سیستم مدیریت امنیت اطلاعات یا information security management system سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی اطلاعات را تضمین می نماید. مدل pdca ساختاری است که در پیاده سازی isms بکار برده می شود و isms زیربنای bs7799 می باشد. برای داشتن سازمانی با برنامه و ایده آل، هدفمند کردن این تلاش ها برای رسیدن به حداکثر ایمنی امری است که باید مدنظر قرار گیرد.استاندارد bs7799 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاستهای متناسب با سازمان و همچنین پیاده سازی 127 کنترل مختلف، اطلاعات سازمان را ایمن می سازد. این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرور ها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت.
آیا امنیت 100% امکانپذیر است؟
با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید hack و crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
فوائد استاندارد bs7799 و لزوم پیاده سازی اطمینان از تداوم تجارت وکاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدهااطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده هاقابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ایجاد اطمینان نزد مشتریان و شرکای تجاری امکان رقابت بهتر با سایر شرکت ها
ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
مراحل ایجاد سیستم مدیریت امنیت اطلاعات (isms)
ایجاد و تعریف سیاست ها: در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد. روالها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می شود. مدیران کلیدی و کارشناسان برنامه ریز نقش کلیدی در گردآوری این سند خواهند داشت.
تعیین محدوده عملیاتی: یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه های کاری باشد لذا شروع پیاده سازی سیستم امنیت اطلاعات کاری بس دشوار است. برای جلوگیری از پیچیدگی پیاده سازی، تعریف محدوده و scope صورت می پذیرد. scope می تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیین scope و الویت برای پیاده سازی استاندارد امنیت اطلاعات در scope خواهد بود. پس از پیاده سازی و اجرای کنترل های bs7799 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده سازی آن در سایر قسمت ها می رسد که مرحله به مرحله اجرا خواهند شد.برآورد دارایی ها و طبقه بندی آنها: برای اینکه بتوان کنترل های مناسب را برای قسمت های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی ها می باشیم. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی های سازمان تهیه شده و باتوجه به درجه اهمیت آن طبقه بندی خواهند شد.
ارزیابی خطرات: با داشتن لیست دارایی ها و اهمیت آن ها برای سازمان، نسبت به پیش بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.
مدیریت خطرات: مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتی شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آنها می نماید.
انتخاب کنترل مناسب: استاندارد bs7799 دارای 10 گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت یا سازمان شما پتانسیل پیاده سازی کنترل های مذکور را خواهد داشت.
تعیین قابلیت اجرا:
جمع آوری لیست دارایی ها، تعیین تهدیدها، نقاط ضعف امنیتی و در نهایت ایجاد جدول کنترل ها مارا در به دست آوردن جدولی موسوم به soa یا statement of applicability یاری می رساند. این جدول لیستی نهایی از کلیه کنترل های مورد نیاز برای پیاده سازی را ارائه می دهد. با مطالعه این جدول و مشخص کردن کنترل های قابل اجرا و اعمال آنها،سازمان یا شرکت خودرا برای اخذ استاندارد bs7799 آماده خواهیدساخت.
نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استاندارد bs iso/iec 17799:2000 انتخابی درست برای رسیدن به این منظور می باشد.
آیا زمان استفاده از سرورهای خانگی فرا نرسیده است؟
... اول؛ اشتراک و امنیت داده ها چنانچه دل و روده اطلاعات ذخیره شده روی کامپیوترهای متعلق به یک خانواده را بیرون بریزید، می توان پیش بینی کرد که حدود ده بیست درصد اطلاعات مشترک وجود داشته باشد ... به بیان دیگر، حجم قابل توجهی از اطلاعات روی هارددیسک تمامی دستگاه ها وجود دارند که به سهولت می توان آن ها را در یک دستگاه مخصوص مجتمع کرد! دیگر اینکه، اطلاعاتی وجود دارند که برای صاحبشان حیاتی قلمداد می شوند و لازم است مورد حفاظت ویژه قرار بگیرند ... ایجاد مرکزی قابل اعتماد که در دوره های زمانی خاص اقدام به تهیه فایل های پشتیبان از اطلاعات می کند امری بدیهی فرض می شود ... این را نیز فراموش نکنید که اطلاعات قابل ملاحظه ای از طریق قطعات حافظه فلش، دیسک های نوری و پست الکترونیک بین اعضا خانواده مبادله می شود که به سهولت می توان آن ها را از طریق همان دستگاه مرکزی انجام داد ... از این دست مسائل بسیار است! چهارم؛ در دسترس بودن! چنانچه دستگاه شما برای مدتی دچار عیب و ایراد شود، دسترسی به اطلاعات در آن برهه از زمان امکان پذیر نخواهد بود، اما استفاده از دستگاه های مرکزی که چیزی شبیه به سرور است، خیال شما را از بابت دسترسی به اطلاعات در هر زمان آسوده خواهد کرد ... حتی می توان با اتخاذ تمهیداتی -که در سیستم عامل های درست و درمونی مانند linux وwindows server پیش بینی شده است- امکان دسترسی و استفاده از اطلاعات سرور خانگی را در کمال امنیت از طریق اینترنت مهیا کرد که به تصورم تحولی بزرگ در زندگی محسوب می شود ...
تقسیم بندی شبکه بر اساس توپولوژی
... در این نوع از شبکه ها هیچ کامپیوتری در شبکه به طور اختصاصی وظیفه ارائه خدمات همانند سرور را ندارد ... در این شبکه ها براساس آن که کدام کامپیوتر دارای اطلاعات مورد نیاز دیگر کامپیوتر هاست، همان دستگاه نقش سرور را برعهده می گیرد ... و براساس تغییر این وضعیت در هر لحظه هر یک از کامپیوتر ها می توانند سرور باشند ... به دلیل کارکرد دوگانه هر یک از کامپیوتر ها به عنوان سرور و سرویس گیرنده، هر کامپیوتر در شبکه لازم است تا بر نوع کارکرد خود تصمیم گیری نماید ... این فرآیند تصمیم گیری، مدیریت ایستگاه کاری یا سرور نام دارد ... در نوع دوم شبکه های کامپیوتری یعنی شبکه های مبتنی بر سرور، به تعداد محدودی از کامپیوتر ها وظیفه عمل به عنوان سرور داده می شود ... در سازمان هایی که دارای بیش از 10 کاربر در شبکه خود هستند، استفاده از شبکه های peer to peer نامناسب بوده و شبکه های مبتنی بر سرور ترجیح داده می شوند ... در این شبکه ها از سرور اختصاصی برای پردازش حجم زیادی از درخواست های کامپیوترهای سرویس گیرنده استفاده می شود و آنها مسئول حفظ امنیت اطلاعات خواهند بود ... در شبکه های مبتنی بر سرور، مدیر شبکه، مسئول مدیریت امنیت اطلاعات شبکه است و بر تعیین سطوح دسترسی به منابع شبکه مدیریت می کند ... بدلیل اینکه اطلاعات در چنین شبکه هایی فقط روی کامپیوتر یا کامپیوتر های سرور متمرکز می باشند، تهیه نسخه های پشتیبان از آنها ساده تر بوده و تعیین برنامه زمانبندی مناسب برای ذخیره سازی و تهیه نسخه های پشتیبان از اطلاعات به سهولت انجام می پذیرد ...
تقسیم بندی بر اساس توپولوژی
... در این نوع از شبکه ها هیچ کامپیوتری در شبکه به طور اختصاصی وظیفه ارائه خدمات همانند سرور را ندارد ... در این شبکه ها براساس آن که کدام کامپیوتر دارای اطلاعات مورد نیاز دیگر کامپیوتر هاست، همان دستگاه نقش سرور را برعهده می گیرد ... براساس تغییر این وضعیت در هر لحظه هر یک از کامپیوتر ها می توانند سرور و بقیه سرویس گیرنده باشند ... به دلیل کارکرد دوگانه هر یک از کامپیوتر ها به عنوان سرور و سرویس گیرنده، هر کامپیوتر در شبکه لازم است تا بر نوع کارکرد خود تصمیم گیری نماید ... این فرآیند تصمیم گیری، مدیریت ایستگاه کاری یا سرور نام دارد ... در نوع دوم شبکه های کامپیوتری یعنی شبکه های مبتنی بر سرور، به تعداد محدودی از کامپیوتر ها وظیفه عمل به عنوان سرور داده می شود ... در سازمان هایی که دارای بیش از 10 کاربر در شبکه خود هستند، استفاده از شبکه های peer to peer نامناسب بوده و شبکه های مبتنی بر سرور ترجیح داده می شوند ... در این شبکه ها از سرور اختصاصی برای پردازش حجم زیادی از درخواست های کامپیوترهای سرویس گیرنده استفاده می شود و آنها مسئول حفظ امنیت اطلاعات خواهند بود ... در شبکه های مبتنی بر سرور، مدیر شبکه، مسئول مدیریت امنیت اطلاعات شبکه است و بر تعیین سطوح دسترسی به منابع شبکه مدیریت می کند ... به دلیل اینکه اطلاعات در چنین شبکه هایی فقط روی کامپیوتر یا کامپیوتر های سرور متمرکز می باشند، تهیه نسخه های پشتیبان از آنها ساده تر بوده و تعیین برنامه زمانبندی مناسب برای ذخیره سازی و تهیه نسخه های پشتیبان از اطلاعات به سهولت انجام می پذیرد ...
اختلال در سرویس میهن بلاگ
... به گزارش فاوانیوز، مدیران این سایت ضمن عذرخواهی از کاربرانی که وبلاگ آنها بخاطر مشکلات چند وقت اخیر دچار اشکال شده بود، در گزارشی خطاب به کابران خود گفته است: دقیقا یک روز قبل از ارسال مطلب قبلی در رابطه مشکل سخت افزاری سرور متوجه شدیم که یکی از سرورهای میهن بلاگ دچار مشکل شده و قابل دسترس نیست ... از قرار معلوم طبق صحبت های مسوولان فنی دیتا سنتر، سیستم عامل سرور به علت اشکال در هارد دیسک دچار مشکل جدی شده بود و طبق گفته آنها می بایست ویندوز مجددا نصب می گردید ... نصب سیستم عامل، تعویض قطعات معیوب سرور و راه اندازی مجدد سرور در حدود دو روز طول کشید که پس از آن نیز متوجه شدیم که تمامی اطلاعات موجود بر روی درایوهای آن ناپدید شده است که مشخص شد که raid سرور دچار آسیب جدی شده و دو هارد از سه هاردیسک آن سوخته است ... همچنین فایل های پشتیبانی هم که از این سرورهای میهن بلاگ وجود داشته است، به علت جابجایی سرور پشتیبان چند وقت پیش از این مشکل از بین رفته بودند و از آنجا که حجم اطلاعات سرورها بسیار زیاد است، پشتیبان گیری از آنها در فواصل کوتاه زمانی امکان پذیر نیست ... این گزارش افزوده است: واقعا باید این سوال را از مسوولین پرسید با اینکه از چند سال پیش طرح گسترش محتوای فارسی در اینترنت توسط دولت مطرح شده است اما تاکنون چرا میهن بلاگ و یا سرویس های مشابهی که بیشترین سهم را در گسترش محتوای فارسی برعهده داشته اند از اعتبارات این طرح محروم مانده اند؟آیا حداقل حق ما به عنوان یکی از تولیدکنندگان بزرگ محتوای فارسی داشتن چند سرور اختصاصی در کشور خودمان نیست؟مطمئنا این قبیل مشکلات نه تنها اعتبار میهن بلاگ و یا سرویس های فارسی زبانی که دچار چنین اشکالاتی شده یا خواهند شد را خدشه دار خواهد کرد بلکه باعث خواهد شد که کاربران اعتماد خود را به مرور زمان نسبت به سرویس های ایرانی از دست داده و به سمت سیستم های مشابه خارجی جذب شوند تا بتوانند در امنیت خاطر مطالب خود را منتشر کنند همانگونه که این روزها همگی شاهد هستیم که سرویس هایی مثل wordpress توانسته اند بخش عظیمی از کاربران ایرانی را به سمت خود جلب کنند ...
سایت میهن بلاگ مختل شد
... به گزارش فاوانیوز، مدیران این سایت ضمن عذرخواهی از کاربرانی که وبلاگ آنها بخاطر مشکلات چند وقت اخیر دچار اشکال شده بود، در گزارشی خطاب به کابران خود گفته است: دقیقا یک روز قبل از ارسال مطلب قبلی در رابطه مشکل سخت افزاری سرور متوجه شدیم که یکی از سرورهای میهن بلاگ دچار مشکل شده و قابل دسترس نیست ... از قرار معلوم طبق صحبت های مسوولان فنی دیتا سنتر، سیستم عامل سرور به علت اشکال در هارد دیسک دچار مشکل جدی شده بود و طبق گفته آنها می بایست ویندوز مجددا نصب می گردید ... نصب سیستم عامل، تعویض قطعات معیوب سرور و راه اندازی مجدد سرور در حدود دو روز طول کشید که پس از آن نیز متوجه شدیم که تمامی اطلاعات موجود بر روی درایوهای آن ناپدید شده است که مشخص شد که raid سرور دچار آسیب جدی شده و دو هارد از سه هاردیسک آن سوخته است ... همچنین فایل های پشتیبانی هم که از این سرورهای میهن بلاگ وجود داشته است، به علت جابجایی سرور پشتیبان چند وقت پیش از این مشکل از بین رفته بودند و از آنجا که حجم اطلاعات سرورها بسیار زیاد است، پشتیبان گیری از آنها در فواصل کوتاه زمانی امکان پذیر نیست ... این گزارش افزوده است: واقعا باید این سوال را از مسوولین پرسید با اینکه از چند سال پیش طرح گسترش محتوای فارسی در اینترنت توسط دولت مطرح شده است اما تاکنون چرا میهن بلاگ و یا سرویس های مشابهی که بیشترین سهم را در گسترش محتوای فارسی برعهده داشته اند از اعتبارات این طرح محروم مانده اند؟آیا حداقل حق ما به عنوان یکی از تولیدکنندگان بزرگ محتوای فارسی داشتن چند سرور اختصاصی در کشور خودمان نیست؟مطمئنا این قبیل مشکلات نه تنها اعتبار میهن بلاگ و یا سرویس های فارسی زبانی که دچار چنین اشکالاتی شده یا خواهند شد را خدشه دار خواهد کرد بلکه باعث خواهد شد که کاربران اعتماد خود را به مرور زمان نسبت به سرویس های ایرانی از دست داده و به سمت سیستم های مشابه خارجی جذب شوند تا بتوانند در امنیت خاطر مطالب خود را منتشر کنند همانگونه که این روزها همگی شاهد هستیم که سرویس هایی مثل wordpress توانسته اند بخش عظیمی از کاربران ایرانی را به سمت خود جلب کنند ...
سلجوقی: سرمایه گذاری برروی دیتاسنتر دولتی موثرترین کار است
... معاون فنی پیشین دبیرخانه ی شورای عالی اطلاع رسانی معتقد است که بهترین مکان برای ایجاد دیتاسنتر دولتی، با ظرفیت امنیتی فیزیکی بالا، تهران و اصفهان است تا پس از ایجاد آن ها، سایر سرورهای خصوصی به آن ها وصل شوند و ذخیره سازی اصلی اطلاعات در آن مکان ها صورت بگیرد ... خسرو سلجوقی در گفتگو با سلجوقی، درباره ی ایجاد دیتاسنتر در داخل کشور، با بیان این که هاستینگ محلی برای ذخیره ی اطلاعات است، اظهار کرد: به نظر من اگر برروی دو دیتاسنتر دولتی که همه ی اطلاعات در آن ذخیره شود، برنامه ریزی و سرمایه گذاری کنیم، بهترین و موثرترین کار است زیرا هزینه ی ایجاد دیتاسنتر بسیار بالا است و برای بخش خصوصی به صرفه نیست و از طرفی از نظر امنیت فیزیکی، اطلاعاتی و نرم افزاری نیز برای آن بخش مفید نخواهد بود ... وی گفت: با اتصال سرورهای خصوصی به دیتاسنتر دولتی، بخش های خصوصی، هزینه ی مورد نیاز ذخیره سازی و ساختمان را پرداخت نمی کنند زیرا برای این کار و برای محلی جهت ذخیره سازی اطلاعات بودجه ی زیادی مورد نیاز است ... او با بیان این که هاستینگ جایی است که اطلاعات سرور برروی آن قرار دارد و در آن جا ذخیره می شود، گفت: این موضوع که سازمان های دولتی خود به ایجاد دیتاسنترهای داخلی بپردازند، تصوری اشتباه است زیرا این موضوع از نظر امنیتی به صلاح نیست و هر وزارتخانه ای نمی تواند در این زمینه اقدام کند ...
بهترین کار، سرمایه گذاری روی دیتاسنتر دولتی است
... معاون فنی پیشین دبیرخانه ی شورای عالی اطلاع رسانی معتقد است که بهترین مکان برای ایجاد دیتاسنتر دولتی، با ظرفیت امنیتی فیزیکی بالا، تهران و اصفهان است تا پس از ایجاد آن ها، سایر سرورهای خصوصی به آن ها وصل شوند و ذخیره سازی اصلی اطلاعات در آن مکان ها صورت بگیرد ... خسرو سلجوقی در گفت وگو با ایسنا، در باره ایجاد دیتاسنتر در داخل کشور، با بیان این که هاستینگ محلی برای ذخیره اطلاعات است، اظهار کرد: به نظر من اگر برروی دو دیتاسنتر دولتی که همه اطلاعات در آن ذخیره شود، برنامه ریزی و سرمایه گذاری کنیم، بهترین و موثرترین کار است زیرا هزینه ایجاد دیتاسنتر بسیار بالا است و برای بخش خصوصی به صرفه نیست و از طرفی از نظر امنیت فیزیکی، اطلاعاتی و نرم افزاری نیز برای آن بخش مفید نخواهد بود ... وی گفت: با اتصال سرورهای خصوصی به دیتاسنتر دولتی، بخش های خصوصی، هزینه مورد نیاز ذخیره سازی و ساختمان را پرداخت نمی کنند زیرا برای این کار و برای محلی جهت ذخیره سازی اطلاعات بودجه زیادی مورد نیاز است ... او با بیان این که هاستینگ جایی است که اطلاعات سرور برروی آن قرار دارد و در آن جا ذخیره می شود، گفت: این موضوع که سازمان های دولتی خود به ایجاد دیتاسنترهای داخلی بپردازند، تصوری اشتباه است زیرا این موضوع از نظر امنیتی به صلاح نیست و هر وزارتخانه ای نمی تواند در این زمینه اقدام کند ...
اولین وب سایت صادر کننده گواهینامه الکترونیکی آغاز به کار کرد
... با توجه به این مطلب که هر زمانی که ارتباطی ما بین یک سایت با یکی از کاربرانش برقرار میشود اطلاعاتی نیز بین آن دو انتقال می یابد , این اطلاعات که میتواند شامل یک نام کاربری و رمز عبور , فرم اطلاعات شخصی و یا حتی شماره کارت اعتباری باشد در طول مسیر براحتی قابل سرقت و در پی آن قابل سوء استفاده میباشد ... اما با نصب گواهینامه الکترونیکی برروی سرور این ارتباط و انتقال اطلاعات به یک لایه امنیتی (Secure Socket Layer) منتقل میشود و از هرگونه سرقت و دستبردی در طول مسیر خود محفوظ میماند ... این تکنولوژی که با نام SSL معروف است شالوده بنای تجارت الکترونیکی , بانکداری الکترونیکی و دولت الکترونیکی میباشد , چراکه بدون داشتن یک SSL معتبر اشتراکهای با ارزش همواره در معرض خطر سرقت اطلاعات قرارخواهند داشت ... هرگواهینامه الکترونیکی سرور , علاوه بر تامین ارتباط امن , هویت سایت مورد نظر را نیز برای کاربر مشخص و تایید میکند ... گواهینامه های امنیتی 128 بیتی برای تامین امنیت در انتقال اطلاعات سرور ... گواهینامه های شخصی برای شناساندن هویت یک فرد به سرور ... امضای دیجیتالی برای امضای قراردادها و نامه های الکترونیکی اعطای نشان اطمینان به سایتهای عضو نیز میتوانید برای دریافت اطلاعات بیشتر به آدرس سایت www ...
|
صفحه 1
|
|
