کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001

کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001


کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 به قلم مهدی اسد بک و یوسف رشیدی، چارچوب امنیتی کلی و یک سری تکنیک‌های تخصصی‌تر را برای پیاده‌سازی امنیت فضای تبادل اطلاعات معرفی کرده و آن‌ها را مورد مطالعه و بررسی قرار می‌دهد.

امروزه نقش اطلاعات در سازمان‌ها به عنوان یکی از حیاتی‌ترین سرمایه‌ها به وضوح به چشم می‌آید. گسترش شبکه‌های اطلاعاتی و دیگر فناوری‌های پردازش و انتقال اطلاعات، از یک سو به پیشرفت سازمان‌ها و رفاه مشتریان کمک کرده و از سویی دیگر تهدیدهای جدیدی را متوجه کسب و کار سازمان‌ها نموده است.

در نتیجه اطلاعات باید به طور مناسبی محافظت شوند. امنیت اطلاعات، به منظور اطمینان از حیات کسب و کار، کاهش خرابی‌ها، افزایش فرصت‌های کسب و کار و بازگشت سرمایه، محافظت اطلاعات را از حیطه گسترده‌ای از تهدیدات تضمین می‌کند.

در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، به‌ویژه در حوزه دستگاه‌های دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی اشاره نمود.

بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت‌هایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد.

از سوی دیگر، وجود زیرساخت‌های فوق، قطعا تاثیر بسزائی در ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی خواهد داشت. صرف نظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه‌های دولتی، از یک‌سو موجب بروز اخلال در عملکرد صحیح دستگاه‌ها شده و کاهش اعتبار این دستگاه‌ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی، ضروری به نظر می‌رسد.

موسسات ISO و IEC از موسسات بین‌المللی تدوین استاندارد در سطح جهانی می‌باشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل داده‌اند.

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند.

در بخشی از کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 می‌خوانیم:

این استاندارد که اصطلاحا به آن CC) common criteria) گفته می‌شود بعد از سال 1994 مطرح شد و چارچوبی را فراهم می‌سازد که در آن کاربران سیستم کامپیوتری می‌توانند عملکردهای امنیتی و نیازهای قابلیت اطمینان خود را مشخص و فروشندگان بر اساس آن‌ها محصولات CC خود را پیاده‌سازی و مورد ارزیابی قرار دهند. به عبارت دیگر تضمین می‌کند که فرایند تشخیص، پیاده‌سازی و ارزیابی امنیت سیستم کامپیوتری به روشی مطمئن و استاندارد صورت می‌گیرد.

این استاندارد دربرگیرنده معیار ارزیابی امنیت وابسته به اقدامات امنیتی اجرایی نمی‌باشد، این اقدامات همچنین به طور مستقیم به اقدامات امنیتی فناوری اطلاعات مربوط نمی‌شود، اگرچه اینگونه تشخیص داده شده که قسمت مهمی از TOE (هدف ارزیابی) از طریق اقدامات اجرایی مانند کنترل‌های سازمانی، پرسنلی، فیزیکی و رویه‌ای ایجاد می‌شود. اقدامات امنیتی اجرایی در محیط عملیاتی TOE جایی که قابلیت تاثیر گذاری بر روی اقدامات امنیتی جهت مقابله با تهدید‌های شناخته شده را دارند به عنوان فرضیات کاربرد ایمن به کار گرفته می‌شود.

ارزیابی جنبه‌های فیزیکی تکنیکی امنیت فناوری اطلاعات مانند کنترل محل صدور جریان الکترومغناطیسی به طور خاص تحت پوشش قرار نمی‌گیرد، این در حالی است که بسیاری از مفاهیم مورد نظر، برای این سطح قابل اجرا خواهند بود. این استاندارد به طور خاص برخی از جوانب محافظت فیزیکی از TOE را مد نظر قرار می‌دهد.

این استاندارد هیچ یک از روش‌های ارزیابی و چهارچوب قانونی و اجرایی که ممکن است بعنوان معیار توسط مسئولین ارزیابی به کار گرفته شود را بعنوان متودولوژِی ارائه نمی‌دهد.

فهرست مطالب
پیشگفتار
مقدمه
فصل اول: امنیت اطلاعات
تاریخچه امنیت اطلاعات
امنیت اطلاعات چیست؟
نقطه آغاز امنیت اطلاعات
چرا به امنیت اطلاعات نیازمندیم؟
چالش انسانی امنیت اطلاعات
اصول مهم در امنیت اطلاعات
مفاهیم پایه درامنیت اطلاعات
محرمانگی
یکپارچه بودن
کنترل اختیارات و قابل دسترس بودن
قابلیت حسابرسی و قابلیت عدم انکار انجام عمل
اصل بودن
کنترل دسترسی
تعریف ساده‌ای از امنیت اطلاعات
کنترل امنیت اطلاعات چگونه ممکن است؟
کنترل امنیت اطلاعات
مدیریتی
منطقی
فیزیکی
رمزنگاری
حراست فیزیکی
روشی برای مدیریت امنیت اطلاعات
برنامه جامع امنیت تجارت الکترونیک
امضای دیجیتالی زیربنای امنیت تبادلات الکترونیکی
منظور از امضای دیجیتالی چیست؟
کاربرد امضای دیجیتالی در تجارت الکترونیکی
تفاوت http با https در امنیت اطلاعات
فصل دوم: مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات چیست؟
طرح مدیریت امنیت اطلاعات چیست؟
سیستم مدیریت امنیت اطلاعات (Information Security Management System)
سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان
مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات
چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)
مراحل اجرای سیستم مدیریت امنیت اطلاعات
تعیین سیاست‌های امنیتی
چگونگی تشخیص الزامات امنیتی
طرح تحلیل مخاطرات امنیتی
ارائه طرح جامع امنیت شبکه و اطلاعات
فصل سوم: استانداردهای مدیریت امنیت اطلاعات
تاریخچه استاندارد
تعریف استاندارد
سطوح استاندارد
سازمان بین‌المللی استانداردسازی
تعریف ایزو از ISMS
استانداردهای امنیت‌
مؤسسه مهندسان برق و الکترونیک (IEEE)
استاندارد IEEE 802
انواع استانداردهای802 IEEE
استاندارد IEEE 802. 11 Wireless LAN
قابلیت‌ها و ابعاد امنیتی استاندارد IEEE802. 11
تقسیم بندی گروه کاری IEEE802. 11
استاندارد جدید IEEE 802. 11N
استانداردهای شبکه‌های محلی بی‌سیم
قابلیت و سرویس پایه توسط IEEE برای شبکه‌های محلی بی‌سیم
استانداردهای مدیریت امنیت اطلاعات
انواع استانداردهای مدیریت امنیت اطلاعات
استانداردهای خانواده ISO27000
استاندارد ISO/IEC 27001
بخش اول
بخش دوم
ممیزی داخلی در استاندارد ISO/IEC 27001
متدولوژی ISO/IEC 27001
حوزه اول - خط مشی امنیتی
اجزاء مستند خط مشی امنیت اطلاعات
حوزه دوم-سازماندهی امنیت اطلاعات
امنیت طرف‌های بیرون از سازمان
حوزه سوم – مدیریت دارایی ها
انواع دارایی‌های عنوان شده
حوزه چهارم – امنیت منابع انسانی
لحاظ نمودن امنیت در تعریف شغل و منبع
حوزه پنجم – امنیت محیطی و فیزیکی
حوزه ششم – مدیریت ارتباطات و عملیات
روش‌های عملیاتی و مسئولیت ها
طراحی و تست قبولی سیستم
حفاظت از نرم افزار بدخواه
مدیریت نسخه‌های پشتیبان
اطمینان از حراست اطلاعات در شبکه‌ها و حفاظت اززیرساخت پشتیبانی کننده
اداره کردن محیط‌های ذخیره سازی
سرویس‌های تجارت الکترونیکی
حوزه هفتم – کنترل دسترسی
کنترل دسترسی به اطلاعات
مدیریت و حصول اطمینان ازدسترسی کاربر
کنترل دسترسی به سیستم عامل
کنترل دسترسی به برنامه‌های کاربردی
محاسبه سیار و کار از راه دور
حوزه هشتم – تهیه، نگهداری و توسعه سیستم‌ها
نیازمندی‌های امنیتی سیستمها‌ی اطلاعاتی
پردازش صحیح برنامه‌های کاربردی
کنترل‌های رمزنگاری
امنیت فایل‌های سیستم کاربردی
امنیت فرآیندهای توسعه و پشتیبانی
حوزه نهم – مدیریت حوادث امنیت اطلاعات
گزارش حوادث و ضعف‌های امنیتی
مدیریت حوادث امنیت اطلاعات و راه‌های بهبود آن‌ها
حوزه دهم– طرح تداوم کسب و کار
وجوه امنیتی مدیریت تداوم کسب و کار
حوزه یازدهم – مطابقت با قوانین
انطباق با الزامات قانونی
انطباق با خط مشی‌ها و انطباق فنی
بازرسی ممیزی سیستم‌های اطلاعاتی
مزایای پیاده سازی استاندارد ISO/IEC 27001
استاندارد ISO/IEC 27002
بحث
استاندارد ISO/IEC 27003
استاندارد ISO/IEC 27004
استاندارد ISO/IEC 27005
استاندارد ISO/IEC 27006
استاندارد ISO/IEC 27007
استاندارد ISO/IEC 27011
مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استانداردهای سری :ISO27000
استاندارد ISO/IEC 15408
گزارش فنی ISO/IEC TR13335 موسسه بین‌المللی استاندارد
استاندارد NIST800_30
مقایسه استانداردهای ISO 27005 و NIST
تصدیق استانداردها
پیاده سازی استانداردهای امنیت شبکه
اطلاعات سرمایه شماست
نفوذ به سیستم شما شهرت سازمان شما را نیز بر باد می‌دهد.
مدل امنیتی وایا چیست؟
ویژگی‌های منحصر به فرد طرح حاضر
نگرش ایمن افزار وایا به امنیت در طرح حاضر
خدمات وایا
بهینه سازی و ایمن سازی شبکه
عقد قرارداد‌های مشاوره
نظارت بر عملکرد سیستم‌های ذخیره سازی و پشتیبان گیری
جمع بندی
لزوم رعایت استاندارد‌های مدیریت امنیت اطلاعات در کشور
نتیجه‌گیری
منابع

مطالب مرتبط

تگ‌ها

مطالب پربیننده

پربیننده
آخرین مطالب

عضویت در خبرنامه