پایان نامه با موضوع سیستم های اطلاعاتی و سیستم های اطلاعات


Widget not in any sidebars
در این مبحث ، نقش سیاست امنیت فن آوری اطلاعات سازمان ، سیاست امنیتی سیستم های اطلاعاتی ، مدیریت امنیت فن آوری اطلاعات ، تدوین مسئولیت ها ، تشکیلات امنیت فن آوری اطلاعات سازمان ، شناسایی و ارزش گزاری دارایی ها ، بررسی سازگاری امنیتی ،‌پشتیبانی حوادث ،‌آگاهی رسانی و آموزش امنیت ،‌مدیریت پیکربندی و تغییرات ،‌مستند سازی،نگهداری،نظارت،ارزیابی و تست امنیتی و طرح تداوم فعالیت ،‌بعنوان حفاظ های سازمانی و نقش محافظت فیزیکی از اجسام و محیط ها
در مقابل دسترسی فیزیکی ، محافظت در مقابل آتش،آب،حوادث طبیعی،دزدی و برق،جریان سالم هوا و کابل کشی بعنوان حفاظ های فیزیکی تشریح شده و در ادامه ، مراجع موجود در خصوص هر یک از حفاظ های فوق ، ارائه شده است.
حفاظ های خاص سیستم های اطلاعاتی
در این مبحث ،‌نقش شناسایی و تشخیص هویت ، دسترسی کنترل لاجیکی و بازرسی ،‌محافظت در مقابل کد های مخرب ، مدیریت شبکه و رمزنگاری ، بعنوان حفاظ های خاص سیستم های اطلاعاتی تشریح شده و در ادامه ، مراجع موجود در خصوص هریک از حفاظ های فوق ارائه شده است.
4- رویکرد پایه :انتخاب حفاظ بر اساس نوع سیستم اطلاعاتی
محتوای این قسمت از گزارش فنی ، ابتدا حفاظ های عمومی قابل استفاده برای سیستم های اطلاعاتی و در ادامه ، حفاظ های خاص سیستم های اطلاعاتی را به تفکیک برای ایستگاه های کاری مستقل ، ایستگاه های کاری متصل به شبکه و سرویس دهنده ی شبکه ، ارائه داده است.
5- انتخاب حفاظ بر اساس تهدید ها و نگرانی های موجود
محتوای این قسمت از گزارش فنی ، ابتدا به ارزیابی نگرانی های امنیتی پرداخته و این موضوع را شامل ارزیابی صدمات وارده بر محرمانگی ، تمامیت ، دسترس پذیری ،‌پاسخگویی، قابلیت تشخیص هویت و قابلیت اعتماد دانسته و ابعاد هریک از موارد را تشریح و در ادامه ، حفاظ های قابل استفاده برای تامین هر یک از فاکتورهای امنیتی فوق را ارائه نموده است.
: ISO/IEC TRبخش پنجم 13335
،در سال 2001 تحت عنوان “رهنمود ISO/IEC TR بخش پنجم گزارش فنی شماره 13335
مدیریتی در امنیت شبکه ” منتشر شد . در این بخش ،‌پس از بیان تعاریف و ساختار ها اولیه ،‌مواردی به شرح زیر ارائه شده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 24)
1- نیازمندی های بازبینی سیاست امنیتی فن آوری اطلاعات سازمان
به منظور تامین امنیت شبکه ، لازم است ابتدا سیاست امنیتی فن آوری اطلاعات موجود ،‌بررسی شود. محتوای این قسمت از گزارش فنی، ابتدا موضوع بازبینی سیاست امنیتی فن آوری اطلاعات سازمان را
تشریح و در ادامه ، فراهم نمودن ، نیازمندی های لازم برای اجرایی نمودن سیاست ها را مطرح نموده است.
2- بازبینی ساختار و کاربرد های شبکه
به منظور تامین امنیت شبکه ،‌همچنین ساختار شبکه و کاربرد های ارائه شده یا طراحی شده برای ارائه روی شبکه ، ارزیابی شوند. محتوای این قسمت از گزارش فنی ،‌انواع شبکه ها ، پروتکل های ارتباطی و اجرای کاربردها روی شبکه را ارائه داده و مواردی که باید بررسی شوند را مطرح نموده است.
3- بازبینی انواع اتصالات شبکه
اقدام دیگری لازم است به منظور تامین امنیت شبکه انجام گیرد ، بررسی اتصالات شبکه در داخل و یا به خارج از سازمان می باشد. محتوای این قسمت از گزارش فنی ، لیستی از اتصالات ممکن در شبکه ارائه داده و در ادامه ، موضوعات قابل بررسی در ارتباط با اتصالات شبکه را ارائه نموده است.
4- ارزیابی ویژگی های شبکه و ارتباط مطمئن

پایان نامه با موضوع فن آوری اطلاعات و امنیت اطلاعات


Widget not in any sidebars

در هر سیستم اطلاع رسانی ، هریک از تجهیزات و فن آوری مورد استفاده برای ثبت نقص هایی را دارا هستند که ممکن است موجب آسیب پذیری سیستم شود. علاوه بر این آسیب پذیری ها ، هریکاز اجزاءسیستم نیز ممکن است که مورد حمله و تهدیدات از طرف عوامل داخلی و خارجی سازمان قرار گیرند. در صورتی که هریک از این تهدیدات و حملات احتمالی موفق به سودجویی از آسیب پذیری های اجزای سازنده سیستم شوند ، سازمان با یک وضعیت خطرناک امنیتی مواجه است
که می بایست برای رفع خطر هرچه سریعتر اقدام نمود. بهترین روش برای به حداقل رساندن میزان خطر ناشی از این حملات این است که سازمان روش های پیشگیری را اتخاذ کند (مهدی احمدلو ، 1389).
برای پیشگیری و یا مداخله در صورت بروز حمله می بایست کنترل های امنیتی تعریف شوند. علاوه بر کنترل های تعریف شده ، فرآیند هایی نیز می بایست تعریف شوند تا بر اعمال و بروزرسانی کنترل ها نظارت کافی و بموقع داشته باشد. در قالب کنترل های و فرآیند های لازم ، سازمان می بایست قدم های اولیه زیر را بردارد (مهدی احمدلو ،1389).
1. ارزیابی میزان ریسک : یک واحد اطلاع رسانی می بایست آسیب پذیری ها و تهدیدهای عمده ی یک سامانه و تجهیزات آن را شناسایی کند. در قدم بعد ، میزان احتمال وقوع خطر، با فرض داشتن آسیب پذیری ها و تهدیدات شناسایی شده ، می بایست ارزیابی شود. در قدم بعدی می بایست میزان خسارات وارده توسط هر خطر را محاسبه و ارزیابی نمود. ارزیابی میزان ریسک ، قدرت تصمیم گیری در زمینه های استراتژیک سازمان را افزایش می دهد. یک ارزیابی جامع و کامل می تواند نیازهای مبرم یک سازمان را به امنیت شناسایی کند.
2. وظایف حقوقی : هر سازمان نسبت به متقاضیان ، مشتریان، کارکنان، و مشترکین خود وظایف حقوقی دارند که می بایست در سیاست های امنیتی سازمان رعایت شوند. حساسیت اطلاعات یک سازمان گاها ً بر اساس یک سازمان در قبال حفظ و مراقبت از اطلاعات شخصی و یا محرمانه تعریف می شود. این تکالیف حقوقی می تواند در قالب قراردادها و یا قوانین جاری و ساری کشوری و یا مواد آیین نامه ای یک سازمان بیان شود. به عبارتی ، گاها ً بحث امنیت اطلاعات توسط یک مرجع حقوقی طی قراردادها و یا قوانین و آیین نامه ها به یک سازمان تحمیل می شوند. شناختن وظایف و تکالیف سازمانی یکی از مهمترین عامل های تعیین کننده سیاست های امنیتی یک سازمان می باشد و می بایست در فرآیند نیازسنجی هر سازمان قرار گیرد.
نیازهای کسب و کار : هر سازمان برای انجام کارهای روزمره خود به اطلاعاتی نیاز دارد که اساسا ً محور اصلی کسب و کار محسوب می شود.پردازش،ذخیره،ردیابی،گزارش گیری، و یا هرنوع فرآیند انتقال به گونه ای نیاز به فن آوری اطلاعات دارد.اساسا ً نیاز به تجهیزات و فن آوری در هر سازمان با سازمان دیگر متفاوت است.این تفاوت ها توجهی است درجهت انجام یک نیازسنجی داخلی که بتواند درجهت رفع نیازهای سازمان به یک فن آوری خاص قدم بردارد.نیازهای مختلف به فن آوری های مختلف ، سیاست های خاص خود را ایجاب می کند. این نیازها در قالب یک استاندارد بین المللی نمی تواند تعریف شود. چرا که هر سازمان بنا به ساختار ، اندازه ، شکل ، و عملکرد نیازهای متفاوتی از دیگران دارد.
ایجاد طرح امنیت اطلاعات
پس از تشخیص نیازهای امنیتی سازمان ، می بایست تدارکات تعریف یک سیستم جامعه امنیت اطلاعات ایجاد گردد.برای شروع ایجاد چنین سیستمی ، پیشنهاد می شود که قدم های ابتدایی زیر برداشته شود
تخصیص وظایف برای انجام فعالیت های امنیت اطلاعات
تدوین سند جامع سیاستگذاری امنیت سازمان
حصول اطمینان از اینکه نرم افزارهای سازمان نیازهای سازمان را رفع می کنند.
فراهم آورد شرایط آموزش ارتقاء سطح آگاهی افراد در زمینه امنیت اطلاعات
ایجاد سیستم مدیریت حوادث مربوط به امنیت
جمع آوری و تدوین لیست کامل آسیب پذیری های تجهیزات و فرآیند های اطلاعاتی شرکت
تعریف فرآیند مدیریتی جهت حصول اطمینان در تداوم کسب و کار
احترام به حقوق معنوی
مراقبت از مدارک و اسناد شرکت
محافظت از اطلاعات شخصی افراد
2-15. عوامل موفقیت در طرح امنیت

پایان نامه با موضوع سیستم مدیریت امنیت و فن آوری اطلاعات

، طرح امنیت اطلاعات سازمانی وقتی موفق است که ISOبنا به توصیه سازمان استاندارد
Widget not in any sidebars

نکات زیر در آن رعایت شده باشد (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 34).
از اینکه مدیریت سازمان عملا ً بر امنیت نظارت دارد و از سیستم جامع امنیت اطلاعات پشتیبانی می کند اطمینان حاصل شود. نظارت بر رعایت چارچوب های تعریف شده در سیستم امنیت اطلاعات می بایست از وظایف عمده و اصلی سازمان باشد.
مدیریت سازمان می بایست برای توسعه ،‌پیاده سازی ، اجرا و بهبود سیستم امنیت اطلاعات بودجه تخصیص دهد. در هر یک از فرآیندهای خرید تجهیزات ، نصب ، راه اندازی ، و یا توسعه سیستم ها مدیریت می بایست مخارج تدارکات لازم امنیتی در مراحل طراح ، توسعه، و استفاده از تجهیزات را در بودجه گنجانده شود. رویکرد سازمان به امنیت اطلاعات می بایست با فرهنگ در آن سازمان سنخیت داشته باشد.
اهداف و سیاست های امنیتی می بایست در راستای اهداف و سیاست های کلی سازمان باشد.
سازمان می بایست از خطراتی که اطلاعات را تهدید می کنند آگاهی کامل داشته باشد. مدیران سازمان می بایست نیاز به خظرسنجی را درک کنند و در دستور کار خود قرار دهند. اهداف و سیاست های امنیتی سازمان می بایست به کارکنان ، مدیران ، مشتریان ، و پیمانکاران شرکت تفهیم شود.
اطلاعات مربوط به امنیت اطلاعات می بایست بین افراد سازمان توزیع شود.
دوره های آموزشی مکرر در سطح سازمان جهت ارتقاء آگاهی افراد یک سازمان می بایست دایر گردد. فرهنگ بازخورد می بایست در سازمان رایج گردد.
یک روش ارزیابی برای سنجش وضعیت امنیت اطلاعات می بایست پایه گذاری و دایر گردد.
سازمان می بایست سیستم جامع گزارش گیری و مدیریت حوادث امنیتی پایه گذاری و دایر کند.
ISO/IEC TR 2-15.گزارش فنی 13335
این گزارش فنی در 5 بخش مستقل در فواصل سالهای 1996 تا 2001 توسط مؤسسهْ بین المللی
منتشر نشد و عنوانISO استاندارد منتشر شده است. اگر چه این گزارش فنی به عنوان استاندارد
بر آن نهاده شد ،لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکTechnical Report
های مورد نیاز مراحل ایمن سازی اطلاعات را تشریح نموده و کنترل های مورد نیازبرای محافظت فیزیکی و منطقی برای سیستم های فن آوری اطلاعات را با دقت تشریح نموده
وISO/IEC و7799 BS است. این گزارش فنی ،‌مکمل استاندارد های مدیریتی 7799
محسوب شده و در پیاده سازی سیستم مدیریت امنیت اطلاعات ، ISO/IEC خانواده ی 27000
کاربرد زیادی دارد. در این قسمت ، مروری بر بخش های مختلف این گزارش فنی ، ارائه شده است. (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 13).
ISO/IEC TRبخش اول 13335

پایان نامه با موضوع سیستم های اطلاعاتی و سیستم های اطلاعات

در سال 1996 تحت عنوان “مفاهیم وISO/IEC TRبخش اول گزارش فنی شماره 13335
مدل ها برای امنیت فن آوری اطلاعات ” منتشر شد. در این بخش ، پس از بیان تعاریف و ساختار های اولیه ، در قسمتی تحت عنوان ” مفاهیم مدیریت امنیت فن آوری اطلاعا” ، اهداف ،‌راهبردها و سیاست های امنیت فن آوری اطلاعات ،‌تشریح شده است. در ادامه و تحت عنوان “عناصر امنیت ” ،‌به مفاهیمی از قبیل دارایی،تهدید،آسیب پذیری،ریسک،ضربه،حفاظ،ریسک باقیمانده فشار،پرداخته شده و تعریف و مصادیق آنها در فن آوری اطلاعات ارائه شده است. در ادامه و تحت عنوان ” فرآیند مدیریت امنیت فن آوری اطلاعات “، به ضرورت و جایگاه مدیریت پیکربندی ، مدیریت تغییرات ، مدیریت مخاطره ، آنالیز مخاطره ، پاسخ گویی، آگاهی رسانی امنیتی ، نظارت و طرح های پشتیبانی حوادث و ترمیم خرابی در این فرآیند تشریح شده است. در خاتمه ، روابط بین عناصر و جایگاه آنها در فرآیند مدیریت ریسک ارائه شده است. (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 14).
Widget not in any sidebars

ISO/IEC TRبخش دوم 13335
” در سال 1997 تحت عنوان ” مدیریتISO/IEC TRبخش دوم “گزارش فنی شماره 13335
و طراحی امنیت فن آوری اطلاعات ” منتشر شد. در این بخش ، پس از بیان تعاریف و ساختارهای اولیه ، مواردی به شرح زیر ارائه شده است‌: (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 15).
1- مدیریت امنیت فن آوری اطلاعات
ابتدا مراحل فرآیند طراحی و مدیریت امنیت فن آوری اطلاعات متناسب با وضعیت سازمان تهیه شود .
2- سیاست امنیتی سازمان
سیاست امنیتی فن آوری اطلاعات سازمان تشریح شده و ارتباط آن با سیاست های بالا دستی سازمان ،‌شامل سیاست فروش سازمان ، سیاست امنیتی سازمان و سیاست فن آوری اطلاعات سازمان و سیاست های پایین دستی از قبیل سیاست امنیتی فن آوری اطلاعات ادارات و سیاست امنیتی سیستم های فن آوری اطلاعات می باشد.
3- تشکیلات سازمانی امنیت فن آوری اطلاعات
ساختار تشکیلات سازمانی امنیت فن آوری اطلاعات سازمان ارائه شده و وظایف و مسئولیت های هر یک از اجزاء این تشکلات تشریح شده است.
4- گزینه های قابل انتخاب برای راهبرد آنالیز ریسک سازمان
کزینه های قابل انتخاب به عنوان راهبرد آنالیز ریسک سازمان ، شامل روش پایه ،‌روش غیر رسمی، روش تفصیلی و روش ترکیبی به همراه مزایا و معایب هر یک ، تشریح شده است.
5- توصیه های امنیت فن آوری اطلاعات
متناسب با روش انتخابی برای آنالیز ریسک سازمان ، لازم است تعدادی توصیه امنیتی با هدف کاهش ریسک سیستم های اطلاعاتی ، تهیه و ارائه گردد. در این قسمت لیست و توضیحات این توضیحات این توصیه ها ارائه شده است.
6- سیاست امنیتی سیستم های فن آوری اطلاعات
ضمن تشریح مشخصات سیاست امنیتی سیستم های فن آوری اطلاعات نحو استخراج این سیاست از سیاست امنیتی فن آوری اطلاعات سازمان و سیاست امنیتی فن آوری اطلاعات اداره مربوطه ارائه شده است.
7-طرح امنیت فن آوری اطلاعات
مشخصات طرح امنیت فن آوری اطلاعات در این قسمت شده است.

پایان نامه با موضوع فن آوری اطلاعات و استاندارد سازی


Widget not in any sidebars

در هر سازمانی که به طریقی از رسانه های مجازی ، الکترونیکی ، فن آوری اطلاعات برای انجام بخشی از کارهای خود استفاده می کند ، آگاهی و دایرسازی یک سیستم مدیریت برای برقراری امنیت اطلاعات ضروری است.
تا زمانیکه سازمان ها و شرکت ها به صورت کامل اطلاعات خود را از شکل سنتی به محیط های کاملا ً مجازی تبدیل نکرده اند ، حوزه ی حفاظت امنیت اطلاعات می بایست روش های سنتی ثبت و بایگانی اطلاعات را نیز در بر گیرد. در محیط هایی که روال و فرایند های امنتیتی حفاظت از اسناد کاغذی و سنتی را در بر نمی گیرند ، امکان به مخاطره افتادن اطلاعات حساس یک سازمان افزایش پیدا می کند (احمدلو، 1389).
2-11.فرهنگ امنیت اطلاعات
امنیت اطلاعات فقط در قالب رفتار های امنیتی کارکنان یک سازمان تحقق می یابد. به هبارتی اطلاعات یک سازمان تا آنجا امنیت دارد که افراد آن سازمان بتوانند نکات امنیتی را در آن رعایت کنند. رعایت نکات امنیتی امری مقطعی نیست. تداوم در رفتار امنیتی و ارتقاء سطح کیفی یک سازمان از نکات امنیتی موجب تداوم و حفظ امنیت آن سازمان می شود.
برای نهادینه شدن رفتارهای امنیتی در یک سازمان می بایست فرهنگی ایجاد شود که رفتار های امنیتی در قالب یک ساختار معرفی می شود. تعریف یک ساختار مشخص به افراد یک سازمان قدرتمند تشخیص بهتری می بخشد. هر یک از افراد در قالب ساختار تعریف شده با وظایف خود آشنا می شود. در صورت بروز هرگونه رویداد امنیتی، هر فردی می تواند طبق یک دستورالعمل از خود واکنش نشان دهد.این ساختار تعریف شده سبب می شود که هر یک از افراد دائما ً با عواقب امنیتی رفتار خود آشنا باشد. هنگامی که تمام افراد یک سازمان با وظایف خود و عواقب امنیتی کار خود آشنا باشند ، فرهنگی در سازمان رایج می شود که در آن تمامی افراد حافظ امنیت اطلاعات آن سازمان هستند (مهدی احمدلو،1389).
2-11-1. پایه گذاری فرهنگ استاندارد در امنیت
استاندارد سازی می تواند به دوگونه پایه گذاری شود. روش اول اینکه هر سازمان استانداردی را مناسب فرآیند های خود تعریف کند و از آن پیروی کند. در این روش سازمان آزاد است به هر گونه که میخواهد چهارچوب عملکرد خود را تعریف کند. در روش دوم روال کار خود را با یکی از استاندارد های موجود وفق دهد. در این صورت سازمان یک استاندارد رایج بومی سازی کرده و در سطح سازمانی از آن استفاده می کند. هر یک از این دو طریق مزیت های خاص خود را داراست. در روش اول سازمان هیچ محدودیتی در تعریف راهکارهای خود ندارد. اما راهکارهای آن سازمان ناشناس می ماند. این روش در ضورتی مناسب است که سازمان اصرار بر مخفی بودن راهکارهای خود داشته باشد. اما در روش دوم که سازمان از استاندارد های شناخته شده استفاده می کند می تواند اعتماد سازمان های دیگر را نیز به خود جذب کند. مخصوصا ً زمانیکه آن سازمان برای کسب درآمد نیاز به جلب اعتماد دیگران را دارد.
در مواردی که یک سازمان با سازمان های جانبی دیگر در ارتباط است ، تبعیت از استاندارد مشخص به فهم طرفین در شناخت فرآیند های یکدیگر کمک می کند و هر یک به نوبه ی خود با وظایف خود
آشناست. در خصوص امنیت این موضوع اهمیت دو چندان دارد. چرا که در صورت عدم وجود استاندارد مشخص در عملکرد امنیتی ، یک سازمان اعتماد سازمان های دیگر را از دست می دهند. سازمان ها روز به روز در پی انجام معاملات با شرکت هایی هستند که از نظام استاندارد امنیتی مشخص تبعیت می کنند. مخصوصا ً اگر آن شرکت گواهی استاندارد بین المللی را کسب کرده باشد (احمدلو،‌1389).
2-12.استاندارد های رایج
علاوه بر استاندارد های سلیقه ای که برای یک سازمان مشخص با دستور کار مشخص تدوین شده،‌سازمان هایی نیز در زمینه استاندارد سازی با نظام های دولتی همکاری می کنند . اکثر کشور ها سازمانهای مستقلی دارند که بر اساس قوانین رایج آن کشور وظیفه تعریف استاندارد های مختلف آن کشور را به عهده دارند.
در زمینه امنیت نیز کشورهای زیادی هستند که سازمان های استاندارد خود را موظف به تعریف یک استاندارد ملی کرده اند. کشورهایی همچون استرالیا ، ایالات متحده آمریکا،بریتانیا و کانادا را می توان از جمله کشور هایی دانست که در تعریف استاندارد امنیت اطلاعات قدم های موفقی را برداشته اند. همه این استاندارد ها در مواردی با هم همخوانی دارند اما وجه متمایز همه آنها در این است که استاندارد ها بر اساس قوانین رایج کشور خودشان تعریف شده است. تنها یک استاندارد بین المللی وجود دارد که در زمینه ی امنیت سازمان ها را ملزم به رعایت قانون کشور
)پیروی از قوانین را ملزم می داند اما پیرویISO خاصی نمی کند. سازمان استاندارد بین المللی (
از یک قانون خاص را به عهده سازمان واگذار نی کند. در ایران نیز سازمان استاندارد جمهوری
را بومی سازیISO در زمینه امنیت ، استاندارد های تعریف شده توسط (ISIRI) اسلامی ایران
کرده و در اختیار سازمان ها قرار می دهد.
معرفی کرد. درISO) نمونه موفقی از این استاندارد امنیت را به BSI)سازمان استاندارد بریتانیا
27001: ISO/IEC تحت شماره ISO توسط BS سال 2005 میلادی بسته پیشنهادی 7799
2005 به عنوان تدوین استاندارد امنیت اطلاعات معرفی شد. طی این استاندارد ، سازمان ها

پایان نامه با موضوع زیرساخت های فناوری اطلاعات و حاکمیت فناوری اطلاعات

: مدیریت عملیاتDS13
نظارت و ارزیابی
Widget not in any sidebars

شناسایی شده اند عبارتند از (مرتضی علاءالدینیCOBIT فرایندهای اصلی این حوزه که توسط
1388،53) :
: نظارت و ارزیابی کارایی فناوری اطلاعاتME1
: نظارت و ارزیابی کنترل داخلیME2
: انطباق با نیازمندی های خارجیME3
: ایجاد حاکمیت فناوری اطلاعاتME4
بخش دوم : ارزیابی استاندارد های امنیت اطلاعات
بخش عمده مطالب این فصل ، از کتاب روش پیاده سازی استاندارد امنیت اطلاعات (27001
در سازمانها گردآوری شده است (مرتضی معتمدی فر ، 1387).ISO
2-10. مقدمه
در شکل سنتی خود ، اطلاعات از طریق رسانه های فیزیکی از قبیل کاغذ و نوارهای صوتی و تصویری انجام می شده است. امروزه ، علاوه بر روش های سنتی ، انتقال اطلاعات عمدتا ً بر روی رسانه های مجازی که بصورت شبکه ی وسیع و به هم پیوسته ای از ابزار و نرم افزارها هستند رد و بدل می شود.
ایجاد محیط امن برای انتقال اطلاعات بیش از پیش دشوار و چالش برانگیز است. چرا که همه سازمان ها و بخش های مختلف می بایست از یک زیرساخت فیزیکی (که همان شبکه جهانی اینترنت است ) و نرم افزارهای رایج برای تبادل اطلاعات استفاده کنند. علاوه بر در معرض بودن اطلاعات برای تمامی افرادی که به شکلی به شبکه اطلاعاتی متصل هستند ، دانش همگانی در خصوص فن آوری اطلاعات نیز بر میزان آگاهی افراد روز به روز می افزاید و در امر امنیت ، گاها ً ، مؤسسات چندین گام از افراد اجتماع و متخصصین پیرو هستند.وظیفه حفاظت از اطلاعات و ایجاد امنیت در خصوص اطلاعات به سه قسمت عمده تفکیک می شود . ایجاد شرایطی که در آن محرمانه بودن اطلاعات محفوظ بماند. این بدان معنا است که فقط افرادی می بایست به اطلاعات دسترسی داشته باشند که اطلاعات به آنها مربوط می شود. می بایست از رسیدن اطلاعات به افراد نامربوط جلوگیری شود. همچنین دسترسی به اطلاعات فقط برای افراد مجاز تعریف شده باشد. به این فرایند گاها ً کنترل دسترسی ها نیز می گویند.
ایجاد شرایطی که در آن زیرساخت های فناوری اطلاعات از گزند هرگونه آسیب های محیطی اعم از فیزیکی و غیر فیزیکی مصون باشند. این آسیب ها ، چه عمدی باشند ، چه غیرعمد ، می توانند ناشی از شرایط فیزیکی همچون آسیب های ناشی از خسارات سیل ، آتش سوزی و دیگر شرایط جوی ، خطوط ارتباطی نامناسب ) ، صدمات ناشی از استفاده نادرست از تجهیزات مانند سیگار کسیدن در محیط سخت افزار ،‌ریختن مایعات بر روی قطعات ، صدمات ناشی از رهاشدن تجهیزات از ارتفاع بلند ، و یا خرابکاری های عمدی افراد بر روی دستگاه ها باشد. آسیب های ناشی از شرایط غیرفیزیکی می تواند
به تنظیمات و پیکره بندی سیستم ها ، عدم رعایت اتصالات مناسب ، عدم سازگاری نرم افزارها ، و عدم آگاهی از استفاده درست از نرم افزارها مربوط باشد.
ضمانت تداوم ارائه خدمات اطلاع رسانی سازمان و در دسترس بودن بموقع اطلاعات چنانچه موجب وقفه در کار و روند کاری سازمان نشود. از آنجا که فن آوری اطلاعات بخش عمده ای از سرمایه های یک سازمان را تشکیل می دهند ، اختلال در سرویس دهی هر یک از اجزاء فن آوری سازمان ممکن است خسارات مالی سنگینی را برای آن سازمان به همراه داشته باشند. در دسترس بودن اطلاعات می بایست در هر زمان که به آن نیازی باشد در دسترس افراد مجاز قرار بگیرد. این دسترسی در دو حوزه می بایست ضمانت شود.
حوزه اول مآهیت اطلاعاتی است که داخل فایل ها ذخیره می شوند. محتوای فایل ها پیکره اصلی و حجم حساس اطلاعاتی که یک سازمان برای انجام کارهای خود به آن نیاز دارد را تشکیل می دهد . عدم دسترسی به این اطلاعات موجب وقفه و خلل در کار جاری یک سازمان می وشد. هرگونه تغییر و یا تخریب در محتوای این فایل ها نیز از خسارات امنیتی محسوب می شود.
حوزه دوم ساختار فن آوری هایی است که تحت آنها اطلاعات پردازش می شود. نرم افزارهایی که برای بازکردن فایل ها ، دسترسی به محتوای فایلها ، ذخیره اطلاعات در پایگاه های اطلاعاتی ، انتقال فایلها و فراخوانی مجدد اطلاعات از فایلها استفاده می شوند ابزار کار کارکنان آن سازمان محسوب می شوند. در دسترس بودن این ابزارها و ضمانت تداوم دسترسی به این نرم افزارها از جمله وظایف امنیت اطلاعات محسوب می شود.

پایان نامه با موضوع سیستم مدیریت امنیت و امنیت اطلاعات


Widget not in any sidebars
ISMS) می شوند. علاوه بر تدوین ISMS موظف به تدوین یک سیستم مدیریت امنیت اطلاعات‌(
سازمان ها موظف به پیاده سازی ، نظارت بر اجرا و بروز رسانی سیستم مدیریت امنیت اطلاعات خود هستند.
بازبینی می شود و در صورت رعایت تمام موارد ISOاین چهار بایسته توسط ممیزهای کارشناس
گواهی استاندارد برای آن سازمان برای مدت معین صادر می شود.
) وابسته به دولت آمریکا ازNIST ، سازمان ملی استاندارد و تکنولوژی (BSI وISOعلاوه بر
دهه 1980 میلادی بر روی استاندارد های امنیت استاندارد های امنیت اطلاعات فعالیت داشته و اسناد بسیار مفیدی را نیز بصورت مدون در دسترس همگان قرار داده اس. دولت آمریکا نیز توصیه های امنیتی این سازمان را به صورت اجباری از همه شرکت های دولتی و غیردولتی مرتبط به دولت آمریکا خواستار شده است.
و توصیه ISOآنچه در ادامه ارائه می شود معرفی استاندارد های بکار رفته خانواده ی 27000
ISMS های امنیتی آنها جهت تهیه و تدوین سیستم جامعه مدیریت امنیت اطلاعات مشهور به
است ( مهدی احمدلو ، 1389).
2-13. سیستم مدیریت امنیت اطلاعات
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ،‌نگرش سیستماتیک به مقوله امنیت اطلاعات شکل گرفت. بر اینن اساس این نگرش ، تأمین اطلاعات در یک مجموعه سازمانی ، دفعتا ً‌مقدور نمی باشد و لازم است این امر بصورت مداوم و در یک چرخه ایمن سازی شامل مراحل طراحی ، پیاده سازی، ارزیابی و صلاح ، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص ، ضمن تهیه طرحها و برنامه های امنیتی مورد نیاز ، تشکیلات لازم جهت ایجاد و تداوم امنیت اطلاعات خود را نیز ایجاد نماید.
2-14. استاندارد های مدیریت امنیت اطلاعات
در حال حاظر ، مجموعه ای از استاندارد های مدیریتی و فنی امنیت اطلاعات ارتباطات ، ارائه
مؤسسه استاندارد انگلیس ، استاندارد مدیریتی BS شده اند که استاندارد مدیریتی7799
مؤسسه بین المللی استاندارد ، ازISO/IEC TR و گزارش فنی13335 ISO/IEC17799
برجسته ترین استاندارد ها و راهنماهای فنی محسوب می گردند. در این استانداردها ، نکات زیر مورد توجه قرار گرفته شده است : (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6)
تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت
جزئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحله
لیست و محتوای طرحها و برنامه های امنیت مورد نیاز سازمان

پایان نامه با موضوع سیستم های اطلاعاتی و سیستم مدیریت امنیت

ضرورت و جزئیات ایجاد تشکیلات سیاست گذاری ، اجرائی و فنی تأمین امنیت
کنترل های امنیتی مورد نیاز برای هریک از سیستم های اطلاعاتی و ارتباطی
Widget not in any sidebars

BS2-14-1. استاندارد 7799
اولین استاندارد مدیریت امنیت اطلاعات است که توسط مؤسسه استاندارد BS استاندارد 7799
) در سال 1995 و در یک بخش BS انگلیس ارائه شده است. نسخه اول این استاندارد(1: 7799
) که در سال 1999 ارائه شد ، علاوه بر تغییر نسبتBS منتشر شد و نسخه دوم آن (2: 7799
به نسخه اول ، در دو بخش مستقل ارائه گردید. همچنین آخرین نسخه این استاندارد ، (2002 : ) ) در سال 2002 و همانند نسخه دوم ، در دو بخش منتشر گردید (دبیرخانه شورایBS 7799
عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6).
این استاندارد در حال حاضر بصورت فراگیر در سطح جهان مورد استفاده قرار می گیرد و بر اساس آمار منتشر شده در سایت گروه کاربران بین المللی سیستم مدیریت امنیت اطلاعات
تا انتهای اکتبر سال 2004 مجموعا ً تعداد 915 سازمان در سطح جهان ، موفق به (ISMS)
بر اساس این استاندار و اخذ تأییدیه از مراکز صدور گواهی مبتنی بر این استانداردISMS اجرای
شده اند. این در حالی است که بر اساس آمار همین سایت ، تا انتهای جولای 2004 تعداد سازمانهای فوق ، مجموعا ً‌808 مورد و در انتهای اکتبر 2003 ، 388 مورد بوده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 6).
BS بخش اول استاندارد 7799
در بخش اول این استاندارد ، که تحت عنوان “آیین نامه کار مدیریت امنیت اطلاعات” ارائه شده است، مجموعه کنترل های امنیتی مورد نیاز سیستم های اطلاعاتی و ارتباطی هر سازمان ، در قالب ده دسته بندی کلی شامل موارد زیر ، ارائه شده است (دبیرخانه شورای عالی امنیت فضای تبادل اطلاعات کشور.1383 ص 7).
1- تدوین سیاست امنیتی سازمان
در این بخش ، ضرورت تدوین و اعلام سیاست امنیت اطلاعات سازمان و مشخصات مورد نیاز برای چنین سیاسیتی ارائه شده است.
2- تشکیلات
در این بخش ،‌نکاتی در خصوص موضوعات زیرساخت امنیت اطلاعات در سازمان ، امنیت دسترسی شخص ثالث و واگذاری فعالیت ها به خارج از سازمان ارائه شده است.
در مورد زیرساخت امنیت اطلاعات سازمان ، نکاتی در خصوص ضرورت تشکیل مجمع مدیریت امنیت اطلاعات ، تعیین هماهنگ کننده امنیت اطلاعات ، مسئولیت ها و اختیارات مرتبطین با امنیت اطلاعات و همکاری اجزاء درگیر در تامین امنیت اطلاعات سازمان با یکدیگر ، ارائه شده است. در خصوص امنیت دسترسی شخص ثالث ، شناسایی ریسک دسترسی شخص ثالث از طریق تعیین انواع دسترسی ها ، اهداف دسترسی ها، پرسنل قراردادی و نیازهای امنیتی که باید در قرارداد های شخص ثالث مورد توجه قرار گیرند ، ارائه شده است. در خصوص واگذاری فعالیت ها به خارج از سازمان تیز ملاحظاتی که باید در قراردادها مورد توجه قرار گیرند ، ارائه شده است.

پایان نامه با موضوع طبقه بندی دارایی ها و طبقه بندی اطلاعات


Widget not in any sidebars

3- طبقه بندی دارایی ها و تعیین کنترل های لازم
در این بخش ، مواری در خصوص ضرورت شناسائی و تهیه لیست از کلیه دارایی های سازمان و ضرورت نحوه طبقه بندی اطلاعات سازمان ، ارائه شده است.
4- امنیت پرسنلی
در این بخش ،‌نکاتی در خصوص موضوعات امنیت در تعریف کار پرسنل ، آموزش کاربران و پاسخ گویی به حوادث امنیتی و ضعف عملکرد ، ارائه شده است.
در خصوص امنیت پرسنل، نکاتی در خصوص ملاحظات امنیتی در مسئولیت های کاری پرسنل ، آزمایش پرسنل قبل از بکارگیری ،‌محرمانگی پیمان ، دوره انتصاب و شرایط پرسنل ارائه شده است.
در خصوص آموزش کاربران ، ضرورت ارائه آموزش به کلیه کاربران در زمینه امنیت اطلاعات اشاره شده است. در خصوص پاسخگویی به حوادث امنیتی و ضعف عملکرد ،‌نکاتی در خصوص گزارش نمودن حوادث ،‌ضعف ها و عملکرد اشتباه نرم افزارها ، درس گرفتن از حوادث و وجود روند های انظباطی برای پرسنل ارائه شده است.
5- امنیت فیزیکی و پیرامونی
در این بخش نکاتی در خصوص موضوعات محیط های امن ، امنیت تجهیزات و کنترل های عمومی ، ارائه شده است.
در خصوص محیط های امن ، نکاتی در خصوص امنیتی فیزیکی ، کنترل مدخل های فیزیکی ،‌ایمن سازی دفاتر ، اطاق ها و وسایل ، ملاحظات کار در محیط امن و ضرورت ایزوله نمودن محیط های تحویل و بارگیری از محیطهای اطلاعاتی سازمان ارائه شده است.در خصوص امنیت تجهیزات ، نکاتی در خصوص قراردادن تجهیزات در سایت و ایمن سازی سایت ، منابع تغذیه، امنیت کابل کشی ،‌نگهداری تجهیزات و امنیت تجهیزات با قابلیت کاربرد مجدد ارائه شده است.
6- مدیریت ارتباطات و بهره برداری
در این بخش ،‌نکاتی در خصوص موضوعات رویه ها و مسئولیت های بهره برداری ، طراحی و پذیرش سیستم ، محافظت در برابر نرم افزارهای مخرب ،‌عملیات روزمره پشتیبانی، امنیت در مدیریت شبکه ، امنیت در پشتیبانی رسانه ها ، مبادله اطلاعات و نرم افزارها، ارائه شده است.
در خصوص رویه ها و مسئولیتهای بهره برداری ، نکاتی در خصوص ضرورت مستند سازی عملکرد ، کنترل موثر تغییرات ، رویه های مدیریت حوادث،‌تفکیک ماموریت ها ، جدا سازی امکانات توسعه، تست و بهره برداری سیستم ها و مدیریت امکانات خارج از سازمان ارائه شده است. در خصوص امنیت در پشتیبانی رسانه ها ، نکاتی در خصوص مدیریت رسانه های متحرک کامپیوتر ، در اختیار قراردادن رسانه ها و رویه های پشتیبانی حوادث ارائه شده است.
در خصوص مبادله اطلاعات و نرم افزارها ، نکاتی در خصوص پیمان مبادله اطلاعات و نرم افزار ،‌ امنیت رسانه در انتقال ، امنیت تجارت الکترونیک ، امنیت پست الکترونی ، امنیت سیستم های اتوماسیون اداری و سیستم های در دسترس عموم ارائه شده است.
7- کنترل دسترسی
در این بخش ، نکاتی در خصوصموضوعات نیازهای تجاری برای کنترل دسترسی ، مدیریت دسترسی کاربران ، مسئولیت کاربران ، کنترل دسترسی شبکه ، کنترل دسترسی در سیستم عامل ،‌کنترل دسترسی نرم افزارهای کاربردی ، نظارت بر استفاده و دستیابی سیستم و پردازش متحرک و کار از راه دور ،‌ارائه شده است.
در خصوص مسئولیت کاربران ، نکاتی در خصوص ثبت کاربران ،‌مدیریت اختیارات، مدیریت رمز عبور و مرور دسترسی های واقعی کاربران ارائه شده است.
در خصوص کنترل دسترسی شبکه ، نکاتی در خصوص تصدیق هویت کاربر و ایستگاه ، کنترل اتصالات و مسیریابی شبکه ، امنیت در سرویس های شبکه ارائه شده است.
8- توسعه و پشتیبانی سیستم ها
در این بخش ، نکاتی در خصوص موضوعات نیازهای امنیتی سیستم ها ، امنیت در سیستم های کاربردی ،‌کنترل های مبتنی بر رمزنگاری،‌امنیت در فایل های سیتم و امنیت در فرآیند توسعه و پشتیبانی ارائه شده است.

پایان نامه با موضوع فناوری اطلاعات و ارتباطات و آموزش نیروی انسانی


Widget not in any sidebars

2-3-11. بیومتری (سنجش حیاتی)
سنجش های حیاتی مکانیزم دیگر اعتبار دهی می باشد. آنها نیز می توانند مانع حدس زدن کلمه عبور شما توسط دیگران شوند. اسکنرهای متنوعی برای شناسایی ویژگی های فیزیکی وجود دارد که در ذل به آنها اشاره می شود : اثر انگشت؛شبکیه چشم؛کف دست؛وضعیت دست؛وضعیت صورت؛صدا.هر روش نیازمند وسیله خاصی برای تشخیص خصوصیات انسانی است. در بسیاری موارد این دستتگاه ها باید بسیار پیچیده باشند تا مانع تلاش های مزدورانه شوند ، برای مثال دستگاه های اسکن اثر انگشت باید درجه حرارت و ضربان را هم همزمان چک کنند. ( اریک میوالد،14،1385).
2-4. مبانی راهبردی و سمتندات قانونی تامین امنیت در حوزه فناوری اطلاعات
معاونت فناوری اطلاعات بر اساس وظایف ذاتی و ماموریت سازمانی خود اقدام به تدوین پیش نویس سند راهبردی نظام جامع فناوری اطلاعات در 7 حوزه راهبردی ،29 راهبرد و 133 راهکار نمود که این سند در جلسه مورخ 19/8/86 کمیسیون راهبرد شورای عالی فناوری اطلاعات به تصویب اعضای کمیسیون رسیده و نهایتاً 5/10/86 مورد تصویب هیأت محترم وزیران قرار گرفت. دلیل اصلی اجرای طرح تدوین دستورالعمل های مدیریت امنیت اطلاعات انجام حرکتی بنیادی در جهت استاندارد سازی فعالیت های جاری در حوزه فناوری اطلاعات و ارتباطات می باشد و مبتنی بر سند چشم انداز بیست ساله ریاست جمهوری اسلامی ایران دارد که بیان می دارد (عبدالمجید ریاضی،3،1388).
“ایران کشوری توسعه یافته با جایگاه اول اقتصادی ، علمی و فناوری در سطح منطقه با هویت اسلامی و انقلابی که الهام بخش در جهان اسلام و با تعامل سازنده و موثر در روابط بین الملل”.استاندارد سازی مدل مدیریت امنیت اطلاعات فعالیتی است که بتوان از طریق آن و بر اساس تعریف مدل های قابل ارزیابی ایجاد و حفظ محرمانگی، جامعیت(صحت) و دسترسی پذیری، دستیابی امن،کارا و به موقع به اطلاعات و دارایی های اطلاعاتی را تضمین ن مود و در نتیجه به اهداف زیردست یافت.
اطمینان بخشی به کاربران و طرف های اداری ،‌تجاری و بین المللی
پاسخگویی در مقابل افراد ذینفع ، کاربران،‌مراجعه حکومتی و مردم
رعایت قابل اثبات قرارها و قراردادهای دو یا چند جانبه، مقررات و قوانین موضوعه
دستیابی به سیستمی قابل بهبود و تصحیح پذیر (عبدالمجید ریاضی ، 4،1388)
2-5. ماهیت و ملاحظات اجرایی نظام مدیریت امنیت اطلاعات
هدف از تدوین دستورالعمل های اجرایی نظام مدیریت امنیت اطلاعات معرفی روشی کارا و سازمان یافته و قدم به قدم بروزرسانی یک نظام مدیریتی می باشد. به طوری که بتوان با استفاده از رهنمودهای ارائه شده و در دسترس،مبادرت به ایجاد یک مرجع یا مرکز و یا به طور کلی نهاد جهت تصدی گری امور مربوط به امنیت اطلاعات نمود. البته اندازه این نهاد و روابط آن با سایر اجزای سازمان بستگی به نیازها و سیاست گذاری های نهاد مادر دارد. به عنوان مقال ایجاد این نهاد در ستاد مرکزی یک وزارتخانه باید با توجه به ماموریت های آن وزارتخانه انجام پذیرد و متناسب با گستردگی حوزه فعالیت آن وزارتخانه در سطح کشور و یا سطح اهمیت فعالیت های آن وزارتخانه باشد.
از طرف دیگر ممکن است متقاضی ایجاد این نهاد یک واحل تولیدی متوسط در یکی از شهرک های صنعتی باشد. بدیهی است که در سط وزارتخانه مذکور لازم است هماهنگی های بیشیر به عمل امده ئ افراد موثر در تصمیم سازی و تصمیم سازی و تصمیم گیری ها به کمک فراخوانده شوند ،‌اما در سطح واحد تولیدی می توان وظایف این نهاد را به یک نفر از کارشناسان رایانه که آموزش کافی دیده است واگذار نمود.
صرف نظر از اندازه نهاد یا سازمان ، در هنگام تشکیل هر نهاد یا سازمان لازم است ابزار و امکانات زیر فراهم شود یا به عبارت دیگر هر نهاد یا سازمان متشکل از فعالیت ها و اجزای زیر است :
تعیین حوزه فعالیت،سیاست گذاری و انتخاب خط مشی عملیاتی
طراحی زیر مجموعه های عملیاتی ، نمودار سازمانی و سازماندهی
تهیه مقررات ، دستورالعملهای اجرایی و رویه ها
تامین نیروی انسانی مجرب یا آموزش نیروی انسانی موجود براساس مقررات و دستورالعمل های اجرایی و رویه ها در طرح حاضر نیز به الزامات فوق توجه شده است و دستور العمل های ایجاد نظام مدیریت امنیت اطلاعات به طوری تدوین شده اند که پاسخگوی نیازهای ایجاد یک سازمان یا نهاد جهت ایجاد نهاد متصدی امنیت اطلاعات سازمان با هر اندازه یا سطح باشند. به طور کلی دستورالعمل های اجرایی
نظام مدیریت امنیت اطلاعات از دیدگاه اجرایی قابل تقسیم به سه دسته کلی می باشند که عبارتند از (عبدالمجید ریاضی،7،138) :
دستورالعمل های مربوط به سیاست گذاری کلان و انتخاب خط مشی عملیاتی
1 2 3 4 67