آشنايی با ISMS

صفحه 1:
۱ ۱ 5 ل اصلاح الگوی مصرف ۹ ۳ 

صفحه 2:
os > 2 ۰ آشنيي با 505 نحص رنه : ‎be faa‏ جبه ازی: ۰ ‎+s‏ ا ‎no‏ 

صفحه 3:
0 چسة سیستم مديريت امنيت اطلاعات يا مص 3) بده (1) بقسدس8) «قددد جه سيستمي براي بياده ي کنترل هاي امنيتيقی با كه با برقراري رتساخت هاي مورد نياز ايمني اطلاعات را تضمين مي نماید. مدل 1 ري است كه در بباده سازي )200 بكار برده مي شود و 1000000 زيربناي ۵۵ امي باشد . 09۳00( حفاظت از اطلاعات را در سه مفهوم خاصيعني قابل اطمینان بودن اطلاعات ‎g (Jechiel)‏ صحت اطلاعات (,وبسه۱) و در دسترس بودن اطلاعات (,0/۸4۶) تعریف مي کند براي داشتن سازماني با برنامه و اده آل » هدفمند کردت ]لا ها براي رسیدن به حداکثر امن ۲ 1 امري است که بايد مدا أقرار كيرد = 1 استاندارد 263/۳1620 راهكاري است که اطلاعات سازمان و شرکتِ را دسته بندي و ارزش گذاري کرده و با ایجاد سياستهاي متناسب با سازمان و همچنین پیاده سازی 127 کنترل مختلف» اطلاعات سازمان را ایمن مي سازد. این اطلاعات نه تنها داده های کامپيوتري و اطلاعات سور ها بلکه کلیه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد كرفت ‎٠‏ 

صفحه 4:
آيا امنيت 90100 امکانپذ بر است؟ با پیشرفت علوم کامپيوتري و همچنین بوجود آمدن ابزارهاي جدید سا "و ‎3-٠‏ و همجنين وجود صدها مشکل ناخواسته در طراحَترّافزاز‌هاق متختلف و روالهاي امنب: ی دسترسي افراد غیرمجاژ وجود دارد. حتي قوي ترین سايتقاي موجود ذر دنبا در معرض خطر افراد غیرمجاز و سودجو قرار دارفك. ولي آيا جون نمي توان امنيت 0 داشت بايد به نکات امنيتي و ایجاد سياستهاي مختلف ۱ استاندارد ۸600 "202 قالبی مطمئن براي داشتن یک سیستم مورد اطمینان امنيتي مي باشد. در زیر به تعدادي از فوائد پیاده سازي این استاندارد آشاره شده است : - اطمینان از تداوم تجارت و کاهش صدمات ‎GEL Garten)‏ اطلاعات و کاهش تهدیدها اطمينان از سازكاري با استاندارد امثبت اطلاعات و محافظت از داده ها - قابل اطمینان کردن تضمیم گيري ها و محک زدن سیستم مدیریت اعنیت اطلاعات )نید بخاطر مشکلات امنيتي اطلاعات و ایده 73 خود را در ‎okie le‏ با ساخت( 

صفحه 5:
مراحل ایجاد سیستم مدیریت امنیت اطلاعات (1806) ایجاد و تعریف سیاستها : در این مرحله ایجاد سياستهاي کلي سازمان مدنظر قراردار د روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سیاست امئیت به شرك اوانه كفي شود جلإيزااتليدي و كارشناسان برنامه ریز نقش كليدي در گرد آوري این سند خواهند داشت تعیین محدوده عملياتي : یک سازمان ممکن است داراي چندین زبرمجموعه و شاخه هاي کاري باند لذاََعپیاده سازق تسستم 1 اطلاعات کاري بس دشوار است بای جلوتيري از يکي پیاده سا تعریف محدوده و ت<() صورت مي پذیرد ۰ 37۳) مي اداري و با حتي سایت کامپيوقري سازمان باشد. ‎a‏ قدم و رس و الویت براي پیاده سازي استاندارد امنیت اطلاعات در سس( خواهد بود. پس از پياده سازی و اجراي کنترل های 000/۸7۳00 و اخذ کواهینامه براي محدوده تعیین شده نوبت به پیاده سازي آن در سایر قسمت ها مي رسد که مرحله به مرحله اجرا خواهند شد 1 ° 

صفحه 6:
برآورد دارايي ها و طبقه بندي آنها : براي ابنكه تون کتل هاي مسب را براي قسمت هاي مختلف سازمان اعمال كرد ابندا نبز به تعيين دارابي ها مي باشد. در واقع ابتدا باید تعبین کرد چه داریم و سپس اقدام به ایمن سازي آن نمایيم. در | ليست كليه تجهيزات و دارابي هاي سازمان تهيه ده و باقوجه به درجه اهميت هي ا اوزيابي خطرات : بأداشتن ليست دا وني ها و اهعبت آن یرای سازمان »يبه يش بيني خطرات اقدام كنا بس از تعيين کلیه خطرات برای هر داراییاق و تهديدها ذ سپس با داشتن اطلاعات مدیریت خطرات : مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتي ‎SEH SBN lad‏ تصمیم رت و موثر براي مقابله با آقها مي نماید . انتخاب کنترل مناسب : استاندارد 00/7760 داراي 10 گروه كنترلي مي باشد که هر کرو شامل چندین کنترل زبرمجموعه است بنابراین در کل 127 کنترل براي داشتن سیستم مدیریت امنیت اطلاعات"هدنظر قراردارد. با انجام مراحل بالا شرکت با سازمان شما پتافسیل بيآده سازي كنترل هاي مذكور را خواهد داشت . 

صفحه 7:
این ده کروه کته لی عبارنند از امنیت فيزيكي 6- مديريت ارتباط ها 7- کنترل دسترسي ها 8- روشها و روالهاي نگهداري و ‎Sone!‏ اطلاعات 9- مدیریت تداوم کار سازمان 0- سا زکاري با موارد قانوني تعبين قابليت اجرا : جمع آوري ليست دارابي هاء تعيين تهديدهاء نقاظ"شعف امنيتي و در نهايت ابجاد جدول كنترل ها مارا دو به دست آوردن جدولي موسوم به (500) یا ارب سامم(0 () م۵ ياري مي رساند. این جدول نهايي از كليه كنترل هاي موود نياز براي بياده سازي را ارائه هي دهد. با مطالعه این جدول و مشخص کردن کنترل هاي قابل اجرا و اعمال آنها سازمان یا شرکت خودرا براي اخذ استاندارد 0 آماده خواهید ساخت ۰ نتیجه آنگه برای رسیدن به یک قالب درست امنيتي ناجار به استفاده از روال هی صحیح کاري و همچنین پيادة سازي استآندارد امنیت هستیم و استاندارد 00 :۲۵/۳ ۵0516/106 انتخايي درست أبراي رسيدن به اين منظور مي باشد 

صفحه 8:
اهمیت امنیت درآزندگي روزمره : آرامش در زندكي بدون امنیت امکانیذیر نیست . ‎١‏ اهميت امنيت در سيستم هاي اطلاعاتي : بدون اطمینان از امن بودن سیستم هاي اطلاعاتي اعتماد به آنها مخال است مكر براي افراد نا آكاه . 

صفحه 9:
50 (سليما ‎tyne‏ الیستاندارد سلزی و ۱26 (کمیسیون بسیر) هال کتروتکنیل) در نار هم سیبیم تسناد سازي‌چهانی | تسشکیلهادهنلند که بل الوبرمرجي‌لستانداردسازي 5 للست 

صفحه 10:
0 و16 درجمينه فيناويعلطلاعات بك كميته فنيهشتر ثرا تاسيسريموهفاند كه به آن ‎ISO/IEC JTC 1‏ كفته عوشود . انتشار استاندارد به صورت استاندارد بين المللی مستلزم تایید از سوي حداقل 275 از آراء هبات ها و سازمان هاي ملي مي باشد. 

صفحه 11:
هدفياز تدوين استانةاردهاي 151/15 : هدف از تهیه این استاندارد بین المللی » ارائه مدلى است كه بر اساس آن بتوان يك سيستم مديريت امنيت اظلاعات یاهمان 15۱/5 راایجاد » اجرا» بهره برداري » پايش » بازنگري » نگهداري و بهبود و ارتقاء بخشيد . 

صفحه 12:
ژویکزه ف رآيندي : به کاربرد سیستم فر آیندها در يك سازمان و شناسايي و تعامل اين فر آیندها و مدیریت آنها "رویکود فر آبندي" کفته "مشود و استاندارد هايٌ مطرح ۱5۱/5 مبتني بر رویکرد فر آيندي است . 

صفحه 13:
در استاندارد 15027001 از مدل ۳۵ استفاده مي ات نت لس ee ‏«اهاهند/ا سا‎ ۶ ‏سم سا‎ و 6 ۵۷۵۷ 

صفحه 14:
مواط ‏ 151/15 زا ير نلمه ويزوكن سياست و خط مشی 1515»اهداف » ف رآيندها و رويه هاى متناسب با مديريت خطر و بهبود امنيت اطلاعات را تعن نمابيد و نتايج را بر اساس سياشت ها و اهداف كلى سازمان ها تبيين نماديد . 

صفحه 15:
0 سدذجام بسده (۱5145را ‎ash‏ ن‌وده و از آزسهرد بردلیوک) سیاست ۱5۷5 کنترل ها » فر آیندهاو رویه ها را پیاده نموده و از نها بهره برداری كن . 

صفحه 16:
‎Check‏ - کسنتر لکسوز( 5۱/5 را بسلیثرک رده و عورد بلينكروقرار بده) اجرای فر آیند را بر اساس سیاست 15۱45 اققآق و تجربه عملی مورد ارزشیابی و در صورت امکان مورد سنجش قرار بده و نتایج را جهت باژنگری در اختیار مدیریت قرار بده . 

صفحه 17:
‎sb Sse ACT‏ سر( ۱5115را نکهدرونوده و آنرا بسهبود ‏بر اساس نتایج ممیزی داخلی ۱5۱/5 و بازنگری مديريتي با سایر اطلاعات مربوطه» اقدامات اصلاحی با پیشکیرانه را اتخاذ نمایید تا بهبود مستمر 5 محقق گردد . 

صفحه 18:
دامنه کازیرد : 1 تام سازمان‌ها ( دیلنیو غیر دولني) را شلملعيكردد و لؤامادمر بوط بمليجاد » بسباشه سازی » بسهرد بسردلیی بلیش باینکزی نگهدلییو بسهبود یسک 5۷| حستند سازوشدد در قللیسکهایکلی سلوزمانا تعبيرو تصريحعونمايد. 

صفحه 19:
5 سنانتخابک نتر لهاعمنیتیک لفیو متناسا تسضمی‌مینم‌اید و بللستفاده از همين کنترل هاومنیتی دایلیی‌هاوطلاعلتی سلزمان‌ها را محلفظه موهه و به طرفيرشينفعلطمينا ها طر هي haath 

صفحه 20:
5 بخشواز سیستم‌مد بردنسه شسمار عیرود ؛ يادآوري : سیستم مدیریت .ساختار تاژماني» سیاست ها» خط مشي هاء فعاليت هاي برنامه ريزي » مسئوليت ها » رويه ها و فرآيندها را شامل مي شود . 

صفحه 21:
طراخي و مستند سازي ‎:ISMS‏ ‏الف با مشخص نمودن دامنه باید خدود و نغور سیستم مدیریت امنیت اطلاعات را بر حسب مشخصات قعالیت سازمان » مکان آن» دارايي ها و توجیهات مربوط به هر ‎Ob‏ از حذفیات از دامنه را تعریف و تعبین نمائید. 

صفحه 22:
ب ) بر اساس سیاست و خط مشي سیستم مدیر یت امنیت اطلاعات بر حسب مشحصات فعالیت هاق سازمان دارايي ها را تعویف و تعیین نمایید. 

صفحه 23:
ب) متداولوژي ارزشيايي خطر که از هر حبث مناسب با امثبت اطلاعات سازماني و الزاماتاقانَوني باشد رأ تعيين كنيد. 

صفحه 24:
ت ) خظرات را تعبین و مشخص نمایید : دارایی ها اطلاعاتی [۱ مشخص کنید. ۰ عوامل تهدید کننده دارايي ها را تعیین نمائید. ۰ نقاط آسيب يذير كه ممكن است از سوي عوامل تهديد کننده مورد استفاده قرار گیرند را تعیین و مشخص ‎٠‏ تاثيرات از بین رفتن محرمانگي » تمائیت و در دسترس بودن بر دارايي ها را مشخص نمائید. 

صفحه 25:
ث ) نتیجه تهدیدات و آسیب پذيري هاي جاري و تاثیرات آن بر دارايي ها و اقدامات كنترلي که درحال عفر انحام مي شوند را مورد ارزشيابي قرار داده» سطوح خطر را بر آورد نمایید. 

صفحه 26:
ج ) راهکارهای مر بو ظ به اتخاذ تداییر لازم جهت رفع خطرات را تعیین و مورد اززشيابي فرار دهید. 

صفحه 27:
ج )مجوز مدیریت رابراي اجرا و بهره برداري از سیستم مدیریت امنیت اطلاعات دریافت نمایید. ح ) تایبدیه خطرات باقيمانده پيشنهادي را از مد ریت اخذ نمایید. 

صفحه 28:
خ) گزارش کاربرد.پذيري را تهیه و تنظیم نمایید. موارد ذیل باید در گزارش کارّبرد پذيري لحاظ گردد : 1) اهذاف و اقداماتً کنترلي انتظاب شذه و دلایل انتخاب آنها . 2( اهداف و اقدامات كنترلي که در حال "خاش اجرا آقي شوند . 1 8) ذکر دلایل توجيهي براي حذف هر بكِ از اهداف اقدامات ‎my?‏ 

صفحه 29:
اجرا و بهره برداري از سیستم,مدیریت امنیت اطلاعات : الف ) میازمان ملزم ات تا برفامهمقابله با خطر را تدوین نماید و در آن برنامه اقدامات مدیزیت ‏ منابع.»,مسئولیت ها واولویت هاي مديریت خطرات امنیت اطلاعات را تعیین و مشخص نماید. 

صفحه 30:
ب ) سازمان بايد به منظور دستيابي به اهداف کنترلي تعیین شده » بر نامه مقابله با طرات راابه مورد اجرا بكذارد و منابع مالي لازم و نقشآها و مسئولیت ها را در آن لحاظ نمايد. ب) سازمان بايد به ‎(gl RS Staal ili yatta‏ اقدامات کنترلي آنتخاب شده را به ورد اجرا بگذارد. ت) سازمان باید نحوه اندازه گیری کاآمدی اقدامات كنترلي با مجموعه اقدامات کنترلي را تین نماید. 

صفحه 31:
ث ) سازفان بايد برنامه هاي/آموزش و آگاه سازي را اجرا نماید ج ) سازمان باید بهزه برداري از سیستم مدیریت امنیت اطلاعات را مدیریت نقاتك . ج ) سازمان باید امکان شناسايي فوري رويدادهاي امنيتي و نشان دادن واکنش به حادثه هاي امتيتي را فراهم کند . 

صفحه 32:
Chek بايش وبنازنكري سيستم مَديريت امنيت اطلاعات : الف ) سازمان بابد رویه هاي‌پایش و بازنگري را اجرا نماید تا به این ترتیب امکان انجام به موقع اقدامات زیر برایش فراهم گرده : 1 ) اشتباهات بوجود آمده در نتایج پردازش را به موقع شناسايي نماید. 

صفحه 33:
2 ) هر,گونه حوادث و سای راقدامات دیگر در جهت نقض امنیت را به موقع شناسايي کند. 3) اطمبنان حاصل نماید که آبا اقدامات اتخاق شده جهت حل و فصل مشکل نقض آمنیت کار آمد و موثر هستند با خیر. 

صفحه 34:
Chek ب ) سازمان باید اثربخشي 55 را در فواصل زماني بزنامه ريزي شّه بازنگري نماید . ب ) سازفان بايد ارزشيابي هاي خطر رادر فواصل زماني برنامه ريزي شده مورد بازنگري قرار دهد وخطرات باقیمانده و سطوح قابل پذیرش خطر را مورد بازنگري ‎mest?‏ ‏امنيك اطلاعات ‎Al; polska‏ نامه ریز ی شده انجام دهد . 

صفحه 35:
اعم ث ) بنازمان ملزم خواهد بوّد تا بازنگري مديريتي 5 را در فواطل زماني برنامه ريزي شده انجام دهد تا به این ترتیب از کفابت دامنه و پشرفت‌هاقتذتت آمده در ف رآيندهاي سیستم مدیربت آمنیت اطلاعات اطمینان حاصل نماید/, 

صفحه 36:
Chek ج ) سازمان ملزم خواهد بود تاببا توجه به نتایج حاصل از فعالیت هاي انجام ناه در زمینه پایش و بازنگري؛ برنامه . هاي امنيتي را ارتقاء دهد. ج ) سازمان ملزم خواهد بودتا اقدامات و روبدادهايي که به نحوي از انحاء بر اثر بخشي يا اجواي سیستم مدیریت امنیت اطلاعات قاثیر گذار هستند را نت و ضبط نماید. 

صفحه 37:
نگهداري و ارتقاي سیستم قدیریت امنیت اطلاعات : الف ) سازمان ملزم"خواهد بود تا اصلاحات تعبین شده در فاز ۱66۷ را اجرا نماید . ب ) سازمان باید اقدامات اضلاخي و پیشگیرانه مناسب را اتخاذ نماید و آنچه را که از تجریبات/سایر سازمان ها فرا گرفته است بکار بندد . 

صفحه 38:
پ ) سازمان باید اقدامات/و اصلاحات را با ذکر جزئبات در اختبار تمام طرفین ذینفع قرار دهد. ت ) سازمان باید اطمینان حاصل نماید که اصلاحات مورذ نظر اهداف مورد نظر را محقق خواهد نمود. 

صفحه 39:
دلایلانجام مميزي هاي داخلي ۱5۱/5 : الف ) حصول اطمینان از رعایت/الزامات استاندارد بین المللي حاضر و قوانین و مقررآت مربوط به آن ؛ ب) حصول اطمینان از اجرَّا و نگهداری اثر بخش ؛؟ 

صفحه 40:
: 15۳۸5 ote jae Obl . ‏زمان بندي از قبل تعیین/شده داشته باشد‎ -1 . ‏حوزه هايي که باید مورد مميزي قزّار گیرند» مشخص شود‎ -2 ‏نتایج ممیزی های قبلی در آن لحاظ شود‎ -3 ‏معیارها » دامنه » تعداد و روش اي مميزي باید تعبین شود‎ -4 ‏انتخاب ممیزها و اجراي مميزي ها باید بکونه اي انجام شود‎ -5 ‏که واقع بيني و بي غرض بودن فر آيند مميُزي را تضمين نمايد.‎ ‏ذكته بسيار مهم : ممیزها مجاز به مميزي كارهاي خود نخواهند بود.‎ 

صفحه 41:
بازنگری مدیریت : ورودي ها ء الف ) نتایج مميزي هاي و بازنگري ها ؛ ب ) بازخوره از تتوّي طرفین ذبنفع ؛ پ ) نکنيك ها و خروجي ها ي بهبو۵/اجرا و اثر بخشي؛ ت ) وضعیت اقدامات پیشگیرانه با اصلاحي؛ 

صفحه 42:
ث ) فقاط,آسیب پذیر با تهدید/که در ارزشيابي خطر قبلي به نحو مقتضي‌آمورد توجه قرار نگرفته اند ؛ ج ) ننایج حاصل از اندازه گيري هاي اثربخشي ؛ ج) اقدامات پیگیرانه از بازنگري هاق قبلي مديريت؛ خ ) هرگونه تغييزاتي که مي تواند‌بر سیستم مدبربت امنیت اطلاعات تاثیر گذار باشند ؛ ج ) توصیه ها و پیشنهادات در جهتبهبود. 

صفحه 43:
خروجي ها : ‎Gace WU GW Gey >‏ اقدامات مرتبط با موارد ذیل باشد : الف ) پهبود اثربخشي سیستم مم‌بریت امنیت اطلاعات . ب ) روز آمد سازي ارزشيابي خطر و برنامه مقابله با خطر. پ ) اصلاح رویه ها و اقدامات کنترلي و نطازتي تا گذار بز امنیت اطلاعات . ت ) رفع نيازمندي هاي منابع . ث) بهبود نحوه اندازه گيري اثربخشي اقّامات نظارتي, 

صفحه 44:
سرفصل هاي 15027001: 7 خط مشی امنیت 6 ساختاژلمنطلاعات 7 هدبيسةايلدرها 8 كلمن منابعلشلنئ 9 للم نسفيزيكيو بيراميني 0هدبيسليتباطانو عمليات 1 کنتتر[ورود 2 کتساباتوسعه و نگهدلییسلیستم هاءطلاعلتي 7 مدیریت حادثه امنیت اطلاعاتي 4 عد یولوم کايي 5.لنطباق 

صفحه 45:
امنیت مناتع انسانی : 1- قبل از استخدام 1-1 نقش ها و مسولیتَ ها : نقش ها و مسئولیت هاي امنيتي کازکنان ؟ پیمانکا رن و کاربران ثالث باید بر اساس سیاستِ امنیت اطلاعات سازمان تعریف و مستند سازي/شود. 

صفحه 46:
1-2 غربالگرق : اقدامات نظارتسي در خصوص تایه پیشینه تمامي نامزدهاي استخدامي » پیمانکاران و کاربران الت باید بر اساس قوانین » مقررات و معيارهاي اخلاقي مربوطه و متناسب با الزامات سازماني» طبقه بندي اطلاعلتي که فرار است در دسترس قرار گیرند و خطرات شناخته شده انجام شود. 

صفحه 47:
3-] شرایط و ضوابط استخدام مسئولیت هاي کارکنان » پیمانکاران و کاربران ثالث و سازمان در قبال امنیت اطلاعات ‎Gol po WL‏ دوقّارداد استخدامي آنان تصریح گردد. 

صفحه 48:
52 خلال استخدام : برگزاري دوره هاي آموزشي و ‎hile OUT‏ درباره اعنیث اطلاعات : کلیه کاررکنان سازمان و بر حسب مورد پیمانکاران و کاربران ثالث ملزم خواهند بود تا دوره هاي آمَوزشي و آگاه سازي در خصوص ‎Curlew‏ ها و رویه هاي سازمان را بر حسبُْ,نوع شغل شان طي نمایند. 

صفحه 49:
3- فسخ قرارداد استخدامي با تغییر شغل : 3-1 مسئوليت هاي فسخ : مسئولیت ها در قبال اجزاق فسخ استخدام يا تغييز آن بايد به صراحت تعبین و واکذار گرد" 3-2 عودت دارايي ها : کلیه کار کنان » پیمانکاران و اشخاص ثالث ملزم خواهند بود تا به محض فسخ استخدام » قرارداك يا موافقت نامه خود » نسبت به عودت دارايى هاى سازمان كه ذر اختيارشان قرار داشته اسناقدام نمايند. 0 

صفحه 50:
3-3 حذف حقوق دسترسي : حق دسترسي کلیه کارکنان » پیمانکاران و کاربران ثالث به اطلاعات و مراکز پردازش اطلاعات بايد به محض فسخ استخدام » قرارداد با موافقت نامه حذف شده و با به محض هرا وه تغیبر » مورد تعدیل قرار گیرد. 

صفحه 51:
فر آبند تتييهي : در مورد آندسته از کار کناني که مرتکب نقض امنیت مي شوند/ وجوه يك ف رآبند تنبيهي الزامي اسُت . 

1 آشنايي با ISMS ارائه دهنده :محمد رضا جبه داری دی ماه 1388 2 !يست ISMSچ ؟ سيستم مديريت امنيت اطالعات يا Information Security Management Systemسيستمي براي پياده سازي کنترل هاي امنيتي مي باشد که با برقراري زيرساخت هاي مورد نياز ايمني اطالعات را تضمين مي نمايد .مدل PDCAساختاري است که در پياده سازي ISMSبکار برده مي شود و ISMSزيربناي BS7799مي باشد . !دن اطالعات BS7799حفاظت از اطالعات را در سه مفهوم خاص يعني قابل اطمينان بو ( )Confidentialityو صحت اطالعات ( )Integrityو در دسترس بودن اطالعات ( )Availabilityتعريف مي کند . براي داشتن سازماني با برنامه و ايده آل ،هدفمند کردن اين تالش ها براي رسيدن به حداکثر ايمني امري است که بايد مدنظر قرار گيرد . استاندارد BS7799راهکاري است که اطالعات سازمان و شرکت را دسته بندي و ارزش گذاري کرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127کنترل مختلف ،اطالعات سازمان را ايمن مي سازد .اين اطالعات نه تنها داده هاي کامپيوتري و اطالعات سرور ها بلکه کليه موارد حتي نگهبان سازمان يا شرکت رادر نظر خواهد گرفت . 3 آيا امنيت %100امکانپذير است؟ با پيشرفت علوم کامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hackو Crackو همچنين وجود صدها مشکل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ،هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد .حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند .ولي آيا چون نمي توان امنيت %100داشت بايد به نکات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟ فوائد استاندارد BS7799و لزوم پياده سازي : استاندارد BS7799قالبي مطمئن براي داشتن يک سيستم مورد اطمينان امنيتي مي باشد .در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است : اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطالعات و کاهش تهديدها اطمينان از سازگاري با استاندارد امنيت اطالعات و محافظت از داده ها قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطالعات ايجاد اطمينان نزد مشتريان و شرکاي تجاري امکان رقابت بهتر با ساير شرکت ها ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطالعات)نبايد بخاطر مشکالت امنيتي اطالعات و ايده هاي خود را در خارج سازمان پنهان ساخت( 4 مراحل ايجاد سيستم مديريت امنيت اطالعات ()ISMS ايجاد و تعريف سياست ها : در اين مرحله ايجاد سياستهاي کلي سازمان مدنظر قراردارد .روالها از درون فعاليت شرکت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شرکت ارائه مي شود .مديران کليدي و کارشناسان برنامه ريز نقش کليدي در گردآوري اين سند خواهند داشت . تعيين محدوده عملياتي : يک سازمان ممکن است داراي چندين زيرمجموعه و شاخه هاي کاري باشد لذا شروع پياده سازي سيستم !ار است .براي جلوگيري از پيچيدگي پياده سازي ،تعريف محدوده و امنيت اطالعات کاري بس دشو !رت مي پذيرد Scope .مي تواند ساختمان مرکزي يک سازمان يا بخش اداري و يا حتي Scopeصو سايت کامپيوتري سازمان باشد .بنابراين قدم اول تعيين Scopeو الويت براي پياده سازي استاندارد امنيت اطالعات در Scopeخواهد بود .پس از پياده سازي و اجراي کنترل هاي BS7799و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد که مرحله به مرحله اجرا خواهند شد 5 برآورد دارايي ها و طبقه بندي آنها : براي اينکه بتوان کنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال کرد ابتدا نياز به تعيين دارايي ها مي باشد .در واقع ابتدا بايد تعيين کرد چه داريم و سپس اقدام به ايمن سازي آن نماييم .در اين مرحله ليست کليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد . ارزيابي خطرات : با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ،نسبت به پيش بيني خطرات اقدام کنيد .پس از تعيين کليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و داليل بوجود آمدن تهديدها نماييد و سپس با داشتن اطالعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد . مديريت خطرات : مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد . انتخاب کنترل مناسب : استاندارد BS7799داراي 10گروه کنترلي مي باشد که هرگروه شامل چندين کنترل زيرمجموعه است بنابراين در کل 127کنترل براي داشتن سيستم مديريت امنيت اطالعات مدنظر قراردارد .با انجام مراحل باال شرکت يا سازمان شما پتانسيل پياده سازي کنترل هاي مذکور را خواهد داشت . 6 اين ده گروه کنترلي عبارتند از : -1سياستهاي امنيتي -2امنيت سازمان -3کنترل و طبقه بندي دارايي ها -4امنيت فردي -5امنيت فيزيکي -6مديريت ارتباط ها -7کنترل دسترسي ها -8روشها و روالهاي نگهداري و بهبود اطالعات -9مديريت تداوم کار سازمان -10سازگاري با موارد قانوني تعيين قابليت اجرا : جمع آوري ليست دارايي ها ،تعيين تهديدها ،نقاط ضعف امنيتي و در نهايت ايجاد جدول کنترل ها مارا در !سوم به SOAيا Statement Of Applicabilityياري مي رساند .اين جدول به دست آوردن جدولي مو ليستي نهايي از کليه کنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد .با مطالعه اين جدول و مشخص کردن کنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شرکت خودرا براي اخذ استاندارد BS7799آماده خواهيد ساخت . نتيجه آنکه براي رسيدن به يک قالب درست امنيتي ناچار به استفاده از روال هاي صحيح کاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000انتخابي درست براي رسيدن به اين منظور مي باشد 7 اهميت امنيت در زندگي روزمره : آرامش در زندگي بدون امنيت امکانپذير نيست . • اهميت امنيت در سيستم هاي اطالعاتي : بدون اطمينان از امن بودن سيستم هاي اطالعاتي اعتماد به آنها محال است مگر براي افراد نا آگاه . 8 مرجع استاندارد ‏ISMS ي و ( IECكميسيون !) !تاندارد س!از ملليس ! !مانب!ينا!ل ا ( ISOس!از !تاندارد ت!خصصيس ! ا ك در كنار هم س!يستم !كني ) !ت مللي!لكترو ب!ينا!ل ا !ي !ساز !تاندارد !س !عا !نم!رج !ند ک!ه ب!ا!التري !ا !ه !يرا ت!شكيلداد !ان !ه !يج س!از !ت !س . ISMSا 9 !العات ي!ك ، !ط !ي !ينه ف!نــاور ا !م ISOو IECدر ز ! آن ! ب!ه !ند كه !ا !ه !يسن!مود ! ف!نيم!شتركرا ت!اس كميته ! م!يش!ود . ISO/IEC JTC 1گ!فته ---------------انتشار استاندارد به صورت استاندارد بين المللي مستلزم تاييد از سوي حداقل %75از آراء هيات ها و سازمان هاي ملي مي باشد. 10 هدف از تدوين استانداردهاي : ISMS هدف از تهيه اين استاندارد بين المللي ،ارائه مدلي است كه بر اساس آن بتوان يك سيستم مديريت امنيت اطالعات !مان ISMSرا ايجاد ،اجرا ،بهره برداري ،پايش ، يا ه بازنگري ،نگهداري و بهبود و ارتقاء بخشيد . 11 رويکرد فرآيندي : به كاربرد سيستم فرآيندها در يك سازمان و شناسايي و تعامل اين فرآيندها و مديريت آنها "رويكرد فرآيندي" گفته مي شود و استاندارد هاي مطرح ISMSمبتني بر رويکرد فرآيندي است . 12 در استاندارد ISO27001از مدل PDCAاستفاده مي شود 13 !يزیک!ن !ه ر Planـ ISMSرا ب!رنام سياست و خط مشی ، ISMSاهداف ،فرآيندها و !اسب با مديريت خطر و بهبود امنيت رويه های متن اطالعات را تعيين نماييد و نتايج را بر اساس سياست ها و اهداف کلی سازمان ها تبيين نماييد . 14 Do ! !ره ! و از آنب!ه !ه ! ن!مود !ه ! ( ISMSرا پ!ياد !جام ب!ده !ن ـا ب!ردار!یک!ن) سياست ، ISMSکنترل ها ،فرآيندها و رويه ها را پياده نموده و از آنها بهره برداری کن . 15 !و !ه !شک!رد Checkـ ک!نترلک!ن( ISMSرا پ!اي !) !گریق!رار ب!ده !ن م!ورد ب!از اجرای فرآيند را بر اساس سياست ، ISMSاهداف و تجربه عملی مورد ارزشيابی و در صورت امکان مورد سنجش قرار بده و نتايج را جهت بازنگری در اختيار مديريت قرار بده . 16 ! و آنرا ب!هبود !ه !ین!مود !دار !تار ک!ن( ISMSرا ن!گه !ف Actـ ر ب!بخش) بر اساس نتايج مميزی داخلی ISMSو بازنگری مديريتي يا ساير اطالعات مربوطه ،اقدامات اصالحی يا پيشگيرانه را اتخاذ نماييد تا بهبود مستمر ISMSمحقق گردد . 17 دامنه كاربرد : !تي) را !ل !تيو غ!ير دو !ل !مانها ( دو ISO27001ت!مام س!از !ی ! س!از !ه !جاد ،پ!ياد !ي !ا !ماتم!ربوط ب!ه !لم!یگ!ردد و ا!لزا ش!ام !یو ب!هبود !دار !گری ،ن!گه !ن !ش ب!از !ی ،پ!اي ، ! ب!ردار !ره ،ب!ه !سکهایک!لی !ي ! در ق!ا!لبر !یش!ده ي!ک ISMSم!ستند س!از !ح م!ین!مايد . !مانرا ت!عيينو ت!صري س!از 18 !برا !یو م!تناس !نيتیک!اف !م های !تخابک!نترل ا !ن ، ISMSا ! از همين !ه !تفاد !س ت!ضمينم!ین!مايد و ب!ا ا ک!نترل !مانها را !ی س!از !العات !ط های !ي ا !ي !نيتی دارا !م ، های ا !اطر م!ي !مينانخ !ط !نفعا !ي !ينذ ! ط!رف ! و ب!ه !ه !ظتن!مود م!حاف !هد. د 19 ! ش!مار !تب!ه ISMSب!خشياز س!يستمم!ديري م!يرود . يادآوري :سيستم مديريت ،ساختار سازماني ،سياست ها، !ا ،فعاليت هاي برنامه ريزي ،مسئوليت ها ، خط مشي ه رويه ها و فرآيندها را شامل مي شود . 20 Plan طراحي و مستند سازي : ISMS ! با مشخص نمودن دامنه بايد حدود و ثغور سيستم الف ) مديريت امنيت اطالعات را بر حسب مشخصات فعاليت سازمان ،مكان آن ،دارايي ها و توجيهات مربوط به هر يك از حذفيات از دامنه را تعريف و تعيين نمائيد. 21 Plan ب ) بر اساس سياست و خط مشي سيستم مديريت امنيت اطالعات بر حسب مشحصات فعاليت هاي سازمان دارايي ها !يف و تعيين نماييد. را تعر 22 Plan پ ) متدولوژي ارزشيابي خطر كه از هر حيث مناسب با امنيت اطالعات سازماني و الزامات قانوني باشد را تعيين کنيد. 23 Plan ت ) خطرات را تعيين و مشخص نماييد : • دارايي ها ي اطالعاتي را مشخص کنيد. • عوامل تهديد كننده دارايي ها را تعيين نمائيد. • نقاط آسيب پذير كه ممكن است از سوي عوامل تهديد كننده مورد استفاده قرار گيرند را تعيين و مشخص کنيد. • تاثيرات از بين رفتن محرمانگي ،تماميت و در دسترس بودن بر دارايي ها را مشخص نمائيد. 24 Plan ث ) نتيجه تهديدات و آسيب پذيري هاي جاري و تاثيرات آن بر دارايي ها و اقدامات كنترلي كه در حال حاضر انجام مي شوند را مورد ارزشيابي قرار داده، سطوح خطر را برآورد نماييد. 25 Plan ج ) راهكارهاي مربوط به اتخاذ تدابير الزم جهت رفع خطرات را تعيين و مورد ارزشيابي قرار دهيد. 26 Plan چ ) مجوز مديريت را براي اجرا و بهره برداري از سيستم مديريت امنيت اطالعات دريافت نماييد. ح ) تاييديه خطرات باقيمانده پيشنهادي را از مديريت اخذ نماييد. 27 خ ) گزارش كاربرد پذيري را تهيه و تنظيم نماييد. موارد ذيل بايد در گزارش كاربرد پذيري لحاظ گردد : ) 1اهداف و اقدامات كنترلي انتخاب شده و داليل انتخاب آنها . ) 2اهداف و اقدامات كنترلي كه در حال حاضر اجرا مي شوند . ) 3ذكر داليل توجيهي براي حذف هر يك از اهداف اقدامات كنترلي . 28 Do اجرا و بهره برداري از سيستم مديريت امنيت اطالعات : الف ) سازمان ملزم است تا برنامه مقابله با خطر را تدوين نمايد و در آن برنامه اقدامات مديريت ،منابع ،مسئوليت ها و اولويت هاي مديريت خطرات امنيت اطالعات را تعيين و مشخص نمايد. 29 Do ب ) سازمان بايد به منظور دستيابي به اهداف كنترلي تعيين شده ،برنامه مقابله با خطرات را به مورد اجرا بگذارد و منابع مالي الزم و نقش ها و مسئوليت ها را در آن لحاظ نمايد. پ ) سازمان بايد به منظور تامين اهداف كنترلي ، اقدامات كنترلي انتخاب شده را به مورد اجرا بگذارد. ت ) سازمان بايد نحوه اندازه گيري كارآمدي اقدامات كنترلي يا مجموعه اقدامات كنترلي را تعيين نمايد. 30 Do ث ) سازمان بايد برنامه هاي آموزش و آگاه سازي را اجرا نمايد . ج ) سازمان بايد بهره برداري از سيستم مديريت امنيت اطالعات را مديريت نمايد . چ ) سازمان بايد امكان شناسايي فوري رويدادهاي امنيتي و نشان دادن واكنش به حادثه هاي امنيتي را فراهم کند . 31 Check پايش و بازنگري سيستم مديريت امنيت اطالعات : الف ) سازمان بايد رويه هاي پايش و بازنگري را اجرا نمايد تا به اين ترتيب امكان انجام به موقع اقدامات زير برايش فراهم گردد : ) 1اشتباهات بوجود آمده در نتايج پردازش را به موقع شناسايي نمايد. 32 Check ) 2هر گونه حوادث و ساير اقدامات ديگر در جهت نقض امنيت را به موقع شناسايي كند. ) 3اطمينان حاصل نمايد كه آيا اقدامات اتخاذ شده جهت حل و فصل مشكل نقض امنيت كارآمد و موثر هستند يا خير. 33 Check ب ) سازمان بايد اثربخشي ISMSرا در فواصل زماني برنامه ريزي شده بازنگري نمايد . پ ) سازمان بايد ارزشيابي هاي خطر را در فواصل زماني برنامه ريزي شده مورد بازنگري قرار دهد وخطرات باقيمانده و سطوح قابل پذيرش خطر را مورد بازنگري قرار دهد . ت ) سازمان بايد مميزي هاي داخلي سيستم مديريت امنيت اطالعات را در فواصل زماني برنامه ريزي شده انجام دهد . 34 Check ث ) سازمان ملزم خواهد بود تا بازنگري مديريتي ISMSرا در فواصل زماني برنامه ريزي شده انجام دهد تا به اين ترتيب از كفايت دامنه و پيشرفت هاي بدست آمده در فرآيندهاي سيستم مديريت امنيت اطالعات اطمينان حاصل نمايد . 35 Check ج ) سازمان ملزم خواهد بود تا با توجه به نتايج حاصل از فعاليت هاي انجام شده در زمينه پايش و بازنگري ،برنامه هاي امنيتي را ارتقاء دهد. چ ) سازمان ملزم خواهد بود تا اقدامات و رويدادهايي كه به نحوي از انحاء بر اثر بخشي يا اجراي سيستم مديريت امنيت اطالعات تاثير گذار هستند را ثبت و ضبط نمايد. 36 Act نگهداري و ارتقاي سيستم مديريت امنيت اطالعات : الف ) سازمان ملزم خواهد بود تا اصالحات تعيين شده در فاز Checkرا اجرا نمايد . ب ) سازمان بايد اقدامات اصالحي و پيشگيرانه مناسب را اتخاذ نمايد و آنچه را كه از تجربيات ساير سازمان ها فرا گرفته است بكار بندد . 37 Act پ ) سازمان بايد اقدامات و اصالحات را با ذکر جزئيات در اختيار تمام طرفين ذينفع قرار دهد. ت ) سازمان بايد اطمينان حاصل نمايد كه اصالحات مورد نظر ،اهداف مورد نظر را محقق خواهد نمود. 38 داليل انجام مميزي هاي داخلي : ISMS الف ) حصول اطمينان از رعايت الزامات استاندارد بين المللي حاضر و قوانين و مقررات مربوط به آن ؛ ب) حصول اطمينان از اجرا و نگهداري اثر بخش ؛ 39 الزامات مميزي داخلي : ISMS -1زمان بندي از قبل تعيين شده داشته باشد . -2حوزه هايي كه بايد مورد مميزي قرار گيرند ،مشخص شود . -3نتايج مميزي هاي قبلي در آن لحاظ شود . -4معيارها ،دامنه ،تعداد و روش هاي مميزي بايد تعيين شود. -5انتخاب مميزها و اجراي مميزي ها بايد بگونه اي انجام شود كه واقع بيني و بي غرض بودن فرآيند مميزي را تضمين نمايد. نکته بسيار مهم :مميزها مجاز به مميزي كارهاي خود نخواهند بود. 40 بازنگري مديريت : ورودي ها : الف ) نتايج مميزي هاي و بازنگري ها ؛ ب ) بازخورد از سوي طرفين ذينفع ؛ پ ) تكنيك ها و خروجي ها ي بهبود اجرا و اثر بخشي؛ ت ) وضعيت اقدامات پيشگيرانه يا اصالحي؛ 41 ث ) نقاط آسيب پذير يا تهديد كه در ارزشيابي خطر قبلي به نحو مقتضي مورد توجه قرار نگرفته اند ؛ ج ) نتايج حاصل از اندازه گيري هاي اثربخشي ؛ !اي قبلي مديريت ؛ ح ) اقدامات پيگيرانه از بازنگري ه خ ) هرگونه تغييراتي كه مي تواند بر سيستم مديريت امنيت اطالعات تاثير گذار باشند ؛ چ ) توصيه ها و پيشنهادات در جهت بهبود. 42 خروجي ها : خروجي بازنگري بايد متضمن اقدامات مرتبط با موارد ذيل باشد : الف ) بهبود اثربخشي سيستم مديريت امنيت اطالعات . ب ) روزآمد سازي ارزشيابي خطر و برنامه مقابله با خطر. پ ) اصالح رويه ها و اقدامات كنترلي و نظارتي تاثير گذار بر امنيت اطالعات . ت ) رفع نيازمندي هاي منابع . ث ) بهبود نحوه اندازه گيري اثربخشي اقدامات نظارتي. 43 سرفصل هاي : ISO27001 َ A.5خط مشي امنيت !العات !نيتط ! !م ا !تار ا A.6س!اخ !يها !ي !تدارا A.7م!ديري !ي !سان !ن !عا !نيتم!ناب !م A.8ا !ي !مون !کيو پ!يرا !نيتف!يزي !م A.9ا !باطاتو ع!مليات !ت !تر A.10م!ديري ا A.11ک!نترلورود !ي !العات !ط هاي !يس!يستم ا !دار !عه و ن!گه !تسابت!وس !ک ، A.12ا َ A.13مديريت حادثه امنيت اطالعاتي !ي !م ک!ار !تت!داو A.14م!ديري !طباق !ن A.15ا 44 امنيت منابع انساني : -1قبل از استخدام 1-1نقش ها و مسئوليت ها : نقش ها و مسئوليت هاي امنيتي كاركنان ،پيمانكاران و كاربران ثالث بايد بر اساس سياست امنيت اطالعات سازمان تعريف و مستند سازي شود. 45  1-2غربالگري : اقدامات نظارت!ي در خص!وص تايي!د پيشين!ه تمام!ي نامزدهاي اس!تخدامي ،پيمانكاران و كاربران ثال!ث باي!د بر اس!اس قواني!ن ، مقررات و معيارهاي اخالق!!ي مربوط!!ه و متناس!!ب ب!!ا الزامات س!ازماني ،طبق!ه بندي اطالعات!ي كه قرار اس!ت در دس!ترس قرار گيرند و خطرات شناخته شده انجام شود. 46  1-3شرايط و ضوابط استخدام مسئوليت هاي كاركنان ،پيمانكاران و كاربران ثالث و سازمان در قبال امنيت اطالعات بايد صراحتاً در قرارداد استخدامي آنان تصريح گردد. 47  -2در خالل استخدام : برگزاري دوره هاي آموزشي و آگاه سازي درباره امنيت اطالعات : كليه كاركنان سازمان و بر حسب مورد پيمانكاران و كاربران ثالث ملزم خواهند بود تا دوره هاي آموزشي و آگاه سازي در خصوص سياست ها و رويه هاي سازمان را بر حسب نوع شغل شان طي نمايند. 48  -3فسخ قرارداد استخدامي يا تغيير شغل : 3-1مسئوليت هاي فسخ : مسئوليت ها در قبال اجراي فسخ استخدام يا تغيير آن بايد به صراحت تعيين و واگذار گردد. 3-2عودت دارايي ها : كليه كاركنان ،پيمانكاران و اشخاص ثالث ملزم خواهند بود تا به محض فسخ استخدام ،قرارداد يا موافقت نامه خود ،نسبت به عودت دارايي هاي سازمان كه در اختيارشان قرار داشته است اقدام نمايند. 49  3-3حذف حقوق دسترسي :حق دسترسي كليه كاركنان ، پيمانكاران و كاربران ثالث به اطالعات و مراكز پردازش اطالعات بايد به محض فسخ استخدام ،قرارداد يا موافقت نامه حذف شده و يا به محض هر گونه تغيير ،مورد تعديل قرار گيرد. 50 فرآيند تنبيهي : در مورد آندسته از كاركناني كه مرتكب نقض امنيت مي شوند ،وجود يك فرآيند تنبيهي الزامي است . 51