hiddenboy
05-03-2009, 11:03 PM
منبع: http://www.takfa.ir/portal/Homeمقدمهدر حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، ميتوان به فقدان زيرساختهاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي اشاره نمود. بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساختهائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساختهاي امنيت فضاي تبادل اطلاعات در کشور ميباشد. از سوي ديگر، وجود زيرساختهاي فوق، قطعا تاثير بسزائي در ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت. صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاههاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاهها شده و کاهش اعتبار اين دستگاهها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايههاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي، ضروري به نظر ميرسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاههاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت. سيستم مديريت امنيت اطلاعات (ISMS)با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:1- تهيه طرحها و برنامههاي امنيتي موردنياز سازمان2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان3- اجراي طرحها و برنامههاي امنيتي سازماندر حال حاضر، مجموعهاي از استانداردهاي مديريتي و فني ايمنسازي فضاي تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد از برجستهترين استاندادرها و راهنماهاي فني در اين زمينه محسوب ميگردند. در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:1- تعيين مراحل ايمنسازي و نحوه شکلگيري چرخه امنيت اطلاعات و ارتباطات سازمان2- جرئيات مراحل ايمنسازي و تکنيکهاي فني مورد استفاده در هر مرحله3- ليست و محتواي طرحها و برنامههاي امنيتي موردنياز سازمان4- ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان5- کنترلهاي امنيتي موردنياز براي هر يک از سيستمهاي اطلاعاتي و ارتباطي سازمان مروري بر استانداردهاي مديريت امنيت اطلاعاتاستانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از: · استاندارد مديريتي BS7799 موسسه استاندارد انگليس· استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد · گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارددر اين بخش، به بررسي مختصر استانداردهاي فوق خواهيم پرداخت. استاندارد BS7799 موسسه استاندارد انگليساستاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد. بخش اولدر اين بخش از استاندارد، مجموعه کنترلهاي امنيتي موردنياز سيستمهاي اطلاعاتي و ارتباطي هر سازمان، در قالب ده دستهبندي کلي شامل موارد زير، ارائه شده است:1- تدوين سياست امنيتي سازماندر اين قسمت، به ضرورت تدوين و انتشار سياستهاي امنيتي اطلاعات و ارتباطات سازمان ، بنحوي که کليه مخاطبين سياستها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياستهاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است.2- ايجاد تشکيلات تامين امنيت سازمان در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليتهاي هر يک از سطوح، ارائه شده است.3- دستهبندي سرمايهها و تعيين کنترلهاي لازمدر اين قسمت، ضمن تشريح ضرورت دستهبندي اطلاعات سازمان، به جزئيات تدوين راهنماي دستهبندي اطلاعات سازمان پرداخته و محورهاي دستهبندي اطلاعات را ارائه نموده است.4- امنيت پرسنليدر اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بکارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از مسئوليتهاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده است.5- امنيت فيزيکي و پيرامونيدر اين قسمت، اهميت و ابعاد امنيت فيزيکي، جزئيات محافظت از تجهيزات و کنترلهاي موردنياز براي اين منظور، ارائه شده است.6- مديريت ارتباطاتدر اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر يک از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستمها، محافظت در مقابل نرمافزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبانگيري از اطلاعات، مديريت شبکه، محافظت از رسانهها و روالها و مسئوليتهاي مربوط به درخواست، تحويل، تست و ساير موارد تغيير نرمافزارها ارائه شده است.7- کنترل دسترسي در اين قسمت، نيازمنديهاي کنترل دسترسي، نحوه مديريت دسترسي پرسنل، مسئوليتهاي کاربران، ابزارها و مکانيزمهاي کنترل دسترسي در شبکه، کنترل دسترسي در سيستمعاملها و نرمافزارهاي کاربردي، استفاده از سيستمهاي مانيتورينگ و کنترل دسترسي در ارتباط از راه دور به شبکه ارائه شده است.8- نگهداري و توسعه سيستمهادر اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستمها، امنيت در سيستمهاي کاربردي، کنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز در توسعه و پشتيباني سيستمها، ارائه شده است.9- مديريت تداوم فعاليت سازماندر اين قسمت، رويههاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدوين طرحهاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرحهاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.10- پاسخگوئي به نيازهاي امنيتي در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياستهاي امنيتي موردنياز و ابزارها و مکانيزمهاي بازرسي امنيتي سيستمها، ارائه شده است.