آموزش خدمات شبكه

امنيت در نقاط پاياني، چالش جديد سازمان ها

امن سازي نقاط پاياني:

براي مقابله با تهديدات فوق در سطح كلاينت، نميتوان تنها به آنتيويروس، فايروال شخصي يا ديگر كنترلها خدمات شبكه به طور جداگانه اكتفا نمود. راه حل امنيت نقاط پاياني كه با عنوان Endpoint Protection Platform هم شناخته ميشود، فراتر از يك آنتي ويروس بوده و مجموعهاي از امكانات امنيتي از جمله ضد بدافزار، فايروال شخصي، كنترل برنامه، تشخيص نفوذ و پيشگيري از نشت اطلاعات (DLP) و كنترل درگاهها را در يك بسته نرمافزاري با قابليت مديريت متمركز، فراهم ميكنند.

اين بسته در هر كلاينت نصب شده و خط مشي هاي امنيتي متنوعي را با توجه به نوع كلاينت، كاربران مربوطه، تنظيمات پسيو شبكه، برنامههاي نصب شده و غيره اعمال ميكند تا علاوه بر امن شدن كلاينت، قواعد استفاده مجاز از كلاينت بر اساس خط مشي هاي سازمان اعمال گردند.

با توجه به اينكه برنامههاي متنوعي در كلاينت ها استفاده ميشود، تهديدهاي امنيتي مختلفي نيز از اين جهت متوجه سازمان است. اين محصول امكان كنترل كامل برنامه و فرآيند را در سطح همه كلاينتها براي مدير شبكه فراهم ميكند و مجوزهاي دسترسي كاربران به آنها را مديريت ميكند.

كنترل رفتار برنامهها، شامل شناسايي رفتارهاي مشكوك و جلوگيري از رفتارهاي مخاطره آميز، نيز توسط اين محصول انجام شده و نقش مهمي در شناسايي بدافزارها و تهديدهاي جديد ايفا نمايد. محافظت از ساختار سيستم عامل، رجيستري و ديگر بخشهاي حساس كلاينت، پيشگيري از اجراي برنامههاي خاص مثل فيلترشكن، جلوگيري از آپلود يا دانلود فايلهاي محرمانه، فيلترينگ پشتيباني شبكه فايلها و سايتها و مقابله با برخي حملات فيشينگ از ديگر امكانات آن است.

علاوه بر اين، دسترسي به تمام درگاهها و تجهيزات سخت افزاري از جمله USB، CD/DVD ، دسترسي به فايلها و دايركتوريها، نحوه دسترسي به سايتهاي اينترنتي و غيره با استفاده از اين محصول قابل مديريت است.

محصول Endpoint Security ميتواند در نقش يك حسگر امنيتي كلاينت در معماري امنيت شبكه ميكروتيك قرار گرفته و مجموعه اي از اطلاعاتي كه در دسترس فايروال، مسيرياب و غيره نيست را جمع آوري كند. يكپارچه شدن اين محصول با راه حلهايي چون UTM[1] و مانيتورينگ امنيت، قابليتي است كه در برخي برندهاي توليدكننده UTM موجود بوده و يك مزيت بزرگ براي مديريت امنيت سازمان به حساب ميآيد.

نتيجه گيري:

مجموعه امكانات شناسايي و پيشگيري از تهديدات در اين محصول، به صورت سازگار و يكپارچه، امكان مقابله با بسياري از تهديدهاي امنيتي را در شبكه هاي داخلي سازمانها فراهم ميكنند. استفاده از اين محصول يك ضرورت براي همه سازمانهاي دولتي، نهادها و ارگانها است. به خصوص، بسياري از تهديدهايي كه ناشي از سهلانگاري يا تعمد در عدم رعايت موازين توسط كارمندان است، با استفاده از اين مكانيزم قابل برطرف نمودن است.

اين محصول كه پيش از اين با برندهاي مطرح خارجي به كشور وارد شده، امروزه توسط گروه داده پردازان خدمات شبكه با داشتن سالها تجربه توليد محصولات امنيت از جمله UTM، بوميسازي شده است. لازم به ذكر است علاوه بر امكانات فوق و دهها امكان ديگر، امكان يكپارچگي آن با محصول DSGate شركت نيز از مزيتهاي آن ميباشد.

نويسنده:
(مهندس عامر نجفيان پور: رئيس هيأت مديره و مدير فني شركت داده پردازان دوران)

مهرداد
یکشنبه ۲۳ اردیبهشت ۹۷ ۰۸:۴۳
۱۰۵ بازديد
۰ نظر

چالش‌هاي انساني، سازماني و تكنولوژيكي در پياده‌سازي پروژه‌هاي امنيتي

مقدمه
عامل‌هايي مانند كارشناسان، عوامل تكنولوژيكي و فرآيند‌هاي سازماني عناصري هستند كه پياده‌سازي امنيت در سازمان ها را با چالش خدمات شبكه مواجه مي كنند. جنبه هاي انساني عبارتست از آنچه مربوط به شناخت و درك افراد است مانند فرهنگ و تعامل با ديگر با افراد. جنبه هاي سازماني مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصميمات مديريتي در حوزه امنيت فناوري اطلاعات. جنبه هاي تكنولوژي، شامل راه حل هاي تكنيكي مانند برنامه ها و پروتكل هاست. براي مثال، براي رسيدن به درك متقابل درباره ريسك هاي امنيت در ميان ذينفعان مختلف، ارتباطات و تعاملات موثر مورد نياز است. همچنين خطاهاي انساني تهديد ديگري براي راهكارهاي امنيتي هستند. تحليل ها نشان مي دهد كه فاكتورهاي سازماني مانند ارتباطات، فرهنگ امنيت و قوانين دلايل متداول خطاها در حوزه امنيت اطلاعات هستند.
متدولوژي
شناخت بهتر شرايط و محدوديت هاي دنياي واقعي در ارائه راهكارهاي امنيتي براي ايجاد سيستم هاي پسيو شبكه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سيستم كمك خواهد كرد. سوالات اصلي كه در اين مطالعه مطرح شده است، عبارتند از:
1.   مشكلات اصلي كه كارشناسان در بخش امنيت اطلاعات در سازمان خود با آنها روبرو هستند، چيست؟
2.   چگونه اين چالش ها و مشكلات با هم در تقابل هستند؟
3.   الزامات اين چالش ها بر روي تحقيقات آينده چيست؟

ارائه چارچوب يكپارچه چالش ها
سه دسته از اين مشكلات بعنوان فاكتورهاي انساني دسته بندي مي شود:
1-   فرهنگ 2- فقدان آموزش امنيت 3- فرآيندهاي امنيت ارتباطات
فقدان فرهنگ امنيت داخل سازمانها تغيير شيوه ها را مشكل كرده است. براي مثال، چندين كارمند از يك نام كاربري براي دسترسي به يك سيستم پشتيباني شبكه استفاده مي كنند. در برخي موارد، كارمندان دسترسي به داده را بعنوان يك امتياز در نظر مي گيرند و در برابر از دست دادن اين امتياز بعنوان يك تغيير سازماني مقاومت مي نمايند. فقدان آموزش امنيت موضوع ديگر است. پياده سازي كنترل هاي امنيتي در حالي كه افراد توجه كافي يا دانش كافي درباره امنيت فناوري اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ريسك هايي كه ذينفعان داخل سازمان با آن مواجه هستند، تحت تاثير قرار مي دهد. زماني كه ديدگاه مشترك از ريسك ها ميان ذينفعان وجود نداشته باشد امنيت ارتباطات با مشكل روبرو خواهد شد.
مواردي كه به ويژگي هاي سازمان ها مربوط مي شود، عبارتند از:
1-   برآورد ريسك 2- محيط هاي باز و آزاد دانشگاهي 3- فقدان بودجه 4- قرار دادن امنيت در اولويت دوم 5- زمانبندي فشرده 6- روابط تجاري با ديگر سازمان ها 7- توزيع مسئوليت هاي فناوري اطلاعات 8- كنترل دسترسي به داده هاي حساس
فاكتورهاي مبتني بر تكنولوژي كه براي پياده سازي قوانين امنيتي مطرح مي شوند، عبارتند از:
1-   پيچيدگي سيستم ها 2- دسترسي هاي توزيع شده و سيار 3- آسيب در سيستم ها و برنامه ها
نتيجه گيري
تجزيه و تحليل ها نشان داد كه ارتباطات موثر يك مشكل براي كارشناساني كه ريسك ها و كنترل هاي امنيتي را با ديگر ذينفعان مطرح مي نمايند، مي باشد. براي پياده سازي فرآيندهاي امنيتي بايد فرهنگ سازماني و ديدگاه ذينفعان مختلف و نه فقط كاربران نهايي درباره ريسك هاي امنيتي در نظر گرفته شود. توزيع مديريت فناوري اطلاعات و عدم آموزش هاي امنيتي ميكروتيك ذينفعان فاكتورهايي هستند كه تاثير منفي بر روي كارآيي و اثربخشي ارتباطات ايجاد شده توسط كارشناسان امنيت دارند.زمانبندي فشرده براي تحويل سرويس هايي كه شامل نيازمنديهاي امنيتي است، مشكل ديگري است. اين مشكل به كمبود زمان، منابع و ارتباطات متناقض بين مسئولان مربوط مي باشد. به اين ترتيب يك ارتباط مستقيم بين زمانبندي فشرده و سطح امنيت وجود دارد.
توزيع، در حوزه دسترسي كنترل شده به داده دو جنبه دارد: اول، كنترل كردن دسترسي كاربراني كه پراكنده هستند و از تكنولوژي هاي دسترسي متفاوت استفاده مي كنند. دوم، كنترل دسترسي به داده هاي توزيع شده در كل سازمان كه توسط ذينفعان مختلف مديريت مي شود. پيشنهاد مطرح شده اينست كه، پروسه هاي امنيتي بايد با فرض محيط هاي توزيع شده توسعه يابند. اين سيستم‌ها بايد به منظور فراهم كردن دسترسي كنترل شده به داده هاي توزيع شده، به اندازه كافي انعطاف پذير باشند و كانال هاي ارتباطي بين ذينفعان مختلف كه به آن داده ها دسترسي دارند، بهبود ببخشند.

مهرداد
شنبه ۲۲ اردیبهشت ۹۷ ۱۷:۲۶
۱۲۵ بازديد
۰ نظر

امنيت در محيط هاي رايانش ابري و مجازي

اگر محاسبات را بعنوان عنصر اساسي پنجم فرض كنيم، آنگاه مي‌توانيم آن را مانند عناصر ديگر همچون آب مدل‌‌سازي نماييم. در اين مدل، كاربران سعي مي‌كنند بر اساس نيازهايشان و بدون توجه به اينكه سرويس در كجا قرار دارد و يا چگونه تحويل داده مي‌شود، به آنها دسترسي يابند.

در رويكرد سنتي، سازمانها امنيت را با استفاده از مكانيسم‌ها خدمات شبكه و سياست‌هاي امنيتي مختلف براي سازمان خود فراهم مي‌آوردند و دارايي خود را در پشت فايروال، سيستم‌هاي پيشگيري از نفوذ، و ... پنهان مي‌كردند. امروزه با ظهور رايانش ابري، داده‌هاي شخصي و خصوصا سازمان‌ها در توده ابري قرار مي‌گيرند كه محل آن مشخص نيست.

امنيت محاسبات ابري، زيرمجموعه‌اي از امنيت كامپيوتر، امنيت شبكه و حتي بصورت گسترده‌تر امنيت اطلاعات است كه به مجموعه‌اي از خط مشي‌ها، تكنولوژي‌ها، و كنترل‌هايي اشاره دارد كه براي محافظت از داده‌ها، برنامه‌ها، و زيرساخت مربوط به رايانش ابري اشاره دارد.

رايانش ابري: نگراني‌هاي امنيتي

بيشترين استفاده از تكنولوژي مجازي‌سازي، پياده‌سازي زيرساخت رايانش ابري است كه منجر به مشكلات امنيتي براي مشتريان مي‌شود. مجازي سازي، رابطه بين سيستم عامل و سخت‌افزار مربوطه را تغيير مي‌دهد. بنابراين يك لايه ديگر به نام مجازي سازي اضافه مي‌كند كه بايد به درستي پيكربندي، مديريت، و امن سازي شود.

يكسري نگراني در مورد رايانش ابري وجود دارد. اين نگراني‌ها در دو دسته قرار مي‌گيرند: مسائل امنيتي كه از جانب ارائه دهنده سرويس رايانش ابري است (سازمان‌هايي كه از طريق سرويس ابري، زيرساخت، نرم‌افزار و پلت فرم ارائه مي‌دهند)، و مسائل امنيتي كه از جانب مشتريان است. شركت ارائه دهنده سرويس ابري بايد مطمئن باشد كه زيرساخت آن، امن است و داده‌ها و برنامه‌هاي مشتريان، محافظت شده هستند.

در زير به برخي از رايج‌ترين نگراني‌هاي امنيتي كه در خصوص رايانش ابري وجود دارد اشاره شده است:

• مكان داده‌ها: سازمان‌ها در زمان استفاده از اين تكنولوژي، اطلاع دقيقي از محل پشتيباني شبكه ميزباني داده‌ها ندارد. حتي ممكن است نداند كه داده‌ها در كدام كشور ذخيره شده‌اند. لذا سرويس دهندگان بايد درباره پاسخگو باشند كه آيا داده‌ها در مكان‌هاي خاصي و يا با شرايط قضايي خاصي ذخيره سازي و پردازش مي‌شوند و اينكه آيل تعهدي در خصوص رعايت نياز مندي‌هاي مربوط به حفظ حريم خصوصي مشتريان متقبل مي‌شوند؟

• تفكيك داده: با توجه به اينكه داده‌ها در توده ابر در يك محيط اشتراكي ذخيره مي‌شود، ارائه دهنده سرويس بايد از عدم دسترسي مشتريان به داده‌هاي يكديگر مطمئن شوند. لذا استفاده از مكانيزم‌هاي رمز نگاري مي‌تواند تا حدي موثر باشد. در اين خصوص سرويس دهندگان بايد بتوانند مداركي در خصوص الگوهاي رمزنگاري طراحي شده و ارزيابي شده توسط متخصصان با تجربه ارائه كنند.

• در دسترس بودن شبكه: ارزش رايانش ابري تنها زماني مي‌تواند مشخص شود كه ارتباطات شبكه‌اي ميكروتيك و پهناي باند شما، با حداقل نيازهاي شما سازگار باشد بنابراين بايد هر زماني كه نياز داشتيد، داده‌ها و سرويس‌ها در دسترس باشد. اگر اينگونه نباشد، نتايج آن مشابه وضعيت حمله انكار سرويس (DoS) است.

• تعهد ارائه دهندگان رايانش ابري: از آنجائيكه ارائه سرويس رايانش ابري، جز كسب و كارهاي جديد است، لذا درباره حيات آنها سوال وجود دارد و سازمان‌ها بايد از تعهد و التزام آنها به ارائه سرويس مطمئن شوند.

• تداوم كسب و كار و بازيابي اطلاعات: كاربران نياز دارند كه مطمئن باشند كه عمليات و سرويس‌هاي آنها ادامه دارد حتي اگر محيط رايانش ابري، دچار مشكل شود. يك سرويس دهنده بايد بتواند پاسخكوي اين مسئله باشد كه در صورت وقوع يك سانحه، چه اتفاقي بر سر داده‌هاي مشتريان خواهد آمد. ارائه دهنده سرويس بايد پاسخگو باشد كه در صورت بروز مشكل، توانايي بازگرداندن سرويس ها را دارد يا نه؛ و اينكه اين كار چه مدت طول خواهد كشيد.

• حفظ حريم خصوصي: ارائه دهندگان سرويس‌هاي ابر، مي‌توانند كنترل و نظارت كامل قانوني و يا غير قانوني بر روي داده‌ها و ارتباطات بين كاربران سرويس و ميزبان ابر داشته باشند. لذا اطمينان از حفظ حريم خصوصي يكي از چالش‌هاي اساسي در امنيت است.

• ريسك‌ها و آسيب پذيري‌هاي جديد: تمام تجهيزات سخت‌افزاري، نرم‌افزاري، و شبكه، آسيب پذيري‌هاي پسيو شبكه جديدي را بوجود آورده‌اند. يكسري نگراني وجود دارد كه محاسبات ابري، دسته‌اي از ريسك‌ها و آسيب‌پذيري‌هاي جديد را بوجود آورد كه تا كنون ناشناخته باشد.

راه حل‌هاي ارائه شده

مسئله اصلي اين است كه بيشتر مشكلات بخاطر اين است كه ما نمي‌توانيم داخل ابر را ببينيم. بنابراين نياز اصلي كاربران براي كاهش ريسك‌هايي كه با آن مواجه هستند، مشاهده درون ابر است. راه حل‌هاي زيادي براي اين موضوع وجود دارد كه در زير به برخي از راه حل‌هاي ارائه شده در اين مقاله، اشاره شده است:

• استفاده از SLA دقيق و وجود ضمانت قابل قبول براي رعايت آن

• وجود تضمين مناسب براي تداوم فعاليت تجاري

• داشتن برنامه Disaster Recoveryاز سوي ارائه دهنده و تضمين آن

• بيان جزييات مربوط به سياست‌هاي امنيتي و پياده سازي‌هاي انجام شده از سوي ارائه دهنده خدمات رايانش ابري

• ارائه اطلاعات كامل زيرساختي در زمان انجام مذاكرات خدمات شبكه و نيز در هر لحظه از طول دوره ارائه خدمات رايانش ابري

• انجام تست‌هاي نفوذ بطور منظم و دوره‌اي

مهرداد
شنبه ۲۲ اردیبهشت ۹۷ ۱۲:۱۸
۹۴ بازديد
۰ نظر

معرفي مركز عمليات امنيت شبكه (SOC)

طرح مسئله
تركيب تكنولوژي‌هاي مختلف با هدف برآورده نمودن نيازمندي‌هاي كسب و كار، سازمان را با چالش‌هايي جديد روبرو نموده است، چرا كه عموماً هيچ روش يا مكانيزمي با هدف جمع آوري، نرمال سازي، مرتبط سازي و اولويت‌بندي ميليون‌ها رخداد گزارش شده از سوي تكنولوژي‌ها و سامانه‌هاي مختلف وجود ندارد. در چنين وضعيتي استفاده از تكنولوژي‌هاي پسيو شبكه مختلف و نامتجانس جز افزايش سربار فعاليت‌هاي امنيتي سازمان، مضاعف شدن اين فعاليت‌ها، ايجاد مدل‌هاي امنيتي ضعيف و عدم موفقيت فرايندهاي مميزي، نتيجه‌اي به همراه نخواهد داشت.
در چنين وضعيتي، مرتبط¬سازي بلادرنگ وقايع مختلف (كه توسط تجهيزات و ابزارهاي مختلفي توليد شده‌است) و شناسايي يك حمله يا نفوذ مشخص، بسيار مشكل و عموما غيرممكن مي‌باشد. علاوه بر اين، تحليل‌هاي پس از وقوع حوادث نيز بسيار كند انجام خواهند شد چرا كه تركيب اطلاعاتي كه به روش‌هاي متفاوت در ابزارها و تجهيزات مختلف نگهداري مي‌شوند، كاري بسيار زمان بر و پرهزينه است و سوالات زير در اين خصوص مطرح ميگردد:
•   چگونه ميتوان ميليون‌ها واقعه‌اي كه روزانه توسط سيستم‌ها، نرم افزار‌هاي كاربردي و كانال‌هاي كسب و كار مختلف توليد مي‌شوند را جمع آوري، نرمال و به يكديگر مرتبط ساخت؟
•   چگونه اين وقايع را ميتوان اولويت‌بندي كرد؟
•   در چنين وضعيتي، چگونه با توليد گزارشات مناسب پشتيباني شبكه ميتوان رعايت قوانين و مقررات، استانداردها و بهترين تجربيات امنيتي را تضمين نمود؟
•   چگونه مي‌توان از محافظت مناسب دارايي‌هاي با ارزش سازمان اطمينان حاصل نمود؟
•   و بالاخره، چگونه ميتوان تصويري كامل از وضعيت امنيتي شبكه سازمان ارائه نمود؟
ارائه راه حل
مركز كنترل و عمليات امنيت SOC، ديدي بلادرنگ و جامع نسبت به وضعيت امنيت شبكه سازمان ايجاد مي‌نمايد. در واقع، اين مركز بواسطه اطلاع رساني‌هاي اتوماتيك خدمات شبكه حوادث و وقايع، توليد گزارشات جزئي و كلي، پاسخ‌دهي اتوماتيك به حوادث و وقايع، رويكردي پيشگيرانه را در جهت مديريت ريســـك‌هاي امنيتي ايجاد خواهد نمود.
همچنين، اين مركز، وقايع و حوادث را اولويت‌بندي مي‌نمايد، دارايي‌هاي متاثر شده از وقايع اتفاق افتاده را مشخص نموده و راهكارهاي اصلاحي و يا پيشگيرانه را پيشنهاد داده و يا در مواردي از پيش تعيين شده، اجرا مي‌نمايد.
اين مركز، با ارايه گزارشاتي در سطوح مختلف، نيازمندي‌هاي مربوط به فرايندهاي مميزي و همچنين ارزيابي بخشي از ريسك‌هاي عملياتي زيرساخت شبكه را برآورده مي‌نمايد.
در واقع، مركز عمليات امنيت شبكه, مكاني است براي جمع‌آوري اطلاعات و تجزيه تحليل آنها جهت پياده سازي استراتژي‌هاي امنيتي، همچون:
•   جلوگيري از حملات مبتني بر شبكه
•   جلوگيري از حملات مبتني بر ميزبان
•   شناسايي و جلوگيري از حملات پيچيده و تركيبي
•   تشخيص و رفع آسيب پذيريهاي امنيتي تجهيزات
•   ايجاد ابزاري جهت به حداقل رساندن زيان و ضرر اقتصادي

نگاهي كلي به مركز عمليات امنيت شبكه
مركز عمليات امنيت، مجموعه اي از عوامل تكنولوژيك، فرآيندها و عوامل انساني است كه به صورت پيوسته، رخدادهاي امنيتي ميكروتيك را از تجهيزات مختلف و ناهمگون شبكه جمع¬آوري را براي شناسايي وقايع امنيتي آناليز مي نمايد.
مزايا و قابليت هاي مركز عمليات امنيت
با توجه به موارد ذكر شده در بخش هاي قبلي، مي توان مزايا و قابليت هاي زير را براي مركز عمليات امنيت شبكه برشمرد:
•   مديريت و پايش امنيت تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 24 ساعته
•   مديريت و مانيتورينگ لحظه‌اي تهديدات
•   جمع آوري و آناليز ترافيك شبكه
•   پاسخ دهي به مشكلات و رخدادهاي امنيتي
•   بهبود در اجراي خط مشي ها و استانداردهاي امنيتي

مهرداد
شنبه ۲۲ اردیبهشت ۹۷ ۰۹:۰۴
۱۱۸ بازديد
۰ نظر

مقاله چالش هاي پياده سازي سيستم مديريت امنيت اطلاعات از ديدگاه اثربخشي

با ارائه اولين استاندارد مديريت امنيت اطلاعات، نگرش سيستماتيك به مقوله ايمن‌سازي فضاي تبادل اطلاعات شكل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمان ها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يك چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان خدمات شبكه بر اساس يك متدولوژي مشخص، اقدامات زير را انجام دهد:

1- تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان

2- ايجاد تشكيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان

3- اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان

و در نهايت اقدام به پياده سازي سيستم مديريت امنيت اطلاعات نمايد .

1 چالش هاي منجر به شكست پروژه ISMS

پياده سازي هر سيستم مديريتي در يك سازمان با موانعي روبروست. گاه اين موانع آن چنان جدي است كه عملا پياده سازي سيستم را غير ممكن مي سازد. به هر حال بايد در نظر داشت كه مي توان با شناخت چالش ها و اقدام در جهت بر طرف سازي آنها مسير را در حركت به سمت آن هموار كرد.

مهمترين موانع پيش رو در پياده سازي ISMS عبارتند از :

1-1 مشكلات مديريتي

• عدم ثبات مديران در سازمان ها هميشه از مشكلات اساسي در پروژه ها مي باشد .اين تغييرات از لايه مديران مياني تا لايه مديريت كلان سازمان، مي تواند صورت گيرد.

• عدم تعهد مديريت - تعهد مديريت اصلي ترين بحث در شكل گيري ISMS مي باشد. هدف ISMS ايجاد يك سيستم مديريتي پشتيباني شبكه است حال اگر مديريت تعهدي نسبت به اجرايي شدن ISMS نداشته باشد پياده سازي آن نه تنها به بهبود امنيت در سازمان كمك نمي كند بلكه سازمان را مختل نيز خواهد كرد.

1-2 مشكلات كاركنان

• عدم آگاهي مناسب منابع انساني- پيش از پروژه ISMS آگاهي لازم به كارمندان داده نمي شود.

• كمبود منابع انساني متخصص – عدم حضور نيروي متخصص در حوزه فناوري اطلاعات در سازمان، مشكلات بسياري را از ابتدا تا انتهاي پروژه به همراه خواهد داشت .

• مقاومت كاربران در برابر تغيير

• عدم برقراري ارتباط موثر -مديران امنيت اطلاعات مي بايست قادر به ارتباط موثر با كاربران نهايي و از طرف ديگر مديران ارشد و هيئت مديره باشند.

1-3 مشكلات سازماني

• عدم بلوغ سازماني - عدم بلوغ سازماني در بكار گيري سيستم مديريتي از مهمترين موانع در ايجاد ISMS در هر سازمان محسوب مي شود.

• تغيير ساختار سازماني – تغيير محدوده و ادارات انتخاب شده در پروژه و گاهي تلفيق و جدا سازي ادارات از ديگر مشكلات پياده سازي است

• عدم استفاده از مشاور مناسب - انتخاب مناسب پيمانكاري كه تخصص لازم را داشته باشد و متدولوژي مناسبي در پياده سازي ارايه دهد

• نداشتن متولي ISMS در سازمان- به دليل ماهيت پروژه كه موضوع امنيت است معمولاً در سازمان ها اداره حراست مسئوليت پروژه را بر عهده مي گيرد در صورتيكه سهم بيشتر اين پروژه مربوط به IT است .

• عدم تخصيص بودجه مناسب- بسياري از مديران از انتخاب معيار مناسب جهت تعيين رقم بودجه غافل مي شوند و با صرف هزينه كمتر و عدم تخصيص بودجه مناسب براي پروژه شرايط نامناسبي را فراهم مي كنند.

1-4 مشكلات فني :

• وجود نرم افزار هاي قديمي و سيستم عامل هاي غير اورجينال - از نقطه نظر فني وجود نرم افزار هاي قديمي و سيستم عامل پسيو شبكه هاي غير اورجينال يكي از جدي ترين چالشهاي امنيتي به شمار مي رود.

• عدم وجود الگوي مناسب توسعه با ديدگاه فناوري اطلاعات ، اين مساله باعث عدم مكانيزه شدن بسياري از فرايند هاي سازمان و در نتيجه عدم امكان پياده سازي مناسب سيستم امنيت اطلاعات خواهد شد.

1-5 مشكلات مناقصه

در پروژه هاي سيستم مديريت امنيت اطلاعات، محصول نهايي در انتهاي پروژه تحويل كارفرما نمي شود و ماهيت پروژه ايجاد سيستم و جاري ساختن اين سيستم در سازمان است. كارفرما با بيان نيازمندي هاي خود و شركت كنندگان در مناقصه با توصيف روشي جهت پوشش دهي آنها در مناقصات شركت مي كنند . ار آنجائيكه برداشت متفاوتي از اين نيازها و الزامات مي شود، شركت كنندگان پروپزالهاي متفاوتي ارائه مي دهند و در نتيجه قيمت هاي پيشنهادي متفاوتي ارائه مي شود كه اين مسئله باعث مي شود، قيمت كمتر در مناقصه برنده شود و انتخاب درستي براي پيمانكار صورت نگيرد .

2 نتيجه گيري:

مشكلات مديران امنيت اطلاعات اين است كه بسياري از مواقع مجبور مي شوند نقش يك متخصص فني با ديدگاه مديريتي فرمان دهنده را بپذيرند.

آن ها معمولا تصميمات مربوط به امنيت اطلاعات را بدون درگير كردن يا مذاكره با كاركنان مي گيرند.، مديريت خوب فناوري اطلاعات به طور فزاينده بستگي به انسان ها و همچنين فرآيندها و ملاحظات فني دارد.

مديران امنيت فناوري اطلاعات به طور فزاينده براي جايگزيني رويكرد كنترلي با يك سبكي كه بيشتر دانشگاهي باشد، فعاليت دارند. اين شامل كمك ميكروتيك به كاربر نهايي و بحث و مذاكره و تصميم گيري در مورد مسائل امنيت اطلاعات است.

متاسفانه تحقيقات نشان داده است كه اين دو نقش گاهي اشتباه گرفته مي شود و اين مي تواند به تناقضاتي در پيام هايي كه به كاربران نهايي فرستاده مي شود بيانجامد. مديران امنيت اطلاعات از برخي از مشكلات ذاتي در سازمان، آگاه هستند. از طرفي اگر آن ها يك دستور را بگيرند و وضعيت را كنترل كنند پس از آن موقعيت آنها به گونه اي مي شود كه بيشتر توجهشان معطوف به كاربر نهايي شده و كمتر مي توانند به خود توجه داشته باشند.

از سوي ديگر اگر مدير امنيت اطلاعات يك رويكرد بيشتر دانشگاهي و مبني بر اختيار كاربر نهايي براي تصميم گيري بيشتر با توجه به امنيت اطلاعات داشته باشد، پس از آن احتمال رخ دادن حوادث (حداقل در كوتاه مدت) بيشتر خواهد شد و اشتباهات بيشتري به وجود مي آيد.

اين حالت نياز به پذيرش و شايد سرمايه گذاري بيشتر براي بهبود آن را دارد. مصاحبه با مديران امنيت اطلاعات نصب شبكه اشكار كرد كه آن ها برروي صحبت، ارائه و تقويت ايده ها تمركز دارند ولي توجهي به گوش دادن به كاربر نهايي ندارند. در نهايت پياده سازي سيستم مديريت امنيت اطلاعات به صورت يك پروژه نيست، كه روزي شروع و روزي پايان داشته باشد . ISMS يك سيستم است كه بايد از همان ابتدا در لايه هاي داخل سازمان نفوذ كند و امنيت ايجاد شده در سالهاي متوالي توسط كميته هاي راهبردي و استراتژيك سازمان بهبود يابد

مهرداد
جمعه ۲۱ اردیبهشت ۹۷ ۱۵:۲۵
۸۶ بازديد
۰ نظر

استانداردهاي امنيت اطلاعات

امروزه در دنياي توانمند فناوري تكنولوژي، "اطلاعات" دارايي حياتي براي كسب و كار سازمانها محسوب مي شود. بنابراين تامين امنيت آنها بسيار مهم خواهد بود. عبارت "امنيت اطلاعات"،

تنها به موضوع ساده حفاظت از نام كاربري و رمز عبور ختم نمي شود؛ مقررات و حريم خصوصي يا خط مشي هاي حفاظت از اطلاعات مختلف، يك تعهد پويا را براي سازمان ها به وجود مي آورد.

در عين حال ويروسها، تروجان ها، فيشرها و ... براي سازمان تهديد به حساب مي آيند. همچنين هكرها باعث به وجود آمدن خسارات زيادي براي سازمان مي شوند، مانند دزدي اطلاعات

مشتريان، جاسوسي استراتژي هاي كسب و كار به نفع رقبا، از بين بردن اطلاعات مهم سازمان خدمات شبكه كه هر يك از آنها به تنهايي مي تواند صدمات جبران ناپذيري را متوجه سازمان ها نمايد.

از اين رو استفاده از يك سيستم مديريت امنيت اطلاعات(ISMS ) مناسب براي مديريت موثر دارايي هاي اطلاعاتي سازمان الزامي به نظر مي رسد.

ISMS شامل مجموعه اي از خط مشي ها به منظور فراهم نمودن مدلي براي ايجاد، توسعه و نگهداري امنيت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. اين خط مشي ها به منزله راه هاي امني هستند كه از طريق آنها منابع اطلاعاتي مي توانند مورد استفاده قرار بگيرند.

استانداردهاي مختلفي در زمينه فناوري اطلاعات و ارتباطات وجود دارد كه منجر به امنيت اطلاعات مي شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS,غير مجاز مي باشدO, SOA, ITIL و COBIT. اما بعضي از اين استانداردها به دلايل مختلف چندان مورد استقبال سازمان ها قرار نگرفته. در اينجا به بررسي چهار استاندارد برتر دنيا مي پردازيم

كه به طور گسترده در زمينه چارچوب، ساختار و امنيت فناوري اطلاعات مورد استفاده قرار مي گيرند. اين چهار استاندارد برتر شامل: ISO 27001, PCI DSS, ITIL و COBIT هستند.

در ادامه به بررسي و نگاهي اجمالي به كليات هريك از اين چهار استاندارد مي پردازيم:

ISO27001:
استاندارد بين المللي ISO27001 الزامات ايجاد، پياده سازي، پايش، بازنگري، نگهداري و توسعه ISMS در سازمان را مشخص مي كند. اين استاندارد براي ضمانت انتخاب كنترلهاي امنيتي

به جا و مناسب براي حفاظت از دارايي هاي اطلاعاتي، طراحي شده است. زماني كه يك سازمان موفق به دريافت گواهينامه مربوط به استاندارد ISO27001 مي گردد، به اين معني ست كه

آن سازمان توانسته امنيت را در زمينه اطلاعات خود مطابق با بهترين روش هاي ممكن مديريت نمايد. اين استاندارد (بخصوص نسخه 2013 آن) براي پياده سازي در انواع سازمان هاي دولتي،

خصوصي، بزرگ و يا كوچك مناسب است. در ايران با توجه به تصويب سند افتا توسط دولت و الزامات سازمان هاي پسيو شبكه بالادستي در صنعت هاي مختلف، كليه سازمان ها و نهادهاي دولتي، ملزم به پياده سازي

ISMS گرديده و اكثر اين سازمان ها به پياده سازي الزامات استاندارد ISO27001 رو آوردند.

علاوه بر اين كه استاندارد ISO27001 خود حاوي كنترل هاي امنيتي جامعي جهت تضمين امنيت سازمان است، همچنين مي تواند به عنوان يك بستر مديريتي جهت پياده سازي كنترل هاي

امنيتي بيشتري كه در استانداردهاي ديگر وجود دارد، مورد استفاده قرار گيرد.

PCI DSS:
استاندارد امنيت اطلاعات در صنعت كارت پرداخت (PCI DSS) يك استاندارد امنيت اطلاعات جهاني است كه توسط انجمن استانداردهاي امنيت صنعت كارت پرداخت براي افزايش امنيت كارت هاي اعتباري

ايجاد شد. اين استاندارد اختصاصاً براي سازمان هايي مفيد است كه در زمينه كارت هاي اعتباري، كيف الكترونيك، ATM، POS و... اطلاعات مشتريان را نگهداري، پردازش يا مبادله مي كنند.
اعتبار اين استاندارد به صورت ساليانه بررسي مي شود. براي سازمان هاي بزرگ بررسي انطباق توسط يك ارزياب مستقل انجام مي شود اما سازمان هاي كوچكتر مي توانند انطباق خود را توسط

پرسشنامه خود ارزيابي بررسي نمايند.

ITIL
ITIL يك چارچوب عمومي است كه بر پايه تجارب موفق در مديريت سرويس هاي IT در سازمان هاي دولتي و خصوص در سطح بين المللي به وجود آمده است. ITIL در اصل يك استاندارد نيست

بلكه چارچوبي است با نگاهي نوين براي بهبود ارائه و پشتيباني خدمات فناوري اطلاعات كه امروزه از سوي سازمانهاي ارائه دهنده خدمات فناوري اطلاعات بسيار مورد توجه قرار گرفته است. هدف

اوليه اين چارچوب اين است كه مطمئن شود سرويس هاي IT با نيازهاي كسب و كار سازمان منطبق است و در زماني كه كسب و كار به آن نياز دارد پاسخگوي اين نياز است.

ITIL به عنوان مجموعه اي از كتابها به وجود آمده و بر پايه مدل دمينگ و چرخه PDCA ايجاد شده، نسخه ي فعلي ITIL كه مورد استفاده است، نسخه سوم مي باشد كه ۵ بخش اصلي

را در بر دارد: استراتژي خدمات، طراحي خدمات، تحويل خدمات، اداره خدمات، بهينه سازي پيوسته خدمات.
همانطور كه بيان شد، ITIL بيشتر در شركت هايي كه كسب و كار IT دارند مورد توجه قرار گرفته است.

COBIT:
COBIT يك گواهينامه است كه توسط ISACA و موسسه مديريت IT (ITGI) در سال 1996 به وجود آمد. اين استاندارد چارچوبي براي مديريت فناوري اطلاعات است. اين استاندارد با رويكردي فرآيندگرا در 4 دامنه و 34 فرآيند و مجموعه اي از 318 هدف كنترلي در حوزه ارزيابي فناوري اطلاعات تدوين شده است و مجموعه اي از سنجه ها، شاخص ها، فرآيندها و بهترين¬تجارب را براي كمك به مديران، مميزان و كاربران IT ارائه مي-دهد.COBIT داراي پنج حوزه تمركز بر مديريت فناوري اطلاعات است: تنظيم استراتژيك، تحويل ارزش پشتيباني شبكه مديريت منابع، مديريت ريسك، اندازه¬گيري كارايي . پياده سازي و بكارگيري COBIT در سازمان¬ها، براي مديران چارچوبي را فراهم مي آورد تا به كمك آن بتوانند برنامه استراتژيك IT، معماري اطلاعاتي، نرم¬افزارها و سخت افزارهاي مورد نياز IT و كنترل عملكرد سيستم هاي IT سازمان خود را طراحي نمايند و با كمك اين ابزارها به تصميم¬گيري و سرمايه گذاري¬هاي مرتبط با فناوري اطلاعات بپردازند.

همپوشاني حوزه هاي امنيتي :
در سال 2009، يازده حوزه كنترلي اساسي معرفي شد كه به 11EC معروف گرديد اين كنترل ها مي بايست توسط سازمان هايي كه مي خواهند امنيت اطلاعات را پياده سازي نمايند پياده سازي شوند، اگر اين كنترل ها را به عنوان معياري براي تحقق امنيت اطلاعات در نظر بگيريم حاصل مقايسه چهار استاندارد مذكور، با توجه به اين معيارها به شكل زير خواهد بود:

مقايسه چهار استاندارد برتر:
جهت مقايسه متناظر ويژگي هاي اين استانداردها، جدول زير برخي موضوعات قابل تأمل را مشخص مي نمايد.

انتخاب استاندارد جهت پياده سازي امنيت اطلاعات :
بسيار مهم است كه استانداردي در سازمان پياده سازي گردد كه به عنوان يك معيار همگاني شناخته شده و مورد قبول اكثر سازمان ها و قوانين كشوري باشد، استاندارد ISO توسط 25 كشور راه اندازي شد، اين درحالي است كه سه استاندارد ديگر تنها در يك كشور شروع به كار كردند. در اين خصوصISO به نسبت سه استاندارد ميكروتيك ديگر بسيار شناخته شده تر است، ISO به طور گسترده در جهان توسط 163 كشور مورد استفاده قرار گرفته است، در مقايسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعيت كنترلهاي آن نسبت به سه استاندارد امنيتي ديگر، موجبات پذيرش آن توسط مشتريان، تامين كنندگان، خريداران و مديران را فراهم مي سازد.

همانطور كه در شكل نيز مشاهده مي نماييد، امنيت اطلاعات كه به عنوان جزئي از حاكميت فن آوري اطلاعات در نظر گرفته مي شود، بيشتر توسط ISO27001 پوشش داده شده، در صورتي كه ITIL و COBIT سهم بيشتري در خصوص حاكميت فناوري اطلاعات دارا مي باشند، گستردگي اين استانداردها در شكل مشخص شده، نواحي مشترك، نشان دهنده كنترل هاي امنيتي و حوزه هايي هستند كه استانداردها با يكديگر همپوشاني دارند، همچنين همانطور كه مشاهده مي شود PCI DSS همپوشاني زيادي با ISO27001 دارد با اين تفاوت كه PCI DSS در حوزه امنيت كارت فعاليت مي كند، اين شكل بيانگر اين موضوع است كه پياده سازي ISO27001 علاوه بر اينكه به تنهايي امنيت اطلاعات را در سازمان به صورت عمومي تضمين مي نمايد، مي تواند به عنوان بستري مناسب جهت پياده سازي استانداردهاي امنيتي ديگر متناسب با حوزه كاري هر سازماني مورد استفاده قرار گيرد.
هر استاندارد به نوعي نقش خود را در پياده سازي امنيت اطلاعات ايفا مي كند، به عنوان مثال ISO27001 بر سيستم مديريت امنيت اطلاعات، PCIDSS بر امنيت اطلاعات مرتبط با تراكنش كسب و كار و كارت هوشمند، ITIL و COBIT بر امنيت اطلاعات و ارتباطشان با مديريت پروژه و حاكميت فناوري اطلاعات تمركز دارند. به طور كلي استقبال عمومي در استفاده جهاني از استانداردها، نشان مي دهد كه ISO27001 برتر از سه استاندارد ديگر در سطح جهاني ظاهر شده است به خصوص براي ايجاد سيستم مديريتي امنيت خدمات شبكه اطلاعات، اين استاندارد نسبت به ديگر استانداردها راحت تر پياده سازي مي شود و توسط ذينفعان (مديران ارشد، كاركنان، تأمين كنندگان، مشتريان و قانون گذاران) به خوبي قابل درك است. از اين رو با در نظر گرفتن سطح بالاي قابليت استفاده و اعتماد به ISO27001 در جهان، ميتوان اين استاندارد را همچون زبان انگليسي به عنوان زبان بين المللي و جهاني در استانداردها و معيارهاي ISMS دانست.

مهرداد
پنجشنبه ۲۰ اردیبهشت ۹۷ ۱۵:۵۱
۹۱ بازديد
۰ نظر