سلام دوست من این متن کامل اونچیزیه که میخواستی !
در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي*توان به فقدان زيرساخت*هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن*سازي فضاي تبادل اطلاعات دستگاه*هاي دولتي اشاره نمود.
بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساخت*هائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت*هاي امنيت فضاي تبادل اطلاعات در کشور مي*باشد. از سوي ديگر، وجود زيرساخت*هاي فوق، قطعا تاثير بسزائي در ايمن*سازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت.
صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه*هاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه*ها شده و کاهش اعتبار اين دستگاه*ها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايه*هاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمن*سازي فضاي تبادل اطلاعات دستگاه*هاي دولتي، ضروري به نظر مي*رسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاه*هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.
سيستم مديريت امنيت اطلاعات (ISMS)
با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن*سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي*باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن*سازي شامل مراحل طراحي، پياده*سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:
1- تهيه طرح*ها و برنامه*هاي امنيتي موردنياز سازمان
2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3- اجراي طرح*ها و برنامه*هاي امنيتي سازمان
در حال حاضر، مجموعه*اي از استانداردهاي مديريتي و فني ايمن*سازي فضاي تبادل اطلاعات سازمان*ها ارائه شده*اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بين*المللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين*المللي استاندارد از برجسته*ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي*گردند.
در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:
1- تعيين مراحل ايمن*سازي و نحوه شکل*گيري چرخه امنيت اطلاعات و ارتباطات سازمان
2- جرئيات مراحل ايمن*سازي و تکنيکهاي فني مورد استفاده در هر مرحله
3- ليست و محتواي طرح*ها و برنامه*هاي امنيتي موردنياز سازمان
4- ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان
5- کنترل*هاي امنيتي موردنياز براي هر يک از سيستم*هاي اطلاعاتي و ارتباطي سازمان
مروري بر استانداردهاي مديريت امنيت اطلاعات
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان*ها، عبارتند از:
· استاندارد مديريتي BS7799 موسسه استاندارد انگليس
· استاندارد مديريتي ISO/IEC 17799 موسسه بين*المللي استاندارد
· گزارش فني ISO/IEC TR 13335 موسسه بين*المللي استاندارد
در اين بخش، به بررسي مختصر استانداردهاي فوق خواهيم پرداخت.
2-1- استاندارد BS7799 موسسه استاندارد انگليس
استاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد.
2-1-1- بخش اول
در اين بخش از استاندارد، مجموعه کنترل*هاي امنيتي موردنياز سيستم*هاي اطلاعاتي و ارتباطي هر سازمان، در قالب ده دسته*بندي کلي شامل موارد زير، ارائه شده است:
1- تدوين سياست امنيتي سازمان
در اين قسمت، به ضرورت تدوين و انتشار سياست*هاي امنيتي اطلاعات و ارتباطات سازمان ، بنحوي که کليه مخاطبين سياست*ها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياست*هاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است.
2- ايجاد تشکيلات تامين امنيت سازمان
در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليت*هاي هر يک از سطوح، ارائه شده است.
3- دسته*بندي سرمايه*ها و تعيين کنترل*هاي لازم
در اين قسمت،ضمن تشريح ضرورت دسته*بندي اطلاعات سازمان، به جزئيات تدوين راهنماي دسته*بندي اطلاعات سازمان پرداخته و محورهاي دسته*بندي اطلاعات را ارائه نموده است.
4- امنيت پرسنلي
در اين قسمت،ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بکارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از مسئوليت*هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده است.
5- امنيت فيزيکي و پيراموني
در اين قسمت، اهميت و ابعاد امنيت فيزيکي، جزئيات محافظت از تجهيزات و کنترلهاي موردنياز براي اين منظور، ارائه شده است.
6- مديريت ارتباطات
در اين قسمت،ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر يک از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم*ها، محافظت در مقابل نرم*افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان*گيري از اطلاعات، مديريت شبکه، محافظت از رسانه*ها و روالها و مسئوليت*هاي مربوط به درخواست، تحويل، تست و ساير موارد *تغيير نرم*افزارها ارائه شده است.
7- کنترل دسترسي
در اين قسمت،نيازمنديهاي کنترل دسترسي، نحوه مديريت دسترسي پرسنل، مسئوليت*هاي کاربران، ابزارها و مکانيزم*هاي کنترل دسترسي در شبکه، کنترل دسترسي در سيستم*عاملها و نرم*افزارهاي کاربردي، استفاده از سيستم*هاي مانيتورينگ و کنترل *دسترسي در ارتباط از راه دور به شبکه ارائه شده است.
8- نگهداري و توسعه سيستم*ها
در اين قسمت،ضرورت تعيين نيازمنديهاي امنيتي سيستم*ها، امنيت در سيستم*هاي کاربردي، کنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز در توسعه و پشتيباني سيستم*ها، ارائه شده است.
9- مديريت تداوم فعاليت سازمان
در اين قسمت،رويه*هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدوين طرح*هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرح*هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.
10- پاسخگوئي به نيازهاي امنيتي
در اين قسمت،مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست*هاي امنيتي موردنياز و ابزارها و مکانيزم*هاي بازرسي امنيتي سيستم*ها، ارائه شده است.
2-1-2- بخش دوم
در اين بخش از استاندارد براي تامين امنيت اطلاعات و ارتباطات سازمان ،* مطابق شکل (1)* يک چرخة* ايمن سازي شامل 4 مرحلة طراحي ، پياده سازي ،* تست و اصلاح ارائه شده و جزئيات هر يک از مراحل به همراه ليست و محتواي مستندات موردنياز جهت ايجاد سيستم مديريت امنيا اطلاعات سازمان، ارائه شده است .
2-2- استاندارد ISO/IEC 17799 موسسه بين*المللي استاندارد
در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هيچگونه تغييري توسط موسسة بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد.
2-3- راهنماي فني ISO/IEC TR13335 موسسه بين*المللي استاندارد
اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد .
2-3-1- بخش اول
در اين بخش که در سال 1996 منتشر شد، *مفاهيم کلي امنيت اطلاعات از قبيل سرمايه، تهديد، آسيب پذيري، ريسک،* ضربه و ... ، روابط بين اين مفاهيم و مدل مديريت مخاطرات امنيتي، ارائه شده است .
2-3-2- بخش دوم
اين بخش که در سال 1997 منتشر شد ، مراحل ايمن سازي و ساختار تشکيلات تامين امنيت اطلاعات سازمان ارائه شده است . بر اساس اين گزارش فني ،* چرخة ايمن سازي مطابق شکل (2) به 5 مرحله شامل تدوين سياست امنيتي سازمان، تحليل مخاطرات امنيتي، تعيين حفاظها و ارائة* طرح امنيت، پياده سازي طرح امنيت و پشتيباني امنيت اطلاعات، تفکيک شده است.
تعيين اهداف، راهبردها و سياست*هاي امنيتي فضاي تبادل اطلاعات سازمان
تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
انتخاب حفاظ ها و ارائه طرح امنيت
پياده*سازي طرح امنيت
پشتيباني امنيت فضاي تبادل اطلاعات سازمان
2-3-3- بخش سوم
در اين بخش که در سال 1998 منتشر شد، تکنيکهاي طراحي، پياده سازي و پشتيباني امنيت اطلاعات از جمله محورها و جزئيات سياستهاي امنيتي سازمان، تکنيکهاي تحليل مخاطرات امنيتي، محتواي طرح امنيتي، جزئيات پياده سازي طرح امنيتي و پشتيباني امنيت اطلاعات، ارائه شده است.
2-3-4- بخش چهارم
در اين بخش که در سال 2000 منتشر شد، ضمن تشريح حفاظهاي فيزيکي، سازماني و حفاظهاي خاص سيستم*هاي اطلاعاتي، نحوة انتخاب حفاظهاي مورد نياز براي تامين هريک از مولفه*هاي امنيت اطلاعات، ارائه شده است.
2-3-5- بخش پنجم
در اين بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروري بر بخشهاي دوم تا چهارم اين گزارش فني، تکنيکهاي تامين امنيت ارتباطات از قبيل شبکه*هاي خصوصي مجازي، امنيت در گذرگاه*ها، تشخيص تهاجم و کدهاي مخرب، ارائه شده است.
مستندات ISMS دستگاه
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
· اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
· طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
· طرح امنيت فضاي تبادل اطلاعات دستگاه
· طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
· برنامة آگاهي رساني امنيتي به پرسنل دستگاه
· برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش، به بررسي مستندات فوق خواهيم پرداخت.
3-1- اهداف،*راهبردها و سياست*هاي امنيتي
اولين بخش از مستندات ISMS دستکگاه، شامل اهداف، راهبردها و سياست*هاي امنيتي فضاي تبادل اطلاعات دستگاه مي*باشد. در اين مستندات، لازم است موارد زير، گنجانيده شوند:
3-1-1- اهداف امنيت فضاي تبادل اطلاعات دستگاه
در اين بخش از مستندات، ابتدا سرمايه*هاي فضاي تبادل اطلاعات دستگاه، در قالب سخت*افزارها، نرم*افزارها، اطلاعات، ارتباطات، سرويسها و کاربران تفکيک و دسته*بندي شده و سپس اهداف کوتاه*مدت و ميان*مدت تامين امنيت هر يک از سرمايه*ها، تعيين خواهد شد. نمونه*اي از اين اهداف، عبارتند از:
نمونه*هائي از اهداف کوتاه مدت امنيت:
· جلوگيري از حملات و دسترسي*هاي غيرمجاز، عليه سرمايه*هاي فضاي تبادل اطلاعات دستگاه
· مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات دستگاه
· کاهش رخنه*پذيريهاي سرمايه*هاي فضاي تبادل اطلاعات دستگاه
نمونه*هائي از اهداف ميان مدت امنيت:
· تامين صحت عملکرد، قابليت دسترسي و محافظت فيزيکی براي سخت*افزارها، متناسب با حساسيت آنها.
· تامين صحت عملکرد و قابليت دسترسي براي نرم*افزارها، متناسب با حساسيت آنها.
· تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه*بندي اطلاعات از حيث محرمانگي.
· تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه*بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.
· تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي*رساني امنيتي براي کاربران شبکه، متناسب با طبقه*بندي اطلاعات قابل دسترس و نوع کاربران.
3-1-2- راهبردهاي امنيت فضاي تبادل اطلاعات دستگاه
راهبردهاي امنيت فضاي تبادل اطلاعات دستگاه، بيانگر اقداماتي است که به منظور تامين اهداف امنيت دستگاه، بايد انجام گيرد. نمونه*اي از راهبردهاي کوتاه*مدت و ميان*مدت امنيت فضاي تبادل اطلاعات دستگاه، عبارتند از:
نمونه*هائي از راهبردهاي کوتاه مدت امنيت:
· شناسائي و رفع ضعفهاي امنيتي فضاي تبادل اطلاعات دستگاه
· آگاهي*رساني به کاربران فضاي تبادل اطلاعات دستگاه
· کنترل و اعمال محدوديت در ارتباطات شبکه داخلي دستگاه
نمونه*هائي از راهبردهاي ميان مدت امنيت:
· رعايت استانداردهاي مديريت امنيت اطلاعات
· تهيه طرح*ها و برنامه*هاي امنيتي فضاي تبادل اطلاعات دستگاه، بر اساس استانداردهاي فوق
· ايجاد و آماده*سازي تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
· اجراي طرح*ها و برنامه*هاي امنيتي فضاي تبادل اطلاعات دستگاه
3-1-3- سياست*هاي امنيتي فضاي تبادل اطلاعات دستگاه
سياست*هاي امنيتي فضاي تبادل اطلاعات دستگاه، متناسب با دسته*بندي انجام شده روي سرمايه*هاي فضاي تبادل اطلاعات دستگاه، عبارتند از:
· سياست*هاي امنيتي سرويس*هاي فضاي تبادل اطلاعات دستگاه
· سياست*هاي امنيتي سخت*افزارهاي فضاي تبادل اطلاعات دستگاه
· سياست*هاي امنيتي نرم*افزارهاي فضاي تبادل اطلاعات دستگاه
· سياست*هاي امنيتي اطلاعات فضاي تبادل اطلاعات دستگاه
· سياست*هاي امنيتي ارتباطات فضاي تبادل اطلاعات دستگاه
· سياست*هاي امنيتي کاربران فضاي تبادل اطلاعات دستگاه
3-2- طرح تحليل مخاطرات امنيتي
پس از تدوين اهداف،* راهبردها و سياست*هاي امنيتي فضاي تبادل اطلاعات دستگاه و قبل از طراحي امنيت فضاي تبادل اطلاعات، لازم است شناخت دقيقي از مجموعه فضاي تبادل اطلاعات موجود دستگاه بدست آورد. در اين مرحله، ضمن کسب شناخت نسبت به اطلاعات، *ارتباطات، تجهيزات، سرويس*ها و ساختار شبکه ارتباطي دستگاه، ضعفهاي امنيتي موجود در بخشهاي مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهکارهاي لازم به منظور رفع اين ضعفها و مقابله با تهديدها، ارائه شوند. روش تحليل مخاطرات امنيتي، بايد در مجموعه راهبردهاي امنيتي فضاي تبادل اطلاعات دستگاه، مشخص شده باشد.
در تحليل مخاطرات امنيتي، به مواردي پرداخته مي*شود که بصورت بالقوه، امکان دسترسي غيرمجاز، نفوذ و حمله کاربران مجاز يا غيرمجاز فضاي تبادل اطلاعات دستگاه، به منابع ( سرمايه*هاي) فضاي تبادل اطلاعات دستگاه و منابع کاربران اين فضا را فراهم مي*نمايند.
در اين مستند،* لازم است مخاطرات امنيتي فضاي تبادل اطلاعات، حداقل در محورهاي "معماري شبکه"، "تجهيزات شبکه"، "سرويس*دهنده*هاي شبکه"، "مديريت و نگهداري شبکه" و "تشکيلات و روشهاي مديريت امنيت شبکه"، بررسي شوند.
3-2-1- معماري شبکه ارتباطي
در اين بخش،* لازم است معماري شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:
· ساختار شبکه ارتباطي
· ساختار آدرس*دهي و مسيريابي
· ساختار دسترسي به شبکه ارتباطي
3-2-2- تجهيزات شبکه ارتباطي
در اين بخش،* لازم است تجهيزات شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:
· محافظت فيزيکي
· نسخه و آسيب*پذيريهاي نرم*افزار
· مديريت محلي و از راه دور
· تصديق هويت، تعيين اختيارات و ثبت عملکرد سيستم، بويژه در دسترسي*هاي مديريتي
· ثبت وقايع
· نگهداري و به*روزنمودن پيکربندي
· مقابله با حملات عليه خود سيستم، بويژه حملات ممانعت از سرويس
3-2-3- مديريت و نگهداري شبکه ارتباطي
در اين بخش،* لازم است مديريت و نگهداري شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:
· تشکيلات و روشهاي مديريت و نگهداري شبکه ارتباطي
· ابزارها و مکانيزم*هاي مديريت و نگهداري شبکه ارتباطي
3-2-4- سرويس*هاي شبکه ارتباطي
در اين بخش،* لازم است سرويس*هاي شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:
· سيستم عامل سرويس*دهنده
· سخت*افزار سرويس*دهنده، *بويژه رعايت افزونگي در سطح ماجول و سيستم
· نرم*افزار سرويس
· استفاده از ابزارها و مکانيزم*هاي امنيتي روي سرويس*دهنده*ها
3-2-5- تشکيلات و روشهاي تامين امنيت شبکه ارتباطي
در اين بخش،* لازم است تشکيلات و روشهاي امنيت شبکه ارتباطي دستگاه، حداقل در محورهاي زير مورد تجزيه و تحليل قرار گيرد:
· طرح*ها، برنامه*ها و ساير مستندات امنيتي
· تشکيلات امنيت، روالهاي اجرائي و شرح وظايف پرسنل امنيت
3-3- طرح امنيت
پس از تحليل مخاطرات امنيتي شبکه ارتباطي دستگاه و دسته*بندي مخاطرات امنيتي اين شبکه، در طرح امنيت، ابزارها و مکانيزم*هاي موردنياز به منظور رفع اين ضعفها و مقابله با تهديدها، ارائه مي*شوند. در طرح امنيت، لازم است کليه ابزارها ومکانيزم*هاي امنيتي موجود، بکار گرفته شوند. نمونه*اي از اين ابزارها عبارتند از:
1- سيستم*هاي کنترل جريان اطلاعات و تشکيل نواحي امنيتي
· فايروال*ها
· ساير سيستم*هاي تامين امنيت گذرگاه*ها
2- سيستم*هاي تشخيص و مقابله يا تشخيص و پيشگيري از حملات،*شامل:
· سيستم*هاي مبتني بر ايستگاه
· سيستم*هاي مبتني بر شبکه
3- سيستم فيلترينگ محتوا ( بويژه براي سرويس E-Mail)
4- نرم*افزارهاي تشخيص و مقابله با ويروس
5- سيستم*هاي تشخيص هويت، تعيين حدود اختيارات و ثبت عملکرد کاربران
6- سيستم*هاي ثبت و تحليل رويدادنامه*ها
7- سيستم*هاي رمزنگاري اطلاعات
8- نرم*افزارهاي نظارت بر ترافيک شبکه
9- نرم*افزارهاي پويشگر امنيتي
10- نرم*افزارهاي مديريت امنيت شبکه
ويژگيهاي اصلي سيستم امنيتي شبکه ارتباطي دستگاه، عبارتند از:
· چندلايه بودن سيستم امنيتي
· توزيع*شده بودن سيستم امنيتي
· تشکيل نواحي امنيتي جهت کنترل دقيق دسترسي به سرويس*هاي شبکه
· يکپارچگي مکانيزم*هاي امنيتي، بويژه در گذرگاههاي ارتباطي شبکه
· تفکيک زيرساختار مديريت امنيت شبکه ( حداقل بخش اصلي سيستم امنيتي شبکه)
· انتخاب اجزاء سيستم امنيتي شبکه، از Brandهاي مختلف، بنحوي که ضعفهاي امنيتي يکديگر را پوشش داده و مخاطره باقيمانده را کاهش دهند
· انتخاب محصولاتي که داراي تائيديه*هاي معتبر، از موسسات ارزيابي بين*المللي مي*باشند
3-4- طرح مقابله با حوادث امنيتي و ترميم خرابيها
طرح مقابله با حوادث امنيتي، با هدف پيشگيري، تشخيص و مقابله با حوادث امنيتي فضاي تبادل اطلاعات، ارائه مي*گردد. محتواي اين طرح، حداقل شامل موارد زير مي*باشد:
1- دسته*بندي حوادث
2- سياست*هاي مربوط به هر يک از سرويس*هاي مقابله با حوادث امنيتي
3- ساختار و شرح وظايف مربوط به تيم مقابله با حوادث امنيتي دستگاه
4- سرويس*هاي پيشگيري و مقابله با حوادث که توسط تيم مقابله با حوادث امنيتي دستگاه ارائه مي*گردد
5- روالهاي اجرائي مربوط به هر يک از سرويس*ها
6- متدولوژي مقابله با حوادث امنيتي
· آماده*سازي تيم
· تشخيص و تحليل حوادث
· محدودسازي،* ترميم و ريشه*کني حوادث
· فعاليت*هاي بعد از حوادث
· چک ليست مقابله با حوادث
7- الگوي مقابله با حوادث امنيتي
3-5- برنامه آگاهي*رساني امنيتي
برنامه آگاهي*رساني امنيتي، با هدف برنامه*ريزي نحوه آگاهي رساني به کاربران شبکه دستگاه ارائه مي*گردد و بايد حاوي موارد ذيل باشد:
1- اهداف آگاهي*رساني
2- راهبردها
3- برنامه اجرائي آگاهي*رساني
4- مفاد دوره*هاي آگاهي*رساني از قبيل:
· اعلام حيطه حريم خصوصي کاربران
· اعلام وظايف، مسئوليتها و مواردي که کاربران بايد پاسخگو باشند
· اعلام مواردي که کاربران بايد نسبت به آن حساسيت داشته باشند ( از قبيل اعلام حوادث به تيم مقابله با حوادث )
· ارائه اطلاعات در زمينه آسيب*پذيري سيستم*ها و مواردي که کاربران بايد دقت بيشتري لحاظ نمايند
3-6- برنامه آموزش پرسنل تشکيلات امنيت
برنامه آموزش امنيتي، با هدف توانمند سازي پرسنل تشکيلات امنيت دستگاه ارائه مي*گردد و بايد حاوي موارد ذيل باشد:
5- اهداف آموزش
6- راهبردها
7- برنامه اجرائي آموزش
8- مفاد دوره*هاي آموزشي
تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
4-1- اجزاء و ساختار تشکيلات امنيت
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه به منظور تامين امنيت اطلاعات و ارتباطات خود، لازم است تشکيلات تامين امنيت به شرح زير، ايجاد نمايد.
4-1-1- اجزاء تشکيلات امنيت :
تشکيلات امنيت شبکه، متشکل از سه جزء اصلی به شرح زير می باشد:
· در سطح سياستگذاري: کميته راهبری امنيت فضاي تبادل اطلاعات دستگاه
· در سطح مديريت اجرائي: مدير امنيت فضاي تبادل اطلاعات دستگاه
· در سطح فني: واحد پشتيبانی امنيت فضاي تبادل اطلاعات دستگاه
علاوه بر موارد فوق، واحدهاي "مشاوره و طراحي" و "نظارت و بازرسي" نيز لازم است. ليکن اين واحدها الزاما در داخل دستگاه و چارت سازماني، *تشکيل نخواهند شد.
4-1-2- ساختار تشکيلات امنيت :
ساختار تشکيلات امنيت شبکه دستگاه، عبارتست از:
4-1-3- اعضاء تشکيلات امنيت فضاي تبادل اطلاعات دستگاه:
اعضاء تشکيلات امنيت شبکه دستگاه، عبارتند از:
1- اعضاء کميته راهبری امنيت:
o مدير دستگاه ( رئيس کميته )
o نماينده ويژه مدير دستگاه
o مدير حراست دستگاه
o مدير فن آوری اطلاعات دستگاه
o مدير امنيت شبکه دستگاه (*دبير کميته )
2- مدير امنيت :
مديريت واحد پشتيباني امنيت شبکه را به عهده دارد و توسط مدير فن*آوري اطلاعات دستگاه تعيين مي*شود.
3- تيم*هاي پشتيباني امنيت :
شامل تيم*هاي زير بوده و اعضاء آن مستقيما توسط مدير امنيت شبکه دستگاه تعيين مي*شوند:
· تيم پشتيباني حوادث
· تيم نظارت و بازرسي
· تيم نگهداري امنيت
· تيم مديريت تغييرات
· تيم بررسي پاسخگوئي به نيازهاي امنيتي
4-2- شرح وظايف تشکيلات امنيت
4-2-1- شرح وظايف کميته راهبری امنيت:
· بررسی، تغيير و تصويب سياستهای امنيتی شبکه
· پيگيری اجرای سياستهای امنيتی از مدير امنيت شبکه
· تائيد طرح*هاي و برنامه*هاي امنيت شبکه دستگاه شامل:
o طرح تحليل مخاطرات امنيتي
o طرح امنيت شبکه
o طرح مقابله با حوادث و ترميم خرابيها
o برنامه آگاهي*رساني امنيتي کاربران
o برنامه آموزش واحد پشتيبانی امنيت شبکه
· بررسی ضرورت تغيير سياستهای امنيتی شبکه
· بررسی، تغيير و تصويب تغييرات سياستهای امنيتی شبکه
3-2-2- شرح وظايف مدير امنيت :
· تهيه پيش نويس سياستهای امنيتی شبکه و ارائه به کميته راهبری امنيت شبکه
· نظارت بر اجرای کامل سياستهای امنيتی شبکه توسط واحد پشتيبانی امنيت شبکه، کاربران شبکه، مديران و کارشناسان ادارات و طراحان امنيت شبکه دستگاه
· تهيه طرح*ها و برنامه*هاي امنيت شبکه دستگاه با کمک واحد مشاوره و طراحي و ارائه آنها به کميته راهبری
· مديريت واحد پشتيبانی امنيت شبکه دستگاه و نظارت بر عملکرد اجزاء اين واحد
· تشخيص ضرورت و پيشنهاد بازنگری و اصلاح سياستهای امنيتی شبکه
· تهيه پيش نويس تغييرات سياستهای امنيتی شبکه
3-2-3- شرح وظايف واحد پشتيبانی امنيت :
· شرح وظايف پشتيبانی حوادث امنيتی شبکه:
o تشخيص و مقابله با تهاجم
§ مرور روزانه Log فايروالها، مسيريابها، تجهيزات گذرگاههاي ارتباط با ساير شبکه*ها و سرويس*دهنده*هاي شبکه داخلي و اينترنت دستگاه، بمنظور تشخيص اقدامات خرابکارانه و تهاجم.
§ مرور ترددهاي انجام شده به سايت و Data Center و گزارش اقدامات انجام شده توسط کارشناسان و مديران سرويسها.
§ مرور روزانه گزارش سيستم تشخيص تهاجم به منظور تشخيص تهاجم*هاي احتمالي.
§ انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جديد.
§ ترميم خرابيهاي ناشي از تهاجم جديد.
§ مستندسازي و ارائه گزارش تهاجم تشخيص داده شده به تيم هماهنگي و آگاهي*رساني امنيتي.
§ اعمال تغييرات لازم در سيستم امنيت شبکه، بمنظور مقابله با تهاجم جديد.
§ مطالعه و بررسي تهاجم*هاي جديد و اعمال تنظيمات لازم در سيستم تشخيص تهاجم و ساير بخشهاي سيستم امنيت شبکه.
§ ارائه پيشنهاد در خصوص تغييرات لازم در سيستم امنيتي شبکه بمنظور مقابله با تهديدهاي جديد، به مدير امنيت شبکه.
o آگاهي*رساني به کاربران شبکه در خصوص روشهاي جديد نفوذ به سيستم*ها و روشهاي مقابله با آن، آسيب*پذيريهاي جديد ارائه شده براي سيستم*هاي مختلف و روشهاي بر طرف نمودن آنها.
o تشخيص و مقابله با ويروس
§ بررسي و در صورت نياز، انتخاب، خريد و تست نرم افزار ضدويروس مناسب برای ايستگاههای کاری و سرويس دهنده*هاي شبکه دستگاه به صورت دوره*اي ( هر سال يکبار)
§ نصب نرم*افزار ضدويروس روي ايستگاههاي کاري مديران و ارائه اطلاعات لازم به ساير کاربران، جهت نصب نرم*افزار.
§ نصب نرم*افزار ضدويروس روي کليه سرويس*دهنده*هاي شبکه دستگاه.
§ تهيه راهنماي نصب و Update نمودن نرم*افزار ضدويروس ايستگاههاي کاري و سرويس*دهنده*ها و ارائه آن به کاربران شبکه از طريق واحد هماهنگي و آگاهي*رساني امنيتي.
§ مرور روزانه Log و گزارشات نرم*افزارهاي ضد ويروس.
§ مطالعه و بررسي ويروسهاي جديد و روشهاي مقابله با آن.
§ ارائه روشهاي مقابله با ويروسها به تيم هماهنگي و آگاهي*رساني امنيتي، جهت اعلام به کاربران و انجام اقدامات لازم.
§ انجام اقدامات پيشگيرانه لازم بمنظور کنترل دامنه تاثير ويروسهاي جديد.
§ ترميم خرابيهاي ناشي از ويروسهاي جديد.
§ مستندسازي و ارائه گزارشهاي آماري از ويروسها، مقابله با آنها و خرابيهاي ناشي از ويروسها در شبکه دستگاه، به تيم هماهنگي و آگاهي*رساني امنيتي.
§ فراهم نمودن امکان Update نمودن نرم*افزار ضد ويروس، بصورت روزانه ( بجز نرم*افزار ضد ويروس کاربران شبکه که بايد توسط خود کاربران Update شود ).
§ ارائه اطلاعات لازم جهت آگاهي رساني به کاربران در خصوص ويروسهاي جديد، توسط تيم هماهنگي و آگاهي*رساني امنيتي.
§ ارائه پيشنهاد در خصوص تغييرات لازم در نرم*افزارهاي ضد ويروس و سيستم امنيتي شبکه بمنظور مقابله با ويروسهاي جديد، به مدير امنيت شبکه.
o آگاهي*رساني به کاربران شبکه در خصوص ويروسهاي جديد و روشهاي مقابله با آنها.
o تشخيص و مقابله با حوادث فيزيکی
§ انتخاب ابزارهاي مناسب جهت محافظت فيزيکي از تجهيزات و سرمايه*هاي شبکه در مقابل حوادث فيزيکي و دسترسي*هاي غيرمجاز .
§ مرور روزانه رويدادنامه*هاي دسترسي فيزيکي به سرمايه*هاي شبکه، بويژه در سايت.
§ سرکشي دوره*اي به سايت، تجهيزات مستقر در طبقات ساختمانها و مسير عبور کابلها به منظور اطمينان از تامين امنيت فيزيکي آنها.
§ مطالعه و بررسي حوادث فيزيکي جديد و روشهاي مقابله با آن.
§ ارائه روشها به تيم هماهنگي و آگاهي*رساني امنيت جهت اعلام به کاربران و انجام اقدامات لازم.
§ انجام اقدامات لازم بمنظور کنترل دامنه حوادث فيزيکي.
§ ترميم خرابيهاي ناشي از حوادث فيزيکي.
§ مستندسازي و ارائه گزارشهاي آماري از حوادث فيزيکي، مقابله با اين حوادث و خرابيهاي ناشي از آنها به تيم هماهنگي و آگاهي*رساني امنيتي.
§ ارائه پيشنهاد در خصوص Update نمودن تجهيزات و روشهاي تامين امنيت فيزيکي به مدير امنيت شبکه.
§ ارائه اطلاعات لازم جهت آگاهي رساني به کاربران در خصوص حوادث فيزيکي، توسط تيم هماهنگي و آگاهي*رساني امنيتي.
· شرح وظايف نظارت و بازرسی امنيتی
o مانيتورينگ ترافيک شبکه ( در حيطه مانيتورينگ مجاز )
o بازرسی دوره ای از ايستگاههای کاری، سرويس*دهنده*ها، تجهيزات شبکه و ساير سخت*افزارهاي موجود شبکه، به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.
o بازرسی دوره ای از سخت*افزارهاي خريداري شده و تطبيق پروسه "سفارش، خريد، تست، نصب و پيکربندي سخت*افزارهاي شبکه دستگاه" با سياستهاي مربوطه.
o بازرسی دوره ای از نرم*افزارهاي موجود شبکه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.
o بازرسی دوره ای از نرم*افزارهاي خريداري شده و تطبيق پروسه "سفارش، خريد، تست، نصب و پيکربندي نرم*افزارهاي شبکه دستگاه" با سياستهاي مربوطه.
o بازرسی دوره ای از نحوه اتصال شبکه داخلي و شبکه دسترسي به اينترنت دستگاه، با ساير شبکه*هاي مجاز، بر اساس سياستهاي امنيتي مربوطه.
o بازرسی دوره ای از اطلاعات شبکه دستگاه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه.
o بازرسی دوره ای از کاربران شبکه دستگاه به منظور اطمينان از آگاهي کاربران از حقوق و مسئوليتهاي خود و رعايت سياستهاي امنيتي مرتبط با خود.
o بازرسی دوره ای از روند تهيه اطلاعات پشتيبان.
o بازرسی دوره ای از روند تشخيص و مقابله با حوادث امنيتي در شبکه دستگاه.
o بازرسی دوره ای از روند تشخيص و مقابله با ويروس در شبکه دستگاه.
o بازرسی دوره ای از روند تشخيص و مقابله با حوادث فيزيکي در شبکه دستگاه.
o بازرسی دوره ای از روند نگهداري سيستم امنيتي شبکه در شبکه دستگاه.
o بازرسی دوره ای از روند مديريت تغييرات در شبکه دستگاه.
o بازرسی دوره ای از روند آگاهي*رساني امنيتي به کاربران شبکه دستگاه.
o بازرسی دوره ای از روند آموزش پرسنل واحد پشتيباني امنيت شبکه دستگاه.
o بازرسی دوره ای از روند واگذاري فعاليت*ها به پيمانکاران خارج از دستگاه.
· شرح وظايف مديريت تغييرات
o بررسي درخواست خريد، ايجاد يا تغيير سخت*افزارها، نرم*افزارها، لينکهاي ارتباطي، سيستم*عاملها و سرويسهاي شبکه از ديدگاه امنيت شبکه، آسيب*پذيريهاي سيستم يا سرويس مورد نظر، مشکلات امنيتي ناشي از بکارگيري آن بر ساير بخشهاي شبکه و نهايتا تصميم*گيري در خصوص تائيد يا رد درخواست.
o بررسي آسيب*پذيريهاي سخت*افزارها، نرم*افزارهاي کاربردي، سيستم عاملها، خطوط ارتباطي و سرويسهاي مرسوم شبکه و امنيت شبکه.
o آگاهي*رساني به طراحان شبکه و امنيت شبکه در خصوص آسيب*پذيري فوق، بمنظور لحاظ نمودن در طراحي.
o ارائه گزارش بررسي*ها به تيم هماهنگي و آگاهي*رساني امنيت شبکه.
o بررسي موارد مربوط به جابجائي کاربران شبکه و پرسنل تشکيلات امنيت شبکه بمنظور تغيير در دسترسي و حدود اختيارات آنها در دسترسي به سرمايه*هاي شبکه.
o بررسي نيازمنديهاي امنيتي و روشهاي ايمن*سازي سيستم عاملها، سرويس*دهنده*هاي شبکه، خطوط ارتباطي، نرم*افزارها، تجهيزات شبکه و امنيت شبکه جديد که بکارگيري آنها در شبکه، مورد تائيد قرار گرفته است.
o ارائه دستورالعمل*هاي ايمن*سازي و پيکربندي امن براي هر يک از موارد فوق.
· شرح وظايف نگهداری امنيت شبکه
o بررسي وضعيت عملکرد سيستم امنيتي شبکه، شامل:
§ عملکرد صحيح فايروالها.
§ عملکرد صحيح سيستم تشخيص تهاجم.
§ عملکرد صحيح سيستم ثبت وقايع.
§ عملکرد صحيح سيستم تهيه نسخه پشتيبان.
o ارائه گزارشات روزانه در خصوص عملکرد سيستم امنيتي شبکه.
o ارائه گزارشات آماري از وضعيت سيستم امنيتي شبکه.
o رفع اشکالات تشخيص داده شده در عملکرد سيستم امنيتي شبکه.
نوشته اصلی توسط koorosh
مجوز های ارسال و ویرایش
52سپاس
LinkBack URL
About LinkBacks
