نويسنده : كيانوش مراديان
CCNA ، BS7799 LA
تاريخ انتشار : 8 مهر 1383
ناشر : مهندسي شبكه همكاران سيستم
آيا دارايي هاي سازمان شما مورد ارزيابي قرار مي گيرند؟
BS7799 استانداردي است كه شما را قادر به ارزيابي اطلاعات و محافظت از آن مي كند در واقع اطلاعات ، كليد موفقيت و رشد هر سازماني است.
امروزه اطلاعات مهمترين دارايي هرسازماني مي باشد كه نظير ساير وسايل موجود در سازمان داراي ارزش بوده و درنتيجه بايد بطور مناسب حفاظت گردد.
دسترسي غيرمجاز و رخنه به اطلاعات روي ديسك ها ، كامپيوترها و استفاده غيرمجاز از آنها تبديل به معضل شده است و اين دسترسي توسط كارمندان يك سازمان،كاربران اينترنت و يا توسط عوامل ديگر صورت مي گيرند لذا سازمان ها و شركت ها ناگزير به دنبال پياده سازي موارد امنيتي مي باشند.
براي پياده سازي امنيت تنها توجه به مسائل تكنيكي كافي نيست بلكه ايجاد سياستهاي كنترلي و استاندارد كردن آن و همچنين ايجاد روالهاي صحيح درصد امنيت اطلاعات را بالا خواهد برد.
فوائد اجرا و گرفتن گواهينامه BS7799 به شرح زيرمي باشد:
اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
ايجاد اطمينان نزد مشتريان و شركاي تجاري
امكان رقابت بهتر با ساير شركت ها
ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد.
استانداردBS7799 پرسنل،تكنيك ها و ايده ها را ايمن خواهد ساخت.
امروزه داشتن حجم بالاي اطلاعات در سازمان نيازمند پياده سازي استاندارد مناسب در زمينه امنيت مي باشد. اهميت اين قضيه در برخي سازمان ها حساس تر مي باشد. شركت هاي بيمه ، بانك ها و پيمانكاران مختلف نمونه اينگونه سازمان ها هستند. همچنين شركت هاي ساختماني و شركت هاي مشاوره اي نيازمند حفاظت از اطلاعات خود و يا بهتر بگوييم اطلاعات ساير سازمان ها مي باشند اين اطلاعات در قالب طراحي ، نقشه ها و اطلاعات عمومي و . . . هستند. هدف اصلي و نگرش به استاندارد BS7799 در سه قالب جلوگيري ، حفاظت و ثبت اطلاعات مي باشد. استاندارد انواع مختلف اطلاعات مربوط به سازمان نظير امضاي الكترونيكي، اسناد مكتوب و . . . را شامل مي شود اما بحث پياده سازي سياست كنترلي مشخص براي افراد مختلف درون سازماني و برون سازماني از اهميت بالاتري برخوردار است. نحوه اطمينان به پرسنل و روالهاي مختلف براي برخورد با افرادي كه از شركت مي روند شامل اين استاندارد مي شود.
BS7799 نتيجه تلاش براي رسيدن به يك قالب مشترك پياده سازي استاندارد امنيت براي سازمان هاي مختلف با زمينه كاري مختلف مي باشد. امروزه استاندارد ISO راهنمايي خاص را براي رسيدن به اين منظور به نام ISO/IEC 17799:2000 ارائه داده است كه در واقع تمريني جدي و عالي براي پياده سازي امنيت اطلاعات مي باشد. اين رهنمودها با دقت خاصي در استاندارد BS7799-2:2002 گردآوري شده است كه نتيجه پياده سازي آن اخذ گواهينامه امنيت اطلاعات مي باشد. پياده سازي اين استاندارد سبب خواهد شد تا امكان سوء استفاده از اطلاعات ، ازبين رفتن آن و ساير خطرات به حداقل برسد.امنيت اطلاعات براي جلوگيري از دسترسي هاي غير مجاز به اطلاعات ايجاد شده است. BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) ، صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي نمايد.
Confidentiality : تنها افراد مجاز ، به اطلاعات دسترسي خواهند يافت.
Integrity : كامل بودن ، صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.
ISO/IEC 17799 Information Technology-Code
of practice for information security
كنترلهاي زير موارد پايه اي براي پياده سازي سيستم امنيت اطلاعات هستند:
1- سياستهاي امنيتي
2- امنيت سازمان
3- كنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيكي
6- مديريت ارتباط ها
7- كنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10- سازگاري با موارد قانوني
BS7799-2:2002 ISMS-Specification with guidance for use
هدف اصلي و اوليه سيستم مديريت امنيت اطلاعات حفاظت از اطلاعات مي باشد. ساختار اين پردازش بر پايه رده بندي دارايي هاي سازمان و درجه اهميت آن ها بنا نهاده شده است. اين دارايي ها ممكن است امضاي الكترونيكي ، اسناد مكتوب و يا دارايي هاي فيزيكي نظير كامپيوترها و شبكه و يا هرچيز با ارزش ديگري باشد. دراين تعريف حتي افراد مختلف سازمان هم دارايي محسوب مي شوند.
تصوير بالا وظايف اصلي و پايه اي را در ISMS يا سيستم مديريت امنيت اطلاعات نشان مي دهد.با دقت در اين عكس پويا بودن اين سيستم كاملا مشهود است.
BS7799-2002 شامل ليستي از كنترل ها مي باشد كه نياز واقعي سازمان به داستن استانداردي كامل و پويا را برطرف مي كند.
مراحل اخذ گواهينامه امنيت اطلاعات
سيستم ISMS براي هر سازمان و شركت برپايه خطرات مختلف محتمل در آن شركت پياده سازي مي شود كه نيازمند به بازرسي هاي مداوم توسط شخص خبره و آشنا به مفاهيم استاندارد BS7799 دارد.پس از پياده سازي و بازرسي هاي دقيق براي اجراي بدون نقص 127 كنترل مصوب در استاندارد شخص گواهي دهنده ( Certification Body) جهت بازرسي نهايي و تعيين صلاحيت براي دادن گواهينامه امنيت مراجعه كرده و سازمان را مورد ارزيابي دقيق قرار مي دهد.براي گرفتن گواهينامه اجراي دقيق كليه كنترل هايي كه قابل پياده سازي هستند نياز است.
ISMS سيستم مديريتي كامل و مجتمع مي باشد.
اين استاندارد در رديف ISO 9001:2000 و ISO 14001:1996 براي پشتيباني و نظارت در صحت اجرا و پياده سازي مي باشد.
چه كسي قادر به گرفتن اين گواهينامه است؟
اين استاندارد به سازمان ها ، اداره ها ، سايت ها و كليه زيرمجموعه هاي اداري قابل اعطاء مي باشد. سازمان ها با اندازه هاو پيچيدگي هاي مختلف قادر هستند با پياده سازي اين كنترل ها گواهينامه معتبر و بين المللي BS7799 اخذ كنند.