پروژه بررسی استانداردهای سیستم مدیریت امنیت اطلاعات



بررسی استانداردهای سیستم مدیریت امنیت اطلاعات

پیشگفتار
امروزه نقش اطلاعات در سازمانها به عنوان یکی از حیاتی ترین سرمایه ها به وضوح به چشم می آید. گسترش شبکه های اطلاعاتی و دیگر فناوریهای پردازش و انتقال اطلاعات، از یک سو به پیشرفت سازمانها و رفاه مشتریان کمک کرده و از سویی دیگر تهدیدهای جدیدی را متوجه کسب و کار سازمانها نموده است. در نتیجه اطلاعات باید به طور مناسبی محافظت شوند. امنیت اطلاعات، به منظور اطمینان از حیات کسب و کار، کاهش خرابیها ، افزایش فرصتهای کسب و کار و بازگشت سرمایه ، محافظت اطلاعات را از حیطه گسترده ای از تهدیدات تضمین می کند. از این رو در این مقاله به بررسی امنیت اطلاعات و استانداردهای امنیت اطلاعات به منظور افزایش آگاهی کاربران در این زمینه پرداخته شده است.

چکیده:

امروزه داده ها علاوه بر ساختمان ها و تجهیزات سخت افزاری از مهم ترین سرمایه های یک سازمان محسوب می شوند و نقش کلیدی در آن بازی می کنند. سازمان های مختلف دارای نیازمندی های امنیتی مختلفی می باشند و با توجه به نیازهای آن باید کنترل های امنیتی مختلفی را اعمال کرد. به منظور حفظ داده ها از نظر امنیتی و جامعیتی تلاش های بسیار زیادی صورت گرفته است. خط مشی های مدیریت امنیت اطلاعات محدوده وسیعی را شامل می شوند و اکثر آن ها عمومی هستند و تفاوت چندانی بین سازمان ها قائل نمی شوند. اطلاعات مانند سایر دارائی های سازمانی به عنوان یک دارائی مهم و باارزش برای هر سازمان به حساب می آید و در نتیجه نیازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می باشند . نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار می نماید. داشتن دید جامع و کامل از استانداردها و مورد مقایسه قرار گرفتن آنها با یکدیگر می تواند در مدیریت مناسب امنیت اطلاعات نقش اساسی داشته باشد. در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بین المللی موجود در این زمینه و نحوه رویکرد مناسب به آن اشاره شده است.

واژه های کلیدی: امنیت اطلاعات، مدیریت امنیت اطلاعات، استانداردهای امنیت اطلاعات و مدیریت اطلاعات.

فهرست مطالب

عنوان صفحه
مقدمه 1
فصل اول : امنیت اطلاعات 4
1-1-تاریخچه امنیت اطلاعات 5
1-2-امنیت اطلاعات چیست؟ 5
1-3-نقطه آغاز امنیت اطلاعات 6
1-3-1-چرا به امنیت اطلاعات نیازمندیم؟ 8
1-3-2-چالش انسانی امنیت اطلاعات 9
1-4- اصول مهم در امنیت اطلاعات 10
1-4-1- مفاهیم پایه در امنیت اطلاعات 11
1-4-2- تعریف ساده ای از امنیت اطلاعات 19
1-4-3- کنترل امنیت اطلاعات چگونه ممکن است؟ 20
1-5- روشی برای مدیریت امنیت اطلاعات 21
1-5-1- برنامه جامع امنیت تجارت الکترونیک 23
1-5-2- امضای دیجیتالی زیربنای امنیت تبادلات الکترونیکی 24
1-5-2-1- منظور از امضای دیجیتالی چیست؟ 25
1-5-2-2- کاربرد امضای دیجیتالی در تجارت الکترونیکی 25
1-5-2-3- تفاوت http با https در امنیت اطلاعات 26
فصل دوم : مدیریت امنیت اطلاعات 28
2-1-مدیریت امنیت اطلاعات چیست؟ 29
2-2- طرح مدیریت امنیت اطلاعات چیست؟ 29
2-3- سیستم مدیریت امنیت اطلاعات 31
2-3- 1- سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان 32
2-3-2- مشاوره و پیاده سازی سیستم مدیریت امنیت 33
2-4- چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات 35
2-5- مراحل اجرای سیستم مدیریت امنیت اطلاعات 38
2-6- تعیین محدوده استقرار سیستم مدیریت امنیت اطلاعات 39
2-6-1-ارائه طرح جامع امنیت شبکه و اطلاعات 41
فصل سوم: استاندارد های مدیریت امنیت اطلاعات 43
3-1- تاریخچه استاندارد 44
3-2- تعریف استاندارد 45
3-2-1- سطوح استاندارد 45
3-2-2- سازمان بین المللی استانداردسازی 45
3-2-3- تعریف ایزو از ISMS 46
3-3- استاندارد های امنیت 47
3-4- موسسه مهندسان برق و الکترونیک(IEEE) 47
3-4-1- استاندارد IEEE802 48
3-4-1-1- انواع استاندارد های IEEE802 50
3-4-1-2- استانداردIEEE802.11 WIRELESS LAN 51
3-4-1-2-1- قابلیت ها و ابعاد امنیتی استاندارد IEEE802.11 54
3-4-1-2-2- تقسیم بندی گروه کاری IEEE802.11 54
3-4-2- استاندارد های شبکه های محلی بی سیم 58
3-4-2-1- قابلیت و سرویس پایه توسط IEEE برای شبکه های محلی بی سیم 59
3-5- استاندارد های مدیریت امنیت اطلاعات 61
3-5-1- انواع استاندارد های مدیریت امنیت اطلاعات 64
3-5-1-1- استاندارد های خانواده ISO27000 64
3-5-1-1-1- استانداردISO/IEC27001 66
3-5-1-1-1-1- ممیزی داخلی در استانداردISO/IEC27001 72
3-5-1-1-1-2- حوزه های کنترل استاندارد ISO/IEC27001 73
3-5-1-1-1-3- مزایای پیاده سازی استاندارد ISO/IEC27001 84
3-5-1-1-2- استاندارد ISO/IEC27002 85
3-5-1-1-3- استاندارد ISO/IEC27003 87
3-5-1-1-4- استاندارد ISO/IEC27004 88
3-5-1-1-5- استاندارد ISO/IEC27005 88
3-5-1-1-6- استاندارد ISO/IEC27006 88
3-5-1-1-7- استاندارد ISO/IEC27007 89
3-5-1-1-8- استاندارد ISO/IEC27011 89
3-5-1-1-9- مزایای استفاده از ISMS مبتنی بر استاندارد های سری ISO27000 90
3-5-1-2- استاندارد ISO/IEC15408 91
3-5-1-3- گزارش فنی ISO/IEC TR13335 92
3-5-1-4- استاندارد NIST800_30 94
3-5-1-4-1- مقایسه استاندارد ISO/IEC27005 با NIST800_30 96
3-6- تصدیق استاندارد ها 97
3-7- پیاده سازی استاندارد های امنیت شبکه 97
3-7-1- مدل امنیتی وایا چیست؟ 99
3-7-2- نگرش ایمن افزار وایــا به امنیت در طرح حاضر 102
3-7-3- خدمات وایا 103
جمع بندی 106
نتیجه گیری 108
منابع 110

فهرست اشکال و جداول
فهرست اشکال صفحه
فصل 2
شکل2-1:چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات 35
شکل2-2:نقشه مسیر پروژه سیستم مدیریت امنیت اطلاعات 37
فصل 3
شکل3-1:متدولوژی ISO/IEC 27001 72
شکل3-2:یازده حوزه کنترل استاندارد ISO/IEC 27001 73
شکل3-3:ارتباط سری استانداردهای 27000 90
شکل3-4: استاندارد TR13335 94
شکل3-5: استانداردNIST800_30 95
شکل3-6:قانون 80-20 98

فهرست جداول صفحه
جدول2-1: میزان نسبی در معرض ریسک بودن یک سیستم اطلاعاتی براساس فعالیت
در بخش های مختلف 32

مقدمه
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می توان به فقدان زیرساخت های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن سازی فضای تبادل اطلاعات دستگاه های دولتی اشاره نمود. بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت هائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت های امنیت فضای تبادل اطلاعات در کشور می باشد. از سوی دیگر، وجود زیرساخت های فوق، قطعا تاثیر بسزائی در ایمن سازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه های دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه ها شده و کاهش اعتبار این دستگاه ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن سازی فضای تبادل اطلاعات دستگاه های دولتی، ضروری به نظر می رسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاه های دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت. سیستم مدیریت امنیت اطلاعات (ISMS) با ارائه اولین استاندارد مدیریت امنیت اطلاعات که در سال 1995 ارائه شد نوعی نگرش سیستماتیک به موضوع امنیت اطلاعات را ایجاد کرد. بر طبق این نگرش جدید، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی باشد وشرکت ها و سازمان ها لازم است برای حفظ امنیت اطلاعات خود، از یک چرخه امنیتی استفاده کنند. مجموعه ای از اقدامات پیشگیرانه و تدافعی که لازم است به صورت مداوم توسط شرکت ها و سازمان های مختلف به منظور حفظ امنیت اطلاعات انجام پذیرد، به عنوان چرخه امنیت شناخته می شود. این چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و ترمیم بوده که لازم است طبق یک متدولوژی مشخص ضمن تهیه طرح ها و برنامه های امنیتی موردنیاز ، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات، اجرا شوند. به منظور ایمن سازی سرمایه های سازمان اعم از منقول و غیر منقول، معنوی و انسانی سلسله فعالیتهایی مرتبط و با برنامه ریزی باید انجام پذیرد . در صورتی که از وجوه مختلف برای حفظ سرمایه های سازمان برنامه ریزی شود، آگاهی بخشی و آموزشهای لازم به تمامی پرسنل در کلیه سطوح ارائه گردد، کنترلهای مورد نیاز برای حفظ سرمایه ها تعریف و پیاده سازی شوند، مسئولیت های مرتبط با ایمن سازی سرمایه ها تعریف و واگذار شود، به صورت دوره ای تمامی فعالیتها بازبینی و بهینه سازی شوند،شرایط تداوم سازمان تعیین و اجرای آنها برنامه ریزی گردد، آنگاه به طور نسبی می توان ادعا کرد که برنامه ریزی برای حفظ منابع سازمان انجام پذیرفته است. یکی از روشهای دسترسی به هدف فوق استقرار استاندارد امنیت اطلاعات است.
موسسات ISO و IEC از موسسات بین المللی تدوین استاندارد در سطح جهانی می باشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل داده اند.
مفهوم "سیستم مدیریت امنیت اطلاعات" اولین بار طی مراحل تحریر وتوسعه استاندارد بریتانیایی 7799 در سال های انتهایی دهه 1980 میلادی مورد بحث و توجه قرار گرفت. آخرین تعریف "سیستم مدیریت امنیت اطلاعات" از نظر استاندارد بین المللی آن عبارت است از :
"سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که برپایه رویکرد مخاطرات کسب و کار (Business Risk Approach) قراردارشته و هدف آن، پایه گذاری، پیاده سازی ، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است."
در حال حاضر، مجموعه ای از استانداردهای مدیریتی و فنی ایمن سازی فضای تبادل اطلاعات سازمان ها ارائه شده اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین المللی استاندارد از برجسته ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می گردند. استاندارد بین المللی ISO/IEC 17799 برای اولین بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذیرفته شد . استاندارد ISO 27001 تامین کننده یک سری از ابزارهای سازگار با یکدیگر برای سنجش مدیریت امنیت اطلاعات در هر سازمان با هر نوع کار یا حجم سازمان می باشد. این گواهینامه می تواند برای یک سازمان یا بخشی از آن دریافت و سپس در سازمان گسترش و بخش های دیگر را دربرگیرد. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیک های تخصصی تر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم می سازند. برای برخی استانداردهای خاص، گواهینامه امنیت فضای تبادل اطلاعات صادر می شود که از مزیت های آن توانایی گرفتن بیمه امنیت فضای تبادل اطلاعات است. لازم به ذکر است در حال حاضر، در ایران خدمات بیمه امنیت فضای تبادل اطلاعات ارائه نمی شود.

فصل اول : امنیت اطلاعات

1-1- تاریخچه امنیت اطلاعات
از زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسانها مخصوصا سران حکومتها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه بودن مکاتبات و تشخیص دستکاری آنها بودند. ژولیوس سزار 50 سال قبل از میلاد یک سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیام های سری خود توسط دشمن جلوگیری کند حتی اگر پیام به دست دشمن بیافتد. جنگ جهانی دوم باعث پیشرفت چشمگیری در زمینه امنیت اطلاعات گردید و این آغاز کارهای حرفه ای در حوزه امنیت اطلاعات شد. پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت افزار، نرم افزار و رمزگذاری داده ها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان تر پردازش الکترونیکی داده ها باعث شد که شرکت های کوچک و کاربران خانگی دسترسی بیشتری به آنها داشته باشند. این تجهیزات به سرعت از طریق شبکه های کامپیوتر مثل اینترنت به هم متصل شدند.
با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بین المللی، نیاز به روش های بهتر حفاظت از رایانه ها و اطلاعات آنها ملموس گردید. رشته های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان های متعدد حرفه ای پدید آمدند. هدف مشترک این فعالیت ها و سازمانها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم های اطلاعاتی است.

1-2- امنیت اطلاعات چیست؟
امنیت اطلاعات یعنی حفاظت اطلاعات و سیستم های اطلاعاتی از فعالیت های غیرمجاز.
این فعالیت ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.
واژه های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات مطمئن گاه به اشتباه به جای هم به کار برده می شود. اگر چه اینها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوت های ظریفی بین آنها وجود دارد. این تفاوت ها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روش های استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کرده اند دارد.
امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، و یا اشکال دیگر.
امنیت کامپیوتر در حصول اطمینان از در دسترس بودن و عملکرد صحیح سیستم کامپیوتری تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سیستم کامپیوتری ذخیره یا پردازش می شود.
دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری می کنند. بسیاری از این اطلاعات در حال حاضر بر روی کامپیوترهای الکترونیکی جمع آوری، پردازش و ذخیره و در شبکه به کامپیوترهای دیگر منتقل می شود.اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسه ای به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.
برای افراد، امنیت اطلاعات تاثیر معناداری بر حریم خصوصی دارد. البته در فرهنگ های مختلف این مفهوم حریم خصوصی تعبیرهای متفاوتی دارد.
بحث امنیت اطلاعات در سال های اخیر به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههای بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تامین امنیت شبکه (ها) و زیرساخت ها، تامین امنیت برنامه های کاربردی و پایگاه داده ها، تست امنیت، حسابرسی و بررسی سیستم های اطلاعاتی، برنامه ریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.
1-3- نقطه آغاز امنیت اطلاعات :
به منظور استقرار امنیت اطلاعات تعدادی از کنترلها به مثابه ماخذ اساسی نقطه آغاز خواهند بود.این کنترلها نیازهای پایه قانونی یا به عنوان بهترین روشهای متداول برای امنیت اطلاعات خواهند بود.
کنترلهای اساسی که برای هر سازمان از جنبه قانونی باید درنظرگرفته شود:
الف) حفاظت داده و اطلاعات خصوصی افراد
ب) محافظت از بایگانی ها و سوابق سازمانی
ج) حقوق سرمایه های معنوی
کنترلهایی که باید به عنوان بهترین روشها برای امنیت اطلاعات در نظر گرفته شوند:
الف) مستند سیاست امنیت اطلاعات
ب) تعیین مسئولیتهای امنیت اطلاعات
ج) آموزش و یادگیری امنیت اطلاعات
د) گزارش وقایع امنیتی
ه) مدیریت تداوم سازمان
کنترلهای فوق در اغلب محیط ها و سازمان ها قابل اعمال هستند. لازم به ذکر است یادآوری نماید اگر چه همه کنترلها ی ذکر شده در این استاندارد مهم هستند اماارتباط هر کنترل باید از نظر مخاطره ای که سازمان با آن مواجه است تعیین گردد.اگر چه ایده فوق به عنوان نقطه آغاز مناسبی در نظر گرفته شده است اما نباید جایگزین انتخاب کنترلها بر اساس روش ارزیابی مخاطرات گردد.
عوامل اساسی موفقیت:
تجربه نشان داده است که عوامل زیر اغلب در موفقیت استقرار امنیت اطلاعات در سازمان حیاتی هستند:
الف) اقتباس سیاستهای امنیتی ، اهداف و فعالیتها از اهداف سازمان
ب) انطباق روش استقرار امنیت اطلاعات با فرهنگ سازمان
ج) پشتیبانی و مشارکت موثر و ملموس مدیریت
د) درک درست از نیازهای امنیتی،ارزیابی و مدیریت مخاطرات
ه)گزارش آگاهی در خصوص سیاست امنیت اطلاعات و استانداردها برای پرسنل و پیمانکاران
و) برقراری آموزشها و یادگیری مناسب
ز) وجود سیستم متوازن و کامل ارزیابی به منظور ارزیابی مدیریت امنیت اطلاعات و ارائه بازخورد برای بهبود
1-3-1- چرا به امنیت اطلاعات نیازمندیم ؟
اطلاعات، پردازشهای پشتیبان آنها، سیستم ها و شبکه ها، سرمایه های مهم کسب و کار محسوب می شوند.محرمانگی، صحت و قابلیت دسترسی اطلاعات به عنوان اساس و زیر بنای ماندگاری در سطح رقابت، سودمندی، عملکرد صحیح و تاثیر اقتصادی می باشد. سازمانها و سیستم های اطلاعاتی و شبکه های آنها به طور فزاینده با تهدیدات امنیتی گسترده ای مواجه هستند. این مخاطرات عبارتند از : بازدارندگی با کمک کامپیوتر، جاسوسی، خرابکاریهای داخلی، خرابکاریهای هدف دار، آب و آتش .
منابع ایجاد خسارت از قبیل ویروسهای کامپیوتری، حملات کامپیوتری و حملات قطع سرویس به صورت فزاینده ای متداول، موثر و پیچیده شده اند.
بسته به نوع ابزار، سیستم ها و سرویس های اطلاعاتی سازمانها در مقابل تهدیدات امنیتی به شدت آسیب پذیر شده اند .اتصال شبکه های عمومی و خصوصی و به اشتراک گذاری منابع اطلاعاتی موجود، سبب افزایش مشکلات کنترل دسترسی شده است .تاثیر گرایش به محیط های کامپیوتری توزیع شده اثر بخشی کنترلهای متمرکز و تخصصی را باضعف مواجه کرده است .
اغلب سیستم های اطلاعاتی به طور ایمن طراحی نشده اند . ابزارهای فنی در ارائه امنیت محدود می باشند و برای رفع این محدودیت می بایست از طریق روالها و مدیریت مناسب می توان این محدودیت را برطرف نمود . تعیین نوع کنترل هایی که باید استقرار یابند نیاز به طراحی دقیق و توجه به اجزاء دارد .
مدیریت امنیت اطلاعات، به عنوان حداقل، به مشارکت تمامی پرسنل سازمان،فراهم کنندگان، مشتریان ، شرکاء و دستگاه های بالا و پائین دست نیاز دارد.بهره گیری از مشاوره و اطلاعات متخصصین بیرون سازمان نیز ضروری می باشد.
کنترلهای امنیت اطلاعات چنانچه در مرحله طراحی و نیازسنجی لحاظ شوند به طور قابل ملاحظه ای ارزان و موثر خواهند بود.
1-3-2- چالش انسانی امنیت اطلاعات
حال پس از امنیت اطلاعات نوبت آن است که بپرسیم چرا مدیریت کردن انسانها در زمینه امنیت اطلاعات دشوار است؟ چالش های اصلی در ایجاد روابط موفق برای مدیریت اطلاعات چیست و چه مهارت هایی از امنیت اطلاعات برای توسعه و رسیدن به موفقیت مورد نیاز است؟ مدیریت امنیت اطلاعات چیزی بیش از قفل کردن ورودی هاست ودر ارتباط با گروه بندی و رفتارهای اجتماعی است . چون انسان غیر قابل پیش بینی است و مانند یک موجود اتوماتیک عمل نمی کند،که یک ورودی را بگیریدو به صورت خروجی مشخص پردازش کند. همان طور که گفته شد نقش های سازمانی ترکیبی از شخصیت و هویت اجتماعی فردی است که فرهنگ سازمانی را تشکیل می دهد.در مدیریت امنیت اطلاعات ما شاهد دو رویکرد هستیم .رویکرد کنترلی و دیگری رویکرد آکادمیک. در رویکرد کنترلی مدیر امنیت اطلاعات به صورت یک متخصص فنی با دیدگاه مدیریتی، فرماندهنده می شود که تصمیمات امنیتی را بدون درگیرکردن کارمندان برای مزاکره انجام می دهد. اما از آنجایی که مدیریت امنیت اطلاعات قوی وابسته به انسان و فرایند و تکتولوژی است بنابراین سعی می شود که یک رویکرد آکادمیک جایگزین آن شود . اما در این صورت نیز ممکن است حداقل در کوتاه مدت شاهد رخ دادن حوادث و اشتباهات بیشتری شویم ،که نیازمند پذیرش و سرمایه گزاری بیشتری برای بهبود خواهد بود. در مصاحبه با مدیران امنیت اطلاعات نشان داده شده که آنها بر روی صحبت، ارائه و تقویت ایده ها بیشتر تمرکز دارند تا گوش دادن به کاربر نهایی.
یکی دیگر از چالش های انسانی امنیت اطلاعات ،برقراری ارتباط موثر است . مدیران امنیت اطلاعات می بایست قادر به ارتباط موثر با کاربران نهایی و از طرف دیگر مدیران ارشد و هیئت مدیره باشند. هر چند خود به اهمیت این رابطه واقفند ولی اکثرا فاقد مهارت برقراری این ارتباط به خصوص با کاربر نهایی هستند. و از طرف دیگر به دلیل نگرش نادرست ،مدیران ارشد که می پندارند امنیت اطلاعات یک موضوع صرفا فنی است و بهترین مدیریت از طرف کارکنان فنی صورت می گیرد ،باعث ایجاد یک شکاف بین مدیران امنیت اطلاعات و سایر مدیران ارشد شده است. در کل یک مدیر امنیت اطلاعات علاوه بر توسعه مهارت های تخصصی خود مثل آشنایی با سیستم عامل های مختلف ، مدیریت فایروال و پرتکل های رمزنگاری و انتقال می بایست دارای مهارت های ارتباطی ،هوش سیاسی وقدرت مذاکره برای منابع و خرید و مدیریت منابع کلیدی داشته باشد که تمام این مهارت ها نرم هستند و به اصلاح و تغییر فرهنگ سازمانی کمک می کنند.
در یک جمله چالش های انسانی مدیریت امنیت اطلاعات مربوط به تغییر فرهنگ سازمانی هویت مدیر امنیت اطلاعات ،برقراری ارتباط موثر و توسعه مهارت های برای رویارویی با چالش هاست. مدیریت امنیت اطلاعات منابع را برای یافتن اهداف امنیت اطلاعات که باعث موفقیت در سازمان می شود، پیکربندی می کند. یک چالش اساسی تلاش برای تغییر فرهنگ سازمانی است که وابسته به توسعه هویتی بهتر برای مدیر امنیت اطلاعات باایجاد یک چرخه ارتباط خوب با کاربران نهایی و مدیران ارشد است.

1-4- اصول مهم درامنیت اطلاعات
* سه اصل مهم در امنیت اطلاعات عبارتند از :
o محرمانگی : اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
o صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روش های پردازش آنها
o دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائی های مربوطه به آنها دسترسی دارند .
* امنیت اطلاعات به وسیله اجرای یکسری از کنترل های مناسب ، حاصل خواهد شد. این کنترل ها میتوانند به صورت خط مشی ها ، رویه ها ، ساختارهای سازمانی و یا نرم افزارهای کاربردی باشند . این کنترل ها برای اطمینان از برآورده شدن اهداف امنیتی سازمان بایستی اجرا گردند .
1-4-1- مفاهیم پایه درامنیت اطلاعات
همانگونه که تعریف شد، امنیت اطلاعات یعنی حفظ محرمانگی، یکپارچه بودن و قابل دسترس بودن اطلاعات از افراد غیرمجاز. در اینجا مفاهیم سه گانه "محرمانگی"، "یکپارچه بودن" و "قابل دسترس بودن" توضیح داده میشود. در بین متخصصان این رشته بحث است که علاوه بر این 3 مفهوم موارد دیگری هم را باید در نظر گرفت مثل "قابلیت حسابرسی"، "قابلیت عدم انکار انجام عمل" و "اصل بودن".
محرمانگی
محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجاز. محرمانگی، حفاظت داده های ارسال شده در مقابل حملات غیرفعال است. بدین ترتیب پیام به شکلی ساخته و ارسال می شود که فقط توسط گیرنده های مورد نظر قابل شناسایی (خواندن) باشد. جنبه دیگر محرمانگی، حفاظت از جریان ترافیک در مقابل تحلیل است. این کار مستلزم این است که حمله کننده نتواند مبداء، مقصد، تعداد دفعات ارسال پیام، یا سایر ویژگی های ترافیک را در امکانات ارتباطی مشاهده نماید.
به عنوان مثال، برای خرید با کارت های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه های داده، فایل های ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره) رمز شده باقی میماند. همچنین دسترسی به اطلاعات و سیستم ها نیز محدود میشود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است.
نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلا اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند یا فروش یا سرقت کامپیوتر لپ تاپ حاوی اطلاعات حساس یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.
رمزنگاری دانشی است که به بررسی و شناختِ اصول و روش های انتقال یا ذخیره ی اطلاعات به صورت امن (حتی اگر مسیر انتقال اطلاعات و کانال های ارتباطی یا محل ذخیره اطلاعات ناامن باشند) می پردازد.
رمزنگاری استفاده از تکنیکهای ریاضی، برای برقراری امنیت اطلاعات است. دراصل رمزنگاری دانش تغییر دادن متن پیام یا اطلاعات به کمک کلید رمز و با استفاده از یک الگوریتم رمز است، به صورتی که تنها شخصی که از کلید و الگوریتم مطلع است قادر به استخراج اطلاعات اصلی از اطلاعات رمز شده باشد و شخصی که از یکی یا هر دوی آن ها اطلاع ندارد، نتواند به اطلاعات دسترسی پیدا کند. دانش رمزنگاری بر پایه مقدمات بسیاری از قبیل تئوری اطلاعات، نظریه اعداد و آمار بنا شده است و امروزه به طور خاص در علم مخابرات مورد بررسی و استفاده قرار می گیرد. معادل رمزنگاری در زبان انگلیسی کلمه Cryptography است، که برگرفته از لغات یونانی kryptos به مفهوم "محرمانه" و graphien به معنای "نوشتن" است.
در رمزنگاری، وجود اطلاعات یا ارسال شدن پیام به هیچ وجه مخفی نمی باشد، بلکه ذخیره اطلاعات یا ارسال پیام مشخص است، اما تنها افراد مورد نظر می توانند اطلاعات اصلی را بازیابی کنند. بالعکس در پنهان نگاری، اصل وجود اطلاعات یا ارسال پیام محرمانه، مخفی نگاه داشته می شود و غیر از طرف ارسال کننده و طرف دریافت کننده کسی از ارسال پیام آگاه نمی شود.
در رمزنگاری محتویات یک متن به صورت حرف به حرف و در بعضی موارد بیت به بیت تغییر داده می شود و هدف تغییر محتوای متن است نه تغییر ساختار زبان شناختی آن. در مقابل کدگذاری تبدیلی است که کلمه ای را با یک کلمه یا نماد دیگر جایگزین می کند و ساختار زبان شناختی متن را تغییر می دهد.
ریشه ی واژه ی Cryptography برگرفته از یونانی به معنای "محرمانه نوشتن متون" است. رمزنگاری پیشینه ی طولانی ودرخشان دارد که به هزاران سال قبل برمی گردد. متخصصین رمزنگاری بین رمز وکد تمایز قائل می شوند. رمز عبارتست از تبدیل کاراکتر به کاراکتر یا بیت به بیت بدون آن که به محتویات زبان شناختی آن پیام توجه شود. در طرف مقابل، کد تبدیلی است که کلمه ای را با یک کلمه یا علامت دیگر جایگزین می کند. امروزه از کدها استفاده ی چندانی نمی شود اگر چه استفاده از آن پیشینه ی طولانی و پرسابقه ای دارد. موفق ترین کدهایی که تاکنون نوشته شده ابداع شده اند توسط ارتش ایالات متحده و در خلال جنگ جهانی دوم در اقیانوس آرام بکار گرفته شد.
رمزگذاری عملیاتی است که طی آن اطلاعات اولیه (که به آن متن آشکار گفته می شود) با استفاده از یک الگوریتم (که الگوریتم رمز نامیده می شود) و یک کمیت محرمانه (که به آن کلید رمز گفته می شود) به متن غیر قابل فهم دیگری (که به آن متن رمز گفته می شود) تبدیل می شود به نحوی که بدون دسترسی به کلید رمز، دستیابی به اطلاعات اولیه از روی متن رمز شده غیرممکن باشد.
رمزگشایی به عملیات معکوس رمزگذاری، رمزگشایی گفته می شود که به معنای بازیابی متن آشکار با دانستن و استفاده از کلید رمز می باشد. اگر بازیابی متن آشکار بدون دانستن کلید رمز انجام گیرد، به آن تجزیه و تحلیل رمز گفته می شود. امروزه مسائل مربوط به رمزگذاری توسعه ی زیادی یافته است و در حوزه ی دانش رمزنگاری مورد بررسی قرار می گیرد.
استفاده از عملیات رمزگذاری دارای سابقه ی چند هزار ساله است و مدت زیادی است که توسط دولت ها و سیستم های نظامی برای رد و بدل اطلاعات به صورت امن مورد بهره برداری قرار گرفته است. اما امروزه با هدف محافظت از اطلاعات در بسیاری از کاربردها و سیستم های مدرن انسانی مانند موارد زیر نیز به کار گرفته می شود:
* ارتباطات امن در شبکه های رایانه ای
* سیستم های تلفن همراه و ماهواره ای
* انواع سیستم های بی سیم
* دستگاه های خودپرداز بانک ها
* انواع سیستم های تجاری و مالی
* مدیریت حقوق دیجیتالی
یکپارچه بودن
یکپارچه بودن یعنی جلوگیری از تغییر داده ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیر مجاز اطلاعات. یکپارچگی وقتی نقض میشود که اطلاعات در حین انتقال بصورت غیرمجاز تغییر داده میشود. سیستم های امنیت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آنرا نیز تضمین می کنند.
کنترل اختیارات و قابل دسترس بودن
در بحث مهندسی امنیت و امنیت کامپیوتر ، authorization بخشی از سیستم عامل می باشد که منابع کامپیوتر را اینگونه محافظت می کند که به مصرف کنندگان منابع اجازه می دهد که تنها به آن دسته از منابع که مجاز هستند دسترسی داشته باشند . منابع شامل فایل های شخصی یا آیتم های دیتا، برنامه های کامپیوتر، ابزارهای کامپیوتر و قابلیت عملکرد فراهم شده توسط برنامه های کاربردی کامپیوتر می باشند . کاربران کامپیوتر، برنامه های کامپیوتر و ابزارهای دیگر روی کامپیوتر، نمونه هایی از مصرف کنندگان منابع هستند .
اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم های ذخیره و پردازش اطلاعات و کانال های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت افزار، و ارتقاء سیستم در دسترس باقی می ماند. یک از راههای از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست بیش از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوده خدمات دهی را ندارد از سرویس دادن بطور کامل یا جزیی عاجز می ماند.
فرآیند authorization برای تصمیم گیری در مورد اینکه شخص، برنامه یا دستگاه X مجاز به دسترسی به داده، قابلیت یا سرویس Y می باشد یا خیر، استفاده می شود .
اغلب سیستم عامل های مدرن چند کاربره شامل یک فرآیند authorization می باشند . هنگامی که یک مصرف کننده سعی در استفاده از یکی از منابع را دارد، فرآیند authorization بررسی می کند که آیا این مصرف کننده اجازه استفاده از آن منبع را دارد یا خیر . در برخی از انواع برنامه کاربردی سیاست امنیت، مجوزها از قبیل یک لیست کنترل دسترسی یا توانایی، به طور کلی توسط مدیر سیستم کامپیوتری (Administrator) و بر مبنای اعطای کمترین امتیاز، تعریف می گردند : مصرف کنندگان باید تنها به منابعی دسترسی داشته باشند که برای انجام وظایف خود به آنها نیاز دارند .سیستم عامل های تک کاربره و قدیمی تر، اغلب یا سیستم های authorization و احراز اصالت (Authentication) ندارند یا اینکه از این نظر ضعیف هستند .مصرف کنندگان با نام مستعار یا مهمان ها، مصرف کنندگانی هستند که اغلب مجبور به احراز اصالت نیستند . آنها اغلب مجوزهای بسیار کمی دارند . در یک سیستم توزیع شده، اغلب این مسئله پسندیده است که اجازه دسترسی بدون نیاز به یک هویت واحد، اعطا گردد . مثال های آشنا از علائم (Token authorization ) عبارت اند از کلیدها و بلیط ها : آنها اجازه دسترسی بدون اثبات هویت را ممکن می کنند. مفهومی تحت عنوان مصرف کنندگان مورد اطمینان (Trusted) وجود دارد .مصرف کنندگانی که احراز هویت گردیده اند و مورد اطمینان می باشند، اجازه دسترسی نامحدود به منابع را خواهند داشت . مصرف کنندگان نیمه مطمئن و مهمان ها، برای استفاده از منابع محافظت شده، تحت authorization می باشند . برنامه های سیاست امنیتی برخی از سیستم های عامل، به صورت پیش فرض به تمامی مصرف کنندگان اجازه دسترسی کامل به همه منابع را می دهند . برخی دیگر مخالف این عمل می کنند مگر اینکه مدیر سیستم عمداً یک مصرف کننده را برای استفاده از هر منبعی، فعال نماید .حتی وقتی authorization با استفاده از ترکیبی از احراز اصالت و لیست های کنترل دسترسی، در حال انجام است، مشکلات نگهداری داده های سیاست امنیتی بدیهی نبوده و مسئولیت اثبات شناسه های لازم کاربر را ارائه می کند . اغلب اینگونه مطلوب است که authorization یک کاربر حذف گردد : برای انجام این کار با برنامه سیاست امنیتی، لازم است که داده ها قابل به روز رسانی باشند .در سیاست عمومی authorization یک ویژگی از سیستم های مطمئن می باشد که برای امنیت یا کنترل اجتماعی استفاده می شوند .
یکی از انواع احرازهویت استفاده از روش های کنترل دسترسی است. یک سیستم کامپیوتری حاوی اطلاعات حساس تنها باید توسط دسترسی های مجاز مورداستفاده قرار گیرد و سایر دسترسی ها را محدود نماید. درواقع در صورت دسترسی یک کاربر به بخشی از یک برنامه کنترل دسترسی در سطح سیستم عامل مجوز دسترسی آن کاربر را بررسی می کند و در صورت عدم تطابق با مجوز از پیش تعیین شده آن دسترسی را رد می کند. کنترل دسترسی یک سیستم کامپیوتری است که مبتنی بر سیاست های دسترسی است. فرایندهای کنترل دسترسی به دو دسته تقسیم می شوند: ۱) شناسایی سیاست ها ۲) اجرای سیاست ها. احراز هویت عملیات شناسایی سیاست هاست که بر فاز اجرای آنها که در آن بر اساس هویت های شناخته شده یا دسترسی اعطا و یا رد می شود، مقدم تر است. سیستم عامل های چند کابره این امکانات را دارا هستند و بدین ترتیب می توانند بر اساس روش های کنترل دسترسی کاربران خود را احراز هویت نمایند. هنگامی که کاربری سعی در دسترسی به منابعی از سیستم را دارد فرایند کنترل دسترسی مجوز دسترسی کاربر را شناسایی می کند. این مسئولیت بطور معمول بر عهده مدیر بخش اطلاعات و یا مدبر سیستم است اما بسته به سلسله مراتب سازمانی ممکن است تغییر یابد. این نوع احراز هویت بر اساس لیست های کنترل دسترسی و بر اساس اصل "اعمال کمترین حقوق دسترسی" عمل می کنند. این اصل بیان می کند که به هر کاربر کمترین مجوز دسترسی اعمال شود و تنها آن میزان دسترسی که برای انجام کارهای او ضروریست اعطا شود.
قابلیت حسابرسی و قابلیت عدم انکار انجام عمل
در انتقال اطلاعات و یا انجام عملی روی اطلاعات، گیرنده یا فرستنده و یا عمل کننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلا فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.
اصل بودن
در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد. در بعضی موارد ممکن است اطلاعات رمز شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد ولی ممکن است اطلاعات غلط باشد و یا از گیرنده اصلی نباشد. در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده ولی اصل بودن اطلاعات مهم است.

کنترل دسترسی
متخصصین سیستم های امنیت اطلاعات باید نسبت به پیاده سازی کنترل دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.در دنیای شبکه های کامپیوتری همان گونه که کنترل دسترسی در سیستم های توزیع شده اهمیت پیدا می کنند در سیستمهای متمرکز نیز حائز اهمیت می باشند.متخصصین باید دانش کافی نسبت به حمله ها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممانعت از نفوذ آسیبها اقدام کنند.منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزم های شناسایی به جایگزینی یک قفل وکلید مکانیکی می پردازد.به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار می کند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز می شود.برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستم های مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط می توان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار می گردد.سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC می باشد.کنترل دسترسی در سیتمهای اطلاعات و شبکه ها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری می باشد.
تعریف کنترل دسترسی از دیدگاه CISSP
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد.
برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند.
بدین منظور روش ها و تکنیک های کنترل دسترسی ایجاد شده اند که در اینجا توضیح داده میشوند.
دسترسی به اطلاعات حفاظت شده باید محدود باشد به افراد، برنامه های کامپیوتری، فرآیندها و سیستم هایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزم های برای کنترل دسترسی به اطلاعات حفاظت شده می باشد. پیچیدگی مکانیزم های کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد. اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند. اساس مکانیزم های کنترل دسترسی بر دو مقوله احراز هویت و تصدیق هویت است.
اصالت سنجی یا احراز هویت به تعیین صحت و سقم یک ویژگی، داده یا نهاد گفته می شود. این فرآیند ممکن است شامل تایید هویت یک شخص، دنبال کردن ریشه های یک سازه ی بشری، مطمئن شدن از اینکه یک کالا همانی است که بسته بندی و شناس برگش ادعا می کنند، یا اطمینان از قابل اعتماد بودن یک نرم افزار رایانه ای باشد. احراز هویت تشخیص هویت کسی یا چیزی است. این هویت ممکن است توسط فرد ادعا شود و یا ما خود تشخیص دهیم. اگر یک فرد میگوید "سلام، نام من علی است" این یک ادعا است. اما این ادعا ممکن است درست یا غلط باشد. قبل از اینکه به علی اجازه دسترسی به اطلاعات حفاظت شده داده شود ضروری است که هویت این فرد بررسی شود که او چه کسی است و آیا همانی است که ادعا میکند.در شبکه رایانه ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی است یا یک شیاد است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدایی است که ادعا شده است. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی ، تایید یا رد کند سرویسی جهت اصالت سنجی است. این سرویس برخلاف باور عموم یکی از پیچیده ترین مباحث امنیت شبکه به شمار می رود. در سطح حداقل ، احراز هویت تضمین می کند که پیام از منبع موثقی می رسد. علاوه بر این احراز هویت می تواند شامل حفاظت در مقابل تغییر ، تاخیر ، تکرار و ترتیب مجدد پیام باشد. عنصر مهم طرح احراز هویت ، استفاده از احراز کننده است که معمولا کد احراز هویت پیام (MAC) یا تابع درهم سازی است.
تصدیق هویت عمل تایید هویت است. زمانی که "علی" به بانک میرود تا پول برداشت کند، او به کارمند بانک می گوید که او "علی" است (این ادعای هویت است). کارمند بانک کارت شناسایی عکس دار تقاضا میکند، و "علی" ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره "علی" مطابقت میدهد تا مطمئن شود که فرد ادعا کننده "علی" است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شده است.
از سه نوع اطلاعات می توان برای احراز و تصدیق هویت فردی استفاده کرد:1) چیزی که فرد می داند،2) چیزی که فرد دارد و 3) کسی که فرد هست. نمونه هایی از چیزی که می داند شامل مواردی از قبیل کد، رمز عبور، و یا نام فامیل قبل از ازدواج مادر فرد باشد. نمونه هایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است. کسی که هست اشاره به تکنیک های بیومتریک هستند. نمونه هایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن شبکیه چشم هستند. احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد می داند به علاوه آنچه دارد یعنی مثلا ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل گذرواژه) است.
در سیستم های کامپیوتری امروزی، نام کاربری رایج ترین شکل احراز و رمز عبور رایج ترین شکل تصدیق هویت است. نام کاربری و گذرواژه به اندازه کافی به امنیت اطلاعات خدمت کرده اند اما در دنیای مدرن با سیستم های پیچیده تر از گذشته، دیگر کافی نمی باشند. نام کاربری و گذرواژه به تدریج با روش های پیچیده تری جایگزین می شوند.پس از آنکه فرد، برنامه یا کامپیوتر با موفقیت احراز و تصدیق هویت شد سپس باید تعیین کرد که او به چه منابع اطلاعاتی و چه اقداماتی روی آنها مجاز به انجام است (اجرا، نمایش، ایجاد، حذف، یا تغییر). این عمل را صدور مجوز گویند.
صدور مجوز برای دسترسی به اطلاعات و خدمات کامپیوتری با برقراری سیاست و روش های مدیریتی آغاز می شود. سیاست دسترسی تبیین میکند که چه اطلاعات و خدمات کامپیوتری می تواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسم های کنترل دسترسی سپس برای به اجرا درآوردن این سیاست ها نصب و تنظیم می شوند.
رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از: رویکرد صلاح دیدی، غیرصلاح دیدی و اجباری. در رویکرد صلاح دیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین میکند.
رویکرد غیر صلاح دیدی تمام کنترل دسترسی متمرکز است و به صلاحدید افراد نیست. در روش اجباری، دسترسی به اطلاعات و یا محروم کردن بسته به طبقه بندی اطلاعات و رتبه فرد خواهان دسترسی دارد.

1-4-2- تعریف ساده ای از امنیت اطلاعات
"حفاظت از محرمانگی، تمامیت و دسترس پذیری اطلاعات، علاوه براین ها سایر ویژگی ها از قبیل اصالت ( authenticity ) ، قابلیت جوابگویی و اعتبار ( accountability ) ، انکارناپذیری ( non- repudiation ) و قابلیت اطمینان( reliability ) اطلاعات نیز می توانند مشمول این حفاظت باشند."
"سیستم مدیریت امنیت اطلاعات" برای حصول اطمینان از کفایت و تناسب کنترل های امنیتی محافظ دارایی های اطلاعاتی طراحی شده است تا به این وسیله به مشتریان و دیگر گروه های ذینفع درباره امنیت اطلاعات موجود در سازمان اطمینان خاطرداده شود.

1-4-3- کنترل امنیت اطلاعات چگونه ممکن است؟
کنترل امنیت اطلاعات
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد.
مدیریتی
کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترل های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل می دهد. این کنترل ها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیات ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب می شوند چون به شرکت ها و سازمان ها نحوه امن کسب و کار را بیان می کنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعمل های مختص خود دارند که باید دنبال کنند مثل: استاندارد امنیت داده های صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونه های دیگر از کنترل ها مدیریتی عبارتند از : سیاست امنیتی شرکت های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست های انضباطی. کنترل های مدیریتی پایه ای برای انتخاب و پیاده سازی کنترل های منطقی و فیزیکی است. کنترل های منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترل های مدیریتی هستند.
منطقی
کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و داده ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم های کامپیوتری. به عنوان مثال : گذرواژه، فایروال های شبکه و ایستگاههای کاری، سیستم های تشخیص نفوذ به شبکه، لیست های کنترل دسترسی و رمزنگاری داده ها نمونه هایی از کنترل منطقی می باشند.
فیزیکی
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربین ها مداربسته، موانع، حصارکشی، نیروی های محافظ و غیره.
رمزنگاری
در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روش های بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.
رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد.
راه حل های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمز گذاری داده ها و اطلاعات و تبدیل کردن آنها به شکل رمز گذاری شده ،روش موثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می باشد.
حراست فیزیکی
حراست فیزیکی دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد.رایانه ها و اطلاعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش سازمان هستند.امنیت فیزیکی می تواند با اعمال کنترل ها ی زیر به دست آید : 1-در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهنده و دوربین مدار بسته 2-نگهداری و حفاظت و انبار کردن ابزار های حاوی اطلاعات مثل دیسک ها و نوار ها.

1-5- روشی برای مدیریت امنیت اطلاعات
به دنبال جست وجوی روشی به جز شیوه های سنتی امنیت، شبکه ی IT شرکت آی بی ام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کرده اند. هدف از این کار ایجاد روش هایی برای مقابله با هکرها و دیگر راه های دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همه ی تلاش خود را به کار خواهد گرفت. استوارت مک ایروین، مدیر بخش امنیت اطلاعات مشتری IBM می گوید: "بیش تر شرکت ها و همین طور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسئله ای فرعی در نظر می گیرند و در کنار دیگر فعالیت های خود به آن می پردازند." به عقیده ی اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چه گونه یک شرکت در کنار ایجاد امکان بهره برداری از اطلاعات مجاز، محدودیت هایی را برای دسترسی و محافظت از بخش های مخفی تدارک می بیند. اعضای این شورا برآنند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاست های مربوط به آن ارایه دهند. هم چنین پیش بینی شده است که این راهکارها بخش مهمی را در زیربنای سیاست های IT داشته باشد. مک آروین می گوید: "ایده ی اولیه ی تشکیل این شورا در جلسات سه ماه یک بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفت وگو می کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه رو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرم افزارهای امنیتی موجود و طراحی نرم افزارهای جدید است. ما سعی می کنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده اند، خود طرح پروژه های جدید برای کنترل خروج اطلاعات و مدیریت آن را تنظیم کرده اند.
آن ها داوطلب شده اند که برای اولین بار این روش ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجه ی بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت ها روش های جدیدی را برای کنترل اطلاعات مشتریان خود به کار بگیرند او می گوید: "من فکر می کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکه ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت هایی برای دستیابی و هم چنین روش های مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت ها هر روز بیش از پیش با سرقت اطلاعات روبه رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی واسطه است . مسائل مورد توجه این شورا به ترتیب اهمیت عبارت اند از: "امنیت، حریم خصوصی
افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد". به نظر این شورا مشکل اصلی ناهماهنگی برنامه های بخش IT با فعالیت های شرکت و بی توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و … از اعضای این شورا هستند.
1-5-1- برنامه جامع امنیت تجارت الکترونیک
با وجود تمام مزایایی که تجارت الکترونیک به همراه دارد، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.
هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری، قرار می گیرند. چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با این حال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستم شان را تایید و اطلاعات شان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند، را نمی توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می شود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی های خود می شود و شرکت با این کار مشتریان خود و در نتیجه سوددهی اش را از دست خواهد داد.
از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمی آورند.
با هیجانات رسانه ای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است.
نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها می شود جلوگیری کنند.
برنامه جامع امنیت تجارت الکترونیک شامل برنامه های حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار)، افراد، برنامه ریزی راهبردی استفاده می کنند و برنامه های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می شوند، است.
چنین برنامه ای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آن را به عنوان مولفه ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.
موفقیت چنین برنامه هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.
علاوه بر این، برای اطمینان از به روز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
1-5-2- امضای دیجیتالی زیربنای امنیت تبادلات الکترونیکی
با توجه به توسعه روزافزون فناوری اطلاعات و در پی آن تجارت الکترونیکی و تغییر نمادهای فیزیکی به نمادهای الکترونیکی، ارسال و تبادل اطلاعات محرمانه الکترونیکی به ضرورتی اجتناب ناپذیر تبدیل شده است.
بنابراین مسائل حقوقی ناشی از تبادل الکترونیکی اطلاعات بایستی با قراردادهای مشخصی تنظیم شود.
حوزه این مسائل، استانداردهای تبادل و ایمنی اطلاعات، نحوه اعتبارسنجی و رسمیت بخشیدن به پیام ها، نحوه دریافت و ارسال پیام، قوانین حاکم و سرانجام مسئله دلایل اثبات پیام را در بر می گیرند. به هر حال در روش ارسال پیام الکترونیکی دریافت کننده بایستی مطمئن شود که فرستنده همان فرد مورد نظر او بوده و از طرفی اطلاعات دریافتی پس از ارسال در بین راه تغییر نکرده باشد. برای حل این مشکل از امضای دیجیتالی در شبکه های الکترونیکی استفاده می شود. امروزه در اکثر کشورها امضای دیجیتالی به یک ضرورت تبدیل شده و حتی در کارت هوشمند شهروندان خود این رمز را درج می کنند از سوی دیگر جامعه بین المللی و همچنین انجمن قانونی بلژیک مجموعه قوانینی را ارایه کرده اند که باعث می شود امضاهای دیجیتال به صورت قانونی صورت پذیرد و عموما به صورت امضاهای مکتوب پذیرفته شود.
1 -5-2- 1- منظور از امضای دیجیتالی چیست؟
امضای الکترونیکی یا دیجیتال مانند امضای سنتی نیست بلکه عددی بزرگ است که به صورت رمز و کد در آمده است. این عدد در حقیقت یک عدد انحصاری است و به فرد متقاضی، کد خاصی به عنوان امضای الکترونیک داده می شود.
1 -5-2- 2- کاربرد امضای دیجیتالی در تجارت الکترونیکی :
بخشی از آن مربوط به پرداخت و دریافت پول از طریق اینترنت می شود و در بخش دیگر به قراردادها، مرسولات الکترونیکی محرمانه و یا حتی شناخت طرف مقابل در شبکه مربوط می شود. یعنی تشخیص هویت فرد که برای شما چیزی ارسال کرده و یا شما خواهان دادن اطلاعاتی از سوی وی در شبکه اینترنت بوده اید. شناسایی هویت چیزی فراتر از تجارت است.
به طور کلی می توان گفت: امضای دیجیتال شماره یا عدد انحصاری محرمانه ای است که توسط مرکزی به هر فرد متقاضی تعلق می گیرد و آن عدد یا رمز مبنای تعاملات آن فرد در شبکه یا محیط سایبر می شود.

1 -5-2- 3- تفاوت http با https در امنیت اطلاعات :
مهمترین تفاوت میان //:http با //:https امنیت و حفظ اطلاعات مربوط به شماست. HTTP مخفف شده HyperText Transport Protocol است که به زبان ساده یک پروتکل (یک زبان) جهت رد و بدل اطلاعات میان سرور و کاربر است.
لغت S است که تفاوت میان HTTP و HTTPS را ایجاد می کند.لغت S مخفف کلمه Secure به معنی امن است.
در موقع ورود به وب سایت ها، به طور معمول عبارت //:http در جلوی آدرس سایت ظاهر می شود. این بدین معناست که شما در حال بررسی سایت با استفاده از زبان معمول غیر امن هستید.
به زبان دیگر یعنی ممکن است شخص سومی (در اینجا شخص هر چیزی معنی می دهد، مانند برنامه کامپیوتری – هکر – …) در حال ثبت اطلاعات ارسال رد و بدل شده شما با وب سایتی که در آن حضور دارید، باشد.در صورت پر کردن فرمی در وب سایت، شخصی ممکن است به اطلاعات وارد شده بوسیله شما دسترسی پیدا کند.به این دلیل است که هرگز نباید اطلاعات کارت های اعتباری اینترنتی خود را از پروتکل //:http در سایت وارد کنید.اما در صورت شروع شدن نام وب سایت با //:https، این بدین معناست که کامپیوتر شما در حال رد و بدل کردن اطلاعات با سایت با زبانی است که شخص دیگری قادر به استفاده از آن نیست.
در اینجا چند نکته قابل تامل است :
الف) در //:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال می گردد. سپس این کد در سرور رمز گشایی شده و به زبان قابل فهم بر می گردد. این کار مقداری زمان بر بوده و بنابراین سرعت //:https از سرعت //:http کمتر است.
ب) تعدادی از شرکت های امنیتی مانند Verisign و Goddady این سرویس را ارایه میدهند که جهت تبدیل اطلاعات سروری که شما به آن متصل شده اید به این سرور ها مراجعه می کند.
پ) بعد از وارد شدن با پروتکل //:https، اطلاعاتی در رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش داده می شود. این اطلاعات معمولا (در اکثر مرورگر ها) بصورت قفلی در پایین صفحه موجود بوده و بعد از کلیک بر روی آن این اطلاعات را مشاهده خواهید کرد.
ث) در هنگام ورود به این سایت ها حتماً به اطلاعات امنیتی توجه کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسی ساده ای برای شما نمایش داده شود.
ج) جهت داشتن //:https هزینه ای ماهانه باید پرداخت گردد که بر اساس سرعت آن (۱۲۸kb یا ۲۶۵kb یا …) متفاوت است. هر چه سرعت بیشتر، صاحب سرور باید هزینه بیشتری پرداخت کند.
چ) چون اطلاعات بصورت کد رد و بدل می شود نرم افزار فیلترینگ قادر به خواندن اطلاعات خواسته شده توسط کاربر نداشته و فیلتری بر آن اعمال نمی کند.
ح) پروتکل //:https معمولاً برای بانک ها، ایجاد حساب کاربری و ورود کاربری به پورتال ها – سرویس دهنده ها پیغام الکترونیکی – ..، خرید اینترنتی و فروشگاه های اینترنتی، ورود به صفحات با اطلاعات سری و مهم و غیره استفاده می شود. در ایران علاوه بر اینها سایت های سیاسی فیلتر شده نیز از این ترفند برای فرار از فیلترینگ استفاده می کنند.

فصل دوم : مدیریت امنیت اطلاعات

2-1- مدیریت امنیت اطلاعات چیست ؟
مدیریت امنیت اطلاعات هم در عمق و هم در سطح گسترش یافته و حفاظت از همه اشکال اطلاعات در سازمان را پوشش می دهد و به معنای حفاظت از اطلاعات منافع کسب و کار و تسهیل اشتراک کنترل شده اطلاعات و مدیریت ریسک های مربوط آن در محیطی است که دائما در حال تغییر است و ما برای رسیدن به اهداف بالا نیازمند یک سیستم مدیریت قوی هستیم.
2-2- طرح مدیریت امنیت اطلاعات چیست؟

طرح مدیریت امنیت اطلاعات که به تازگی گروه هایی را در حوزه های آموزش و مشاوره به خود اختصاص داده، برگرفته از استانداردهای بین المللی است که شرح کاملی از آن ارائه شده است. طرح مدیریت امنیت اطلاعات که به تازگی گروه هایی را در حوزه های آموزش و مشاوره به خود اختصاص داده، برگرفته از استانداردهای بین المللی است که شرح کاملی از آن ارائه شده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،محمدرضا میراسکندری ، با اشاره به افزایش تعداد شرکت های مشاور در حوزه ISMS اظهار کرد: بیش از سه هزار و ۵۰۰ دستگاه در کشور موجود است که نیازمند پیاده سازی ISMS در خود هستند.
مدیر کل خدمات ارزش افزوده سازمان فن آوری اطلاعات ایران گفت: مشکل ما در حال حاضر فقدان شناخت دقیق سه مدل مدیریت امنیت اطلاعات است و در خیلی از موارد استنباطی که
از این موضوع داریم اشتباه است.
وی در این باره توضیح داد: سیستم مدیریت امنیت اطلاعات یک نظام مدیریتی است و در سازمان ها پیاده می شود تا امنیت را برروی اطلاعات محقق سازد بنابراین شرکت هایی که در این زمینه فعال هستند یک سیستم مدیریتی را پیاده سازی می کنند.
او تصریح کرد: یکی از ابزارهای نظام مدیریتی، نظام مدیریت امنیت اطلاعات است و مجموعه ای از موارد وجود دارد و این نظام نیز برحسب استاندارد ۲۷۰۰۱ است و در کشور ما توسط سازمان استاندارد، ملی شده است.وی خاطرنشان کرد: این استاندارد دو بخش دارد که بخش اول اصل خود نظام است و از عبارت ۴ تا ۸ استفاده می کند تا سیستم مدیریتی را به دست آورد؛ در جایی باید به سراغ کنترل های امنیتی رفت تا در این فرآیند چهار تا هشت کنترل ها انتخاب شوند و در این زمینه پیوست الف استاندارد، ۱۳۳ کنترل را قید کرده است و متناسب با نیاز هر سازمان و بر حسب دارایی های اطلاعاتی سازمان پیاده سازی می شود.
میراسکندری در ادامه خاطرنشان کرد: استاندارد ۲۷۰۰۱ خانواده ای دارد و این خانواده مجموعه ای از استانداردهای راهنما هستند؛ خود استاندارد ۲۷۰۰۰ مربوط به مفاهیم اولیه ای است و ۲۷۰۰۱ استانداردی است که اگر مجموعه ای بخواهد سامانه مدیریت امنیت اطلاعات داشته باشد باید یکسری پیش نیازها را احصاء کرده باشد تا گواهی نامه به آن ها تعلق بگیرد.
او افزود: ۲۷۰۰۶ هم جزو نیازمندی هایی است که CBها (Certification Bodies) کسانی که مدیریت امنیت اطلاعات را پیاده سازی می کنند و صحت وجود سیستم مدیریت امنیت اطلاعات را تایید می کنند، باید رعایت کرده باشند.

مدیر کل خدمات ارزش افزوده سازمان فن آوری اطلاعات ایران گفت: از ۲۷۰۰۲ تا ۲۷۰۰۸
خانواده های استانداردها توسط سازمان بین المللی استاندارد (ISO) که با مشارکت IEC (International Electrical Commission) و تحت یک کمیته مشترک که به آن JTC (Joint Technical Committee) گفته می شود، تدوین می شود که هنوز برخی از آن ها منتشر نشده است.به غیر از ۲۷۰۰۶ راهنمای پیاده سازی، خود ISMS است و آنجا نحوه پیاده سازی را مشخص می کند؛ به چرخه قید شده نیز چرخه دمینگ می گویند.میراسکندری تصریح کرد: از استاندارد ۲۷۰۱۰ تا ۲۷۰۲۰ استاندارد ISMSهایی است که برای ساختارهای خاص در نظر گرفته شده است؛ برای نمونه ۲۷۰۱۱ استاندارد مدیریت امنیت اطلاعات برای سازمان های مخابراتی است. یکی از همین استانداردها بحث مدیریت امنیت اطلاعات برای سیستم های بانکی را مطرح می کند.وی گفت: بعد از این مراحل وارد بخش ۲۷۰۳۰ تا ۲۷۰۴۰ می شویم که راهنمای پیاده سازی کنترل ها است و بنابراین اگر کسی بخواهد ISMS را به صورت کامل پیاده سازی کند نیازمند این است که استانداردها را مطالعه کند.میراسکندری درباره نحوه اتخاذ این استانداردها، اظهار کرد: خانواده های استانداردها توسط سازمان بین المللی استاندارد (ISO) که با مشارکت IEC و تحت یک کمیته مشترک که به آن JTC گفته می شود، تدوین می شود که هنوز برخی از آن ها منتشر نشده است.او اضافه کرد: ولی پیش نویس های آن ها موجود است و برروی آن ها کار می شود البته هر بخشی از خانواده های یک استاندارد در زیر مجموعه های ISO که JTCها و به دنبال آن کمیته های زیرمجموعه و در مرحله آخر گروه های کاری حضور دارند بررسی می شود که هر کدام روی استانداردهای خاص کار می کنند.وی با بیان مثالی گفت: مثلا SC27 از1 JTC بحث مدیریت امنیت اطلاعات است و حال پنج گروه کاری وجود دارد که روی این موضوعات کار می کنند.میراسکندری درباره فعالیت های نما با توجه به تمامی مواردی مطرح شده گفت: کاری که این مرکز می خواهد انجام بدهد صرفا دادن این گواهی ها نیست و به موازی این قضیه روی استانداردها کار می شود و همکاری خوبی با سازمان استاندارد داریم تا این استانداردها را هرچه زودتر ملی کرده و در اختیار مخاطبان قرار دهیم و از طرف دیگر غیر از معرفی چند شرکت درحال حاضر برای بحث مشاوره برروی سازمان های مخاطب دستگاه های اجرایی دولتی هم تعاملاتی داریم و سعی می کنیم ISMS را خیلی خوب به آن ها بشناسانیم تا با اشراف کامل به سراغ این سیستم بیایند.
او در پاسخ به این سوال که آیا CBها به موازات پشتیبانی و رصد وضعیت سازمان ها پیش می روند و یا کمیته هایی در داخل هر سازمان جهت پیگیری اهداف تشکیل خواهد شد، گفت: یکسری CBها را در آینده نزدیک معرفی می کنیم و اگر شرکتی به سطح دریافت گواهی نامه رسیده باشد با معرفی CBها می تواند به آن ها مراجعه کند و آن ها براساس استاندارد ۲۷۰۰۱ ممیزی نهایی را انجام می دهند و اگر در ممیزی نهایی به عدم تطابقی با نیازمندی های مطرح شده توسط خود استاندارد برنخورند، اعلام می کنند که این سازمان توان دریافت گواهی نامه را دارد و ما هم گواهی نامه را از آن ها دریافت می کنیم.
وی در جواب این سوال که با این حساب تعهدات مالی چندان مهم برای متقاضیان نخواهد بود؟ گفت: اصلا تعهد مالی برای این شرکت ها نداشتیم چراکه فعالیت هایی از این دست همکاری است و درواقع با همکاری مشترک یک نظام را پایه گذاری می کنیم و در ابتدای کار یکسری از فعالیت ها باید انجام شود که ما درصدد آنیم ولی با توجه به این که طبق برنامه پنجم مکلف به پیاده سازی هستیم ما حرکت را شروع کردیم.

2-3- سیستم مدیریت امنیت اطلاعات (Information Security Management System)
یکی از زیرساختهای لازم برای بهبود امنیت فضای اطلاعات و ارتباطات، سیستم مدیریت امنیت اطلاعات (ISMS) میباشد. این سیستم در واقع مجموعه ای از نیروی انسانی، مستندات سیاستها و روشهای امنیتی، مستندات شناسایی و ارزیابی مخاطرات و کنترلهای امنیت شبکه و اطلاعات (اعم از سخت افزار، نرم افزار و …) میباشد که وظیفه ایجاد و تداوم امنیت اطلاعات و ارتباطات در سازمان را بعهده دارد. در حال حاضر بیشتر سازمانهای دولتی و غیر دولتی در کشور ما فاقد چنین سیستمی می باشند. ولی به دلیل وابسته شدن روز افزون سازمانها به تکنولوژی اطلاعات و ارتباطات، افزایش حجم اطلاعات و گسترده شدن ارتباطات و شبکه های رایانه ای، نیاز به سیستم مدیریت امنیت اطلاعات در همه سازمانها جدیت بیشتری پیدا کرده است.
نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت هم راستا کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستند سازی و بازنگری باشد،که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) بیان می شود.
2-3-1- سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان
هدف این سیستم پیاده سازی نوعی از کنترل های امنیتی است که با برقراری زیر ساخت های مورد نیاز، امنیت اطلاعات را تضمین می نمایند. درحقیقت یک "سیستم مدیریت امنیت اطلاعات"، رهیافت سیستماتیکی را برای اداره و مدیریت اطلاعات حساس با هدف حفاظت از آنها فراهم می آورد و کل کارکنان، فرآیندها و سیستم های اطلاعاتی یک سازمان را دربر می گیرد.
جدول2-1 : میزان نسبی در معرض ریسک بودن یک سیستم اطلاعاتی براساس فعالیت در بخش های مختلف :
زیاد (بالاتر)
متوسط
پایین (کم تر)
دولت
خودروسازی
کشاورزی
هوا فضا و دفاع
شیمی
ساختمان سازی ومعاملات املاک
زیست پزشکی
انرژی، نفت و گاز
غذا و دخانیات
الکترونیک
حمل ونقل
تجهیزات صنعتی
خدمات مالی
عمده فروشی
معادن و مواد معدنی
بهداشت و سلامت

داروسازی

2-3-2- مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات
امروزه با گسترش تهدید های امنیتی، وجود یک ساختار امن در سازمانها و ادارات ضروری به نظر می رسد. سازمان هایی که موجودیتشان به طور عمومی به فنآوری اطلاعات وابسته است باید از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند. جهت دستیابی به امنیت قابل قبول اطلاعات به همکاری مشتریان ، شرکای تجاری و دولت نیاز خواهد بود.
در ضمن بررسی دوره ای امنیت اطلاعات توسط سازمان های امنیتی یک روش مقبول در این زمینه خواهد بود. پیاده سازی استاندارد های امنیتی موجود نیز ، سازمان ها را در نیل به اهداف خود یاری می رساند. پیاده سازی به طور اساسی در دو سطح صورت می گیرد. در سطح اول که سطح کلی می باشد تمرکز بر روی پروسه های تجاری و امنیتی می باشد، به طوریکه فرهنگ امنیت اطلاعات به عنوان مفاهیم اصلی این سطح مورد بررسی قرار می گیرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معیار های امنیتی در تمامی سطوح سازمانی تفهیم گردد. در سطح دوم، پیاده سازی فنی و با جامعیت بیشتر صورت میگیرد که با استفاده از استانداردهای بین المللی و سیستم ها و ابزارهای لازم صورت می گیرد. بعد از پیاده سازی پروسه های مدیریتی و تجاری و نیز پیاده سازی فنی و عملیاتی امنیت، سازمان تا حد قابل قبولی می تواند از پوشش مناسب مدیریت امنیت اطلاعات اطمینان پیدا نماید. پیاده سازی مدیریت امنیت اطلاعات بر اساس یک استاندارد بین المللی مانند ISO1799 صورت می گیرد تا سازمان بتواند تاییدیه و گواهی مربوطه را اخذ نماید. جهت پیاده سازی مدیریت امنیت اطلاعات به چک لیست های کاملی جهت بررسی وضعیت امنیتی و تشخیص نقاط ضعف جهت بر طرف نمودن آنها نیاز خواهیم داشت که این چک- لیست ها شامل موارد ذیل می باشد:
1) چک لیست استمرار فعالیت های شبکه
2) چک لیست امنیت اطلاعات
1. انتقال ایمن اطلاعات
2. آماده کردن اطلاعات جهت استفاده در مسیرهای امن و حفاظت شده
3. امکان پشتیبان گیری از اطلاعات
4. نگهداری مالکیت اطلاعات

3) چک لیست امنیت نرم افزار و سرویس دهنده ها
1. امنیت نرم افزار
2. امنیت سرویس دهنده ها
4) چک لیست آموزش امنیتی پرسنل شبکه
5) چک لیست امنیت فیزیکی
1. امنیت فیزیکی مکان های استقرار تجهیزات در کلاس B ، A و C ( اماکن )
2. امنیت فیزیکی تجهیزات
3. جریان برق
6) چک لیست امنیت دسترسی کاربران
1. تدوین روالی جهت کنترل فعالیت کاربران
2. آماده کردن کد شناسایی کاربر
3. روند احراز هویت شخصی
4. توسعه روندهای استاندارد ورود به سیستم
5. سازمان دهی اصول امنیت فیزیکی مهم
6. دقت در دسترسی راه دور
7. دسترسی دیگر نهاد اجرایی به شبکه

2-4- چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات) ISMS 🙁
طراحی، پیاده سازی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات
فعالیت های مربوط به پیاده سازی و استقرار سیستم مدیریت امنیت اطلاعات بر اساس چرخه دمینگ (برنامه-اجرا-بررسی-اقدام اصلاحی)PDCA به همراه گروه های ذینفع و روابط آنها با یکدیگر در شکل نمایش داده شده است:

شکل2-1 چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات

فعالیت هایی که در هر فاز از این پروژه اجرا می شوند نیز عبارتند از:
فاز برنامه : استقرار ISMS شامل تعیین خط مشی ها، اهداف، فرایندها و روالها به منظور مدیریت مخاطرات در راستای اهداف سازمان است. در این مرحله، باید سرمایه اولیه راه اندازی ISMS، روشهای مستند سازی، مدیریت مخاطرات وروشهای اختصاص منابع مشخص شود. باید مطمئن شد که" محتوا و محدوده ISMS بطور دقیق و مناسب مشخص شده است".
* تعریف محدوده اولیه ISMS
* تعریف سیاست و خط مشی کلی در ISMS
* شناسایی دارایی ها
* شناسایی تهدیدها
* ارزیابی ریسک
* تنظیم برنامه برخورد با ریسک ها
* انتخاب کنترل های امنیتی
* تنظیم بیانیه قابلیت اجرا (SOA)

فاز اجرا : در این مرحله کلیه کنترل ها بایدعملیاتی شوند . رویه هایی برای تشخیص سریع و پاسخگویی به حوادث لازم می باشد. آگاه نمودن کلیه کارمندان و افراد سازمان نسبت به امنیت در سازمان آموزشهای لازم جهت عملکرد مناسب برای برخورد با ریسک و تهدید.

* بازبینی جهت بهبود و نهایی سازی برنامه برخورد با ریسک
* پیاده سازی برنامه برخورد با ریسک و کنترل های مربوطه

فاز بررسی: هدف این مرحله اطمینان ازاجرای به موقع کنترل های امنیتی و برآورده شدن اهداف امنیت اطلاعات است. ارزیابی میزان کارایی و موثر بودن ISMS , اجرای روالهای ارزیابی و مرور فرایندها و خط مشی ها , انجام بازرسیهای دوره ای درون سازمانی و برون سازمانی, فعالیتهای کنترلی متنوع, بازرسیهای داخلی ISMSومدیریت بازبینی از مراحل پیاده سازی امنیت , نتایج حاصل از بازبینی سیستم های تشخیص نفوذ،واقعه نگاری، دسترسیهای غیرمجازبه شبکه و عبور از سیستم های امنیتی ، جهت بهبود عملکرد سیستم امنیتی شبکه، استفاده و سپس در سیاستهای امنیتی شبکه اعمال می شود.
* نظارت بر اجرا
* بازبینی های منظم بر کارآیی و کارآمدی ISMS
* نظارت بر ریسک های مورد قبول
* هدایت منظم ممیزی های ISMS
فاز اقدام : اقدامات اصلاحی در جهت بهبود ISMS براساس نتایج مرحله ارزیابی. این اقدامات در دو مقوله طبقه بندی میگردد.
1 – بر اساس مرحله خاصی از زمان : در زمان تعامل فناوری با اطلاعات، عکس العمل لازم در برابر یک مشکل امنیتی میتواند از نوع پیشگیرانه (کنشی) یا اصلاحی (واکنشی) باشد.
2- بر اساس سطوح پیاده سازی نظامهای امنیتی: فناوری امنیت اطلاعات،از نوع واکنشی و یا از نوع کنشی را می توان در سه سطح ، شبکه ، میزبان، برنامه های کاربردی ، پیاده سازی نمود.
* پیاده سازی موارد بهبود
* انتخاب اعمال اصلاحی مناسب
* اطمینان از رسیدن به اهداف بهبود و توسعه

شکل2-2 نقشه مسیر پروژه سیستم مدیریت امنیت اطلاعات

همانند نظامهای مدیریت کیفیت ، سیستم مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی به منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان به منظور بکارگیری محصولات نرم افزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می گیرد . چیزی که این دو بخش را به هم پیوند می دهد میزان انطباق با بخشهای استاندارد است که در یکی از چهار رده زیر قرار می گیرد :
* کلاس اول : حفاظت ناکافی
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافی

2-5- مراحل اجرای سیستم مدیریت امنیت اطلاعات
پیاده سازی ISMS در یک سازمان این مراحل را شامل می شود:
* آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه انداز انتخاب شوند و آموزش ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است .
* تعریف نظام مدیریت امنیت اطلاعات : این مرحله شامل تعریف چشم انداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می شود .
* ایجاد سند سیاست امنیت اطلاعات
* ارزیابی مخاطرات : باید به بررسی سرمایه هایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب پذیری اطلاعات و سرمایه های فیزیکی مرتبط نیز مشخص شود .
* آموزش و آگاهی بخشی : به دلیل آسیب پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
* آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد.
* ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
* کنترل و بهبود مداوم : اثر بخشی نظام مدیریتی پیاده شده باید مطابق مدل به رسمیت شناخته شده کنترل و ارتقا یابد.
در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند سازی از اهمیت ویژه ای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات می پردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در کل می توان مستندات را به چهار دسته تقسیم کرد:
1. سیاست ، چشم انداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع به عنوان نظام نامه امنیتی شناخته می شود .
2. توصیف فرایندها که پاسخ سوالات چه کسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مکانی را می دهد و به عنوان روشهای اجرایی شناخته می شوند .
3. توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که شامل دستورالعملهای کاری ، چک لیست ها ، فرم ها و نظایر آن می شود .
4. مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها به عنوان سوابق یاد می شود .
2-6- تعیین محدوده استقرار سیستم مدیریت امنیت اطلاعات( SCOPE ) :

دامنه ومرزهای سیستم مدیریت امنیت اطلاعات بر مبنای ویژگی کسب وکار , سازمان، مکان ، دارائی ها و فناوری آن تعریف می شود و همچنین جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه را شامل می باشد.
تعیین دارائی های (سرمایه های) سازمانی
* مستندات کاغذی
* دارائی های اطلاعاتی
* دارائی های فیزیکی
* سخت افزار ها
* نرم افزارها
* اطلاعات و ارتباطات
* منابع انسانی
* خدمات
تعیین سیاست های امنیتی
* سیاست های امنیتی سرویس های فضای تبادل اطلاعات سازمان
* سیاست های امنیتی سخت افزارهای فضای تبادل اطلاعات سازمان
* سیاست های امنیتی نرم افزارهای فضای تبادل اطلاعات سازمان
* سیاست های امنیتی ارتباطات و اطلاعات فضای تبادل اطلاعات سازمان
* سیاست های امنیتی کاربران فضای تبادل اطلاعات سازمان
چگونگی تشخیص الزامات امنیتی
* ریسک های امنیتی
* الزامات قراردادی وقانونی
* اصول واهداف والزامات داخلی
طرح تحلیل مخاطرات امنیتی
* تجزیه و تحلیل شبکه و تعیین مخاطرات امنیتی
* معماری شبکه ارتباطی
* تجهیزات شبکه ارتباطی
* مدیریت و نگهداری شبکه ارتباطی
* سرویس های شبکه ارتباطی
* تشکیلات و روش های تامین امنیت شبکه ارتباطی
* تعیین آسیب پذیریها
* شناسائی منابع آسیب پذیری
* تست امنیتی سیستم
* تعیین ریسک دارائی ها و فرایندها
* تعیین آستانه پذیرش ریسک
* ارائه راه حلهای کلی برای کاهش آسیب پذیری ها ، تهدیدات و ریسک ها

2-6-1- ارائه طرح جامع امنیت شبکه و اطلاعات
ارائه راه حلهای مناسب
* معماری شبکه
* پروتکلهای شبکه
* Server farm
* Switching
* ارتباطات
* امنیت فنی شبکه
* طرح تهیه نسخ پشتیبان
* امنیت فیزیکی شبکه
* سیستمهای کنترل جریان اطلاعات و تکمیل نواحی امنیتی
* ارائه ساختار معماری IP مناسب برای شبکه
* تهیه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی
* ساختار DMZ
* سرویس Accounting
* سرویس DNS
* سرویس FTP
* Filtering
* Monitoring
* Web Cache
* نرم افزارهای تشخیص و مقابله با ویروس
* سیستم های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
* سیستم های ثبت و تحلیل رویدادنامه ها
* سیستم های رمزنگاری اطلاعات
* نرم افزارهای نظارت بر ترافیک شبکه
* نرم افزارهای پویشگر امنیتی
* نرم افزارهای مدیریت امنیت شبکه

فصل سوم : استانداردهای مدیریت امنیت اطلاعات

3-1- تاریخچه استاندارد
منشاء استاندارد British Standard BS7799 به زمان تاسیس مرکز Commercial ComputerSecurityCenter و شکل گیری بخش (DTI) UK Department of Trade and Industry در سال 1987برمی گردد. این مرکز به منظور تحقق دو هدف تشکیل گردید. اول تعریف معیارهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولیدشده توسط سازندگان تجهیزات امنیتی، به منظور ارائه تائیدیه های مربوطه بود و دوم کمک به کاربران. برای این منظور مرکز CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت نمود که به "Users Code of Practice" معروف گردید. چندی بعد، اجرایی بودن این کدها از دیدگاه کاربر، توسط مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران که به طور کلی از صاحبان صنایع در انگلستان بودند مورد بررسی قرار گرفت. اولین نسخه این استاندارد به عنوان مستندات راهبری 0003 PD در انگلستان منتشر گردید. در سال 1995 این استاندارد با عنوان BS7799 منشر گردید و قسمت دوم آن نیز در فوریه سال 1998 به آن اضافه گردید. این قسمت مفهوم سیستم مدیریت امنیت اطلاعات Information Security Management System (ISMS) را به وجود آورد. این سیستم ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با حداقل نمودن ریسک های تجاری کنترل نمایند. نسخه بازنگری شده این استاندارد در سال 1995 به عنوان استاندارد ISO ثبت گردید. در مجمعی که رای موافق به ثبت این استاندارد به عنوان استاندارد ISO داده بودند، کشورهایی نظیر استرالیا و نیوزلند با اندکی تغییر، آن را در کشور خود با عنوان AS/NZS4444 منتشر نمودند. طی سال های 1999 تا 2002 بازنگری های زیادی روی این استاندارد صورت پذیرفت. در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود، این استاندارد تحت عنوان استاندارد ISO/IEC17799به ثبت رسید.
نسخه جدید و قسمت دوم این استاندارد در سال 2002 به منظور ایجاد هماهنگی بین این استاندارد مدیریتی و سایر استانداردهای مدیریتی نظیر 9001 ISO و 14001 ISO تدوین گردید. این قسمت برای ارزیابی میزان موثربودن سیستم ISMS در یک سازمان مدل Plan-Do-Check-Act) PDCA (را ارائه می نماید.

3-2- تعریف استاندارد
وضع قوانین و مقرارت برای تعیین کیفیت و مشخصات مطلوب یک کالا را استاندارد میگویند.
3-2-1- سطوح استاندارد
استانداردها بر حسب گستردگی دامنه تحت پوشش، دارای پنج سطح کارخانه ای، شرکتی (جامعه ای)، ملی، منطقه ای و بین المللی هستند. استاندارد کارخانه ای توسط یک کارخانه برای استفاده در همان واحد تدوین می شود. البته گاهی کارخانجات، شرکتها یا تشکیلاتی که در یک زمینه خاص فعالیت می کنند، از طریق ایجاد یک جامعه یا انجمن، استانداردهای خاص خود را تدوین می کنند مانند انجمن جوشکاری آمریکا(AWS).
استاندارد ملی توسط موسسه استاندارد در یک کشوربا توجه به تمام شرایط خاص همان کشورمانند اقتصادی، اجتماعی، علمی وفنی تهیه می شود.استانداردهای منطقه ای توسط کشورهای عضو یک پیمان منطقه ای خاص تهیه می شود مانند کمیته استاندارد اروپایی.استاندارد بین المللی توسط سازمانهای مربوطه به منظور قابلیت استفاده بین المللی تهیه می شوند. مانند استانداردهای تهیه شده توسط سازمان بین المللی استاندارد، کمیسیون بین المللی الکتروتکنیک (IEC)
3-2-2- سازمان بین المللی استانداردسازی :
سازمان بین المللی استانداردسازی (International Standards Organization) معمولاً به نام ایزو (ISO) شناخته می شود. یک موسسه بین المللی تعیین استاندارد متشکل از نمایندگان موسسات استانداردسازی ملی است. این سازمان، یک سازمان غیر دولتی است که به صورتی گسترده به وضع استانداردهای کلی و جزئی در رابطه با هماهنگ کردن استانداردهای متفاوت جهانی می پردازد. در عمل ایزو به صورت یک کنسرسیوم با ارتباطات قوی با دولت ها فعالیت می کند. این موسسه انواع استانداردهای تجاری و صنعتی جهانی را تعیین می نماید. مرکز این موسسه در ژنو سویس قرار دارد. ایزو کار رسمی خود را از تاریخ بیست و سوم فوریه ۱۹۴۷ آغاز کرده است . این سازمان به ترویج جهانی استانداردهای اقتصادی و صنعتی می پردازد تا مبادلات صنایع و فنون مختلف را در یک راستا هماهنگ کند.سازمان بین المللی استاندارد سازی، با وجود این که یک سازمان غیردولتی است اما به دلیل این که استانداردهای این موسسه تبدیل به قوانین می گردد از بیشتر سازمان های غیردولتی قدرتمندتر می باشد. امروزه نزدیک به ۱۵۷ کشور در این سازمان به عضویت درآمده اند که ایران نیز یکی از همین اعضاست.

3-2-3- تعریف ایزو از ISMS :
قسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس،پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است. استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم می کند.
در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
1. تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت اطلاعات و ارتباطات سازمان
2. جرئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحله
3. لیست و محتوای طرح ها و برنامه های امنیتی موردنیاز سازمان
4. ضرورت و جزئیات ایجاد تشکیلات سیاست گذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
5. کنترل های امنیتی موردنیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان ها، عبارتند از:
· استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس
· استاندارد مدیریتی ISO/IEC 17799 موسسه بین المللی استاندارد
· گزارش فنی ISO/IEC TR 13335 موسسه بین المللی استاندارد

3-3- استانداردهای امنیت :
امنیت از دیرباز یکی از اجزای اصلی زیرساخت های فناوری اطلاعات به شمار می رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الکترونیکی نیستند، بلکه هر شبکه باید از نظر فیزیکی نیز ایمن گردد. خطرات الکترونیکی غالباً شامل تهدیدات هکرها و نفوذگران خارجی و داخلی در شبکه ها می باشند. در حالی که امنیت فیزیکی شامل کنترل ورود و خروج پرسنل به سایت های شبکه و همچنین روال های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه های فوق، علاوه بر ایمن سازی سخت افزاری شبکه، نیاز به تدوین سیاست های امنیتی در حوزه فناوری اطلاعات در یک سازمان نیز می باشد. در این راستا لازم است از روال های استانداردی استفاده شود که به واسطه آن ها بتوان ساختار یک سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود.
3-4- موسسه مهندسان برق و الکترونیک (IEEE)
موسسه مهندسان برق و الکترونیک (به انگلیسی: The Institute of Electrical and Electronics Engineers) که به IEEE معروف است (آی-تریپِل-ئی /ai trɪpl i:‎/‏ گفته می شود )، یک سازمان بین المللی حرفه ای و ناسودبر است. این انجمن در سال 1963 از پیوستن دو انجمن مهندسی برق امریکا (AIEE) و مهندسی رادیو (IRE) در کشور امریکا بوجود آمد. AIEE بوسیله ی صنعتگران امریکایی و جهت تربیت نیروی کار ورزیده و همچنین آماده سازی و تدوین استاندارد برای صنایع برق و الکترونیک امریکا فعالیت خود را در سال ۱۸۸۴ آغاز کرد. IRE نیز بوسیله ی پیشگامان الکترونیک رادیویی در سال ۱۹۱۲ بنیان گذاری شد و برخلاف AIEE که تمام تمرکز آن در داخل امریکا بود ، به فعالیت های بین المللی می پرداخت .خواست موسسه IEEE کمک به پیش برد فناوری به طور گسترده و حوزه های وابسته به مهندسی برق و کامپیوتر و هم چنین زمینه های وابسته به طور خاص است. این موسسه بیش از ۴۰۰ هزار نفر عضو در ۱۶۰ کشور جهان دارد که ۴۵ درصد این اعضا خارج از ایالات متحده هستند. کمیته استانداردسازی IEEE در حال تهیه و تدوین یک سری استانداردهای جایگزین استانداردهای اینترنت بی‏سیم است. این کمیته هیچ عضو ملی وسیاسی ندارد و فعالیت‏هایش برپایه فن‏آوری و صنعت است. هدف اصلی این کمیته استانداردسازی، ارائه محصولات ارزان قیمت مطابق با نیازهای کاربران به بازار است.این سازمان دارای بیشترین شمار اعضا از هر سازمان حرفه ای دیگری است که از این میان بیش از ۶۸ هزار عضو آن دانشجو هستند. موسسه کارشناسی برق و الکترونیک با انتشار حدود ۱۳۰ مجله کارشناسی و ۴۰۰ مجموعه نوشتار کنفرانس در سال، منتشرکنندهٔ یک سوم نوشته های کارشناسی چاپ شده در زمینهٔ مهندسی برق و الکترونیک و دانش کامپیوتر است. در ۱۲ فوریه ی ۱۹۷۰ شاخه ی ایران این انجمن تاسیس شد. عباس چمران در تاسیس شاخه ی ایران نقش بسزایی داشت . حمید سلطانیان زاده رئیس فعلی بخش ایران است .جواد صالحی و کارو لوکس نیز مدتی ریاست این بخش را عهده دار بودند. در حال حاضر ۲۶ شاخه ی دانشجویی این انجمن در دانشگاه های معتبر کشور فعال است.

3-4-1- استاندارد IEEE 802
یکی از مهمترین استانداردهای IEEE دسته استانداردهای IEEE 802 LAN/MAN هستند که مرتبط با شبکه های محلی و شهری هستند.کمیته تخصصی این استانداردها IEEE 802 LAN/MAN STANDARDS COMMITTEE یا MSC نام دارد که در هر یک از شاخه های آن یک گروه کاری مستقل فعالیت دارد.در حقیقت در این نوع استانداردها با شبکه هایی که بسته هایی با سایزهای متفاوت را حمل می کند رو به رو هستیم. تکنولوژی‏های اینترنت بی‏سیم استاندارد IEEE 802 ، نرخ دیتای بیشتری نسبت به نرخ دیتای ارائه شده در IMT-2000 حتی برای کاربران ثابت ارائه می‏دهد.
خصوصیات استانداردهای LAN نظیر اترنت و IEEE 802 برای واژگان تخصصی خود به جای استفاده از مدل مرجع TCP/IP از مدل هفت لایه OSI بهره می برند. مدل TCP/IP معمولاً خصوصیات فیزیکی را در نظر نمی گیرد و به جای آن یک زیرساختار شبکه فعال و کارآمدی که بتواند فریم های در سطح رسانه را به رابط ارائه دهد را مورد استفاده قرار می دهند. بنابراین، RFC 1122 و RFC 1123، که تعریف TCP/IP را در بر دارند، در مورد مسائل فیزیکی و انتقال داده فیزیکی بحث نکرده و هیچ استانداردی را برای آن موضوعات تعیین نمی کنند. در عوض به طور گسترده ای آنها را در اجزای لایه پیوند دخیل می کند. برخی از مولفین کتاب های فنی از این تفسیر تبعیت می کنند که انتقال داده فیزیکی می بایست بخشی از لایه پیوند باشند. برخی دیگر نیز عقیده دارند استانداردهای انتقال داده فیزیکی در قالب پروتکل های ارتباطی نگنجیده و بخشی از مدل TCP/IP نیستند. این دسته از مولفین یک لایه سخت افزار یا لایه فیزیکی را در زیر لایه پیوند در نظر می گیرند و بسیاری از آنان نیز واژه لایه پیوند داده را به جای واژه لایه پیوند به کار می برند. در مدل پیش از TCP/IP یعنی مدل مرجع آرپانت (RFC 908, 1982) موضوعات مرتبط با لایه پیوند با عناوینی ضعیف همچون، لایه دسترسی به شبکه، پروتکل دسترسی به شبکه و نیز لایه شبکه خوانده می شدند، در حالیکه لایه بالاتر لایه شبکه شبکه ها نامیده می شد. در برخی از کتاب های فنی جدید، لایه واسط شبکه، لایه میزبان-به-شبکه و لایه دسترسی به شبکه گاهی اوقات مترادف لایه پیوند و یا لایه پیوند داده در نظر گرفته می شوند و اغلب لایه فیزیکی را نیز در بر می گیرند.
انجمن مهندسان برق و الکترونیک امریکا IEEE برای وضع استاندارد های شبکه های LAN اصلاحاتی بر مدل OSI انجام داده است. این استاندارد ها اکنون با عنوان استاندارد IEEE 802 شناسایی می شوند. در پروژه 802 استاندارد هایی وضع شده است که در برگیرنده مشخصه های ارسال و دسترسی به اطلاعات از محیط فیزیکی است. این مشخصه ها شامل فرایندهای اتصال، حفظ و قطع ارتباط تجهیزات شبکه نیز هستند. مشخصه های 802 به دوازده گروه تقسیم می شوند که هر یک بصورت 802.1 تا 802.12 نام گذاری شده اند. هر یک از این گروه ها تعریف کننده استاندارد هایی برای اعمال اجرایی گوناگون شبکه هستند.مشخصات 802 همچنین شامل اصلاحاتی بر لایه های فیزیکی و پیوند در مدل OSI نیز هست. این اصلاحات در هنگام طراحی اکثر محیط های LAN مورد استفاده قرار می گیرند.
کمیته پروژه 802 با تفکیک لایه پیوند مدل OSI به دو زیر لایه، جزئیات بیشتری به مدل OSI افزوده است. این لایه های فرعی عبارتند از لایه LLC یا Logical Link Control و لایه MAC یا Media Access Control. لایه فرعی بالایی یعنی LLC با تعریف چندین نقطه دسترسی به سرویس یا Service Access Point بر ارتباطات لایه پیوند مدیریت می کند. SAP ها نقاط اتصالی هستند که بین ارتباط بین لایه های هفت گانه در مدل OSI کمک می کنند. کامپیوتر ها از این نقاط برای انتقال اطلاعات از لایه فرعی LLC به لایه های بالایی بهره می گیرند.
استاندارد های انتقال اطلاعات بین لایه فرعی LLC و لایه های بالایی در مدل OSI، تحت عنوان IEEE 802.2 جمع آوری شده اند. لایه فرعی MAC پایین لایه فرعی LLC قرار گرفته است. این لایه وظیفه انتقال اطلاعات را از لایه فیزیکی مدل OSI به محیط فیزیکی برعهده دارد. این لایه مسئول انتقال بدون خطای اطلاعات بین دو کامپیوتر واقع در شبکه نیز هست.استاندارد های مربوط به عملکرد لایه فرعی MAC و لایه فیزیکی مدل OSI در گروه های 802.3 و 802.4 و 802.12 آمده اند.
در دهه 1990، با ایجاد شبکه‏های ارتباطات بی‏سیم و اینترنت تغییر اساسی در صنعت ارتباطات بوجود آمد. ادغام این دو تکنولوژی منجر به تکنولوژی اینترنت بی‏سیم شده است. از آنجا که استانداردها، پیاده‏سازی اینترنت و تلفن‏های سلولی بی‏سیم را تعریف کرده‏اند، در نتیجه می‏توانند تکامل تدریجی اینترنت بی‏سیم را نیز تحت شعاع خود قرار دهند. هر دو صنعت تلفن سلولی و صنعت ارتباطات اینترنتی، مدل، مشخصات و دیدگاههای خاص خود دارند که برای استانداردسازی ارائه می‏دهند. در حال حاضر استانداردسازی تکنولوژی‏های مبتنی بر اینترنت در IEEE و کمیته استانداردهای IEEE 802 LAN/ MAN انجام می‏شود و استانداردهایی برای شبکه‏های بی‏سیم LAN، PAN و MAN در حال توسعه و افزایش است.
3-4-1-1- انواع استانداردهای802 IEEE
انواع استانداردهای802 IEEEشامل موارد زیر است :
* IEEE 802.16 Wireless MAN
این استانداردها سرویس‏های دسترسی بی‏سیم با پهنای باند بالا از سمت ایستگاههای پایه مرکزی به سمت ساختمان‏ها، معمولاً از طریق آنتن‏های روی بام‏ها، را پشتیبانی می‏کنند.
* IEEE 802.11 Wireless LAN
در این استانداردها ، کاربران داخل خانه‏ها، ادارات، دانشگاهها، هتل‏ها، فرودگاه‏ها، رستوران‏ها و غیره پشتیبانی می‏شوند.
* IEEE 802.15 Wireless PAN
در این استانداردها، لینک‏های کوتاه بین کامپیوترها، تلفن‏های متحرک و دیگر دستگاههای الکترونیکی که قابل حمل هستند پشتیبانی می‏شوند.
3-4-1-2- استاندارد IEEE 802.11 Wireless LAN
اولین شبکه ی محلی بی سیم تجاری توسط Motorola پیاده سازی شد. این شبکه، به عنوان یک نمونه از این شبکه ها، هزینه ی بالا و پهنای باندی پایین را تحمیل می کرد که ابداً مقرون به صرفه نبود. از همان زمان به بعد، در اوایل دهه ی ۹۰ میلادی، پروژه ی استاندارد 802.11 در IEEE شروع شد. در ماه ژوئن سال 1997 انجمن مهندسان برق و الکترونیک IEEE استاندارد IEEE 802.11- 1997 را به عنوان اولین استانداردِ شبکه های محلی بی سیم منتشر ساخت. این استاندارد در سال 1999 مجدداً بازنگری شد و نگارش روز آمد شده آن ، تحت عنوان IEEE 802.11-1999 منتشر شد.
استاندارد جاری شبکه های محلی بی سیم یا همان IEEE 802.11 تحت عنوان ISO/IEC 8802-11:1999 ، توسط سازمان استاندارد سازی بین المللی ISO و موسسه استانداردهای ملی آمریکا ANSI پذیرفته شده است. تکمیل این استاندارد در سال 1997، شکل گیری و پیدایش شبکه سازی محلی بی سیم و مبتنی بر استاندارد را به دنبال داشت.
استاندارد 1997، پهنای باند 2Mbps را تعریف می کند. با این ویژگی که در شرایط نامساعد و محیط های دارای اغتشاش (نویز) این پهنای باند می تواند به مقدار 1Mbps کاهش یابد. روش تلفیق یا مدولاسیون در این پهنای باند روش DSSS است. بر اساس این استاندارد پهنای باند 1Mbps با استفاده از روش مدولاسیون FHSS نیز قابل دستیابی است و در محیط های عاری از اغتشاش (نویز) پهنای باند 2Mbps نیز قابل استفاده است. هر دو روش مدولاسیون در محدوده باند رادیویی 2.4 GHz عمل می کنند. امروزه با بهبود عملکرد، کارایی و عوامل امنیتی، شبکه های بی سیم به شکل قابل توجهی در حال رشد و گسترش هستند و استاندارد IEEE 802.11 استاندارد بنیادی است که شبکه های بی سیم بر مبنای آن طراحی و پیاده سازی می شوند. یکی از نکات جالب توجه در خصوص این استاندارد استفاده از رسانه مادون قرمز علاوه بر مدولاسیون های رادیویی DSSS و FHSS به عنوان رسانه انتقال است. ولی کاربرد این رسانه با توجه به محدودیت حوزه عملیاتی آن نسبتاً محدود و نادر است. در یک تقسیم بندی کلی می توان دو همبندی (توپولوژی) را برای شبکه های محلی بی سیم در نظر گرفت. سـاده ترین همبندی، فی البداهه (Ad Hoc) و براساس فرهنگ واژگان استاندارد 802.11، IBSS است. در این همبندی ایستگاه ها از طریق رسانه بی سیم به صورت نظیر به نظیر با یکدیگر در ارتباط هستند و برای تبادل داده (تبادل پیام) از تجهیزات یا ایستگاه واسطی استفاده نمی کنند. واضح است که در این همبندی به سبب محدودیت های فاصله هر ایستگاهی ضرورتاً نمی تواند با تمام ایستگاه های دیگر در تماس باشد. به این ترتیب شرط اتصال مستقیم در همبندی IBSS آن است که ایستگاه ها در محدوده عملیاتی بی سیم یا همان بُرد شبکه بی سیم قرار داشته باشند.
همبندی دیگر زیرساختار است. در این همبندی عنصر خاصی موسوم به نقطه دسترسی وجود دارد. نقطه دسترسی ایستگاه های موجود در یک مجموعه سرویس را به سیستم توزیع متصل می کند. در این همبندی تمام ایستگاه ها با نقطه دسترسی تماس می گیرند و اتصال مستقیم بین ایستگاه ها وجود ندارد در واقع نقطه دسترسی وظیفه دارد فریم ها (قاب های داده) را بین ایستگاه ها توزیع و پخش کند.در این همبندی سیستم توزیع، رسانه ای است که از طریق آن نقطه دسترسی (AP) با سایر نقاط دسترسی در تماس است و از طریق آن می تواند فریم ها را به سایر ایستگاه ها ارسال نماید. از سوی دیگر می تواند بسته ها را در اختیار ایستگاه های متصل به شبکه سیمی نیز قراردهد. در استاندارد 802.11 توصیف ویژه ای برای سیستم توزیع ارائه نشده است، لذا محدودیتی برای پیاده سازی سیستم توزیع وجود ندارد، در واقع این استاندارد تنها خدماتی را معین می کند که سیستم توزیع می بایست ارائه نماید. بنابراین سیستم توزیع می تواند یک شبکه 802.3 معمولی و یا دستگاه خاصی باشد که سرویس توزیع مورد نظر را فراهم می کند.
استاندارد 802.11با استفاده از همبندی خاصی محدوده عملیاتی شبکه را گسترش می دهد. این همبندی به شکل مجموعه سرویس گسترش یافته (ESS) بر پا می شود. در این روش یک مجموعه گسترده و متشکل از چندین BSS یا مجموعه سرویس پایه از طریق نقاط دسترسی با یکدیگر در تماس هستند و به این ترتیب ترافیک داده بین مجموعه های سرویس پایه مبادله شده و انتقال پیام ها شکل می گیرد. در این همبندی ایستگاه ها می توانند در محدوده عملیاتی بزرگ تری گردش نمایند. ارتباط بین نقاط دسترسی از طریق سیستم توزیع فراهم می شود. در واقع سیستم توزیع ستون فقرات شبکه های محلی بی سیم است و می تواند با استفاده از فناوری بی سیم یا شبکه های سیمی شکل گیرد. سیستم توزیع در هر نقطه دسترسی به عنوان یک لایه عملیاتی ساده است که وظیفه آن تعیین گیرنده پیام و انتقال فریم به مقصدش می باشد. نکته قابل توجه در این همبندی آن است که تجهیزات شبکه خارج از حوزه ESS تمام ایستگاه های سیـّار داخل ESS را صرفنظر از پویایی و تحرکشان به صورت یک شبکه منفرد در سطح لایه MAC تلقی می کنند. به این ترتیب پروتکل های رایج شبکه های کامپیوتری کوچکترین تاثیری از سیـّار بودن ایستگاه ها و رسانه بی سیم نمی پذیرند. معماری معمول در شبکه های محلی بی سیم بر مبنای استفاده از AP است. با نصب یک AP، عملاً مرزهای یک سلول مشخص می شود و با روش هایی می توان یک سخت افزار مجهز به امکان ارتباط بر اساس استاندارد 802.11b را میان سلول های مختلف حرکت داد. گستره یی که یک AP پوشش می دهد را BSS-Basic Service Set می نامند. مجموعه ی تمامی سلول های یک ساختار کلی شبکه، که ترکیبی از BSSهای شبکه است، را ESS-Extended Service Set می نامند. با استفاده از ESS می توان گستره ی وسیع تری را تحت پوشش شبکه ی محلی بی سیم درآورد.
در سمت هریک از سخت افزارها که معمولاً مخدوم هستند، کارت شبکه ایی مجهز به یک مودم بی سیم قرار دارد که با AP ارتباط را برقرار می کند. AP علاوه بر ارتباط با چند کارت شبکه ی بی سیم، به بستر پرسرعت تر شبکه ی سیمی مجموعه نیز متصل است و از این طریق ارتباط میان مخدوم های مجهز به کارت شبکه ی بی سیم و شبکه ی اصلی برقرار می شود.
اغلب شبکه های محلی بی سیم بر اساس ساختار فوق، که به نوع Infrastructure نیز موسوم است، پیاده سازی می شوند. با این وجود نوع دیگری از شبکه های محلی بی سیم نیز وجود دارند که از همان منطق نقطه به نقطه استفاده می کنند. در این شبکه ها که عموماً Ad hoc نامیده می شوند یک نقطه ی مرکزی برای دسترسی وجود ندارد و سخت افزارهای همراه مانند کامپیوترهای کیفی و جیبی یا گوشی های موبایل با ورود به محدوده ی تحت پوشش این شبکه، به دیگر تجهیزات مشابه متصل می گردند. این شبکه ها به بستر شبکه ی سیمی متصل نیستند وبه همین منظور IBSS(Independent Basic Service set) نیز خوانده می شوند.شبکه های Ad hoc از سویی مشابه شبکه های محلی درون دفتر کار هستند که در آنها نیازی به تعریف و پیکربندی یک سیستم رایانه ای به عنوان خادم وجود ندارد. در این صورت تمامی تجهیزات متصل به این شبکه می توانند پرونده های مورد نظر خود را با دیگر گره ها به اشتراک بگذارند.به منظور حفظ سازگاری و توانایی تطابق و همکاری با سایر استانداردها، لایه دسترسی به رسانه (MAC) در استاندارد 802.11 می بایست از دید لایه های بالاتر مشابه یک شبکه محلی مبتنی بر استاندارد 802 عمل کند. بدین خاطر لایه MAC در این استاندارد مجبور است که سیـّاربودن ایستگاه های کاری را به گونه ای شفاف پوشش دهد که از دید لایه های بالاتر استاندارد این سیـّاربودن احساس نشود. این نکته سبب می شود که لایهMAC در این استاندارد وظایفی را بر عهده بگیرد که معمولاً توسط لایه های بالاتر شبکه انجام می شوند. در واقع این استاندارد لایه های فیزیکی و پیوند داده جدیدی به مدل مرجع OSI اضافه می کند و به طور مشخص لایه فیزیکی جدید از فرکانس های رادیویی به عنوان رسانه انتقال بهره می برد.
3-4-1-2-1- قابلیت ها و ابعاد امنیتی استاندارد IEEE802.11
در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکه های بی سیم بر اساس استاندارد 802.11 فراهم می کند، WEP است. این پروتکل با وجود قابلیت هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه های بی سیم را به نحوی، ولو سخت و پیچیده، فراهم می کند. نکته ایی که باید به خاطر داشت این است که اغلب حملات موفق صورت گرفته در مورد شبکه های محلی بی سیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام می گذارد، هرچند که فی نفسه دچار نواقص و ایرادهایی نیز هست.
بسیاری از حملاتی که بر روی شبکه های بی سیم انجام می گیرد از سویی است که نقاط دسترسی با شبکه ی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه های ارتباطی دیگری که بر روی مخدوم ها و سخت افزارهای بی سیم، خصوصاً مخدوم های بی سیم، وجود دارد، به شبکه ی بی سیم نفوذ می کنند که این مقوله نشان دهنده ی اشتراکی هرچند جزءیی میان امنیت در شبکه های سیمی و بی سیمی ا ست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.
3-4-1-2-2- تقسیم بندی گروه کاری : IEEE802.11
گروه کاری 802.11 به زیر گروه های متعددی تقسیم می شود:
* 802.11A
* 802.11B
* 802.11D: Additional Regulatory Domains
* 802.11E: Quality of Service (QoS)
* 802.11F: Inter-Access Point Protocol (IAPP)
* 802.11G: Higher Data Rates at 2.4 GHz
* 802.11H: Dynamic Channel Selection and Transmission Power Control
* 802.11I: Authentication and Security
: IEEE802.11A
در سال ۱۹۹۹ استاندارد 802.11aتوسط IEEE نهایی شده و تولید محصولات بسیاری بر پایه ی این استاندارد آغاز شد. نوع a، با استفاده از فرکانس حامل 5GHz، پهنای باندی تا 54Mbps را فراهم می کند. . باند فرکانس 5 گیگاهرتز به اندازه فرکانس 2.4 گیگاهرتز شلوغ نیست، چون کانال های بیشتری نسبت به 802.11b دارد و در واقع از 802.11b جدیدتر است، ولی با آن سازگاری ندارد. تعداد این کانال ها، با توجه به کشور مورد نظر، تفاوت می کند.
: IEEE802.11B
همزمان با برپایی استاندارد IEEE 802.11b یا به اختصار11.b در سال 1999، انجمن مهندسین برق و الکترونیک تحول قابل توجهی در شبکه سازی های رایج و مبتنی بر اترنت ارائه کرد. این استاندارد در زیر لایه دسترسی به رسانه از پروتکل CSMA/CA سود می برد. سه تکنیک رادیویی مورد استفاده در لایه فیزیکی این استاندارد به شرح زیر است :
-استفاده از تکنیک رادیویی DSSS در باند فرکانسی 2.4GHz به همراه روش مدولاسیون CCK
-استفاده از تکنیک رادیویی FHSS در باندفرکانسی 2.4GHz به همراه روش مدولاسیون CCK
– استفاده از امواج رادیویی مادون قرمز
در استاندار 802.11 اولیه نرخ های ارسال داده 1 و 2 مگابیت در ثانیه است. در حالی که در استاندارد 802.11b با استفاده از تکنیک CCK و روش تسهیم QPSK نرخ ارسال داده به 5.5 مگابیت در ثانیه افزایش می یابد. همچنین با به کارگیری تکنیک DSSS نرخ ارسال داده به11 مگابیت در ثانیه می رسد.
به طور سنتی این استاندادر از دو فناوری DSSS یا FHSS استفاده می کند. هر دو روش فوق برای ارسال داده با نرخ های 1 و 2 مگابیت در ثانیه مفید هستند.
در ایالات متحده آمریکا کمیسیون فدرال مخابرات یا FCC، مخابره و ارسال فرکانس های رادیویی را کنترل می کند. این کمیسیون باند فرکانس خاصی موسوم به ISM را در محدوده 2.4GHz تا 2.4835GHz برای فنّاوری های رادیویی استاندارد IEEE 802.11b اختصاص داده است.از آنجا که در این باند، تلفن های ثابت و بلوتوث نیز کار می کنند بنابراین ممکن است تداخلی بوجود آید.برای جلوگیری از این تداخل باید تجهیزات 802.11 را در فاصله ای دورتر از سایر تجهیزات نصب کرد.از مزایای این استاندارد میتوان به هزینه ی کم و برد مناسب آن اشاره کرد.باید به این نکته اشاره داشت که استاندارد 802.11b با 802.11a کاملا" ناسازگار است.با ارایه ی استاندارد IEEE 802.11b، که پهنای باند نسبتاً بالایی را برای شبکه های محلی امکان پذیر می ساخت، استفاده از تکنولوژی WLAN وسعت بیشتری یافت. در حال حاضر، مقصود از WLAN تمامی پروتکل ها و استانداردهای خانواده ی IEEE 802.11 است.
: IEEE802.11E
این استاندارد در اواخر ماه سپتامبر سال 2005 توسطIEEE تصویب شد. کمیته 802.11e کمیته ای است که سعی دارد قابلیت QoS اِتـِرنت را در محیط شبکه های بی سیم ارائه کند. توجه داشته باشید که فعالیت های این گروه تمام گونه های 802.11 شامل a، b، و g را در بر دارد. این کمیته در نظر دارد که ارتباط کیفیت سرویس سیمی یا Ethernet QoS را به دنیای بی سیم بیاورد. کیفیت سرویس دهی آن طوری است که می تواند کیفیت ترافیک صوتی و تصویری را تضمین نماید و برای شرکت هایی حائز اهمیت است که به استفاده از تلفن های Wi-Fi تمایل دارند.
: IEEE802.11G
کمیته 802.11g کمیته ای است که با عنوان 802.11b توسعه یافته نیز شناخته می شود. این کمیته در نظر دارد نرخ ارسال داده ها در باند فرکانسی ISM را افزایش دهد. باند فرکانسی ISM یا باند فرکانسی صنعتی، پژوهشی، و پزشکی، یک باند فرکانسی بدون مجوز است. استفاده از این باند فرکانسی که در محدوده 2400 مگاهرتز تا 2483.5 مگاهرتز قرار دارد، بر اساس مقررات FCC در کاربردهای تشعشع رادیویی نیازی به مجوز ندارد. استاندارد 802.11g تا کنون نهایی نشده است و مهم ترین علت آن رقابت شدید میان تکنیک های مدولاسیون است. اعضاء این کمیته و سازندگان تراشه توافق کرده اند که از تکنیک تسهیم OFDM استفاده نمایند ولی با این وجود روش PBCC نیز می تواند به عنوان یک روش جایگزین و رقیب مطرح باشد.

: IEEE802.11H
کمیته 802.11h مسئول تهیه استانداردهای یکنواخت و یکپارچه برای توان مصرفی و نیز توان امواج ارسالی توسط فرستنده های مبتنی بر 802.11 است.
: IEEE802.11I
802.11i گاهی Wi-Fi Protected Access 2) WPA 2) نامیده می شود و در ژوئن سال 2004 به تصویب رسیده است. WPA 2 ازAdvanced Encryption Standard (استاندارد رمزگذاری پیشرفته) در حد 128 بیت و بالاتر از آن پشتیبانی می کند و با ویژگی های کنترل کلید و شناسایی کاربر 802.11X همراه است.
فعالیت دو کمیتهI 802.11 وX 802.11در ابتدا برروی سیستم های مبتنی بر 802.11bتمرکز داشت. این دو کمیته مسئول تهیه پروتکل های جدید امنیت هستند. استاندارد اولیه از الگوریتمی موسوم به WEP استفاده می کند که در آن دو ساختار کلید رمز نگاری به طول 40 و 128 بیت وجود دارد. WEP مشخصاً یک روش رمزنگاری است که از الگوریتم RC4 برای رمزنگاری فریم ها استفاده می کند. فعالیت این کمیته در راستای بهبود مسائل امنیتی شبکه های محلی بی سیم است.
: IEEE802.11K
802.11kدر اواسط سال 2006 به تصویب رسید و استانداردRadio Resource Management (کنترل منابع رادیویی) است که اطلاعات سنجش نقاط دستیابی و تغییرات لازم برای اجرای بهتر LAN (شبکه های) بی سیم را فراهم می سازد. مثلا می تواند با استفاده از نقاط دستیابی، بار ترافیک را مدیریت نماید یا به تنظیم مرتب و دائم نیروی انتقال داده، جهت کاهش تداخل(داده ها) کمک نماید.
استاندارد جدید : IEEE 802.11N
پس از سال ها انتظار برای پایان جنگ استانداردها، شبکه های بی سیم برای استاندارد802.11n پرسرعت آماده می شوند. توان کاری بالا و رسیدن به آستانه 100Mbps، نشان می دهد که برای اولین بار فناوری بی سیم رقیب شبکه های کابلی FastEthernet شده است. البته جک های Ethernet تا مدت ها ناپدید نخواهد شد.
استاندارد802.11n با محاسبه این چشم انداز آمده است که باعث برتری شبکه های بی سیم بر شبکه های کابلی شود. این استاندارد تا سال 2008 کامل نخواهد شد، اما محصولات زیادی که از Pre-Nاستفاده می کنند، کم کم در قفسه فروشگا ه ها ظاهر می شوند. بر اساس پیش نویس استاندارد نهایی، این محصولات میزان عبور و توان عملیاتی بالاتری را هم برای Access point – AP و هم برای دستگاه های میزبانی که از چیپست های مشابه از یک تولیدکننده استفاده می کنند، ارائه می نمایند.
این تشابه شاید برای ادارات کوچک یا خانه ها خوب باشد، اما برای مکان های حرفه ای Pre-N مزیت چندانی ندارد؛ چرا که اکثر دستگاه های کاربران فقط از استانداردهای کم سرعت تر 802.11a/b/g پشتیبانی می کنند و بروز کردن تمام دستگاه ها به Pre-N یک کار غیرعملی است. به ویژه این که قابلیت کار بین تولیدات Pre-N کم است. این استاندارد بهینه سازی برای توان عملیاتی بالاتر و برای بالا بردن ظرفیت پذیرش WLAN تا بیش از 100 مگابیت در ثانیه طراحی شده است. این استاندارد در اواخر سال 2006 به تصویب نهایی رسید.
: IEEE 802.11R
802.11R یک استاندارد گشت و گذار سریع است که برای حفظ ارتباط پذیری کاربر در هنگام جابه جایی و حرکت از یک نقطه دستیابی به نقطه دیگر به کار می رود، همچنین در برنامه های کاربردی که به استانداردهای کیفیت خدمات بالا با تاخیر کم، مثل کیفیت صدای روی WLAN نیاز دارند، مهم است.
: IEEE 802.11S
این استاندارد در شبکه بندیmesh به کار می رود و در اواسط سال 2008 به تصویب رسید.
3-4-2- استانداردهای شبکه های محلی بی سیم
تکنولوژی شبکه های بی سیم، با استفاده از انتقال داده ها توسط اموج رادیویی، در ساده ترین صورت، به تجهیزات سخت افزاری امکان می دهد تا بدون استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه های بی سیم بازه ی وسیعی از کاربردها، از ساختارهای پیچیده یی چون شبکه های بی سیم سلولی -که اغلب برای تلفن های همراه استفاده می شود- و شبکه های محلی بی سیم (WLAN – Wireless LAN) گرفته تا انوع ساده ای چون هدفون های بی سیم، را شامل می شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می کنند، مانند صفحه کلید ها، ماوس ها و برخی از گوشی های همراه، در این دسته بندی جای می گیرند. طبیعی ترین مزیت استفاده از این شبکه ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این گونه شبکه ها و هم چنین امکان ایجاد تغییر در ساختار مجازی آن هاست. از نظر ابعاد ساختاری، شبکه های بی سیم به سه دسته تقسیم می گردند WWAN : ، WLAN و WPAN .
مقصود از WWAN، که مخفف Wireless WAN است، شبکه هایی با پوشش بی سیم بالاست. نمونه یی از این شبکه ها، ساختار بی سیم سلولی مورد استفاده در شبکه های تلفن همراه است WLAN. پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می کند. کاربرد شبکه های WPAN یا Wireless Personal Area Network برای موارد خانگی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می گیرد.
شبکه های WPAN از سوی دیگر در دسته ی شبکه های Ad Hoc نیز قرار می گیرند. در شبکه های Ad hoc، یک سخت افزار، به محض ورود به فضای تحت پوشش آن، به صورت پویا به شبکه اضافه می شود. مثالی از این نوع شبکه ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده ها با دیگر تجهیزات متصل به شبکه را می یابند.
3-4-2-1- قابلیت و سرویس پایه توسط IEEE برای شبکه های محلی بی سیم
سه قابلیت و سرویس پایه توسط IEEE برای شبکه های محلی بی سیم تعریف می گردد :
* Authentication
* Confidentiality
* Integrity

Authentication
هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی سیم است. این عمل که در واقع کنترل دسترسی به شبکه ی بی سیم است. این مکانیزم سعی دارد که امکان اتصال مخدوم هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.

Confidentiality
محرمانه گی هدف دیگر WEP است. این بُعد از سرویس ها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکه های سیمی طراحی شده است. سیاست این بخش از WEP جلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکه ی محلی بی سیم است.

Integrity
هدف سوم از سرویس ها و قابلیت های WEP طراحی سیاستی است که تضمین کند پیام ها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدوم های بی سیم و نقاط دسترسی، در حین انتقال دچار تغییر نمی گردند. این قابلیت در تمامی استانداردها، بسترها و شبکه های ارتباطاتی دیگر نیز کم وبیش وجود دارد.

خدمات ایستگاهی
بر اساس این استاندارد خدمات خاصی در ایستگاه های کاری پیاده سازی می شوند. در حقیقت تمام ایستگاه های کاری موجود در یک شبکه محلی مبتنی بر 802.11 و نیز نقاط دسترسی موظف هستند که خدمات ایستگاهی را فراهم نمایند. با توجه به اینکه امنیت فیزیکی به منظور جلوگیری از دسترسی غیر مجاز بر خلاف شبکه های سیمی، در شبکه های بی سیم قابل اعمال نیست .استاندارد 802.11 خدمات هویت سنجی را به منظور کنترل دسترسی به شبکه تعریف می نماید. سرویس هویت سنجی به ایستگاه کاری امکان می دهد که ایستگاه دیگری را شناسایی نماید. قبل از اثبات هویت ایستگاه کاری، آن ایستگاه مجاز نیست که از شبکه بی سیم برای تبادل داده استفاده نماید. در یک تقسیم بندی کلی 802.11 دو گونه خدمت هویت سنجی را تعریف می کند:
* Open System Authentication
* Shared Key Authentication
روش اول، متد پیش فرض است و یک فرآیند دو مرحله ای است. در ابتدا ایستگاهی که می خواهد توسط ایستگاه دیگر شناسایی و هویت سنجی شود یک فریم مدیریتی هویت- سنجی شامل شناسه ایستگاه فرستنده، ارسال می کند. ایستگاه گیرنده نیز فریمی در پاسخ می فرستد که آیا فرستنده را می شناسد یا خیر. روش دوم کمی پیچیده تر است و فرض می کند که هر ایستگاه از طریق یک کانال مستقل و امن، یک کلید مشترک سّری دریافت کرده است. ایستگاه های کاری با استفاده از این کلید مشترک و با بهره گیری از پروتکلی موسوم به WEP اقدام به هویت سنجی یکدیگر می نمایند. یکی دیگر از خدمات ایستگاهی خاتمه ارتباط یا خاتمه هویت سنجی است. با استفاده از این خدمت، دسترسی ایستگاهی که سابقاً مجاز به استفاده از شبکه بوده است، قطع می گردد.در یک شبکه بی سیم، تمام ایستگاه های کاری و سایر تجهیزات قادر هستند ترافیک داده ای را "بشنوند" – در واقع ترافیک در بستر امواج مبادله می شود که توسط تمام ایستگاه های کاری قابل دریافت است. این ویژگی سطح امنیتی یک ارتباط بی سیم را تحت تاثیر قرار می دهد. به همین دلیل در استاندارد 802.11پروتکلی موسوم به WEP تعبیه شده است که برروی تمام فریم های داده و برخی فریم های مدیریتی و هویت سنجی اعمال می شود. این استاندارد در پی آن است تا با استفاده از این الگوریتم سطح اختفاء وپوشش را معادل با شبکه های سیمی نماید.

3-5- استانداردهای مدیریت امنیت اطلاعات
استانداردهای مدیریت امنیت فضای تبادل اطلاعات، یک سری استانداردهای امنیتی هستند که به سازمان ها توانایی اجرای سیاست ها و تکنیک هایی را می دهند که تعداد حملات موفق فضای تبادل اطلاعات را به حداقل می رسانند. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیک های تخصصی تر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم می سازند. برای برخی استانداردهای خاص، گواهینامه امنیت فضای تبادل اطلاعات صادر می شود که از مزیت های آن توانایی گرفتن بیمه امنیت فضای تبادل اطلاعات است. لازم به ذکر است در حال حاضر، در ایران خدمات بیمه امنیت فضای تبادل اطلاعات ارائه نمی شود.
امنیت فضای تبادل اطلاعات برای انواع کاربران اینترنت حائز اهمیت است. برای مثال افراد عادی به منظور محافظت در برابر سرقت هویت و شرکت های تجاری نیز برای حفاظت از اسرار تجاری، مالکیت اطلاعات و اطلاعات مربوط به مشتریان، نیازمند بستری امن برای تبادل اطلاعات هستند. از طرف دیگر امنیت فضای تبادل اطلاعات برای دولت ها نیز به منظور اطمینان از اطلاعاتی که در اختیار آنها قرار دارد، بسیار مهم تلقی می شود.
نظر به اهمیت روزافزون اطلاعات در سازمان ها و حفظ آن بعنوان مزیت رقابتی، مجموعه ای از استانداردهای مدیریتی و فنی در زمینه امنیت اطلاعات و ارتباطات ، توسط موسسات معتبر بین المللی ارائه گردیده که مبتنی بر رویکرد فرآیندی است که تامین کننده امنیت اطلاعات سازمان است و بر اساس استاندارد ISO 27001 در کنار دیگر سیستمهای مدیریت به خصوص استاندارد ISO9001 و تحت نظارت و مدیریت مستقیم مدیریت ارشد سازمان مستقر می گردد. این سیستم برای پیاده سازی از استانداردها و متدولوژی های گوناگونی مانند BS 7799 و ISO/IEC 17799 و ISO 15408(معیار های عمومی برای فناوری اطلاعات ) بهره می گیرد. استاندارد BS 7799 ( سیستم مدیریت امنیت اطلاعات ) ، ISO/IEC 17799 ( کنترل های مورد نیاز ISMS ) و گزارش فنی ISO/IEC TR 13335 ( تکنیک های مراحل ایمن سازی اطلاعات و ارتباطات ) و نهایتاً مجموعه تدوین شده در قالب سری استانداردهای ISO 27000 از برجسته ترین استانداردها و راهنماهای فنی در زمینه مدیریت امنیت اطلاعات و ارتباطات محسوب می گردند.
اهم موارد مطروحه در این استاندارد ها به شرح زیر می باشند:

1- تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت
2- تکنیک های مورد استفاده در هر مرحله از ایمن سازی و جزئیات آن
3- خط مشی امنیتی و طرح ها و برنامه های تدوین شده و مورد نیاز سازمان در این زمینه
4- شناسایی ، ارزیابی و تدوین راه کارهای برخورد با مخاطرات ( Risks ) در سازمان
5- نیاز و نحوه ایجاد تشکیلات سیاست گذاری ، اجرائی و فنی در زمینه امنیت فضای تبادل اطلاعات
6- کنترل های امنیتی مورد نیاز برای حفاظت از سیستم های اطلاعاتی و ارتباطی
با توجه به اهمیت اطلاعات در سازمانهای دولتی و تاکید دولت و هیات وزیران به حفظ و ایجاد امنیت در زمینه اطلاعات سازمانی ، پیاده سازی این استاندارد برای سازمان های دولتی و خصوصی که در آنها اطلاعات بعنوان سرمایه ای گرانبها محسوب می گردد، کاربرد دارد.
به نقل از سازمان ملی استاندارد، با اجرای رویکرد مدیریت رخدادهای امنیت اطلاعات که در استاندارد بین المللی جدیدISO/ IEC 7035:2011 ارائه شده، می توان اقدامات تهدید کننده امنیت اطلاعات که به طریق مختلف همچون نفوذ هکرها به شبکه های رایانه ای تا استفاده کاربران داخلی شرکتها، که با توجه به میزان مهارتهای فردی و سطوح مجاز دسترسی به اطلاعات، از پایگاه اطلاعاتی خود برای امور شخصی استفاده می نمایند را کاهش داد.
وجود هر گونه شکاف در امنیت اطلاعات می تواند فعالیتهای تجاری را به مخاطره افکند و سبب ایجاد گسست در عملیات تجاری گردد. حفظ شرایط آمادگی و انجام عکس العمل موثر در زمان مطلوب خط تمایز میان حوادث جزیی و یا مصیبت بار برای شرکتها است. استفاده از سیستم مدیریت رخدادهای امنیت اطلاعات، این امکان را در اختیار سازمانها قرار می دهد تا در محل مورد نظر برای مدیریت رخدادهای امنیتی متعدد و نقاط آسیب پذیر کنترل و نظارت داشته باشند. استاندارد ISO/IEC 27035: 2011، فناوری اطلاعات – تکنیکنهای امنیتی – مدیریت مخاطرات امنیت اطلاعات، دستورالعمل لازم برای چگونگی شناسایی، گزارش دهی و ارزیابی میزان آسیب پذیری و حوادث امنیت اطلاعات را ارایه می نماید. این استاندارد به سازمانها کمک می نماید تا در مقابل حوادث ناشی از تهدید قرار گرفتن امنیت اطلاعات، و همچنین اجرای اقدامات کنترلی مناسب جهت پیشگیری، کاهش و یا بازیابی و رفع اثرات برجای مانده عکس العمل مناسب داشته باشند و به همین ترتیب نقایص روش کلی خود را رفع و آن را بهبود دهند.
یکپارچه سازی سیستم مدیریت حوادث امنیت اطلاعات مزایای مختلفی را به همراه دارد که عبارتند از:
-اصلاح کلی امنیت اطلاعات
-کاهش اثرات زیانبار تجارت
-تقویت تمرکز بر جلوگیری از بروز حوادث ناشی از تهدید شدن امنیت اطلاعات، اولویت بندی و تهیه شواهد و مدارک
-کمک به بودجه بندی و توجیه منابع
-بهبود به روز رسانی ارزیابی مخاطرات امنیت اطلاعات و نتایج مدیریت
-تهیه مطالب آموزشی جهت افزایش آگاهی از امنیت اطلاعات
-فراهم آوری اطلاعات لازم برای خط مشی امنیت اطلاعات و بررسی مستندات مرتبط

استاندارد ISO/IEC 27035: 2011، که جایگزین گزارش فنی ISO/IEC TR 18044:2004 شده است، متضمن مفاهیم کلی مندرج در استاندارد ISO/IEC 27001:2005، فناوری اطلاعات – تکنیکهای امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات می باشد. این استاندارد جدید در هر سازمانی صرف نظر از اندازه، کاربرد دارد و طیف وسیعی از حوادث ناشی از به مخاطره افتادن امنیت اطلاعات، چه به صورت تعمدی و یا تصادفی و یا اتفاقاتی که به دلایل فنی و یا فیزیکی رخ داده اند را شامل می شود. استاندارد ISO/IEC 27035: 2011، فناوری اطلاعات – تکنیکنهای امنیتی – مدیریت مخاطرات امنیت اطلاعات، توسط کمیته فنی مشترک ISO/IEC JTC 1، فناوری اطلاعات؛ کمیته فرعی SC 27، تکنیکهای امنیتی فناوری اطلاعات، تدوین شده است. این استاندارد به قیمت 180 فرانک سوئیس از دبیرخانه مرکزی ایزو قابل خریداری میباشد.

3-5-1- انواع استانداردهای مدیریت امنیت اطلاعات :
1. استانداردهای ISO/IEC 2700k
2. گزارش فنی TR 13335
3. استاندارد NIST 800-30

3-5-1-1- استانداردهای خانواده ISO27000
در سال 2005 موسسه بین المللی استاندارد به این نتیجه رسید که یک استاندارد واحد جوابگوی نیاز جامعه جهانی برای برقراری امنیت در حوزه های مختلف نمی باشد. از اینرو اقدام به تشکیل خانواده استاندارد ISO27000 نمود که جنبه های مختلف این امر را پوشش میدهد. شما می توانید هریک از این استانداردها و هدف از بوجود آمدن آن را در زیر ملاحظه نمایید. البته برخی از این استانداردها هنوز منتشر نشده اند که در آینده ای نزدیک این امر تحقق خواهد یافت.

ISO27000: مقدمه و مروری بر استانداردهای خانواده ISMS به همراه تعریف واژگان رایج مورد استفاده.
ISO27001: ارائه الزامات استاندارد به منظور احراز صلاحیت سازمانها جهت اخذ گواهینامه.
ISO27002: مجموعه ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای ISMS.
ISO27003: راهنمای پیاده سازی ISMS.
ISO27004: استاندارد اندازه گیری و تعیین سطح مدیریت امنیت اطلاعات.
ISO27005: استاندارد مدیریت ریسک در امنیت اطلاعات.
ISO27006: راهنمای مراحل دریافت گواهینامه.
ISO27007: راهنمای بازرسی و نظارت بر ISMS.
ISO27011: راهنمایی پیاده سازی ISMS در صنعت مخابرات.
ISO27799: راهنمای پیاده سازی ISMS در حوزه سلامت.

به طور کلی سری استانداردهای ISO/IEC 2700k شامل موارد زیر است :
* ISO/IEC 27000:2009 Information security management systems -Overview and vocabulary
سیستم های مدیریت امنیت اطلاعات – مرور و لغت نامه

* ISO/IEC 27001:2005, Information security management systems – Requirements
سیستم های مدیریت امنیت اطلاعات – نیازمندی ها
* ISO/IEC 27002:2005, Code of practice for information security management
آئین نامه کاری مدیریت امنیت اطلاعات
* ISO/IEC 27003, Information security management system implementation guidance
راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات
* ISO/IEC 27004, Information security management – Measurement
مدیریت امنیت اطلاعات – سنجش
* ISO/IEC 27005:2008, Information security risk management
مدیریت مخاطرات امنیت اطلاعات
* ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems
نیازمندی های ممیزان و ارائه دهندگان گواهینامه های سیستم های مدیریت امنیت اطلاعات
* ISO/IEC 27007, Guidelines for information security management systems auditing
راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات

* ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی بر مبنای ISO/IEC 27002

3-5-1-1-1- استاندارد ISO/IEC 27001
با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسیولیتی بیش از حفاظت دارند. آنها باید سیستم های آسیب پذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوه برآن باید قادر به طرح ریزی برنامه های بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاورد های نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی می شود.
اولین استاندارد مدیریت امنیت اطلاعات توسط موسسه استانداردهای انگلستان (BSI) و با نام BS 7799 ارائه شده است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به صورت جداگانه منتشر شده اند.
بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 منتشر شد. این استاندارد در سال 1998 بازنویسی شده و در سال 2000 تحت نظر موسسه بین المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور Information Technology – Code of practice for information security management می باشد که در سال 2005 بازنگری شده و بالاخره در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 بر اساس آن در جولای 2007 عرضه شد.
بخش دوم BS 7799 برای اولین بار در سال 1999 توسط BSI با عنوان " Information Security Management Systems – Specification with guidance for use" ارائه شد که علاوه بر تغییر نسبت به بخش اول، در دو قسمت ارائه گردید. قسمت اول آن در سال 2000 توسط سازمان استاندارد بین الملی پذیرفته شد. قسمت دوم آن تحت عنوان " چگونه سیستم مدیریت اطلاعات را پیاده سازی کنیم؟" منتشر شدو تمرکز آن بر روی پیاده سازی سیستم های مدیریت امنیت اطلاعات (ISMS) بود. نسخه دوم استاندارد BS 7799-2 ،که در سال 2002 ارائه شد یک مدل جدید به نام Plan-Do-Check-Act)PDCA) را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. بر اساس سیاست ها و ساختارهای مدیریت امنیت اطلاعات ارائه شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد.
بخش سوم BS 7799 در سال 2005، با موضوع تحلیل و مدیریت مخاطرات منتشر شد. این استاندارد نیز در ردیف ISO/IEC 27001 قرار می گیرد. این استاندارد امنیت اطلاعات را با استفاده از مدیریت صریح فراهم می سازد. در حال حاضر استاندارد ISO/IEC 27001 که به استاندارد سیستم مدیریت امنیت اطلاعات یا ISMS مشهور است ، شناخته ترین استاندارد جهانی است که کشورهای زیادی آن رابه عنوان استاندارد ملی خود انتخاب کرده اند.
این استاندارد کاملترین ساختار را برای فرایند مدیریت امنیت اطلاعات در سازمان فراهم مینماید . بیشتر بخشهای این استاندارد از استاندارد BS 7799 که متعلق به موسسه استاندارد ملی کشور انگلستان (BSI ) است اقتباس شده است .استاندارد ISO/IEC 27001 با مجموعهای از کنترلهای امنیتی، در حوزه های مختلف سازمان، بعنوان یکی از بهترین راه حلهای مناسب ، برای تامین امنیت اطلاعات در سازمانها پیشنهاد میگردد.
استاندارد ISO27001 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاست های متناسب با سازمان و همچنین پیاده سازی کنترل های مختلف ، اطلاعات سازمان را ایمن می سازد.این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرورها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت را در نظرخواهد گرفت.
استانداردISO27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است :
* اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
* اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
* قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
* ایجاد اطمینان نزد مشتریان و شرکای تجاری
* امکان رقابت بهتر با سایر شرکت ها
* ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
* بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
به وجود آمدن خطوط پرسرعت اینترنتی و دسترسی آسانتر به این شاهراه اطلاعاتی توسط خطوط اجاره ای و همچنین ارزان شدن تکنولوژی مبتنی برارتباط بی سیم، شرکت ها وسازمان ها رابه تدریج مجبور به رعایت نکات مربوط به ایمنی اطلاعات و نیز نصب انواع فایروال و موارد دیگر امنیتی ساخته است. دراین راستا داشتن سیاست امنیتی موثر و ایجاد روالهای درست امری اجتناب ناپذیر می می باشد.برای داشتن سازمانی با برنامه و ایده آل ، هدفمند کردن این تلاشها برای رسیدن به حداکثر ایمنی امری است که باید مدنظرقرار گیرد.
در این استاندارد باید موارد زیر درنظر گرفته شود :
1- مدیر باید ریسک های امنیت اطلاعات سازمان را تست کند و تهدیدات و آسیب ها را در نظر بگیرد.
2- طراحی و پیاده سازی منطقی کنترل های امنیتی اطلاعات صورت گیرد.
3- کنترل های امنیت اطلاعات، به صورت پیوسته نیازهای امنیتی مشخص شده سازمان را برآورده سازد.

بخش اول
در این بخش از استاندارد، مجموعه کنترل های امنیتی موردنیاز سیستم های اطلاعاتی و ارتباطی هر سازمان، در قالب ده دسته بندی کلی شامل موارد زیر، ارائه شده است:

1- تدوین سیاست امنیتی سازمان
در این قسمت، به ضرورت تدوین و انتشار سیاست های امنیتی اطلاعات و ارتباطات سازمان ، به نحوی که کلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاکید شده است. همچنین جزئیات و نحوه نگارش سیاست های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است.

2- ایجاد تشکیلات تامین امنیت سازمان
در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت های هر یک از سطوح، ارائه شده است.

3- دسته بندی سرمایه ها و تعیین کنترل های لازم
در این قسمت، ضمن تشریح ضرورت دسته بندی اطلاعات سازمان، به جزئیات تدوین راهنمای دسته بندی اطلاعات سازمان پرداخته و محورهای دسته بندی اطلاعات را ارائه نموده است.
4- امنیت پرسنلی
در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیت های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.

5- امنیت فیزیکی و پیرامونی
در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.

6- مدیریت ارتباطات
در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، به منظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت در مقابل نرم افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیری از اطلاعات، مدیریت شبکه، محافظت از رسانه ها و روالها و مسئولیت های مربوط به درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.

7- کنترل دسترسی
در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیت های کاربران، ابزارها و مکانیزم های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم عامل ها و نرم افزارهای کاربردی، استفاده از سیستم های مانیتورینگ و کنترل دسترسی در ارتباط از راه دور به شبکه ارائه شده است.

8- نگهداری و توسعه سیستم ها
در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستم ها، امنیت در سیستم های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستم ها، ارائه شده است.

9- مدیریت تداوم فعالیت سازمان
در این قسمت، رویه های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرح های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.

10- پاسخگوئی به نیازهای امنیتی
در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست های امنیتی موردنیاز و ابزارها و مکانیزم های بازرسی امنیتی سیستم ها، ارائه شده است.

بخش دوم
در این بخش از استاندارد برای تامین امنیت اطلاعات و ارتباطات سازمان یک چرخه ایمن سازی شامل 4 مرحله طراحی، پیاده سازی، تست و اصلاح ارائه شده و جزئیات هر یک از مراحل به همراه لیست و محتوای مستندات موردنیاز جهت ایجاد سیستم مدیریت امنیت اطلاعات سازمان، ارائه شده است. موسسه بین المللی استاندارد در سال 2000 ، بخش اول استاندارد BS7799:2002 را بدون هیچگونه تغییری بعنوان استاندارد ISO/IEC 17799 منتشر کرد. راهنمای فنی TR13335موسسه بین المللی استاندارد این گزارش فنی در قالب 5 بخش مستقل در فواصل سالهای 1996 تا 2001 توسط موسسه بین المللی استاندارد منتشر شده است . اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی7799 BS و ISO/IEC17799 می باشد.
3-5-1-1-1- 1- ممیزی داخلی در استاندارد ISO/IEC 27001
سازمان باید ممیزی های داخلی سیستم مدیریت امنیت اطلاعات را در فواصل زمانی طرح ریزی شده انجام دهد تا معین کنند که آیا سیستم مدیریت امنیت اطلاعات :
الف) با الزامات این استاندارد و قوانین و مقررات مرتبط انطباق دارد.
ب) با الزامات شناسایی شده انطباق دارد.
ج) به طور اثربخشی ، استقرار یافته و نگهداری می شود.
د) آنگونه که انتظار می رود، اجرا می شوند.
یک برنامه ممیزی باید با در نظرگیری وضعیت و اهمیت فرآیندها و حوزه های مورد ممیزی و همچنین نتایج ممیزی های قبلی، طرح ریزی گردد. معیارهای ممیزی، دامنه کاربرد، و روشهای ممیزی باید تعریف گردند. در انتخاب ممیزان و انجام ممیزی باید از هدفمند بودن و بی طرفی فرآیند ممیزی اطمینان حاصل شود. ممیزان نباید کار خودشان را ممیزی کنند.مسئولیتها و الزامات برای طرح ریزی و انجام ممیزی ها و برای گزارش نتایج و نگهداری سوابق باید در یک روش اجرایی مدون تعریف گردند.مدیر مسئول حوزه مورد ممیزی باید از اینکه اقداماتی که برای برطرف سازی عدم انطباق های یافته شده و علل آن ها لازمند، بدون تاخیر بی مورد صورت می پذیرند، اطمینان حاصل نماید. فعالیتهای پیگیری باید شامل تصدیق اقدامات انجام شده و گزارش دهی نتایج تصدیق باشد.

شکل 3-1 متدولوژی ISO/IEC 27001
3-5-1-1-1-2- حوزه های کنترل استاندارد : ISO/IEC 27001

شکل 3-2 یازده حوزه کنترل استاندارد ISO/IEC 27001

کنترل استاندارد ISO/IEC 27001 شامل 11 حوزه می باشدکه به تشریح هر کدام می پردازیم :
حوزه اول – خط مشی امنیتی
هدف : جهت گیری و جلب حمایت مدیریت از امنیت اطلاعات در ارتباط با نیازمندیها و قوانین و مقررات مربوطه.

سند خط مشی امنیت اطلاعات خط مشی امنیت اطلاعات
بازنگری خط مشی امنیت اطلاعات خط مشی امنیت اطلاعات

اجزاء مستند خط مشی امنیت اطلاعات
* تعریفی از امنیت اطلاعات سازمان
* بیانیه ای که بیانگر پشتیبانی مدیریت از اهداف و مفاهیم امنیت متناسب با اهداف و استراتژی سازمان است
* تعیین چارچوب لازم برای رسیدن به اهداف و اعمال کنترل های، نظیر ساختار ارزیابی و مدیریت مخاطرات
* توضیح مختصری راجع به خط مشی ها، اصول، استانداردها و نیازمندی های مطابقت با قوانین و مقرارت
* تعریفی از مسوولیت های عمومی و ویژه، نظیر گزارش حوادث امنیتی به مدیریت

حوزه دوم-سازماندهی امنیت اطلاعات
هدف : مدیریت امنیت اطلاعات در درون سازمان وطرف های بیرونی است.

سازماندهی داخلی
* حمایت مدیریت ازامنیت اطلاعات
* ایجاد هماهنگی در امنیت اطلاعات
* تخصیص مسوولیت های امنیت اطلاعات
* فرآیندهای مجاز برای امکانات IT
* تعهدنامه حفظ اسرار سازمانی
* تماس با مسوولین
* تماس با گروه های ذینفع خاص
* بازنگری امنیت اطلاعات توسط عوامل مستقل

امنیت طرف های بیرون از سازمان
* تشخیص خطرهای مرتبط با طرف های بیرونی
* وضعیت های امنیت در ارتباط با مشتریان
* در نظر گرفتن امنیت در قرارداد با خارج از سازمان

حوزه سوم – مدیریت دارایی ها
هدف1: برآورد ارزش واقعی دارایی های سازمان.
فهرست اموال و دارایی ها ارزش گذاری بر دارایی ها
انواع دارایی های عنوان شده :
* دارایی های اطلاعاتی
* دارایی های نرم افزاری
* دارایی های فیزیکی
* تاسیسات و سرویس های مرتبط
* افراد و تجارب و شایستگی های آنان(منابع انسانی)
* دارایی های معنوی، نظیر حیثیت و اعتبار سازمان
هدف2 : اطمینان از اینکه اطلاعات با سطح مناسبی از حفاظت نگهداری و تبادل می شوند.
طبقه بندی اطلاعات علامت گذاری وکنترل دسترسی به اطلاعات
* محرمانگی
* یکپارچگی
* قابلیت دسترسی

حوزه چهارم – امنیت منابع انسانی
* قبل از بکارگیری
منظور از بکارگیری در اینجا تمامی موارد استخدام ، تعیین مسوولیت های جدید، تغییر مسوولیت، به کارگیری نیروهای قراردادی و پایان دادن به کار در هر یک از موارد فوق است.
هدف : اطمینان ازآنکه کارکنان، طرف های قرارداد و کاربران طرف سوم وظایف خود رامیدانند، صلاحیت کار مورد نظر رادارند. وهمچنین به منظور کاهش خطر دزدی، سوء استفاده و کلاهبرداری در سازمان.
لحاظ نمودن امنیت در تعریف شغل و منبع
* درج امنیت در شرح خدمات مشاغل
* استخدام انتخابی
* تعهدنامه حفظ اسرار و محرمانگی

* حین بکارگیری
* آگاهی نسبت به امنیت وظایف
* در اختیار قرار دادن دستورالعمل های امنیتی
* انگیزه لازم برای لحاظ نمودن امنیت در سازمان
* آگاهی و هشیاری نسبی در امنیت مسائل مرتبط با حوزه کاری
* آشنایی با امنیت در بین کارکنان سازمان
* مهارت و صلاحیت
حین خدمت
* مسوولیت های مدیران
* آموزش کاربران
* فرآیندهای انضباطی

* خاتمه دادن به کار
هدف : اطمینان از اینکه به خدمت کارکنان، طرف های قرارداد و کاربران سازمان به شیوه مناسبی پایان داده می شود.
خاتمه دادن یا تغییر در بکارگیری
* مسوولیت های مرتبط با خاتمه دادن به همکاری
* بازگرداندن اموال
* حذف یا اصلاح حقوق دسترسی

حوزه پنجم – امنیت محیطی و فیزیکی
هدف1 : پیشگیری از دسترسی های غیرمجاز، خسارت یا دخالت در سرویس IT
محیط های امن.
* ایجاد حصار لازم برای محیط های امن
* کنترل های ورودی های فیزیکی
* امنیت دفاتر، اتاقها و امکانات
* حفاظت در مقابل تهدیدهای محیطی و خارجی
* کار در محیط های امن
* جداسازی محل های تخلیه و بارگیری
هدف2: پیشگیری ازدسترسی غیرمجاز، خسارت یا لو رفتن داراییها و اطلاعات سازمان
امنیت تجهیزات.
* بهداشت محیط کار، ایمنی و امنیت محل استقرا ر
* امنیت و ایمنی تاسیسات جنبی نظیر برق و تهویه
* امنیت کابل و کابل کشی
* تعمیر و نگهداری تجهیزات
* امنیت تجهیزات بیرون از سازمان
* اسقاط نمودن یا مزایده امن تجهیزات
* خارج نمودن تجهیزات از محل سازمان
* بازنگری امنیت اطلاعات توسط عوامل مستقل

حوزه ششم – مدیریت ارتباطات و عملیات
هدف : حصول اطمینان ازکارکرد صحیح وامن پردازش اطلاعات وامنیت در ارتباط با خدمات شخص ثالث و همچنین به حداقل رساندن مخاطرات ناشی از تست سیستم ها وحفظ یکپارچگی نرم افزار واطلاعات.
روش های عملیاتی و مسئولیت ها
* روندهای عملکرد مستنده شده
* مدیریت تغییرات
* تفکیک وظایف
* جداسازی تجهیزات آزمایشی از تجهیزات عملیاتی
مدیریت ارائه خدمات طرح های سوم
* ارائه خدمات مورد انتظار
* نظارت و بازنگری در نحوه ارائه خدمات
* مدیریت تغییرات در ارائه خدمات
طراحی و تست قبولی سیستم
* مدیریت ظرفیت
* شرایط قبولی سیستم
حفاظت از نرم افزار بدخواه
* کنترل کدهای مخرب
* کنترل کد های سیار

مدیریت نسخه های پشتیبان
* تهیه نسخه های پشتیبان
* نگهداری از اطلاعات پشتیبان
* فرآیندهای بازیابی از نسخه های پشتیبان
* رمزنگاری لازم در نسخه های پشتیبان
اطمینان از حراست اطلاعات در شبکه ها و حفاظت اززیرساخت پشتیبانی کننده
* کنترل های شبکه
* امنیت سرویس های شبکه
اداره کردن محیط های ذخیره سازی
* مدیریت رسانه های قابل حمل
* انهدام مناسب رسانه ها
* رویه های جابجایی اطلاعات
* امنیت مستندات سیستم
تبادل اطلاعات (حفاطت از اطلاعات ونرم افزار درتبادل یک سازمان با هر موجودیت بیرونی)
* خط مشی ها و رویه های تبادل اطلاعات
* توافقات تبادل داده و نرم افزار
* امنیت رسانه ها در هنگام انتقال
* سیستم های پیام رسانی الکترونیکی
* سیستم های اطلاعاتی کسب وکار
سرویس های تجارت الکترونیکی
* حفاظت از کلاهبرداری، تعارض حقوقی و …
* امنیت تراکنش های بر خط
* اطلاعات در دسترس عموم

نظارت (تشخیص فعالیت های غیرمجاز پردازش اطلاعات)
* نظارت بر فعالیت های ثبت شده
* نظارت بر نحوه کارکرد و استفاده از سیستمها
* حراست از وقایع و اطلاعات ثبت شده
* مدیریت ثبت کارهای مدیران و اپراتورهای شبکه
* ثبت خطاها
* همزمان نمودن ساعت سیستمها

حوزه هفتم – کنترل دسترسی
هدف1 : کنترل دسترسی به اطلاعات وپیشگیری از دسترسی های غیرمجاز می باشد.
کنترل دسترسی به اطلاعات
* ایجاد , تدوین وبازنگری خط مشی مستند شده کنترل دسترسی
مدیریت و حصول اطمینان ازدسترسی کاربر
* ثبت کاربران
* مدیریت دسترسی با اختیارات ویژه
* مدیریت رمز عبور کاربران
* بازنگری در حقوق دسترسی کاربران
مسوولیت های کاربر (پیشگیری از دسترسی غیرمجاز کاربران )
* بکارگیری رمز عبور
* تجهیزات بدون مراقبت کاربر
* خط مشی میزپاک و صفحه پاک
کنترل دسترسی به شبکه (حفاظت از دسترسی غیرمجاز به سرویس های شبکه)
* خط مشی استفاده از خدمات شبکه
* تصدیق هویت کاربر در ارتباطات بیرونی
* شناسایی تجهیزات در شبکه
* حفاظت پورت های تنظیم و رفع عیب از راه دور
* تفکیک در شبکه ها
* کنترل اتصال به شبکه
* کنترل مسیریابی
کنترل دسترسی به سیستم عامل
* رویه های دستیابی امن کاربر
* شناسایی و تایید هویت کاربر
* سیستم مدیریت رمز عبور
* استفاده از امکانات ابزاری سیستم
* انقضای زمانی پایانه کاری
* محدودیت زمان اتصال
کنترل دسترسی به برنامه های کاربردی
* محدودیت دسترسی به اطلاعات
* جداسازی اطلاعات حساس
هدف2 : تضمین امنیت اطلاعات در زمان کار از راه دور.
محاسبه سیار و کار از راه دور
* خط مشی برای حفاطت محاسبه و ارتباط راه دور
* ایجاد وپیاده سازی خط مشی برای کار از راه دور

حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
هدف1 : اطمینان از اینکه امنیت جزء جدائی ناپذیر از سیستم های اطلاعاتی است و همچنین پیشگیری از فقدان، تغییر یا سوء استفاده از اطلاعات در سیستم های کاربردی.

نیازمندی های امنیتی سیستمها ی اطلاعاتی
* شناسایی و تحلیل نیازمندی های امنیتی
پردازش صحیح برنامه های کاربردی
* تایید داده ورودی
* کنترل پردازش داخلی
* یکپارچگی پیغام
* تایید داده خروجی
هدف2 : حفاظت محرمانگی ،سندیت و یکپارچگی اطلاعات با استفاده از رمزنگاری و اطمینان از اینکه پروژه های IT و فعالیت های پشتیبانی در یک روش امن هدایت می شوند.
کنترل های رمزنگاری
* خط مشی استفاده از کنترل های رمزنگاری
* مدیریت کلید
امنیت فایل های سیستم کاربردی
* کنترل نرم افزار عملیاتی
* حفاظت از سیستم تست داده
* کنترل دسترسی به متن برنامه ها
هدف3 : حفظ و تداوم امنیت نرم افزار و اطلاعات سیستم کاربردی.
امنیت فرآیندهای توسعه و پشتیبانی
* رویه های کنترل تغییر
* مرور تکنیکی تغییرات سیستم عملیاتی
* محدودیت های روی تغییرات بسته های نرم افزاری
* حذف امکان نشت اطلاعات (به خارج از حوزه مجاز)
* توسعه نرم افزاری بوسیله سفارش به بیرون

حوزه نهم – مدیریت حوادث امنیت اطلاعات
هدف : اطمینان از اینکه حوادث و ضعف های امنیتی مرتبط با سیستم های اطلاعاتی به نحوی که به توان آنها را درزمان های قابل قبولی رفع کرد ، گزارش می گردند. وهمچنین اطمینان از اینکه رویه های یکنواخت و موثر در مورد حوادث امنیتی اعمال می گردند.
گزارش حوادث و ضعف های امنیتی
* گزارش حوادث امنیت اطلاعات
* گزارش نقاط ضعف امنیت اطلاعات
مدیریت حوادث امنیت اطلاعات و راه های بهبود آنها
* مسئولیتها و رویه ها
* یادگیری و عبرت از حوادث گذشته
* جمع آوری شواهد

حوزه دهم- طرح تداوم کسب و کار
هدف : خنثی نمودن وقفه ها ی کسب وکار و حصول اطمینان برای ازسرگیری به موقع سیستمهای اطلاعاتی سانحه دیده.
وجوه امنیتی مدیریت تداوم کسب و کار
* درج امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار
* تداوم کسب و کار و ارزیابی مخاطرات
* ایجاد و پیاده سازی طرح های تداوم کسب و کار با در نظر گرفتن امنیت
* چارچوب طرح تداوم کسب و کار
* تست ، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار

حوزه یازدهم – مطابقت با قوانین
هدف : اجتناب از هر نقض قانون و مقررات ، اطمینان از تطبیق سیستمها با استانداردها و سیاست های امنیتی سازمان ، و افزایش اثربخشی وکاهش اختلال در فرایند ممیزی.
انطباق با الزامات قانونی
* شناسائی قوانین قابل اجرا
* حقوق دارائی فکری
* حفاظت از سوابق سازمانی
* حفاظت داده ها وحریم خصوصی اطلاعات شخصی
* پیشگیری از استفاده نابجا از امکان پردازش اطلاعات
* کنترل قواعدرمزنگاری در توافقنامه ،آیین نامه و..
انطباق با خط مشی ها و انطباق فنی
* انطباق با خط مشی واستانداردهای برای اطمینان مدیران
* بررسی و بروز نگهداری انطباق فنی
بازرسی ممیزی سیستم های اطلاعاتی
* کنترل های ممیزی سیستم های اطلاعاتی
* حفاظت از ابزارهای ممیزی سیستم های اطلاعاتی

3-5-1-1-1-3- مزایای پیاده سازی استاندارد ISO/IEC 27001 :
* نزدیک شدن به وضعیت سیستماتیک و روش مند
* افزایش تضمین اعتبار قانونی سازمان
* افزایش جنبه های تداوم کسب وکار
* شناسائی دارایی های بحرانی از طریق ارزیابی ریسک
* ایجاد یک ساختار برای بهبود مستمر
* افزایش شناخت و اهمیت مسائل مربوط به امنیت درسطح مدیریت
* بومی سازی فرهنگ و دانش امنیت اطلاعات در سازمان

3-5-1-1-2- استاندارد ISO/IEC 27002
این بخش همان طور که گفته شد با عنوان "آیین نامه کاری مدیریت امنیت اطلاعات" یا Information Technology – Code of practice for information security management ارائه شد و بدون هیچگونه تغییری در سال 2000 توسط موسسه بین المللی استاندارد با عنوان ISO/IEC 17799 منتشر گشت. استاندارد مذکور بالاخره در زیرگروه استانداردهای امنیتی با عنوان ISO/IEC 27002 عرضه شد. در این استاندارد موضوعاتی در قالب سیاست ها و آیین نامه های کاری عمومی در زمینه امنیت ارائه شده است. این استاندارد خود را به عنوان "نقطه شروعی برای توسعه راهکار امنیتی مخصوص هر سازمان" معرفی می کند. در واقع ممکن است تمام راهنمایی ها و کنترل هایی که در آن وجود دارد، برای یک سازمان مورد نیاز نباشد و از طرف دیگر سیاست های امنیتی دیگری مورد نیاز باشد که در استاندارد به آن اشاره نشده است. در این استاندارد به جزئیات دقیق و یا چگونگی پیاده سازی اشاره ای نشده است. به طور خلاصه استاندارد مذکور موضوعات زیر را بررسی می کند:
· تدوین سیاست امنیتی سازمان
· زیرساخت امنیتی سازمان
· کنترل و طبقه بندی سرمایه ها
· امنیت کارمندان
· امنیت فیزیکی و محیطی
· مدیریت ارتباطات و عملکرد
· کنترل دسترسی
· توسعه و نگهداری سیستم
· مدیریت تداوم فعالیت
· سازگاری
همان طور که اشاره شد این استاندارد در هیچ کدام از موضوعات فوق وارد جزئیات دقیق و یا پیاده سازی آن نمی شود و تنها یک راهنمایی کلی را در حوزه موضوعات مطرح شده، فراهم می آورد. این استاندارد اطلاعات کافی را برای بررسی دقیق وضعیت مدیریت امنیت اطلاعات سازمان ها در اختیار نمی گذارد. همچنین برنامه ای برای ارائه گواهینامه ای مانند گواهینامه ISO 9000 را شامل نمی شود. بلکه این استاندارد برای مرور کلی موضوعات امنیت اطلاعات مفید واقع می شود و می تواند توسط مدیران ارشد برای فهمیدن مشکلات امنیتی که در هر یک از موضوعات مذکور با آن روبرو می شوند، مورد استفاده قرار بگیرد. در صورتی که استاندارد ISO/IEC 17799 همراه با راهنمایی های فنی تکمیلی به کار گرفته شود، میتواند به عنوان یک ابزار بازنگری امنیتی بسیار موثر واقع شود.
این استاندارد شامل توصیه هایی است که برای پیاده سازی عملی بسیار مفید است . Iso/Iec. 27002 از 12 بخش اصلی زیر تشکیل شده است:
1- ارزیابی ریسک
2- سیاست های امنیتی
3- امنیت اطلاعات سازمان
4- مدیریت ارزیابی
5- امنیت منابع انسانی
6- امنیت محیطی و امنیت فیزیکی
7- مدیریت عملیات و ارتباطات
8- کنترل دستیابی
9- نگهداری، توسعه و فراگیری امنیت اطلاعات
10- مدیریت رخ دادهای امنیت اطلاعات
11- مدیریت پیوسته
12- قبول یا رد

بحث
در اکثر مواقع استانداردهای ISO/IEC 27001 و27002 ISO/IEC با یکدیگر به کار گرفته می شوند. سازمان هایی که کنترل های امنیت اطلاعات را بر اساس استاندارد 27002 پیاده سازی می کنند باید به طور همزمان بسیاری از نیازمندی های استاندارد 27001 را در نظر بگیرد. استاندارد27001 اطمینان می دهد که سیستم مدیریت برای سازمان مناسب است اما در مورد امنیت اطلاعات درون سازمان مانند آنتی ویروس و فایروال و… بحثی انجام نمی دهد.

3-5-1-1-3- استاندارد ISO/IEC 27003
این استاندارد بخشی از خانواده ISO/IEC 27000 می باشد .هدف از این استاندارد کمک و راهنمایی برای پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) است و در سوم فوریه 2010 منتشر شده است.موضوعات مطرح شده در استاندارد مذکور عبارتند از:
* به دست آوردن تصویب مدیریت برای شروع پیاده سازی پروژه ISMS
* تعریف حوزه ISMS و سیاست ISMS
* هدایت تحلیل سازمان
* هدایت ارزیابی مخاطرات و رفع مخاطرات
* طراحی ISMS
این استاندارد شامل بخش های اصلی زیر می باشد:
1. معرفی
2. محدوده
3. واژه ها و تعریف
4. ساختار استاندارد
5. تصویب یا تجویز مدیریت دست یابی برای پیاده سازی مدیریت امنیت اطلاعات
6. تعریف محدوده و سیاست مدیریت امنیت اطلاعات
7. کنترل تحلیل سازمان
8. کنترل ارزیابی ریسک و طراحی رفتار ریسک
9. طراحی مدیریت امنیت اطلاعات
3-5-1-1-4- استاندارد ISO/IEC 27004
این استاندارد بخشی از خانواده ISO/IEC 27000 می باشد هدف از این استاندارد که در دسامبر سال 2009 منتشر شده است کمک به سازمان ها برای اندازه گیری، گزارش و بهبود سیستماتیک اثرگذاری سیستم مدیریت امنیت اطلاعات (ISMS) است. این استاندارد دارای بخشهای اصلی زیر است:
1- اندازه گیری امنیت اطلاعات
2- مسئولیت های مدیریت
3- اندازه گیری و توسعه
4- عملیات اندازه گیری
5- گزارش نتایج اندازه گیری و تحلیل داده
6- بهبود وارزیابی برنامه مدیریت امنیت اطلاعات

3-5-1-1-5- استاندارد ISO/IEC 27005
این استاندارد بخشی از خانواده ISO/IEC 27000 می باشد .این استاندارد راهنمایی را برای مدیریت مخاطرات امنیت اطلاعات فراهم می آورد و در ژوئن 2008 منتشر شده است. این استاندارد مفاهیمی را که در استاندارد ISO/IEC 27001 معرفی شده اند، پشتیبانی می کند و برای کمک به پیاده سازی موثر امنیت اطلاعات مبتنی بر روش مدیریت مخاطرات طراحی شده است. در این استاندارد از هیچ روش خاصی برای تحلیل مخاطرات اسم برده نشده و همچنین هیچ روشی نیز پیشنهاد نشده است ولی یک پروسه ساخت یافته، سیستماتیک و صریح از تحلیل مخاطرات گرفته تا ایجاد برنامه رفع مخاطرات مشخص شده است.
3-5-1-1-6- استاندارد ISO/IEC 27006
این استاندارد در سال 2007 و برای سازمان های ارائه دهنده گواهینامه های امنیتی (ممیزان امنیت اطلاعات) مبتنی بر ISO/IEC 27001 منتشر شده است. در این استاندارد طرح نیازمندی های سازمان های مذکور ترسیم شده و به نوعی معنادار و قابل اطمینان بودن گواهینامه های ISO/IEC 27001 را تضمین می کند.

3-5-1-1-7- استاندارد ISO/IEC 27007
این استاندارد راهنمایی را برای ممیزی ISMS جهت ارائه گواهینامه های امنیتی به جز ISO/IEC 27001 فراهم می کند. استاندارد مربوط به ممیزی ISO/IEC 27001 همان طور که گفته شد در ISO/IEC 27006 پوشش داده شده است. حوزه های مربوط به این استاندارد عبارتند از:
* ممیزی داخلی، برای مثال به ممیزان فناوری اطلاعات کمک می کند تا از کاهش مکفی مخاطرات امنیتی توسط کنترل های امنیت اطلاعات سازمان، اطمینان حاصل کنند.
* ممیزی خارجی که شامل ممیزی فناوری اطلاعات نیز می شود، به عنوان بخشی از ممیزی مالی انجام می شود. برای مثال ممیزان باید از داده ها و اطلاعات موجود در قسمت های مختلف مثلاً سیستم های تدارکات اطمینان حاصل کنند . همچنین برای ممیزی شرکت های پیمانکار ISMS به کار می رود (برای مثال شرایط قرارداد متصدیان سرویس های فناوری اطلاعات در قسمت هایی که مربوط به امنیت اطلاعات می شود.)
* بازنگری مدیریتی، از طرفی شامل فعالیت های روتین به عنوان بخشی از عملیات ISMS می شود تا صحت همه چیز را بررسی کند و از طرف دیگر با بررسی موردی رخدادهای امنیتی به دنبال علت ریشه ای مخاطرات گشته و سعی در ایجاد واکنش های اصلاح کننده دارد. این استاندارد در دست بررسی است و احتمالاً در سال 2010 منتشر خواهد شد.
3-5-1-1-8- استاندارد ISO/IEC 27011
استاندارد ISO/IEC 27011 در دسامبر سال 2008 بر پایه ISO/IEC 27002 منتشر گشته است. این استاندارد راهنمایی را برای پیاده سازی مدیریت امنیت اطلاعات در سازمانهای مخابراتی فراهم می آورد. در واقع استاندارد مذکور ویژگی های مخصوص به این بخش صنعت را در نظر گرفته و تغییرات لازم را در نیازمندی های ISO/IEC 27001 و همچنین ISO/IEC 27002 متناسب با نیازمندی های شرکت ها و سازمان های مخابراتی به وجود آورده است.

در زیر نموداری که ارتباط استانداردهای مذکور به یکدیگر را نشان می دهد مشاهده می کنید.

شکل3-3 ارتباط سری استانداردهای 27000

3-5-1-1-9- مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استانداردهای سری :ISO27000
• استاندارد مورد تائید و اجباری از سوی شورای عالی امنیت فضای تبادل اطلاعات کشور
• کمک به تهیه برنامه عملیاتی امنیت فضای تبادل اطلاعات سازمانها
• تامین امنیت در همه سطوح شامل امنیت فیزیکی، پرسنلی و ارتباطات
• ایجاد چارچوب و ساختاری برای توسعه و نگه داری امنیت اطلاعات
• کاهش تبلیغات منفی علیه سازمان و افزایش وجهه و اعتبار سازمان
• جدید ترین استاندارد امنیت اطلاعات با رویکرد پیشگیرانه
• کاهش هزینه ها با رویکرد کاهش احتمال خطرات و تهدیدهای امنیتی
• سیستم های مدیریت امنیت پویا و مستمر با نگاه همه جانبه به امنیت
• آموزش پرسنل و ارتقای سطح آگاهی و دانش عمومی آنها در زمینه امنیت

3-5-1-2- استاندارد ISO/IEC 15408
این استاندارد که اصطلاحا به آن CC (common criteria) گفته می شود بعد از سال 1994 مطرح شد و چارچوبی را فراهم می سازد که در آن کاربران سیستم کامپیوتری می توانند عملکردهای امنیتی و نیازهای قابلیت اطمینان خود را مشخص و فروشندگان بر اساس آن ها محصولات CC خود را پیاده سازی و مورد ارزیابی قرار دهند .به عبارت دیگر تضمین می کند که فرایند تشخیص، پیاده سازی و ارزیابی امنیت سیستم کامپیوتری به روشی مطمئن و استاندارد صورت می گیرد. این استاندارد در برگیرنده معیار ارزیابی امنیت وابسته به اقدامات امنیتی اجرایی نمی باشد, این اقدامات همچنین به طور مستقیم به اقدامات امنیتی فناوری اطلاعات مربوط نمی شود , اگر چه اینگونه تشخیص داده شده که قسمت مهمی از TOE(هدف ارزیابی) از طریق اقدامات اجرایی مانند کنترل های سازمانی, پرسنلی, فیزیکی و رویه ای ایجاد می شود. اقدامات امنیتی اجرایی در محیط عملیاتی TOE جایی که قابلیت تاثیر گذاری بر روی اقدامات امنیتی جهت مقابله با تهدید های شناخته شده را دارند به عنوان فرضیات کاربرد ایمن به کار گرفته می شود.ارزیابی جنبه های فیزیکی تکنیکی امنیت فناوری اطلاعات مانند کنترل محل صدور جریان الکترومغناطیسی به طور خاص تحت پوشش قرار نمی گیرد, این در حالی است که بسیاری از مفاهیم مورد نظر, برای این سطح قابل اجرا خواهند بود. این استاندارد به طور خاص برخی از جوانب محافظت فیزیکی از TOE را مد نظر قرار می دهد.
این استاندارد هیچ یک از روشهای ارزیابی و چهارچوب قانونی و اجرایی که ممکن است بعنوان معیار توسط مسئولین ارزیابی به کار گرفته شود را بعنوان متودولوژِی ارائه نمی دهد, این در حالی است که انتظار می رود این استاندارد جهت اهداف ارزیابی روشهایی را در هر زمینه ارائه کند.رویه های به کارگیری نتایج ارزیابی در تعیین اعتبار محصول یا سیستم خارج از حوزه این استاندارد می باشد. تعیین اعتبار سیستم یا محصول فرایندی اجرایی بوده که مجوز عملکرد محصول یا سیستم فناوری اطلاعات در محیطی کاملاً عملیاتی ارائه می شود. ارزیابی, بر روی قسمت های امنیتی فناوری اطلاعات محصول یا سیستم و قسمتهایی از محیط عملیاتی که ممکن است به طور مستقیم بر روی استفاده ایمن از مولفه های فناوری اطلاعات تاثیر گذار باشند تمرکز می کند. نتایج فرایند ارزیابی در نهایت ورودی ارزشمندی برای فرایند تعیین اعتبار می باشد. اگر چه از آنجایی که سایر تکنیک ها, جهت ارزیابی ویژگیهای امنیتی سیستم یا محصول و ارتباط آنها با قسمت های امنیتی فناوری اطلاعات مناسب تر می باشد, اعتبارنامه ها تمهیدات جداگاه ای را برای این جوانب ایجاد کنند.
موضوع معیار برای ارزیابی کیفیت های ذاتی الگوریتم های رمز نگاری در این استاندار تحت پوشش قرار نمی گیرد, ارزیابی مستقلی از ویژگی های ریاضی رمزنگاری ادغام شده در TOE مورد نیاز می باشد. طرح کلی که ارزیابی این استاندارد تحت آن انجام می شود بدین خاطر می بایست تمهیداتی را برای چنین ارزیابی هایی در نظر بگیرد.

این استاندارد جهت ارزیابی امنیت اطلاعات دارای مراحل زیر می باشد:
1- بررسی مسایل امنیتی پروفایل
2- بررسی امنیت هدف
3- بررسی نیازمندی های عملکردی امنیتی
4- بررسی نیازمندی های تضمینی امنیتی
5- مشخص کردن سطح تضمین ارزیابی

3-5-1-3- گزارش فنی ISO/IEC TR13335 موسسه بین المللی استاندارد
این گزارش فنی در قالب 5 بخش مستقل در فواصل سالهای 1996تا 2001 توسط موسسه بین المللی استاندارد منتشر شده است .اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد . این گزارش فنی بعنوان مکملی برای استانداردهای مدیریت امنیت اطلاعات است نه راه حلی برای آن.
بخش اول
در این بخش که در سال 1996 منتشر شد، مفاهیم کلی امنیت اطلاعات از قبیل سرمایه، تهدید، آسیب پذیری، ریسک، ضربه و … ، روابط بین این مفاهیم و مدل مدیریت مخاطرات امنیتی، ارائه شده است .
بخش دوم
این بخش که در سال 1997 منتشر شد ، مراحل ایمن سازی و ساختار تشکیلات تامین امنیت اطلاعات سازمان ارائه شده است . بر اساس این گزارش فنی ، چرخه ایمن سازی به 5 مرحله شامل : تدوین سیاست امنیتی سازمان، تحلیل مخاطرات امنیتی، تعیین حفاظها و ارائه طرح امنیت، پیاده سازی طرح امنیت و پشتیبانی امنیت اطلاعات، تفکیک شده است.
بخش سوم
در این بخش که در سال 1998 منتشر شد، تکنیکهای طراحی، پیاده سازی و پشتیبانی امنیت اطلاعات از جمله محورها و جزئیات سیاستهای امنیتی سازمان، تکنیکهای تحلیل مخاطرات امنیتی، محتوای طرح امنیتی، جزئیات پیاده سازی طرح امنیتی و پشتیبانی امنیت اطلاعات، ارائه شده است.
بخش چهارم
در این بخش که در سال 2000 منتشر شد، ضمن تشریح حفاظهای فیزیکی، سازمانی و حفاظهای خاص سیستم های اطلاعاتی، نحوه انتخاب حفاظهای مورد نیاز برای تامین هریک از مولفه های امنیت اطلاعات، ارائه شده است.

بخش پنجم
در این بخش که در سال 2001 منتشر شد، ضمن افزودن مقوله ارتباطات و مروری بر بخشهای دوم تا چهارم این گزارش فنی، تکنیکهای تامین امنیت ارتباطات از قبیل شبکه های خصوصی مجازی، امنیت در گذرگاه ها، تشخیص تهاجم و کدهای مخرب، ارائه شده است.

شکل 3-4 استاندارد TR13335

3-5-1-4- استاندارد NIST800_30
این استاندارد متدلوژی ارائه شده توسط موسسه ملی استاندارد و فناوری (NIST) آمریکا است. این استاندارد به ارزیابی مخاطرات و تسکین مخاطرات می پردازد.
بخش های مختلف NIST800_30 شامل موارد زیر است :

* شناسایی و دسته بندی سرمایه های اطلاعاتی
* شناسایی تهدیدها
* شناسایی آسیب پذیری ها
* شناسایی و تحلیل کنترل های پیاده سازی شده
* تعیین احتمال مخاطره
* تحلیل ضربه
* تعیین ریسک
* توصیه های امنیتی
* مستندسازی

شکل 3-5 استاندارد NIST800_30

3-5-1-4-1- مقایسه استانداردهای ISO 27005 و NIST :
مقایسه استانداردهای ISO 27005 و NIST در معیار ، نوع مستند ، محل اخذ اعتبار جدیدتر بودن از نظر تاریخ انتشار ، پویائی بیشتر در آینده ، استفاده از نکات مثبت سایر متدولوژی ها ، پوشش مسائل در سطح مدیریتی و پوشش مسائل در سطح فنی است.

معیار
متدلوژی ارائه شده در مستند NIST SP800-30
متدلوژی ارائه شده در پیش نویس استاندارد ISO27005
نوع مستند
در سطح ملی (آمریکا)
در سطح بین المللی
محل اخذ اعتبار
جایگاه تعیین شده برای NIST در راهبرد ملی امنیت فضای سایبر آمریکا
موسسه بین المللی استاندارد (ISO)
جدیدتر بودن از نظر تاریخ انتشار
2002
* 2006
پویائی بیشتر در آینده

*
استفاده از نکات مثبت سایر متدولوژی ها

*
پوشش مسائل در سطح مدیریتی
*
*
پوشش مسائل در سطح فنی
* در متن مستند
* در ضمائم استاندارد

3-6- تصدیق استانداردها

جهت تصدیق استانداردها سه مرحله زیر را می توان در نظر گرفت:
1- در این مرحله بازبینی غیررسمی مدیریت امنیت اطلاعات صورت می گیرد و به جزییات پرداخته نمی شود.
2- این مرحله شامل جزئیات زیاد و بررسی و بر آورد رسمی می باشد.
3- در این مرحله بررسی با بازبینی پایین به بالا صورت می گیرد به عبارتی دیگر اگر یک درخت را در نظر بگیریم، از برگ ها شروع کرده و به سمت گره های بالایی حرکت می کنیم.

3-7- پیاده سازی استانداردهای امنیت شبکه
گروه امنیتی وایا برای ارائه خدمات مشاوره ای و اجرایی در پیاده سازی استانداردهای امنیت شبکه ISO 27033 مدل امنیتی وایا را منتشر و اقدام به پیاده سازی آن در مجموعه های داخلی نموده است.
استانداردها امنیت شبکه یکی از قابل اطمینان ترین گواهینامه هایی هستند که یک سازمان موفق به دریافت آنها می شود.اما طی سالهای اخیر اغلب آنها با معضلات برای دریافت گواهینامه دچار شده اند که دلایل آن به مواردی چون عدم تخصیص بودجه کافی، ناکارآمدی استاندارد با شرایط بومی، عدم هماهنگی بین واحد های مسئول، عدم وجود عزم همگانی در پیاده سازی آن، طولانی بودن زمان لازم برای پیاده سازی، تغییر مدیریت و …. بر می گردد.
در اثنای خدمات مشاوره ای شرکت ایمن افزار وایا برای استانداردهای امنیت اطلاعات (ISO 27001 ISMS)، امنیت شبکه ISO 27033 و تداوم کسب و کار، گروه امنیتی وایا به تجربیات بسیار ارزشمندی نائل شد که منجر به طراحی مدلی کاملاً بومی و مطابق با استاندارد های فوق به نام "مدل امنیتی وایا" گردید. این گروه علاوه بر ادامه فعالیت برای ارائه خدمات مشاوره ای و اجرایی در پیاده سازی استانداردهای مذکور، مدل امنیتی وایا را منتشر و اقدام به پیاده سازی آن در مجموعه های داخلی نموده است.

شکل 3-6 قانون 80-20

ایده اولیه برای طراحی این مدل با توجه به اصل پارتو (قانون 80-20) شکل گرفت و نتیجه آن مدلی شد که حاوی خصوصیات کاملاً منحصر بفرد است و می تواند امنیت شبکه سازمان را با کمترین هزینه و در کوتاهترین زمان ممکن به حد مطلوب ارتقاء دهد.
قانون 80-20 بیان می کند 20 درصد از عوامل 80 درصد مسائل را می آفرینند و 80 درصد از عوامل سبب 20 درصد از مسائل هستند . به عبارتی 20 درصد نواقص باعث 80 درصد مشکلات می شوند. بنابراین اگر 20درصد از مسائل کلیدی را کشف و انرژی خود را صرف حل آنها نمایید، 80 درصد از مشکلات حل می شود.
vaya Security Model
در این مدل امنیتی کارشناسان گروه امنیتی وایــا پس از اجرای پروژه های ایمن سازی و بهینه سازی متعدد و با تحقیقی گسترده در زمینه استاندارد های امنیت اطلاعات تلاش نموده اند تا مدلی کامل، همه جانبه و ساخت یافته برای امنیت اطلاعات دیجیتالی سازمانها ارائه نمایند.
با پیاده سازی این مدل امنیتی شرکت ایمن افزار وایـا بعنوان مشاور در پروژه امن سازی شبکه
مدل را برای سازمان سفارشی و نقشه ای از آنچه مورد نیاز است را ترسیم می کند. سپس گام به گام تا نهایی شدن پروژه و دسترسی به هدف مطلوب، همراه شما خواهد بود.
اگر دارایی های سازمان را به دو دسته بزرگ سخت افزاری و نرم افزاری تقسیم کنیم، اطلاعات را می توان در گروه اموال و دارایی های نرم افزاری سازمان قرار داد. حفاظت از دارایی ها نه تنها مشمول سخت افزارهای سازمان می باشد، بلکه به جرات می توان گفت که حفاظت از دارایی های نرم افزاری به مراتب مهمتر می باشند و با توجه به اینکه امروزه تقریباً تمام تراکنش های کاری داخلی و خارجی هر سازمان بصورت الکترونیکی انجام می گیرد، این اطلاعات باید تحت محافظتی جامع و متناسب با ابزارها و روشهای علمیِ متد های انتقال باشند.
اطلاعات سرمایه شماست
در صورت هر گونه نفوذ یا خدشه به سیستم اطلاعاتی شما، علاوه بر ضررهای مالی و از بین رفتن سرمایه سازمان، گردش کار روزمره نیز دچار مشکل می گردد و سیستم توانایی اجرای وظایف خود را نخواهد داشت.
نفوذ به سیستم شما شهرت سازمان شما را نیز بر باد می دهد.
امنیت اطلاعات به معنی محافظت از اطلاعات در برابر حجم وسیعی از حملات می باشد که مدیریت ارشد سازمان انتظار دارد پس از پیاده سازی طرح امنیت اطلاعات، حوادثی همچون سرقت اطلاعات، دستکاری اطلاعات و حتی بلایای طبیعی تاثیری در روند فعالیت سازمان نداشته باشند.گرچه همواره روشهای سرقت یا دستکاری اطلاعات یک قدم جلوتر از روشهای مقابله می باشند ولی هدف از اجرای طرح امنیت اطلاعات این است که علاوه بر کشف و خنثی سازی روشهای شناخته شده حملات، با رعایت استاندارد های امنیت اطلاعات و روشهای هوشمندانه و علمی امنیت شبکه بتوان سد مناسبی حتی برای مقابله با روشهای نوین حمله نیز ایجاد نمود، به گونه ای که اطلاعات سازمان با پیاده سازی شیوه های استاندارد و علمی امنیت اطلاعات حتی در مقابل موارد ناشناخته یا پیش بینی نشده نیز در امان باشد.

3-7- 1- مدل امنیتی وایـا چیست؟
این مدل یک محصول کاملاً منطقی (Logical) از شرکت فنی و مهندسی ایمن افزار وایـا است و سعی دارد مسیر روشنی از امنیت اطلاعات را برای سازمان شما ترسیم کند. به عنوان مثال می توان به نقشه یک سازه و مهندس ناظر پروژه اشاره کرد. شرکت ایمن افزار وایـا بعنوان مشاور (مهندس ناظر) در پروژه امن سازی شبکه، طی سفارشی سازی مدل برای سازمان شما ابتدا نقشه ای مطلوب از آنچه می خواهید را ترسیم می کند و سپس گام به گام تا نهایی شدن پروژه و دسترسی به هدف مطلوب شما را همراهی می کند.
اما چرا مدل امنیتی وایـا؟!
استاندارد ISO27001 یا ISMS یکی از شیوه های خوب برای ایمن کردن اطلاعات می باشد. اما از آنجا که از سال 1384 در گیر پروژه های ایمن سازی بوده ایم همواره مسائلی تقریباً پیچیده در مسیر پروژه ISMSمشاهده شده است و این در حالی است که با وجود سالها تلاش توسط ارگانها و سازمانهای متعدد برای دریافت گواهینامه، تنها تعداد معدودی موفق به دریافت آن شده اند.
از مسائلی که در مسیر ISMS در ایران با آن مواجه می شویم می توان به موارد زیر اشاره نمود:
· طولانی بودن پروژه حداقل 2 سال و توجه این موضوع که تخصیص بودجه سازمانها بصورت سالیانه است
· جابجایی مدیران و اختلاف سلیقه در اهداف سازمان
· نیاز به همکاری موازی بین مدیر سازمان و مدیران حراست، انفورماتیک و پشتیبانی
· عدم همراهی پرسنل سازمان در پیاده سازی گامهای ایمن سازی
· و …
مساله بسیار جالبی که از سوی برخی از متفکرین مطرح شده است نیز قابل تامل است، آن چیزی نیست جز نگرانی از به نظم کشیدن اطلاعات طبق شیوه ای که بیگانگان و شاید دشمنان طراح آن هستند. عاقلانه است که نگران پیروی از اینگونه خط مشی ها باشیم.
از سویی دیگر ISO27033 نیز استانداردی است کامل ،که تنها به مبحث امنیت شبکه می پردازد. در این استاندارد نیز مشکلات فوق وجود دارد ولی از آنجا که گستردگی پروژه به بخش IT محدود می شود احتمال موفقیت بیشتر است. ولی همانطور که آگاهید سازمان فناوری اطلاعات به پیروی ارگانهای دولتی از راه حل های بومی و استانداردهای مصوب اشاره دارد ، بنابراین ISO27033 نیز برای ما ایرانیان کاربرد لازم را نخواهد داشت و نگرانی فوق همچنان پا برجاست.
با توجه به نکات مذکور و از آنجا که پروژه هایی که صرفاً به امنیت شبکه متمرکز شده اند در اغلب موارد موفق بوده و به اتمام رسیده اند، گروه تحقیق و توسعه شرکت ایمن افزار وایـا مشغول تولید مدلی جامع شد تا هم به کلیه نکات مورد توجه ISO27033 بپردازد و هم کاملاً با شرایط بومی سازگار باشد. با تولید این مدل توانستیم طرحی جامع و دانش محور ارائه دهیم که مبتنی بر خرید سخت افزارها و نرم افزار های گران نباشد و بتوان آنرا بصورت گام به گام پیاده سازی نمود.
ویژگی های منحصر به فرد طرح حاضر:
· ساده و ارزان – در بسیاری از موارد تاکید مدل مبنی بر تنظیم درست یا اصطلاحاً Hardening سیستم هاست. از سویی دیگر این مدل بر استفاده بهینه از تجهیزات موجود بصورت ایمن تاکید دارد و برای هر مساله، 3 راه حل شامل
Open Source، Software Base و Enterprise ارائه می دهد. لذا می توان آنرا به سادگی و ارزانی دست یافتنی نمود. همچنین برآورد ما این است که با صرف 20% از هزینه لازم برای پیاده سازی استاندارد های بین المللی می توان مدل امنیتی وایــا را در سازمان پیاده سازی کرد و امنیت شبکه را تا 90% افزایش داد.
· مدلی همه جانبه و ساخت یافته – این مدل در شبکه های خانگی یا Small Office تا شبکه های Enterprise و Corporate قابل پیاده سازی است
· ماژولار – شما می توانید باتوجه به منابع زمانی و مالی پروژه امن سازی، اهداف را اولویت بندی کرده و گام به گام به اجرای آن بپردازید.
· عدم وابستگی به سایر بخش ها – اغلب استاندارد ها دارای تقدم و تاخر هایی هستند که کوتاهی در انجام یکی از موارد کل پروژه را ساکن می کند در مدل امنیتی وایـا می توان هر بخش را بدون نیاز به پیاده سازی بخش های قبلی مد نظر قرار داد و پروژه را در فاز مطلوب پیش برد.
· دانش محور – عدم نیاز به تهیه تجهیزات و اقدامات رویایی برای تامین امنیت کافی. اولین و موثر ترین گام در امن سازی سازمان شما آموزش در نظر گرفته شده است. ما به این اعتقاد رسیده ایم که امنیت کافی تنها در سایه آموزش و عمل به آموخته ها و آن هم در کلیه سطوح سازمان امکان پذیر خواهد شد.

3-7-2- نگرش ایمن افزار وایــا به امنیت در طرح حاضر
ایمن افزار وایــا بر این اعتقاد است که با علم کافی به قابلیت زیرساختهای موجود هر سازمان و بدون نیاز به صرف هزینه های گزاف جهت خرید تجهیزات و اقداماتی رویایی نیز می توان امنیت فضای مجازی سازمان را فراهم نمود. بر این اساس مهمترین خصوصیت این طرح دانش محور بودن آن است. در این مدل کارشناسان گروه امنیتی وایــا پس از اجرای پروژه های ایمن سازی و بهینه سازی متعدد و با تحقیقی گسترده در زمینه استاندارد های امنیت اطلاعات تلاش نموده اند تا مدلی کامل، همه جانبه و ساخت یافته برای امنیت اطلاعات دیجیتالی سازمانها ارائه نمایند. سعی بر این بود که علاوه بر جامعیت و رعایت گامهای استاندارد، استقلال کافی نیز در هر بخش لحاظ شود.
همچنین با توجه به تجربیات متعدد، بیم دلسردی دست اندرکاران و عدم هماهنگی در پروژه هایی از این طیف، نگرانی های زیادی را برای مدیران سیستم ایجاد می کند لذا وایـا با رویکردی ساده اما موثر، تلاش نموده است تا مدلی همه جانبه و کامل را طراحی نماید که علاوه بر تکامل و بسط پذیری، از قوائد شیء گرایی – سیستم های ماژولار- نیز پیروی نماید و در این مدل علاوه بر جامعیت در امکان اجرا و پیاده سازی، قابلیت اجرا هر بخش بصورت کاملاً مستقل (عدم وابستگی هر بخش به سایر بخش ها) دیده شده و این قابلیت به منظور اجرای پروژه در قالب فاز هایی کاملاً مجزا فراهم شده است. با این رویکرد از آنجا که پروژه در فازهای مستقل عملی می شود، کلیه دست اندرکاران از رسیدن به اهداف تعیین شده انرژی تازه ای برای ادامه پروژه و شروع فاز بعدی می گیرند و بر ناامیدی های مرسوم که در پروژه های طولانی به چشم می خورد مسلط می شوند.

Fortification and Optimization
تیم امنیتی شرکت ایمن افزار وایا بعد از تعیین گستره ی پروژه اقدام به بررسی یکایک دارایی های دیجیتالی و تجهیزات نرم افزاری و سخت افزاری می نماید و در مرحله بعد بهینه ترین راهکار بر اساس استاتدارد های امنیت اطلاعات ارائه و پیاده سازی می گردد.
یکی از عامل های بسیار ساده در نفوذ پذیر شدن یک سازمان، استفاده از تجهیزات سخت افزاری و نرم افزاری بدون توجه به رعایت اقدامات امنیتی در بدو راه اندازی است. همچنین گاهی سازمانها به دلیل عدم استفاده بهینه از تجهیزات تهیه شده هزینه های نا متعارفی را برای راه اندای یک خدمت متحمل می شوند.
در بسیاری از موارد مشاهده شده است که بدلیل وجود تراکم شدید کاری، پرسنل و کارشناسان انفورماتیک سازمان تنها به راه اندازی تجهیزات جهت برقراری سرویس ها بسنده می کنند. گاهی فشار و استرس ناشی از شرایط، فراموشی و گاهی موکول کردن آن به زمانهای بعدی باعث این مساله می شود. در هر صورت بهره گیری از تجهیزات نرم افزاری و سخت افزاری بدون توجه به استانداردهای کاربری و امنیتی آن، بهترین نوید برای هکر خواهد بود.
همچنین همواره خرید تجهیزات جدید تنها راه حل موجود برای راه اندازی یک ارتباط یا سرویس نیست و با اعمال تغییراتی استاندارد در تجهیزات نرم افزاری و سخت افزای نیز می توان به هدف مورد نظر نائل شد.
در این راهکار (بررسی و بهینه سازی زیر ساخت های موجود) تیم امنیتی شرکت ایمن افزار وایا بعد از تعیین گستره ی پروژه اقدام به بررسی یکایک دارایی های دیجیتالی و تجهیزات نرم افزاری و سخت افزاری می نماید و در مرحله بعد بهینه ترین راهکار بر اساس استاندارد های امنیت اطلاعات ارائه و پیاده سازی می گردد. بعد از اتمام پروژه کارفرما مطمئن خواهد شد که کلیه تجهیزات نرم افزاری و سخت افزاری بر اساس استاندارد های امنیتی در حال سرویس دهی می باشند.

3-7- 3- خدمات وایــا
آزمون نفوذپذیری و بهینه سازی شبکه
Penetration Testing and Network Optimization
با برگزاری آزمون نفوذ پذیری شما از نقاط ضعف و آسیب پذیر شبکه، ارتباطات، اطلاعات دیجیتالی و سیستم داده های مجموعه خود آگاه می شوید. این اطلاعات بصورت مستند و در قالب متد های آزمون نفوذپذیری ارائه می گردد.
در گام دوم راه حل های مستحکم سازی و بهینه سازی مطالعه و توسط کارشناسان وایا برای سازمان طراحی می شوند.
گام سوم به بررسی راه حل ها، هزینه های هریک و سیاست های مدیریتی مجموعه اختصاص می یابد و در نهایت اقدام به تصمیم گیری برای پیاده سازی راه حل می شود.
در گام چهارم هریک از راه حل های مصوب اجراء و وضعیت سرویس دهی و عملکرد آنها کنترل می شوند.
در گام پنجم یا مرحله نهایی، کلیه راهکارهای امنیتی اجرا شده با رویکرد تشخیص نفوذ مجدداً مورد بررسی امنیتی قرار می گیرند و مستندات پروژه ارائه می گردد.

بهینه سازی و ایمن سازی شبکه
Optimizing and Securing Network
هدف در این سرویس بهینه سازی و امن سازی سیستم با توجه به دارایی های موجود است. بنابراین تلاش می شود تا با تغییر و طراحی مجدد سیستم های نرم افزاری و سخت افزاری موجود و با اعمال شیوه های مستحکم سازی، از خرید تجهیزات پیچیده و پرهزینه پرهیز شود و تمرکز پروژه صرفاً بر روی صحت رفتار ایمن هر یک از مولفه های سیستم اطلاعاتی باشد.
در این سرویس با بررسی دقیق وضعیت موجود، راه حل های ممکن برای افزایش امنیت و بهره وری شبکه و فضای تبادل اطلاعات ارائه می گردد. کارفرما در اثنای مشاوره کارشناسان امنیتی وایا با بررسی راه حل ها و هزینه پیاده سازی آنها و مطابق با سیاست های مدیریتی مجموعه شیوه امن سازی مطلوب را بر می گزیند.در نهایت هریک از راه حل های مصوب اجراء و وضعیت سرویس دهی و عملکرد آنها کنترل می شوند.

عقد قرارداد های مشاوره
نقش مشاور در سازمان، به عنوان متخصص و خبره ای بی طرف است که با دارا بودن آگاهی و تجربه کافی، در کنار مدیریت یا مدیران فناوری به طراحی، نظارت و انتخاب راهکارها و سیستم ها می پردازد و نقشی در مناقصات، استعلام ها و اجرای مستقیم پروژه ها نخواهد داشت. در این قراداد، متخصصین شبکه و امنیت اطلاعات بعنوان مشاور سازمان به انجام خدمات مرتبط می پردازند.متخصص معرفی شده به کارفرما در طول مدت قرارداد مشخص و ثابت بوده و برای شرایط خاص و موارد پیش بینی نشده فرد جایگزینی در بدو قرارداد تعیین می گردد.
بدیهی است باتوجه به گستردگی مجموعه و تراکم کاری آن، شرایط حضور مشاور در سازمان قابل برنامه ریزی می باشد.

نظارت بر عملکرد سیستم های ذخیره سازی و پشتیبان گیری
پیاده سازی این سرویس کمک شایانی است تا از صحت بکاپ ها و روند پشتیبان گیری اطمینان 100% حاصل شود.
80% از بکاپ ها گرفته شده صحت کافی را در مواجه با شرایط بحران ندارند. پروژه هایی که توسط کارشناسان مدیریت بحران وایا طراحی و پیاده سازی شده باشند در طی دوران قرارداد یا اعتبار لایسنس های پشتیبانی تحت پوشش این خدمت می باشند. اما در صورت تمایل برای اجرای مانور ها بحران و بازیابی سیستم ها یا چنانچه خود مشتریان اقدام به طراحی و پیاده سازی سیستم های پشتیبان گیری و ذخیره سازی اطلاعات نموده باشند، پیاده سازی این سرویس کمک شایانی است تا از صحت بکاپ ها و روند پشتیبان گیری اطمینان 100% حاصل شود.

جمع بندی
استانداردهای BS7799 و ISO 27001
BS 7799 و ISO 27001 جدیدترین استانداردهای بین المللی برای استقرار و بهبود سیستم مدیریت امنیت اطلاعات در شرکتها و سازمانهای مرتبط با فناوری اطلاعات و تجارت الکترونیک به شمار می آیند. برای مقابله با خطراتی که در سیستمهای اطلاعاتی این سازمانها نهفته می باشند، وجود یک سیستم مدیریت امنیت اطلاعات (ISMS) جهت اطمینان از مدیریت موثر این خطرات بسیار حیاتی است.
نام استاندارد
سال انتشار
هدف
شرح
27000

اساس و پایه استانداردهای دیگر
به عنوان یک فرهنگ لغت محسوب می شود.
27001
2005
امنیت اطلاعات را با استفاده از مدیریت صریح فراهم می سازد.
معمولا با استانداردهای دیگر از جمله 27002 به صورت ترکیبی به کار گرفته می شود.
27002
2007
فراهم کردن توصیه های عملی برای مدیریت امنیت اطلاعات
معمولا در کنار استاندارد 27001 به کار گرفته می شود و شامل 12 بخش اصلی است.
27003
2010
فراهم کردن راهنما و کمک به پیاده سازی مدیریت امنیت اطلاعات
شامل 9 بخش اصلی برای دستیابی به هدف مربوطه است.
27004
2009
اندازه گیری ،گزارش و بهبود سیستماتیک سیستم مدیریت امنیت اطلاعات
چگونگی ارزیابی کارایی سیستم مدیریت امنیت اطلاعات را بیان می کند و شامل 6 بخش اصلی است.
27005
2008
فراهم کردن خط مشی برای مدیریت ریسک امنیت اطلاعات
از مفاهیم عمومی استاندارد 27001 استفاده می کند و روش تحلیل ریسک خاصی را معرفی نمی کند بلکه فرایند های سیستماتیک را مشخص می کند.
15408
بعد از 1994
ارایه چارچوبی جهت تشخیص، پیاده سازی و ارزیابی سیستم به روشی استاندارد
شامل 5 مرحله اصلی برای ارزیابی امنیت می باشد.

لزوم رعایت استاندارد های مدیریت امنیت اطلاعات در کشور :
اصولا استاندارد های امنیت شبکه در کشور رعایت نمی شود و با وجود اجباری شدن بحث رعایت استاندارد های مدیریت امنیت اطلاعات (ISMS) از سوی ریاست جمهوری، اما هنوز این موضوع در بسیاری از سازمان ها اجرایی نشده است. شهروز اسماعیل پور کارشناس امنیت شبکه در گفت وگو با خبرنگار فن آوری اطلاعات خبرگزاری دانشجویان ایران (ایسنا)، با بیان این مطلب، توجه به فرهنگ سازی در رابطه با موضوع امنیت شبکه را مهم دانست و اظهار کرد: متاسفانه هنوز آن طور که باید و شاید نیاز به رعایت استاندارد مدیریت امنیت اطلاعات و سرمایه گذاری و توجه بیش از پیش به موضوع امنیت شبکه احساس نشده و دررابطه با استاندارد ها و تکنیک هایی که باید رعایت شود، فرهنگ سازی مناسبی نشده است این استاندارد ها نشان می دهد که سازمان ها و مراکز مختلف به چه صورتی می توانند اطلاعاتی که دارند را به صورت امن نگهداری کنند. این کارشناس امنیت شبکه بحث دوم را عدم استفاده از کارشناسان مجرب این موضوع در بسیاری از سازمان ها دانست و ابراز کرد: بسیاری از سازمان ها هنوز در این زمینه با کمبود و یا نبود کارشناس مواجه هستند. همیشه زمانی که از امنیت شبکه صحبت می شود، توجه به کارشناسان و مباحث فنی مرتبط با آن جلب می شود و این درحالی است که کارمندان سازمان ها و شرکت ها بخش مهمی در این زمینه هستند و آگاهی و آموزش آن ها درباره با این موضوع بسیار مهم محسوب می شود. استاندارد ISMS یک استاندارد بین المللی است و سازمان ها باید شرایط کاری خود را با این ایزو مطابقت دهند و این درحالی است که هنوز در خیلی از سازمان ها این موضوع در حد حرف و شعار باقی مانده است.

نتیجه گیری

امروزه اینترنت و شبکه های رایانه ای موجود در سازمانها و شرکتها قابلیت جستجو و مبادله اطلاعات را به صورت بی سابقه امکان پذیر ساخته است. به وجود آمدن تجارت الکترونیک شرکتهایی را که حتی در گذشته تصور آن را هم نمی کردند قادر ساخته است که به عرضه خدمات و کالاهای خود در سطح جهانی بپردازند. درحالی که چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد کرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یک شرکت کوچک یا متوسط در مقایسه با یک شرکت بزرگ که سرمایه زیادی را درجهت امن کردن سیستم های رایانه ای خود به کار برده است ممکن است برای یک خرابکار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یک مدیر شما باید از چند وچون خطراتی که دسترسی به اینترنت و شبکه رایانه ای شما را تهدید می کند اطلاع داشته باشید. شما نیازمند این هستید که زمانی را به مقوله امنیت اختصاص دهید زیرا ایجاد یک سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت کافی توسط مدیریت وکارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امکان می دهد تا از منافع بسیاری که اینترنت و شبکه های رایانه ای برای تجارت شما ایجاد می کند بهره مند گردید. آگاهی کامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور کمتر خواهدکرد. درک مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یک برنامه امنیت اطلاعات کارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.

امروزه به طور گسترده ای خط مشی های مدیریت امنیت اطلاعات مورد استفاده قرار می گیرند و مورد قبول اکثر سازمان ها و موسسات می باشد. سازمان های مختلف نیازمندی های امنیتی مختلفی دارند این در حالی است که اکثر خط مشی ها در حالت کلی به بحث در مورد مدیریت امنیت اطلاعات پرداخته اند. بنابراین داشتن استانداردهایی که همه جوانب را به صورت مناسب درنظر بگیرند امری ضروری است. در این مقاله سری استاندارد خانواده ISOIEC 27000 مورد بررسی و مقایسه قرار گرفت و اهداف، محدوده و عملکرد هر یک مشخص شد. داشتن دید جامع به مدیریت امنیت اطلاعات و تصمیم گیری درست در مورد آن کمک بسزایی خواهد کرد.
هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO17799 به تنهایی نشان دهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است:
* در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و کارکنان سازمان در این زمینه است .
* در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت می کند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت می کند .
* در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها می شود . علاوه بر این چنین نظامی استفاده مطمئن تر از سخت افزار و نرم افزار را تضمین می کند .
* در سطح تجاری تلاشهای موثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم می آورد.
* در سطح مالی این اقدام باعث کاهش هزینه های مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمه های مرتبط می شود .
* در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است.

منابع:
1. سند راهبرد امنیت فضای تبادل اطلاعات کشور "پیش نویس" ، دبیر خانه شورای امنیت فضای تبادل اطلاعات
2. پروژه استاندارد سازی حفاظت اطلاعات "گزارش بررسی و شناخت"، پروژه شماره ???? شورای پژوهشهای علمی کشور
3. Jan Eloff, Mariki Eloff, "Information security Management – A new Paradigm , proceedings of SAICSIT ۲۰۰۳ , pages ۱۳۰ – ۱۳۶

4. Tom Carlson, "Information security management : Understanding ISO۱۷۷۹۹" , Lucent Technologies World Wide Services , September ۲۰۰۱

5. Angelika Plate, " Revision of ISO/IEC۱۷۷۹۹" , ISMS Journal , IUG , Issue ۳ , April ۲۰۰۴

6. Jacquelin Bisson, Cissp, Rene Saint-Germain, "The BS۷۷۹۹/ISO۱۷۷۹۹ standard for a better approach to information security, Callio Technologies, Canada, www.callio.com
_ علی پورمند: کارشناس ارشد مهندسی سیستم ها از دانشگاه امیر کبیر ، مدرس سازمان مدیریت صنعتی – واحد شمال
7. Mikko Siponen , Robert Willison, " Information security management standards: Problems and solutions", sciencedirect, 2009.
8. Debi Ashenden " Information Security management: A .human challenge?", sciencedirect,2008
9. http://www.ghasedak.com/new/index.php?option=com_ content&view=article&id=157&Itemid=329
10. http://www.itdevelopteam.com/information-technology/persian/article.48.109.1/isms/امضای-دیجتالی-زیربنای-امنیت-تبادلات-الکترونیکی/
11. http://www.itdevelopteam.com/information-technology/persian/article.43.109.1/isms/تفاوت-//:http-با-//:https-در-امنیت-اطلاعات/
12. http://amnazar.com/Conference/SecondConference/SecondConf/tabid/105/language/fa-IR/Default.aspx
13. http://isna.ir/ISNA/NewsView.aspx?ID=News-1791064&Lang=P
14. http://itmsecurity.blogfa.com/post-2069.aspx
15. http://network.blogfa.com/post-32.aspx
16. http://www.wikipedia.com
17. http://emodiran.com
18. http://www.karmania.ir
19. http://www.aftabir.com

abstract :

Today data is one of the most and valuable investment in organization in addition of building and hardware equipment and so play such an important role and part.Different organization have difference security requirement and according to this requirement , the difference security control must have been done.Many tries and efforts have done to keep data safe in terms of security and community.
In addition many informational management that are global and have not any difference in different organization occure and including an enormous range in organization.Information such another organization assets is so important and valuable , therefore it needs the important way to maintenance and protection of them.The imperative establishment of information management organization have been clarified the modernize technology in connection and information field.So have comprehensive and complete viewpoint of standardizes and also comparison them to each other have significant role in useful information security management .
In this Article you can acquaintance to some kinds of management regime and system as well as introducing the famous international standards and also the best and appropriate attitude to this case .

Key words: Information security, Information security management, Information security standards and Information management.

VII