و رطوبت با استفاده از این کنترل‌ها انجام می‌پذیرد. در استاندارد ذکر نشده که برای انجام کار از چه نرم‌افزار و یا وسیله‌ای باید استفاده شود و فقط هدفی که باید محقق شود ذکر گردیده است.

در ادامه برخی از کنترل‌های پیوست الف استاندارد را مورد بررسی قرار می دهیم.

  – کنترل‌های شبکه: شبکه ها باید به منظور حفاظت در برابر تهدیدها و برای نگهداری امنیت سیستم‌ها و برنامه‌های کاربردی که از شبکه استفاده می‌کنند به میزان نیاز مدیریت و کنترل شود.

  – پایش: به منظور تشخیص فعالیت‌های غیرمجاز پردازش اطلاعات شبکه باید پایش گردد.

  – واقعه نگاری ممیزی: سوابق وقایع مبنی بر فعالیت‌های کاربر، استثناها و وقایع امنیت اطلاعات باید برای یک بازه زمانی توافق شده، ایجاد و نگهداری شوند تا در رسیدگی‌ها و پایش‌های آتی مورد استفاده قرارگیرد.

  – پایش کاربرد سیستم: روش‌های اجرایی برای پایش کاربرد امکانات پردازش اطلاعات باید ایجاد بشود و نتایج فعالیت‌های پایش به طور منظم بازنگری گردد.

  – انطباق با الزامات قانونی: الزامات قانونی می‌تواند از طرف نهادهای کشوری و یا آیین‌نامه‌های داخلی سازمان آمده باشد و به گونه‌ای باید گارانتی شود که الزامات قانونی حتماً انجام می‌گیرد. به طور مثال در آیین‌نامه سازمان ذکر گردیده که فقط سیستم‌هایی حق اتصال به شبکه را دارند که آنتی‌ویروس آنها به روز است بنابراین باید کنترل مناسب وجود داشته باشد که در صورتی که آنتی‌ویروس به روزرسانی نشده امکان اتصال به شبکه را به سیستم ندهد.

  – پیشگیری از استفاده نا به جا از امکانات پردازش اطلاعات: کاربران باید از به کارگیری امکانات پردازش اطلاعات برای مقاصد غیر مجاز باز داشته شوند. مثلاً کاربر مهمان در سازمان که نیاز به استفاده از اینترنت دارد نباید بتواند به شبکه داخلی سازمان دسترسی داشته باشد.

  – کنترل دسترسی به شبکه: پیشگیری از دسترسی غیر مجاز به خدماتی که تحت شبکه ارائه می‌شود باید انجام پذیرد.

  – خط مشی استفاده از خدمات شبکه: کاربران باید تنها به خدماتی که مشخصاً استفاده از آنها برایشان مجاز تعیین شده است دسترسی داشته باشند.

  – شناسایی تجهیزات در شبکه: شناسایی خودکار تجهیزات باید به عنوان وسیله ای برای تصدیق هویت اتصالات از مکانها و تجهیزات مشخص در نظر گرفته شود. به طور واضح تر یعنی وقتی که یک لپ‌تاپ به شبکه متصل می شود به صورت خودکار شناسائی شود که آیا این تجهیز مربوط به خود سازمان است و یا خیر.

  – تفکیک در شبکه‌ها: گروههای خدمات اطلاعاتی، کاربران و سیستم‌های اطلاعاتی باید در شبکه‌ها تفکیک شوند.

  – کنترل اتصال به شبکه: برای شبکه‌های اشتراکی به ویژه آنهایی که در محدوده‌های سازمان گسترش می‌یابند قابلیت کاربران برای اتصال به شبکه باید در راستای خط مشی کنترل دسترسی و الزامات برنامه‌های کاربردی سازمان محدود شوند.

کنترل‌های اجباری در استاندارد ISO 27001 ذکر شده تنها گوشه‌ای از کنترل‌ها در این استاندارد است که بیان گردید. علاقمندان می‌توانند جهت اطلاعات بیشتر به متن آن در پیوست الف استاندارد مراجعه نمایند.

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

بستن
جستجو

اینتر را برای جستجو و یا ESC برای بستن بفشارید