نمایش نتایج: از شماره 1 تا 2 از مجموع 2
سپاس ها 15سپاس
  • 14 توسط Hakimi
  • 1 توسط Hakimi

موضوع: راه اندازی بخش امنیت

  
  1. #1
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,540
    سپاسگزاری شده
    6757
    سپاسگزاری کرده
    1029
    نوشته های وبلاگ
    4

    راه اندازی بخش امنیت

    راه اندازی بخش امنیت اطلاعات و سیستم های اطلاعاتی

    پس از گذشت مدتی نسبتا زیاد از زمانی که تصمیم گرفتیم این قسمت را راه اندازی کنیم، بالاخره این اتفاق خوب رخ داد و این بخش هم به صورت جداگانه از دیگر قسمت های انجمن، راه اندازی شد.

    لازم می دانم در ابتدای شروع به کار این بخش، توضیحاتی را بیان کنم.

    هر جا که اطلاعات هست، موضوع امنیت یکی از بخش های جداناشدنی آن است.

    برخی فکر می کنند اگر یک Firewall قوی در شبکه شان داشته باشند، امنیت شان تامین می شود؛ ولی امنیت اطلاعات و سیستم های اطلاعاتی مقوله ای بسیار فراتر از نگاه صرف به ابزارها و روش های اجرایی است.

    امنیت مقوله ای چند لایه ای و چند سطحی است.

    برای دست یابی به امنیت، باید ساختار امنیت خود را تدوین کنیم. این که بدانیم چرا و چگونه و در چه زمان در برابر چه عواملی از چه اطلاعاتی حفاظت می کنیم و در صورت بروز رخدادهایی که امنیت را تهدید می کنند، با چه هدفی چه اقداماتی را چگونه انجام می دهیم.

    اهداف ما از تدوین ساختار امنیت شامل سیاست های امنیتی، استانداردها، حداقل ها، راهنماها، و رویه های اجرایی دستیابی به مثلت محرمانه گی، صحت (درستی و یکپارچگی) و در دسترس بودن (Confidentiality, Integrity, Availability) است که به نام اختصاری CIA شناخته می شود. (توضیح واضحات: این CIA با آن CIA به معنی Central Intelligence Agency یا همان سازمان مرکزی اطلاعات ایالات متحده فرق می کند!)

    http://en.wikipedia.org/wiki/CIA_triad
    http://privacy.med.miami.edu/glossar...ailability.htm

    هدف ما در این انجمن این است که در مورد امنیت اطلاعات و سیستم های اطلاعاتی و ساختارهای امنیت به بحث و تبادل نظر بپردازیم.

    خط حرکتی و موارد مورد توجه ما در کلیه مباحث، استاندارد های جهانی امنیت ISO 27001 و ISO 17799، استاندارد های ارائه شده توسط موسسه استاندارد و تحقیقات صنعتی ایران، افتا (شورای عالی امنیت فضای تبادل اطلاعات کشور)، انستیتو ملی استاندارد و تکنولوژی ایالات متحده (NIST)، انستیتو ملی استاندارد امریکا و دستور العمل ها و راهنماهایی نظیر مباحث مطرح شده در CISSP و ISSEP خواهد بود.

    از بالا که به پایین حرکت کنیم، به ترتیب
    سیاست های امنیتی
    استاندارد ها
    حداقل ها
    راهنما ها
    روش های اجرایی
    مواردی هستند که پیش روی ما قرار دارند.

    همان طور که برای ساختن یک ساختمان، ابتدا تصمیم می گیرند و سپس نقشه اش را طراحی می کنند و گام به گام پیش می روند تا به مرحله اجرا برسند و جناب معمار آجر روی آجر بچیند تا در نهایت ساختمانی بی عیب و نقص تحویل دهد و این گونه نیست که معمار آجر چینی را شروع کند و پس از آن طراح و نقشه کش نقشه ساختمان را طراحی کنند، ما هم در بحث امنیت باید ترتیب را در نظر داشته باشیم و بدون تعیین هدف و سیاست های امنیتی و استاندارد ها، دست به کار انجام عملیات اجرایی نشویم.

    اگر با نگرشی ساخت یافته به مقوله امنیت بنگریم، می توانیم فعالیت هایمان را هدف مند سازیم و در راستای هدفمان گام برداریم تا در نتیجه سطح امنیت را به اندازه ای بالا ببریم که به اهدافمان (CIA) نزدیک شویم.

    این توضیحات اصلا به این معنی نیست که نمی خواهیم به بررسی ابزار ها و روش های اجرایی بپردازیم، بلکه یادآوری این نکته بود که در ساختار امنیت، روش های اجرایی در پایین ترین رده قرار دارند.
    لازم می دانم با صراحت بیشتر بیان کنم که بالا و پایین بودن المان ها در ساختار امنیت، نشان دهنده میزان اهمیت آنها نیست، بلکه صرفا نشان دهنده ترتیب دست یابی به آنها است.
    وقتی می گوییم روش های اجرایی در پایین ترین رده قرار دارند به این معنی نیست که اهمیتشان از سیاست های امنیتی و استاندارد ها پایین تر است. بلکه به این معنی است که دستیابی به آنها مستلزم تعیین سیاست ها و استاندارد هاست.

    در پایان این توضیح باید به این نکته اشاره کنم که متاسفانه دیده می شود که هرجا بحث از امنیت به میان می آید، ذهن ها به سمت هک و هکر ها کشیده می شود و باز هم متاسفانه برخی به یاد ابزارهای نفوذ و رخنه می افتند. موضوعی که پر واضح است این است که در این انجمن نه تنها به این گونه موارد پرداخته نخواهد شد، بلکه به شدت جلوی این گونه بحث ها گرفته خواهد شد.
    البته حتما تفاوت بین ابزارهای بچه گانه ای که برای نفوذ مورد استفاده قرار می گیرند و ابزارهای آزمون درک خواهد شد.

    با امید انجام فعالیت های مفید و سازنده در جهت بالا بردن سطح دانش در باره امنیت اطلاعات و سیستم های اطلاعاتی



    موضوعات مشابه:
    ehsan_sat، sadeghian، VHR و 11 نفر دیگر سپاسگزاری کرده‌اند.
    محمد حکیمی
    hakimi [a t] gmail.com





  2. #2
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,540
    سپاسگزاری شده
    6757
    سپاسگزاری کرده
    1029
    نوشته های وبلاگ
    4
    baha سپاسگزاری کرده است.
    محمد حکیمی
    hakimi [a t] gmail.com

کلمات کلیدی در جستجوها:

cia امنیت اطلاعات

اهمیت راه اندازی iso 27001

27001 امنیت اطلاعات cia

استانداردهای چند سطحی امنیت

راه اندازی iso27001

نقشه راه isms

مباحث امنیت iso27001

ساختار امنیت اطلاعات

confidentiality availability integrity cia است

تعریف CIA در ISMS

روش اجرایی شبکه isms

confidentiality integrity availability تعریف cia

نقشه راه information security iso 27001

cia امنیت

رویه اجرایی استاندارد isms

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •