بررسی سیستم های امنیتی - اطلاعاتی Issaf
امروزه ارزیابی امنیتی سیستم های اطلاعاتی بر طبق نیازهای تجاری از جمله اجرای جدا ناپذیر استراتژی های کاری یک سازمان می باشد. در حالی که تعداد معدود و محدودی استاندارد اسلوب و چهارچوب برای رسیدگی به امنیت اطلاعات و فیلد هایی که می بایست مورد بررسی قرار گیرند در دسترس می باشد هیچ یک از آنها چگونگی و دلیل انجام این رسیدگی و حتی روش های امن سازی پارامترهای مورد بحث را تحت پوشش قرار نمی دهند.
(INformation SYStem Security Assessment Framework FIssa) یک چهارچوب ساخت یافته برای بررسی امنیت اطلاعات می باشد که امر بررسی امنیتی را تحت بخش های متنوع و مختلف ارائه داده و به ذکر جزییات در مورد هریک از بخش های عنوان شده می پردازد. این توضیحات شامل مواردی است که می بایست مورد ارزیابی قرار گیرند و همچنین روش و محدوده بررسی. در ISSAF سعی بر آن شده تا فیلد های مطرح شده برای بررسی انعکاسی از موارد واقعی و کاملً کاربردی باشد.
ISSAFمی بایست بعنوان یک مرجع و راهنمای اولیه برای رفع نیاز بررسی امنیتی سازمان ها و همچنین بعنوان مرجعی برای سایر موارد امنیتی مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش های کوچک و مفیدی را برای پیشبرد پروسه های امنیتی بررسی و محکم سازی و ترسیم تصویر کاملی از ضعف های امنیتی موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده های بررسی مختلفی تقسیم بندی شده که هر بخش توسط یک متخصص در آن زمینه خاص تهیه و مورد بازبینی قرار گرفته است.
▪ توضیحی در مورد معیارهای رسیدگی
▪ اهداف و ایده آل ها
▪ شرایط لازم برای انجام بررسی
▪ مراحل و پروسه بررسی
▪ عنوان نتایجی که انتظار می رود
▪ پیشنهاد روش ها و اقدامات مقابله و متقابل
▪ ارجاع به مطالب و منابع خارجی
مطالب ارائه شده در این چهارچوب گسترده می باشند. ما تصمیم به ارائه هرچه بیشتر اطلاعات کردیم با این قصد که استفاده کننده از این چهارچوب بجای نیاز به گسترش و بسط دادن مطالب لازم و عنوان شده از آنها صرف نظر و چشم پوشی کند. ISSAF یک سند باز می باشد که بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و به روز رسانی خواهد شد.
▪ استاندارد سازی پروسه بررسی امنیتی سیستم های اطلاعاتی
▪ به کارگیری حداقل و کوتاه ترین پروسه قابل قبول وممکن
▪ فراهم کردن یک روال استاندارد که بررسی می تواند ( باید ) بر اساس آن انجام شود
▪ بررسی و بازبینی اقدامات پیاده سازی شده برای مقابله با دسترسی غیرمجاز
▪ عمل کردن بعنوان یک مرجع اجرا سازی امنیت اطلاعات
▪ تقویت پروسه های امنیتی و تکنولوژی های موجود
هدف اصلیISSAF فراهم آوردن یک نقطه رجوع واحد برای بررسی امنیتی می باشد. و در تهیه آن سعی بر آن شده تا مواردی که عنوان می گردد نزدیکی هرچه بیشتری به پیامد ها و مسایل بررسی های امنیتی واقعی داشته باشد که این موضوع از لحاظ کاری موقعیتی ارزشمند را فراهم می کند.
برای دسترسی به این هدف ISSAF از این دستورکار استفاده می کند:
▪ ارزیابی رویه های امنیت اطلاعات سازمان ها برای اطمینان از اینکه با معیارها و نیازهای صنعتی مطابقت داشته و آئین نامه ها و قوانین تعریف شده را مختل نمی کنند.
▪ تشخیص نیازهای حیاتی زیربنای سیستم های اطلاعاتی مورد نیاز سازمان ها برای انجام پروسه های کاری و ارزیابی امنیت آنها
▪ هدایت پروسه های تشخیص نقاط آسیب پذیر و تست نفوذ برای نمایان کردن نقاط ضعف سیستم ها و در نتیجه تشخیص نقاط ضعف مربوط به شبکه سیستم ها و برنامه ها *ارزیابی کنترل های اعمال شده بر حوزه های مختلف امنیت با:
▪ پیدا کردن تنظیمات غلط اعمال شده و تصحیح آنها
▪ تشخیص ریسک های شناخته شده و ناشناخته مربوط به فناوری و اداره کردن آنها
▪ تشخیص ریسک های شناخته شده و ناشناخته مربوط به کارکنان و پروسه های کاری و اداره کردن آنها
▪ تحکیم و تقویت پروسه ها و فناوری های موجود
▪ اولویت بندی انجام بررسی ها بر اساس میزان اهمیت سیستم هزینه بررسی و منافع مورد توقع
▪ تربیت کردن افراد برای انجام بررسی های امنیتی
▪ تربیت کردن افراد در زمینه سیستم های امنیتی شبکه ها و برنامه ها
▪ ارائه اطلاعات در زمینه
▪ بازبینی گزارش ها مانیتورینگ و پروسه های ممیزی و بررسی
▪ تهیه و بازبینی روال های بازیابی از حوادث
▪ بازبینی مسایل مربوط به outsource کردن امنیت
▪ مطابقت دادن با استاندارد های قانونی و قواعد
▪ ایجاد آگاهی امنیتی
▪ مدیریت موثر پروژه های بررسی امنیتی
▪ محافظت در برابر حملات مهندسی اجتماعی
▪ بازبینی امنیت فیزیکی
این خط مشی بر اساس استفاده از کوتاه ترین راه برای رسیدن به هدف شخص بر اساس یافتن نقاط ضعفی که بطور موثر و با کمترین تلاش قابل بهره برداری هستند می باشد. هدف این چهارچوب دادن تمامیت ودقت و کارایی به امر بررسی امنیتی می باشد.
ISSAF یک چهارچوب جامع و ژرف می باشد که به پرهیز از عواقب استفاده از روش های بررسی امنیتی ناقص و غیر استاندارد کمک می کند.
در ISSAFسعی ما بر آن بوده تا چهارچوب بررسی امنیتی سیستم های اطلاعاتی کامل تری نسبت به انواع موجود و مشابه تهیه گردد و هدف سبک سازی ریسک های آمیخته با خود پروسه بررسی امنیتی می باشد. این به ما کمک می کند تا خطراتی را که ما را در حین انجام امورکاری روزانه تهدید می کند بهتر بشناسیم. تهدیدات افشا سازی اطلاعات وآسیب پذیری هایی که سازمان ما را تهدید میکنند بسیار بزرگتر از آن هستند که از بتوان از آنها صرف نظر کرد.در حال حاضر ISSAF پاسخگوی تمامی نیازها و موقعیت ها نمی باشد اما ما با بهبود مطالب عنوان شده کنونی و اضافه کردن حوزه های جدید متعهد به بهبود پیوسته این چهارچوب شده ایم.
▪ ارزیاب های داخلی و خارجی امنیتی، بررسی کننده های نفوذ، ممیزی های امنیتی
▪ افراد حرفه ای که پیرامون مسایل امنیت اطلاعات دارای مسوولیت می باشند
▪ مهندسین و مشاورین امنیتی
▪ مدیران پروژه های بررسی امنیت
▪ موارد مربوط به سیستم های اطلاعاتی با مسوولیت امنیت اطلاعات
▪ مدیران سیستم / شبکه / وب
▪ مدیران فنی
معرفي سايت مرتبط با اين مقاله
(INformation SYStem Security Assessment Framework FIssa) یک چهارچوب ساخت یافته برای بررسی امنیت اطلاعات می باشد که امر بررسی امنیتی را تحت بخش های متنوع و مختلف ارائه داده و به ذکر جزییات در مورد هریک از بخش های عنوان شده می پردازد. این توضیحات شامل مواردی است که می بایست مورد ارزیابی قرار گیرند و همچنین روش و محدوده بررسی. در ISSAF سعی بر آن شده تا فیلد های مطرح شده برای بررسی انعکاسی از موارد واقعی و کاملً کاربردی باشد.
ISSAFمی بایست بعنوان یک مرجع و راهنمای اولیه برای رفع نیاز بررسی امنیتی سازمان ها و همچنین بعنوان مرجعی برای سایر موارد امنیتی مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش های کوچک و مفیدی را برای پیشبرد پروسه های امنیتی بررسی و محکم سازی و ترسیم تصویر کاملی از ضعف های امنیتی موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده های بررسی مختلفی تقسیم بندی شده که هر بخش توسط یک متخصص در آن زمینه خاص تهیه و مورد بازبینی قرار گرفته است.
▪ توضیحی در مورد معیارهای رسیدگی
▪ اهداف و ایده آل ها
▪ شرایط لازم برای انجام بررسی
▪ مراحل و پروسه بررسی
▪ عنوان نتایجی که انتظار می رود
▪ پیشنهاد روش ها و اقدامات مقابله و متقابل
▪ ارجاع به مطالب و منابع خارجی
مطالب ارائه شده در این چهارچوب گسترده می باشند. ما تصمیم به ارائه هرچه بیشتر اطلاعات کردیم با این قصد که استفاده کننده از این چهارچوب بجای نیاز به گسترش و بسط دادن مطالب لازم و عنوان شده از آنها صرف نظر و چشم پوشی کند. ISSAF یک سند باز می باشد که بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و به روز رسانی خواهد شد.
● اهداف ISSAF
▪ استاندارد سازی پروسه بررسی امنیتی سیستم های اطلاعاتی
▪ به کارگیری حداقل و کوتاه ترین پروسه قابل قبول وممکن
▪ فراهم کردن یک روال استاندارد که بررسی می تواند ( باید ) بر اساس آن انجام شود
▪ بررسی و بازبینی اقدامات پیاده سازی شده برای مقابله با دسترسی غیرمجاز
▪ عمل کردن بعنوان یک مرجع اجرا سازی امنیت اطلاعات
▪ تقویت پروسه های امنیتی و تکنولوژی های موجود
هدف اصلیISSAF فراهم آوردن یک نقطه رجوع واحد برای بررسی امنیتی می باشد. و در تهیه آن سعی بر آن شده تا مواردی که عنوان می گردد نزدیکی هرچه بیشتری به پیامد ها و مسایل بررسی های امنیتی واقعی داشته باشد که این موضوع از لحاظ کاری موقعیتی ارزشمند را فراهم می کند.
برای دسترسی به این هدف ISSAF از این دستورکار استفاده می کند:
▪ ارزیابی رویه های امنیت اطلاعات سازمان ها برای اطمینان از اینکه با معیارها و نیازهای صنعتی مطابقت داشته و آئین نامه ها و قوانین تعریف شده را مختل نمی کنند.
▪ تشخیص نیازهای حیاتی زیربنای سیستم های اطلاعاتی مورد نیاز سازمان ها برای انجام پروسه های کاری و ارزیابی امنیت آنها
▪ هدایت پروسه های تشخیص نقاط آسیب پذیر و تست نفوذ برای نمایان کردن نقاط ضعف سیستم ها و در نتیجه تشخیص نقاط ضعف مربوط به شبکه سیستم ها و برنامه ها *ارزیابی کنترل های اعمال شده بر حوزه های مختلف امنیت با:
▪ پیدا کردن تنظیمات غلط اعمال شده و تصحیح آنها
▪ تشخیص ریسک های شناخته شده و ناشناخته مربوط به فناوری و اداره کردن آنها
▪ تشخیص ریسک های شناخته شده و ناشناخته مربوط به کارکنان و پروسه های کاری و اداره کردن آنها
▪ تحکیم و تقویت پروسه ها و فناوری های موجود
▪ اولویت بندی انجام بررسی ها بر اساس میزان اهمیت سیستم هزینه بررسی و منافع مورد توقع
▪ تربیت کردن افراد برای انجام بررسی های امنیتی
▪ تربیت کردن افراد در زمینه سیستم های امنیتی شبکه ها و برنامه ها
▪ ارائه اطلاعات در زمینه
▪ بازبینی گزارش ها مانیتورینگ و پروسه های ممیزی و بررسی
▪ تهیه و بازبینی روال های بازیابی از حوادث
▪ بازبینی مسایل مربوط به outsource کردن امنیت
▪ مطابقت دادن با استاندارد های قانونی و قواعد
▪ ایجاد آگاهی امنیتی
▪ مدیریت موثر پروژه های بررسی امنیتی
▪ محافظت در برابر حملات مهندسی اجتماعی
▪ بازبینی امنیت فیزیکی
این خط مشی بر اساس استفاده از کوتاه ترین راه برای رسیدن به هدف شخص بر اساس یافتن نقاط ضعفی که بطور موثر و با کمترین تلاش قابل بهره برداری هستند می باشد. هدف این چهارچوب دادن تمامیت ودقت و کارایی به امر بررسی امنیتی می باشد.
● چرا ما به فکر ISSAF افتادیم؟
ISSAF یک چهارچوب جامع و ژرف می باشد که به پرهیز از عواقب استفاده از روش های بررسی امنیتی ناقص و غیر استاندارد کمک می کند.
در ISSAFسعی ما بر آن بوده تا چهارچوب بررسی امنیتی سیستم های اطلاعاتی کامل تری نسبت به انواع موجود و مشابه تهیه گردد و هدف سبک سازی ریسک های آمیخته با خود پروسه بررسی امنیتی می باشد. این به ما کمک می کند تا خطراتی را که ما را در حین انجام امورکاری روزانه تهدید می کند بهتر بشناسیم. تهدیدات افشا سازی اطلاعات وآسیب پذیری هایی که سازمان ما را تهدید میکنند بسیار بزرگتر از آن هستند که از بتوان از آنها صرف نظر کرد.در حال حاضر ISSAF پاسخگوی تمامی نیازها و موقعیت ها نمی باشد اما ما با بهبود مطالب عنوان شده کنونی و اضافه کردن حوزه های جدید متعهد به بهبود پیوسته این چهارچوب شده ایم.
● استفاده کنندگان این چهارچوب
▪ ارزیاب های داخلی و خارجی امنیتی، بررسی کننده های نفوذ، ممیزی های امنیتی
▪ افراد حرفه ای که پیرامون مسایل امنیت اطلاعات دارای مسوولیت می باشند
▪ مهندسین و مشاورین امنیتی
▪ مدیران پروژه های بررسی امنیت
▪ موارد مربوط به سیستم های اطلاعاتی با مسوولیت امنیت اطلاعات
▪ مدیران سیستم / شبکه / وب
▪ مدیران فنی
معرفي سايت مرتبط با اين مقاله
تصاوير زيبا و مرتبط با اين مقاله