پیاده سازی ISO 17799

مراحل اجرای نظام مدیریت امنیت اطلاعات

پیاده سازی ISMS در یك سازمان این مراحل را شامل می شود:

   آماده سازی اولیه: در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه انداز انتخاب شوند و آموزش ببینند. باید توجه شود كه امنیت اطلاعات یك برنامه نیست بلكه یك فرایند است.
تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می شود.

ارزیابی مخاطرات: باید به بررسی سرمایه هایی كه نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب پذیری اطلاعات و سرمایه های فیزیكی مرتبط نیز مشخص شود.

   آموزش و آگاهی بخشی: به دلیل آسیب پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است.

ممیزی: باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود.

   آمادگی برای ممیزی: باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم كرد.

    كنترل و بهبود مداوم: اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل به رسمیت شناخته شده كنترل و ارتقا یابد.

در كلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند سازی از اهمیت ویژهای برخوردار است. مستندات از یك طرف به تشریح سیاست، اهداف و ارزیابی مخاطرات می پردازند و از طرف دیگر كنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند. در كل میتوان مستندات را به چهار دسته تقسیم كرد:

سیاست، چشمانداز، ارزیابی مخاطرات و قابلیت اجرای نظام مذكور كه در مجموع به عنوان نظامنامه امنیتی شناخته می شود.
توصیف فرایندها كه پاسخ سؤالات چه كسی؟ چه چیزی؟ چه موقع؟ و در چه مكانی را می دهد و به عنوان روش های اجرایی شناخته می شوند.
توصیف چگونگی اجرای وظایف و فعالیت های مشخص شده كه شامل دستورالعمل های كاری، چك لیستها، فرمها و نظایر آن می شود.
مدارك و شواهد انطباق فعالیت ها با الزامات ISMS كه از آنها بهعنوان سوابق یاد می شود.

نظام ISO 17799

نظام مدیریت امنیت اطلاعات

  نظام مدیریت امنیت اطلاعات ISMS، در مجموع یك رویكرد نظاممند به مدیریت اطلاعات حساس به منظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است. در چنین رویكردی بسیار مهم است كه فعالیت های گوناگون امنیتی را با راهبردی مشترك به منظور تدارك یك سطح بهینه از حفاظت هم راستا كنیم. نظام مدیریتی مذكور باید شامل روش های ارزیابی، محافظت، مستندسازی و بازنگری باشد، كه این مراحل در قالب یك چرخه (PDCA(PLAN-DO-CHECK-ACT تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO 9001 دارد.)
برنامه ریزی Plan:
تعریف چشم انداز نظام مدیریتی و سیاستهای امنیتی سازمان.
تعیین و ارزیابی مخاطرات.
انتخاب اهداف كنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میكند.
آماده سازی شرایط اجرایی.
  انجام Do:
تدوین و اجرای یك طرح برای تقلیل مخاطرات.
اجرای طرح های كنترلی انتخابی برای تحقق اهداف كنترلی.
ارزیابی Check:
استقرار روشهای نظارت و پایش.
هدایت بازنگری های ادواری به منظور ارزیابی اثربخشی ISMS.
بازنگری درحد قابل قبول مخاطرات.
پیشبرد و هدایت ممیزی های داخلی به منظور ارزیابی تحقق ISMS.
  باز انجام Act:
اجرای توصیههای ارائه شده برای بهبود.
نظام مدیریتی مذكور.
انجام اقدامات اصلاحی و پیشگیرانه.
ارزیابی اقدامات صورت پذیرفته در راستای بهبود.

همانند نظام های مدیریت كیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعمل های مدیریتی به منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یك نظام مدیریتی است كه سازمان به منظور بكارگیری محصولات نرم افزاری معتبر در زیرساخت های فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می گیرد.

ISO 17799 (امنیت اطلاعات)بخش2

استاندارد ISO 17799 / BS 7799 در دو قسمت منتشر شده است:

    (Part1 ISO/IEC17799) یك نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
    (Part2 BS7799) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندی ها استوار می باشد.

بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی آنها را بكار گیرد، در حالیكه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.

بخش اول شامل رهنمودها و توصیه هایی است كه هدف امنیتی و كنترل را در قالب حوزه مدیریتی از سطوح مدیریتی تا اجرایی به قرار زیر ارائه نموده است:

  سیاست امنیتی: دربرگیرنده راهنمایی ها و توصیه های مدیریتی به منظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعه های از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می شود.
امنیت سازمانی: این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساخت های امنیتی شامل:
كمیته مدیریت امنیت اطلاعات
متصدی امنیت سیستم اطلاعاتی
صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
بازنگری مستقل تاثیرات سیستمهای امنیتی
هدایت دسترسی تامین كنندگان به اطلاعات درون سازمان
طبقه بندی و كنترل دارایی ها: طبقه بندی دارایی ها و سرمایه های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه های سازمان، حوزه سوم این بحث است.
   امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی، دستبرد، حیله و استفاده نادرست از تجهیزات كه به بخش های زیر قابل تقسیم است:
كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با دارایی های سازمان اتخاذ می شود.
مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
شرایط استخدام كه در آن پرسنل باید به وضوح از مسئولیت های امنیتی خویش آگاه شوند.
تعلیمات كه شامل آموزش های پرسنل جدید و قدیمی سازمان در این زمینه می شود.
امنیت فیزیكی و محیطی: محافظت در برابر تجاوز، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط، كنترل دسترسی ها، امنیت مكان، تجهیزات و نقل و انتقال دارایی های اطلاعاتی می شود.

مدیریت ارتباطات و عملیات: كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روش های اجرایی، كنترل تغییرات، مدیریت وقایع و حوادث، تفكیك وظایف و برنامه ریزی ظرفیت های سازمانی میشود.
كنترل دسترسی: كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران، مسئولیت های كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسی هاست.
توسعه و نگهداری سیستمها: اطمینان از اینكه امنیت جزء جدا نشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت كاربردی، استانداردها و سیاست های رمزنگاری، انسجام سیستمها و امنیت توسعه است.
تداوم و انسجام كسب و كار: تقلیل تاثیرات وقفه های كسب و كار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شكست.
همراهی و التزام: اجتناب از هرگونه پیمان شكنی مجرمانه از قوانین مدنی، قواعد و ضوابط قراردادی و سایر مسائل امنیتی.

بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدم های توسعه، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می پردازد. ارزیابی سازمان های متقاضی اخذ گواهینامه از طریق این سند انجام می پذیرد.

ISO 17799 (امنیت اطلاعات) بخش1

 ISO 17799 چیست؟

ISO 17799 یک استاندارد مدیریت امنیت اطلاعات شناخته شده است که اولین بار توسط سازمان بین المللی استانداردسازی یا ISO در دسامبر ۲۰۰۰ منتشر شد. ISO 17799 در سطح بالایی بوده، بسیار گسترده است و ماهیتی مفهومی دارد. این روش را می توان روی انواع مختلفی از مشاغل و کاربردها اجرا کرد. همچنین این رویکرد مسئله استاندارد را به مسئله ای بحث برانگیز در میان کسانی که معتقدند استاندارد باید دقیق تر شود تبدیل کرده است. با وجود این ، ISO 17799 در زمینه ای که بطور کلی توسط “دستورالعملها” و “بهترین کارها” اداره می شود تنها “استاندارد” ی است که به مدیریت امنیت اطلاعات اختصاص داده شده است.

ISO 17799 اطلاعات را بعنوان سرمایه ای تعریف می کند که می تواند در اشکال مختلف وجود داشته باشد و برای یک سازمان ارزشمند است. هدف امنیت اطلاعات حفاظت مناسب از این دارایی است تا تداوم آن شغل را بدین ترتیب تضمین کرده و خطرات را به حداقل رسانده و بازگشت سرمایه گذاری ها را به بیشترین مقدار ممکن افزایش دهد. طبق تعریف ISO 17799 مشخصه امنیت اطلاعات حفاظت از موارد زیر است:

اطمینان– تضمین می کند که اطلاعات تنها برای اشخاص مجاز قابل دسترسی است.

یکپارچگی – حفاظت از دقت و تکمیل بودن اطلاعات و روش های پردازش

قابلیت دسترسی – تضمین می کند که کاربران مجاز می توانند به اطلاعات و دارایی های مرتبط در زمان نیاز دسترسی داشته باشند. ISO 17799 تنها انتخاب و مدیریت کنترلهای امنیت اطلاعات را در برمی گیرد
…..