سیستم مدیریت امنیت اطلاعات (ISMS)

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمن*سازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی*باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن*سازی شامل مراحل طراحی، پیاده*سازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
1- تهیه طرح*ها و برنامه*های امنیتی موردنیاز سازمان
2- ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
3- اجرای طرح*ها و برنامه*های امنیتی سازمان

در حال حاضر، مجموعه*ای از استانداردهای مدیریتی و فنی ایمن*سازی فضای تبادل اطلاعات سازمان*ها ارائه شده*اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین*المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین*المللی استاندارد از برجسته*ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می*گردند.
در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
1- تعیین مراحل ایمن*سازی و نحوه شکل*گیری چرخه امنیت اطلاعات و ارتباطات سازمان
2- جرئیات مراحل ایمن*سازی و تکنیکهای فنی مورد استفاده در هر مرحله
3- لیست و محتوای طرح*ها و برنامه*های امنیتی موردنیاز سازمان
4- ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
5- کنترل*های امنیتی موردنیاز برای هر یک از سیستم*های اطلاعاتی و ارتباطی سازمان

مروری بر استانداردهای مدیریت امنیت اطلاعات

استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان*ها، عبارتند از:
· استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس
· استاندارد مدیریتی ISO/IEC 17799 موسسه بین*المللی استاندارد
· گزارش فنی ISO/IEC TR 13335 موسسه بین*المللی استاندارد
در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.

2-1- استاندارد BS7799 موسسه استاندارد انگلیس
استاندراد BS7799 اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم این استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS7799:2002) نیز در سال 2002 و در دو بخش منتشر گردید.

2-1-1- بخش اول
در این بخش از استاندارد، مجموعه کنترل*های امنیتی موردنیاز سیستم*های اطلاعاتی و ارتباطی هر سازمان، در قالب ده دسته*بندی کلی شامل موارد زیر، ارائه شده است:
1- تدوین سیاست امنیتی سازمان
در این قسمت، به ضرورت تدوین و انتشار سیاست*های امنیتی اطلاعات و ارتباطات سازمان ، بنحوی که کلیه مخاطبین سیاست*ها در جریان جزئیات آن قرار گیرند، تاکید شده است. همچنین جزئیات و نحوه نگارش سیاست*های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است.
2- ایجاد تشکیلات تامین امنیت سازمان
در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت*های هر یک از سطوح، ارائه شده است.
3- دسته*بندی سرمایه*ها و تعیین کنترل*های لازم
در این قسمت،ضمن تشریح ضرورت دسته*بندی اطلاعات سازمان، به جزئیات تدوین راهنمای دسته*بندی اطلاعات سازمان پرداخته و محورهای دسته*بندی اطلاعات را ارائه نموده است.
4- امنیت پرسنلی
در این قسمت،ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیت*های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.
5- امنیت فیزیکی و پیرامونی
در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.
6- مدیریت ارتباطات
در این قسمت،ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم*ها، محافظت در مقابل نرم*افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان*گیری از اطلاعات، مدیریت شبکه، محافظت از رسانه*ها و روالها و مسئولیت*های مربوط به درخواست، تحویل، تست و سایر موارد *تغییر نرم*افزارها ارائه شده است.
7- کنترل دسترسی
در این قسمت،نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیت*های کاربران، ابزارها و مکانیزم*های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم*عاملها و نرم*افزارهای کاربردی، استفاده از سیستم*های مانیتورینگ و کنترل *دسترسی در ارتباط از راه دور به شبکه ارائه شده است.
8- نگهداری و توسعه سیستم*ها
در این قسمت،ضرورت تعیین نیازمندیهای امنیتی سیستم*ها، امنیت در سیستم*های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستم*ها، ارائه شده است.
9- مدیریت تداوم فعالیت سازمان
در این قسمت،رویه*های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرح*های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح*های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.
10- پاسخگوئی به نیازهای امنیتی
در این قسمت،مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست*های امنیتی موردنیاز و ابزارها و مکانیزم*های بازرسی امنیتی سیستم*ها، ارائه شده است.

2-1-2- بخش دوم
در این بخش از استاندارد برای تامین امنیت اطلاعات و ارتباطات سازمان ،* مطابق شکل (1)* یک چرخة* ایمن سازی شامل 4 مرحلة طراحی ، پیاده سازی ،* تست و اصلاح ارائه شده و جزئیات هر یک از مراحل به همراه لیست و محتوای مستندات موردنیاز جهت ایجاد سیستم مدیریت امنیا اطلاعات سازمان، ارائه شده است .

2-2- استاندارد ISO/IEC 17799 موسسه بین*المللی استاندارد
در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هیچگونه تغییری توسط موسسة بین المللی استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد.

2-3- راهنمای فنی ISO/IEC TR13335 موسسه بین*المللی استاندارد
این گزارش فنی در قالب 5 بخش مستقل در فواصل سالهای 1996 تا 2001 توسط موسسة بین المللی استاندارد منتشر شده است . اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد .

2-3-1- بخش اول
در این بخش که در سال 1996 منتشر شد، *مفاهیم کلی امنیت اطلاعات از قبیل سرمایه، تهدید، آسیب پذیری، ریسک،* ضربه و ... ، روابط بین این مفاهیم و مدل مدیریت مخاطرات امنیتی، ارائه شده است .

2-3-2- بخش دوم
این بخش که در سال 1997 منتشر شد ، مراحل ایمن سازی و ساختار تشکیلات تامین امنیت اطلاعات سازمان ارائه شده است . بر اساس این گزارش فنی ،* چرخة ایمن سازی مطابق شکل (2) به 5 مرحله شامل تدوین سیاست امنیتی سازمان، تحلیل مخاطرات امنیتی، تعیین حفاظها و ارائة* طرح امنیت، پیاده سازی طرح امنیت و پشتیبانی امنیت اطلاعات، تفکیک شده است.

تعیین اهداف، راهبردها و سیاست*های امنیتی فضای تبادل اطلاعات سازمان

تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان

انتخاب حفاظ ها و ارائه طرح امنیت

پیاده*سازی طرح امنیت

پشتیبانی امنیت فضای تبادل اطلاعات سازمان

2-3-3- بخش سوم
در این بخش که در سال 1998 منتشر شد، تکنیکهای طراحی، پیاده سازی و پشتیبانی امنیت اطلاعات از جمله محورها و جزئیات سیاستهای امنیتی سازمان، تکنیکهای تحلیل مخاطرات امنیتی، محتوای طرح امنیتی، جزئیات پیاده سازی طرح امنیتی و پشتیبانی امنیت اطلاعات، ارائه شده است.

2-3-4- بخش چهارم
در این بخش که در سال 2000 منتشر شد، ضمن تشریح حفاظهای فیزیکی، سازمانی و حفاظهای خاص سیستم*های اطلاعاتی، نحوة انتخاب حفاظهای مورد نیاز برای تامین هریک از مولفه*های امنیت اطلاعات، ارائه شده است.

2-3-5- بخش پنجم
در این بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروری بر بخشهای دوم تا چهارم این گزارش فنی، تکنیکهای تامین امنیت ارتباطات از قبیل شبکه*های خصوصی مجازی، امنیت در گذرگاه*ها، تشخیص تهاجم و کدهای مخرب، ارائه شده است.

مستندات ISMS دستگاه

بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه(سازمان) باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:
· اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
· طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
· طرح امنیت فضای تبادل اطلاعات دستگاه
· طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه
· برنامة آگاهی رسانی امنیتی به پرسنل دستگاه
· برنامة آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
در این بخش، به بررسی مستندات فوق خواهیم پرداخت.

3-1- اهداف،*راهبردها و سیاست*های امنیتی
اولین بخش از مستندات ISMS دستکگاه، شامل اهداف، راهبردها و سیاست*های امنیتی فضای تبادل اطلاعات دستگاه می*باشد. در این مستندات، لازم است موارد زیر، گنجانیده شوند:
3-1-1- اهداف امنیت فضای تبادل اطلاعات دستگاه
در این بخش از مستندات، ابتدا سرمایه*های فضای تبادل اطلاعات دستگاه، در قالب سخت*افزارها، نرم*افزارها، اطلاعات، ارتباطات، سرویسها و کاربران تفکیک و دسته*بندی شده و سپس اهداف کوتاه*مدت و میان*مدت تامین امنیت هر یک از سرمایه*ها، تعیین خواهد شد. نمونه*ای از این اهداف، عبارتند از:

نمونه*هائی از اهداف کوتاه مدت امنیت:

· جلوگیری از حملات و دسترسی*های غیرمجاز، علیه سرمایه*های فضای تبادل اطلاعات دستگاه
· مهار خسارتهای ناشی از ناامنی موجود در فضای تبادل اطلاعات دستگاه
· کاهش رخنه*پذیریهای سرمایه*های فضای تبادل اطلاعات دستگاه

نمونه*هائی از اهداف میان مدت امنیت:

· تامین صحت عملکرد، قابلیت دسترسی و محافظت فیزیکی برای سخت*افزارها، متناسب با حساسیت آنها.
· تامین صحت عملکرد و قابلیت دسترسی برای نرم*افزارها، متناسب با حساسیت آنها.
· تامین محرمانگی، صحت و قابلیت دسترسی برای اطلاعات، متناسب با طبقه*بندی اطلاعات از حیث محرمانگی.
· تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات، متناسب با طبقه*بندی اطلاعات از حیث محرمانگی و حساسیت ارتباطات.
· تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئی، حریم خصوصی و آگاهی*رسانی امنیتی برای کاربران شبکه، متناسب با طبقه*بندی اطلاعات قابل دسترس و نوع کاربران.

3-1-2- راهبردهای امنیت فضای تبادل اطلاعات دستگاه
راهبردهای امنیت فضای تبادل اطلاعات دستگاه، بیانگر اقداماتی است که به منظور تامین اهداف امنیت دستگاه، باید انجام گیرد. نمونه*ای از راهبردهای کوتاه*مدت و میان*مدت امنیت فضای تبادل اطلاعات دستگاه، عبارتند از:

نمونه*هائی از راهبردهای کوتاه مدت امنیت:

· شناسائی و رفع ضعفهای امنیتی فضای تبادل اطلاعات دستگاه
· آگاهی*رسانی به کاربران فضای تبادل اطلاعات دستگاه
· کنترل و اعمال محدودیت در ارتباطات شبکه داخلی دستگاه

نمونه*هائی از راهبردهای میان مدت امنیت:

· رعایت استانداردهای مدیریت امنیت اطلاعات
· تهیه طرح*ها و برنامه*های امنیتی فضای تبادل اطلاعات دستگاه، بر اساس استانداردهای فوق
· ایجاد و آماده*سازی تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
· اجرای طرح*ها و برنامه*های امنیتی فضای تبادل اطلاعات دستگاه

3-1-3- سیاست*های امنیتی فضای تبادل اطلاعات دستگاه
سیاست*های امنیتی فضای تبادل اطلاعات دستگاه، متناسب با دسته*بندی انجام شده روی سرمایه*های فضای تبادل اطلاعات دستگاه، عبارتند از:
· سیاست*های امنیتی سرویس*های فضای تبادل اطلاعات دستگاه
· سیاست*های امنیتی سخت*افزارهای فضای تبادل اطلاعات دستگاه
· سیاست*های امنیتی نرم*افزارهای فضای تبادل اطلاعات دستگاه
· سیاست*های امنیتی اطلاعات فضای تبادل اطلاعات دستگاه
· سیاست*های امنیتی ارتباطات فضای تبادل اطلاعات دستگاه
· سیاست*های امنیتی کاربران فضای تبادل اطلاعات دستگاه

3-2- طرح تحلیل مخاطرات امنیتی
پس از تدوین اهداف،* راهبردها و سیاست*های امنیتی فضای تبادل اطلاعات دستگاه و قبل از طراحی امنیت فضای تبادل اطلاعات، لازم است شناخت دقیقی از مجموعه فضای تبادل اطلاعات موجود دستگاه بدست آورد. در این مرحله، ضمن کسب شناخت نسبت به اطلاعات، *ارتباطات، تجهیزات، سرویس*ها و ساختار شبکه ارتباطی دستگاه، ضعفهای امنیتی موجود در بخشهای مختلف، شناسائی خواهند شد تا در مراحل بعدی، راهکارهای لازم به منظور رفع این ضعفها و مقابله با تهدیدها، ارائه شوند. روش تحلیل مخاطرات امنیتی، باید در مجموعه راهبردهای امنیتی فضای تبادل اطلاعات دستگاه، مشخص شده باشد.
در تحلیل مخاطرات امنیتی، به مواردی پرداخته می*شود که بصورت بالقوه، امکان دسترسی غیرمجاز، نفوذ و حمله کاربران مجاز یا غیرمجاز فضای تبادل اطلاعات دستگاه، به منابع ( سرمایه*های) فضای تبادل اطلاعات دستگاه و منابع کاربران این فضا را فراهم می*نمایند.
در این مستند،* لازم است مخاطرات امنیتی فضای تبادل اطلاعات، حداقل در محورهای "معماری شبکه"، "تجهیزات شبکه"، "سرویس*دهنده*های شبکه"، "مدیریت و نگهداری شبکه" و "تشکیلات و روشهای مدیریت امنیت شبکه"، بررسی شوند.

3-2-1- معماری شبکه ارتباطی
در این بخش،* لازم است معماری شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:
· ساختار شبکه ارتباطی
· ساختار آدرس*دهی و مسیریابی
· ساختار دسترسی به شبکه ارتباطی

3-2-2- تجهیزات شبکه ارتباطی
در این بخش،* لازم است تجهیزات شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:
· محافظت فیزیکی
· نسخه و آسیب*پذیریهای نرم*افزار
· مدیریت محلی و از راه دور
· تصدیق هویت، تعیین اختیارات و ثبت عملکرد سیستم، بویژه در دسترسی*های مدیریتی
· ثبت وقایع
· نگهداری و به*روزنمودن پیکربندی
· مقابله با حملات علیه خود سیستم، بویژه حملات ممانعت از سرویس

3-2-3- مدیریت و نگهداری شبکه ارتباطی
در این بخش،* لازم است مدیریت و نگهداری شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:
· تشکیلات و روشهای مدیریت و نگهداری شبکه ارتباطی
· ابزارها و مکانیزم*های مدیریت و نگهداری شبکه ارتباطی

3-2-4- سرویس*های شبکه ارتباطی
در این بخش،* لازم است سرویس*های شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:
· سیستم عامل سرویس*دهنده
· سخت*افزار سرویس*دهنده، *بویژه رعایت افزونگی در سطح ماجول و سیستم
· نرم*افزار سرویس
· استفاده از ابزارها و مکانیزم*های امنیتی روی سرویس*دهنده*ها

3-2-5- تشکیلات و روشهای تامین امنیت شبکه ارتباطی
در این بخش،* لازم است تشکیلات و روشهای امنیت شبکه ارتباطی دستگاه، حداقل در محورهای زیر مورد تجزیه و تحلیل قرار گیرد:
· طرح*ها، برنامه*ها و سایر مستندات امنیتی
· تشکیلات امنیت، روالهای اجرائی و شرح وظایف پرسنل امنیت

3-3- طرح امنیت
پس از تحلیل مخاطرات امنیتی شبکه ارتباطی دستگاه و دسته*بندی مخاطرات امنیتی این شبکه، در طرح امنیت، ابزارها و مکانیزم*های موردنیاز به منظور رفع این ضعفها و مقابله با تهدیدها، ارائه می*شوند. در طرح امنیت، لازم است کلیه ابزارها ومکانیزم*های امنیتی موجود، بکار گرفته شوند. نمونه*ای از این ابزارها عبارتند از:
1- سیستم*های کنترل جریان اطلاعات و تشکیل نواحی امنیتی
· فایروال*ها
· سایر سیستم*های تامین امنیت گذرگاه*ها
2- سیستم*های تشخیص و مقابله یا تشخیص و پیشگیری از حملات،*شامل:
· سیستم*های مبتنی بر ایستگاه
· سیستم*های مبتنی بر شبکه
3- سیستم فیلترینگ محتوا ( بویژه برای سرویس E-Mail)
4- نرم*افزارهای تشخیص و مقابله با ویروس
5- سیستم*های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
6- سیستم*های ثبت و تحلیل رویدادنامه*ها
7- سیستم*های رمزنگاری اطلاعات
8- نرم*افزارهای نظارت بر ترافیک شبکه
9- نرم*افزارهای پویشگر امنیتی
10- نرم*افزارهای مدیریت امنیت شبکه

ویژگیهای اصلی سیستم امنیتی شبکه ارتباطی دستگاه، عبارتند از:
· چندلایه بودن سیستم امنیتی
· توزیع*شده بودن سیستم امنیتی
· تشکیل نواحی امنیتی جهت کنترل دقیق دسترسی به سرویس*های شبکه
· یکپارچگی مکانیزم*های امنیتی، بویژه در گذرگاههای ارتباطی شبکه
· تفکیک زیرساختار مدیریت امنیت شبکه ( حداقل بخش اصلی سیستم امنیتی شبکه)
· انتخاب اجزاء سیستم امنیتی شبکه، از Brandهای مختلف، بنحوی که ضعفهای امنیتی یکدیگر را پوشش داده و مخاطره باقیمانده را کاهش دهند
· انتخاب محصولاتی که دارای تائیدیه*های معتبر، از موسسات ارزیابی بین*المللی می*باشند

3-4- طرح مقابله با حوادث امنیتی و ترمیم خرابیها
طرح مقابله با حوادث امنیتی، با هدف پیشگیری، تشخیص و مقابله با حوادث امنیتی فضای تبادل اطلاعات، ارائه می*گردد. محتوای این طرح، حداقل شامل موارد زیر می*باشد:
1- دسته*بندی حوادث
2- سیاست*های مربوط به هر یک از سرویس*های مقابله با حوادث امنیتی
3- ساختار و شرح وظایف مربوط به تیم مقابله با حوادث امنیتی دستگاه
4- سرویس*های پیشگیری و مقابله با حوادث که توسط تیم مقابله با حوادث امنیتی دستگاه ارائه می*گردد
5- روالهای اجرائی مربوط به هر یک از سرویس*ها
6- متدولوژی مقابله با حوادث امنیتی
· آماده*سازی تیم
· تشخیص و تحلیل حوادث
· محدودسازی،* ترمیم و ریشه*کنی حوادث
· فعالیت*های بعد از حوادث
· چک لیست مقابله با حوادث
7- الگوی مقابله با حوادث امنیتی

3-5- برنامه آگاهی*رسانی امنیتی
برنامه آگاهی*رسانی امنیتی، با هدف برنامه*ریزی نحوه آگاهی رسانی به کاربران شبکه دستگاه ارائه می*گردد و باید حاوی موارد ذیل باشد:
1- اهداف آگاهی*رسانی
2- راهبردها
3- برنامه اجرائی آگاهی*رسانی
4- مفاد دوره*های آگاهی*رسانی از قبیل:
· اعلام حیطه حریم خصوصی کاربران
· اعلام وظایف، مسئولیتها و مواردی که کاربران باید پاسخگو باشند
· اعلام مواردی که کاربران باید نسبت به آن حساسیت داشته باشند ( از قبیل اعلام حوادث به تیم مقابله با حوادث )
· ارائه اطلاعات در زمینه آسیب*پذیری سیستم*ها و مواردی که کاربران باید دقت بیشتری لحاظ نمایند

3-6- برنامه آموزش پرسنل تشکیلات امنیت
برنامه آموزش امنیتی، با هدف توانمند سازی پرسنل تشکیلات امنیت دستگاه ارائه می*گردد و باید حاوی موارد ذیل باشد:
5- اهداف آموزش
6- راهبردها
7- برنامه اجرائی آموزش
8- مفاد دوره*های آموزشی

تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه

4-1- اجزاء و ساختار تشکیلات امنیت
بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه به منظور تامین امنیت اطلاعات و ارتباطات خود، لازم است تشکیلات تامین امنیت به شرح زیر، ایجاد نماید.

4-1-1- اجزاء تشکیلات امنیت :
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد:
· در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
· در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
· در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
علاوه بر موارد فوق، واحدهای "مشاوره و طراحی" و "نظارت و بازرسی" نیز لازم است. لیکن این واحدها الزاما در داخل دستگاه و چارت سازمانی، *تشکیل نخواهند شد.

4-1-2- ساختار تشکیلات امنیت :
ساختار تشکیلات امنیت شبکه دستگاه، عبارتست از:

4-1-3- اعضاء تشکیلات امنیت فضای تبادل اطلاعات دستگاه:

اعضاء تشکیلات امنیت شبکه دستگاه، عبارتند از:
1- اعضاء کمیته راهبری امنیت:
o مدیر دستگاه ( رئیس کمیته )
o نماینده ویژه مدیر دستگاه
o مدیر حراست دستگاه
o مدیر فن آوری اطلاعات دستگاه
o مدیر امنیت شبکه دستگاه (*دبیر کمیته )

2- مدیر امنیت :
مدیریت واحد پشتیبانی امنیت شبکه را به عهده دارد و توسط مدیر فن*آوری اطلاعات دستگاه تعیین می*شود.

3- تیم*های پشتیبانی امنیت :
شامل تیم*های زیر بوده و اعضاء آن مستقیما توسط مدیر امنیت شبکه دستگاه تعیین می*شوند:
· تیم پشتیبانی حوادث
· تیم نظارت و بازرسی
· تیم نگهداری امنیت
· تیم مدیریت تغییرات
· تیم بررسی پاسخگوئی به نیازهای امنیتی

4-2- شرح وظایف تشکیلات امنیت

4-2-1- شرح وظایف کمیته راهبری امنیت:
· بررسی، تغییر و تصویب سیاستهای امنیتی شبکه
· پیگیری اجرای سیاستهای امنیتی از مدیر امنیت شبکه
· تائید طرح*های و برنامه*های امنیت شبکه دستگاه شامل:
o طرح تحلیل مخاطرات امنیتی
o طرح امنیت شبکه
o طرح مقابله با حوادث و ترمیم خرابیها
o برنامه آگاهی*رسانی امنیتی کاربران
o برنامه آموزش واحد پشتیبانی امنیت شبکه
· بررسی ضرورت تغییر سیاستهای امنیتی شبکه
· بررسی، تغییر و تصویب تغییرات سیاستهای امنیتی شبکه

3-2-2- شرح وظایف مدیر امنیت :
· تهیه پیش نویس سیاستهای امنیتی شبکه و ارائه به کمیته راهبری امنیت شبکه
· نظارت بر اجرای کامل سیاستهای امنیتی شبکه توسط واحد پشتیبانی امنیت شبکه، کاربران شبکه، مدیران و کارشناسان ادارات و طراحان امنیت شبکه دستگاه
· تهیه طرح*ها و برنامه*های امنیت شبکه دستگاه با کمک واحد مشاوره و طراحی و ارائه آنها به کمیته راهبری
· مدیریت واحد پشتیبانی امنیت شبکه دستگاه و نظارت بر عملکرد اجزاء این واحد
· تشخیص ضرورت و پیشنهاد بازنگری و اصلاح سیاستهای امنیتی شبکه
· تهیه پیش نویس تغییرات سیاستهای امنیتی شبکه

3-2-3- شرح وظایف واحد پشتیبانی امنیت :

· شرح وظایف پشتیبانی حوادث امنیتی شبکه:
o تشخیص و مقابله با تهاجم
§ مرور روزانه Log فایروالها، مسیریابها، تجهیزات گذرگاههای ارتباط با سایر شبکه*ها و سرویس*دهنده*های شبکه داخلی و اینترنت دستگاه، بمنظور تشخیص اقدامات خرابکارانه و تهاجم.
§ مرور ترددهای انجام شده به سایت و Data Center و گزارش اقدامات انجام شده توسط کارشناسان و مدیران سرویسها.
§ مرور روزانه گزارش سیستم تشخیص تهاجم به منظور تشخیص تهاجم*های احتمالی.
§ انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جدید.
§ ترمیم خرابیهای ناشی از تهاجم جدید.
§ مستندسازی و ارائه گزارش تهاجم تشخیص داده شده به تیم هماهنگی و آگاهی*رسانی امنیتی.
§ اعمال تغییرات لازم در سیستم امنیت شبکه، بمنظور مقابله با تهاجم جدید.
§ مطالعه و بررسی تهاجم*های جدید و اعمال تنظیمات لازم در سیستم تشخیص تهاجم و سایر بخشهای سیستم امنیت شبکه.
§ ارائه پیشنهاد در خصوص تغییرات لازم در سیستم امنیتی شبکه بمنظور مقابله با تهدیدهای جدید، به مدیر امنیت شبکه.
o آگاهی*رسانی به کاربران شبکه در خصوص روشهای جدید نفوذ به سیستم*ها و روشهای مقابله با آن، آسیب*پذیریهای جدید ارائه شده برای سیستم*های مختلف و روشهای بر طرف نمودن آنها.

o تشخیص و مقابله با ویروس
§ بررسی و در صورت نیاز، انتخاب، خرید و تست نرم افزار ضدویروس مناسب برای ایستگاههای کاری و سرویس دهنده*های شبکه دستگاه به صورت دوره*ای ( هر سال یکبار)
§ نصب نرم*افزار ضدویروس روی ایستگاههای کاری مدیران و ارائه اطلاعات لازم به سایر کاربران، جهت نصب نرم*افزار.
§ نصب نرم*افزار ضدویروس روی کلیه سرویس*دهنده*های شبکه دستگاه.
§ تهیه راهنمای نصب و Update نمودن نرم*افزار ضدویروس ایستگاههای کاری و سرویس*دهنده*ها و ارائه آن به کاربران شبکه از طریق واحد هماهنگی و آگاهی*رسانی امنیتی.
§ مرور روزانه Log و گزارشات نرم*افزارهای ضد ویروس.
§ مطالعه و بررسی ویروسهای جدید و روشهای مقابله با آن.
§ ارائه روشهای مقابله با ویروسها به تیم هماهنگی و آگاهی*رسانی امنیتی، جهت اعلام به کاربران و انجام اقدامات لازم.
§ انجام اقدامات پیشگیرانه لازم بمنظور کنترل دامنه تاثیر ویروسهای جدید.
§ ترمیم خرابیهای ناشی از ویروسهای جدید.
§ مستندسازی و ارائه گزارشهای آماری از ویروسها، مقابله با آنها و خرابیهای ناشی از ویروسها در شبکه دستگاه، به تیم هماهنگی و آگاهی*رسانی امنیتی.
§ فراهم نمودن امکان Update نمودن نرم*افزار ضد ویروس، بصورت روزانه ( بجز نرم*افزار ضد ویروس کاربران شبکه که باید توسط خود کاربران Update شود ).
§ ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص ویروسهای جدید، توسط تیم هماهنگی و آگاهی*رسانی امنیتی.
§ ارائه پیشنهاد در خصوص تغییرات لازم در نرم*افزارهای ضد ویروس و سیستم امنیتی شبکه بمنظور مقابله با ویروسهای جدید، به مدیر امنیت شبکه.
o آگاهی*رسانی به کاربران شبکه در خصوص ویروسهای جدید و روشهای مقابله با آنها.

o تشخیص و مقابله با حوادث فیزیکی
§ انتخاب ابزارهای مناسب جهت محافظت فیزیکی از تجهیزات و سرمایه*های شبکه در مقابل حوادث فیزیکی و دسترسی*های غیرمجاز .
§ مرور روزانه رویدادنامه*های دسترسی فیزیکی به سرمایه*های شبکه، بویژه در سایت.
§ سرکشی دوره*ای به سایت، تجهیزات مستقر در طبقات ساختمانها و مسیر عبور کابلها به منظور اطمینان از تامین امنیت فیزیکی آنها.
§ مطالعه و بررسی حوادث فیزیکی جدید و روشهای مقابله با آن.
§ ارائه روشها به تیم هماهنگی و آگاهی*رسانی امنیت جهت اعلام به کاربران و انجام اقدامات لازم.
§ انجام اقدامات لازم بمنظور کنترل دامنه حوادث فیزیکی.
§ ترمیم خرابیهای ناشی از حوادث فیزیکی.
§ مستندسازی و ارائه گزارشهای آماری از حوادث فیزیکی، مقابله با این حوادث و خرابیهای ناشی از آنها به تیم هماهنگی و آگاهی*رسانی امنیتی.
§ ارائه پیشنهاد در خصوص Update نمودن تجهیزات و روشهای تامین امنیت فیزیکی به مدیر امنیت شبکه.
§ ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص حوادث فیزیکی، توسط تیم هماهنگی و آگاهی*رسانی امنیتی.

· شرح وظایف نظارت و بازرسی امنیتی
o مانیتورینگ ترافیک شبکه ( در حیطه مانیتورینگ مجاز )
o بازرسی دوره ای از ایستگاههای کاری، سرویس*دهنده*ها، تجهیزات شبکه و سایر سخت*افزارهای موجود شبکه، به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
o بازرسی دوره ای از سخت*افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی سخت*افزارهای شبکه دستگاه" با سیاستهای مربوطه.
o بازرسی دوره ای از نرم*افزارهای موجود شبکه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
o بازرسی دوره ای از نرم*افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی نرم*افزارهای شبکه دستگاه" با سیاستهای مربوطه.
o بازرسی دوره ای از نحوه اتصال شبکه داخلی و شبکه دسترسی به اینترنت دستگاه، با سایر شبکه*های مجاز، بر اساس سیاستهای امنیتی مربوطه.
o بازرسی دوره ای از اطلاعات شبکه دستگاه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
o بازرسی دوره ای از کاربران شبکه دستگاه به منظور اطمینان از آگاهی کاربران از حقوق و مسئولیتهای خود و رعایت سیاستهای امنیتی مرتبط با خود.
o بازرسی دوره ای از روند تهیه اطلاعات پشتیبان.
o بازرسی دوره ای از روند تشخیص و مقابله با حوادث امنیتی در شبکه دستگاه.
o بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه.
o بازرسی دوره ای از روند تشخیص و مقابله با حوادث فیزیکی در شبکه دستگاه.
o بازرسی دوره ای از روند نگهداری سیستم امنیتی شبکه در شبکه دستگاه.
o بازرسی دوره ای از روند مدیریت تغییرات در شبکه دستگاه.
o بازرسی دوره ای از روند آگاهی*رسانی امنیتی به کاربران شبکه دستگاه.
o بازرسی دوره ای از روند آموزش پرسنل واحد پشتیبانی امنیت شبکه دستگاه.
o بازرسی دوره ای از روند واگذاری فعالیت*ها به پیمانکاران خارج از دستگاه.
· شرح وظایف مدیریت تغییرات
o بررسی درخواست خرید، ایجاد یا تغییر سخت*افزارها، نرم*افزارها، لینکهای ارتباطی، سیستم*عاملها و سرویسهای شبکه از دیدگاه امنیت شبکه، آسیب*پذیریهای سیستم یا سرویس مورد نظر، مشکلات امنیتی ناشی از بکارگیری آن بر سایر بخشهای شبکه و نهایتا تصمیم*گیری در خصوص تائید یا رد درخواست.
o بررسی آسیب*پذیریهای سخت*افزارها، نرم*افزارهای کاربردی، سیستم عاملها، خطوط ارتباطی و سرویسهای مرسوم شبکه و امنیت شبکه.
o آگاهی*رسانی به طراحان شبکه و امنیت شبکه در خصوص آسیب*پذیری فوق، بمنظور لحاظ نمودن در طراحی.
o ارائه گزارش بررسی*ها به تیم هماهنگی و آگاهی*رسانی امنیت شبکه.
o بررسی موارد مربوط به جابجائی کاربران شبکه و پرسنل تشکیلات امنیت شبکه بمنظور تغییر در دسترسی و حدود اختیارات آنها در دسترسی به سرمایه*های شبکه.
o بررسی نیازمندیهای امنیتی و روشهای ایمن*سازی سیستم عاملها، سرویس*دهنده*های شبکه، خطوط ارتباطی، نرم*افزارها، تجهیزات شبکه و امنیت شبکه جدید که بکارگیری آنها در شبکه، مورد تائید قرار گرفته است.
o ارائه دستورالعمل*های ایمن*سازی و پیکربندی امن برای هر یک از موارد فوق.
· شرح وظایف نگهداری امنیت شبکه
o بررسی وضعیت عملکرد سیستم امنیتی شبکه، شامل:
§ عملکرد صحیح فایروالها.
§ عملکرد صحیح سیستم تشخیص تهاجم.
§ عملکرد صحیح سیستم ثبت وقایع.
§ عملکرد صحیح سیستم تهیه نسخه پشتیبان.
o ارائه گزارشات روزانه در خصوص عملکرد سیستم امنیتی شبکه.
o ارائه گزارشات آماری از وضعیت سیستم امنیتی شبکه.
o رفع اشکالات تشخیص داده شده در عملکرد سیستم امنیتی شبکه.