راه اندازی بخش امنیت

[B]راه اندازی بخش امنیت اطلاعات و سیستم های اطلاعاتی[/B]

پس از گذشت مدتی نسبتا زیاد از زمانی که تصمیم گرفتیم این قسمت را راه اندازی کنیم، بالاخره این اتفاق خوب رخ داد و این بخش هم به صورت جداگانه از دیگر قسمت های انجمن، راه اندازی شد.

لازم می دانم در ابتدای شروع به کار این بخش، توضیحاتی را بیان کنم.

هر جا که اطلاعات هست، موضوع امنیت یکی از بخش های جداناشدنی آن است.

برخی فکر می کنند اگر یک Firewall قوی در شبکه شان داشته باشند، امنیت شان تامین می شود؛ ولی امنیت اطلاعات و سیستم های اطلاعاتی مقوله ای بسیار فراتر از نگاه صرف به ابزارها و روش های اجرایی است.

امنیت مقوله ای چند لایه ای و چند سطحی است.

برای دست یابی به امنیت، باید ساختار امنیت خود را تدوین کنیم. این که بدانیم چرا و چگونه و در چه زمان در برابر چه عواملی از چه اطلاعاتی حفاظت می کنیم و در صورت بروز رخدادهایی که امنیت را تهدید می کنند، با چه هدفی چه اقداماتی را چگونه انجام می دهیم.

اهداف ما از تدوین ساختار امنیت شامل [B]سیاست های امنیتی[/B]، [B]استانداردها[/B]، [B]حداقل ها[/B]، [B]راهنماها[/B]، و [B]رویه های اجرایی[/B] دستیابی به مثلت [B]محرمانه گی[/B]، [B]صحت[/B] (درستی و یکپارچگی) و [B]در دسترس بودن[/B] ([B]Confidentiality, Integrity, Availability[/B]) است که به نام اختصاری [B]CIA[/B] شناخته می شود. [I](توضیح واضحات: این CIA با آن CIA به معنی Central Intelligence Agency یا همان سازمان مرکزی اطلاعات ایالات متحده فرق می کند!)[/I]

[URL="http://en.wikipedia.org/wiki/CIA_triad"]http://en.wikipedia.org/wiki/CIA_triad[/URL]
[URL="http://privacy.med.miami.edu/glossary/xd_confidentiality_integrity_availability.htm"]http://privacy.med.miami.edu/glossary/xd_confidentiality_integrity_availability.htm[/URL]

هدف ما در این انجمن این است که در مورد امنیت اطلاعات و سیستم های اطلاعاتی و ساختارهای امنیت به بحث و تبادل نظر بپردازیم.

خط حرکتی و موارد مورد توجه ما در کلیه مباحث، استاندارد های جهانی امنیت [URL="http://en.wikipedia.org/wiki/ISO_27001"][B]ISO 27001[/B] [/URL]و [B][URL="http://en.wikipedia.org/wiki/ISO_17799"]ISO 17799[/URL][/B]، استاندارد های ارائه شده توسط [URL="http://www.isiri.org"]موسسه استاندارد و تحقیقات صنعتی ایران[/URL]، [URL="http://www.afta.ir"]افتا (شورای عالی امنیت فضای تبادل اطلاعات کشور)[/URL]، [URL="http://csrc.nist.gov/publications/nistpubs"]انستیتو ملی استاندارد و تکنولوژی ایالات متحده (NIST)[/URL]، [URL="http://www.ansi.org"]انستیتو ملی استاندارد امریکا[/URL] و دستور العمل ها و راهنماهایی نظیر مباحث مطرح شده در [URL="http://en.wikipedia.org/wiki/CISSP"][B]CISSP[/B] [/URL]و [B]ISSEP [/B]خواهد بود.

از بالا که به پایین حرکت کنیم، به ترتیب
[B]سیاست های امنیتی[/B]
[B]استاندارد ها[/B]
[B]حداقل ها[/B]
[B]راهنما ها[/B]
[B]روش های اجرایی[/B]
مواردی هستند که پیش روی ما قرار دارند.

همان طور که برای ساختن یک ساختمان، ابتدا تصمیم می گیرند و سپس نقشه اش را طراحی می کنند و گام به گام پیش می روند تا به مرحله اجرا برسند و جناب معمار آجر روی آجر بچیند تا در نهایت ساختمانی بی عیب و نقص تحویل دهد و این گونه نیست که معمار آجر چینی را شروع کند و پس از آن طراح و نقشه کش نقشه ساختمان را طراحی کنند، ما هم در بحث امنیت باید ترتیب را در نظر داشته باشیم و بدون تعیین هدف و سیاست های امنیتی و استاندارد ها، دست به کار انجام عملیات اجرایی نشویم.

اگر با [B]نگرشی ساخت یافته [/B]به مقوله امنیت بنگریم، می توانیم [B]فعالیت هایمان را هدف مند سازیم [/B]و [B]در راستای هدفمان گام برداریم [/B]تا در نتیجه سطح امنیت را به اندازه ای بالا ببریم که به اهدافمان (CIA) نزدیک شویم.

این توضیحات اصلا به این معنی نیست که نمی خواهیم به بررسی ابزار ها و روش های اجرایی بپردازیم، بلکه یادآوری این نکته بود که در ساختار امنیت، روش های اجرایی در پایین ترین رده قرار دارند.
لازم می دانم با صراحت بیشتر بیان کنم که [B]بالا و پایین بودن المان ها در ساختار امنیت، نشان دهنده میزان اهمیت آنها نیست، بلکه صرفا نشان دهنده ترتیب دست یابی به آنها است[/B].
وقتی می گوییم روش های اجرایی در پایین ترین رده قرار دارند به این معنی نیست که اهمیتشان از سیاست های امنیتی و استاندارد ها پایین تر است. بلکه به این معنی است که دستیابی به آنها مستلزم تعیین سیاست ها و استاندارد هاست.

در پایان این توضیح باید به این نکته اشاره کنم که متاسفانه دیده می شود که هرجا بحث از امنیت به میان می آید، ذهن ها به سمت هک و هکر ها کشیده می شود و باز هم متاسفانه برخی به یاد ابزارهای نفوذ و رخنه می افتند. موضوعی که پر واضح است این است که در این انجمن نه تنها به این گونه موارد پرداخته نخواهد شد، بلکه به شدت جلوی این گونه بحث ها گرفته خواهد شد.
البته حتما تفاوت بین ابزارهای بچه گانه ای که برای نفوذ مورد استفاده قرار می گیرند و ابزارهای آزمون درک خواهد شد.

با امید انجام فعالیت های مفید و سازنده در جهت بالا بردن سطح دانش در باره امنیت اطلاعات و سیستم های اطلاعاتی

[URL="http://forum.persiannetworks.com/showthread.php?p=131185"]برای ابراز نظرات خود در مورد این بخش تازه تاسیس می توانید از این قسمت استفاده کنید.[/URL]
[URL="http://forum.persiannetworks.com/showthread.php?p=131185"]http://forum.persiannetworks.com/showthread.php?p=131185[/URL]