استاندارد روش‌های توصیه شده برای امنیت اطلاعات

استاندارد روش‌های توصیه شده برای امنیت اطلاعات

استاندارد روش‌های توصیه شده برای امنیت اطلاعات ([1]SOGP) که توسط انجمن امنیت اطلاعات (ISF[2]) منتشر شده، یک راهنمای جامع و کاربردی با تمرکز بر نیازهای مشاغل برای تشخیص و مدیریت ریسک‌های امنیت اطلاعات در سازمان‌ها و زنجیره‌های تأمین است. این استاندارد هر چند وقت یکبار به‌روزرسانی شده و در اختیار اعضای ISF قرار می‌گیرد. در ادامه نسخه‌های 2011 و 2018 را به صورت اجمالی بررسی می‌کنیم.

استاندارد 2011 در هنگام انتشار، مهم‌ترین به روزرسانی پس از چهار سال محسوب می‌شد. این استاندارد موضوعات مهم حوزه امنیت اطلاعات مثل دستگاه‌های مشتریان، زیرساخت‌های حیاتی، جرایم سایبری، تجهیزات اداری، پایگاه‌های داده، صفحه گسترده‌ها و رایانش ابری را پوشش می‌داد. این استاندارد با الزامات سیستم مدیریت امنیت اطلاعات (ISMS[3]) که در مجموعه استانداردهای ISO/IEC 27000 مشخص شده همخوانی دارد و پوشش عمیق‌تر و وسیع‌تری از نکات کنترلی ISO/IEC 27002، رایانش ابری، نشت اطلاعات، دستگاه‌های مشتریان و مدیریت امنیت ارائه داده است.

علاوه بر فراهم کردن ابزاری برای دریافت گواهینامه ایزو 27001، استاندارد 2011 شامل پوشش کاملی از موضوعات COBIT v4 است و به میزان زیادی با سایر استانداردها و مقررات مربوطه مثل PCI DSS و قانون ساربنز-آکسلی سازگاری دارد در نتیجه امکان رعایت الزامات این استانداردها را نیز فراهم می‌کند. مدیران ارشد امنیت اطلاعات، مدیران امنیت اطلاعات، مدیران مشاغل، مدیران IT، بازرسان داخلی و خارجی و ارایه دهندگان خدمات IT در هر سازمانی با هر اندازه‌ای از این استاندارد استفاده می‌کنند.

استاندارد 2018 نیز به صورت رایگان در دسترس همه اعضای ISF قرار دارد. سازمان‌های غیرعضو هم می‌توانند یک نسخه از این استاندارد را از ISF خریداری کنند.

این استاندارد به 6 دسته‌بندی یا جنبه تقسیم شده است. قسمت شبکه و نصب کامپیوترها به زیرساخت IT می‌پردازد که برنامه‌های کاربردی تجاری مهم روی آن اجرا می‌شوند. محیط کاربران نهایی، تدارکات مربوط به حفاظت از شرکت و برنامه‌های کاربردی نصب شده در ایستگاه‌های کاری را که افراد از آنها استفاده می‌کنند پوشش می‌دهد. بخش توسعه سیستم‌ها به شیوه ایجاد سیستم‌ها و برنامه‌های کاربردی جدید می‌پردازد و مدیریت امنیت شامل موضوعات مربوط به کنترل و هدایت سطح بالا است.

این استاندارد عمدتاً در یک قالب پیمانه‌ای منتشر می‌شود که افزونگی را از بین می‌برد. برای مثال، بخش‌های مختلف اختصاص یافته به بررسی‌ها و بازرسی‌های امنیتی، با هم تلفیق شده‌اند.

جوانب

تمرکز

مخاطبان هدف

مسائل بررسی شده

محدوده و پوشش

مدیریت امنیت

مدیریت امنیت در سطح سازمانی

مخاطبان هدف مدیریت امنیت معمولاً عبارتند از:

· سرپرستان عملکردهای مربوط به امنیت اطلاعات

· مدیریان امنیت اطلاعات (یا معادل آنها)

· بازرسان فناوری اطلاعات

میزان تعهد مدیریت به ترویج اصول امنیت اطلاعات در سطح سازمان به همراه تخصیص منابع مناسب.

تدارکات مدیریت امنیت در:

·یک گروه از شرکت‌ها (یا معادل آن)

· یک بخش یا یک گروه (مثل یک شرکت تابعه یا یک واحد بیزنسی)

·یک سازمان خاص (مثلاً یک شرکت یا بخش دولتی)

برنامه‌های کاربردی حیاتی برای کسب‌وکار

یک برنامه کاربردی بیزنسی که نقشی حیاتی در موفقیت سازمان دارد.

مخاطبان هدف این جنبه معمولاً عبارتند از:

· مالکان برنامه‌های کاربردی بیزنسی

· افراد مسئول فرایندهای بیزنسی که به برنامه‌های کاربردی وابسته هستند

· ادغام‌کننده‌های سیستم‌ها

·کارمندان فنی مثل اعضای تیم پشتیبانی یک برنامه کاربردی.

الزامات امنیتی برنامه‌های کاربردی و تدارکات انجام شده برای تشخیص ریسک‌ها و حفظ آنها در سطحی قابل قبول

برنامه‌های کاربردی حیاتی برای کسب‌وکار با هر:

· نوع (از جمله پردازش تراکنش، کنترل فرایند، انتقال وجه، پشتیبانی از مشتریان و برنامه‌های کاربردی ایستگاه‌های کاری)

·اندازه (از جمله برنامه‌های کاربردی که از هزاران کاربر یا فقط چند کاربر پشتیبانی می‌کنند)

نصب کامپیوترها

نصب یک کامپیوتر که از یک یا چند برنامه کاربردی بیزنسی پشتیبانی می‌کند.

مخاطبان هدف این بخش، معمولاً عبارتند از:

· مالکان کامپیوترهای نصب شده

· افراد مسئول مدیریت مراکز داده

· مدیران فناوری اطلاعات

·اشخاص ثالثی که کامپیوترهای نصب شده را برای سازمان مدیریت می‌کنند

· بازرسان فناوری اطلاعات

الزامات خدمات کامپیوتری چگونه شناسایی می‌شوند و برای برآورده کردن این الزامات کامپیوترها چگونه نصب و فعال می‌شوند.

نصب کامپیوترها

· با هر ابعادی (از جمله بزرگترین مین‌فریم‌ها، سیستم‌های مبتنی بر سرور و گروه‌هایی از ایستگاه‌های کاری)

·که در محیط‌های تخصصی (مثل یک مرکز داده خاص – منظوره) یا در محیط‌های کاری معمولی (مثل اداره‌ها، کارخانجات و انبارها) کار می‌کنند

شبکه‌ها

شبکه‌ای که از یک یا چند برنامه کاربردی بیزنسی پشتیبانی می‌کند.

مخاطبان هدف این جنبه معمولاً عبارتند از:

·مدیران عملکردهای تخصصی شبکه

·مدیران شبکه

·اشخاص ثالث ارائه‌دهنده خدمات شبکه (مثل ارائه‌دهندگان خدمات اینترنت یا بازرسان فناوری اطلاعات)

الزامات مربوط به سرویس‌های شبکه چگونه شناسایی می‌شوند و شبکه‌ها چگونه برای برآورده کردن این الزامات تنظیم و مدیریت می‌شوند.

هر گونه شبکه ارتباطی از جمله:

· شبکه‌های محدوده وسیع یا شبکه‌های محلی

·شبکه‌هایی در مقیاس عظیم (برای مثال سطح شبکه) یا شبکه‌هایی با مقیاس کوچک (مثل یک بخش یا واحد تجاری خاص)

·شبکه‌های مبتنی بر فناوری اینترنت مثل اینترانت یا اکسترانت‌ها، شبکه‌های صوتی، داده‌ای یا ادغام‌شده

توسعه سیستم‌ها

یک بخش یا واحد توسعه سیستم‌ها یا یک پروژه توسعه سیستم‌ها

مخاطبان هدف این بخش معمولاً عبارتند از:

مدیران توسعه سیستم‌ها

توسعه‌دهندگان سیستم

مدیران فناوری اطلاعات

الزامات بیزنسی (از جمله الزامات امنیت اطلاعات) چگونه شناسایی می‌شوند و سیستم‌ها چگونه برای برآورده کردن این الزامات طراحی و ساخته می‌شوند.

فعالیت‌های توسعه از هر نوع از جمله:

·پروژه‌هایی با هر اندازه (از پروژه‌هایی با تعداد کارگر-سال زیاد گرفته تا پروژه‌هایی با تعداد کارگر-روز کم)

·پروژه‌هایی که توسط هر نوع توسعه‌دهنده‌ای اجرا می‌شوند (از جمله واحدها یا بخش‌های تخصصی، برون‌سپاری‌ها یا کاربران بیزنسی)

پروژه‌های مبتنی بر بسته‌های نرم‌افزاری یا برنامه‌های کاربردی طراحی شده به صورت اختصاصی

محیط کاربران نهایی

یک محیط (یعنی یک واحد بیزنسی یا بخش) که افراد در آن برای پشتیبانی از فرایندهای بیزنسی از برنامه‌های کاربردی سازمانی یا برنامه‌های کاربردی حیاتی مخصوص ایستگاه‌های کاری استفاده می‌کنند.

مخاطبان این بخش معمولاً عبارتند از:

·مدیران کسب‌وکار

·افرادی که در محیط کاربر نهایی هستند

·هماهنگ‌کننده‌های محلی امنیت اطلاعات

·مدیران امنیت اطلاعات (یا معادل آن)

تدارکات مربوط به آگاهی‌رسانی و آموزش کاربران؛ استفاده از برنامه‌های کاربردی شرکتی و برنامه‌های کاربردی حیاتی مخصوص ایستگاه‌های کاری و حفاظت از اطلاعات مرتبط با رایانش همراه

محیط‌های کاربر نهایی:

·از هر نوع (مثل بخش شرکتی، واحد تجاری عمومی، کارخانه یا مرکز تماس)

· از هر اندازه (مثلاً شامل چند فرد یا گروه و یا صدها یا هزاران فرد یا گروه)

·شامل افرادی با مهارت‌های مختلف امنیت اطلاعات و سطح آگاهی متفاوت درباره امنیت اطلاعات

 

شش جنبه این استاندارد شامل چندین حوزه است که هر کدام موضوع خاصی را پوشش می‌دهند. هر حوزه هم به چند بخش تقسیم می‌شود و هر کدام شامل جزئیات کامل روش‌های توصیه شده برای امنیت اطلاعات آن بخش هستند. هر بخش یک مرجع متمایز دارد. برای مثال، SM41.2 نشان می‌دهد که یک مشخصه خاص در جنبه «مدیریت امنیت»، حوزه 4، بخش 1 وجود دارد که به عنوان مشخصه شماره 2 در آن بخش ثبت شده است.

بخش اصول و اهداف این استاندارد هم یک نسخه سطح بالا از استاندارد ارائه کرده و فقط شامل اصول (یک مرور کلی از آنچه برای برآورده کردن الزامات استاندارد لازم است) و اهداف (دلیل ضرورت این اقدامات) هر بخش است.

همچنین استاندارد منتشر شده شامل یک ماتریس گسترده موضوعات، مطالب مقدماتی، اطلاعات پس زمینه، توصیه‌هایی برای پیاده سازی و اطلاعات دیگر است. نسخه 2020 جدیدترین نسخه از این استاندارد و نسخه به روز شده از استاندارد 2018 است. نسخه 2022 هم به زودی منتشر خواهد شد.

 

[1] Standard of Good Practice for Information Security

[2] Information Security Forum

[3]  Information Security Management System

 

 

برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادی‌اش روی لینک‌های زیر کلیک کنید:

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

نه − 1 =