امروزه در دنياي توانمند فناوري تكنولوژي، "اطلاعات" دارايي حياتي براي كسب و كار سازمانها محسوب مي شود. بنابراين تامين امنيت آنها بسيار مهم خواهد بود. عبارت "امنيت اطلاعات"،
تنها به موضوع ساده حفاظت از نام كاربري و رمز عبور ختم نمي شود؛ مقررات و حريم خصوصي يا خط مشي هاي حفاظت از اطلاعات مختلف، يك تعهد پويا را براي سازمان ها به وجود مي آورد.
در عين حال ويروسها، تروجان ها، فيشرها و ... براي سازمان تهديد به حساب مي آيند. همچنين هكرها باعث به وجود آمدن خسارات زيادي براي سازمان مي شوند، مانند دزدي اطلاعات
مشتريان، جاسوسي استراتژي هاي كسب و كار به نفع رقبا، از بين بردن اطلاعات مهم سازمان خدمات شبكه كه هر يك از آنها به تنهايي مي تواند صدمات جبران ناپذيري را متوجه سازمان ها نمايد.
از اين رو استفاده از يك سيستم مديريت امنيت اطلاعات(ISMS ) مناسب براي مديريت موثر دارايي هاي اطلاعاتي سازمان الزامي به نظر مي رسد.
ISMS شامل مجموعه اي از خط مشي ها به منظور فراهم نمودن مدلي براي ايجاد، توسعه و نگهداري امنيت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. اين خط مشي ها به منزله راه هاي امني هستند كه از طريق آنها منابع اطلاعاتي مي توانند مورد استفاده قرار بگيرند. استانداردهاي مختلفي در زمينه فناوري اطلاعات و ارتباطات وجود دارد كه منجر به امنيت اطلاعات مي شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS,غير مجاز مي باشدO, SOA, ITIL و COBIT. اما بعضي از اين استانداردها به دلايل مختلف چندان مورد استقبال سازمان ها قرار نگرفته. در اينجا به بررسي چهار استاندارد برتر دنيا مي پردازيم كه به طور گسترده در زمينه چارچوب، ساختار و امنيت فناوري اطلاعات مورد استفاده قرار مي گيرند. اين چهار استاندارد برتر شامل: ISO 27001, PCI DSS, ITIL و COBIT هستند.
در ادامه به بررسي و نگاهي اجمالي به كليات هريك از اين چهار استاندارد مي پردازيم:
ISO27001: استاندارد بين المللي ISO27001 الزامات ايجاد، پياده سازي، پايش، بازنگري، نگهداري و توسعه ISMS در سازمان را مشخص مي كند. اين استاندارد براي ضمانت انتخاب كنترلهاي امنيتي به جا و مناسب براي حفاظت از دارايي هاي اطلاعاتي، طراحي شده است. زماني كه يك سازمان موفق به دريافت گواهينامه مربوط به استاندارد ISO27001 مي گردد، به اين معني ست كه
آن سازمان توانسته امنيت را در زمينه اطلاعات خود مطابق با بهترين روش هاي ممكن مديريت نمايد. اين استاندارد (بخصوص نسخه 2013 آن) براي پياده سازي در انواع سازمان هاي دولتي،
خصوصي، بزرگ و يا كوچك مناسب است. در ايران با توجه به تصويب سند افتا توسط دولت و الزامات سازمان هاي پسيو شبكه بالادستي در صنعت هاي مختلف، كليه سازمان ها و نهادهاي دولتي، ملزم به پياده سازي
ISMS گرديده و اكثر اين سازمان ها به پياده سازي الزامات استاندارد ISO27001 رو آوردند.
علاوه بر اين كه استاندارد ISO27001 خود حاوي كنترل هاي امنيتي جامعي جهت تضمين امنيت سازمان است، همچنين مي تواند به عنوان يك بستر مديريتي جهت پياده سازي كنترل هاي امنيتي بيشتري كه در استانداردهاي ديگر وجود دارد، مورد استفاده قرار گيرد.
PCI DSS: استاندارد امنيت اطلاعات در صنعت كارت پرداخت (PCI DSS) يك استاندارد امنيت اطلاعات جهاني است كه توسط انجمن استانداردهاي امنيت صنعت كارت پرداخت براي افزايش امنيت كارت هاي اعتباري ايجاد شد. اين استاندارد اختصاصاً براي سازمان هايي مفيد است كه در زمينه كارت هاي اعتباري، كيف الكترونيك، ATM، POS و... اطلاعات مشتريان را نگهداري، پردازش يا مبادله مي كنند.
اعتبار اين استاندارد به صورت ساليانه بررسي مي شود. براي سازمان هاي بزرگ بررسي انطباق توسط يك ارزياب مستقل انجام مي شود اما سازمان هاي كوچكتر مي توانند انطباق خود را توسط پرسشنامه خود ارزيابي بررسي نمايند.
ITIL ITIL يك چارچوب عمومي است كه بر پايه تجارب موفق در مديريت سرويس هاي IT در سازمان هاي دولتي و خصوص در سطح بين المللي به وجود آمده است. ITIL در اصل يك استاندارد نيست بلكه چارچوبي است با نگاهي نوين براي بهبود ارائه و پشتيباني خدمات فناوري اطلاعات كه امروزه از سوي سازمانهاي ارائه دهنده خدمات فناوري اطلاعات بسيار مورد توجه قرار گرفته است. هدف
اوليه اين چارچوب اين است كه مطمئن شود سرويس هاي IT با نيازهاي كسب و كار سازمان منطبق است و در زماني كه كسب و كار به آن نياز دارد پاسخگوي اين نياز است.
ITIL به عنوان مجموعه اي از كتابها به وجود آمده و بر پايه مدل دمينگ و چرخه PDCA ايجاد شده، نسخه ي فعلي ITIL كه مورد استفاده است، نسخه سوم مي باشد كه ۵ بخش اصلي را در بر دارد: استراتژي خدمات، طراحي خدمات، تحويل خدمات، اداره خدمات، بهينه سازي پيوسته خدمات.
همانطور كه بيان شد، ITIL بيشتر در شركت هايي كه كسب و كار IT دارند مورد توجه قرار گرفته است. COBIT: COBIT يك گواهينامه است كه توسط ISACA و موسسه مديريت IT (ITGI) در سال 1996 به وجود آمد. اين استاندارد چارچوبي براي مديريت فناوري اطلاعات است. اين استاندارد با رويكردي فرآيندگرا در 4 دامنه و 34 فرآيند و مجموعه اي از 318 هدف كنترلي در حوزه ارزيابي فناوري اطلاعات تدوين شده است و مجموعه اي از سنجه ها، شاخص ها، فرآيندها و بهترين¬تجارب را براي كمك به مديران، مميزان و كاربران IT ارائه مي-دهد.COBIT داراي پنج حوزه تمركز بر مديريت فناوري اطلاعات است: تنظيم استراتژيك، تحويل ارزش پشتيباني شبكه مديريت منابع، مديريت ريسك، اندازه¬گيري كارايي . پياده سازي و بكارگيري COBIT در سازمان¬ها، براي مديران چارچوبي را فراهم مي آورد تا به كمك آن بتوانند برنامه استراتژيك IT، معماري اطلاعاتي، نرم¬افزارها و سخت افزارهاي مورد نياز IT و كنترل عملكرد سيستم هاي IT سازمان خود را طراحي نمايند و با كمك اين ابزارها به تصميم¬گيري و سرمايه گذاري¬هاي مرتبط با فناوري اطلاعات بپردازند. |
|
همپوشاني حوزه هاي امنيتي :
در سال 2009، يازده حوزه كنترلي اساسي معرفي شد كه به 11EC معروف گرديد اين كنترل ها مي بايست توسط سازمان هايي كه مي خواهند امنيت اطلاعات را پياده سازي نمايند پياده سازي شوند، اگر اين كنترل ها را به عنوان معياري براي تحقق امنيت اطلاعات در نظر بگيريم حاصل مقايسه چهار استاندارد مذكور، با توجه به اين معيارها به شكل زير خواهد بود: |
|
مقايسه چهار استاندارد برتر:
جهت مقايسه متناظر ويژگي هاي اين استانداردها، جدول زير برخي موضوعات قابل تأمل را مشخص مي نمايد. |
|
انتخاب استاندارد جهت پياده سازي امنيت اطلاعات :
بسيار مهم است كه استانداردي در سازمان پياده سازي گردد كه به عنوان يك معيار همگاني شناخته شده و مورد قبول اكثر سازمان ها و قوانين كشوري باشد، استاندارد ISO توسط 25 كشور راه اندازي شد، اين درحالي است كه سه استاندارد ديگر تنها در يك كشور شروع به كار كردند. در اين خصوصISO به نسبت سه استاندارد ميكروتيك ديگر بسيار شناخته شده تر است، ISO به طور گسترده در جهان توسط 163 كشور مورد استفاده قرار گرفته است، در مقايسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعيت كنترلهاي آن نسبت به سه استاندارد امنيتي ديگر، موجبات پذيرش آن توسط مشتريان، تامين كنندگان، خريداران و مديران را فراهم مي سازد. |
|
|
- پنجشنبه ۲۰ اردیبهشت ۹۷ ۱۵:۵۱
- ۸۳ بازديد
- ۰ نظر