استاندارد روشهای توصیه شده برای امنیت اطلاعات ([1]SOGP) که توسط انجمن امنیت اطلاعات (ISF[2]) منتشر شده، یک راهنمای جامع و کاربردی با تمرکز بر نیازهای مشاغل برای تشخیص و مدیریت ریسکهای امنیت اطلاعات در سازمانها و زنجیرههای تأمین است. این استاندارد هر چند وقت یکبار بهروزرسانی شده و در اختیار اعضای ISF قرار میگیرد. در ادامه نسخههای 2011 و 2018 را به صورت اجمالی بررسی میکنیم.
استاندارد 2011 SOGP توسط انجمن ISF
استاندارد 2011 در هنگام انتشار، مهمترین به روزرسانی پس از چهار سال محسوب میشد. این استاندارد موضوعات مهم حوزه امنیت اطلاعات مثل دستگاههای مشتریان، زیرساختهای حیاتی، جرایم سایبری، تجهیزات اداری، پایگاههای داده، صفحه گستردهها و رایانش ابری را پوشش میداد. این استاندارد با الزامات سیستم مدیریت امنیت اطلاعات (ISMS[3]) که در مجموعه استانداردهای ISO/IEC 27000 مشخص شده همخوانی دارد و پوشش عمیقتر و وسیعتری از نکات کنترلی ISO/IEC 27002، رایانش ابری، نشت اطلاعات، دستگاههای مشتریان و مدیریت امنیت ارائه داده است.
علاوه بر فراهم کردن ابزاری برای دریافت گواهینامه ایزو 27001، استاندارد 2011 شامل پوشش کاملی از موضوعات COBIT v4 است و به میزان زیادی با سایر استانداردها و مقررات مربوطه مثل PCI DSS و قانون ساربنز-آکسلی سازگاری دارد در نتیجه امکان رعایت الزامات این استانداردها را نیز فراهم میکند. مدیران ارشد امنیت اطلاعات، مدیران امنیت اطلاعات، مدیران مشاغل، مدیران IT، بازرسان داخلی و خارجی و ارایه دهندگان خدمات IT در هر سازمانی با هر اندازهای از این استاندارد استفاده میکنند.
استاندارد 2018 نیز به صورت رایگان در دسترس همه اعضای ISF قرار دارد. سازمانهای غیرعضو هم میتوانند یک نسخه از این استاندارد را از ISF خریداری کنند.
6 دسته بندی استاندارد 2011 SOGP
این استاندارد به 6 دستهبندی یا جنبه تقسیم شده است. قسمت شبکه و نصب کامپیوترها به زیرساخت IT میپردازد که برنامههای کاربردی تجاری مهم روی آن اجرا میشوند. محیط کاربران نهایی، تدارکات مربوط به حفاظت از شرکت و برنامههای کاربردی نصب شده در ایستگاههای کاری را که افراد از آنها استفاده میکنند پوشش میدهد. بخش توسعه سیستمها به شیوه ایجاد سیستمها و برنامههای کاربردی جدید میپردازد و مدیریت امنیت شامل موضوعات مربوط به کنترل و هدایت سطح بالا است.
این استاندارد عمدتاً در یک قالب پیمانهای منتشر میشود که افزونگی را از بین میبرد. برای مثال، بخشهای مختلف اختصاص یافته به بررسیها و بازرسیهای امنیتی، با هم تلفیق شدهاند.
|
جوانب |
تمرکز |
مخاطبان هدف |
مسائل بررسی شده |
محدوده و پوشش |
|
مدیریت امنیت |
مدیریت امنیت در سطح سازمانی |
مخاطبان هدف مدیریت امنیت معمولاً عبارتند از: · سرپرستان عملکردهای مربوط به امنیت اطلاعات · مدیریان امنیت اطلاعات (یا معادل آنها) · بازرسان فناوری اطلاعات |
میزان تعهد مدیریت به ترویج اصول امنیت اطلاعات در سطح سازمان به همراه تخصیص منابع مناسب. |
تدارکات مدیریت امنیت در: ·یک گروه از شرکتها (یا معادل آن) · یک بخش یا یک گروه (مثل یک شرکت تابعه یا یک واحد بیزنسی) ·یک سازمان خاص (مثلاً یک شرکت یا بخش دولتی) |
|
برنامههای کاربردی حیاتی برای کسبوکار |
یک برنامه کاربردی بیزنسی که نقشی حیاتی در موفقیت سازمان دارد. |
مخاطبان هدف این جنبه معمولاً عبارتند از: · مالکان برنامههای کاربردی بیزنسی · افراد مسئول فرایندهای بیزنسی که به برنامههای کاربردی وابسته هستند · ادغامکنندههای سیستمها ·کارمندان فنی مثل اعضای تیم پشتیبانی یک برنامه کاربردی. |
الزامات امنیتی برنامههای کاربردی و تدارکات انجام شده برای تشخیص ریسکها و حفظ آنها در سطحی قابل قبول |
برنامههای کاربردی حیاتی برای کسبوکار با هر: · نوع (از جمله پردازش تراکنش، کنترل فرایند، انتقال وجه، پشتیبانی از مشتریان و برنامههای کاربردی ایستگاههای کاری) ·اندازه (از جمله برنامههای کاربردی که از هزاران کاربر یا فقط چند کاربر پشتیبانی میکنند) |
|
نصب کامپیوترها |
نصب یک کامپیوتر که از یک یا چند برنامه کاربردی بیزنسی پشتیبانی میکند. |
مخاطبان هدف این بخش، معمولاً عبارتند از: · مالکان کامپیوترهای نصب شده · افراد مسئول مدیریت مراکز داده · مدیران فناوری اطلاعات ·اشخاص ثالثی که کامپیوترهای نصب شده را برای سازمان مدیریت میکنند · بازرسان فناوری اطلاعات |
الزامات خدمات کامپیوتری چگونه شناسایی میشوند و برای برآورده کردن این الزامات کامپیوترها چگونه نصب و فعال میشوند. |
نصب کامپیوترها · با هر ابعادی (از جمله بزرگترین مینفریمها، سیستمهای مبتنی بر سرور و گروههایی از ایستگاههای کاری) ·که در محیطهای تخصصی (مثل یک مرکز داده خاص – منظوره) یا در محیطهای کاری معمولی (مثل ادارهها، کارخانجات و انبارها) کار میکنند |
|
شبکهها |
شبکهای که از یک یا چند برنامه کاربردی بیزنسی پشتیبانی میکند. |
مخاطبان هدف این جنبه معمولاً عبارتند از: ·مدیران عملکردهای تخصصی شبکه ·مدیران شبکه ·اشخاص ثالث ارائهدهنده خدمات شبکه (مثل ارائهدهندگان خدمات اینترنت یا بازرسان فناوری اطلاعات) |
الزامات مربوط به سرویسهای شبکه چگونه شناسایی میشوند و شبکهها چگونه برای برآورده کردن این الزامات تنظیم و مدیریت میشوند. |
هر گونه شبکه ارتباطی از جمله: · شبکههای محدوده وسیع یا شبکههای محلی ·شبکههایی در مقیاس عظیم (برای مثال سطح شبکه) یا شبکههایی با مقیاس کوچک (مثل یک بخش یا واحد تجاری خاص) ·شبکههای مبتنی بر فناوری اینترنت مثل اینترانت یا اکسترانتها، شبکههای صوتی، دادهای یا ادغامشده |
|
توسعه سیستمها |
یک بخش یا واحد توسعه سیستمها یا یک پروژه توسعه سیستمها |
مخاطبان هدف این بخش معمولاً عبارتند از: مدیران توسعه سیستمها توسعهدهندگان سیستم مدیران فناوری اطلاعات |
الزامات بیزنسی (از جمله الزامات امنیت اطلاعات) چگونه شناسایی میشوند و سیستمها چگونه برای برآورده کردن این الزامات طراحی و ساخته میشوند. |
فعالیتهای توسعه از هر نوع از جمله: ·پروژههایی با هر اندازه (از پروژههایی با تعداد کارگر-سال زیاد گرفته تا پروژههایی با تعداد کارگر-روز کم) ·پروژههایی که توسط هر نوع توسعهدهندهای اجرا میشوند (از جمله واحدها یا بخشهای تخصصی، برونسپاریها یا کاربران بیزنسی) پروژههای مبتنی بر بستههای نرمافزاری یا برنامههای کاربردی طراحی شده به صورت اختصاصی |
|
محیط کاربران نهایی |
یک محیط (یعنی یک واحد بیزنسی یا بخش) که افراد در آن برای پشتیبانی از فرایندهای بیزنسی از برنامههای کاربردی سازمانی یا برنامههای کاربردی حیاتی مخصوص ایستگاههای کاری استفاده میکنند. |
مخاطبان این بخش معمولاً عبارتند از: ·مدیران کسبوکار ·افرادی که در محیط کاربر نهایی هستند ·هماهنگکنندههای محلی امنیت اطلاعات ·مدیران امنیت اطلاعات (یا معادل آن) |
تدارکات مربوط به آگاهیرسانی و آموزش کاربران؛ استفاده از برنامههای کاربردی شرکتی و برنامههای کاربردی حیاتی مخصوص ایستگاههای کاری و حفاظت از اطلاعات مرتبط با رایانش همراه |
محیطهای کاربر نهایی: ·از هر نوع (مثل بخش شرکتی، واحد تجاری عمومی، کارخانه یا مرکز تماس) · از هر اندازه (مثلاً شامل چند فرد یا گروه و یا صدها یا هزاران فرد یا گروه) ·شامل افرادی با مهارتهای مختلف امنیت اطلاعات و سطح آگاهی متفاوت درباره امنیت اطلاعات |
شش جنبه این استاندارد شامل چندین حوزه است که هر کدام موضوع خاصی را پوشش میدهند. هر حوزه هم به چند بخش تقسیم میشود و هر کدام شامل جزئیات کامل روشهای توصیه شده برای امنیت اطلاعات آن بخش هستند. هر بخش یک مرجع متمایز دارد. برای مثال، SM41.2 نشان میدهد که یک مشخصه خاص در جنبه «مدیریت امنیت»، حوزه 4، بخش 1 وجود دارد که به عنوان مشخصه شماره 2 در آن بخش ثبت شده است.
بخش اصول و اهداف این استاندارد هم یک نسخه سطح بالا از استاندارد ارائه کرده و فقط شامل اصول (یک مرور کلی از آنچه برای برآورده کردن الزامات استاندارد لازم است) و اهداف (دلیل ضرورت این اقدامات) هر بخش است.
همچنین استاندارد منتشر شده شامل یک ماتریس گسترده موضوعات، مطالب مقدماتی، اطلاعات پس زمینه، توصیههایی برای پیاده سازی و اطلاعات دیگر است. نسخه 2020 جدیدترین نسخه از این استاندارد و نسخه به روز شده از استاندارد 2018 است. نسخه 2022 هم به زودی منتشر خواهد شد.
[1] Standard of Good Practice for Information Security
[2] Information Security Forum
[3] Information Security Management System
برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادیاش روی لینکهای زیر کلیک کنید:
