Persian Data Network

Home مقاله ها امنيت اطلاعات آيا استاندارد BS7799 مورد نياز شماست؟

آيا استاندارد BS7799 مورد نياز شماست؟

نويسنده: مهندس كيانوش مراديان

ناشر : وب سايت تخصصي شبكه

تاريخ نشر : 20 مرداد 1383

BS7799 يعني چه؟

BS7799 استانداردي انگليسي و راهنمايي براي حفاظت اطلاعات و تجهيزات سازمان مي باشد.BS7799 در دو قسمت ISO/IEC 17799:2000 و BS7799-2 1999 آمده است.

بخش اول كدهاي استانداردي است كه راهنماي اوليه براي حفاظت دارايي و اطلاعات يك سازمان مي باشد كه بايد اجرا شود. محدوده اين استاندارد صوت،اينترنت ، تلفن ها ، نمابر و . . . را در بر مي گيرد.

بخش دوم شرايط استاندارد مديريتي براي مديريت و امنيت اطلاعات (ISMS) مي باشد. با كمك اين بخش به سازمانها پيمودن مراحل مختلف اين قالب مديريتي آموزش داده مي شود. اين قالب ، افراد ، سيستم IT و پروسه هاي مختلف را در بر مي گيرد.

ISMS يا Information Security Management System براي حصول موارد زير ايجاد مي شود.

- دارايي هاي با ارزش كه نياز به حفاظت دارند مشخص خواهند شد.

- سازمان را براي مديريت خطرها آماده مي كند.

- كنترل هاي مختلف را براي اين حفاظت ايجاد مي كند.

- ميزان اطمينان مورد نياز را مشخص مي كند.

كنترل هايي كه در BS7799-2:1999 لحاظ شده است به قرار زير است :

1- سياست هاي امنيتي

2- امنيت سازمان

3- دسته بندي دارايي هاي با ارزش و كنترل آنها

4- امنيت افراد

5- امنيت فيزيكي و محيط كار

6- امنيت ارتباطات و مديريت اجرا

7- كنترل دسترسي ها

8- سيستم نگهداري و ارتقاء

9- نقشه ادامه Bussiness شركت

10- سازگاري با موارد قانوني

چرا BS7799 معروف است ؟

بيشتر صحبتها امروزه در مورد BS7799-2 است كه در سال 1999 منتشر شده است. دليل محبوبيت اين استاندارد در سالهاي اخير اهميت بسيارزيادحفاظت اطلاعات مي باشد.

امروزه دسته بندي و درجه بندي اهميت دارايي هاي با ارزش سازمان توسط مديريت سازمان مشخص مي شود. هر چقدر اين دسته بندي و اطلاعات كامل تر باشند پيشبرد اهداف امنيتي يك سازمان آسان تر صورت خواهد پذيرفت. همانطور كه مي دانيد “Knowledge is power”.

BS7799-2 يكي از معدود روشهايي است كه اطلاعات و امنيت آنها را با جزئيات كامل بيان مي كند. در واقع چگونگي مديريت امنيت اطلاعات توسط BS7799 بيان شده است.

سازگاري !

سازگاري با BS7799 سازمان را مجبور مي سازد سيستم امنيت اطلاعات را اجرا نموده و مستند نمايد همچنين بندهاي كنترلي مختلف در آن سازمان اجرا خواهند شد.

گواهينامه !

گواهينامه BS7799 در صورت مستند بودن كليه موارد امنيتي يك سازمان و همچنين به اجرا درآمدن صحيح آنها به سازمان تعلق مي گيرد. در واقع پياده سازي كليه كنترلهاي BS7799 شرط دريافت گواهينامه مي باشد.

قبل از تطابق و حركت در مسير داشتن اين استاندارد موارد زير مدنظر هستند.

1- دانستن وسعت و گستردگي كنترلهاي مختلف استاندارد

2- مشخص كردن كنترلهاي وابسته به سازمان

3- سنجيدن فوائد استاندارد با توجه به هزينه ها و زمان

4- نيازمنديهاي قانوني

5- نيازمنديهاي تنظيمي

6- ساختار سازمان

ممكن است در اين ارزيابي اوليه خيلي از سازمانها به اين نتيجه برسند كه نياز براي اجراي كامل استاندارد وجود ندارد و تنها به استاندارد سازي بخشي از سازمان اكتفا نمايند.

چه مواردي جهت اين سازگاري لازم هستند؟

اولين قدم براي رسيدن به اين مهم برقراري و نگهداري مستندات ISMS مي باشد.

1- دارايي هاي با ارزش حفاظت شوند

2- سازمان به سمت مديريت خطرات پيش برود

3- كنترلهاي موجود در استاندارد لحاظ شود

4- درجه امنيت مورد نياز سازمان تعيين شود

سازگاري با BS7799 اجراي شش مرحله را طلب مي كند.


مرحله اول : سياست هاي امنيت اطلاعات سازمان مشخص مي شود.

مرحله دوم : ناحيه اجراي استاندارد مشخص مي شود. سازمان مشخص مي كند كدام كنترل ها براي سازمان ضروري مي باشند . حاصل اين كنترل هاي انتخاب شده به نيازمنديهاي سازمان، دارايي هاي نيازمند به ايمني ،مكان و تكنولوژي بستگي دارد.

مرحله سوم : ارزيابي خطرات : هدف از اين ارزيابي مشخص كردن تهديدها و مخاطرات دارايي ها مي باشد. نتيحه اين ارزيابي درجه خطر را مشخص مي نمايد.

مرحله چهارم : مديريت خطرها مي باشد. محدوده مديريت خطر توسط سياستهاي امنيتي اطلاعات و همچنين ميزان امنيت مورد نياز سازمان مشخص خواهد شد.

مرحله پنجم : انتخاب كنترل ها در بند 4 استاندارد BS7799 لحاظ شده است كه بايد اجرا شوند.

مرحله ششم : امكان پذيري اجرا مدنظر قرار گيرد

يك سازمان نياز به مستند كردن كنترلهاي انتخاب شده دارد. بعضي از اين كنترلها به دليل ماهيت سازمان نياز به اجرا ندارند كه بايد مشخص شوند.

BS7799

شش مرحله اصلي در BS7799

آيا بايد گواهينامه گرفت ؟

تصميم گيري در اين مورد كاملا خصوصي است و به موارد زير و ميزان اهميت امنيت در يك سازمان بستگي دارد.

1- محدوده امنيتي مشخص شود

2- مستندات و اجرا با كنترلهاي مصوب در استاندارد سازگاري داشته باشد.

3- استثنا ها مشخص و توجيه منطقي شوند.

بعد از اين مراحل مي توان براي دريافت گواهينامه BS7799 اقدام كرد لذا نياز به حضور ارزياب و كارشناسان BS7799 پيدا خواهد شد.

اجراي پيش نيازها پروسه پرزحمت و مداومي را طلب مي كند كه بايد با دقت و كاملا دقيق اجرا شود. براي اجرا اين پيش نيازها نياز به مرور دوره اي توسط ارزياب هاي BS7799 مي باشد كه در صورت اخذ گواهينامه BS7799 اين بازديد توسط ارزيابان BS7799 هر سه سال تكرار خواهد شد.

در آخر ، نتايج اخذ اين مدرك و مفيد بودن آن در پيشبرد اهداف سازمان بايد كاملا مدنظر قرار گيرد.

البته اعتباري كه يك سازمان در نتيجه اخذ اين مدرك خواهد گرفت بايد مورد توجه قرارگيرد.

تفكر اينكه اخذ اين گواهينامه 100% اطلاعات شما را امن مي كند كاملا اشتباه است و تنها شما قادر شده ايد خطرات را تا حد زيادي پيش بيني كرده ، قانونمند نموده و خنثي نماييد.

چه مواردي براي اخذ گواهينامه مورد نياز است؟

براي دريافت اين گواهينامه كليه سازگاريها با بندهاي استاندارد صورت پذيرد همچنين نياز به بازديدهاي دوره اي توسط ارزيابهاي BS7799 مي باشد. پس از محقق شدن كليه مراحل و ارزيابي هاي مختلف و سازگاري كامل، شخص گواهينامه دهنده ازشركت معتبر BSI جهت بازديد نهايي و اعطاي گواهينامه مراجعه خواهد كرد . در صورت عدم تطابق بيش از يك كنترل مهم اعطاي گواهينامه به آينده و بازديد بعدي منوط خواهد شد.

نتيجه : BS7799-2 استانداردي مديريتي براي حفاظت از اطلاعات و دارايي هاي با اهميت يك سازمان مي باشد و اگر سازمان شما نيازمند امنيت اطلاعات است BS7799 نظر شما را تامين خواهد كرد.