استاندارد ISF، تجربه برتر امنیت اطلاعات نسخه متنی

اینجــــا یک کتابخانه دیجیتالی است

با بیش از 100000 منبع الکترونیکی رایگان به زبان فارسی ، عربی و انگلیسی

جستجو بر اساس ... همه عنوان پدیدآور موضوع یادداشت تمام متن
اصطلاحنامه مجموعه ها مرورالفبایی لغت نامه دهخدا
جستجو در لغت نامه
بیشتر
کتابخانه شخصی پرسش از کتابدار ارسال منبع

استاندارد ISF، تجربه برتر امنیت اطلاعات - نسخه متنی

مترجم: امیر حسین شریفی

| نمايش فراداده ، افزودن یک نقد و بررسی
افزودن به کتابخانه شخصی
میخواهم بخوانم
درحال خواندن
خوانده شده
ارسال به دوستان

آدرس پست الکترونیک گیرنده :

آدرس پست الکترونیک فرستنده :

نام و نام خانوارگی فرستنده :

پیغام برای گیرنده ( حداکثر 250 حرف ) :

کد امنیتی را وارد نمایید

ارسال
جستجو در متن کتاب
بیشتر
تنظیمات قلم

فونت

اندازه قلم

+ - پیش فرض

حالت نمایش

روز نیمروز شب
جستجو در لغت نامه
بیشتر
توضیحات
افزودن یادداشت جدید

استاندارد ISF، تجربه ي برتر امنيت اطلاعات

طبقه بندي موضوعي : امنيت اطلاعات

نويسنده : اميرحسين شريفي

ناشر : همكاران سيستم

تاريخ انتشار : 03/03/1386

امروزه استاندارد ISF (Information Security Forum ) به عنوان تجربه اي معتبر براي امنيت اطلاعات شناخته شده است. اين استاندارد مجموعه ي تجربيات بيش از 260 شرکت و سازمان بين المللي معتبر در زمينه ي اطلاعات و بهسازي امنيت اطلاعات آن هاست.

در طول 16 سال ، ISF بيش از هفتاد و پنج ميليون دلار براي گردآوري اطلاعات موثق و درست براي اعضاي خود هزينه کرده است. شايد کار اين استاندارد ، نشان دادن مجموعه ي بسيار گسترده و جامع از تمامي عناوين مربوط به مديريت ريسكهاي اطلاعات در دنياست.

استاندارد ISF فشرده و كليدي براي برنامه هاي گسترده ي گروه ISF است. نتايج اين استاندارد که در طي سال ها گسترش يافته و هر سال نسبت به سال پيش بهبود پيدا كرده است ، اجراي پروژه هايي زيادي است كه توسط ISF تعريف و انجام شده است.

هر چند ISF و نتايج آن متعلق به اعضاي انحصاري آن است ، اما اين گروه تصميم گرفت برخي از نكات كليدي را در قالب مجموعه اي كامل به نام The Standard of Good Practice (استاندارد تجربه برتر ) ، در جهت رسيدن به اهداف زير به اشخاص غير عضو ارائه دهد:

- ايجاد زمينه اي براي بالا بردن سطح امنيت اطلاعات سازمان ها در سرتاسر جهان از طريق تجربه اي برتر

- كمك به سازمان ها و شركت هايي كه عضو ISF نيستند ، براي بهبود وضعيت امنيتي خود و كاهش خطرات امنيتي در سطح قابل قبول

- كمك عملي به توليد كنندگان استاندارد ها براي مشخص كردن نواحي و كاهش ريسك هاي اطلاعاتي در يك مجموعه

ISF با اجراي مميزي وضعيت امنيت اطلاعات اعضاي خود، آنها را قادر مي سازد تا ارزيابي کلي از وضعيت امنيت اطلاعات سازمان خود داشته باشند. اين مميزي به صورت عملي و با استفاده از ابزارهاي خودكار انجام مي شود تا بتوانند ميزان اجراي توافق هاي امنيتي خود را در سازمان اندازه گيري و با سازمان هاي سردمدار گروه مقايسه كنند.

معرفي استاندارد

در اين بخش ، جزييات دقيق تري از استاندارد ISF ارائه خواهد شد.

اين استاندارد، امنيت اطلاعات را از ديد كسب و كارها بررسي مي كند و ارزيابي ابتدايي از توافق ها و سياست هاي امنيتي سازمان ها ارائه مي دهد. استاندارد ISF روي توافق هايي تمركز دارد كه بايد در سازمان هاي سردمدار IT ايجاد شود تا از اين طريق به آنها براي كنترل ريسك هاي امنيتي کمک کند.

استاندارد بر اساس اصول غني شده ي حاصل از تحقيقات عميق و تمرينات عملي اعضاي گروه ISF تنظيم شده است و هر دو سال يك بار روز آمد مي شود.

تمرينات موجود در استاندارد مي تواند به صورت جزيي يا كلي در توافق هاي امنيتي سازمان ها توسط افراد كليدي زير گنجانده شود:

- مدير امنيت اطلاعات

مقامي مشابه كه مسئول و پاسخگوي مسايل امنيت اطلاعات و پياده سازي آنها در سازمان است.

- مدير سازمان

كه مجري برنامه هاي كاربردي و بحراني سازمان است.

- مدير IT

كه پاسخگو و مسئول طراحي، توليد ، نصب و اجرا و نگهداري تجهيزات يا سيستم هاي اطلاعاتي است.

استاندارد ISF براي اولين بار در سال 1996 منتشر شد. نسخه ي جديد اين استاندارد هر دو سال يك بار منتشر و كليد ها و موارد ديگر به آن افزوده مي شود و در راستاي استاندارد بين المللي توسعه پيدا مي كند. اين استاندارد بر پايه ي دانش اعضاي گروه ISF و نيز مهارت هاي تيم مديريت آن بنا نهاده شده است ، كه به صورت تمام وقت روي اين استاندارد فعاليت مي كند. از استاندارد هاي بين المللي ديگر (همچون ISO 17799 ) و نتايج تجزيه و تحليل هاي مميزي هاي ISF نيز به عنوان يك منبع در آن استفاده مي شود.

خلاصه آنكه، اين استاندارد بر پايه ي 16 سال برنامه هاي كاري ISF، 125 پروژه ي تحقيقاتي و 200 گزارش بنا نهاده شده است.

اين استاندارد در بيش از 10 شركت و سازمان توليدي و طراحي به طور آزمايشي پياده سازي شده است تا از درستي كليد هاي آن در بخش امنيت اطلاعات، اطمينان حاصل شود.

استاندارد تجربه ي برتر امنيت اطلاعات، در اصل مجموعه اي است از اصول واقعي و درستي كه از طريق بهترين تجربيات سازمان هاي عضو به دست آمده و بر اساس نيازهاي سازمان هاي مختلف ايجاد شده است.

بسياري از حرفه اي هاي امنيت اطلاعات ، از اين استاندارد به عنوان استانداردي ارزشمند ياد مي كنند كه مي توان آن را در تمام سطوح امنيتي سازمان ها در سرتاسر جهان به كار برد.

منافع استفاده از استاندارد

ايجاد يك محيط مديريتي- تجاري

براي ايجاد يك محيط مديريتي-تجاري كه در آن ريسك هاي امنيتي قابل كنترل باشند ، نياز است:

- امنيت اطلاعات در وضعيت ايده آل قرار داشته باشد

- بهترين تجربه ها براي طراحي، توليد، نصب و اجرا و همچنين نگهداري سيستم هاي اطلاعاتي در نظر گرفته شود.

هر چند انجام همه اين امور كاري طاقت فرسا و پيچيده است ، زيرا يك سازمان در يك مسير پويا با مسايل زيادي رو به رو مي شود ، از جمله :

- فشار هاي ناشي از وضعيت هاي دشوار اقتصادي جهان كه سازمان با آن مواجه است.

- اعتماد فزاينده اي كه بر پايه ي سيستم اطلاعاتي برپايه IT ايجاد مي شود

- خطرات و تهديداتي كه كامپيوتر ها و شبكه ها با آن مواجه اند و تكنيك ها و فناوري هاي آن روز به روز در حال افزايش و پيشرفت است

- نيازهاي تجاري سيستم ها و كارمندان براي انجام سريع و آسان كارها

- نبود مهارتهاي كليدي ، کارشناسي و ديگر منابع در بسياري از حوزه هاي پر اهميت .

بنابراين ، سازمان ها نيازمند تعريفي ساده و عملياتي اند كه شامل تكنيك هاي مناسبي براي بالابردن سطح امنيت اطلاعات باشد و بتواند اين تكنيك ها را به شکل عملياتي در سازمان پياده سازي كنند . اين چيزي نيست جز استاندارد تجربه ي برتر امنيت اطلاعات!

اندازه گيري ميزان کارايي در برابر استاندارد

اگر چه استاندارد تجربه ي برتر مشخص مي كند كه چه كاري بايد انجام شود، اغلب سازمان ها مي خواهند بدانند كه در برابر يک استاندارد بايد چه كاري انجام دهند. در واقع ، اعضاي ISF مي توانند از مميزي وضعيت امنيت اطلاعات، بهره بگيرند و اين مي تواند تا حدي آنها را به استاندارد نزديك كند.

اين مميزي به سازمان كمك مي كند كه بتواند توافق هاي امنيت اطلاعات موجود در سازمان را آزمايش کند و نمره ي خود را در برابر استاندارد ببيند.

اين پروسه در عكس زير كاملا مشخص است :

اعمال كردن استاندارد

استاندارد تجربه ي برتر ، به پنج بخش جداگانه تقسيم مي شود كه هر كدام محيط كاري مشخصي را در نظر گرفته است.

در اصل استاندارد ، بر چگونگي پشتيباني نقاط و فرآيند هاي كليدي سازمان توسط امنيت اطلاعات تمركز دارد. اين فرآيند ها تا اندازه ي زيادي به ميزان وابستگي سازمان به IT بستگي دارد و بيشتر از همه روي بخش هايي كه حيات سازمان به آن ها بستگي دارد متمركز مي شوند.

به همين دليل بخش برنامه هاي كاربردي تجاري پر اهميت (Critical Business Application ) جز مركز طراحي اين استاندارد است. اين ارتباط در شكل زير نشان داده شده است :

بخش تاسيسات كامپيوتري (Computer Installation ) و شبكه ها (Networks ) به عنوان شالوده ي زيربنايي براي اجراي برنامه هاي كاربردي تجاري را فراهم مي كند. بخش توسعه ي سيستم ها (Systems Development ) نيز چگونگي برخورد با برنامه ي كاربردي جديد را مشخص مي كند. مديريت امنيت (Security Management ) نيز مشخص كننده ي كنترل ها و هدايت در سطح بالاست.

در جدول زير ، بخش هاي بالا به طور اجمالي معرفي شده اند :

منظر امنيت

كانون توجه

ناحيه ي كاري

مديريت امنيت

مديريت امنيت در سطح بالاي سازمان

تعهدي تمامي مديران سطح بالاي سازمان براي بالا بردن سطح امنيت اطلاعات سازمان با در اختيار قرار دادن تمامي منابع در اين جهت

برنامه هاي كاربردي پر اهميت

تمامي برنامه هاي كاربردي كه براي حيات تجاري سازمان لازم است.

تمامي نياز هاي امنيتي برنامه هاي كاربردي و مقرراتي كه وضع مي شود تا ريسك هاي مربوط به برنامه هاي كاربري در سطح قابل قبولي قرار گيرند.

تاسيسات كامپيوتري

تاسيسات كامپيوتري كه برنامه هاي كاربردي را پشتيباني مي كند.

تعريف تمامي نياز ها براي سرويس كامپيوترها و چگونگي راه اندازي كامپيوتر ها و اجراي آن براي تامين نيازهاي تعريف شده

شبكه ها

شبكه اي كه يك يا چند برنامه كاربردي را مشخص مي كند

چه نياز هايي براي سرويس شبكه ها بايد تعريف شوند ، و چه شبكه هايي بايد راه اندازي و اجرا شوند تا اين نياز ها را تامين كنند.

توسعه سيستم

واحد يا حوزه ي توسعه ي سيستم ها يا پروژه ي توسعه ي سيستم مشخص

چگونه نيازهاي تجاري (ازجمله نياز هاي امنيتي ) يك سازمان ، تعريف مي شود و چگونه سيستم ها طراحي و ساخته مي شوند تا پاسخگوي اين نيازها باشند.

/ 1