استاندارد روشهای توصیه شده برای امنیت اطلاعات 2020 (SOGP[1] 2020) شامل کنترلها و اصول جامعی درباره موضوعات فعلی و نوظهور در حوزه امنیت اطلاعات است و به سازمانها امکان میدهد متناسب با شتاب تغییر و تحول تهدیدات، فناوریها و ریسکها به آنها واکنش نشان دهند.
کمک و پیادهسازی SOGP 2020 در سازمانها
پیادهسازی SOGP 2020 به سازمانها در انجام موارد زیر کمک میکند:
- چابک باشند و از فرصتهای جدید استفاده کنند و در عین حال مطمئن باشند که ریسکهای امنیت اطلاعات در سطح قابل قبولی کنترل میشوند؛
- با استفاده از هوش تهدید برای ارتقای مقاومت سایبری، به تهدیداتی که با سرعت چشمگیری تحول مییابند از جمله حملات سایبری پیچیده واکنش نشان دهند؛
- شیوه برآورده ساختن الزامات قانونی را به بهترین حالت ممکن مشخص کنند.
مفاهیم مهم در جدیدترین نسخه SOGP 2020
جدیدترین نسخه SOGP 2020 مفاهیم مهم زیر را پوشش میدهد:
- ایمنسازی سرویسهای ابر؛
- راهاندازی و مدیریت مرکز عملیات امنیتی؛
- حفاظت از دستگاههای همراه؛
- طرحهای تضمین امنیت؛
- مدیریت داراییها و تأمینکنندگان.
• همچنین میتوانید مطالعه کنید: محافظت از برنامههای تحت وب
موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013
ISF SOGP به همراه بنچمارک ISF که یک ابزار ارزیابی کنترلهای امنیتی جامع است، پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریمورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات را فراهم میکند.
- مقاومت (تابآوری): SOGP شامل یک فریمورک آماده است که به سازمانها کمک میکند با ایجاد آمادگی برای مدیریت و واکنش به حوادث مهم و مؤثر بر کسبوکارشان، مقاومت خود را افزایش دهند. برای دستیابی به این هدف، SOGP پوشش کاملی از موضوعات امنیت سایبری از جمله موضوعات مرتبط با استراتژی امنیتی، مدیریت حادثه، تداوم کسبوکار، مقاومت سایبری و مدیریت بحران انجام داده است.
- مدیریت ریسک: محتوای جدید و جامع SOGP در ترکیب با روش ارزیابی ریسک امنیت اطلاعات 2 ISF (IRAM2[2]) میتواند سنگ بنای ارزیابی ریسک سازمانها از جمله مشخص کردن تأثیر ریسکها بر کسبوکار سازمان، تعیین تهدیدات کلیدی و ارزیابی آسیبپذیریها شود. امکان رفع همه ریسکهای شناسایی شده با استفاده از کنترلهای SOGP وجود دارد؛ به این ترتیب سازمانها میتوانند به بهرهوری بیشتری دست یافته و قدرت دفاعی لازم بر اساس سطح پذیرش ریسک دلخواهشان را پیدا کنند.
- مدیریت زنجیره تأمین: SOGP راهکاری در اختیار سازمانها قرار میدهد که پیادهسازی آن راحت است و به سازمانها اطمینان میدهد که در زنجیره تأمین از یک روش مبتنی بر ریسک برای رسیدگی به امنیت اطلاعات استفاده میشود. میتوانید از این مرجع برای تشخیص و ارزیابی سطح امنیت سایبری پیادهسازی شده توسط تأمینکنندگان خارجی مثل ارائهدهندگان خدمات ابر استفاده کنید. SOGP در ترکیب با ابزارهای شتابدهنده زنجیره تأمین ISF و بنچمارک آن، به سازمانها امکان میدهد سازوکارهای حفاظتی کاملاً سازگار با ISO/IEC 27036-3:2013 را (با پوشش روابط با تأمین کنندگان) پیادهسازی کنند.
- برآورده ساختن الزامات: SOGP یک ابزار ایدهآل برای آماده شدن جهت کسب گواهینامه ISO/IEC 27001:2013 و سازگاری با سایر استانداردهای مرتبط (مثل PCI DSS) است. این مرجع با استانداردهای کلیدی امنیت اطلاعات از جمله موضوع روابط با تأمینکنندگان و مدیریت امنیت سازگار در مجموعه ISO/IEC 27000 است. SOGP موضوعات مهمی مثل ایمنسازی سرویسهای ابر، راهاندازی مرکز عملیات امنیتی یا حفاظت از دستگاههای همراه که در ISO/IEC 27002 وجود ندارند را پوشش میدهد.
- سیاستها، استانداردها و روشها: میتوان SOGP را به صورت مستقیم و به عنوان پایه و اساس یک سیاست امنیت اطلاعات جدید یا موجود استفاده کرد. SOGP یک ابزار کارآمد برای تشخیص خلأها و کاهش زمان و تلاش لازم در راستای تدوین سیاستها، استانداردها و روشهای امنیت اطلاعات است. هماهنگسازی سیاستهای داخلی در سطح سازمان به حفاظت از اطلاعات به روشی منسجم و متعادل کمک میکند.
- آگاهی: استفاده از SOGP نیاز به تولید محتوای لازم برای آگاهیرسانی امنیتی از صفر را از بین میبرد. SOGP موضوعاتی را پوشش میدهد که مخاطبان مختلف در سطح سازمان از جمله کاربران بیزنسی، متخصصان فنی، مدیریت ارشد، توسعهدهندگان سیستمها و ارایهدهندگان خدمات IT از آنها برای ارتقای آگاهی امنیتی و ایجاد رفتارهای امنیتی مورد انتظار در مخاطبان مختلف در سطح سازمان استفاده میکنند. این طرح همچنین به پیادهسازی امنیت اطلاعات در مشاغل محلی که معمولاً نیاز به طرحهای آگاهیرسانی خاصی دارند، کمک میکند.
- تدارکات امنیتی: SOGP یک راهنمای کامل و بهروز برای طراحی تدارکات امنیتی جدید یا تغییر تدارکات موجود بر اساس تغییر شرایط است (برای مثال تغییرات ناشی از افزایش تهدیدات سایبری، استفاده از سرویسهای ابر یا وابستگی به دستگاههای همراه در محیط کار). موضوعات امنیتی قابل درک و آسان این مرجع، با شتاب بخشیدن به طرحهای امنیت اطلاعات و پیشگیری از حوادث پرهزینه به شناسایی روشهای مناسب برای واکنش به تغییرات شرایط کمک میکنند.
- ارزیابی امنیت اطلاعات: SOGP با ابزار بنچمارک ادغام شده و ارزیابیهای سطح بالا و سطح متوسطی از قدرت کنترلهای امنیت اطلاعات در سطح سازمان، به صورت محلی یا در مقایسه با همتایان (یعنی سازمانهای فعال در همان صنعت یا منطقه جغرافیایی) امکان تحلیل هدفمند و معنادار وضعیت امنیتی را در سطح سازمان فراهم کرده و گزارشی آماده میکند که میتوان آن را به سهامداران و مدیریت کلیدی سازمان ارائه داد.
استاندارد ISF برای روشهای توصیه شده در زمینه امنیت اطلاعات 2020، یک مرجع پیشگام در حوزه امنیت اطلاعات است. این راهنمای قابل اطمینان و کاربردی، به سازمانها کمک میکند روشهای مناسبی که میتوانند سنگ بنای طرحهای جدید در حوزه امنیت اطلاعات باشند را مشخص کنند. SOGP پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریمورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات فراهم میکند.
ISF RESEARCH یک طرح تحقیقاتی جامع در حوزه امنیت اطلاعات است. نتایج آخرین و جدیدترین گزارشات این طرح عبارتند از:
نتایج بنچمارکها: نتایج بنچمارکهای ISF که اطلاعات ارزشمندی درباره شیوه پیادهسازی امنیت اطلاعات در محیط سازمانهای عضو فراهم میکند.
ورودیهای اعضا: ورودیهای ارائه شده از سمت اعضای ISF از جمله ورکشاپها، همکاریهای آنلاین در ISF Live، جلسات حضوری، مصاحبهها و جلسات آکادمی در کنگره جهانی بین المللی ISF.
تغییرات بیرونی: تحلیل و پوشش فریمورکها و استانداردهای مرتبط با امنیت اطلاعات مثل:
- فریمورک امنیت سایبری NIST
- CIS Top 20
- ISO/IEC 27001/2:2013
- COBIT 5 برای امنیت اطلاعات
تغییرات قانونی و مقرراتی:
- مقررات عمومی حفاظت از داده اتحادیه اروپا
- PCI DSS
برای مطالعه بیشتر درباره کنترلها میتوانید مقاله بررسی برخی از کنترلهای اجباری در استاندارد مدیریت امنیت اطلاعات (ISO 27001) مطالعه فرمایید.
مرحله بعد چیست؟
استاندارد اصول توصیه شده برای امنیت اطلاعات 2020 (SOGP 2020) جامعترین و بهروزترین مرجع کنترلهای امنیت اطلاعات است. SOGP به صورت سالیانه به روزرسانی میشود تا منعکسکننده چشمانداز رو به تغییر استانداردها و قوانین مرتبط با امنیت اطلاعات باشد.
این به روزرسانیها شامل جدیدترین یافتهها از جمله نظرات سازمانهای عضو، گرایشات مربوط به بنچمارک ISF و تغییرات خارجی مهم از جمله مقررات تازه، تغییر در قوانین و انتشار سایر استانداردهای مرتبط با امنیت اطلاعات از طرح تحقیقاتی ISF هستند.
اصول توصیه شده در SOGP معمولاً در فرایندهای بیزنسی، سیاست امنیت اطلاعات، مدیریت ریسک و تدابیر سازمانها برای رعایت الزامات قانونی به کار گرفته میشوند. در نتیجه SOGP برای افراد مختلف داخلی و خارجی ارزشمند است از جمله مدیران ارشد امنیت اطلاعات (یا معادل آن)، مدیران امنیت اطلاعات، متخصصان مدیریت ریسک، مدیران مشاغل، مدیران IT، کارشناسان فنی، بازرسان داخلی و خارجی، ارایه دهندگان خدمات IT، تیمهای خرید و مدیریت فروشندهها.
ISF از سازمانهای عضو برای طراحی ابزارها و تحقیقاتش دعوت میکند. سازمانهای عضو میتوانند به انجمن استاندارد روشهای توصیه شده برای امنیت اطلاعات در ISF Live ملحق شده و تجربیاتشان را یا یکدیگر به اشتراک بگذارند.
سازمانهای عضو و غیرعضو میتوانند از خدمات مشاوری ISF برای دریافت پشتیبانی حرفهای کوتاه مدت استفاده کنند که میتواند مکملی برای پیادهسازی محصولات ISF باشد.
این گزارش برای اعضای ISF رایگان است و میتوانند آن را از طریق نشانی website www.isflive.org دانلود کنند.
[1] Standard of Good Practice for Information Security
[2] ISF Information Risk Assessment Methodology