آشنایی با مباحث امنیت اطلاعات

اطلاعات، واژه‌ای که تمامی انسان‌ها روزانه و با طرق متفاوت و گوناگون با آن سروکار دارند. اما نکته‌ای که حائز اهمیت می‌باشد بحث امنیت آن می‌باشد، مبحثی که همه ما آن را با واژه امنیت اطلاعات می‌شناسیم. در حقیقت می‌توان گفت اگر شما سه ضلع مثلث حفظ محرمانگی(Confidentiality)، تمامیت(Integrity) و در دسترس بودن(Availablity) را رعایت نمایید، امنیت اطلاعات را برای خود و سازمانتان به ارمغان آورده‌اید و سایر مقوله‌های امنیت را می‌توان به نوعی زیر مجموعه‌های این سه مثلث دانست. در نظر داشته باشید شما باید برای تامین امنیت اطلاعات و این سه مثلثی که ذکر شد، آسیب‌شناسی خوبی را در شبکه و سازمان خود در این خصوص انجام دهید. از انواع آسیب‌های موجود برای امنیت اطلاعات می‌توان به مواردی چون خرابکاری، آتش‌سوزی، عملیات تروریستی، کلاهبرداری کامپیوتری و… اشاره کرد. شاید بتوان گفت که حفاطت از اطلاعات با استناد به سه اصل اساسی زیر اتفاق می‌افتد:
• نحوه پیشگیری از بروز یک تهاجم
• نحوه تشخیص یک تهاجم
• نحوه برخورد با حملات
اولین مرحله به منظور حفاظت و ایمن سازی اطلاعات ، شناخت تهدیدات و آگاهی لازم در خصوص برخی مفاهیم اولیه در خصوص ایمن سازی اطلاعات است و به طور معمول نقائص امنیتی برگرفته از ادمین‌های شبکه و کاربران بوده و خیلی کم این ضعف متوجه خود سیستم می‌باشد.
خطرهای تهدید کننده سیستم اطلاعاتی
خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می‌شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و… جزء تهدیدات غیر عمدی به حساب می‌آید .
برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنید قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشید. این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد، مواردی که یک سازمان برای پیاده‌سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد :
۱) تعیین سیاست امنیتی
۲) اعمال سیاست‌های مناسب
۳) بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
۴) بازرسی و تست امنیت شبکه اطلاعاتی
۵) بهبود روش های امنیت اطلاعاتی سازمان
باید بدانیم که تهدیدهای رایانه‌ای را می‌توان به دسته‌های زیر تقسیم کرد:
• ویروس‌ها و کرم‌ها که از طذیق ایمیل‌ها و نرم‌افزارهای آلوده قابل انتشار می‌باشند.
• اسب تراوا یا همان Trojan Horse که به همراه دیگر برنامه‌ها نصب شده و به صورت پنهانی اقدام به خرابکاری و کنترل رایانه و به سرقت اطلاعات می‌پردازند.
• از کار انداختن یا Denial of Service که با تقاضای زیادی از سرویس‌ها شروع شده و پس از ایجاد دسترسی، سیستم مورد نظر کارایی خود را به طور کامل از دست می‌دهد.
• شنود اطلاعات نیز یکی دیگر از مواردی است که منجر به سرقت اطلاعات شما می‌شود.
• وب سایت‌های تقلبی یا Phishing که همان‌طور از اسم آن معلوم است شما با سایتی تقلبی روبرو خواهید شد که اطلاعات شما را به سرقت می‌برند.
آشنایی با ISMS
ISMS، مخفف Information Security Management System یا سیستم مدیریت امنیت اطلاعات می باشد. یک سیستم مدیریت امنیت اطلاعات، دربرگیرنده افراد، فرآیندها و سیستمهای IT میباشد. کاربرد اصلی سیستم مدیریت امنیت اطلاعات یا ISMS ، زمانی است که یک سازمان، قصد دارد، محرمانگی، صحت و دسترس پذیری اطلاعات خود را به صورت هم ارز و معادل، پیشرفت دهد. به عبارتی دیگر امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره می کند و مفهوم سیستم مدیریت امنیت اطلاعات یا همان ( ISMS (Information Security Management System عبارت است از امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است.
ISMS منجی اطلاعات شما
امروزه ISMS یا همان سیستم مدیریت امنیت اطلاعات با ارائه سنجش و ارزیابی میزان امنیت سازمان‌ها و راهکارهای بهینه‌سازی امنیت اطلاعات، افق بسیار خوبی را در زمینه امنیت اطلاعات ترسیم کرده است. ISMS باید در یک چرخه ایمن‌سازی که شامل طراحی، پیاده‌سازی و ارزیابی و اصلاح می‌باشد، پیاده‌سازی شود که برای این امر شما می‌توانید از استانداردهای بین‌المللی BS7799، ISO/IEC 17799 و ISO/IEC TR 13335 در این زمینه استفاده کنید. در واقع سیستم مدیریت امنیت اطلاعات از مجموعه ای از اجزا تشکیل شده است که برای رسیدن به هدفی خاص و برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت‌ها می باشد تدوین شده است. تعریف کردن معیارهای ISMS بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO و IEC، این سازمان‌ها وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارند تا به حال استاندارد مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که استانداردهای ایزو ۲۷۰۰۰۱ و ایزو ۲۷۰۰۰۲ از جمله آن می‌باشد.
چرخه تشکیل ISMS
درحقیقت ISMS با استفاده از استانداردهای ISO و IEC به ترتیب ۴ چرخه زیر را تا به حال جهت تکمیل خود تا به امروز طی کرده است.
۱- تاسیس و راه‌اندازی: اولین مرحله ISMS به زیر شاخه‌های زیر تقسیم‌بندی می‌شود:
• Scope: جهت تعریف هدف ISMS می‌باشد
• Policy: سیاست و چشم‌انداز ISMS را براساس شرایط مکانی و زمانی تعریف می‌کند.
• Risk Treatment: شناسایی ریسک‌ها به منظور تصمیم‌گیری درخصوص مدیریت خطاها می‌باشد.
۲- پیاده‌سازی: در این مرحله باید کنترل خطا برای ISMS انجام گرفته و همچنین آموزش پرسنل و تربیت متخصصین امنیت شبکه نیز در این مرحله انجام خواهد گرفت.
۳- نظارت و بازبینی: این مرحله به منظور بررسی مشکلات موجود و حل آن‌ها می‌باشد.
۴- نگهداری و بهبود: در این مرحله باید خروجی ISMS نگهداری شده و همچنین جهت بهبود آن باید تلاش‌های لازم انجام گیرد.
ساختار استانداردهای ISMS
استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردهای مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی برروی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل‌ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین
می‌کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. در استانداردهای ISMS چگونگی برقراری امنیت تشریح نشده است بلکه چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.
مزایای ISMS
اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات یا همان ISMS را به درستی پیاده سازی و مدیریت کند تجارتی دائمی را به همراه ریسک کمتر برای خود بخه وجود خواهد آورد. برای مثال اگر شخصی قصد سرمایه گذاری در یک شرکت را داشته باشد، اگر این شرکت که در کار تولید مواد اولیه پتروشیمی است فرمول ساخت آن را به درستی امن نگه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد، بنابراین سیستم مدیریت امنیت اطلاعات( ISMS) بصورت کلی باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها می‌شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده ها ، قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ، ایجاد اطمینان نزد مشتریان و شرکای تجاری ،امکان رقابت بهتر با سایر شرکت ها و ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات شود.
مستندات ISMS
سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان‌ها ساختار خود را پیاده سازی کنند. درواقع شما بایستی کنترل های متناسب با سازمان خود را انتخاب کرده و مستند متنی به عنوان خط مشی امنیت تدوین کنید. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود. اما چندین سوال در این زمینه مطرح می‌شود و آن اینکه این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد؟
بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه یا سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:
• مستند اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه ( Security Policy )
• مستند طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه ( Risk Assessment )
• مستند طرح امنیت فضای تبادل اطلاعات دستگاه
• مستند طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه ( Disaster Recovery)
• مستند برنامه آگاهی رسانی امنیتی به پرسنل دستگاه ( Awareness )
• مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
مشکلات موجود در پیاده‌سازی ISMS
از جمله مشکلاتی که در پیاده‌سازی ISMS وجود دارد، می‌توان به موارد زیر اشاره کرد:
• پیاده‌سازی: پیاده‌سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت را یک فرهنگ تلقی کنیم نه فناوری پس عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. پس می‌توان بیان کرد که یکی از اصلی ترین موانع ISMS، پیاده‌سازی استانداردهای مدیریت امنیت است.
• تداوم امنیت: حتی اگر موفق شوید در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نماییم، عدم تداوم آن هیچ نتیجه و محصولی را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی، انجام، آزمایش و اعمال مجدد طراحی استفاده می شود.
• تداوم ناامنی: چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه بخش‌های سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا تمام اطلاعات با ارزش خود را در معرض تهاجم نمی‌بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده‌سازی و تداوم استانداردهای مدیریت امنیت ندارند.
• نامحسوس بودن امنیت: وقتی یک پروژه امنیتی انجام می‌شود بعضاً مدیریت و کارشناسان احساس می‌کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده‌اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.

جهت ثبت نام در دوره آموزشی مباحث سیستم مدیریت امنیت اطلاعات ISO 27001 بر روی تصویر فوق کلیک نمایید

دوره غیر حضوری است و محتوای الکترونیکی در قالب CD یا DVD به آدرستان ارسال می گردد

پس از پایان گواهی و مدرک معتبر دوره آموزشی مباحث سیستم مدیریت امنیت اطلاعات ISO 27001 با قابلیت ترجمه رسمی دریافت می نمایید

مشاوره رایگان: ۰۲۱۲۸۴۲۸۴ و ۰۹۱۳۰۰۰۱۶۸۸ و ۰۹۳۳۰۰۲۲۲۸۴ و ۰۹۳۳۰۰۳۳۲۸۴ و ۰۹۳۳۰۰۸۸۲۸۴ و ۰۹۳۳۰۰۹۹۲۸۴

 
مراحل پیاده سازی و دریافت استاندارد ۲۷۰۰۲ و ISO 27001 یا ISMS
۱- سازمان قصد دریافت استاندارد ISO 27001 می گیرد.
۲- این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می‌گذارد.
۳- شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می‌کند .
۴- بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می‌شود .
۵- قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
۶- از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
۷- در صورت تایید صلاحیت و کسب حداقل امتیازات لازم، گواهینامه صادر می شود.
شرایط لازم جهت طراحی ISMS
۱- اطمینان: باید از سلامت اطلاعات چه در زمان ذخیره، بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند، اطمینان حاصل نمایید.
۲- دقت: اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشند و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت.
۳- قابلیت دسترسی: اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشند
مزایای پیاده سازی استاندارد ISO/IEC 27001
• نزدیک شدن به وضعیت سیستماتیک و اصولی
• افزایش تضمین اعتبار قانونی سازمان
• افزایش جنبه های تداوم کسب وکار
• شناسائی دارایی های بحرانی از طریق ارزیابی ریسک
• ایجاد یک ساختار برای بهبود مستمر
• افزایش شناخت و اهمیت مسائل مربوط به امنیت درسطح مدیریت
• بومی سازی فرهنگ و دانش امنیت اطلاعات در سازمان
حوزه های یازده‌گانه ISO 27001
۱- خط مشی امنیتی: جهت گیری و جلب حمایت مدیریت از امنیت اطلاعات
۲- سازماندهی امنیت اطلاعات: هدف مدیریت امنیت اطلاعات در درون سازمان وطرف های بیرونی است
۳- مدیریت دارایی‌ها: هدف جهت برآورد ارزش واقعی دارایی های سازمان است.
۴- امنیت منابع انسانی: هدف اطمینان از اینکه اطلاعات با سطح مناسبی از حفاظت نگهداری و تبادل می شوند.
۵- امنیت محیطی و فیزیکی: هدف پیشگیری از دسترسی های غیرمجاز، خسارت یا دخالت در سرویس IT می‌باشد.
۶- مدیریت عملیات و ارتباطات: هدف حصول اطمینان ازکارکرد صحیح وامن پردازش اطلاعات وامنیت در ارتباط با خدمات شخص ثالث و همچنین به حداقل رساندن مخاطرات ناشی از تست سیستم ها وحفظ یکپارچگی نرم افزار واطلاعات است.
۷- کنترل دسترسی: هدف کنترل دسترسی به اطلاعات وپیشگیری از دسترسی های غیرمجاز می باشد.
۸- تهیه، توسعه و نگهداری سیستم های اطلاعاتی: هدف اطمینان از اینکه امنیت جزء جدائی ناپذیر از سیستم های اطلاعاتی است و همچنین پیشگیری از فقدان، تغییر یا سوء استفاده از اطلاعات در سیستم های کاربردی می‌باشد.
۹- مدیریت حوادث امنیت اطلاعات: هدف اطمینان از اینکه حوادث و ضعف های امنیتی مرتبط با سیستم های اطلاعاتی به نحوی که به توان آنها را درزمان های قابل قبولی رفع کرد ، گزارش می گردند. وهمچنین اطمینان از اینکه رویه های یکنواخت و مؤثر در مورد حوادث امنیتی اعمال می‌گردند.
۱۰- مدیریت تداوم کسب و کار: هدف خنثی نمودن وقفه ها کسب وکار و حصول اطمینان برای ازسرگیری بموقع سیستم های اطلاعاتی سانحه دیده می‌باشد.
۱۱- مطابقت با قوانین: هدف اجتناب از هر نقض قانون و مقررات ، اطمینان از تطبیق سیستمها با استانداردها و سیاست های امنیتی سازمان، و افزایش اثربخشی وکاهش اختلال در فرایند ممیزی می‌باشد.
قابلیت اجرای ISO 270001
جمع آوری لیست دارایی ها، تعیین تهدیدها ، نقاط ضعف امنیتی و در نهایت ایجاد جدول کنترل ها مارا در به دست آوردن جدولی موسوم به SOA یا Statement Of Applicability یاری می رساند. این جدول لیستی نهایی از کلیه کنترل های مورد نیاز برای پیاده سازی را ارائه می دهد. با مطالعه این جدول و مشخص کردن کنترل های قابل اجرا و اعمال آنها ،سازمان یا شرکت خود را برای اخذ استانداردISO27001 آماده خواهید ساخت.
نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استاندارد ISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.
پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعات
متن زیر یک تست سریع و آموزنده می باشد که به برخی از سوالات شما در زمینه امنیت اطلاعات پاسخ می دهد. همانطور که خواهید دید به صورت پرسش و پاسخ بیان شده است. باب امنیت اطلاعات اغلب پیچیده می باشد. بر همین اساس این مبحث به برخی از سوالاتی که ممکن است برای شما ایجاد شود ، پاسخ داده است و پیشنهاداتی را برای آن ارائه داده است تا به سادگی قبول کنید که سیستم های شما نیز ممکن است در معرض خطر قرار گیرد.
۱- اگر امنیت اطلاعات را افزایش دهیم ، کارایی کاهش پیدا می کند. درست یا غلط ؟
درست- امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن است به روالهای موثر اضافی از جمله (تکنولوژی) و (سرمایه گذاری) نیاز داشته باشد .افزایش امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر ممکن است در کارایی افراد و شبکه شما نمود پیدا کند. امنیت اطلاعات ممکن است به معنی قفل کردن ایستگاهای کاری و محدود کردن دسترسی به اتاقهای کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت اطلاعات می پردازد به صورت اندیشمندانه ای بین خطرات ( Risks ) و کارآیی توازن برقرار کند.
۲- حملاتی که توسط نفوذگران خارجی انجام می گیرد نسبت به حملات کارمندان داخلی هزینه بر تر و خسارت بار تر می باشد. درست یا غلط ؟
غلط- حملات کارمندان داخلی نوعا بسیار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستیتو امنیت کامپیوتر (Computer Security Institute ) میانگین حملات خارجی ۵۷۰۰۰ دلار و میانگین هزینه حملات داخلی ۲۷۰۰۰۰۰ دلار برآورد شده است. کارمندان داخلی، اطلاعات محرمانه بیشتری درباره سیستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعالیت های دیده بانی(Monitoring ) را نام برد.
۳- پیکربندی یک دیواره آتش (Firewall ) به صورت کامل ما را در مقابل حملات خارجی ایمن می کند. درست یا غلط ؟
غلط- آمارهای انستیو امنیت کامپیوتر نشان می دهد که حجم قابل توجهی از شرکتهایی که از دیواره آتش استفاده کرده اند هنوز از دست نفوذگران بد اندیش در امان نمانده اند. اولین کارکرد دیواره آتش بستن پورتهای مشخص می باشد به همین دلیل در بعضی از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز می تواند یک خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد. ترافیکی که از میان یک پورت می گذرد را باید همیشه به صورت سختگیرانه ای دیده بانی کرد تا تمامی تلاشهایی که منجر به نفوذ در شبکه می شود شناسایی و گزارش شود. یک دیواره آتش به تنهایی نمی تواند یک راه حل جامع باشد و باید از آن به همراه تکنولوژی های (IDS (Intrusion Detection System و روشهای ترکیبی استفاده کرد.
۴- اگر دیواره آتش من به صورت مناسبی پیکر بندی شود دیگر نیازی به دیده بانی بیشتر ترافیک شبکه نمی باشد. درست یا غلط ؟
غلط- همیشه نفوذگران خبره می توانند یک دیواره آتش را در هم شکنند و به آن نفوذ کنند. به همین دلیل دیده بانی کلیدی برای هر برنامه امنیت اطلاعات می باشد. فراموش نکنید که دیواره آتش نیز ممکن است هک شود و IDS ها راهی می باشند برای اینکه بدانید چه سیستم هایی در شرف هک شدن می باشند.
۵- دیواره های آتش باید به گونه ای پیکربندی شوند که علاوه بر ترافیک ورودی به شبکه ، ترافیک های خروجی را نیز کنترل کنند . درست یا غلط ؟
درست – بسیاری از سازمانها توجه زیادی به محدود کردن ترافیک ورودی خود دارند، اما در مقایسه توجه کمتری در مسدود کردن ترافیک خروجی از شبکه را دارند. خطرات زیادی ممکن است در درون سازمان وجود داشته باشد. یک کارمند ناراضی یا یک نفوذگر که شبکه شما را در دست گرفته است، ممکن است که بخواهد اطلاعات حساس و محرمانه شما را برای شرکت رقیب بفرستد .
۶- امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط ؟
غلط- امنیت اطلاعات یک پی آمد تجاری – فرهنگی می باشد. یک استراتژی جامع امنیت طلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری ، کنترل دسترسی های فیزیکی، کنترل دسترسی های تکنیکی. این عناصر اگر به صورت مناسبی اجرا شود مجموعا یک فرهنگ امنیتی ایجاد می کند. بیشتر متخصصین امنیتی معتقدند که تکنولوژیهای امنیتی فقط کمتر از ۲۵ درصد مجموعه امنیت را شامل می شوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه نمود دارد ،( افراد ) می باشند. (کاربر انتهایی) افراد یکی از ضعیف ترین حلقه ها، در هر برنامه امنیت اطلاعات می باشند .
۷- هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین می روند. درست یا غلط ؟
غلط- به طور واضح غلط است. برای شهادت غلط بودن این موضوع می توان به شرکت Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای کامپیوتری برای خود ایجاد کرده بود. بر طبق گفته های FBI حجم فعالیتهای خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد کرد.
۸- نرم افزارهای بدون کسب مجوز (Unauthorized Software ) یکی از عمومی ترین رخنه های امنیتی کاربران داخلی می باشد. درست یا غلط ؟
درست- رخنه ها (Breaches ) می تواند بدون ضرر به نظر بیاید ، مانند Screen Saver های دریافت شده از اینترنت یا بازی ها و … نتیجه این برنامه ها ، انتقال ویروس ها ، تروجانها و … می باشد. اگر چه رخنه ها می تواند خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که می تواند یک در پشتی (Backdoor ) قابل سوءاستفاده ای را در شبکه ایجاد کند که به وسیله دیواره آتش نیز محافظت نمی شود.بر طبق تحقیقاتی که توسط ICSA.net و Global Integrity انجام شده است بیش از ۷۸ درصد گزارش ها مربوط به ایجاد یک رخنه در نرم افزار دریافتی از افراد یا سایتهای ناشناخته است.
۹- خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد. درست یا غلط ؟
درست- درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می کند. سازمانها نیازمند این می باشند که مداوم سایت های اطلاع رسانی را بازبین کنند تا به تهدید های احتمالی شبکه های خود خیلی سریع پی ببرند و در مقابل آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد جلوگیری کنند .
۱۰- رمزهای عبور می تواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند ، بگیرد. درست یا غلط ؟
غلط- کلمات رمز نوعا خیلی کم می توانند جلو کارمندان داخلی و خبره را بگیرند. بسیاری از سازمانها تمامی تلاش خود را روی امور تکنیکی امنیت اطلاعات صرف می کنند و در برخورد با مسائل اداری و کنترل دسترسی فیزیکی لازم برای ایجاد یک محافظت مناسب، با شکست مواجه می شوند .
۱۱- یک نام کاربری و یک رمز عبور می تواند شبکه ما را از ارتباط با یک شبکه غیردوستانه(Unfriendly ) محافظت کند. درست یا غلط ؟
غلط- یک ارتباط فیزیکی و یک آدرس شبکه همه آنچیزی می باشد که یک نفوذگر برای نفوذ در شبکه نیاز دارد. با یک ارتباط می توان تمامی ترافیک شبکه را جذب کرد (به این کار Sniffing می گویند) . مهاجم قادر است با استفاده از تکنیکهای Sniffing کل ترافیک حساس شبکه، شامل ترکیباتی از نام کاربری/رمز عبور را جذب کند و در حملات بعدی از آنها استفاده کند.
۱۲- هیچ کسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه . درست یا غلط ؟
غلط- هیچ کس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد ، حتی مدیر امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند. برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده می شود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که کاربران رمزهای عبور خود را فراموش کرده اند در نظر گرفت.
۱۳- رمزگذاری باید برای ترافیک های داخلی شبکه به خوبی ترافیک خروجی شبکه انجام گیرد. درست یا غلط ؟
درست- به عنوان یک نکته باید گفت که فرآیند Sniffing (جذب داده هایی که روی شبکه رد و بدل می شود) به عنوان یک خطر امنیتی داخلی و خارجی مطرح می شود.
۱۴- امنیت داده ها در طول انتقال آنها هدف رمزگذاری است . درست یا غلط ؟
غلط- رمزگذاری همچنین می تواند جامعیت (Integrity )، تصدیق (Authentication ) و عدم انکار (nonrepudiation ) داده ها را نیز پشتیبانی کند.
نتیجه‌گیری
شاید استفاده از سیستم امنیت اطلاعات یا ISMS به نظر سخت آید اما به کارگیری آن لازم و ضروری است و هزینه هایی نیز دارد که در نگاه اول ممکن است این هزینه ها زیاد به نظر آید اما هزینه هایی هستند که فواید بیشتری دارند. استقرار این نظام باعث ایجاد حساسیت و کنترل بهتر جهت حفظ محرمانگی اسرار یک سیستم است و در آن نقش آموزش و برنامه ریزی کلان جهت نیروهای انسانی و جلوگیری از حوادث اطلاعاتی نقشی بسیار موثر است که به جز با حمایت مدیران یک مجموعه امکان پذیر نمی باشد. برای اینکه بتوانیم حمایت مدیران را جهت برقراری امنیت اطلاعات جلب کنیم بهتر است سیستمی مناسب را ارایه نماییم تا حمایت آنان را برای تقویت امنیت اطلاعات به دست آوریم و در این راستا ( ISMS ) یک سیستم مناسب و استاندارد برای این امر می باشد.