نگاهی به پایان نامه های انجام شده درباره بررسي سيستم مديريت امنيت اطلاعات و توصيف انواع خطرات تهديد كننده ... |
 |
2-3-4-1- تعاریف و قراردادها
در این متن قواعد و تعاریف زیر بکار گرفته خواهد شد:
2-3-4-1-1- امنیت اطلاعاتی
حفظ محرمانگی ، جامعیت، دقت و در دسترس بودن اطلاعات
محرمانگی: اطمینان از اینکه اطلاعات فقط در دسترس کسانی است که اجازه استفاده از آن را دارند.
جامعیت و دقت: حفظ صحت و کامل بودن اطلاعات و روش های پردازشی
در دسترس بودن: اطمینان از اینکه افراد مجاز می توانند در زمان لزوم به داده ها، اطلاعات و یا مواد مربوطه به آن دسترسی داشته باشند.
2-3-4-1-2- ارزیابی ریسک
ارزیابی امکان وقوع هر یک از وقایع ناخواسته مانند تخریب اطلاعات، تعرض به اطلاعات و یا آسیب پذیری اطلاعات و یا روش های پردازشی
2-3-4-1-3- مدیریت ریسک
فرایند شناسائی، کنترل و حداقل سازی یا حذف ریسک های امنیتی که می تواند با حداقل هزینه بر سیستم های اطلاعاتی تاثیر گذارد.
2-3-5- سیاست گذاری امنیتی
2-3-5-1- سیاست گذاری امنیت اطلاعاتی
هدف: راهنمایی و پشتیبانی مدیریت در ایجاد امنیت اطلاعاتی
لازم است مدیریت سازمان، سیاست روشنی در ارتباط با امنیت اطلاعاتی داشته باشد و از این سیاست به صورت عیان پشتیبانی نماید و شخصاً در اجرای این سیاست شرکت کند.
این سیاست گذاری و پشتیبانی و اجرا بایستی برای سازمان قابل لمس و احساس باشد.
2-3-5-2- مستندات سیاست گذاری امنیتی
لازم است یک نسخه از مبانی امنیت اطلاعاتی مورد نظر سازمان ، توسط مدیریت عالی سازمان تهیه شده و به عنوان مبنای سیاست گذاری امنیتی منتشر و به اطلاع کلیه افراد سازمان برسد.
این سند حاوی نحوه حرکت مدیریت سازمان و روش سازمانی انتخاب شده برای حفظ امنیت اطلاعاتی خواهد بود.
حداقل نکات مورد اشاره در این سند عبارتند از :
الف) تعریفی از امنیت اطلاعاتی، اهداف کلی آن و اهمیت امنیت به عنوان مکانیزمی قابل قبول برای به اشتراک گذاردن اطلاعات.
ب) توضیح این نکته که ایجاد امنیت خواست مدیریت است و این خواست بر اساس اهداف و اصول امنیت اطلاعاتی قابل حصول خواهد بود.
پ) تشریح مختصر سیاست های امنیتی ، استانداردها و نیازهای قانونی مورد نظر سازمان از قبیل :
1- تطابق با قوانین و مقررات
2- نیازهای مطالعاتی امنیت
3- جلوگیری و شناسایی ویروس های کامپیوتری و سایر برنامه های نفوذگر
4- مدیریت پیوستگی (تداوم) عملیات
5- عواقب حاصل از حمله ها و خطاهای امنیتی
ت) تعریف مسئولیت های عمومی و اختصاصی مدیریت امنیت اطلاعات و روش های گزارش وقایع امنیتی.
ث) ارجاع به مستنداتی که سیاست های سازمان را به روشنی و دقت بازگو می کنند، به عنوان مثال در مورد یک سیستم اطلاعاتی خاص کدامیک از روش های خاص امنیتی به کار گرفته خواهد شد و یا هر کابر چه قواعدی را باید رعایت نماید؟
این سیاست ها باید به نحوی که برای کلیه افراد قابل فهم باشد تهیه شده و در دسترس افراد مربوط قرار گیرد.
2-3-6- امنیت سازمانی
2-3-6-1- زیر ساخت امنیت اطلاعاتی
هدف: مدیریت امنیت اطلاعاتی در حیطه سازمان
لازم است چهارچوب مدیریتی خاصی برای ایجاد و نگهداری و کنترل امنیت اطلاعاتی در محدوده فعالیت سازمان تعریف و بر پا شود. همچنین برای تعریف و تصدیق سیاست گذاریهای امنیتی، باید ارجاع نقش های امنیتی و همکاری امنیتی بین بخشی، حلقه های مدیریتی خاص تعریف شده و این حلقه ها توسط مدیریت عالی سازمان رهبری شوند.
در صورت لزوم باید این حلقه امنیتی توسط مشاوران متخصصی که باید همیشه در دسترس سازمان باشند، پشتیبانی شود. برقراری ارتباط با مشاوران خارج از سازمان برای آگاه بودن از وضعیت پیشرفت های علمی، برقراری استانداردهای تازه و روش های کاراتر، ارزیابی وضعیت امنیتی و آمادگی برای مقابله با اثرات ناشی از خرابکاری و یا خطاهای امنیتی لازم است. روش های امنیت اطلاعاتی بایستی به صورت همه جانبه نگر طراحی شده باشد و بر اساس همکاری کلیه گروه های بهره بردار اعم از مدیران، کاربران، طراحان نرم افزار، ممیزان و مسئولین مستقیم امنیتی سیستم، برنامه ریزی شده باشد.
2-3-7- طبقه بندی و کنترل دارائی ها [43]
2-3-7-1- موجودی دارایی ها
تهیه لیست موجودی ، روشی موثر برای حفظ دارائی هاست. از طرف دیگر میتوان از این لیست در قراردادهای بیمه، تامین اعتبار و یا بهداشت و ایمنی استفاده نمود. فرایند تهیه لیست دارائی ها (سخت افزاری و نرم افزاری) یکی از قدم های اصلی مدیریت ریسک می باشد. لازم است هر سازمان بتواند دارایی در اختیار خود را شناسایی کرده و ارزش و اهمیت هریک را برآورد نماید.
بر اساس این اطلاعات می توان سطوح امنیتی حفاظت از هریک از دارایی ها را با توجه به اهمیت و ارزش آن دارائی تعیین نمود. لیست موجودی با توجه به دارایی مورد استفاده در هریک از سیستم های اطلاعاتی تهیه میشود.
هر یک از دارائی ها باید بدقت شناسائی شده و مالکیت و طبقه بندی امنیتی آن(بخش 5-2) تعیین و به طور مستند ثبت شود. همچنین لازم است مکان نگهداری آن به دقت آدرس دهی شود(این نکته بخصوص در مواقع ترمیم خرابی های حاصل از فقدان و یا حمله اهمیت دارد.)
برخی از دارائی های مرتبط با سیستم های اطلاعاتی عبارتند از :
الف) دارائی های اطلاعاتی ؛ مانند بانک های اطلاعاتی و پرونده ها، مستندات سیستم ، راهنمای کاربران ، مواد آموزشی، فرایندهای عملیاتی و پشتیبانی ، طرح های تداوم عملیات ، روش های بازیابی اطلاعات و اطلاعات آرشیو شده.
ب) دارائی های نرم افزاری : مانند برنامه های کاربردی ، سیستم عامل ها و ابزارهای نرم افزاری .
پ) دارائی های فیزیکی : مانند تجهیزات کامپیوتری (پردازنده ها، مانیتورها، نوت بوک ها، مودم ها) ، تجهیزات ارتباطی(رولرها، PABX ها، دستگاه های فکس و منشی های الکترونیکی)، تجهیزات ذخیره اطلاعات (نوار و دیسک)، سایر تجهیزات تکنیکی4 UPS ها، دستگاه های تهویه و مبلمان و تجهیزات دفتری.
ث) خدمات : مانند خدمات پردازشی و ارتباطی ، تاسیسات عمومی مانند گرمایش ، روشنایی، نیرو و تهویه
2-3-8- طبقه بندی اطلاعات
فرم در حال بارگذاری ...
|
[یکشنبه 1400-08-02] [ 05:48:00 ق.ظ ]
|
