تبلیغات
ناب ترین مطالب تکنولوژی اطلاعات - استاندارد ISF، تجربه ی برتر امنیت اطلاعات

به نام خدا

 

    تماس با مدیر سایت/Contact  ایمیل من

 وبلاگ من



-->

استاندارد ISF، تجربه ی برتر امنیت اطلاعات

امنیت اطلاعات ,

پنجشنبه 3 خرداد 1386


طبقه بندی موضوعی : امنیت اطلاعات
نویسنده : امیرحسین شریفی
ناشر : همكاران سیستم
تاریخ انتشار : 03/03/1386

استاندارد ISF، تجربه ی برتر امنیت اطلاعات

امروزه استاندارد ISF (Information Security Forum ) به عنوان تجربه ای معتبر برای امنیت اطلاعات شناخته شده است. این استاندارد  مجموعه ی تجربیات بیش از 260 شرکت و سازمان بین المللی معتبر در زمینه ی اطلاعات و بهسازی امنیت اطلاعات آن هاست.

در طول 16 سال ، ISF بیش از هفتاد و پنج میلیون دلار برای گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این استاندارد ، نشان دادن مجموعه ی بسیار گسترده و جامع از تمامی عناوین مربوط به مدیریت ریسكهای اطلاعات در دنیاست.

استاندارد ISF فشرده و كلیدی برای برنامه های گسترده ی گروه ISF است. نتایج این استاندارد که در طی سال ها گسترش یافته و هر سال نسبت به سال پیش بهبود پیدا كرده است ، اجرای پروژه هایی زیادی است كه توسط ISF تعریف و انجام شده است.

هر چند ISF و  نتایج آن متعلق به اعضای انحصاری آن است ، اما این گروه تصمیم گرفت برخی از نكات كلیدی  را در قالب مجموعه ای كامل به نام The Standard of Good Practice (استاندارد تجربه برتر ) ، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:

-          ایجاد زمینه ای برای بالا بردن سطح امنیت اطلاعات سازمان ها در سرتاسر جهان از طریق  تجربه ای برتر

-     كمك به سازمان ها و شركت هایی كه عضو ISF نیستند ، برای بهبود وضعیت امنیتی خود و كاهش خطرات امنیتی در سطح قابل قبول

-          كمك عملی به تولید كنندگان استاندارد ها برای مشخص كردن  نواحی و كاهش ریسك های اطلاعاتی در یك مجموعه

ISF با اجرای  ممیزی وضعیت امنیت اطلاعات  اعضای خود، آنها را قادر می سازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودكار انجام می شود تا بتوانند میزان اجرای توافق های امنیتی خود را در سازمان اندازه گیری و با سازمان های سردمدار گروه مقایسه كنند.

معرفی استاندارد

در این بخش ، جزییات دقیق تری از استاندارد ISF ارائه خواهد شد.

این استاندارد، امنیت اطلاعات را از دید كسب و كارها بررسی می كند و  ارزیابی ابتدایی از توافق ها و سیاست های امنیتی سازمان ها ارائه می دهد. استاندارد ISF روی توافق هایی تمركز دارد كه باید در سازمان های سردمدار IT ایجاد شود تا از این طریق به آنها  برای كنترل ریسك های امنیتی کمک کند.

استاندارد بر اساس اصول غنی شده ی حاصل از تحقیقات عمیق و تمرینات عملی اعضای گروه ISF تنظیم شده است و هر دو سال یك بار  روز آمد می شود.

تمرینات موجود در استاندارد می تواند به صورت جزیی یا كلی در توافق های امنیتی سازمان ها توسط افراد كلیدی زیر گنجانده شود:

- مدیر امنیت اطلاعات : مقامی مشابه كه مسئول و پاسخگوی مسایل امنیت اطلاعات و پیاده سازی آنها در سازمان است.

- مدیر سازمان : كه مجری برنامه های كاربردی و بحرانی سازمان است.

- مدیر IT  : كه پاسخگو و مسئول طراحی، تولید ، نصب و اجرا و نگهداری تجهیزات یا سیستم های اطلاعاتی است.

استاندارد ISF برای اولین بار در سال 1996 منتشر شد. نسخه ی جدید این استاندارد هر دو سال یك بار منتشر و كلید ها و موارد دیگر به آن افزوده می شود و در راستای  استاندارد بین المللی توسعه پیدا می كند. این استاندارد بر پایه ی دانش اعضای گروه ISF و نیز مهارت های تیم مدیریت آن بنا نهاده شده است ،  كه به صورت تمام وقت روی این استاندارد فعالیت می كند. از استاندارد های بین المللی دیگر (همچون ISO 17799 ) و نتایج تجزیه و تحلیل های ممیزی های ISF نیز به عنوان یك منبع در آن استفاده می شود.


 خلاصه آنكه، این استاندارد بر پایه ی 16 سال برنامه های كاری ISF، 125 پروژه ی تحقیقاتی و 200 گزارش بنا نهاده شده است.

این استاندارد در بیش از 10 شركت و سازمان تولیدی و طراحی به طور آزمایشی پیاده سازی شده است تا از درستی كلید های آن در بخش امنیت اطلاعات، اطمینان حاصل شود.

استاندارد تجربه ی برتر امنیت اطلاعات، در اصل مجموعه ای است از اصول واقعی و درستی كه از طریق بهترین تجربیات سازمان های عضو به دست آمده و بر اساس نیازهای سازمان های مختلف ایجاد شده است.

بسیاری از حرفه ای های امنیت اطلاعات ، از این استاندارد به عنوان  استانداردی ارزشمند یاد می كنند كه می توان آن را در تمام سطوح امنیتی سازمان ها در سرتاسر جهان به كار برد.

منافع استفاده از استاندارد

ایجاد یك محیط مدیریتی- تجاری

برای ایجاد یك محیط مدیریتی-تجاری كه در آن ریسك های امنیتی قابل كنترل باشند ، نیاز است:

-          امنیت اطلاعات در وضعیت ایده آل قرار داشته باشد

-          بهترین تجربه ها برای طراحی، تولید، نصب و اجرا و همچنین نگهداری سیستم های اطلاعاتی در نظر گرفته شود.

هر چند انجام همه این امور كاری طاقت فرسا و پیچیده است ، زیرا یك سازمان در یك مسیر پویا با مسایل زیادی رو به رو می شود ، از جمله :

-          فشار های ناشی از وضعیت های دشوار اقتصادی جهان كه سازمان با آن مواجه است.

-           اعتماد فزاینده ای كه بر پایه ی  سیستم اطلاعاتی برپایه IT ایجاد می شود

-     خطرات و تهدیداتی كه كامپیوتر ها و شبكه ها با آن مواجه اند و  تكنیك ها و فناوری های آن روز به روز در حال افزایش و پیشرفت است

-          نیازهای تجاری سیستم ها و كارمندان برای انجام سریع و آسان كارها

-          نبود مهارتهای كلیدی ، کارشناسی و دیگر منابع در بسیاری از حوزه های پر اهمیت .

بنابراین ، سازمان ها نیازمند  تعریفی ساده و عملیاتی اند كه شامل تكنیك های مناسبی برای بالابردن سطح امنیت اطلاعات باشد و بتواند این تكنیك ها را به شکل عملیاتی در سازمان پیاده سازی كنند . این چیزی نیست جز استاندارد تجربه ی برتر امنیت اطلاعات!

اندازه گیری میزان کارایی در برابر استاندارد

اگر چه استاندارد تجربه ی برتر مشخص می كند كه چه كاری باید انجام شود،  اغلب سازمان ها می خواهند بدانند كه در برابر یک استاندارد باید چه كاری انجام دهند. در واقع ، اعضای ISF می توانند از ممیزی وضعیت امنیت اطلاعات، بهره بگیرند و این می تواند تا حدی آنها را به استاندارد نزدیك كند.

این ممیزی به سازمان كمك می كند كه بتواند توافق های امنیت اطلاعات موجود در سازمان را آزمایش کند و نمره ی خود را در برابر استاندارد ببیند.


این پروسه در عكس زیر كاملا مشخص است :


اعمال كردن استاندارد

استاندارد تجربه ی  برتر ، به پنج بخش جداگانه تقسیم می شود كه هر كدام  محیط كاری مشخصی را در نظر گرفته است.

در اصل استاندارد ، بر چگونگی پشتیبانی نقاط و فرآیند های كلیدی سازمان توسط امنیت اطلاعات تمركز دارد. این فرآیند ها تا اندازه ی  زیادی به میزان وابستگی سازمان به IT بستگی دارد و بیشتر از همه روی بخش هایی كه حیات سازمان  به آن ها بستگی دارد  متمركز می شوند.

به همین دلیل بخش برنامه های كاربردی تجاری پر اهمیت (Critical Business Application ) جز مركز طراحی این استاندارد است. این ارتباط در شكل زیر نشان داده شده است :


 

بخش تاسیسات كامپیوتری (Computer Installation ) و شبكه ها (Networks ) به عنوان شالوده ی زیربنایی برای اجرای برنامه های كاربردی تجاری را فراهم می كند. بخش توسعه ی سیستم ها (Systems Development ) نیز چگونگی برخورد با برنامه ی كاربردی جدید را مشخص می كند. مدیریت امنیت (Security Management ) نیز مشخص كننده ی كنترل ها و هدایت در سطح بالاست.

در جدول زیر ، بخش های بالا به طور اجمالی معرفی شده اند :

منظر امنیت

كانون توجه

ناحیه ی كاری

مدیریت امنیت

مدیریت امنیت در سطح بالای سازمان

تعهدی تمامی مدیران سطح بالای سازمان برای بالا بردن سطح امنیت اطلاعات سازمان با در اختیار قرار دادن تمامی منابع در این جهت

برنامه های كاربردی پر اهمیت

تمامی برنامه های كاربردی كه برای حیات تجاری سازمان لازم است.

تمامی نیاز های امنیتی برنامه های كاربردی و مقرراتی كه وضع می شود تا ریسك های مربوط به برنامه های كاربری در سطح قابل قبولی قرار گیرند.

تاسیسات كامپیوتری

تاسیسات كامپیوتری كه برنامه های كاربردی را پشتیبانی می كند.

تعریف تمامی نیاز ها برای سرویس كامپیوترها و چگونگی راه اندازی كامپیوتر ها و اجرای آن برای تامین نیازهای تعریف شده

شبكه ها

شبكه ای كه یك یا چند برنامه كاربردی را مشخص می كند

چه نیاز هایی برای سرویس شبكه ها باید تعریف شوند ، و چه شبكه هایی باید راه اندازی و اجرا شوند تا این نیاز ها را تامین كنند.

توسعه سیستم

واحد یا حوزه ی توسعه ی سیستم ها یا  پروژه ی توسعه ی سیستم مشخص

چگونه نیازهای تجاری (ازجمله نیاز های امنیتی ) یك سازمان ، تعریف می شود و چگونه سیستم ها طراحی و ساخته می شوند تا پاسخگوی این نیازها باشند.

 http://www.systemgroup.net/fa/view/style.asp?p=5.3&i=650

 

 

 

 

 

 

 

 

 

 

 

 


بقیه مطالب وبلاگ l یک مثال ساده در ماکرو نویسی
l ایجاد یک ماجول در ماکرو
l اولین درس ماکرو
l آغاز ماکرو نویسی در اکسل
l تبلت پی سی چیست؟
l سیستم عامل آندروید چیست ؟
l ملکه تبلت‌ درCES 2011 کیست؟
l چگونه یك متخصص امنیتی شوم؟
l تحلیلى اقتصادى از تاثیر اینترنت و فناورى اطلاعات بر بازارها و موسسات بیمه‌
l راه‌اندازی بزرگ‌ترین مرکز فناوری دنیا در چین
l معرفی MRTG به عنوان نرم افزار Monitoring شبکه
l نرم‌افزار یک ‌بیستم صادرات هند را شامل می‌شود
l سایت انستیتوی فیلم آمریكا
l What is Chief Information Officer
l مدیریت زنجیره تأمین با استفاده از فناوری‌های بی‌سیم و موبایل