پیاده سازی استاندارد های امنیت شبکه
استاندارد ISO/IEC 27001 – بخش دوم BS 7799:
این بخش از استاندارد مدیریت امنیت اطلاعات همان طور که در بالا اشاره شد با عنوان ” Information Security Management Systems – Specification with guidance for use” یا “ویژگی های سیستم مدیریت امنیت اطلاعات همراه با راهنمای استفاده” ارائه شد و تمرکز آن بر روی ایجاد سیستم های مدیریت امنیت اطلاعات و یا ISMS ها است. این استاندارد تحت نظر موسسه بین المللی استاندارد با عنوان ISO/IEC 27001 و در اکتبر سال 2005 منتشر شده است.
اصلی که در ورای ISMS وجود دارد، توانایی بخشیدن به یک سازمان برای طراحی، پیاده سازی، نگهداری و پشتیبانی یک مجموعه پیوسته از فرآیندها و سیستم ها جهت مدیریت مخاطرات دارایی های اطلاعاتی است. فرآیندها و سیستم های مذکور باید به گونه ای باشند که سطح قابل قبولی از امنیت اطلاعات شامل محرمانگی، تمامیت و در دسترس بودن را فراهم کنند.
یک ISMS همزمان با همه فرآیندهای مدیریتی، لازم است اثرگذاری و کارایی خود را در طول زمان حفظ کرده و توانایی هماهنگی با تغییرات داخل سازمان و تغییرات محیطی را داشته باشد. به همین منظور ISO/IEC 27001 چرخه مدیریتی PDCA یا Plan-Do-Check-Act را معرفی کرده است:
Plan یا طراحی. این مرحله در مورد طراحی ISMS، ارزیابی مخاطرات و انتخاب روش های کنترلی مناسب است.
Do یا اجرا. این مرحله در مورد پیاده سازی و اجرای کنترل ها است.
Check یا مرور. هدف از این مرحله بازنگری و ارزیابی بهره وری (کارایی، اثرگذاری) یک ISMS است.
Act یا اقدام. در این مرحله تغییرات مورد نیاز اعمال شده و سعی می شود ISMS به بالاترین حد کارایی برسد.
شکل دیگری از استاندارد ISMS نیز با عنوان مدل به کمال رسیده مدیریت امنیت اطلاعات (Information Security Management Maturity Model ) یا ISMS3 ارائه شده است. سیستم مدیریت امنیت اطلاعات ISMS3 بر اساس استانداردهای ISO 20000، ISO 9001، CMM، ISO/IEC 27001 و مفاهیم عمومی کنترل و امنیت اطلاعات تهیه شده است. در واقع ISMS3 می تواند به عنوان قالبی برای ISO 9001 منطبق با ISMS در نظر گرفته شود. استاندارد ISO/IEC 27001 مبتنی بر کنترل است در حالی که ISMS3 مبتنی بر پروسه است. مدل ISMS3 در استاندارد ISO/IEC 21827 توضیح داده شده است.
استاندارد ISO/IEC 27006
این استاندارد در سال 2007 و برای سازمان های ارائه دهنده گواهینامه های امنیتی (ممیزان امنیت اطلاعات) مبتنی بر ISO/IEC 27001 منتشر شده است. در این استاندارد طرح نیازمندی های سازمان های مذکور ترسیم شده و به نوعی معنادار و قابل اطمینان بودن گواهینامه های ISO/IEC 27001 را تضمین می کند.
استاندارد ISO/IEC 27005
این استاندارد راهنمایی را برای مدیریت مخاطرات امنیت اطلاعات فراهم می آورد و در ژوئن 2008 منتشر شده است. این استاندارد مفاهیمی را که در استاندارد ISO/IEC 27001 معرفی شده اند، پشتیبانی می کند و برای کمک به پیاده سازی مؤثر امنیت اطلاعات مبتنی بر روش مدیریت مخاطرات طراحی شده است. در این استاندارد از هیچ روش خاصی برای تحلیل مخاطرات اسم برده نشده و همچنین هیچ روشی نیز پیشنهاد نشده است ولی یک پروسه ساخت یافته، سیستماتیک و صریح از تحلیل مخاطرات گرفته تا ایجاد برنامه رفع مخاطرات مشخص شده است.
استاندارد ISO/IEC 27011
استاندارد ISO/IEC 27011 در دسامبر سال 2008 بر پایه ISO/IEC 27002 منتشر گشته است. این استاندارد راهنمایی را برای پیاده سازی مدیریت امنیت اطلاعات در سازمانهای مخابراتی فراهم می آورد. در واقع استاندارد مذکور ویژگی های مخصوص به این بخش صنعت را در نظر گرفته و تغییرات لازم را در نیازمندی های ISO/IEC 27001 و همچنین ISO/IEC 27002 متناسب با نیازمندی های شرکت ها و سازمان های مخابراتی به وجود آورده است.
استاندارد ISO/IEC 27004
هدف از این استاندارد که در دسامبر سال 2009 منتشر شده است کمک به سازمان ها برای اندازه گیری، گزارش و بهبود سیستماتیک اثرگذاری سیستم مدیریت امنیت اطلاعات ( ISMS) است. این استاندارد دارای بخش های اصلی زیر است:
بررسی کلی سنجش یا اندازه گیری امنیت اطلاعات
مسئولیت های مدیریت
توسعه سنجش و معیارهای آن
عملیات سنجش
گزارش گیری از نتایج سنجش و تحلیل داده ها
توسعه و ارزیابی برنامه سنجش امنیت اطلاعات
استاندارد ISO/IEC 27003
هدف از این استاندارد کمک و راهنمایی برای پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS) است و در سوم فوریه 2010 منتشر شده است.موضوعات مطرح شده در استاندارد مذکور عبارتند از:
به دست آوردن تصویب مدیریت برای شروع پیاده سازی پروژه ISMS
تعریف حوزه ISMS و سیاست ISMS
هدایت تحلیل سازمان
هدایت ارزیابی مخاطرات و رفع مخاطرات
طراحی ISMS
استاندارد ISO/IEC 27007
این استاندارد راهنمایی را برای ممیزی ISMS جهت ارائه گواهینامه های امنیتی به جز ISO/IEC 27001 فراهم می کند. استاندارد مربوط به ممیزی ISO/IEC 27001 همان طور که گفته شد در ISO/IEC 27006 پوشش داده شده است. حوزه های مربوط به این استاندارد عبارتند از:
ممیزی داخلی، برای مثال به ممیزان فناوری اطلاعات کمک می کند تا از کاهش مکفی مخاطرات امنیتی توسط کنترل های امنیت اطلاعات سازمان، اطمینان حاصل کنند.
ممیزی خارجی که شامل ممیزی فناوری اطلاعات نیز می شود، به عنوان بخشی از ممیزی مالی انجام می شود. برای مثال ممیزان باید از داده ها و اطلاعات موجود در قسمت های مختلف مثلاً سیستم های تدارکات اطمینان حاصل کنند . همچنین برای ممیزی شرکت های پیمانکار ISMS به کار می رود (برای مثال شرایط قرارداد متصدیان سرویس های فناوری اطلاعات در قسمت هایی که مربوط به امنیت اطلاعات می شود (
بازنگری مدیریتی. از طرفی شامل فعالیت های روتین به عنوان بخشی از عملیات ISMS می شود تا صحت همه چیز را بررسی کند و از طرف دیگر با بررسی موردی رخدادهای امنیتی به دنبال علت ریشه ای مخاطرات گشته و سعی در ایجاد واکنش های اصلاح کننده دارد.
این استاندارد در دست بررسی است و احتمالاً در سال 2010 منتشر خواهد شد.
در زیر نموداری که ارتباط استانداردهای مذکور به یکدیگر را نشان می دهد مشاهده می کنید.