استانداردهای امنیت‌

1. استانداردهای امنیت‌ ارائه کننده:فاطمه واعظی 871113037

2. اهمیت امنیت اطلاعات اشاره:امنیت از دیرباز یكی از اجزای اصلی زیرساخت‌های فناوری اطلاعات به شمار می‌رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الكترونیكی نیستند، بلكه هر شبكه باید از نظر فیزیكی نیز ایمن گردد. خطرات الكترونیكی غالباً شامل تهدیدات هكرها و نفوذگران خارجی و داخلی در شبكه‌ها می باشند. در حالی كه امنیت فیزیكی شامل كنترل ورود و خروج پرسنل به سایت‌های شبكه و همچنین روال‌های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه‌های فوق، علاوه بر ایمن‌سازی سخت‌افزاری شبكه، نیاز به تدوین سیاست‌های امنیتی در حوزه فناوری اطلاعات در یك سازمان نیز می باشد. در این راستا لازم است از روال‌های استانداردی استفاده شود كه به واسطه آن‌ها بتوان ساختار یك سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS7799 كه در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یك سازمان می پردازد. .

3. آشنائي با مراحل طي شده در زمينه امنيت اطلاعات امنيت اطلاعات داراي مراحل مختلفي بوده که در بازه هاي زماني متفاوت اين مراحل با ديدگاههاي خاص خودشان طي گرديده است. اولين مرحله که تا اوايل دهه 80 ميلادي بطول انجاميد، امنيت را فقط با ديدگاه فني مشاهده مي نمود وبرقراري آن را منوط به امنيت کامپيوتر و دستگاههاي جانبي مي دانستند اما با گذشت زمان متوجه شدند که بيشتر تجاوزات امنيتي از طريق مسائلي همچون ضعف هاي مديريتي (از لحاظ امنيتي) و عوامل انساني (بدليل نديدن آموزش هاي امنيتي پرسنل سازمان مربوطه) مي باشد لذا از اواسط دهه 80 ميلادي که تا اواسط دهه 90 ميلادي هم بطول انجاميد، بحث مديريت امنيت اطلاعات مطرح شد که در آن امنيت اطلاعات را منوط به خطي مشي امنيت اطلاعات و ساختارهاي سازماني مي دانستند اما در اواسط دهه 90 ميلادي اين مرحله تکميل تر گرديد که آميزه اي از دو مرحله قبلي و پارامترهاي ديگري همچون تعريف استراتژيهاي امنيتي و خطي مشي هاي امنيتي بر اساس نيازهاي اصلي سازمان و مديريت آن مي باشد. اين مرحله شامل مولفه هائي نظير استانداردسازي امنيت اطلاعات، گواهينامه هاي بين المللي، فرهنگ سازي امنيت اطلاعات در سازمان و پياده سازي معيارهاي ارزيابي دائمي و پوياي امنيت اطلاعات مي باشد. لازم به ذکر مي باشد که اين مرحله هنوز ادامه دارد و در حال تکميل شدن مي‌باشد.

4. چگونگي روند رو به رشد استاندارد های امنیت • استانداردهاي امنيت قابل تقسيم به دو گروه اصلي مي باشند که گروه اول در رابطه با امنيت از لحاظ فني، و گروه دوم در رابطه باامنيت از لحظ مديريتياست. استانداردهاي امنيتي فني در زمينههائي نظير امضاء ديجيتال، رمزنگاري کليد عمومي، رمزنگاري متقارن، توابع درهم ساز، توابع رمزنگاري احراز اصالت پيام و غيره کاربرد دارند. گروه دوم که استانداردهاي امنيتي مديريتي مي باشند، قسمت هاي مختلف مديريت سازمان را در بر مي گيرند. در حال حاضر مجموعه اي ا استانداردهاي مديريتي و فني امنيت اطلاعات و ارتباطات، ارائه شدهاند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 (نسخه جديد آن ISO/IEC 27001 مي باشد) و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد، از برجسته ترين استانداردها و راهنماهاي فني محسوب مي گردند . در اين استانداردها، نکات زير مورد توجه قرار گرفته است: • تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيت • جزئيات مراحل ايمن سازي و تکنيکهاي فني مورد استفاده در هر مرحله • ليست و محتواي طرحها و برنامه هاي امنيت اطلاعات مورد نياز سازمان • ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت • کنترل هاي امنيتي موردنياز براي هر يک از سيستم هاي اطلاعاتي و ارتباطي

5. BS7799 استاندارد • استاندارد BS7799 اولين استاندارد مديريت امنيت است که توسط موسسه استاندارد انگليس ارائه شده است. نسخه اول اين استاندارد (BS7799-1) در سال 1995 و در يک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گرديد. و نسخه دوم آن (BS7799-2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گرديد. هدف از تدوين اين استاندارد ارائه پيشنهاداتي در زمينه مديريت امنيت اطلاعات براي کساني است که مسئول طراحي، پياده سازي يا پشتيباني مسائل امنيتي در يک سازمان مي باشند. اين استاندارد متشکل از 35 هدف امنيتي و 127 اقدام بازدارنده براي تامين اهداف تعيين شده مي‌باشد که جزئيات و چگونگي‌ها را مطرح نمي کند بلکه سرفصل‌ها و موضوعات کلي را بيان مي کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوين اين استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد ويا نياز به کنترلهاي بيشتري باشد که اين استاندارد، آنها را پوشش نداده است.

6. BS7799 استاندارد • در سال 2000 ميلادي بخش اول استاندارد BS7799-2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گرديد. وشامل سر فصل هاي ذيل است: • تدوين سياست امنيتي سازمان • تشکيلات امنيتي • طبقه بندي سرمايه ها و تعيين کنترلهاي لازم • امنيت پرسنلي • امنيت فيزيکي و پيراموني • مديريت ارتباطات و بهره برداري • کنترل دسترسي • توسعه و پشتيباني سيستم ها • مديريت تداوم فعاليت • سازگاري

7. استاندارد BS7799 • اين استاندارد مجددا در سال 2002 ميلادي بازنويسي و منتشر گرديد. در سال 2005 دوباره اين استاندارد بازنويسي و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در يک سند انتشاريافت. اين نسخه متشکل از 39 هدف امنيتي و 134 اقدام بازدارنده است. تغييراتي که اين استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از: • الف- افزايش يافتن يک فصل جديد و تغييير نمودن بعضي از فصول گذشته • ب- تغيير وحذف شدن بعضي از کنترلهاي قديمي و اضافه شدن 17 کنترل جديد • ج- افزايش تعداد کنترل‌ها به 134عدد

8. استاندارد BS7799 • نحوه عملكرد استاندارد BS 7799در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصل‌هایی برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده است كه عبارتند از:‌● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‌● جزییات مراحل ایمن سازی و تكنیك‌های فنی مورد استفاده در هر مرحله‌● لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان‌● ضرورت و جزییات ایجاد تشكیلات سیاستگذاری، اجرایی و فنی تامین امنیت‌ •  ● كنترل‌های امنیتی مورد نیاز برای هر یك از سیستم های اطلاعاتی و ارتباطی‌ •  ● تعریف سیاست‌های امنیت اطلاعات‌● تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان ● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‌● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست‌های امنیتی تدوین شده‌● انتخاب هدف‌های كنترل و كنترل‌های مناسب كه قابل توجیه باشند، از لیست كنترل‌های همه جانبه ● تدوین دستور‌العمل های عملیاتی‌

9. استاندارد BS7799 • مدیریت امنیت شبكه‌به منظور تعیین اهداف امنیت، ابتدا باید سرمایه‌های مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایه‌ها، مشخص شود.‌سرمایه‌های مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرم‌افزار، اطلاعات، ارتباطات، كاربران. اهداف امنیتی سازمان‌ها باید به صورت كوتاه‌مدت و میان‌مدت تعیین گردد تا امكان تغییر آن‌ها متناسب با تغییرات تكنولوژی‌ها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پیاده‌سازی امنیت در یك سازمان عبارتند از: • - جلوگیری از حملات و دسترسی‌های غیرمجاز علیه سرمایه های شبكه‌ - مهار خسارت‌های ناشی از ناامنی موجود در شبكه‌ - كاهش رخنه پذیری‌

10. استاندارد BS7799 • اهداف میان‌مدت نیز عمدتاً عبارتند از: •  - تامین صحت عملكرد، قابلیت دسترسی برای نرم‌افزارها و سخت‌افزارها و محافظت فیزیكی صرفاً برای  سخت افزارها •  - تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آن‌ها از حیث محرمانگی و حساسیت‌ •  - تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهی‌رسانی امنیتی برای   كاربران شبكه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع كاربران‌

11. استاندارد BS7799 • استاندارد BS7799 دارای 10 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است بنابراین در كل 127 كنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه كنترلی عبارتند از : • 1-تدوين سياست امنيتي سازمان: در اين قسمت، به ضرورت تدوين و انتشار سياست هاي امنيتي اطلاعات و ار تباطاتسازمان ، بنحوي كه كليه مخاطبين سياست ها در جريان جزئيات آن قرار گيرند، تاكيدشده است . همچنين جزئيات و نحوه نگارش سياست هاي امنيتي اطلاعات و ارتباطاتسازمان، ارائه شده است. • 2-ايجاد تشكيلات تامين امنيت سازمان:در اين قسمت، ضمن تشريح ضرورت ايجاد تشكيلات امنيت اطلاعات و ارتباطاتسازمان، جزئيات اين تشكيلات در سطوح سياستگذاري، اجرائي و فني به همراهمسئوليت هاي هر يك از سطوح، ارائه شده است. • -3 دسته بندي سرمايه ها و تعيين كنترل هاي لازم :در اين قسمت، ضمن تشريح ضرورت دسته بندي اطلاعات سازمان، به جزئ يات تدوينراهنماي دسته بندي اطلاعات سازمان پرداخته و محورهاي دسته بندي اطلاعات را ارائهنموده است. • . ن

12. استاندارد BS7799 • -4 امنيت پرسنلي:در اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بكارگيري پرسنل،ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي ازمسئوليت هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده • است. • 5 امنيت فيزيكي و پيراموني:در اين قسمت، اهميت و ابعاد امنيت فيزيكي، جزئيات محافظت از تجهيزات و كنترلهايموردنياز براي اين منظور، ارائه شده است. • 6 مديريت ارتباطات:در اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هريك از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم ها، محافظت درمقابل نرم افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان گيري ازاطلاعات، مديريت شبك ه، محافظت از رسانه ها و روالها و مسئوليت هاي مربوط به • درخواست، تحويل، تست و ساير موارد تغيير نرم افزارها ارائه شده است.

13. استاندارد BS7799 • -7 كنترل دسترسي :در اين قسمت، نيازمنديهاي كنترل دسترسي، نحوه مديريت دسترسي پرسنل،مسئوليت هاي كاربران، ابزارها و مكانيزم هاي كنترل دسترسي در شبكه، كنترل دسترسيدر سيستم عاملها و نرم افزارهاي كاربردي، استفاده از سيستم هاي مانيتورينگ و كنترلدسترسي در ارتباط از راه دور به شبكه ارائه شده است. • -8 نگهداري و توسعه سيستم ها:در اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستم ها، امنيت د ر سيستم هايكاربردي، كنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنيازدر توسعه و پشتيباني سيستم ها، ارائه شده است.

14. استاندارد BS7799 • -9 مديريت تداوم فعاليت سازمان :در اين قسمت، رويه هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت،طراحي و تدو ين طرح هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليتسازمان و طرح هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شدهاست. • -10 پاسخگوئي به نيازهاي امنيتي :در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست هايامنيتي موردنياز و ابزارها و مكانيزم هاي بازرسي امنيتي سيستم ها، ارائه شده است.

15. استاندارد BS7799 • تهدیدهای امنیتی تهدیدهای بالقوه برای امنیت شبكه‌های كامپیوتری به صورت عمده عبارتند از:● فاش شدن غیرمجاز اطلاعات در نتیجه استراق‌سمع داده‌ها یا پیام‌های در حال مبادله روی شبكه‌● قطع ارتباط و اختلال در شبكه به واسطه یك اقدام خرابكارانه‌● تغییر و دستكاری غیر مجاز اطلاعات یا یك پیغام ارسال‌شده برای جلوگیری از این صدمات باید سرویس‌های امنیتی زیر در شبكه‌های كامپیوتری ارائه شود و زمانی كه یكی از سرویس‌های امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای كشف و جلوگیری رخنه در نظر گرفته شود:● محرمانه ماندن اطلاعات‌● احراز هویت فرستنده پیغام‌● سلامت داده‌ها در طی انتقال یا نگهداری‌● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختلال در دسترسی‌

16. فوائد استاندارد BS7799 و لزوم پیاده سازی • استاندارد BS7799 قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است: • - اطمینان از تداوم تجارتو كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها • - اطمینان از سازگاریبا استاندارد امنیت اطلاعات و محافظت از داده ها • - قابل اطمینان كردن تصمیم گیریها و محك زدن سیستم مدیریت امنیت اطلاعات • - ایجاد اطمینان نزد مشتریانو شركای تجاری • - امكان رقابت بهتر با سایر شركت ها • - ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات • - بخاطر مشكلات امنیتیاطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

17. ISO/IEC17799استاندارد • در حال حاضر، مجموعه‌اي از استانداردهاي مديريتي و فني ايمن‌سازي فضاي تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799موسسه بين‌المللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد از برجسته‌ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي‌گردند. • در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است: • 1-      تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان • 2-      جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله • 3-      ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان • 4-      ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان • 5-      کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان

18. استاندارد ايزو 27001 • استاندارد ISO 27001(نسخه به روز BS7799) یا به عبارتی همان استاندارد ISO/IEC 17799 می باشد ،نكته قابل اشاره در این زمینه همسانی این استاندارد با استاندارد ISO9000 می‌باشد. قسمت سوم استاندارد BS7799 در حقیقت توسعه سیستم ISMS می‌باشد. درست مانند تغییرات ایجاد شده در استاندارد ISO9004. • استاندارد ISO 27001 استانداردی یکپارچه می باشد که در • قسمت بعد از این ارائه به توضیح کامل بندهای آن می پردازیم .

19. سازمان بين المللي استاندارد(ISO)international organization for standardization • محل آن دركشور سوئيس شهر ژنو • نحت پوشش سازمان ملل ياصندوق بين المللي پول نيست • سازماني مستقل واعضاي آن از146كشور تشكيل شده است • وظيفه آن تدوين استاندارد مي باشد • فعاليتهاي مميزي وصدور گواهينامه راانجام نمي دهد • باتوجه به نيازهاي جهاني تغيير مي كند.

20. تولداستانداردمديريت امنیت اطلاعات استاندارد ISO/IEC 27001توسط کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات ،زیر کمیته SC 27 ،فنون امنیتی فناوری اطلاعات )تهیه شده است ودرسال 2005 موردبازنگري قرارگرفت

21. مزاياي استقرار استاندارد ايزو 27001 • - اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها • - اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها • - قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات • ایجاد اطمینان نزد مشتریان و شركای تجاری

22. مزاياي استقرار استاندارد ايزو 27001 (ادامه) • - امكان رقابت بهتر با سایر شركت ها • ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات • بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

23. بهبود مستمر عملكرد Plan Do Act Check خط بهبود مستمر زمان

24. 4-الزامات سيستم مديريت امنیت اطلاعات Information security management system requirements

25. 4-1-الزامات كلي سازمان بايد يك سيستم مديريت امنیت اطلاعات رامطابق باالزاماتاين استاندارد بين المللي درچارچوب تمامی فعالیتهای کلان کسب وکار سازمان ومخاطراتی که با آن مواجه است ايجاد، مستند ،مستقرونگهدارينمايدوبطورمستمربهبوددهدوچگونگي تحقق اين الزامات رانيز مشخص نمايد

26. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS سازمان باید موارد زیر را انجام دهد : الف) :سازمان بايد دامنه كاربرد ومرزهای سيستم امنیت اطلاعات خودرا بر مبنای ویژگیهای کسب وکار ،سازمان ،مکان ،دارائی ها و فناوری آن تعريف ومدون نمايد و مشتمل برجزئیات وتوجیه برای کناره گذاری هر چیزی از دامنه ب ) مديريت رده بالا بايد خط مشی سيستم امنیت اطلاعات بر مبنای ویژگی های کسب و کار ،سازمان ،مکان ،دارائی ها و فناوری آن تعريف که: .

27. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS 1) مشتمل بر چارچوبی برای تعیین اهداف وایجاد یک درک کلان از مسیر و مبانی برای اقدام با توجه به امنیت اطلاعات . 2) در بر گیرنده کسب وکار ،الزامات قانونی یا آیین نامه و تعهدات امنیتی قراردادی باشد. 3):با مفاد مدیریت مخاطرات راهبردی سازمان که درایجاد و نگهداری سيستم مدیریت امنیت اطلاعات لحاظ خواهد شد ،هماهنگ شود . 4) معیاری ایجاد کند که مطابق آن مخاطرات ارزیابی خواهند شد . 5) توسط مدیریت تصویب شود

28. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • ج ) تعریف رویکرد برآورد سازی مخاطرات سازمان 1)شناسایی یک متدولوژی بر آورد مخاطرات متناسب 2)ایجاد معیاری برای پذیرش مخاطرات وشناسایی سطوح قابل قبول د )شناسایی مخاطرات 1)شناسایی دارائی های واقع دردامنه سیستم 2)شناسایی تهدیدهای بالقوه وبالفعل متوجه دارائی ها 3)شناسایی آسیبهای بالقوه و بالفعل حاصل از تهدیدها 4)شناسایی آسیبهای حاصل از عدم رعایت امنیت ،محرمانگی ،یکپارچگی

29. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • ه)تحلیل و ارزیابی مخاطرات : • 1)برآورد تاثیرات کسب وکارکه حاصل ازعدم رعایت سیستم امنیتاطلاعات • 2)برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ،با در نظر گرفتن تهدیدها و آسیبهای امنیتی • 3)تخمین سطوح مخاطرات • 4)مقایسه این مخاطرات با معیارهای پذیرش وتعیین اینکه درحد قابل قبول • هستند یا نیاز به اقدام اصلاحی

30. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • و):شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات: • 1)به کار گیری کنترلهای مناسب • 2)پذیرش مخاطرات به صورت آگاهانه وهدفمند • 3)اجتناب از مخاطرات 4)انتقال مخاطرات کسب و کاربه طرف های دیگر ز):گزینش اهداف کنترلی و کنترل هایی به منظور برطرف سازی مخاطرات: ح)دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهادی

31. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • ط)دریافت مجوز مدیریت برای پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات • ی)تهیه بیانیه کاربست که شامل موارد زیر باشد: • 1-اهداف کنترلی برگزیده و دلایل انتخاب آنها • 2-اهداف کنترلی وکنترلهایی که در حال حاضرپیاده سازی شده اند • 3)کناره گذاری هریک از اهداف کنترلی وتوجیه کناره گذاری آنها

32. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعاتی Estabilishng and mananging the ISMS • 4-2-2-پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات • سازمان باید موارد زیر را انجام دهد: • الف )قاعده مند کردن یک طرح برطرف سازس مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت اطلاعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها واولویت ها را شناسایی کند • ب )پیاده سازی طرح طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده،که دربرگیرنده ملاحظات مالی وتخصیص نقش ها ومسئولیت ها باشد • ج) پیاده سازی کنترل های برگزیده شده به منظور برآورده سازی اهداف کنترلی

33. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • د)تعریف چگونگی سنجش اثربخشی کنترل ها وارائه نتایج قابل قیاس وتجدید پذیر بعد از تعیین برآورداثربخشی کنترل ها • یادآوری :اندازه گیری اثربخشی کنترل ها ،به مدیران وکارکنان اجازه می دهد تا تعیین • کند که کنترل ها،تاچه اندازه اهداف کنترلی طرح ریزی شده را حاصل می نمایند. • ه)پیاده سازی برنامه های آموزشی وآگاه سازی • و)مدیریت عملیات سیستم مدیریت امنیت اطلاعات • ز)مدیریت منابع برای سیستم مدیریت امنیت اطلاعات • ح)پیاده سازی روش های اجرایی ودیگرکنترل هایی که قادر به توانمند ساختن آشکارسازی سریع وقایع امنیتی وپاسخ دهی به حوادث امنیتی باشد .

34. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • 4-2-3-پایش وبازنگری سیستم مدیریت امنیت اطلاعات • سازمان باید موارد زیر را انجام دهد: • الف )اجرای روش های اجرایی پایش و دیگر کنترل ها به منظور: • 1)تشخیص سریع خطاها در نتایج پردازش ها • 2)شناسایی سریع نقص هاوحوادث امنیتی موفق ونا تمام • 3)قادر ساختن مدیریت به اطمینان اجرای فعالیتها آنگونه که انتظارمی رود • 4)کمک درتشخیص وقایع امنیتی واز آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از نشانگرها • 5)تعیین اثربخشی اقدامات صورت گرفته برای رفع نقایص امنیتی

35. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS ب) تعهدبازنگری قاعده منداثربخشی سیستم مدیریت امنیت اطلاعات با توجه به نتایج ممیزیهای امنیتی ، نتایج انداره گیریهای اثر بخشی ، حوادث ، پیشنهادها و بازخوردهای تمامی طرفهای ذینفع • ج ) سنجش اثربخشی کنترلها بمنظورتصدیق اینکه الزامات امنیتی براورده شده اند • د) بازنگری براوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و شناسایی سطح قابل قبول مخاطرات با توجه به تغییرات در : • 1)سازمان • فناوری (2

36. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • 4-2-4-نگهداری وبهبود سیستم مدیریت امنیت اطلاعات • سازمان بایستی به صورت منظم موارد ذیل راانجام دهد: • الف)پیاده سازی بهبودهای شناسایی شده درسیستم مدیریت امنیت اطلاعات • ب)انجام اقدامات اصلاحی وپیشگیرانه مناسب • ج) انتقال اطلاعات مربوط به اقدامات وبهبودها،به تمامی طرفهای ذینفع وتوافق در مورد چگونگی ادامه کار د)اطمینان از اینکه بهبودها،اهداف موردنظرشان را حاصل می کنند.

37. 4-2 ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS • 3)اهداف و فرایندهای کسب و کار • 4)تهدیدهای شناسایی شده • 5)اثربخشی کنترل های پیاده سازی شده • 6)رویدادهای برونی همانند تغییرات در فضای قانونی یا آیین نامه ای و شرایط اجتماعی وتغییر در تعهدات قراردادی • ه)انجام ممیزی های داخلی سیستم مدیریت امنیت اطلاعات درفواصلزمانی طرح ریزی شده • و)تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطلاعات • ز)بروزرسانی طرحهای امنیتی باتوجه به نتایج پایش وبازنگری • ح)ثبت اقدامات ووقایع اثربخش وکارا بر سیستم مدیریت امنیت

38. 4-3- الزامات مستند سازی 4-3-Doucumentation requirements

39. 4-2 الزامات مستند سازی 4-3-Doucumentation requirements 4-3-1-کلیات : مستندسازی باید شامل سوابق تصمیمات مدیریتی بوده،اطمینان دهد که اقدامات قابل ردیابی می باشد مهم است که بتوان ارتباط بین کنترل های انتخاب شده ونتایج حاصل ازبرآورد مخاطرات وفرایند برطرف سازی مخاطرات ومتعاقبا ارتباط با اهداف وخط مشی سیستم مدیریت امنیت اطلاعات را نشان داد. مستندات سیستم مدیریت امنیت اطلاعات باید شامل موارد ذیل باشد :

40. 4-3الزامات مستند سازی 4-3-Doucumentationrequirements • الف)بیانه مدون شده خط مشی سیستم مدیریت امنیت اطلاعات واهداف • ب)دامنه سیستم مدیریت اطلاعات • ج)روش های اجرایی وکنترلهایی در پیشنهادی از سیستم مدیریت اطلاعات • د)تشریح متدولوژی برآورد مخاطرات • ه)گزارش برآورد مخاطرات • و)طرح برطرف سازی مخاطرات • ز)روش های اجرایی مدون شده مورد نیاز سازمان • ح)سوابقی که توسط این استاندارد الزام شده است • ط)بیانیه کاربست

41. 3-4 الزامات مستند سازی 4-3-Doucumentation requirements • 4-3-2-کنترل مستندات مدارک از نظر موارد زير بايد تحت کنترل باشد: • تصويب مدارک از نظر کفايت قبل از صدور • بازنگري و بروز کردن مدارک بر حسب نياز و تصويب مجدد آنها • مشخص کردن تغييرات و ويرايش کنوني مدارک • در دسترس بودن مدارک در مکانهايي که لازم است • مدارک بايد خوانا و قابل شناسايي باشند • تحت کنترل قرار دادن مدارک برون سازماني • پيشگيري از استفاده سهوي از مدارک منسوخ شده • مدارک گردآوری شده به هر دلیلی به نحو مناسبی مورد شناسایی قرار گیرند

42. 3-4 الزامات مستند سازی 4-3-Doucumentation requirements • 4-3-3- کنترل سوابق سوابق بايد ایجاد ونگهداری شده تا شواهد انطباق با الزامات واجرای موثر سیستم فراهم گردد : • خوانا • قابل شناسايي و دستيابي • تحت کنترل از نظر شناسايي، بايگاني و ذخيره، حفاظت، دستيابي، تعيين مدت زمان نگهداري و تعيين و تکليف

43. 5- مسئولیت مدیریت • 1-5-تعهد مدیریت • 2-5-مدیریت منابع

44. 5-1 –تعهد مدبربت 1-5-Management commitment ارائه شواهدي دال بر تعهد مديريت ارشد سازمان از طريق: • الف )ارائه اطلاعات لازم به سازمان درباره اهمیت برآوردسازی اهداف امنیت اطلاعاتامنیت اطلاعات وتطابق با خط مشی • امنیت اطلاعاتب )تعيين و برقرار کردن خط مشي مدیریت • ج )ایجاد نقش ها و مسئولیت ها برای امنیت اطلاعات • اينکه اهداف کيفيت تعيين شده اند د )حصول اطمينان از • امنیت اطلاعاته )انجام بازنگري هاي مديريت • و)تصمیم گیری درباره معیاری برای پذیرش مخاطرات وسطوح قابل قبول خاطرات • ز)حصول اطمينان از در دسترس بودن منابع • ح )حصول اطمینان ازانجام ممیزی داخلی سیستم مدیریت امنیت اطلاعات

45. 2-5 –مدیریت منابع 2-5-Resource Management • -1-2-5-فراهم آوری منابع منابع مورد نياز براي موارد زير بايد فراهم گردد: • به اجرا درآوردن سيستم مديريت امنیت اطلاعات و برقرار نگهداشتن آن و بهبود مستمر اثر بخشي آن شناسایی ونشاندهی الزامات قانونی و آیین نامه ای وتعهدات امنیتی قراردادی نگهداری امنیت در سطح مناسب انجام بازنگری در صورت لزوم و واکنش مناسب به این نتایج حصول اطمینان از اینکه روش های اجرایی امنیت اطلاعات الزامات کسب و کار را پوشش دهد

46. 2-5 –مدیریت منابع 2-5-Resource Management • 2-2-5-آموزش ،آگاه سازی وصلاحیت • سازمان باید در راستای اهداف آموزشی سازمان • تعيين صلاحیت های مورد نياز کارکنان موثر بر سیستم مدیریت امنیت اطلاعات • فراهم آوردن آموزش هاي مورد نياز آنها • ارزيابي اثر بخشي آموزش هاي ارائه شده • آگاهي کارکنان از اهميت فعاليت هاي خود در جهت رسيدن به اهداف کيفي تعيين شده درسیستم مدیریت امنیت اطلاعات • نگهداري سوابق آموزشی

47. 6-ممیزی داخلی سیستم مدیریت امنیت اطلاعات • 6-Internal ISMS audits

48. 6 –ممیزی داخلی سیستم مدیریت امنیت اطلاعات 6-Internal ISMS audits انجام مميزي هاي داخلي براي تعيين آنکه سیستم مدیریت امنیت اطلاعات: • با الزامات اين استاندارد ومقررات وقوانین مرتبط انطباق دارد • با الزامات شناسایی شده امنیت اطلاعات انطباق دارد • بطور موثر اجرا ونگهداری مي شود • آنگونه که انتظار می رود ،اجراء می شود • برنامه مميزي بر مبناي اهميت ووضعيت واحدهاوفرآيندها صورت مي گيرد • فعالیت های پیگیری باید شامل تصدیق اقدامات انجام شده وگزارش دهی نتایج تصدیق باشد

49. 7 –بازنگری مدیریت سیستم مدیریت امنیت اطلاعات 7-Management review of the ISMS • 1-7-کلیات بازنگري سيستم مديريت کيفيت توسط مديريت ارشد سازمان در فواصل زماني برنامه ريزي شده جهت اطمينان از تداوم مناسب بودن و کارآيي آن.،این بازنگری ها باید بررسی موقعیتهای بهبود ونیاز به اعمال تغییرات در سیستم مدیریت امنیت اطلاعات را شامل شود نتایج بازنگری مدیریت باید به وضوح مدون شده و سوابق آن نگهداری شوند

50. 7 –بازنگری مدیریت سیستم مدیریت امنیت اطلاعات 7-Management review of the ISMS 2-7- ورودي هاي بازنگري • نتايج مميزي ها وبازنگری های سیستم مدیریت امنیت اطلاعات • بازخوردهای طرف های ذینفع • فنونی که می تواند برای بهبود اثربخشی وکارایی سیستم مورد استفاده قرار می گیرد • وضعيت اقدامات اصلاحي و پيشگيرانه • پيگيري تصميمات جلسات قبلي • تغييراتي که مي تواند بر سيستم مديريت کيفيت اثر بگذارد • توصيه هايي براي بهبود