ISO 27001 (امنیت اطلاعات) بخش۱

طراحی و معماری مجدد امن شبکه (Netwrok Security Design & Re-Architecture)

اصولا در طراحی امن بستر شبکه های داده سعی بر این است تا در تمامی سطوح، ملاحظات فنی و اجرایی براساس نیازمندی های کارفرمایان، استاندارد های اجرایی، روش های توصیه شده و کنترل های امنیتی مورد بررسی قرار گیرد و راهکار بهینه با دید امنیت اطلاعات در قالب مباحث دسترس پذیری، محرمانگی و یکپارچگی معرفی شود.

خدمات طراحی امن شبکه شرکت اینفوامن با مد نظر قراردادن توام نیاز های کسب و کار شما، استانداره و به روشهای امنیتی شبکه رویکردی متفاوت را در این حوزه شامل می گردد.

طراحی امن شبکه

رویکرد و متد اینفوامن در طراحی امن شبکه

به منظور ملاحظه و ارائه راهکارهای امنيتی، طی انجام فاز شناسايی تمامی سیاستهای امنیتی شبکه در بلوک های مختلف شبکه از نقطه نظر امنیتی و با توجه به اصل “حداقل دسترسی حسب نیاز کسب و کار” مورد بررسی قرار گرفته سپس طی انجام مرحله آنالیز با توجه به نیاز کسب و کار، توان مالی، تکنولوژیک و عملیاتی سازمان شما بهروش‌ها و معماری‌های امنیتی مناسب پیشنهاد پس از بررسی جنبه های مختلف اجرایی و اثر بخشی آن طی انجام مرحله طراحی ساختار جدید امن شبکه شما ارائه می گردد. از اين رو به منظور شناسايي مخاطرات و ارائه راهکار پیشنهادی، فضای اطلاعاتی و ارتباطی در حوزه های معماری فيزيکي و منطقی، ارتباطات و تجهيزات شبکه، سرويس های زيرساخت و کاربردی شبکه، رمزنگاری و کنترل دسترسی مورد بررسی قرار می گیرد.

در فرآیند طراحی، کل معماری شبکه در سه سطح معماری زیرساخت شبکه، سرویس های زیرساخت و سرویس های کاربران نهایی مورد بررسی قرار خواهد گرفت که هر سطح در بردارنده مولفه ها و ملاحظات مختص به خود می باشد.

در متد شرکت اینفوامن فرآیند ارزیابی و طراحی، معماری زیرساخت شبکه در دو بخش فیزیکی و منطقی در هر یک از 3 سطح فوق الذکر مورد بررسی قرار می گیرد. در بخش اول سیاست های آدرس دهی، مکانیزم های ایزوله سازی ترافیک بر اساس راهکارهای موجود مورد بررسی قرار خواهد گرفت و در بخش دوم، معماری فیزیکی شبکه و همبندی ساختار و ارتباط بلوک های مختلف شامل شبکه محلی، مرکز داده و شبکه های گسترده و اینترنت بررسی خواهد شد و طرح پیشنهادی در راستای بهینه سازی ساختار فیزیکی شبکه معرفی خواهد گردید.

در فرآیند طراحی سعی می گردد بستر ارتباطی شبکه اعم از معماری فیزیکی و منطقی از ابعاد مختلفی مانند نقاط حضور تجهیزات، لینک های ارتباطی، وجود یا عدم وجود افزونگی در سطوح مختلف شبکه با هدف شناسایی نیازمندی ها و نقاط ضعف مورد ارزیابی قرار گیرد و با توجه به ارزیابی ها، کنترل های امنیتی تعریف شده و استانداردهای از جمله ISO/IEC 27033 و ISO/IEC 18028 اجرایی سعی شده است با پوشش دادن کنترل های امنیتی، نیازهای کارفرما نیز در طراحی ها مورد ارزیابی قرار گیرد و به عنوان پارامترهای طراحی در طرح پیشنهادی ارائه شود.

ISO 27001 (امنیت اطلاعات) بخش۲

طراحی و معماری شبکه های بی سیم و امن سازی شبکه های بیسیم

خدمات طراحی، عارضه یابی و امن سازی شبکه LAN بی‌سیم (WLAN)

بهبود پهنای باند و کیفیت سرویس در شبکه‌های LAN بی‌سیم در کنار گسترش استفاده از کامپیوترهای قابل حمل و دیگر ادوات الکترونیکی مجهز به کارت شبکه بی‌سیم، به افزایش استفاده از این شبکه‌ها در سطح سازمان‌ها منجر شده است. شبکه‌های  بی‌سیم علاوه بر ایجاد امکان جابجایی پوشش فراگیرتری را در محل فیزیکی سازمان پدید می‌آورند و در صورت طراحی مناسب نیاز به کابل کشی و هزینه‌های آن را مرتفع می‌نمایند. با این حال همین مزیت مشکلات امنیتی جدیدی پیش‌روی سازمان قرار می‌دهد که از آن جمله می توان به عدم داشتن کنترل بر دسترسی افراد به شبکه LAN بی‌سیم و مشکلات مربوط به عدم امکان محدودسازی انتشار امواج الکترومغناطیس به قلمرو فیزیکی شرکت اشاره نمود.

سال‌های متوالی سرمایه‌گذاری و تحقیق و توسعه برای بهبود امنیت شبکه‌های بی‌سیم سبب شکل‌گیری چندین استاندارد و راه‌حل امنیتی برای ایجاد سطح قابل قبولی از امنیت در این شبکه‌ها در طی زمان شده است. برخی از این استانداردها مانند WEP اگرچه در زمان خود راه‌حل‌های امنی محسوب می‌شدند اما مشکلات طراحی و ضعف‌های نهفته‌ی آن در کنار عدم امکان بکارگیری در محیط‌های بزرگ (مقیاس ناپذیر) محرک تلاش‌های بیشتر برای توسعه راه‌حل‌های جدیدتر امنیتی برای شبکه‌های LAN بی‌سیم بوده است که به نیاز‌های جاری در کاربرد این شبکه‌ها پاسخگو باشد.

امنیت در شبکه های بی سیم

از جمله نتایج این تلاش‌ها که آغاز‌گر آن تولیدکنندگان تجهیزات WLAN بوده‌ و سپس به استاندارد‌های مرجع منجر شده است باندل امنیتی بکار گرفته شده در استاندارد IEEE 802.11i پاسخی برای ملاحظه چندین جنبه امنیتی مختلف در شبکه LAN بی‌سیم می‌باشد. اساس عملکرد WPA و WPA2 استانداردهای EAP و 802.1x جهت احراز هویت (که در شبکه‌های LAN بصورت عملیاتی مورد استفاده بوده است) و TKIP یا AES برای رمزنگاری می‌باشد. شکل زیر کارکردهای هریک از این پروتکل‌ها را در WPA2 نشان می‌دهد.

امنیت در شبکه های بی سیم WiFi

اگرچه در شبکه‌های WLAN کوچک امکان به اشتراک گذاری کلید مشترک برای احراز هویت بین تمامی کاربران و APها وجود دارد، اما در شبکه‌های بزرگ با تعداد زیاد کاربران و APها استفاده از این روش احراز هویت منطقی به نظر نمی‌رسد و بدلیل عدم تفکیک کاربران نمی‌توان آنها را در قبال فعالیت‌ها و عملکردشان برروی شبکه LAN بی‌سیم پاسخگو نگهداشت. استانداردهای WPA و WPA2 این امکان را می‌دهند که با استفاده از قابلیت‌های EAP که در 802.1x مورد استفاده است، امکان احرازهویت کاربران به روش‌های مختلف در شبکه فرآهم و به هر کاربر سطح دسترسی متناسب با نیازها تخصیص شود. بدین ترتیب هر کاربر با نام‌کاربری و کلمه عبور اختصاصی احراز هویت شده یا می‌توان از روش‌های امن‌تر نظیر Token و گواهی دیجیتال نیز برای احراز هویت بهره‌برد. امکان شنود آسان ارتباطات در WLAN و عدم امکان محدودسازی انتشار امواج بطور کامل در محدوده قلمرو فیزیکی دلخواه لازم می‌دارد که محرمانگی و صحت ارتباطات نیز در راه‌حل‌های امنیتی مورد توجه قرار بگیرد. در حقیقت تلاش‌های اولیه در WEP برای امن‌سازی شبکه WLAN بیشتر به این موضوع توجه داشته است. برای این منظور در WPA و WPA2 نیز رمزنگاری ارتباط لایه 2 با استفاده از پروتکل‌های مستحکم‌تر رمزنگاری نظیر AES به کار گرفته شده است.

عملکرد و کارایی شبکه های بی سیم

عموما اهداف اولیه بکارگیری شبکه های بی سيم افزايش دسترسی از طريق عدم وابستگی به محل ثابت برای انجام کار، تحت پوشش قرار گرفتن نقاطی که کابل کشی با توجه به موقعيت فيزيکی امکان پذير نيست، توسعه شبکه با کمترين پيچيدگی و هزينه، امکان استفاده کاربران غير ثابت (ميهمان، پيمانکار) و … مي باشد. با توجه به اين که بخشی از ساختار شبکه سازمانهای بزرگ امروزی بر پايه شبکه های بی سيم است لذل لازم است تا ملاحظات و اصول طراحی شبکه های بی سيم شامل معيارهای دسترس پذيری، امنيت، مقياس پذيری، سهولت اجراي شبکه و مديريت متمرکز نيز رعايت شود. با توجه به وضعيت جاری شبکه گسترده بی سیم در سازمان ها و بروز مشکلات دسترس پذيری از قبيل عدم پوشش مناسب، قطع شدن/يکطرفه شدن مکالمات تلفنی مبتنی بر تکنولوژی VoIP، اشباع شدن ترافيک داده و تحت تاثير قرار گرفتن ترافيک برنامه های حساس به پارامترهای کیفبت شبکه مثل ترافیک VoIP و ساير موارد مشابه، همواره از طرف مسئولين واحد فناوری اطلاعات سازمانها مورد گلایه و رفع آن درخواست همیشگی ايشان است.

کارشناسان شرکت اينفوامن طی انجام فرآیند Wireless Site Survey در تمامی مکانهای مورد نظر شما برای تحت پوشش قرار گرفتن شبکه بی سیم در محیط های بسته (Indoor) و فضای پيرامونی ساختمانها (Outdoor) می توانند مشکلات ریشه ای شبکه شما را کشف، تحلیل نمایند و نتایج را در قالب طراحی و  پیشنهاد راه کارها رفع و یا بهبود عملکرد شبکه بی سیم سازمان شما ارائه نمایند.
هدف از انجام WiFi Site Survey، ريشه يابی مشکلات موجود شبکه بي سيم اعم از مشکلات ناشی از عدم پوشش مناسب، کشف نويز ها و تداخل فرکانسی پارامتر های حوزه راديويی در باند کاری 2.4GHz و 5GHz شبکه های بی سيم مبتنی بر استاندارد 802.11 a/b/g/n می باشد. همچنین مشکلات ناشی از عدم پيکره بندی مناسب تجهيزات موجود بر اساس الزامات استاندارد شبکه های بي سيم WiFi و ملاحظات شرکتهای پیشرو در این حوزه با توجه به استفاده از تکنولوژی های مختلف همانند VoIP در بستر شبکه های بي سيم از مواردی است که اصولا در طراحی اولایه شبکه های بی سیم اصولا در نظر گرفته نمی شود.

شرکت اینفوامن با بهره‌گیری از دانش فنی و تجربیات ارزنده متخصصین خود قادر به بکارگیری بهترین راه‌حل‌ها و تکنولوژی‌های امنیتی فوق‌الذکر جهت طراحی و پیاده‌سازی شبکه‌های LAN بی‌سیم بسته به الزامات و سطح امنیت مورد نیاز سازمان‌های متوسط و بزرگ می‌باشد. تسلط متخصصین شرکت اینفوامن بر بکارگیری این استانداردها و تکنولوژی‌ها مرتبط با آنهادر کنار عملیاتی‌سازی و پیکربندی تخصصی کنترل‌کننده‌های WLAN که امکان مدیریت متمرکز تمامی APها را در یک شبکه بزرگ بی‌سیم بصورت یکپارچه فرآهم می‌کند، پیاده‌سازی و به خدمت‌گیری امن شبکه‌های بی‌سیم را برای مشتریان به ارمغان می‌آورد.

تست نفوذ ISO 27001

تست نفوذ (Penetration Test)

تست نفوذ روشی برای ارزیابی امنیتی شبکه، سرویس‌ها و کاربردها در یک سازمان است که در آن رفتارهای واقعی یک یا گروهی از مهاجمین توسط تیم ارزیاب شبیه‌سازی می‌شود. در این روش ارزیابی امنیتی، ضمن اقدام به جمع‌آوری اطلاعات و شناخت حداکثری از شبکه، سیستم‌های اطلاعاتی و برنامه‌ها و نرم‌افزارهای مورد استفاده در سازمان هدف، تیم ارزیاب جهت یافتن دسته‌ای از ضعف‌های امنیتی برای دورزدن و از کار انداختن کنترل‌ها و محافظ‌های امنیتی، و بدست آوردن یا ارتقاء دسترسی تلاش می‌کند.

در اجرای تست نفوذ انواع ضعف‌ها و آسیب‌پذیری‌های امنیتی در حین اجرای حملات مدنظر هستند و به جای داشتن نگاه مستقل به هر آسیب‌پذیری، ترکیب آنها توسط تیم ارزیاب برای شبیه‌سازی یک سناریوی واقعی بکار گرفته می‌شود. این امر سبب ایجاد دیدگاه دقیق‌تر از خساراتی است که مهاجمین قادر به وارد کردن به سیستم‌های اطلاعاتی و شبکه سازمان بوده و از این لحاظ یک مزیت نسبت به ارزیابی صرف آسیب‌پذیری‌های فنی آن هم بطور مستقل برای سازمان محسوب می‌شود.لزوم بکارگیری سناریوهای پیچیده و جوانب مختلف در اجرای تست نفوذ، امکان بکارگیری ابزارهای خودکار را منتفی می‌سازد. در حقیقت تست نفوذ یک فعالیت همه جانبه از بکارگیری روش‌های تهاجمی فنی و غیرفنی است که در پس آن یک تیم کارا و مجرب را طلب می‌نماید. هرچه سطح دانش و تخصص تیم ارزیابی که اقدام به اجرای تست نفوذ می‌نماید بالاتر و امکان استفاده از ابزارهای تخصصی بیشتر فرآهم باشد، نتایج دقیق‌تر و عمیق‌تری بدست خواهند آمد. اجرای موفق تست نفوذ موارد زیر را برای سازمان روشن می‌سازد:

میزان مقاومت سیستم‌های اطلاعاتی و شبکه در برابر حملاتی با خصوصیات حملات دنیای واقعی مشخص می‌شود.
تخمین دقیقی از سطح بلوغ و تخصص لازم برای مهاجمین جهت اجرای یک جمله موفق و سوء استفاده از سیستم‌های اطلاعاتی بدست می‌آید.
امکان تعیین دقیق‌تر کنترل‌های امنیتی و روش‌های جلوگیری برای سازمان فرآهم می‌شود.
امکان ایجاد قواعد و امضاهای مناسب برای شناسایی و پیش‌گیری از حملات شناخته شده در طی تست نفوذ برای آینده فرآهم می‌شود.

شکل زیر مراحل اجرای تست نفوذ را نشان می‌دهد. چنانچه اشاره شد در اجرای تست نفوذ تنها موارد فنی مدنظر تیم ارزیابی امنیتی نمی‌باشد بلکه متدهای مختلف غیرفنی نظیر دور زدن کنترل‌های حفاظت فیزیکی، دزدی تجهیزات، نصب Key-logger سخت‌افزاری، دستکاری کابل‌ها و لینک‌های ارتباطی و روش‌های مهندسی اجتماعی جهت هدف قرار دادن منابع انسانی که معمولا ضعیف‌ترین حلقه در امنیت هستند، می‌بایست در اجرای تست نفوذ مورد توجه باشد.

مراحل انجام تست نفوذ

تیم ارزیابی در مرحله طراحی و برنامه‌ریزی به تعیین قلمرو، رویکرد، زمانبندی و دیگر آماده‌سازی‌های اجرای ارزیابی می‌پردازد. مرحله جمع‌آوری اطلاعات به جمع‌آوری هر چیزی که تیم ارزیاب را در مرحله اجرای حمله یاری نماید اختصاص دارد. بسته به رویکردی که تست نفوذ براساس آن اجرا می‌شود، تیم ارزیاب ممکن است در نقش یک مهاجم داخلی به بخش (رویکرد Gray Box) یا تمام (رویکرد White Box) اطلاعات شبکه‌ و سیستم‌های اطلاعاتی سازمان هدف از پیش دسترسی داشته یا در نقش یک مهاجم بیرونی که هیچ‌گونه شناخت اولیه‌ای از سازمان، شبکه و سیستم‌های اطلاعاتی آن ندارد (رویکرد Black Box)، مجبور به جمع‌آوری اطلاعات مورد نیاز با استفاده از روش‌های جمع‌آوری اطلاعات در تست نفوذ باشد.

اینکه تست نفوذ به صورت White Box، Black Box یا Gray Box انجام شود در مرحله برنامه‌ریزی و طراحی و براساس نیازها و خصوصیات سازمان مشخص می‌شود، اما رویکرد هرچه باشد جمع‌آوری اطلاعات دقیق که نتیجه آن حصول شناخت صحیح برای تیم ارزیاب است، نقشی اساسی در جامعیت فاز حمله بازی می‌کند.تست نفوذ در صورتی که در پس فرآیند ارزیابی آسیب‌پذیری‌های فنی و فعالیت‌های مربوط به برطرف سازی آن آسیب‌پذیری‌ها به اجرا درآید، بهترین و دقیق‌ترین نتایج را در پی خواهد داشت.

بطور کلی بدلیل حجم زیاد فعالیت‌های مرحله جمع‌آوری اطلاعات و اجرای حمله در تست نفوذ، بویژه در صورت اجرای تست بصورت Black Box، و عدم امکان بکارگیری روش‌ها و ابزارهای خودکار، گستردگی بیش از حد قلمرو و پرداختن به آسیب‌پذیری‌ها و ضعف‌های شناخته ‌شده‌ای که روش‌های خودکار قادر به شناسایی آنها هستند، سبب هدر رفتن زمان و صرف تلاش‌های بیش از حد از سوی تیم ارزیاب و در عین حال رسیدن به نتایجی نه چندان فراتر از ارزیابی آسیب‌پذیری‌های فنی با استفاده از ابزارهای خودکار می‌باشد.از این‌رو، و برای جلوگیری از پرداختن به موارد امنیتی پیش‌پا افتاده، بهتر است تست نفوذ پس از اطمینان از اتمام فعالیت‌های امن‌سازی و در قلمرو محدود‌تر به اجرا گذارده شود. در این صورت حتی اگر تست منجر به انجام یک حمله موفق نیز نشود، با این حال با اطمینان بالایی می‌توان ادعا کرد شبکه و سیستم‌های اطلاعاتی سازمان هدف از وضعیت مطلوب امنیتی برخوردار هستند.

آسیب پذیری های امنیتی ISO 27001

ارزیابی آسیب پذیی های امنیتی (Vulnerability Assessment)

آسیب‌پذیری‌های موجود در نرم‌افزارهای کاربردی، سیستم‌های عامل، سرویس‌دهنده‌ها و تجهیزات شبکه هرساله خسارات مالی و بعضا ضایعات جبران‌ناپذیری را برای شرکت‌های تجاری، دولت‌ها و حتی اشخاص حقیقی پدید می‌آورد. سرقت اطلاعات محرمانه و تخریب اطلاعات ارزشمند در سازمان‌ها در کنار عواقب سوء ناشی از عدم توانایی در جلوگیری حملات امنیتی که چهره و شهرت سازمان‌ها را در برابر افکار عمومی خدشه‌دار می‌کند، براحتی قابل جبران نخواهد بود.
عدم توجه و یا آگاهی توسعه دهندگان نسبت به مسائل امنیتی در کنار فاکتور فشار شدید ناشی از رقابت در بازار، عدم بکارگیری چرخه‌ مناسب توسعه امن نرم‌افزار (SDLC) و عدم انجام بررسی‌های امنیتی پیش از انتشار نرم‌افزارها باعث پیدایش ضعف‌های امنیتی بعضا خطرناکی می‌شود که امکان بهره‌برداری و انجام فعالیت‌های غیرمجاز را به مهاجمین و سوء استفاده کنندگان خواهد داد. گسترش لجام گسیخته انواع بدافزارها هر از چندگاه دلیل بر وجود چنین آسیب‌پذیری‌هایی است. پی‌آمد این امر صرف هزینه و زمان زیاد برای خرید و بکارگیری ابزارهای مناسب جهت مقابله با بدافزارها یا رفع حملات امنیتی می‌باشد که در بسیاری مواقع با وقفه جدی در کسب‌وکار سازمان‌ها همراه است.انواع آسیب‌پذیری‌های نرم‌افزاری امکان اجرای کد با سطح اختیارت بالا، دسترسی غیرمجاز به اطلاعات و فایل‌های محرمانه برروی سیستم هدف، و از کار انداختن یا حمله به کاربران آنها را به مهاجمین می‌دهد.

ظهور ابزارهای ذخیره‌سازی پرظرفیت قابل حمل و گسترش شبکه‌های کامپیوتری که ارتباطات بین کامپیوترها را افزایش چشمگیر داده است از یک طرف، و کشف تعداد زیادی از آسیب‌پذیری‌ها و توسعه کدهای بهره‌برداری از آنها با سرعت زیاد که غالبا از طریق اینترنت در دسترس هستند، لزوم مقابله با ضعف‌های امنیتی شناخته شده برروی سیستم‌های اطلاعاتی را اجتناب ناپذیر کرده است. خوشبختانه وجود کانال‌های متعدد آگاهی‌رسانی از جمله اینترنت، مشارکت تولید کنندگان نرم‌افزار در رفع هرچه سریع‌تر آسیب‌پذیری‌های جدید، و تولید ابزارهای مناسب جهت پویش آسیب‌پذیری‌ها به همراه ارتقاء دانش امنیتی و آگاهی راهبران سیستم‌های اطلاعاتی و متخصصین امنیت سبب شده است بستر و زمینه مناسب جهت مقابله با آسیب‌پذیری‌های نرم‌افزار بوجود آید.

چهارچوبی برای ارزیابی آسیب پذیی های امنیتی

برای بکارگیری صحیح این امکانات مبحثی در امنیت ایجاد شده است که از آن به فرآیند ارزیابی آسیب‌پذیری‌های فنی یاد می‌شود. در این فرآیند متخصصین امنیت یا راهبران آگاه به امنیت با برنامه‌ریزی و بکارگیری ابزارهای مربوطه و در چهارچوب یک جدول زمانی اقدام به شناسایی آسیب‌پذیری‌های کشف شده در سیستم‌های اطلاعاتی می‌نمایند.

چرخه ارزیابی آسیب پذیری های امنیتی

ابزارهای تجاری مورد استفاده در ارزیابی، امکان پویش شبکه‌های بزرگ که دارای فناوری‌ها و نرم‌افزارهای متنوع هستند را پدید می‌آورند. این ابزارها با دراختیار داشتن یک پایگاه اطلاعاتی جامع و قابل بروزرسانی از طریق اینترنت از تمامی آسیب‌پذیری‌های کشف شده، اقدام به بررسی تمامی سرویس‌های موجود در شبکه سازمان نموده، و آسیب‌پذیری‌های موجود را با جزئیات لازم به اطلاع متخصصین امنیت و راهبران سیستم‌ها می‌رسانند.بکارگیری این ابزارها در یک فرآیند ارزیابی مدون این تضمین را می‌دهد که تمامی آسیب‌پذیری‌های موجود شناخته شده و زمان و تلاش‌لازم برای رفع آنها در سازمان برنامه‌ریزی شود.

فرآیند ارزیابی یک چرخه تکرار پذیر از شناسایی و برطرف‌سازی آسیب‌پذیری‌های نرم‌افزار است. دلیل این امر کشف مداوم آسیب‌پذیری‌های جدید در نرم‌افزارهای موجود و پویایی سازمان‌ها در بکارگیری نرم‌افزارهای جدید می‌باشد که لزوم اجرای مجدد ارزیابی را طلب می‌کند. همچنین اصپطلاعات و دانش بدست‌آمده از هر تکرار چرخه ارزیابی به تیم ارزیاب اماکن اجرای آن را با عمق و جامعیت بیشتر می‌دهد.هرچند می‌توان روش‌های دستی را برای شناسایی آسیب‌پذیری نرم‌افزارهای مورد استفاده در سازمان‌ها بکار گرفت، اما امکان خظای انسانی، تنوع بسیار زیاد نرم‌افزارها و لزوم صرف وقت بسیار زیاد که سرعت اجرا را پائین می‌آورد، اجرای ارزیابی با استفاده از ابزارهای غیرخودکار را منتفی می‌نمایاند.

ابزارهای خودکار در صورتی‌ که توسط متخصصین مجرب و در موقعیت مناسب نسبت به سیستم‌های هدف بکار گرفته شوند، قادر هستند نتایج دقیقی را در عین جامعیت ارزیابی تولید نمایند. اگرچه نتایج حاصل از ابزارهای خودکار بطور معمول دارای اشتباهات و موارد خطای مثبت می‌باشند، اما در مرحله تحلیل نتایج و گزارش‌دهی در چرخه ارزیابی آسیب‌پذیری‌ها، تیم ارزیاب امکان حذف اشتباهات از گزارش نهایی را دارد. ارائه راه‌حل‌های قابل اجرا و مناسب در متن فناوری‌ها و پلات‌فرم‌های نرم‌افزاری سازمانی که ارزیابی در آن اجرا می‌شود در گزارش خروجی نتایج ارزیابی توسط تیم ارزیاب به سازمان ارائه می‌شود. همچنین تیم ارزیاب در ادامه به پرسنل فناوری اطلاعات سازمان مشاوره و رهنمودهای لازم را برای پیاده‌سازی راه‌حل‌های ارائه شده می‌دهد تا بکارگیری آنها در زمان اندک برای سازمان میسر شود.

آنالیز انطباق با ISO 27001

آنالیز انطباق با استاندارد مدیریت امنیت اطلاعات (ISO27001 Gap Analysis)

هدف از آنالیز انطباق با سیستم مدیریت امنیت اطلاعات، ارزیابی میزان انطباق علمکرد و فرآیندهای سازمان شما در 11حوزه استاندارد ISO 27001 است.

در پروژه های پیاده سازی سیستم مدیریت امنیت اطلاعات و سازمانهایی که نیاز دارند در یک بازه زمانی کوتاه از میزان انطباق خود را با حوزه ها و کنترلهای استاندارد ISO 27001 و یا به عبارت دیگر وضعیت جاری امنیت اطلاعات در سازمان خود آگاه شوند، انجام آنالیز انطباق راه کاری مناسب بوده و از چندین جهت بسیار راهگشا می باشد:

 آشنایی با سازمان و فرآیندهای امنیتی سازمان 

ایجاد دید شفاف و مستند از میزان انطباق شرکت در برابر الزامات استاندارد ISO 27001 و شمای امنیتی
(Security Posture)
تعیین میزان آمادگی سازمان و فراهم نمودن امکان درک دقیق وضع موجود امنیت اطلاعات سازمان
تعیین نقاط قوت و ضعف و موارد مورد تمرکز (Focus Point) ها جهت بهبود وضع موجود و نیل به وضع مطلوب
تعیین محدوده اجرایی پیاده سازی سیستم مدیریت امنیت اطلاعات با توجه به میزان بلوغ امنیت اطلاعات در سازمان
ایجاد معیار و شاخص اولیه عملکرد (Key Performance Index) از وضعیت امنیت اطلاعات شرکت به منظور ایجاد پایه ای برای اندازه گیری و مشخص نمودن روند بهبود در مطالعات دوره ای بعدی

درصد بالای انطباق با الزامات کنترلی استاندارد نیز از مواردی است که عموما سطح بلوغ امنیت شرکت را نشان می دهد و می تواند به عنوان یک شاخص مدیریتی در چرخه بهبود های دوره ای، اندازه گیری و مقایسه شود تا روند بهبود سیستم قابل مشاهده شود. هدف نهایی و مطلوب یک سیستم مدیریت کارا وجود سطح مناسبی از انطباق در کلیه قلمروهای 11 گانه و شکل همگون در نمودار انطباق می باشد که نشان دهنده رشد در تمامی زوایا و الزامات امنیت اطلاعات در سازمان می باشد.

در این راستا شرکت اینفوامن با تکیه بر دانش تخصصی خود در حوزه ها و صنایع مختلف و با استفاده از تجارب پیاده سازی بومی خود و نیز با نگاهی به تجارب موفق (Best Practice) های جهانی، شناسایی وضع موجود و آنالیز ارزیابی فاصله با الزامات استاندارد ISO 27001 را به انجام می رساند.

چارچوب آنالیز انطباق با سیستم مدیریت امنیت اطلاعات

هر چند باید به یاد داشته باشیم که استاندارد های مدیریتی بین المللی را در هر سطح و بلوغی می توان پیاده سازی نمود و ایجاد الزامات مربوطه می تواند در سطوح بلوغ مختلف صورت پذیرد. سطح بلوغ مدیریت امنیت سازمان ها عموما به دو صورت زیر تقسیم می گردد:

    سطح پایه و یا رعایت حداقل الزامات (Security Baseline)   

سطح بلوغ یافته و یا رعایت حداکثر الزامات در عین رعایت حداقل فشارها و کنترل های محدود کننده مستقیم بر سازمان. (مدیریت و اعمال کنترل نا محسوس)

عموما در سطح اجرایی سازمان ها بدواً یک استاندارد را به عنوان گام اول جهت استقرار سطح پایه انتخاب و نسبت به پیاده سازی آن اقدام نموده و پس از ایجاد انطباق اولیه با الزامات اقدام به ایجاد بهبود با استفاده از مدل های تعالی می نمایند؛ به عنوان مثال در این خصوص می توان به انتخاب مدل تعالی سازمانی EFQM به عنوان مدل بلوغ پس از استقرار چند ساله سیستم مدیریت کیفیت QMS بر اساس استاندارد ISO 90001:2000 اشاره نمود.

استفاده از مدل های دیگر بلوغ امنیت اطلاعات مثل مدل پيشنهادي مجمع عمومي متخصصين امنيت ISM3 (Information Security Management Maturity Model) نیز مثالی است بر وجود مدل های تعالی مدیریت امنیـت که می توان پس از استقرار استاندارد و جهت بهبود در آن، سرلوحه تعالی شرکت در این امر قرار گیرند.

نحوه بررسی

چارچوب مرجع در هر مورد الزامات و کنترل های استاندارد و نیز کاربرگ های سنجش میزان بلوغ سازمان در پیاده سازی الزامات می باشد.

نحوه و متد مطالعه بدین ترتیب است که بدوا مخاطبین و مسئولین مرتبط با هر حوزه از الزامات استاندارد شناسایی گردیده و طی برگزاری جلسات مصاحبه با هر یک، از وضعیت جاری شرکت در برابر الزام و کنترل های مربوطه از ایشان سئوال می گردد.

نتایج حاصل از بررسی کاربرگ های سنجش میزان بلوغ سازمان در قالب گزارش و نمودارهایی که مبین میزان بلوغ سازمان در امنیت اطلاعات است ارائه می گردد. این گزارش ورودی پروژه‌های پیاده سازی سیستم مدیریت امنیت اطلاعات براساس استاندارد ISO 27001 است.

پیاده سازی ISO 27001 بخش دوم

پیاده سازی ISO 27001 بخش دوم

عنوان فعالیت حدود مدت زمان (ماه)
1 ارزیابی مقدماتی و تعیین وضعیت موجود و ارائه گزارش به کارفرما 1هفته
2 تشکیل کمیته راهبری و تشریح مسئولیت ها و شرح وظایف آنان و تعیین نماینده مدیریت سازمان و تشریح وظایف نماینده مدیریت ارائه آموزش های تشریح الزامات سیستم امنیت اطلاعات 1هفته
3 برگزاری جلسه آموزش الزامات سیستم مدیریت امنیت اطلاعات و آموزش مستند سازی سیستم مدیریت امنیت اطلاعات برای پرسنل درگیر در سیستم مدیریت امنیت اطلاعات 2هفته
4 همکاری کارشناس شرکت با نماینده مدیریت و مدیریت ارشد سازمان در جهت تدوین خط مشی امنیت اطلاعات و تعیین اهداف امنیت و تدوین اهداف خرد و برنامه های عملیاتی جهت رسیدن به اهداف 2هفته
5 تدوین و طراحی متدولوژی ارزیابی ریسک 1هفته
6 شناسایی ریسک ها ، شناسایی و طبقه بندی سرمایه های اطلاعاتی و شناسایی تهدیدها و آسیب پذیری های امنیتی 3هفته
7 اجرای آزمون نفوذپذیری (PEN test) و ارزیابی آسیب پپذیری (Vulnerability Assessment) 3هفته
8 تحلیل ریسک ها: ارزشگذاری دارایی های شناسایی شده، ارزشگذاری آسیب پذیری و محاسبه پیامد ریسک، محاسبه احتمال وقوع پذیری ریسک 2هفته
9 تدوین استراتژی های برطرف سازی ریسک (Treatments of Risk) 3هفته
10 تدوین کنترل های امنیتی 3هفته
11 تهیه و ارائه لیست تجهیزات مورد نیاز (LOM) و طراحی و ارائه معماری زیر ساخت شبکه 2هفته
12 تدوین بیانیه کاربست پذیری 2هفته
13 پیاده سازی مستندات طراحی شده و نظارت بر اجرا و برگزاری جلسات بازنگری 2هفته
14 انجام ممیزی داخلی و ارائه گزارش یافته های ممیزی توسط کارشناس 1هفته
15 برگزاری جلسه ممیزی خارجی و حضور کارشناس شرکت در جلسه ممیزی خارجی 1هفته

پیاده سازی ISO 27001 بخش اول

مشاوره و پیاده سازی استاندارد ISO 27001

استاندارد بین المللی مدیریت امنیت اطلاعات ISO/IEC 27001استاندارد بین المللی مدیریت امنیت اطلاعات، یک چارچوب مدیریت‌شده برای ارتقاء اثربخشی فرآیندهای امنیت اطلاعات سازمان‌ها فراهم می‌کند.

بکارگیری الزامات و ملاحظات این استاندارد به عنوان یکی از چهارچوب های سیستم مدیریت امنیت اطلاعات چه به عنوان یک راهکار داخلی و چه با هدف اخذ گواهینامه ISO 27001 نیازمند دنبال کردن یک رویکرد ساختارمند، توجه به دامنه کسب و کار و داشتن درک درستی از مخاطرات امنیتی کسب و کار سازمان می باشد. شرکت اینفوامن می تواند شما را در زمینه قدم های مورد نیاز برای انطباق با استاندارد راهنمایی کند. تیم ما می تواند:

به شما کمک کند تشخیص دهید چه فرآیندهایی از کسب و کارتان نیاز بیشتری به توجه به ملاحظات امنیت اطلاعات دارد.
مخاطرات کسب و کار سازمان شما در زمینه امنیت اطلاعات شناسایی و ارزیابی کند.
با افزایش سطح دانش پرسنل در حوزه امنیت اطلاعات مخاطرات ناشی از عملکرد انسانی را کاهش دهد.
راهکارهایی برای بهبود فرآیندهای امنیتی فعلی شما شناسایی کند و در تصمیم سازی برای پیاده سازی آنها شما را توانمند سازد.
مهندسی مجدد فرآینده های اجرایی سازمان و رعایت ملاحظات امنیتی در آنها در قالب تهیه و بازنگری فرآیند، خط مشی، آیین نامه، دستور العمل، روش اجرایی و فرم های اجرایی
در زمینه‌های تخصصی مثل ارزیابی ریسک، تهیه برنامه و طرح تداوم کسب‌ و کار، تست آسیب پذیری و نفوذپذیری زیرساخت و سیستم های فناوری اطلاعات
تعریف و اندازه گیری شاخص های بهبود حوزه امنیت اطلاعات در راستای اهداف استراتژیک سازمان
انجام ممیزی های داخلی بصورت موردی و دوره ای
تهیه و اجرای برنامه های آموزشی عمومی و تخصصی در حوزه امنیت اطلاعات
همراهی سازمان در ممیزی های شخص ثالث تا مرحله اخذ گواهینامه

دامنه پروژه

تعریف درست دامنه پروژه ISO 27001 اولین قدم مهم به سوی کسب انطباق می باشد، در این راستا ما به شما کمک خواهیم کرد فرآیندهای بحرانی کسب‌ و کارتان را که بهترین هدف برای کسب انطباق اولیه با استاندارد هستند، شناسایی کنید. ما همچنین می توانیم در زمینه اخذ گواهینامه استاندارد (Certification) شما مشاوره دهیم. اینفوامن ثابت کرده است که در سازمان‌های پیچیده می تواند برنامه های انطباق موفق و پیشرویی براساس دامنه اولیه ISMS ایجاد کند.

پیاده سازی منجر به گواهینامه استاندارد در دو سازمان بزرگ که از معدود شرکتهای مستقر کننده راهکار ERP مبتنی بر SAP در کشور می باشند و انجام بیش از 8 پروژه پیاده سازی دیگر در شرکت های سرآمد کشور خود شاهدی بر این مدعا است که ما این کار را به خوبی می شناسیم و با تمامی زوایای آن آشنا هستیم.

بررسی میزان فاصله با الزامات استاندارد ISO 27001

قدم ضروری بعدی، بررسی میزان فاصله (Gap) با الزامات استاندارد می باشد که طی آن ارزیابی کاملی از وضعیت فعلی امنیت در سازمان شما در زمانی کوتاه به صورت می گیرد و شمای امنیتی سازمان را بصورت خلاصه ارائه داده و به سازمان کمک می کند قلمرو هایی از حوزه 11 گانه استاندارد را که سازمان نیاز توجه بیشتری به آن را دارد با شرح نقاط نامنطبق و شواهد آن شناسایی و مشخص سازد. شرکت اینفوامن این خدمت را بصورت جداگانه برای شرکتهایی که تصمیم برای حرکت به استقرار سیستم مدیریت امنیت اطلاعات دارند لیکن آمادگی زمانی و هزینه ای مربوطه را کسب نکرده اند و سایر شرکتهایی که نیاز دارند تا یک نمای کلی و در عین حال دقیق از نمای امنیتی سازمان خود در کوتاهترین زمان داشته باشند پیشنهاد می کند.

ارزیابی و مدیریت مخاطرات امنیت اطلاعات

یکی از مولفه های الزامی و در عین حال حیاتی استاندارد ISO 27001 ارزیابی مخاطرات می باشد، ما بر این باوریم موفقیت اصلی تمامی سیستم های مدیریت امنیت اطلاعات در گروی یک سیستم ارزیابی و مدیریت مخاطرات کارا می باشد.

در این زمینه ما شما را در ارزیابی، تحلیل سطوح مخاطرات و ارائه راهکارهای مقابله با مخاطرات امنیت اطلاعات در فرآیندهای تجاریتان یاری می دهیم. ارزیابی مخاطرات را می توان حسب زمان و توانایی سازمان شما با استفاده از ابزارهایی مثل CRAMM یا روشهای دیگر مبتنی بر متد های روز دنیا مثل OCTAVE, COBRA, ISO27005 و … اجرا کرد.

رویکرد اینفوامن در این زمینه پیشنهاد متدی بر اساس ساختار سازمانی، منابع انسانی، توان عملیاتی، نگرش بدنه تصمیم ساز و زمان در سازمان شما می باشد؛ چرا که ما بر این باوریم که یک ارزیابی مخاطرات کارا زمانی محقق می گردد که شاخص های خروجی آن برای بدنه تصمیم ساز سازمان قابل فهم، ملموس و بوده و در عین حال فرآیند باز ارزیابی آن قابل تکرار باشد.

چراکه بهره مند شدن از مزایای یک سیستم مدیریت امنیت اطلاعت زمانی محقق می گردد که سازمان خود چندین بار چرخه ارزیابی و مدیریت مخاطرات را تجربه کرده باشد.

پس از ارزیابی می توان یک برنامه کنترل مخاطرات ایجاد نمود که به تشریح کنترل های امنیتی مورد نیاز برای مواجه با مخاطرات شناسایی‌شده، می پردازد. به این ترتیب شما می توانید به یک ممیز نشان دهید که برای مثال شما اقداماتی را برای کاهش مخاطرات به یک سطح قابل قبول اجرا نموده اید.

ارتقاء امنیت

با تحلیل نمودن نتایج بررسیِ میزان فاصله با الزامات استاندارد و کنترل های توصیه‌شده در فاز ارزیابی مخاطرات، یک برنامه ارتقاء امنیت رسمی می توان ایجاد نمود.

اینفوامن می تواند بسته به نیاز شما، برای پیاده‌سازی برنامه ارتقاء شما را یاری دهد و راهکارهای عملی در هر یک از حوزه های استاندارد به شما توصیه کند. مشاوران ما می توانند همچنین به شما در تهیه بیانیه کاربست‌پذیری (SOA)، سند مرجع مهمی که کاربرد هر یک از کنترل های امنیتی و نحوه پیاده‌سازی آن در سازمان را توضیح می دهد، کمک کنند.

قالب بیانیه کاربست پذیری (SoA) تهیه شده توسط اینفوامن مزایای تجاری مهمی برای شما به بار می‌آورد. این قالب برای مثال می تواند به عنوان یک سند خط‌مشی سطح بالا به کار گرفته شود و همچنین مبنایی برای ممیزی داخلی یا توافقنامه‌های سطح خدمات (SLA) با دپارتمان‌‌های دیگر یا پیمانکاران باشد.

آمادگی برای اخذ گواهینامه ISO 27001

اگر شما به دنبال کسب گواهینامه ISO 27001 هستید، مشاوران ما مزایا و تفاوت هزینه ها را برای شما تشریح می کنند و می توانند شما را برای دریافت گواهینامه و پیاده‌سازی تغییرات نهایی ضروری برای ISMS آماده کنند.

در مرحله آخر ما می توانیم شما را طی انجام فرآیند ممیزی داخلی، انتخاب راه کارهای پیشگیرانه و اصلاحی، همراهی شما در جلسات بازنگری مدیریت، همراهی در جلسات ممیزی ثالث (Certification Body) پشتیبانی کنیم و به نیابت از سوی شما مذاکرات را با گواهی‌دهنده تا پایان انجام ممیزی منجر به صدور گواهینامه انجام دهیم. درک و تفسیر نمودن استاندارد معمولا فرآیند پیچیده‌ای است و بسیاری از مشتریان اینفوامن همراهی ما را در این مرحله نهایی و حیاتی بسیار موثر و سودمند دانسته‌اند.