بررسی استانداردهای زیرساختهای امنیتی
بررسی استانداردهای زیرساختهای امنیتی
هنگامی که درباره خطمشیهای حاکم بر زیرساختهای امنیتی صحبت میکنیم، هدفمان معرفی ابزارها و فناوریها نیست، بلکه به مفهوم جامعتر و استانداردی میپردازیم که تمامی مکانیزمها و راهکارهای امنیتی را شامل میشود. یکی از قدرتمندترین استانداردها در این زمینه سیستم مدیریت امنیت اطلاعات ISMS مخفف Information Security Management system است.
سیستم مدیریت امنیت اطلاعات، مجموعهای از خطمشیها، اهداف، برنامههای راهبردی، مستندات، ارزیابی ریسکها، دستورالعملهای سیستمی و… است که همسو با اهداف یک سازمان و به منظور تداوم امنیت اطلاعات یک سازمان استفاده میشود. برای آنکه بتوانید از سامانه فوق در قالب خطمشیهای زیرساخت امنیتی استفاده کنید باید با مراحل پیادهسازی آن آشنا باشید. این سامانه بر مبنای راهکارهای زیر پیادهسازی میشود:
مرحله اول: آموزش ISMS
مهمترین عاملی که باعث موفقیت امنیت اطلاعات میشود، آموزش و آگاهیرسانی مناسب با هدف آشنایی کارمندان با وظایف، مسئولیتها، مخاطرات و نحوه مقابله با تهدیدات در چارچوب برنامه امنیت اطلاعات سازمان است. در این مرحله هدف آموزش و بهبود سطح دانش و مهارت کارکنان پیرامون مبحث ISMS است. آموزش کارمندان و آشنایی آنها با مفاهیم مهم باعث میشود تا تیم امنیت شبکه بتوانند فعالیتهای مرتبط با مدیریت سامانهها و تامین امنیت شبکه را به شکل درستی انجام دهند.
مرحله دوم: شناسایی وضعیت فعلی و کاهش نقاط ریسکپذیر
بررسی و بازبینی مستندات سازمانی، اطلاعات مهمی در مورد معماری سازمان در اختیار کارشناسان قرار میدهد. علاوه بر این، از طریق چکلیستها، اطلاعات کلی در مورد وضعیت فناوری اطلاعات سازمان و شرایط فعلی شبکه به دست میآید. بهطور کلی در این مرحله وضعیت موجود سازمان در حوزه فناوری اطلاعات و فعالیتهای مرتبط بررسی میشود. ارزیابی اولیه در مورد امنیت شبکه و اطلاعات سازمان در سطوح شبکه، سیستم، برنامههای کاربردی، بستر ارتباطی، سطح ارتباطات و رمز نگاری انجام میشود.
مرحله سوم: طراحی و انطباق ISMS در تعامل با عملکرد سامانهها
در این مرحله داراییهای سازمانی شناسایی و ارزشگذاری میشوند. در ادامه فرایندهایی که به تقویت امنیت این داراییهای کمک میکنند انتخاب میشوند تا رخنهها کمتر شوند.
مرحله چهارم: پیادهسازی و اجرای ISMS
بر مبنای اطلاعات اولیهای که از زیرساخت شبکه بهدست آمده و نقاط ضعف طرح برطرف شده، در این مرحله دستورالعملها، رویهها و پروژههای امنسازی بر اساس اولویت پیادهسازی میشوند. در این مرحله ممکن است نیاز به خرید تجهیزات سختافزاری و نرمافزاری، سیستمهای پایش، پیکربندی تجهیزات و غیره وجود داشته باشد.
مرحله پنجم: ممیزی، پایش و بهبود عملکرد ISMS
پس از پیادهسازی سامانه، آخرین مرحله ارزیابی نهایی است. در این مرحله با توجه به چکلیستها و مستندات مربوط به ممیزی استاندارد و توانمندیهای تیم امنیت سازمان، فعالیتهای انجام گرفته بازبینی و بررسی میشوند تا اگر مشکلی وجود دارد برطرف شده و زیرساخت در امنیت کامل خدمترسانی کند. بعد از بازبینی و برطرف کردن مشکلات، سازمان آماده دریافت گواهینامه بینالمللی استاندارد ISO 27001 میشود.
مرحله ششم: ممیزی توسط شرکتهای صادرکننده گواهینامه
پس از آنکه ممیزی داخلی بهشکل درستی انجام شد و نقطه ضعفها و مشکلات شناسایی و برطرف شدند، سازمان میتواند گواهینامه بینالمللی استاندارد ISO 27001 را دریافت کند. در این مرحله مدیران سازمان میتوانند از یک مرکز برای صدور گواهینامه دعوت کنند تا زیرساخت را محک بزنند و در صورت تایید گواهینامه فوق را در اختیار آنها قرار دهد.
استاندارد ISO 27001 تنها استاندارد بینالمللی قابل ممیزی است که الزامات موردنیاز سیستم مدیریت اطلاعات را مشخص میکند. این استاندارد نشان میدهد که اطلاعات به بهترین شکل توسط سازمان محافظت میشوند و مشتریان میتوانند با اعتماد کامل از خدمات سازمان استفاده کنند.