1

استانداردهاامنیت‌ ی

2

: اشارهفناوری زیرساخت‌های اصلی اجزای از یكی دیرباز از امنیت

. به منحصر تنها امنیتی تهدیدهای است می‌رفته شمار به اطالعاتفیزیكی نظر از باید شبكه هر بلكه نیستند، الكترونیكی تهدیدات

. و هكرها تهدیدات شامل 0 غالبا الكترونیكی خطرات گردد ایمن نیز . كه حالی در باشند می شبكه‌ها در داخلی و خارجی نفوذگران

سایت‌های به پرسنل خروج و ورود كنترل شامل فیزیكی امنیت . سازی پیاده برای هست نیز سازمانی روال‌های همچنین و شبكه

سخت‌افزاری ایمن‌سازی بر عالوه فوق، حوزه‌های در امنیتفناوری حوزه در امنیتی سیاست‌های تدوین به نیاز شبكه،

. از است الزم راستا این در باشد می نیز سازمان یك در اطالعاتبتوان آن‌ها واسطه به كه شود استفاده استانداردی روال‌های

ایمن اطالعات فناوری سازی پیاده برای را سازمان یك ساختاراستاندارد. را BS7799 نمود آن معرفی قصد شماره این در كه

سازمان یك در ابعاد همه در امنیت سازی پیاده چگونگی به داریمپردازد . می

.‌

3

در اول گروه که باشند مي اصلي گروه دو به تقسيم قابل امنيت استانداردهايبا فني از امنيترابطه با لحاظ رابطه در دوم گروه و مديريتي ، لحظ از امنيت

زمينه. در فني امنيتي استانداردهاي رمزنگاري  است ديجيتال، امضاء نظير هائياصالت احراز رمزنگاري توابع ساز، درهم توابع متقارن، رمزنگاري عمومي، کليد   . باشند، مي مديريتي امنيتي استانداردهاي که دوم گروه دارند کاربرد غيره و پيام .   حاضر  حال در گيرند مي بر در را سازمان مديريت مختلف هاي قسمتارائه  ارتباطات، و اطالعات امنيت فني و مديريتي استانداردهاي ا اي مجموعه

مديريتي  شده استاندارد که استاندارد BS7799اند انگليس، استاندارد موسسه‌ISO/IECمديريتي 17799 ( آن جديد ‌ISO/IECنسخه 27001 ) و باشد مي

فني ‌ISO/IECگزارش TR‌ برجسته 13335 از استاندارد، المللي بين موسسهنکات . استانداردها، اين در گردند مي محسوب فني راهنماهاي و استانداردها ترين

: است گرفته قرار توجه مورد زير امنيت چرخه گيري شکل نحوه و سازي ايمن مراحل تعيين مرحله هر در استفاده مورد فني تکنيکهاي و سازي ايمن مراحل جزئيات سازمان نياز مورد اطالعات امنيت هاي برنامه و طرحها محتواي و ليست امنيت تامين فني و اجرائي سياستگذاري، تشکيالت ايجاد جزئيات و ضرورت ارتباطي و اطالعاتي هاي سيستم از يک هر براي موردنياز امنيتي هاي کنترل

4

استانداردBS7799 موسسه توسط که است امنيت مديريت استاندارد اولين( . استاندارد اين اول نسخه است شده ارائه انگليس ( BS7799-1استاندارد

سsال عنsوان 1995دsر sاsب و بخش يsک دsر ‌BS7799-1:‌Code‌of‌Practiceوfor‌ Information‌Security‌Management . دوم نسخه و گرديد منتشر

سال( BS7799-2آن ) در نسخه 1999که به نسبت تغيير بر عالوه شد، ارائه . استاندارد اين تدوين از هدف گرديد ارائه مستقل بخش دو از متشکل اول،که است کساني براي اطالعات امنيت مديريت زمينه در پيشنهاداتي ارائه   مي سازمان يک در امنيتي مسائل پشتيباني يا سازي پياده طراحي، مسئول

از. متشکل استاندارد اين و 35باشند امنيتي براي 127هدف بازدارنده اقدام   کند نمي مطرح را چگونگي‌ها و جزئيات که مي‌باشد شده تعيين اهداف تامين . استاندارد طراحان کند مي بيان را کلي موضوعات و سرفصل‌ها بلکه

BS7799   و ها کنترل است ممکن استاندارد، اين تدوين در که دارند اعتقاد   به نياز ويا نباشد استفاده قابل ها سازمان همه براي شده مطرح راهکارهاي

است نداده پوشش را آنها استاندارد، اين که باشد بيشتري .کنترلهاي

5

سال استاندارد 2000در اول بخش هيچگونه BS7799-2ميالدي بدوناسsتاندارد بعنsوان اسsتاندارد المللي بين موسسsه توسsط ‌ISO/IECتغيsيري

17799: . است ذيل هاي فصل سر وشامل گرديد منتشر سازمان امنيتي سياست تدوين امنيتي تشکيالت   الزم  کنترلهاي تعيين و ها سرمايه بندي طبقه پرسنلي امنيت پيراموني و فيزيکي امنيت  برداري بهره و ارتباطات مديريت دسترسي کنترل  ها سيستم پشتيباني و توسعه فعاليت تداوم مديريتسازگاري

6

سال در مجددا استاندارد منتشر 2002اين و بازنويسي ميالديسال. در دو 2005گرديد با و بازنويسي استاندارد اين دوباره

‌BSنام ISO/IEC‌ ‌BSو 17799:2005 در 7799-1:2005 . از متشکل نسخه اين انتشاريافت سند و 39يک امنيتي هدف

134 . به نسبت استاندارد اين که تغييراتي است بازدارنده اقدام:   از است عبارت است کرده آن قبل استاندارد

-از بعضي نمودن تغييير و جديد فصل يک يافتن افزايش الفگذشته فصول

-اضافه و قديمي کنترلهاي از بعضي شدن وحذف تغيير بجديد 17شدن کنترل

-به کنترل‌ها تعداد افزايش عدد134ج7

استاندارد عملكرد BS‌7799نحوه   یعنی شد، اشاره آن به كه استاندارد این پیدایش هدف دومین تحقق راستای در

در كه سازمان یك در امنیت سازی پیاده نحوه برای سرفصل‌هایی كاربران به كمك: از عبارتند كه است شده تعیین باشد، می امنیتی های سیستم كاربر یك حقیقت

امنیت‌ ● چرخه گیری شكل نحوه و سازی ایمن مراحل تعیینمرحله‌● هر در استفاده مورد فنی تكنیك‌های و سازی ایمن مراحل جزییاتسازمان‌● نیاز مورد اطالعات امنیت های برنامه و ها طرح محتوای و لیست

امنیت‌●  تامین فنی و اجرایی سیاستگذاری، تشكیالت ایجاد جزییات و ضرورت  ● ارتباطی‌ و اطالعاتی های سیستم از یك هر برای نیاز مورد امنیتی كنترل‌های ● اطالعات‌ امنیت سیاست‌های تعریف

نیازهای●  نوع با متناسب آن مرزبندی و اطالعات امنیت مدیریت سیستم قلمرو تعریفسازمان

سازمان‌●  نیازهای با متناسب مخاطرات، برآورد پذیرش و انجامشده‌● تدوین امنیتی سیاست‌های اساس بر مخاطرات نوع و ها زمینه بینی پیش

كنترل‌های●  لیست از باشند، توجیه قابل كه مناسب كنترل‌های و كنترل هدف‌های انتخابجانبه همه

عملیاتی‌● های دستور‌العمل تدوین

8

امنیتشبكه‌ مدیریتاطالعات با مرتبط سرمایه‌های باید ابتدا امنیت، اهداف تعیین منظور بهبرای امنیت تامین اهداف سپس و شده شناسایی سازمان، ارتباطات و . سازمان شبكه با مرتبط سرمایه‌های شود مشخص سرمایه‌ها، از هریك

. : كاربران ارتباطات، اطالعات، نرم‌افزار، افزار، سخت از عبارتند

امنیتی تعیین اهداف میان‌مدت و كوتاه‌مدت صورت به باید سازمان‌هاو تكنولوژی‌ها تغییرات با متناسب آن‌ها تغییر امكان تا گردد

. در مدت كوتاه اهداف عمده باشد داشته وجود امنیتی استانداردهای: از عبارتند سازمان یك در امنیت پیاده‌سازی خصوص

شبكه‌-   های سرمایه علیه غیرمجاز دسترسی‌های و حمالت از جلوگیریشبكه‌ - در موجود ناامنی از ناشی خسارت‌های مهار

پذیری‌ - رخنه كاهش

9

:   از عبارتند 0 عمدتا نیز میان‌مدت اهداف

و - نرم‌افزارها برای دسترسی قابلیت عملكرد، صحت تامین    افزارها سخت برای 0 صرفا فیزیكی محافظت و سخت‌افزارها

و -  ارتباطات برای دسترسی قابلیت و صحت محرمانگی، تامین

  و محرمانگی حیث از آن‌ها بندی طبقه با متناسب اطالعاتحساسیت‌

حریم -  پاسخگویی، و اختیارات حدود هویت، تشخیص قابلیت تامینبا   متناسب شبكه، كاربران برای امنیتی آگاهی‌رسانی و خصوصی

كاربران‌ نوع و دسترس قابل اطالعات طبقه‌بندی

10

  استانداردBS7799 شامل 10دارای هرگروه كه باشد می كنترلی گروهكل در بنابراین است زیرمجموعه كنترل سیستم 127چندین داشتن برای كنترل

: . از عبارتند كنترلی گروه ده این قراردارد مدنظر اطالعات امنیت مدیریت 1- سازمان امنيتي سياست انتشار :تدوين و تدوين ضرورت به قسمت، اين در

تباطات ار و اطالعات امنيتي هاي سياست سياست مخاطبين كليه كه بنحوي ، سازمانتاكيد گيرند، قرار آن جزئيات جريان در است ها نگارش . شده نحوه و جزئيات همچنين

ارتباطات و اطالعات امنيتي هاي است سياست شده ارائه .سازمان، 2- سازمان امنيت تامين تشكيالت ايجاد :ايجاد ضرورت تشريح ضمن قسمت، اين در

ارتباطات و اطالعات امنيت سطوح تشكيالت در تشكيالت اين جزئيات سازمان،همراه به فني و اجرائي شده سياستگذاري، ارائه سطوح، از يك هر هاي مسئوليت

.است-3 الزم هاي كنترل تعيين و ها سرمايه بندي تشريح :دسته ضمن قسمت، اين در

تدوين يات جزئ به سازمان، اطالعات بندي دسته بندي ضرورت دسته راهنمايارائه را اطالعات بندي دسته محورهاي و پرداخته سازمان است اطالعات .نموده

ن‌. 

11

  -4 پرسنلي مالحظات : امنيت رعايت ضرورت به اشاره ضمن قسمت، اين درپرسنل، بكارگيري در اطالعات امنيتي امنيت زمينه در پرسنل آموزش ضرورت

تامين پروسه در پرسنل هاي ازمسئوليت ليستي و شده مطرح ارتباطات، وشده ارائه سازمان، ارتباطات و اطالعات امنيت

است.5 پيراموني و فيزيكي فيزيكي، : امنيت امنيت ابعاد و اهميت قسمت، اين در

كنترلهاي و تجهيزات از محافظت شده جزئيات ارائه منظور، اين براي موردنياز.است

6 ارتباطات اجرائي : مديريت روالهاي جزئيات و ضرورت قسمت، اين دربه مربوط روالهاي پرسنل، از هريك مسئوليت تعيين بمنظور موردنياز،

افزارهاي نرم درمقابل محافظت ها، سيستم آموزش و تست خريد، سفارش،ازاطالعات، گيري پشتيبان و وقايع ثبت خصوص در موردنياز اقدامات مخرب،

به مربوط هاي مسئوليت و روالها و ها رسانه از محافظت ه، شبك مديريت است شده ارائه افزارها نرم تغيير موارد ساير و تست تحويل، .درخواست،

12

  -7 دسترسي كنترل :كنترل نيازمنديهاي قسمت، اين درهاي پرسنل،مسئوليت دسترسي مديريت نحوه دسترسي،شبكه، در دسترسي كنترل هاي مكانيزم و ابزارها كاربران،

دسترسي كاربردي، كنترل افزارهاي نرم و عاملها سيستم دركنترل و مانيتورينگ هاي سيستم از در استفاده دسترسياست شده ارائه شبكه به دور راه از .ارتباط

-8 ها سيستم توسعه و ضرورت :نگهداري قسمت، اين درهاي سيستم ر د امنيت ها، سيستم امنيتي نيازمنديهاي تعيين

و سيستم فايلهاي از محافظت رمزنگاري، كنترلهاي كاربردي،ها، سيستم پشتيباني و توسعه موردنيازدر امنيتي مالحظات

است شده .ارائه

13

 - 9 سازمان فعاليت تداوم مديريت :مديريت هاي رويه قسمت، اين درفعاليت، تداوم در ضربه تحليل نقش فعاليت، طرح تداوم ين تدو و طراحي

فعاليت تداوم طرح براي پيشنهادي قالب فعاليت، تداوم و هاي سازمانارائه سازمان، فعاليت تداوم مجدد ارزيابي و پشتيباني تست، هاي طرح

.است شده

-10 امنيتي نيازهاي به در :پاسخگوئي موردنياز مقررات قسمت، اين درهاي سياست امنيتي، نيازهاي به پاسخگوئي و خصوص موردنياز امنيتي

است شده ارائه ها، سيستم امنيتي بازرسي هاي مكانيزم و .ابزارها

14

امنیتی تهدیدهای: از عبارتند عمده صورت به كامپیوتری شبكه‌های امنیت برای بالقوه تهدیدهای

مبادله● حال در پیام‌های یا داده‌ها استراق‌سمع نتیجه در اطالعات غیرمجاز شدن فاششبكه‌ روی

خرابكارانه‌● اقدام یك واسطه به شبكه در اختالل و ارتباط قطعاین● از جلوگیری برای ارسال‌شده پیغام یك یا اطالعات مجاز غیر دستكاری و تغییر

یكی كه زمانی و شود ارائه كامپیوتری شبكه‌های در زیر امنیتی سرویس‌های باید صدمات   و كشف برای الزم امنیتی تدابیر تمامی بایستی شود نقص امنیتی سرویس‌های از

: شود گرفته نظر در رخنه جلوگیریاطالعات‌● ماندن محرمانه

پیغام‌● فرستنده هویت احرازنگهداری‌● یا انتقال طی در داده‌ها سالمت

نمی● اعتماد قابل شبكه به دسترسی برای كه افرادی منع امكان و دسترسی كنترلباشد.

در● اختالل امكان عدم و مجاز افراد برای شبكه امكانات تمام بودن دسترس دردسترسی‌

15

استانداردBS7799 اطمینان مورد سیستم یك داشتن برای مطمئن قالبی . استاندارد این سازی پیاده فوائد از تعدادی به زیر در باشد می امنیتی

: است شده اشاره    - تجارت تداوم از و اطمینان اطالعات ساختن ایمن توسط صدمات كاهش و

تهدیدها كاهش - سازگاری از ها اطمینان داده از محافظت و اطالعات امنیت استاندارد با  - گیری تصمیم كردن اطمینان امنیت قابل مدیریت سیستم زدن محك و ها

اطالعات   - مشتریان نزد اطمینان تجاری ایجاد شركای و  - رقابت ها بهتر امكان شركت سایر با  - مدیریتفعال اطالعات و ایجاد و ها داده امنیت سازی پیاده در پویا  - امنیتی مشكالت نسازید بخاطر پنهان سازمان خارج در را خود های ایده و اطالعات

  

16

استاندارد فوائد BS7799 سازی پیاده لزوم و

فضاي ايمن‌سازي فني و مديريتي استانداردهاي از مجموعه‌اي حاضر، حال درمديريتي استاندارد که شده‌اند ارائه سازمان‌ها اطالعات BS7799تبادل

مديريتي استاندارد انگليس، استاندارد موسسه ISO/IEC‌17799موسسهفني گزارش و استاندارد بين‌المللي ISO/IEC‌TR‌13335بين‌المللي موسسه

فني راهنماهاي و استاندادرها برجسته‌ترين از زمينه استاندارد اين محسوب درمي‌گردند.

: است شده گرفته قرار توجه مورد زير نکات استانداردها، اين در1      -امنيت چرخه شکل‌گيري نحوه و ايمن‌سازي مراحل و تعيين اطالعات

سازمان ارتباطات2      -مرحله هر در استفاده مورد فني تکنيکهاي و ايمن‌سازي مراحل جرئيات3      -سازمان موردنياز امنيتي برنامه‌هاي و طرح‌ها محتواي و ليست4      -تامين فني و اجرائي سياستگذاري، تشکيالت ايجاد جزئيات و ضرورت

سازمان امنيت ارتباطات و اطالعات5      -ارتباطي و اطالعاتي سيستم‌هاي از يک هر براي موردنياز امنيتي کنترل‌هاي

سازمان

17

استانداردISO‌27001 (روز به به( BS7799نسخه یااستاندارد همان می ISO/IEC‌17799عبارتی

، زمینه باشد این در اشاره قابل این همسانی نكتهاستاندارد با . ISO9000استاندارد قسمت می‌باشد

استاندارد سیستم BS7799سوم توسعه حقیقت درISMS . در شده ایجاد تغییرات مانند درست می‌باشد

.ISO9004استاندارد استانداردISO‌27001 باشد می یکپارچه استانداردی

در که می آن بندهای کامل توضیح به ارائه این از بعد قسمت

پردازیم .18

19

سازمان‌بين‌المللي‌‌(ISOاستاندارد)

international‌organization‌for‌standardization

محل‌آن‌دركشور‌سوئيس‌شهر‌ژنونحت‌پوشش‌سازمان‌ملل‌ياصندوق‌بين‌

المللي‌پول‌نيستكشور‌146سازماني‌مستقل‌واعضاي‌آن‌از

تشكيل‌شده‌استوظيفه‌آن‌تدوين‌استاندارد‌مي‌باشد‌فعاليتهاي‌مميزي‌وصدور‌گواهينامه‌

راانجام‌نمي‌دهد‌.باتوجه‌به‌نيازهاي‌جهاني‌تغيير‌مي‌كند

20

تولداستانداردمديريت‌‌امنیت‌‌‌اطالعات

کمیته ISO/IEC‌27001استاندارد توسطمشترک فناوری) ISO/IEC‌JTC‌1فنی

کمیته ،زیر امنیتی SC‌27اطالعات ،فنوناست ( شده تهیه اطالعات فناوری

‌موردبازنگري‌قرارگرفت2005ودرسال‌

21

مزاياي‌استقرار‌استاندارد‌ايزو‌27001‌ 

تجارت- تداوم از ایمن اطمینان توسط صدمات كاهش وتهدیدها كاهش و اطالعات ساختن

 سازگاری- از و اطمینان اطالعات امنیت استاندارد با

ها داده از محافظت 

گیری- تصمیم كردن اطمینان سیستم قابل زدن محك و هااطالعات امنیت مدیریت

 مشتریان - نزد اطمینان تجاری ایجاد شركای و

 

22

مزاياي‌استقرار‌استاندارد‌ايزو‌)ادامه(‌27001

رقابت- ها امكان شركت سایر با بهتر 

مدیریتفعال - و ایجاد ها داده امنیت سازی پیاده در پویا واطالعات

و - اطالعات امنیتی مشكالت را بخاطر خود های ایدهنسازید پنهان سازمان خارج در

23

Do

Check

Plan

Act

عملكرد

‌زمان

ود‌‌بهبخط

تمرمس

Information‌security‌management‌system‌

requirements

25

4-1- لزامات‌كليا ‌سازمان‌بايد‌يك‌سيستم‌مديريت‌امنیت‌اطالعات‌

اين‌استاندارد‌بين‌المللي‌‌رامطابق‌باالزامات

درچارچوب‌تمامی‌فعالیتهای‌کالن‌کسب‌وکار‌

‌ايجاد،سازمان‌ومخاطراتی‌که‌با‌آن‌مواجه‌است‌

‌مستقرونگهداري،مستند‌

نمايدوبطورمستمربهبوددهدوچگونگي‌تحقق‌اين‌

الزامات‌رانيز‌مشخص‌نمايد

26

‌‌ایجاد‌ومدیریت‌سیستم‌امنیت‌اطالعات‌4-2 Estabilishng‌and‌mananging‌the‌ISMS

:‌سازمان‌باید‌موارد‌زیر‌را‌انجام‌دهد

الف(‌:سازمان‌بايد‌دامنه‌كاربرد‌ومرزهای‌سيستم‌امنیت‌‌اطالعات‌خودرا‌بر‌مبنای‌ویژگیهای‌کسب‌

وکار‌،سازمان‌،مکان‌،دارائی‌ها‌و‌فناوری‌آن‌تعريف‌ومدون‌نمايد‌و‌مشتمل‌برجزئیات‌وتوجیه‌برای‌کناره‌

‌گذاری‌هر‌چیزی‌از‌دامنهب‌(‌مديريت‌رده‌باال‌بايد‌خط‌مشی‌سيستم‌امنیت‌اطالعات‌‌

بر‌مبنای‌ویژگی‌های‌کسب‌و‌کار‌،سازمان‌،مکان‌،دارائی‌:ها‌و‌فناوری‌آن‌تعريف‌که

.

27

مشتمل‌بر‌چارچوبی‌برای‌تعیین‌اهداف‌وایجاد‌یک‌درک‌کالن‌از‌‌)1.‌مسیر‌و‌مبانی‌برای‌اقدام‌با‌توجه‌به‌امنیت‌اطالعات

در‌بر‌گیرنده‌کسب‌وکار‌،الزامات‌قانونی‌یا‌آیین‌نامه‌و‌تعهدات‌‌)2.امنیتی‌قراردادی‌باشد

با‌مفاد‌مدیریت‌مخاطرات‌راهبردی‌سازمان‌که‌درایجاد‌و‌:)‌3نگهداری‌سيستم‌مدیریت‌امنیت‌اطالعات‌لحاظ‌خواهد‌

.‌شد‌،هماهنگ‌شود.‌معیاری‌ایجاد‌کند‌که‌مطابق‌آن‌مخاطرات‌ارزیابی‌خواهند‌شد‌)4

توسط‌مدیریت‌تصویب‌شود‌)5

‌‌ایجاد‌ومدیریت‌سیستم‌امنیت‌اطالعات‌4-2Estabilishng‌and‌mananging‌the‌ISMS

ج‌(‌تعریف‌رویکرد‌برآورد‌سازی‌مخاطرات‌سازمان

(شناسایی‌یک‌متدولوژی‌بر‌آورد‌مخاطرات‌متناسب‌‌‌‌‌‌1(ایجاد‌معیاری‌برای‌پذیرش‌مخاطرات‌وشناسایی‌سطوح‌قابل‌قبول‌‌‌‌‌‌‌2‌‌‌‌‌

‌‌‌د‌(شناسایی‌مخاطرات‌(شناسایی‌دارائی‌های‌واقع‌دردامنه‌سیستم‌‌‌‌1(شناسایی‌تهدیدهای‌بالقوه‌وبالفعل‌متوجه‌دارائی‌ها‌‌‌2(شناسایی‌آسیبهای‌بالقوه‌و‌بالفعل‌حاصل‌از‌تهدیدها‌‌‌3(شناسایی‌آسیبهای‌حاصل‌از‌عدم‌رعایت‌امنیت‌،محرمانگی‌،یکپارچگی‌‌‌4‌‌

‌‌‌‌‌‌‌‌28

‌‌ایجاد‌ومدیریت‌سیستم‌امنیت‌اطالعات‌4-2Estabilishng‌and‌mananging‌the‌ISMS

29

برطرف(: برای هایی گزینه ارزیابی و شناسایی ومخاطرات :سازی

1( مناسب کنترلهای گیری کار به 2( وهدفمند آگاهانه صورت به مخاطرات پذیرش

3( مخاطرات از اجتناب

4( دیگر های طرف کاربه و کسب مخاطرات انتقال

منظور(: به هایی کنترل و کنترلی اهداف گزینش زمخاطرات سازی :برطرف

باقیمانده( مخاطرات برای مدیریت مصوبه دریافت حپیشنهادی

30

سازی( پیاده برای مدیریت مجوز دریافت طمدیریت سیستم امنیت‌اطالعاتواجرای

باشد( زیر موارد شامل که کاربست بیانیه تهیه ‌:ی

1- آنها انتخاب دالیل و برگزیده کنترلی اهداف سازی -2 حاضرپیاده حال در که وکنترلهایی کنترلی اهداف

اند شده گذاری )3 کناره وتوجیه کنترلی اهداف از هریک گذاری کناره

آنها

‌31

امنیت -4-2-2 مدیریت سیستم واجرای سازی پیادهاطالعات

دهد انجام را زیر موارد باید :سازمان ،به ( مخاطرات سازس برطرف طرح یک کردن مند قاعده الف

اقدام ،که اطالعات امنیت مخاطرات کردن مدیریت منظورشناسایی را ها واولویت ها ،مسئولیت ،منابع مناسب مدیریتی

کند منظور ( به مخاطرات سازی برطرف طرح طرح سازی پیاده ب

دربرگیرنده شده،که شناسایی کنترلی اهداف به دستیابیباشد ها ومسئولیت ها نقش وتخصیص مالی مالحظات

برآورده( منظور به شده برگزیده های کنترل سازی پیاده جکنترلی اهداف سازی

32

نتایج( وارائه ها کنترل اثربخشی سنجش چگونگی تعریف دکنترل برآورداثربخشی تعیین از بعد پذیر وتجدید قیاس قابل

ها تا :یادآوری دهد می اجازه وکارکنان مدیران ،به ها کنترل اثربخشی گیری اندازه

تعیین نمایند می حاصل را شده ریزی طرح کنترلی اهداف اندازه ها،تاچه کنترل که .کند

سازی( وآگاه آموزشی های برنامه سازی پیاده ه اطالعات( امنیت مدیریت سیستم عملیات مدیریت و

اطالعات( امنیت مدیریت سیستم برای منابع مدیریت ز قادر( که هایی ودیگرکنترل اجرایی های روش سازی پیاده ح

وپاسخ امنیتی وقایع سریع آشکارسازی ساختن توانمند بهباشد امنیتی حوادث به . دهی

33

4-2-3- اطالعات امنیت مدیریت سیستم وبازنگری پایش دهد انجام را زیر موارد باید :سازمان

به ( ها کنترل دیگر و پایش اجرایی های روش اجرای الف:منظور

1( ها پردازش نتایج در خطاها سریع تشخیص 2( تمام ونا موفق امنیتی هاوحوادث نقص سریع شناسایی

که )3 آنگونه فعالیتها اجرای اطمینان به مدیریت ساختن قادررود انتظارمی

حوادث )4 از ،پیشگیری طریق آن واز امنیتی وقایع درتشخیص کمکنشانگرها از استفاده بوسیله امنیتی

5( امنیتی نقایص رفع برای گرفته صورت اقدامات اثربخشی تعیین

34

مدیریت( سیستم منداثربخشی قاعده تعهدبازنگری بنتایج ، امنیتی ممیزیهای نتایج به توجه با اطالعات امنیت

و پیشنهادها ، حوادث ، بخشی اثر گیریهای اندارهذینفع طرفهای تمامی بازخوردهای

اینکه ( بمنظورتصدیق کنترلها اثربخشی سنجش جاند شده براورده امنیتی الزامات

طرح( زمانی فواصل در مخاطرات براوردهای بازنگری دشناسایی و باقیمانده مخاطرات بازنگری و شده ریزی

در تغییرات به توجه با مخاطرات قبول قابل : سطح سازمان)1 2)فناوری

35

4-2-4- اطالعات امنیت مدیریت سیستم وبهبود نگهداری دهد راانجام ذیل موارد منظم صورت به بایستی :سازمان

درسیستم( شده شناسایی بهبودهای سازی پیاده الفاطالعات امنیت مدیریت

مناسب( وپیشگیرانه اصالحی اقدامات انجام ب تمامی( وبهبودها،به اقدامات به مربوط اطالعات انتقال ج

کار ادامه چگونگی مورد در وتوافق ذینفع طرفهایمی( حاصل را موردنظرشان بهبودها،اهداف اینکه از اطمینان د

‌.کنند

‌36

3( کار و کسب فرایندهای و اهداف 4( شده شناسایی تهدیدهای

5( شده سازی پیاده های کنترل اثربخشی و )6 ای نامه آیین یا قانونی فضای در تغییرات همانند برونی رویدادهای

قراردادی تعهدات در وتغییر اجتماعی شرایط اطالعات( امنیت مدیریت سیستم داخلی های ممیزی انجام ه

شده درفواصل ریزی طرح زمانی امنیت( مدیریت سیستم مند قاعده مدیریت بازنگری به تعهد و

اطالعات وبازنگری( پایش نتایج به باتوجه امنیتی طرحهای بروزرسانی ز

امنیت( مدیریت سیستم بر وکارا اثربخش ووقایع اقدامات ثبت ح

‌‌37

4-3-Doucumentation‌requirements

39

:‌کلیات-4-3-1مستندسازی‌باید‌شامل‌سوابق‌تصمیمات‌مدیریتی‌بوده،اطمینان‌دهد‌

که‌اقدامات‌قابل‌ردیابی‌می‌باشدمهم‌است‌که‌بتوان‌ارتباط‌بین‌کنترل‌های‌انتخاب‌شده‌ونتایج‌حاصل‌

ازبرآورد‌مخاطرات‌وفرایند‌برطرف‌سازی‌مخاطرات‌ومتعاقبا‌ارتباط‌با‌اهداف‌وخط‌مشی‌سیستم‌مدیریت‌امنیت‌اطالعات‌را‌

.نشان‌داد

:‌مستندات‌سیستم‌مدیریت‌امنیت‌اطالعات‌باید‌شامل‌موارد‌ذیل‌باشد

امنیت( مدیریت سیستم مشی خط شده مدون بیانه الفواهداف اطالعات

اطالعات( مدیریت سیستم دامنه ب سیستم( از پیشنهادی در وکنترلهایی اجرایی های روش ج

اطالعات مدیریت مخاطرات( برآورد متدولوژی تشریح د

مخاطرات( برآورد گزارش ه مخاطرات( سازی برطرف طرح و

سازمان( نیاز مورد شده مدون اجرایی های روش ز است( شده الزام استاندارد این توسط که سوابقی ح

کاربست( بیانیه ط

40

4-3-2- مستندات کنترل::مدارک‌از‌نظر‌موارد‌زير‌بايد‌تحت‌کنترل‌باشدمدارک‌از‌نظر‌موارد‌زير‌بايد‌تحت‌کنترل‌باشد

‌‌تصويب‌مدارک‌از‌نظر‌کفايت‌قبل‌از‌صدورتصويب‌مدارک‌از‌نظر‌کفايت‌قبل‌از‌صدور ‌‌بازنگري‌و‌بروز‌کردن‌مدارک‌بر‌حسب‌نياز‌و‌تصويب‌مجدد‌آنهابازنگري‌و‌بروز‌کردن‌مدارک‌بر‌حسب‌نياز‌و‌تصويب‌مجدد‌آنها

‌‌مشخص‌کردن‌تغييرات‌و‌ويرايش‌کنوني‌مدارکمشخص‌کردن‌تغييرات‌و‌ويرايش‌کنوني‌مدارک در‌دسترس‌بودن‌مدارک‌در‌مکانهايي‌که‌الزم‌استدر‌دسترس‌بودن‌مدارک‌در‌مکانهايي‌که‌الزم‌است

مدارک‌بايد‌خوانا‌و‌قابل‌شناسايي‌باشندمدارک‌بايد‌خوانا‌و‌قابل‌شناسايي‌باشند ‌‌تحت‌کنترل‌قرار‌دادن‌مدارک‌برون‌سازمانيتحت‌کنترل‌قرار‌دادن‌مدارک‌برون‌سازماني

‌‌پيشگيري‌از‌استفاده‌سهوي‌از‌مدارک‌منسوخ‌شدهپيشگيري‌از‌استفاده‌سهوي‌از‌مدارک‌منسوخ‌شده مدارک‌گردآوری‌شده‌به‌هر‌دلیلی‌به‌نحو‌مناسبی‌مورد‌مدارک‌گردآوری‌شده‌به‌هر‌دلیلی‌به‌نحو‌مناسبی‌مورد‌

شناسایی‌قرار‌گیرندشناسایی‌قرار‌گیرند ‌

41

4-3-3-‌ سوابق کنترلشواهد تا شده ونگهداری ایجاد بايد سوابق

فراهم سیستم موثر واجرای الزامات با انطباق‌:‌: گردد خوانا

دستيابي و شناسايي قابل شناسايي نظر از کنترل ذخيره ،تحت و ،بايگاني

تعيين ،دستيابي ،حفاظت و نگهداري زمان مدت تعيينتکليف و

42

5-‌ مدیریت مسئولیت

1-5- مدیریت تعهد ‌

2-5- منابع مدیریت

43

از سازمان ارشد مديريت تعهد بر دال شواهدي ارائه:طريق

اهداف ( برآوردسازی اهمیت درباره سازمان به الزم اطالعات ارائه الفاطالعات مشی امنیت خط با وتطابق اطالعات امنیت

اطالعات مدیریت ( امنیت مشي خط کردن برقرار و تعيين ب اطالعات ( امنیت برای ها مسئولیت و ها نقش ایجاد ج

اند شده تعيين کيفيت اهداف از ( اينکه اطمينان حصول د اطالعات مديريت ( امنیت هاي بازنگري انجام ه

قبول( قابل وسطوح مخاطرات پذیرش برای معیاری درباره گیری تصمیم و خاطرات

منابع( بودن دسترس در از اطمينان حصول ز امنیت ( مدیریت سیستم داخلی ممیزی ازانجام اطمینان حصول ح

اطالعات44

-1-2-5- منابع آوری فراهم

::منابع‌مورد‌نياز‌براي‌موارد‌زير‌بايد‌فراهم‌گرددمنابع‌مورد‌نياز‌براي‌موارد‌زير‌بايد‌فراهم‌گردد به‌اجرا‌درآوردن‌سيستم‌مديريت‌امنیت‌اطالعات‌و‌برقرار‌

‌نگهداشتن‌آن‌و‌بهبود‌مستمر‌اثر‌بخشي‌آنشناسایی‌ونشاندهی‌الزامات‌قانونی‌و‌آیین‌نامه‌ای‌وتعهدات‌‌

امنیتی‌قراردادی‌نگهداری‌امنیت‌در‌سطح‌مناسب

انجام‌بازنگری‌در‌صورت‌لزوم‌و‌واکنش‌مناسب‌به‌این‌نتایج‌حصول‌اطمینان‌از‌اینکه‌روش‌های‌اجرایی‌امنیت‌اطالعات‌

الزامات‌کسب‌و‌کار‌را‌پوشش‌دهد

45

2-2-5- وصالحیت سازی ،آگاه ‌‌آموزش ‌‌سازمان‌باید‌در‌راستای‌اهداف‌آموزشی‌سازمانسازمان‌باید‌در‌راستای‌اهداف‌آموزشی‌سازمان

تعيين‌صالحیت‌های‌مورد‌نياز‌کارکنان‌موثر‌بر‌سیستم‌‌مدیریت‌امنیت‌اطالعات

‌فراهم‌آوردن‌آموزش‌هاي‌مورد‌نياز‌آنها ‌ارزيابي‌اثر‌بخشي‌آموزش‌هاي‌ارائه‌شده

آگاهي‌کارکنان‌از‌اهميت‌فعاليت‌هاي‌خود‌در‌جهت‌رسيدن‌به‌اهداف‌کيفي‌تعيين‌شده‌درسیستم‌مدیریت‌

‌امنیت‌اطالعات نگهداري‌سوابق‌آموزشی

46

47

نجام‌مميزي‌هاي‌داخلي‌براي‌تعيين‌آنکه‌سیستم‌مدیریت‌ا:‌‌امنیت‌اطالعات

با‌الزامات‌اين‌استاندارد‌ومقررات‌وقوانین‌مرتبط‌انطباق‌‌دارد

‌‌با‌الزامات‌‌شناسایی‌شده‌امنیت‌اطالعات‌انطباق‌دارد

‌بطور‌موثر‌اجرا‌ونگهداری‌مي‌شود‌

آنگونه‌که‌انتظار‌می‌رود‌،اجراء‌می‌شود

‌ گيرد مي صورت واحدهاوفرآيندها ووضعيت اهميت مبناي بر مميزي برنامه دهی وگزارش شده انجام اقدامات تصدیق شامل باید پیگیری های فعالیت

باشد تصدیق نتایج

48

کلیات-1-7

ارشد مديريت توسط کيفيت مديريت سيستم بازنگري

جهت شده ريزي برنامه زماني فواصل در سازمان

. بازنگری ،این آن کارآيي و بودن مناسب تداوم از اطمينان

تغییرات اعمال به ونیاز بهبود موقعیتهای بررسی باید ها

نتایج شود شامل را اطالعات امنیت مدیریت سیستم در

آن سوابق و شده مدون وضوح به باید مدیریت بازنگری

شوند نگهداری49

50

33-7-‌-7-‌ بازنگري هاي بازنگري خروجی هاي خروجی تمامی دربرگیرنده باید مدیریت بازنگري هاي تمامی خروجی دربرگیرنده باید مدیریت بازنگري هاي خروجی

باشد ذیل موارد به مربوط اقدامات و باشد تصمیمات ذیل موارد به مربوط اقدامات و ::تصمیماتo و )1 اطالعات امنیت مديريت سيستم بخشي اثر بهبود

آن فرآيندهاي 2( اند شده گیری اندازه ها کنترل اثربخشی چگونه اینکه بهبود

3( منابع تامين به مربوط نيازهاي سازی )4 برطرف طرح و مخاطرات برآورد بروزآوری

مخاطرات 5( گذارند تاثیر اطالعات امنیت بر که اجرایی روشهای اصالح

51

مدیریت -8 سیستم بهبود امنیت

اطالعات 8‌ISMS‌improvment‌

52

8-1- مستمر بهبود

گيري بهره طريق از کيفيت مديريت سيستم بخشي اثراطالعات امنیت مشي خط امنیت ،از اهداف

مميزي ،اطالعات رویدادهای ،نتايج تحليل و تجزیهشده و ،پایش پيشگيرانه و اصالحي اقدامات

یابد بهبود مستمر طور به مديريت بازنگري

53

2-8- اصالحی اقدام

باالفعل هاي انطباق عدم هاي ريشه رفع براي ‌ انطباق عدم بازنگري

انطباق عدم علل تعيين

و خطا هاي ريشه رفع جهت الزم اقدامات انجام و تعيينآنها مجدد وقوع از پيشگيري

سوابق ثبت و اصالحي اقدامات بودن موثر ارزيابي

شده انجام اصالحی اقدامات بازنگری ‌

54

3-8- پیشگیرانه اقدام

بالقوه هاي انطباق عدم هاي ريشه رفع براي ‌ آنها علل و بالقوه انطباقهاي عدم تعيين

پيشگيرانه اقدام به نياز ارزيابي پيشگيرانه اقدام انجام و تعيين

شده انجام اقدامات نتایج سوابق ثبت شده انجام اقدامات بازنگري

‌

55

سال در اطالعات امنيت مديريت استاندارد اولين ارائه باتبادل 1995 فضاي ايمن‌سازي مقوله به سيستماتيک نگرش ،

. امنيت تامين نگرش، اين اساس بر گرفت شکل اطالعاتالزم و نمي‌باشد مقدور دفعتا سازمانها، اطالعات تبادل فضايشامل ايمن‌سازي چرخه يک در مداوم بصورت امر اين است

. گيرد انجام اصالح، و ارزيابي پياده‌سازي، طراحي، مراحليک اساس بر سازمان هر است الزم منظور اين براي

مشخص، :متدولوژي دهد انجام را زير اقدامات1      - موردنياز امنيتي برنامه‌هاي و طرح‌ها سازمان تهيه2      -تبادل موردنياز تشکيالت ايجاد فضاي امنيت تداوم و ايجاد جهت

سازمان اطالعات3      -سازمان امنيتي برنامه‌هاي و طرح‌ها اجراي

56

اطالعات امنيت مديريت (ISMS)سيستم

،ارتباطات و اطالعات امنيت مديريت استانداردهاي اساس برسازمان و مجموعهبايد هر اطالعات امنيت مديريت مستندات

نمايد ارتباطات تدوين خود براي زير، شرح به :را • دستگاه اطالعات تبادل فضاي امنيتي سياستهاي و راهبردها اهداف، • دستگاه اطالعات تبادل فضاي امنيتي مخاطرات تحليل طرح • دستگاه اطالعات تبادل فضاي امنيت طرح • اطالعات تبادل فضاي خرابيهاي ترميم و امنيتي حوادث با مقابله طرح

دستگاه • دستگاه پرسنل به امنيتي رساني آگاهي برنامة • تبادل فضاي امنيت تامين تشكيالت پرسنل امنيتي آموزش برنامة

اطالعاتدستگاه پرداخت خواهيم فوق مستندات بررسي به بخش، اين .در

57

ISMS مستندات

سياس و راهبردها امنيتي تاهداف، هاي و راهبردها اهداف، شامل دستگاه، مستندات از بخش اولين

امنيتي هاي مي ISMSسياست دستگاه اطالعات تبادل فضايشوند . باشد گنجانيده زير، موارد است الزم مستندات، اين :در

دستگاه اطالعات تبادل امنيتفضاي اهداف تبادل فضاي هاي سرمايه ابتدا مستندات، از بخش اين در

قالب در دستگاه، افزارها، اطالعات نرم افزارها، سختبندي دسته و تفكيك كاربران و سرويسها ارتباطات، اطالعات،

و شده از يك هر امنيت تامين مدت ميان و مدت كوتاه اهداف سپس

شد خواهد تعيين ها، .سرمايه

58

ISMS مستندات

از عبارتند اهداف، اين از اي :نمونه

امنيت مدت كوتاه اهداف از هائي :نمونه فضاي هاي سرمايه عليه غيرمجاز، هاي دسترسي و حمالت از جلوگيري

·تبادل دستگاه اطالعات دستگاه اطالعات تبادل فضاي در موجود ناامني از ناشي خسارتهاي ·مهار دستگاه اطالعات تبادل فضاي هاي سرمايه پذيريهاي رخنه ·كاهش

59

ISMS مستندات

امنيت مدت ميان اهداف از هائي :نمونه ،افزارها سخت براي فيزيكي محافظت و دسترسي قابليت عملكرد، صحت ·تامين آنها حساسيت با .متناسب حساسيت با متناسب افزارها، نرم براي دسترسي قابليت و عملكرد صحت ·تامينآنها. هبندي طبق با متناسب اطالعات، براي دسترسي قابليت و صحت محرمانگي، ·تامين محرمانگي حيث از .اطالعات بندي طبقه با متناسب ارتباطات، براي دسترسي قابليت و صحت محرمانگي، ·تامين ارتباطات حساسيت و محرمانگي حيث از .اطالعات و خصوصي حريم پاسخگوئي، و اختيارات حدود هويت، تشخيص قابليت ·تامين قابل اطالعات بندي طبقه با متناسب شبكه، كاربران براي امنيتي رساني آگاهي

دسترس كاربران نوع و

60

ISMS مستندات

61

ISMS مستنداتراهبردهاي‌امنيت‌فضاي‌تبادل‌اطالعات‌دستگاه

راهبردهاي‌امنيت‌فضاي‌تبادل‌اطالعات‌دستگاه،‌بيانگر‌اقداماتي‌است‌كه‌نمونه‌اي‌از‌.‌اهداف‌امنيت‌دستگاه،‌بايد‌انجام‌گيرد‌به‌منظور‌تامين

فضاي‌تبادل‌اطالعات‌دستگاه،‌‌مدت‌و‌ميان‌مدت‌امنيت‌راهبردهاي‌كوتا‌ه:عبارتند‌از

امنيت مدت كوتاه راهبردهاي از هائي :نمونهدستگاه اطالعات تبادل فضاي امنيتي ضعفهاي رفع و ·شناسائي

دستگاه اطالعات تبادل فضاي كاربران به رساني ·آگاهيدستگاه داخلي شبكه ارتباطات در محدوديت اعمال و ·كنترل

امنيت مدت ميان راهبردهاي از هائي :نمونهاطالعات امنيت مديريت استانداردهاي ·رعايت

اساس بر دستگاه، اطالعات تبادل فضاي امنيتي هاي برنامه و ها طرح تهيهفوق استانداردهاي

دستگاه اطالعات تبادل فضاي امنيت تامين تشكيالت سازي آماده و ·ايجاددستگاه اطالعات تبادل فضاي امنيتي هاي برنامه و ها طرح اجراي

62

ISMS مستنداتسياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌دستگاه

سياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌دستگاه،‌متناسب‌با‌دسته‌بندي‌انجام‌:سرمايه‌هاي‌فضاي‌تبادل‌اطالعات‌دستگاه،‌عبارتند‌از‌شده‌روي

·فضاي‌تبادل‌اطالعات‌دستگاه‌سرويس‌هاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌سخت‌افزارهاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌نرم‌افزارهاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌اطالعات‌سياست‌هاي‌امنيتي‌·‌فضاي‌تبادل‌اطالعات‌دستگاه‌ارتباطاتسياست‌هاي‌امنيتي‌·‌فضاي‌تبادل‌اطالعات‌دستگاه‌كاربرانسياست‌هاي‌امنيتي‌

سياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌دستگاهسياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌دستگاه،‌متناسب‌با‌دسته‌بندي‌انجام‌

:سرمايه‌هاي‌فضاي‌تبادل‌اطالعات‌دستگاه،‌عبارتند‌از‌شده‌روي

·فضاي‌تبادل‌اطالعات‌دستگاه‌سرويس‌هاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌سخت‌افزارهاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌نرم‌افزارهاي‌سياست‌هاي‌امنيتي‌·فضاي‌تبادل‌اطالعات‌دستگاه‌اطالعات‌سياست‌هاي‌امنيتي‌·‌فضاي‌تبادل‌اطالعات‌دستگاه‌ارتباطاتسياست‌هاي‌امنيتي‌·‌فضاي‌تبادل‌اطالعات‌دستگاه‌كاربرانسياست‌هاي‌امنيتي‌

63

ISMS مستنداتطرح‌تحليل‌مخاطرات‌امنيتي

پس‌از‌تدوين‌اهداف‌،‌راهبردها‌و‌سياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌دستگاه‌و‌قبل‌ازطراحي‌امنيت‌فضاي‌تبادل‌اطالعات،‌الزم‌است‌شناخت‌

در‌اين‌.‌موجود‌دستگاه‌بدست‌آورد‌دقيقي‌از‌مجموعه‌فضاي‌تبادل‌اطالعاتمرحله،‌ضمن‌كسب‌شناخت‌نسبت‌به‌اطالعات،‌ارتباطات،تجهيزات،‌سرويس‌

ها‌و‌ساختار‌شبكه‌ارتباطي‌دستگاه،‌ضعفهاي‌امنيتي‌موجود‌در‌بخشهايمختلف،‌شناسائي‌خواهند‌شد‌تا‌در‌مراحل‌بعدي،‌راهكارهاي‌الزم‌به‌منظور‌

روش‌تحليل‌مخاطرات‌امنيتي،‌.‌رفع‌اين‌ضعفها‌ومقابله‌با‌تهديدها،‌ارائه‌شوندفضاي‌تبادل‌اطالعات‌دستگاه،‌مشخص‌‌بايد‌در‌مجموعه‌راهبردهاي‌امنيتي

.شده‌باشددر‌تحليل‌مخاطرات‌امنيتي،‌به‌مواردي‌پرداخته‌مي‌شود‌كه‌بصورت‌بالقوه،‌

غيرمجاز،‌نفوذ‌و‌حمله‌كاربران‌مجاز‌يا‌غيرمجاز‌فضاي‌تبادل‌‌امكان‌دسترسي‌منابع‌و‌دستگاه‌اطالعات‌تبادل‌فضاي‌(هاي‌سرمايه)اطالعات‌دستگاه،‌به‌منابع

نمايند‌مي‌فراهم‌را‌فضا‌اين‌كاربراندر حداقل اطالعات، تبادل فضاي امنيتي مخاطرات است الزم مستند، اين در

شبكه " محورهاي شبكه "، "معماري شبكه "، "تجهيزات هاي دهنده ، "سرويسشبكه " نگهداري و و" مديريتشبكه " امنيت مديريت روشهاي و شوند "تشكيالت بررسي ،.

‌

طرح‌تحليل‌مخاطرات‌امنيتيپس‌از‌تدوين‌اهداف‌،‌راهبردها‌و‌سياست‌هاي‌امنيتي‌فضاي‌تبادل‌اطالعات‌

دستگاه‌و‌قبل‌ازطراحي‌امنيت‌فضاي‌تبادل‌اطالعات،‌الزم‌است‌شناخت‌در‌اين‌.‌موجود‌دستگاه‌بدست‌آورد‌دقيقي‌از‌مجموعه‌فضاي‌تبادل‌اطالعات

مرحله،‌ضمن‌كسب‌شناخت‌نسبت‌به‌اطالعات،‌ارتباطات،تجهيزات،‌سرويس‌ها‌و‌ساختار‌شبكه‌ارتباطي‌دستگاه،‌ضعفهاي‌امنيتي‌موجود‌در‌بخشهاي

مختلف،‌شناسائي‌خواهند‌شد‌تا‌در‌مراحل‌بعدي،‌راهكارهاي‌الزم‌به‌منظور‌روش‌تحليل‌مخاطرات‌امنيتي،‌.‌رفع‌اين‌ضعفها‌ومقابله‌با‌تهديدها،‌ارائه‌شوند

فضاي‌تبادل‌اطالعات‌دستگاه،‌مشخص‌‌بايد‌در‌مجموعه‌راهبردهاي‌امنيتي.شده‌باشد

در‌تحليل‌مخاطرات‌امنيتي،‌به‌مواردي‌پرداخته‌مي‌شود‌كه‌بصورت‌بالقوه،‌غيرمجاز،‌نفوذ‌و‌حمله‌كاربران‌مجاز‌يا‌غيرمجاز‌فضاي‌تبادل‌‌امكان‌دسترسي

‌منابع‌و‌دستگاه‌اطالعات‌تبادل‌فضاي‌(هاي‌سرمايه)اطالعات‌دستگاه،‌به‌منابعنمايند‌مي‌فراهم‌را‌فضا‌اين‌كاربران

در حداقل اطالعات، تبادل فضاي امنيتي مخاطرات است الزم مستند، اين درشبكه " محورهاي شبكه "، "معماري شبكه "، "تجهيزات هاي دهنده ، "سرويس

شبكه " نگهداري و و" مديريتشبكه " امنيت مديريت روشهاي و شوند "تشكيالت بررسي ،.

‌

64

ISMS مستنداتمعماري‌شبكه‌ارتباطي

در‌اين‌بخش‌،‌الزم‌است‌معماري‌شبكه‌ارتباطي‌دستگاه،‌حداقل‌در‌محورهاي‌زير‌مورد:تجزيه‌و‌تحليل‌قرار‌گيرد

·ساختار‌شبكه‌ارتباطي‌·ساختار‌آدرس‌دهي‌و‌مسيريابي‌

·ساختار‌دسترسي‌به‌شبكه‌ارتباطي‌تجهيزات‌شبكه‌ارتباطي

در‌اين‌بخش‌،‌الزم‌است‌تجهيزات‌شبكه‌ارتباطي‌دستگاه،‌حداقل‌در‌محورهاي‌زير‌مورد:تجزيه‌و‌تحليل‌قرار‌گيرد

·محافظت‌فيزيكي‌·نسخه‌و‌آسيب‌پذيريهاي‌نرم‌افزار‌

·مديريت‌محلي‌و‌از‌راه‌دور‌مديريتي‌تصديق‌هويت،‌تعيين‌اختيارات‌و‌ثبت‌عملكرد‌سيستم،‌بويژه‌در‌دسترسي‌هاي

·ثبت‌وقايع‌·نگهداري‌و‌به‌روزنمودن‌پيكربندي‌

‌سرويس‌از‌ممانعت‌حمالت‌بويژه،‌سيستم‌خود‌عليه‌حمالت‌با‌مقابله

معماري‌شبكه‌ارتباطيدر‌اين‌بخش‌،‌الزم‌است‌معماري‌شبكه‌ارتباطي‌دستگاه،‌حداقل‌در‌محورهاي‌زير‌مورد

:تجزيه‌و‌تحليل‌قرار‌گيرد·ساختار‌شبكه‌ارتباطي‌

·ساختار‌آدرس‌دهي‌و‌مسيريابي‌·ساختار‌دسترسي‌به‌شبكه‌ارتباطي‌

تجهيزات‌شبكه‌ارتباطيدر‌اين‌بخش‌،‌الزم‌است‌تجهيزات‌شبكه‌ارتباطي‌دستگاه،‌حداقل‌در‌محورهاي‌زير‌مورد

:تجزيه‌و‌تحليل‌قرار‌گيرد·محافظت‌فيزيكي‌

·نسخه‌و‌آسيب‌پذيريهاي‌نرم‌افزار‌·مديريت‌محلي‌و‌از‌راه‌دور‌

مديريتي‌تصديق‌هويت،‌تعيين‌اختيارات‌و‌ثبت‌عملكرد‌سيستم،‌بويژه‌در‌دسترسي‌هاي·ثبت‌وقايع‌

·نگهداري‌و‌به‌روزنمودن‌پيكربندي‌‌سرويس‌از‌ممانعت‌حمالت‌بويژه،‌سيستم‌خود‌عليه‌حمالت‌با‌مقابله

65

ISMS مستنداتارتباطي شبكه نگهداري و مديريت

در حداقل دستگاه، ارتباطي شبكه نگهداري و مديريت است الزم ، بخش اين درگيرد محورهاي قرار تحليل و تجزيه مورد :زير

ارتباطي شبكه نگهداري و مديريت روشهاي و ·تشكيالتارتباطي شبكه نگهداري و مديريت هاي مكانيزم و ·ابزارها

ارتباطي شبكه سرويسهايمحورهاي در حداقل دستگاه، ارتباطي شبكه هاي سرويس است الزم ، بخش اين در

گيرد قرار تحليل و تجزيه :زيرمورددهنده سرويس عامل ·سيستم

سيستم و ماجول سطح در افزونگي رعايت بويژه دهنده، سرويس افزار ·سختسرويس افزار ·نرم

ها دهنده سرويس روي امنيتي هاي مكانيزم و ابزارها از ·استفادهارتباطي امنيتشبكه تامين روشهاي و تشكيالت

در حداقل دستگاه، ارتباطي شبكه امنيت روشهاي و تشكيالت است الزم بخش، اين درگيرد قرار تحليل و تجزيه مورد زير :محورهاي

امنيتي مستندات ساير و ها برنامه ها، ·طرحامنيت پرسنل وظايف شرح و اجرائي روالهاي امنيت، تشكيالت

ارتباطي شبكه نگهداري و مديريتدر حداقل دستگاه، ارتباطي شبكه نگهداري و مديريت است الزم ، بخش اين در

گيرد محورهاي قرار تحليل و تجزيه مورد :زيرارتباطي شبكه نگهداري و مديريت روشهاي و ·تشكيالت

ارتباطي شبكه نگهداري و مديريت هاي مكانيزم و ·ابزارهاارتباطي شبكه سرويسهاي

محورهاي در حداقل دستگاه، ارتباطي شبكه هاي سرويس است الزم ، بخش اين درگيرد قرار تحليل و تجزيه :زيرمورد

دهنده سرويس عامل ·سيستمسيستم و ماجول سطح در افزونگي رعايت بويژه دهنده، سرويس افزار ·سخت

سرويس افزار ·نرمها دهنده سرويس روي امنيتي هاي مكانيزم و ابزارها از ·استفاده

ارتباطي امنيتشبكه تامين روشهاي و تشكيالتدر حداقل دستگاه، ارتباطي شبكه امنيت روشهاي و تشكيالت است الزم بخش، اين در

گيرد قرار تحليل و تجزيه مورد زير :محورهايامنيتي مستندات ساير و ها برنامه ها، ·طرح

امنيت پرسنل وظايف شرح و اجرائي روالهاي امنيت، تشكيالت

66

ISMS مستنداتطرح‌امنيت

بندي‌مخاطرات‌امنيتي‌‌پس‌از‌تحليل‌مخاطرات‌امنيتي‌شبكه‌ارتباطي‌دستگاه‌و‌دستهشبكه،‌در‌طرح‌امنيت،‌ابزارها‌و‌مكانيز‌مهاي‌موردنياز‌به‌منظور‌رفع‌اين‌ضعفها‌و‌‌اين

در‌طرح‌امنيت،‌الزم‌است‌كليه‌ابزارها‌ومكانيزم‌هاي‌.‌مقابله‌با‌تهديدها،رائه‌مي‌شوند.‌شوند‌امنيتي‌موجود،‌بكار‌گرفته

:نمونه‌اي‌از‌اين‌ابزارها‌عبارتند‌ازسيستم‌هاي‌كنترل‌جريان‌اطالعات‌و‌تشكيل‌نواحي‌امنيتي‌1-‌فايروال‌ها‌‌

·ساير‌سيستم‌هاي‌تامين‌امنيت‌گذرگاه‌ها‌:سيستم‌هاي‌تشخيص‌و‌مقابله‌يا‌تشخيص‌و‌پيشگيري‌از‌حمالت،‌شامل‌2-

·سيستم‌هاي‌مبتني‌بر‌ايستگاه‌·سيستم‌هاي‌مبتني‌بر‌شبكه‌

طرح‌امنيتبندي‌مخاطرات‌امنيتي‌‌پس‌از‌تحليل‌مخاطرات‌امنيتي‌شبكه‌ارتباطي‌دستگاه‌و‌دسته

شبكه،‌در‌طرح‌امنيت،‌ابزارها‌و‌مكانيز‌مهاي‌موردنياز‌به‌منظور‌رفع‌اين‌ضعفها‌و‌‌ايندر‌طرح‌امنيت،‌الزم‌است‌كليه‌ابزارها‌ومكانيزم‌هاي‌.‌مقابله‌با‌تهديدها،رائه‌مي‌شوند

.‌شوند‌امنيتي‌موجود،‌بكار‌گرفته:نمونه‌اي‌از‌اين‌ابزارها‌عبارتند‌از

سيستم‌هاي‌كنترل‌جريان‌اطالعات‌و‌تشكيل‌نواحي‌امنيتي‌1-‌فايروال‌ها‌‌

·ساير‌سيستم‌هاي‌تامين‌امنيت‌گذرگاه‌ها‌:سيستم‌هاي‌تشخيص‌و‌مقابله‌يا‌تشخيص‌و‌پيشگيري‌از‌حمالت،‌شامل‌2-

·سيستم‌هاي‌مبتني‌بر‌ايستگاه‌·سيستم‌هاي‌مبتني‌بر‌شبكه‌

67

(‌E-Mailبويژه‌براي‌سرويس)سيستم‌فيلترينگ‌محتوا 3-نرم‌افزارهاي‌تشخيص‌و‌مقابله‌با‌ويروس‌4-سيستم‌هاي‌تشخيص‌هويت،‌تعيين‌حدود‌اختيارات‌و‌ثبت‌عملكرد‌‌5-

كاربرانسيستم‌هاي‌ثبت‌و‌تحليل‌رويدادنامه‌ها‌6-سيستم‌هاي‌رمزنگاري‌اطالعات‌7-نرم‌افزارهاي‌نظارت‌بر‌ترافيك‌شبكه‌8-نرم‌افزارهاي‌پويشگر‌امنيتي‌9-نرم‌افزارهاي‌مديريت‌امنيت‌شبكه‌10-

ISMS مستنداتطرح‌امنيت

68

دستگاه، ارتباطي شبكه امنيتي سيستم اصلي ويژگيهاياز :عبارتند

امنيتي سيستم بودن ·چنداليهامنيتي سيستم بودن شده ·توزيع

شبكه هاي سرويس به دسترسي دقيق كنترل جهت امنيتي نواحي تشكيل·

شبكه ارتباطي گذرگاههاي در بويژه امنيتي، هاي مكانيزم ·يكپارچگيشبكه امنيت مديريت زيرساختار سيستم ) تفكيك اصلي بخش حداقل

·امنيتي (شبكه

ضعفهاي كه بنحوي مختلف، امنيتي ‌Brand هاي سيستم اجزاء انتخاباز · شبكه،

دهند كاهش را باقيمانده مخاطره و داده پوشش را يكديگر امنيتيبي ارزيابي موسسات از معتبر، ههاي تائيدي داراي كه محصوالتي انتخاب

·نالمللي باشند مي

ISMS مستندات

امنیت استاندارد مستندات بررسی به قسمت این در اطالعات

) الزامات ) با متناسب که سینره زنده طبیعت شرکتاستاندارد

پردازیم می است شده ISO27001:2005. تکمیل ‌

‌‌

69

زنده گیاهیطبیعت داروهای البراتوارهای  

: سند عنوان اطالعات امنیت نامه آیین

اطالعات فناوری ارتباطات واحد و 

: سند كدQI-WI-07-00

70

: فهرستمطالب بازنگري: وضعيت الف

هدف كاربرد دامنه

تعاريف واختيارات مسئوليت‌ها

اجرا روش مرتبط مستندات

71

هدف باشد می ذیل موارد به نیا نامه آیین این تدوین از :هدف

باشند دسترسی قابل سازمان از خارج و درون در مجاز افراد توسط صرفا .اطالعات شود حفظ همواره اطالعات .محرمانگی

شود حفظ اطالعات یکپارچگی فرایندها کلیه .در گیرد قرار آزمایش مورد و شده مستقر کار و کسب استمرار های .طرح

قبول که شوند مطلع و نموده دریافت اطالعات امنیت مورد در را الزم آموزشهای کارمندان تمامیاست اجباری امنیتی های .سیاست

گردد رسیدگی آنها به و داده گزارش احتمالی های ضعف و اطالعات امنیت های رخنه .تمامی . ) ها ) روش این است بدیهی گردد ایجاد امنیتی های سیاست از پشتیبانی برای ها رویه اجرایی های روش

باشد می استمرار های طرح و عبور های رمز مدیریت ها، ویروس با مقابله و شناسایی .شامل شوند رعایت بایست می اطالعاتی های سیستم و اطالعات بودن دسترس در برای کار و کسب .الزامات اطالعات امنیت مدیر عهده بر استقرار و سازی پیاده حین در امنیتی های سیاست از پشتیبانی و نگهداری

.باشد امور به مربوط امنیتی سیاستهای شدن عملیاتی و سازی پیاده مسئولیت مستقیم صورت به مدیران کلیه

بود خواهند .خود سالیانه صورت به بایست می و است شده تایید سازمان ارشد مدیریت توسط امنیتی سیاست این

گیرد قرار بازبینی مورد مدیریتی بازنگری تیم .توسط

72

-‌ کاربرد :دامنه باشند می متصل شبکه به که تجهیزاتی و کامپیوتری های سیستم ‌.کلیه

 

:تعاریف‌-3 Email‌:‌ شرکت خارجی و داخلی مکاتبات انجام جهت الکترونیکی پست

Mailbox:‌ کاربر الکترونیکی پست ذخیره محل CC‌:‌ از گرفتن پشتیبان جهت که الکترونیکی پست کاربن یا ‌Email کپی باشد می ارسالی .های

Login:‌ سیستم به ورود Logoff:‌ سیستم از خروج

VPN‌:‌ شرکت با مرتبط های سایت دیگر با توان می شبکه این توسط که خصوصی مجازی شبکهنمود جابجا را اطالعات و بوده ارتباط در زنده طبیعت گیاهی ‌.البراتوارهای

Clean‌Desk:‌ کاربری کد از استفاده سوء از جلوگیری منظور به کاربر توسط کامپیوتر نمودن قفلهای دکمه )Ctrl+Alt+Del( توسط

4-‌ اختیارات و :مسئولیتها سرپرست عهده بر نامه آیین این اجرای . ‌IT مسئولیت اجرای برحسن نظارت مسئولیت همچنین باشد می

باشد می مدیریتی سیستمهای در مدیریت نماینده عهده بر . آن

 

73

5-‌ :روشاجرا 5-1-‌ الکترونیکی پست از استفاده

5-1-1-‌ مجاز غیر :استفاده و ضوابط از خارج های پیام انتشار و ایجاد برای نباید سازمان الکترونیکی پست سیستم

. که کارمندانی رود بکار سازمانی Email فرهنگ های آدرس از مطالبی چنین حاوی هاییکنند اعالم خود مدیریت به را موضوع بالفاصله می‌بایست می‌کنند، دریافت سازمان .رسمی

  5-1-2- شخصی :استفاده

برای سازمان منابع از متعارف Email استفاده ولی است، پذیرفتنی شخصی ‌‌Email هایاز جدا و جداگانه پوشه در می‌بایست کار با مرتبط غیر ‌‌Email های شوند نگهداری کاری .های

Email ارسال همچنین و تفریحی مطالب و لطیفه حاوی ‌Email های از زنجیره‌ای های‌Email آدرس . ارسال همچنین و ویروس‌ها هشدار پیامهای ارسال نمی‌باشد مجاز سازمان

Email‌‌ . این می‌باشد مجاز مدیریت، تایید با صرفا سازمان آدرس از انبوه صورت به هابرای همچنین ها سازمان ‌‌Email کردن‌Forward محدودیت کارمندان توسط که هایی

می‌باشد صادق می‌شوند .دریافت

74

:نظارت-5-1-3 الکترونیکی پست سیستم در که پیامهایی که باشند داشته انتظار نباید سازمان کارمندانمحرمانه و شود تلقی آنها شخصی حیطه قالب در می‌کنند، دریافت و ارسال ذخیره، سازمان

بررسی. و نظارت به قبلی هشدار بدون است ممکن سازمان ‌‌Email باشد بپردازد ‌.ها  

5-2- الکترونیک پست پیشینه نگهداری کسب ‌Email تمامی پیشینه نگهداری سیاست محدوده در که هستند اطالعاتی حاوی که هایی

. طریق از شده مبادله اطالعات تمامی گیرند می قرار پوشش تحت دارند، قرار کار ‌Email وباشند می پیشینه نگهداری مشی خط دارای و شوند می بندی طبقه گروه چهار در :سازمان

اداری ) (4مکاتبات سال مالی ) (4مکاتبات سال

عمومی ) (1مکاتبات سال ) معدوم ) آن از پس شدن، خوانده زمان تا نگهداری دوام بی و روزمره مکاتبات

75

5-2-1- اداری مکاتبات کارکنان، پوشش چگونگی تعطیالت، خروج، و ورود اطالعات شامل سازمان اداری مکاتبات

. تمامی است ها ایده مالکیت حق نظیر قانونی مورد هر و کار، محیط در رفتار ‌Email چگونگی " اداری " مکاتبات عنوان به بایست می مدیران فقط حساسیت میزان برچسب دارای های

. یک پیشینه، نگهداری از اطمینان برای شوند ‌Mailbox شناخته نام ‌office@Tezlabs.com باکپی یک اگر شود، ایجاد شود، ‌Email از‌)CC( میبایست ارسال آدرس این به ارسالی های

گرفت خواهد انجام اطالعات فناوری دپارتمان توسط پیشینه .نگهداری  

5-2-2- مالی مکاتبات می مرتبط سازمان های هزینه و درآمد با که هستند اطالعاتی تمامی سازمان مالی مکاتبات

یک. پیشینه، نگهداری از اطمینان برای ‌Mailbox باشند نام ‌Accounting@Tezlabs.com باکپی یک اگر شود، ایجاد بایست شود، ‌Email از‌)CC( می ارسال آدرس این به ارسالی های

انجام اطالعات فناوری دپارتمان توسط پیشینه نگهداری گرفت .خواهد

5-2-3- مکاتباتعمومی تصمیم و مشتریان با تعامل و ارتباط به مربوط اطالعات گیرنده بر در سازمان عمومی مکاتبات

. است عمومی مکاتبات پیشینه نگهداری مسئول کارمند هر است کار و کسب عملیاتی .های

76

  5-2-4- دوام بی و روزمره مکاتبات

گیرنده بر در که دهند می تشکیل را گروه بزرگترین سازمان دوام بی و روزمره مکاتباتEmail‌ نظرات یا و پیشنهاد دریافت برای ها درخواست شخصی، های ، Email‌ با مرتبط های

باشد می وضعیت گزارشات و تغییرات محصوالت، .تولید  

5-2-5- مکاتباتهمزمان همزمان ارتباطات سیستم قابلیتهای از استفاده با تواند می همزمان عمومی مکاتبات

فایل ‌)Microsoft‌Office‌Communicatorنظیر( در آنها کپی لزوم درصورت و انجام . یک در بایست می مالی یا و اداری های گفتگو شود نگهداری ‌Email نگهداری آدرس به و کپی

شوند ارسال مربوطه .پیشینه

77

5-3 -تلفن خطوط طریق از داخلی شبکه به دور راه از (VPN)اتصال صورت به دسترسی مجوز که کارمندانی اختیار VPNکلیه در مجوز این که هستند مسئول دارند را

. کلیه کنند پیدا دسترسی سیستم منابع کلیه به وسیله بدین میتوانند که چرا نگیرد، قرار متفرقه افرادبوسیله که های VPNافرادی دارایی از کامل طور به باید میکنند پیدا دسترسی سازمان شبکه به

. کنند محافظت سازمان اطالعاتی مدت به که کاربری های شناسه کلیه .6همچنین شوند فعال غیر سیستم در باید اند نشده استفاده هفته تصویب به و اعالم مربوطه مدیر جانب از باید نیرو اخراج یا تعدیل مانند حساس موارد خصوص در

. گردد فعال غیر سیستم از و رسیده مدیریت 5-4- ها کامپیوتر روی بر اطالعات سازی ذخیره

باید اطالعات فضاهای فقطکلیه روی روی Z و Dبر بر نباید اطالعاتی هیچ و شوند سازی ‌MyذخیرهDocument وDesktop وDrive‌C\: . بخش همچنین گردد از ITذخیره پشتیبانی مسوولیت فقط

.Zدرایو دارد عهده بر را5-5 -محرمانه اطالعات اداره و نگهداری ) یا ) کاغذی سخت از اعم فرمتی، و قالب هر در سازمان، محرمانه اطالعات اداره و نگهداری

. الکترونیکی، سازی ذخیره بسترهای سخت، های نسخه تمامی شامل که گیرد می بر در را الکترونیکی،پاره کارمندان پیمانکاران، مدیران، اعضاء، کارمندان، توسط که است افزارهایی نرم و ها سیستم

قرار استفاده مورد هستند، سازمان اطالعات به دسترسی به مجاز که کارمندانی دیگر و موقتی و وقت. . گیرد می بر در نیز را هستند سازمان شبکه از خارج که ای شده تایید کاربران همچنین گیرند می

78

خطمشی -مشخصه برچسب دارای که باشد ای شده قفل های بسته در بایست می اطالعات نقل و حمل

باشند. -کارمندان با همراه بایست می هستند، شده قفل های بسته در نقل و حمل حال در که اطالعاتی

بمانند. باقی حامل خودرو در نباید اطالعات گیرد، می صورت روز شبانه در نقل و حمل اگر باشند. شوند منتقل امنی اتاق به باید و

. شوند- بندی بسته و شوند زده برچسب ، اطالعاتی مشخصات با مطابق بایست می اطالعات -یا و گیرند قرار استفاده مورد ندارند، تعلق سازمان به که هایی سیستم طریق از نباید اطالعات

. یابد اختصاص کار این برای خاص های مجوز که این مگر شوند، ذخیره آنها روی -محرمانه و حساس اطالعات کردن فکس -نظارت تحت و مطمئن فکس های دستگاه به ارسال -افشا خطر احتمال کاهش برای نیاز مورد اطالعات کمترین از استفاده - جهت شده ریزی برنامه گیری شماره سرعت از استفاده امکان صورت در و فکس شماره تایید

اشتباه گیری شماره احتمال کاهش -افشاء با مرتبط اطالعات و فرستنده اطالعات شامل پوشاننده برگه از استفاده -ها فکس سوابق ثبت و نگهداری بوسیله کننده دریافت تایید -تمامیemail بایست نمی و شوند ارسال سازمان رسمی آدرس از بایست می سازمانی های

. شود استفاده کار این برای شخصی های آدرس از

79

خطمشی -دار قفل های میز یا کشو در بایست می استفاده، عدم هنگام در کاغذی، اطالعات تمامی

. شوند خرد بایست می نیاز عدم صورت در و شوند نگهداری -اطالعات حاوی اسناد تمامی کند، می ترک زمانی مدت برای را میزش کارمند یک وقتی

. هیچ شوند نگهداری دار قفل های کمد یا کشو نظیر امن های محل در بایست می محرمانه. شوند رها شب مدت طول در باز های محل در بایست نمی ای محرمانه اطالعاتی گونه

-فورا بایست می اطالعات محرمانگی و امنیت در نقص بروز مورد در حدس و گمان هرگونه. شود داده اطالع مربوطه مسئول به

-قوانین همان تحت نیز ایشان باشند، داشته خاطر به بایست می سازمان از خارج پیمانکاران. کنند می تبعیت آنها از سازمان درون کارمندان که هستند اطالعاتی امنیت

-این مگر باشد، کنندگان بازدید دید معرض در نباید آنها نظایر و ها فایل ها، بایگانی اطالعات،. باشند اطالعات مشاهده به مجاز اختصاصا بازدیدکنندگان که

-ای شیوه به نیستند، نیاز مورد دیگر که زمانی در بایست می فرمتی و شکل هر در اطالعات. شوند منهدم امن

-خاتمه از پس است، آمده دست به سازمان با همکاری مدت در که دانشی و اطالعات . شده، جدا افراد توسط احتمالی محرمانگی نقض شود محافظت بایست می نیز همکاری

. بینجامد قانونی اقدامات نظیر بعدی اقدامات به است ممکن و شود می پیگیری

80

5-6 -آنها از مجدد استفاده و تجهیزات انهدام

تجهیزات روی بر مانده باقی اطالعات برابر در حفاظت برای استاندارد حداقل تعیینها، دیسک فالپی ها، درایو هارد تجهیزات شامل که مجدد استفاده یا انهدام از پیش کامپیوتری

نوری، های دیسک مغناطیسی، CDنوارهای ، ZIP‌Disk. میباشد

از شده حذف اطالعات و ها فایل بازیابی برای توانند می که دارند وجود زیادی افزارهای نرمافزاری ) سخت تجهیزات . Formatروی ) احتمال کاهش برای گیرند قرار استفاده مورد شده

روی بر موجود اطالعات میبایست محرمانه، و حساس اطالعات مجوز بدون انتشار خطر . این از پس شوند حذف امن طور به اند، گرفته قرار استفاده مورد پیشتر که تجهیزاتیبرای و بود نخواهد پذیر امکان معمولی افزارهای نرم توسط اطالعات بازیابی عملیات،

. می اطالعات حذف برای همچنین شوند گرفته کار به تخصصی های تکنیک بایست می بازیابی. نباشد پذیر امکان نیز تخصصی های تکنیک توسط بازیابی که نمود استفاده روشهایی از توان

 

81

خطمشی -حاوی است ممکن که آنها با مرتبط های رسانه و کامپیوتری های سیستم اطالعات تمامی

. شوند پاک انهدام، یا و مجدد استفاده از پیش بایست می باشند، محرمانه یا حساس اطالعات -مجددا سازمان در که قطعاتی و سیستمها اطالعات سازی ذخیره های بستر تمامی اطالعات

. موارد از دربرخی شوند پاک تایید مورد افزار نرم یک با باید می گیرند، می قرار استفاده مورد. شود تهیه کامل پشتیبان نسخه یک مجدد استفاده از پیش سیستمها از باید

-،گرفته قرار مجدد استفاده مورد که تجهیزاتی و ها سیستم سازی ذخیره های بستر تمامیاز بیرون به استفاده قابل غیر وسایل عنوان به حتی یا و شوند می بخشیده یا و شده فروخته

. شوند پاک تایید مورد افزار نرم توسط است الزم شوند، می منتقل سازمان: شوند- ثبت زیر اطالعات با باید می تجهیزات انهدام یا و کردن پاک عملیات تمامی -عملیات زمان و تاریخ -مربوطه کارشناس امضاء و عنوان نام، -گرفته انجام اقدامات شرح

82

5-7( -میزپاکClean‌Desk) از پیشگیری برای و کاری های ایستگاه فیزیکی امنیت استانداردهای برقراری جهت مشی خط این

موقت کارمندان وقت، پاره کارمندان کاران، پیمان مدیران، کارمندان، تمامی کاری های ایستگاه سرقت. باشد می اند، شده شناخته سازمان اطالعاتی های سیستم به دسترسی به مجاز که را کارکنانی دیگر و

  خطمشی -واحد تاییدیه فاقد که جانبی دستگاه هیچ نباید کاری های ایستگاه باشد ITکاربران های می ایستگاه به را

. کنند متصل کاری -حساس اطالعات شدن دیده از که گیرند قرار ای گونه به بایست می کاری های ایستگاه مانیتورهای

جلو مجاز غیر افراد .توسط شود گیری( -شوند خارج ایستگاه از شخصا بایست می کاری ایستگاه ترک هنگام در ( Logoffکاربران و کنند

شوند ) قفل کاربر، فعالیت عدم صورت در خودکار صورت به بایست می ها محیط( Lockایستگاه از یا وشوند ) (.Log‌offخارج

-اقدامات از نظر صرف شوند، می رها متصدی بدون که زمانهایی در حمل، قابل کاری های ایستگاه . روش به تواند می محافظت این شوند محافظت فیزیکی صورت به بایست می ساختمان، قرار امنیتی

قفل دارای کمدهای یا ها میز در باشد دادن . وقتی- شوند رها متصدی بدون بایست نمی زمان هیچ در حمل قابل کاری های ایستگاه سفر، هنگام در

. شود جدا کارمند از بایست نمی حمل قابل تجهیزات باشند نمی امن کار محیط اصلی، کار محیط در که. گیرد قرار توجه مورد بایست می رستوران و هتل اتاق اتومبیل، فرودگاه، در بخصوص موضوع این

- 0 سریعا باید و آورند می وجود به را امنیتی رخنه یک شده، مفقود یا و رفته سرقت به کاری های ایستگاهواحد .ITبه شوند گزارش

83

5-8 -عبور رمز هر برای کاربران ی شده ذخیره اطالعات از نگهداری جهت بیشتر امنیت برقراری منظور به

اطالع یکدیگر عبور های رمز از نباید مختلف افراد و شود می گرفته نظر در عبور رمز کاربر. باشند داشته

   خطمشی -هر 0 حدودا باید هرکاربر عبور .6رمز کند تغییر یکبار هفته -تغییر را خود عبور رمز ممکن زمان ترین سریع در باید کاربر عبور، رمز شدن فاش هنگام در

دهد.. ندارند- را دیگران به خود عبور رمز و کاربری نام واگذاری ی اجازه کاربران -از حداقل باید کاربران عبور .4رمز باشد شده تشکیل حرف. باشد- % $ # ... داشته وجود و و ، کاراکترهای از یکی حداقل باید عبور رمز در . مانند- شود استفاده هم سر پشت حروف از نباید عبور رمز mnopدر. باشد- داشته وجود فرد خانوادگی نام یا نام از ای نشانه نباید عبور رمز در -قابل واحد مدیر کتبی مجوز با فقط عبور رمز بازگرداندن عبور، رمز کردن فراموش هنگام در

. میباشد انجام

84

5-9 -پشتیبان نسخه سازمان اطالعات جامعیت و پشتیبان نسخ صحت از اطمینان برای استاندارد کارهای راه تعیین منظور به

. میگیرد دربر را سازمان پشتیبان نسخ تمامی که باشد می

خطمشی. شوند- تهیه اطالعات از مرتب طور به و روزانه زمانی فواصل در باید پشتیبان های نسخه -روی بر باید پشتیبان نسخ نگهداری و Tapeکلیه مناسب امنیتی تدابیر با مکان یک در و محل از خارج در

شوند. -اطمینان آن اطالعات صحت از و گیرد صورت اصلی نسخه با تطابق باید پشتیبان نسخ تهیه هنگام در

. شود حاصل. باشد- شده مشخص ابتدا از باید پشتیبان نسخ نگهداری زمان مدت. شوند- نابود باید گذشته، تاریخ های رسانه -اطمینان آن از تا گیرد قرار آزمایش مورد باید پشتیبان نسخ بازیابی قابلیت مشخص، زمانی های بازه در

. شود حاصل: باشد- زیر اطالعات حاوی باید پشتیبان نسخ1. است- شده تهیه پشتیبان نسخه آن از که سیستمی نام2 -پشتیبان نسخه تهیه تاریخ3. است- شده تهیه پشتیبان نسخه آنها از که اطالعاتی اهمیت میزان4. است- کرده تهیه را پشتیبان نسخه که فردی نام5 -پشتیبان نسخه مصرف تاریخ85

5-10 -کاربران دسترسی مدیریت و ایجاد کاربران دسترسی حذف و مدیریت نظارت، ایجاد، جهت استاندارد کارهای راه تعیین منظور به

. گیرد می بر در را سازمان کاربران کلیه که باشد می 

خطمشی. شوند- ایجاد شده تایید و مستند درخواست یک از پس باید ها دسترسی کلیه -کرده امضاء را سازمان اطالعات امنیت قوانین تاییدیه بایست می سازمان کاربران کلیه

باشند.. شوند- ایجاد فرد به منحصر صورت به بایست می سیستم در کاربری اسامی کلیه -سازمان عبور رمز مشی خط با مطابق بایست می کاربران، برای شده ایجاد های رمز کلیه

باشند. -زمان سازمان، عبور رمز مشی خط با مطابق باید می سیستم، در شده ایجاد کاربران کلیه

. باشند داشته عبور رمز انقضای -از بیش که .30کاربرانی شوند فعال غیر بایست می ننموده، استفاده خود کاربری کد از روز -مورد مشخص زمانی های دوره در و شود مستند بایست می کاربران تغییر و ایجاد مراحل

. گیرند قرار بازبینی

86

5-11 -ویروسها برابر در حفاظت می تراوا های اسب و ها کرم ها، ویروس با مقابله و شناسایی همچنین و ورود از جلوگیری منظور به

. گیرد می بر در را کنند می استفاده سازمان اطالعاتی منابع از که را افرادی کلیه و باشد

  خطمشی -همینطور شوند، می مدیریت سازمان توسط یا و دارند تعلق سازمان به که کامپیوترهایی کلیه

Laptop می قرار استفاده مورد مستقل صورت به یا و شوند می متصل سازمان شبکه به که هاییسازمان اطالعات فناوری واحد تایید مورد تنظیمات و ویروس آنتی افزار نرم از بایست می گیرند،

. کنند استفاده -هرگونه از پیش باشند، نمی سازمان مدیریت تحت یا و ندارند تعلق سازمان به که کامپیوترهایی تمامی

تایید مورد تنظیمات و ویروس ضد افزار نرم از بایست می سازمان، اطالعاتی منابع به اتصال و ارتباط. کنند استفاده سازمان اطالعات فناوری مدیریت

-فعال غیر نباید ویروس ضد افزار .(Disable)نرم شود . دهد- کاهش را آن تاثیرگذاری قابلیت که کند تغییر ای گونه به نباید ویروس ضد افزار نرم تنظیمات -روز به زمانی های بازه که کند تغییر ای گونه به نباید ویروس ضد افزار نرم رسانی روز به تنظیمات

. دهد کاهش را آن رسانی -تایید مورد ویروس ضد افزار نرم از باید است، متصل سازمان شبکه به که ای دهنده سرویس هر

. کند استفاده سازمان -و کنند استفاده سازمان تایید مورد ویروس ضد افزار نرم از باید الکترونیکی پست های گذرگاه تمامی

. شوند کنترل افزار نرم این توسط باید می خروجی و ورودی های نامه تمامی -واحد به ممکن زمان اولین در باید نشود، پاک افزار نرم توسط خودکار صورت به که ویروسی هر

. شود داده گزارش اطالعات فناوری پشتیبانی 87

5-12 -اطالعاتی تاسیسات به دسترسی خطمشیمحدوده سازمان به متعلق که ارتباطی تجهیزات و ها کامپیوتر تمامی به فیزیکی دسترسی مشی، خط این

. بر در مشی خط این گیرد می بر در را گیرند می قرار استفاده مورد سازمان توسط یا و استو کارآموزان موقت، کارمندان وقت، پاره کارمندان کاران، پیمان مدیران، کارمندان، تمامی گیرنده

می اند، شده شناخته سازمان اطالعاتی های سیستم به دسترسی به مجاز که را کارکنانی دیگرباشد.

خطمشی ( اطالعاتی های سیستم آنها در که هایی محدوده شده کنترل های محدوده به فیزیکی دسترسی

) ثبت و شده مدیریت بایست می سرورها اتاق نظیر شوند، می نگهداری حساس اطالعات یاشوند.

تناسب به و شوند زده برچسب و گذاری نشانه بایست می شده کنترل های محدوده تمامی. گیرند قرار فیزیکی حفاظت مورد عملکردشان اهمیت و حساسیت

) قوانین ) به محدود نه و با مطابق بایست می فیزیکی امنیت تجهیزات و ها سیستم تمامی) ( . نشانی آتش کدهای و ها ساختمان گذاری شماره نظیر باشند مربوطه

مجاز پیمانکارانی و کارمندان برای صرفا بایست می شده کنترل های محدوده به دسترسی. است نظر مورد محدوده به دسترسی نیازمند شان کاری مسئولیت که شود شناخته

. پذیرد صورت دسترسی برقراری اجرایی روش طبق بایست می دسترسی برای درخواست

88

مواقع در و شود آماده بایست می شده کنترل های محدوده برای احتمالی دسترسی اجرایی روش. گیرد قرار استفاده مورد دسترسی خودکار کنترل سیستم افتادن کار از

/ به یا و گیرند قرار استفاده مورد اشتراکی صورت به بایست نمی ها کلید یا و دسترسی های کارت. شوند داده قرض دیگران

/ کنترل محدوده مسئول به بایست می نیستند، نیاز مورد دیگر که کلیدهایی یا و دسترسی های کارت . داده اختصاص دیگر افراد به بازگرداندن، مراحل طی بدون نباید کارتها شوند داده بازپس شده

شوند.. شوند گزارش شده کنترل محدوده مسوول به بایست می شده سرقت یا شده گم های کارت بازدیدکنندگان مشی خط مطابق بایست می شده کنترل های محدوده به بازدیدکنندگان دسترسی

باشد. اساس بر ای دوره بازنگری برای بایست می بازدیدها و ها دسترسی به مربوط اطالعات های رکورد

. شوند نگهداری شده، حفاظت اطالعاتی های سیستم و اطالعات حساسیت خط اساس بر را افراد کلید یا کارت دسترسی مجوزهای بایست می شده کنترل محدوده مسوول

. کند حذف دسترسی لغو مشی اطالعاتی های رکورد بازبینی به زمانی، های دوره در بایست می شده کنترل محدوده مسوول

. زمانی دوره کند شناسایی را غیرعادی های دسترسی و بپردازد بازدیدها و ها دسترسی به مربوطشده حفاظت اطالعاتی های سیستم و اطالعات حساسیت میزان براساس بایست می بازبینی

. شود تعیین / یا و کارت دسترسی حقوق بازنگری به زمانی های دوره در بایست می شده کنترل محدوده مسئول

. کند قطع را ندارند نیاز آن به دیگر که را افرادی دسترسی و بپردازد کلیدها

89

5-13 -اطالعات امنیت حوادث مدیریت خطمشی . باشد می اطالعات امنیت حوادث با مقابله برای نیازمندیها تعیین مشی، خط این از هدف

) استفاده ) تراوا، های اسب ها، کرم ها، ویروس حمالت به محدود نه و شامل امنیتی حوادثنادرست استفاده همچنین و اطالعات پردازش و نگهداری تجهیزات و ها دسترسی از مجاز غیر

پردازش و نگهداری تجهیزات از قبول قابل استفاده مشی خط در که صورتی به آنها از. باشد می است، شده ذکر اطالعات

خطمشی حوادث با مقابله تیم راهبری و مدیریت سازمان، اطالعات فناوری واحد مقام باالترین

. دارد برعهده را ای شده تعیین پیش از های مسئولیت و وظایف دارای حوادث با مقابله تیم اعضاء

. دارد برتری آنها عادی وظایف بر که هستند بازه در و کنند می فراهم را حوادث با مقابله اجرایی های روش ، حوادث با مقابله تیم

. دهند می قرار بازنگری و آزمایش مورد زمانی های ،کرم ویروس، قبیل از امنیتی حادثه یک که هنگامی شناسایی emailدر دروغین،

اجرایی . . . روش شد، تایید و شناسایی و شده کاری دست اطالعات نفوذ، ابزارهای. شود اجرا بایست می مربوطه امنیتی حوادث با مقابله

90

: برساند زیر افراد اطالع به را حوادث بایست می اطالعات فناوری مدیریت عامل مدیریت. اند گرفته قرار تاثیر تحت که شریکانی و مشتریان. شود داده اطالع آنها به بایست می قانون طبق که مراجعی تمامی

. باشد ارتباط در سازمانها دیگر با مختلف حوادث زمینه در باید اطالعات فناوری مدیریت ) می ) شوند، می احتمالی امنیتی حوادث به محدود نه و شامل که مشکوک های فعالیت تمامی

. شوند داده گزارش سازمان اطالعات فناوری مدیریت به بایست

6 -مستنداتمرتبطندارد

91

بگيريد امنيتى مشاور

جديد ابزارهاى آمدن بوجود همچنين و كامپيوترى علوم پيشرفت و Crackو Hackباامنيتى روالهاى و مختلف افزارهاى نرم طراحى در ناخواسته مشكل صدها وجود همچنين

. ترين قوى حتى دارد وجود غيرمجاز افراد دسترسى و حمله خطر هميشه ، ها سازمان . چون آيا ولى دارند قرار سودجو و غيرمجاز افراد خطر معرض در دنيا در موجود سايتهاى

امنيت توان بى% 100نمى امنيتى مختلف سياستهاى ايجاد و امنيتى نكات به بايد داشتبود؟ توجه

و معاون و مشاور جين دو يک خود براى خصوصى و دولتى ادارات و سازمانها مديرانپيمانکار و امنيتى مشاور يک آنها ميان چرا اما ميکنند جمع خود دور و ميتراشتند پيمانکار ! بايد اول که باشد دليل اين به شايد ؟ نيست اطالعات امنيت استانداردهاى سازى پياده

! " " " توجه" نکته اين به ايرانى مديران اگر اما باشيم اش درمان فکر به بعد و شود نازل بال " به " شوند حاضر شايد دارد قرار خاورميانه اى رايانه جرايم جدول صدر در ايران که کنندمديريت مبانى سازى پياده حتى و اطالعات امنيت با مرتبط مسائل به توجه زحمت خود

. بدهند را اطالعات امنيت

92

امنيت مديريت سيستم يک به نياز سازمان يک امنيتى و اطالعاتى اجزاى مديريت و سازماندهىتحت را اطالعاتى واحدهاى و دستورالعملها ها، رويه اجرايى، عوامل کليه که داشت خواهد اطالعات

. مى‌کند راتامين مجموعه کل امنيت مستمر، بهبود و نظارت امكان برقرارى با و مى‌دهد قرار پوششانجام براى ارتباطات و اطالعات فناورى بر مبتنى هاى حل راه از که شرکتى يا سازمان يک امروزه

نرم و شبکه و افزار سخت کار پيمان و مشاور يک که همانطور بايد ميکند استفاده خود خدمات و امورو خود مجموعه امنيتى ضريب مداوم ارزيابى براى اختصاصى پيمانکارى حتى و مشاور دارد افزار

داشته احتمالى زيان و ضرور از جلوگيرى براى امنيتى مشاور سوى از پيشنهادى هاى حل راه اعمالباشد.

امنيت مديريت سيستم‌هاى اجراى و طراحى تحليل، با مرتبط خدمات بايد امنيتى پيمانکار و مشاور يک : دهد ارائه زير شرح به را اطالعات

امنيتى استراتژى‌هاى و سياستها تهيه زمينه در مشاوره ارائهامنيت استانداردهاى با مطابق امنيتى دستورالعملهاى و ها رويه مستند‌سازى و طراحى

( BS7799/ISO17799اطالعات)اطالعات امنيت گواهى‌نامه دريافت جهت فنى خدمات و مشاوره BS7799ارائه

اطالعات امنيت سيستم‌هاى پيرامون پرسنل و مديران براى امنيتى آموزش خدمات ارائهشبکه‌هاى اطالعاتى، سيستم‌هاى براى مرتبط تهديدات و امنيتى ضعف‌هاى مستند‌سازى و شناسائى

سازمانى روالهاى و رايانه‌اىکامپيوترى شبکه‌هاى و اطالعاتى سيستم‌هاى براى کنترلى و حفاظتى راهکارهاى پياده‌سازى و طراحى

: اطالعات مديريت سيستم اجزاى بر نظارت جهت نرم‌افزارى و سخت‌افزارى خدمات ارائهامنيتى آسيب‌پذيرى‌هاى بررسى خدمات

امنيتى آسيب‌پذيرى‌هاى مديريت راهکارهاى

93

IT : ف هم دوروست سکه هم رصتيک و به ! تهديداست که نسبتى همان به اگر " به " ميتواند نکنيم توجه آن امنيت به ميکنيم تکيه و توجه اش گيرى همه و توسعه

. در را مصائب اين شود بزرگ مصيبت و تهديد يک به تبديل ثانيه از کسرى در و سادگى : کنيد مجسم خود ذهن

, شده- دزديده کارتها عبور کلمات بانکى اطالعات کليه و شده هک کشور بانکى شبکه... شده جابجا کالنى مبالغ و

... شده- فلج نفوذگران توسط کشور برق شبکه مديريت سيستمسازمان- اطالعاتى بانک به هکرها نفوذ بواسطه شخصيتان سوابق و اطالعات تمام

... شده سرقت احوال ثبت ... المللى- بين و شهرى داخلى،بين تلفنى تماس هيچ شده فلج کشور مخابراتى شبکه

... نيست ممکن... ديگر- وحشتناک سناريوى دهها و

رسيديد : من باور به حاال کنم و ITفکر رفاه باعث که سرعتى همان به ميتواندرا کشورى و شود چنينى اين مصائبى خلق باعث ميتواند ميشود ها توانايى باالرفتن

کند ! فلج

94

95

پایان