سه شنبه 5 آبان 1383   صفحه اول | درباره ما | گویا

بخوانید!
پرخواننده ترین ها

استانداردی برای حفاظت از شبکه ها؛ حالا ديگر امنيت داريد، کيانوش مراديان، روزنامه شرق

داشتن حجم بالای اطلاعات در يک سازمان نيازمند پياده سازی استانداردی مطمئن در زمينه امنيت است. اهميت اين قضيه در برخی سازمان ها مانند شرکت های بيمه و بانک ها حساس تر است. استاندارد امنيت اطلاعات BS7799 استانداردی جهانی و پوياست که با ارائه کنترل های مختلف سعی در پياده سازی قالبی مطمئن برای شرکت ها دارد. اجرای اين کنترل ها علاوه بر نظم بخشيدن به شرکت، امنيت اطلاعات و دارايی های مختلف شرکت را تضمين خواهد کرد.
هدف اصلی نگرش به استاندارد BS7799 در سه قالب جلوگيری، حفاظت و ثبت اطلاعات، خلاصه می شود. اين استاندارد شامل انواع مختلف اطلاعات مربوط به سازمان (نظير امضای الکترونيکی، اسناد مکتوب و...)، نحوه اطمينان به پرسنل و روال های مختلف برای برخورد با افرادی که از شرکت می روند می شود. بحث پياده سازی سياست های کنترلی مشخص برای افراد مختلف درون سازمانی و برون سازمانی نيز از اهميت بالاتری در اين استاندارد برخوردار است.
BS7799 نتيجه تلاش برای رسيدن به يک قالب مشترک امنيتی جهت شرکت های مختلف با زمينه های کاری متنوع است. امروزه استاندارد ISO راهنمايی خاص را برای رسيدن به اين منظور به نام ISO/IEC 17799:2000 ارائه داده است که در واقع تمرينی جدی و عالی برای پياده سازی امنيت اطلاعات است. اين رهنمودها با دقت خاصی در استاندارد ۲:2002-BS7799 گردآوری شده است که نتيجه پياده سازی آن اخذ گواهينامه امنيت اطلاعات است. پياده سازی اين استاندارد سبب خواهد شد تا امکان سوءاستفاده از اطلاعات، از بين رفتن آن و ساير خطرات به حداقل برسد.
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعنی قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات Integrity) )و در دسترس بودن اطلاعات (Availability) تعريف می کند.
:Confidentiality تنها افراد مجاز به اطلاعات دسترسی خواهند يافت.
Integrity :کامل بودن و صحت اطلاعات و روش های پردازش اطلاعات مورد نظر هستند.
:Availability اطلاعات در صورت نياز به طور صحيح در دسترس بايد باشد.
در زير چند کنترل امنيتی مؤثر مدون در استاندارد BS7799 مورد بحث و بررسی قرار خواهد گرفت.
• ۸.6 .Aامنيت ابزارهای انتقال اطلاعات
برای جلوگيری از آسيب ديدگی دارايی ها و حفاظت از اطلاعات ابزارهای انتقال اطلاعات نظير کامپيوتر ها، فلاپی ديسک ها، CD ها و... کنترل های زير در مستندات BS7799 گنجانده شده است.
•مديريت ابزارهای انتقال اطلاعات (کنترل ۸.6.1 .A)
کليه ابزارهای انتقال اطلاعات نظير Tape ها، فلاپی ديسکت ها، نسخه های پرينت گرفته شده اطلاعات و... نياز به حفاظت و کنترل دارند. داشتن جداولی از اين ابزارها، مشخص کردن نوع اطلاعات روی آنها و همچنين اشخاص مجاز به دسترسی به آن امری لازم است. همچنين محل نگه داری اين ابزارها و ايجاد شرايط محيطی امن و کنترل شده بايد در دستور کار قرار گيرد.
•از رده خارج کردن اطلاعات ( کنترل۸.6.2 .A )
در صورتی که نياز به اطلاعات روی ابزار انتقال نداريد نگه داری و امنيت آن کاری دشوار و بيهوده است لذا اقدام به از بين بردن اطلاعات روی آنها نمائيد. به طور مثال با هفت بار فرمت هاردديسک و يا با شکستن CD حاوی اطلاعات قديمی و بدون مصرف قادر به از بين بردن اينگونه اطلاعات خواهيد شد.
•امنيت اطلاعات در هنگام حمل (کنترل ۸.6.3 .A)
برای جلوگيری از سوءاستفاده از اطلاعات و همچنين کاهش ريسک نياز به تعريف و ايجاد سياست های امنيتی در هنگام حمل اطلاعات هستيد. لذا با زدن برچسب روی ابزارهای انتقال اطلاعات و همچنين مشخص کردن مبدا و مقصد و نيز افراد مجاز به دسترسی قادر به ايجاد امنيت و کنترل اطلاعات خواهيد شد.
•امنيت اطلاعات سيستم (کنترل (۸.6.4 .A)
با توجه به تنوع اطلاعات در شرکت و وجود شبکه های کامپيوتری امکان دسترسی افراد مختلف به اطلاعات وجود دارد. لذا با دسته بندی اطلاعات و تعريف حق دسترسی افراد امنيت اطلاعات خود را بيش از پيش خواهيد کرد.
•(۸.7 .A)رد و بدل کردن اطلاعات و نرم افزار بين شرکت های مختلف
برای جلوگيری از تغييرات، از بين رفتن و سوءاستفاده از اطلاعات زمانی که بين شرکت ها رد و بدل می شوند نياز به ايجاد سياست های کنترلی است.
•قرارداد انتقال اطلاعات بين شرکت ها(۸.7.1 .A)
برای جلوگيری از سوءاستفاده اطلاعات در هنگام رد و بدل شدن آنها بين شرکت ها و تعيين حريم استفاده از آنها توسط شرکت مقصد نياز به عقد قرارداد بين شرکت مبدا و مقصد اطلاعات است.
•امنيت اطلاعات در ترانزيت(۸.7.2 .A)
همان طور که در کنترل های قبلی اشاره شد امنيت اطلاعات در هنگام انتقال اطلاعات از شرکت مبدا به شرکت مقصد و تعيين دسترسی افراد مختلف به آن امری ضروری است.
•امنيت تجارت الکترونيک (۸.7.3 .A)
فعاليت های مختلف تجارت الکترونيکی نيازمند تدارک يک سری سياست های امنيتی و پياده سازی اين سياست ها است. نکات مختلف نظير جلوگيری از فعاليت افراد تبهکار، حق تغيير اطلاعات، امضای الکترونيکی و... بايد درنظر گرفته شوند.
•امنيت نامه های الکترونيکی ياmail - e(۸.7.4 .A)
سياست های خاصی برای جلوگيری از سوءاستفاده افراد غير مجاز برای استفاده از نامه های الکترونيکی بايد تدوين شوند. ايجاد ای ميل شخصی برای افراد مختلف و آموزش صحيح آنها برای استفاده از ای ميل و همچنين آشنايی آنها با مفاهيم مختلف ای ميل از جمله وظايفی است که مدير شبکه در دستور کار خود قرار می دهد.
•امنيت سيستم های موجود در شرکت (۸.7.5 .A)
برای استفاده صحيح از دستگاه های مختلف داخل شرکت نياز به تعريف سياست های مختلف و کتابچه های راهنما است. کامپيوتر های مختلف در سازمان، دستگاه های فکس و... از جمله امکاناتی است که در حين ساده کردن کارها، نقاط استراتژيک اطلاعاتی هستند.




تبليغات خبرنامه گويا

advertisement@gooya.com 




•صحت اطلاعات (۸.7.6 .A)
برای رسيدن به اطلاعاتی کارساز و مفيد نياز به پردازش روی اطلاعات خام و اوليه است. حفاظت از اين اطلاعات خام گردآوری شده کاری بسيار مهم است که بايد در دستور کار قرارگيرد. نتيجه گيری درست از اطلاعات اوليه غلط بسيار بعيد می نمايد.
•مبادله ساير فرم های اطلاعات(۸.7.7 .A)
برای ساير اشکال اطلاعات در شرکت ايجاد سياست های حفاظتی امری ضروری است. ابزارهای صوتی و ارتباطات ويديويی از جمله اين اشکال هستند.
کنترل های بالا تنها بخشی از ۱۲۷ کنترل مدون در استاندارد BS7799 است که با کمی تلاش و مديريت در اجرای صحيح آن چند قدم به ايجاد امنيت واقعی نزديک تر می شويم اما نه امنيت ۱۰۰درصد .





















Copyright: gooya.com 2016