استاندارد روش‌های توصیه شده برای امنیت اطلاعات 2020

استاندارد روش‌های توصیه شده برای امنیت اطلاعات ۲۰۲۰

استاندارد روش‌های توصیه شده برای امنیت اطلاعات 2020 (SOGP[1] 2020) شامل کنترل‌ها و اصول جامعی درباره موضوعات فعلی و نوظهور در حوزه امنیت اطلاعات است و به سازمان‌ها امکان می‌دهد متناسب با شتاب تغییر و تحول تهدیدات، فناوری‌ها و ریسک‌ها به آنها واکنش نشان دهند.

 

کمک و پیاده‌سازی SOGP 2020 در سازمان‌ها

پیاده‌سازی SOGP 2020 به سازمان‌ها در انجام موارد زیر کمک می‌کند:

  • چابک باشند و از فرصت‌های جدید استفاده کنند و در عین حال مطمئن باشند که ریسک‌های امنیت اطلاعات در سطح قابل قبولی کنترل می‌شوند؛
  • با استفاده از هوش تهدید برای ارتقای مقاومت سایبری، به تهدیداتی که با سرعت چشمگیری تحول می‌یابند از جمله حملات سایبری پیچیده واکنش نشان دهند؛
  • شیوه برآورده ساختن الزامات قانونی را به بهترین حالت ممکن مشخص کنند.

 

مفاهیم مهم در جدیدترین نسخه SOGP 2020

جدیدترین نسخه SOGP 2020 مفاهیم مهم زیر را پوشش می‌دهد:

  • ایمن‌سازی سرویس‌های ابر؛
  • راه‌اندازی و مدیریت مرکز عملیات امنیتی؛
  • حفاظت از دستگاه‌های همراه؛
  • طرح‌های تضمین امنیت؛
  • مدیریت دارایی‌ها و تأمین‌کنندگان.

 

همچنین میتوانید مطالعه کنید: محافظت از برنامه‌های تحت وب

 

موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013

ISF SOGP به همراه بنچمارک ISF که یک ابزار ارزیابی کنترل‌های امنیتی جامع است، پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریم‌ورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات را فراهم می‌کند.

 

  1. مقاومت (تاب‌آوری): SOGP شامل یک فریم‌ورک آماده است که به سازمان‌ها کمک می‌کند با ایجاد آمادگی برای مدیریت و واکنش به حوادث مهم و مؤثر بر کسب‌وکارشان، مقاومت خود را افزایش دهند. برای دستیابی به این هدف، SOGP پوشش کاملی از موضوعات امنیت سایبری از جمله موضوعات مرتبط با استراتژی امنیتی، مدیریت حادثه، تداوم کسب‌وکار، مقاومت سایبری و مدیریت بحران انجام داده است.
  2. مدیریت ریسک: محتوای جدید و جامع SOGP در ترکیب با روش ارزیابی ریسک امنیت اطلاعات 2 ISF (IRAM2[2]) می‌تواند سنگ بنای ارزیابی ریسک سازمان‌ها از جمله مشخص کردن تأثیر ریسک‌ها بر کسب‌وکار سازمان، تعیین تهدیدات کلیدی و ارزیابی آسیب‌پذیری‌ها شود. امکان رفع همه ریسک‌های شناسایی شده با استفاده از کنترل‌های SOGP وجود دارد؛ به این ترتیب سازمان‌ها می‌توانند به بهره‌وری بیشتری دست یافته و قدرت دفاعی لازم بر اساس سطح پذیرش ریسک دلخواهشان را پیدا کنند.
  3. مدیریت زنجیره تأمین: SOGP راهکاری در اختیار سازمان‌ها قرار می‌دهد که پیاده‌سازی آن راحت است و به سازمان‌ها اطمینان می‌دهد که در زنجیره تأمین از یک روش مبتنی بر ریسک برای رسیدگی به امنیت اطلاعات استفاده می‌شود. می‌توانید از این مرجع برای تشخیص و ارزیابی سطح امنیت سایبری پیاده‌سازی شده توسط تأمین‌کنندگان خارجی مثل ارائه‌دهندگان خدمات ابر استفاده کنید. SOGP در ترکیب با ابزارهای شتاب‌دهنده زنجیره تأمین ISF و بنچمارک آن، به سازمان‌ها امکان می‌دهد سازوکارهای حفاظتی کاملاً سازگار با ISO/IEC 27036-3:2013 را (با پوشش روابط با تأمین کنندگان) پیاده‌سازی کنند.
  4. برآورده ساختن الزامات: SOGP یک ابزار ایده‌آل برای آماده شدن جهت کسب گواهینامه ISO/IEC 27001:2013 و سازگاری با سایر استانداردهای مرتبط (مثل PCI DSS) است. این مرجع با استانداردهای کلیدی امنیت اطلاعات از جمله موضوع روابط با تأمین‌کنندگان و مدیریت امنیت سازگار در مجموعه ISO/IEC 27000 است. SOGP موضوعات مهمی مثل ایمن‌سازی سرویس‌های ابر، راه‌اندازی مرکز عملیات امنیتی یا حفاظت از دستگاه‌های همراه که در ISO/IEC 27002 وجود ندارند را پوشش می‌دهد.
  5. سیاست‌ها، استانداردها و روش‌ها: می‌توان SOGP را به صورت مستقیم و به عنوان پایه و اساس یک سیاست امنیت اطلاعات جدید یا موجود استفاده کرد. SOGP یک ابزار کارآمد برای تشخیص خلأها و کاهش زمان و تلاش لازم در راستای تدوین سیاست‌ها، استانداردها و روش‌های امنیت اطلاعات است. هماهنگ‌سازی سیاست‌های داخلی در سطح سازمان به حفاظت از اطلاعات به روشی منسجم و متعادل کمک می‌کند.
  6. آگاهی: استفاده از SOGP نیاز به تولید محتوای لازم برای آگاهی‌رسانی امنیتی از صفر را از بین می‌برد. SOGP موضوعاتی را پوشش می‌دهد که مخاطبان مختلف در سطح سازمان از جمله کاربران بیزنسی، متخصصان فنی، مدیریت ارشد، توسعه‌دهندگان سیستم‌ها و ارایه‌دهندگان خدمات IT از آنها برای ارتقای آگاهی امنیتی و ایجاد رفتارهای امنیتی مورد انتظار در مخاطبان مختلف در سطح سازمان استفاده می‌کنند. این طرح همچنین به پیاده‌سازی امنیت اطلاعات در مشاغل محلی که معمولاً نیاز به طرح‌های آگاهی‌رسانی خاصی دارند، کمک می‌کند.
  7. تدارکات امنیتی: SOGP یک راهنمای کامل و به‌روز برای طراحی تدارکات امنیتی جدید یا تغییر تدارکات موجود بر اساس تغییر شرایط است (برای مثال تغییرات ناشی از افزایش تهدیدات سایبری، استفاده از سرویس‌های ابر یا وابستگی به دستگاه‌های همراه در محیط کار). موضوعات امنیتی قابل درک و آسان این مرجع، با شتاب بخشیدن به طرح‌های امنیت اطلاعات و پیشگیری از حوادث پرهزینه به شناسایی روش‌های مناسب برای واکنش به تغییرات شرایط کمک می‌کنند.
  8. ارزیابی امنیت اطلاعات: SOGP با ابزار بنچمارک ادغام شده و ارزیابی‌های سطح بالا و سطح متوسطی از قدرت کنترل‌های امنیت اطلاعات در سطح سازمان، به صورت محلی یا در مقایسه با همتایان (یعنی سازمان‌های فعال در همان صنعت یا منطقه جغرافیایی) امکان تحلیل هدفمند و معنادار وضعیت امنیتی را در سطح سازمان فراهم کرده و گزارشی آماده می‌کند که می‌توان آن را به سهامداران و مدیریت کلیدی سازمان ارائه داد.

استاندارد ISF برای روش‌های توصیه شده در زمینه امنیت اطلاعات 2020، یک مرجع پیشگام در حوزه امنیت اطلاعات است. این راهنمای قابل اطمینان و کاربردی، به سازمان‌ها کمک می‌کند روش‌های مناسبی که می‌توانند سنگ بنای طرح‌های جدید در حوزه امنیت اطلاعات باشند را مشخص کنند. SOGP پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریم‌ورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات فراهم می‌کند.

ISF RESEARCH یک طرح تحقیقاتی جامع در حوزه امنیت اطلاعات است. نتایج آخرین و جدیدترین گزارشات این طرح عبارتند از:

نتایج بنچمارک‌ها: نتایج بنچمارک‌های ISF که اطلاعات ارزشمندی درباره شیوه پیاده‌سازی امنیت اطلاعات در محیط سازمان‌های عضو فراهم می‌کند.

ورودی‌های اعضا: ورودی‌های ارائه شده از سمت اعضای ISF از جمله ورکشاپ‌ها، همکاری‌های آنلاین در ISF Live، جلسات حضوری، مصاحبه‌ها و جلسات آکادمی در کنگره جهانی بین المللی ISF.

تغییرات بیرونی: تحلیل و پوشش فریم‌ورک‌ها و استانداردهای مرتبط با امنیت اطلاعات مثل:

  • فریم‌ورک امنیت سایبری NIST
  • CIS Top 20
  • ISO/IEC 27001/2:2013
  • COBIT 5 برای امنیت اطلاعات

تغییرات قانونی و مقرراتی:

  • مقررات عمومی حفاظت از داده اتحادیه اروپا
  • PCI DSS

مرحله بعد چیست؟

استاندارد اصول توصیه شده برای امنیت اطلاعات 2020 (SOGP 2020) جامع‌ترین و به‌روز‌ترین مرجع کنترل‌های امنیت اطلاعات است. SOGP به صورت سالیانه به روزرسانی می‌شود تا منعکس‌کننده چشم‌انداز رو به تغییر استانداردها و قوانین مرتبط با امنیت اطلاعات باشد.

این به روزرسانی‌ها شامل جدیدترین یافته‌ها از جمله نظرات سازمان‌های عضو، گرایشات مربوط به بنچمارک ISF و تغییرات خارجی مهم از جمله مقررات تازه، تغییر در قوانین و انتشار سایر استانداردهای مرتبط با امنیت اطلاعات از طرح تحقیقاتی ISF هستند.

اصول توصیه شده در SOGP معمولاً در فرایندهای بیزنسی، سیاست امنیت اطلاعات، مدیریت ریسک و تدابیر سازمان‌ها برای رعایت الزامات قانونی به کار گرفته می‌شوند. در نتیجه SOGP برای افراد مختلف داخلی و خارجی ارزشمند است از جمله مدیران ارشد امنیت اطلاعات (یا معادل آن)، مدیران امنیت اطلاعات، متخصصان مدیریت ریسک، مدیران مشاغل، مدیران IT، کارشناسان فنی، بازرسان داخلی و خارجی، ارایه دهندگان خدمات IT، تیم‌های خرید و مدیریت فروشنده‌ها.

ISF از سازمان‌های عضو برای طراحی ابزارها و تحقیقاتش دعوت می‌کند. سازمان‌های عضو می‌توانند به انجمن استاندارد روش‌های توصیه شده برای امنیت اطلاعات در ISF Live ملحق شده و تجربیاتشان را یا یکدیگر به اشتراک بگذارند.

سازمان‌های عضو و غیرعضو می‌توانند از خدمات مشاوری ISF برای دریافت پشتیبانی حرفه‌ای کوتاه مدت استفاده کنند که می‌تواند مکملی برای پیاده‌سازی محصولات ISF باشد.

این گزارش برای اعضای ISF رایگان است و می‌توانند آن را از طریق نشانی website www.isflive.org دانلود کنند.

 

[1] Standard of Good Practice for Information Security

[2] ISF Information Risk Assessment Methodology

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

پنج × 4 =