مشاهده نسخه کامل
: AK1
29-12-2006, 12:03
امروزه ارزیابی امنیتی سیستم های اطلاعاتی بر طبق نیازهای تجاری از جمله اجرای جدا ناپذیر استراتژی های كاری یك سازمان می باشد. در حالی كه تعداد معدود و محدودی استاندارد اسلوب و چهارچوب برای رسیدگی به امنیت اطلاعات و فیلد هایی كه می بایست مورد بررسی قرار گیرند در دسترس می باشد هیچ یك از آنها چگونگی و دلیل انجام این رسیدگی و حتی روش های امن سازی پارامترهای مورد بحث را تحت پوشش قرار نمی دهند.
(INformation SYStem Security Assessment Framework FIssa) یك چهارچوب ساخت یافته برای بررسی امنیت اطلاعات می باشد كه امر بررسی امنیتی را تحت بخش های متنوع و مختلف ارائه داده و به ذكر جزییات در مورد هریك از بخش های عنوان شده می پردازد. این توضیحات شامل مواردی است كه می بایست مورد ارزیابی قرار گیرند و همچنین روش و محدوده بررسی. در ISSAF سعی بر آن شده تا فیلد های مطرح شده برای بررسی انعكاسی از موارد واقعی و كاملً كاربردی باشد.
ISSAFمی بایست بعنوان یك مرجع و راهنمای اولیه برای رفع نیاز بررسی امنیتی سازمان ها و همچنین بعنوان مرجعی برای سایر موارد امنیتی مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش های كوچك و مفیدی را برای پیشبرد پروسه های امنیتی بررسی و محكم سازی و ترسیم تصویر كاملی از ضعف های امنیتی موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده های بررسی مختلفی تقسیم بندی شده كه هر بخش توسط یك متخصص در آن زمینه خاص تهیه و مورد بازبینی قرار گرفته است.
▪ توضیحی در مورد معیارهای رسیدگی
▪ اهداف و ایده آل ها
▪ شرایط لازم برای انجام بررسی
▪ مراحل و پروسه بررسی
▪ عنوان نتایجی كه انتظار می رود
▪ پیشنهاد روش ها و اقدامات مقابله و متقابل
▪ ارجاع به مطالب و منابع خارجی
مطالب ارائه شده در این چهارچوب گسترده می باشند. ما تصمیم به ارائه هرچه بیشتر اطلاعات كردیم با این قصد كه استفاده كننده از این چهارچوب بجای نیاز به گسترش و بسط دادن مطالب لازم و عنوان شده از آنها صرف نظر و چشم پوشی كند. ISSAF یك سند باز می باشد كه بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و به روز رسانی خواهد شد.
● اهداف ISSAF
▪ عمل كردن بعنوان یك مرجع پیوسته برای بررسی امنیتی (SECUrity ASSeSSment) .
▪ استاندارد سازی پروسه بررسی امنیتی سیستم های اطلاعاتی
▪ به كارگیری حداقل و كوتاه ترین پروسه قابل قبول وممكن
▪ فراهم كردن یك روال استاندارد كه بررسی می تواند ( باید ) بر اساس آن انجام شود
▪ بررسی و بازبینی اقدامات پیاده سازی شده برای مقابله با دسترسی غیرمجاز
▪ عمل كردن بعنوان یك مرجع اجرا سازی امنیت اطلاعات
▪ تقویت پروسه های امنیتی و تكنولوژی های موجود
هدف اصلیISSAF فراهم آوردن یك نقطه رجوع واحد برای بررسی امنیتی می باشد. و در تهیه آن سعی بر آن شده تا مواردی كه عنوان می گردد نزدیكی هرچه بیشتری به پیامد ها و مسایل بررسی های امنیتی واقعی داشته باشد كه این موضوع از لحاظ كاری موقعیتی ارزشمند را فراهم می كند.
برای دسترسی به این هدف ISSAF از این دستوركار استفاده می كند:
▪ ارزیابی رویه های امنیت اطلاعات سازمان ها برای اطمینان از اینكه با معیارها و نیازهای صنعتی مطابقت داشته و آئین نامه ها و قوانین تعریف شده را مختل نمی كنند.
▪ تشخیص نیازهای حیاتی زیربنای سیستم های اطلاعاتی مورد نیاز سازمان ها برای انجام پروسه های كاری و ارزیابی امنیت آنها
▪ هدایت پروسه های تشخیص نقاط آسیب پذیر و تست نفوذ برای نمایان كردن نقاط ضعف سیستم ها و در نتیجه تشخیص نقاط ضعف مربوط به شبكه سیستم ها و برنامه ها *ارزیابی كنترل های اعمال شده بر حوزه های مختلف امنیت با:
▪ پیدا كردن تنظیمات غلط اعمال شده و تصحیح آنها
▪ تشخیص ریسك های شناخته شده و ناشناخته مربوط به فناوری و اداره كردن آنها
▪ تشخیص ریسك های شناخته شده و ناشناخته مربوط به كاركنان و پروسه های كاری و اداره كردن آنها
▪ تحكیم و تقویت پروسه ها و فناوری های موجود
▪ اولویت بندی انجام بررسی ها بر اساس میزان اهمیت سیستم هزینه بررسی و منافع مورد توقع
▪ تربیت كردن افراد برای انجام بررسی های امنیتی
▪ تربیت كردن افراد در زمینه سیستم های امنیتی شبكه ها و برنامه ها
▪ ارائه اطلاعات در زمینه
▪ بازبینی گزارش ها مانیتورینگ و پروسه های ممیزی و بررسی
▪ تهیه و بازبینی روال های بازیابی از حوادث
▪ بازبینی مسایل مربوط به outsource كردن امنیت
▪ مطابقت دادن با استاندارد های قانونی و قواعد
▪ ایجاد آگاهی امنیتی
▪ مدیریت موثر پروژه های بررسی امنیتی
▪ محافظت در برابر حملات مهندسی اجتماعی
▪ بازبینی امنیت فیزیكی
این خط مشی بر اساس استفاده از كوتاه ترین راه برای رسیدن به هدف شخص بر اساس یافتن نقاط ضعفی كه بطور موثر و با كمترین تلاش قابل بهره برداری هستند می باشد. هدف این چهارچوب دادن تمامیت ودقت و كارایی به امر بررسی امنیتی می باشد.
● چرا ما به فكر ISSAF افتادیم؟
پس از كار بر روی پروژه های بسیار در زمینه بیمه و امنیت اطلاعات، عدم وجود یك منبع وچهارچوب جامع كه امنیت اطلاعات در قالب تشخیص نقاط ضعف تست نفوذپذیری و بررسی امنیتی را بصورت استاندارد شده فراهم آورد احساس شد.
ISSAF یك چهارچوب جامع و ژرف می باشد كه به پرهیز از عواقب استفاده از روش های بررسی امنیتی ناقص و غیر استاندارد كمك می كند.
در ISSAFسعی ما بر آن بوده تا چهارچوب بررسی امنیتی سیستم های اطلاعاتی كامل تری نسبت به انواع موجود و مشابه تهیه گردد و هدف سبك سازی ریسك های آمیخته با خود پروسه بررسی امنیتی می باشد. این به ما كمك می كند تا خطراتی را كه ما را در حین انجام اموركاری روزانه تهدید می كند بهتر بشناسیم. تهدیدات افشا سازی اطلاعات وآسیب پذیری هایی كه سازمان ما را تهدید میكنند بسیار بزرگتر از آن هستند كه از بتوان از آنها صرف نظر كرد.در حال حاضر ISSAF پاسخگوی تمامی نیازها و موقعیت ها نمی باشد اما ما با بهبود مطالب عنوان شده كنونی و اضافه كردن حوزه های جدید متعهد به بهبود پیوسته این چهارچوب شده ایم.
● استفاده كنندگان این چهارچوب
این چهارچوب طیف وسیعی از كاربران را پوشش می دهد كه شامل موارد ذیل می باشند:
▪ ارزیاب های داخلی و خارجی امنیتی، بررسی كننده های نفوذ، ممیزی های امنیتی
▪ افراد حرفه ای كه پیرامون مسایل امنیت اطلاعات دارای مسوولیت می باشند
▪ مهندسین و مشاورین امنیتی
▪ مدیران پروژه های بررسی امنیت
▪ موارد مربوط به سیستم های اطلاعاتی با مسوولیت امنیت اطلاعات
▪ مدیران سیستم / شبكه / وب
▪ مدیران فنی
روزنامه جوان
(INformation SYStem Security Assessment Framework FIssa) یك چهارچوب ساخت یافته برای بررسی امنیت اطلاعات می باشد كه امر بررسی امنیتی را تحت بخش های متنوع و مختلف ارائه داده و به ذكر جزییات در مورد هریك از بخش های عنوان شده می پردازد. این توضیحات شامل مواردی است كه می بایست مورد ارزیابی قرار گیرند و همچنین روش و محدوده بررسی. در ISSAF سعی بر آن شده تا فیلد های مطرح شده برای بررسی انعكاسی از موارد واقعی و كاملً كاربردی باشد.
ISSAFمی بایست بعنوان یك مرجع و راهنمای اولیه برای رفع نیاز بررسی امنیتی سازمان ها و همچنین بعنوان مرجعی برای سایر موارد امنیتی مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش های كوچك و مفیدی را برای پیشبرد پروسه های امنیتی بررسی و محكم سازی و ترسیم تصویر كاملی از ضعف های امنیتی موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده های بررسی مختلفی تقسیم بندی شده كه هر بخش توسط یك متخصص در آن زمینه خاص تهیه و مورد بازبینی قرار گرفته است.
▪ توضیحی در مورد معیارهای رسیدگی
▪ اهداف و ایده آل ها
▪ شرایط لازم برای انجام بررسی
▪ مراحل و پروسه بررسی
▪ عنوان نتایجی كه انتظار می رود
▪ پیشنهاد روش ها و اقدامات مقابله و متقابل
▪ ارجاع به مطالب و منابع خارجی
مطالب ارائه شده در این چهارچوب گسترده می باشند. ما تصمیم به ارائه هرچه بیشتر اطلاعات كردیم با این قصد كه استفاده كننده از این چهارچوب بجای نیاز به گسترش و بسط دادن مطالب لازم و عنوان شده از آنها صرف نظر و چشم پوشی كند. ISSAF یك سند باز می باشد كه بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و به روز رسانی خواهد شد.
● اهداف ISSAF
▪ عمل كردن بعنوان یك مرجع پیوسته برای بررسی امنیتی (SECUrity ASSeSSment) .
▪ استاندارد سازی پروسه بررسی امنیتی سیستم های اطلاعاتی
▪ به كارگیری حداقل و كوتاه ترین پروسه قابل قبول وممكن
▪ فراهم كردن یك روال استاندارد كه بررسی می تواند ( باید ) بر اساس آن انجام شود
▪ بررسی و بازبینی اقدامات پیاده سازی شده برای مقابله با دسترسی غیرمجاز
▪ عمل كردن بعنوان یك مرجع اجرا سازی امنیت اطلاعات
▪ تقویت پروسه های امنیتی و تكنولوژی های موجود
هدف اصلیISSAF فراهم آوردن یك نقطه رجوع واحد برای بررسی امنیتی می باشد. و در تهیه آن سعی بر آن شده تا مواردی كه عنوان می گردد نزدیكی هرچه بیشتری به پیامد ها و مسایل بررسی های امنیتی واقعی داشته باشد كه این موضوع از لحاظ كاری موقعیتی ارزشمند را فراهم می كند.
برای دسترسی به این هدف ISSAF از این دستوركار استفاده می كند:
▪ ارزیابی رویه های امنیت اطلاعات سازمان ها برای اطمینان از اینكه با معیارها و نیازهای صنعتی مطابقت داشته و آئین نامه ها و قوانین تعریف شده را مختل نمی كنند.
▪ تشخیص نیازهای حیاتی زیربنای سیستم های اطلاعاتی مورد نیاز سازمان ها برای انجام پروسه های كاری و ارزیابی امنیت آنها
▪ هدایت پروسه های تشخیص نقاط آسیب پذیر و تست نفوذ برای نمایان كردن نقاط ضعف سیستم ها و در نتیجه تشخیص نقاط ضعف مربوط به شبكه سیستم ها و برنامه ها *ارزیابی كنترل های اعمال شده بر حوزه های مختلف امنیت با:
▪ پیدا كردن تنظیمات غلط اعمال شده و تصحیح آنها
▪ تشخیص ریسك های شناخته شده و ناشناخته مربوط به فناوری و اداره كردن آنها
▪ تشخیص ریسك های شناخته شده و ناشناخته مربوط به كاركنان و پروسه های كاری و اداره كردن آنها
▪ تحكیم و تقویت پروسه ها و فناوری های موجود
▪ اولویت بندی انجام بررسی ها بر اساس میزان اهمیت سیستم هزینه بررسی و منافع مورد توقع
▪ تربیت كردن افراد برای انجام بررسی های امنیتی
▪ تربیت كردن افراد در زمینه سیستم های امنیتی شبكه ها و برنامه ها
▪ ارائه اطلاعات در زمینه
▪ بازبینی گزارش ها مانیتورینگ و پروسه های ممیزی و بررسی
▪ تهیه و بازبینی روال های بازیابی از حوادث
▪ بازبینی مسایل مربوط به outsource كردن امنیت
▪ مطابقت دادن با استاندارد های قانونی و قواعد
▪ ایجاد آگاهی امنیتی
▪ مدیریت موثر پروژه های بررسی امنیتی
▪ محافظت در برابر حملات مهندسی اجتماعی
▪ بازبینی امنیت فیزیكی
این خط مشی بر اساس استفاده از كوتاه ترین راه برای رسیدن به هدف شخص بر اساس یافتن نقاط ضعفی كه بطور موثر و با كمترین تلاش قابل بهره برداری هستند می باشد. هدف این چهارچوب دادن تمامیت ودقت و كارایی به امر بررسی امنیتی می باشد.
● چرا ما به فكر ISSAF افتادیم؟
پس از كار بر روی پروژه های بسیار در زمینه بیمه و امنیت اطلاعات، عدم وجود یك منبع وچهارچوب جامع كه امنیت اطلاعات در قالب تشخیص نقاط ضعف تست نفوذپذیری و بررسی امنیتی را بصورت استاندارد شده فراهم آورد احساس شد.
ISSAF یك چهارچوب جامع و ژرف می باشد كه به پرهیز از عواقب استفاده از روش های بررسی امنیتی ناقص و غیر استاندارد كمك می كند.
در ISSAFسعی ما بر آن بوده تا چهارچوب بررسی امنیتی سیستم های اطلاعاتی كامل تری نسبت به انواع موجود و مشابه تهیه گردد و هدف سبك سازی ریسك های آمیخته با خود پروسه بررسی امنیتی می باشد. این به ما كمك می كند تا خطراتی را كه ما را در حین انجام اموركاری روزانه تهدید می كند بهتر بشناسیم. تهدیدات افشا سازی اطلاعات وآسیب پذیری هایی كه سازمان ما را تهدید میكنند بسیار بزرگتر از آن هستند كه از بتوان از آنها صرف نظر كرد.در حال حاضر ISSAF پاسخگوی تمامی نیازها و موقعیت ها نمی باشد اما ما با بهبود مطالب عنوان شده كنونی و اضافه كردن حوزه های جدید متعهد به بهبود پیوسته این چهارچوب شده ایم.
● استفاده كنندگان این چهارچوب
این چهارچوب طیف وسیعی از كاربران را پوشش می دهد كه شامل موارد ذیل می باشند:
▪ ارزیاب های داخلی و خارجی امنیتی، بررسی كننده های نفوذ، ممیزی های امنیتی
▪ افراد حرفه ای كه پیرامون مسایل امنیت اطلاعات دارای مسوولیت می باشند
▪ مهندسین و مشاورین امنیتی
▪ مدیران پروژه های بررسی امنیت
▪ موارد مربوط به سیستم های اطلاعاتی با مسوولیت امنیت اطلاعات
▪ مدیران سیستم / شبكه / وب
▪ مدیران فنی
روزنامه جوان