فناوری اطلاعات

راهنماي خريد نوت بوك در ايران

نكته اينكه در بحث نوت بوك هيچ گاه نبايد با ديد خريد يك سيستم دسكتاپ قياس و عمل نمود.بدين ترتيب عنوانهايي نظير"بهترين","برترين","كامل ترين"و"در اين محدوده قيمت كاراترين"مصداق نخواهد داشت.

بطريق اولي شما بايد بدنبال وضعيت"مناسب ترين"بوده باشيد. همواره سعي نموده ايم كه تجربه خود را نه در قالب سليقه شخصي بلكه در عنوان مشاوره بي طرف براي كساني كه در ابتداي اين راه هستند عنوان نماييم و روشي را براي چنين افرادي ايجاد نماييم كه با توجه به تمامي محدوديت ها,ضعف اطلاعاتي و سو استفاده هاي احتمالي و با نگرش به بودجه محدودي كه يك خريدار متوسط و خواننده اين مباحث داراست,در نوع خود كارا و راهگشاي نسبتا كاملي گردد كه لااقل خريدار سواي تمامي مسائل پيراموني و حاشيه اي در خريد خويش احساس رضايت و اطمينان و امنيت نمايد و قادر به درك اين مطلب كه هزينه اي كه بواقع با سختي هرچه تمام تر بخصوص با پرداختي نسبتا گزاف براي يك نوت بوك مي نمايد,بواقع ارزش آن را خواهد داشت.

راهنماي خريد نوت بوك در ايران:

1-مي دانيد كه كشور آمريكا فعلا ايران را در تحريم كالاي الكترونيكي قرار داده است,بنابراين انتخاب برند در الويت اساسي شما قرار مي گيرد.تمامي برند هاي سازنده نوت بوك ها از چند شركت سازنده قطعات سخت افزاري پايه در تايوان بصورت سفارشي قطعه دريافت مي نمايند.سپس بسته به سياست سازنده ,مونتاژ در يك كشور ديگر نظير تايوان يا چين و گاه هم در كشور مقصد انجام مي پذيرد.

اينكه كدام نوت بوك در چين مونتاژ مي شود چندان مهم نيست,بلكه آنچه اهميت دارد سازندگان اوليه قطعات سخت افزاري است كه از كدام شركت سفارش دهنده سفارش مي پذيرند.

در نوت بوك مشكل ديگري هم هست و آن اينكه ممكن است قطعات به تنهايي از تمامي آزمايشات سخت افزاري به سلامت بيرون آيند ولي آيا مجموعه فوق در قالب يك سيستم يك پارچه تحت نام نوت بوك به همان خوبي از خود عملكرد و كارايي نشان خواهد داد؟اينجاست كه ميزان فروش جهاني نوت بوك و آمار و نظرات كاربران نهايي همان محصول كه در سايت هاي معتبر و مشهور مورد آزمايش و محك قرار مي گيرند,گوياي درستي اين امر خواهند بود.

2-برند هايي كه در خاك آمريكا توليد محصول مي نمايند,طبيعتا در ايران شعبه اي ندارند.بطريق اولي در ايران داراي نمايندگي رسمي نيز نخواهند بود.پس با اين حساب هرگونه خريد از چنين محصولاتي بايد لااقل با دقت كافي و اصولا از محلي معتبر صورت پذيرد.با توجه به اينكه اكثرا فروشندگان اعلام ميدارند كه نماينده تام الاختيار بوده و از عهده انجام هر كاري بر مي آيند,بايستي به وقت خريد از يك فروشنده به داده هاي زيرين توجه نمود.

-آيا فروشنده فوق بر روي برند خاصي فعاليت مي نمايد يا خير؟فعاليت بر روي يك برند خاص نشانه خوبي از نيمه تخصصي بودن فعاليت فروشنده خواهد بود.

-آيا فروشنده محترم در ارتباط با نوت بوك داراي اطلاعات فني لازم و اوليه مي باشد يا خير؟
-آيا فروشنده محترم به دسته بندي هاي خاص نوت بوك با سلايق مختلف و كاربري هاي گوناگون آشنايي كاملي دارد يا خير؟

-آيا گارانتي نوت بوك خريداري شده در برگه جداگانه اي همانند برگه هاي گارانتي قطعات سخت افزاري عرضه مي گردد يا خير؟اين برگه اصولا بايد داراي سربرگ همان شركت فروشنده بوده باشد.

-بايستي اجازه حداقل چند روزه را مشروط نماييد تا اگر هرگونه خرابي احتمالي در حين كار پديدار شد,مشروط به اينكه سهوا در اثر خطاي شما پديدار نگرديده باشد,بدون استفاده از گارانتي كه بنفع فروشنده تمام خواهد شد,اجازه برگشت نوت بوك و تعويض آن با يك نمونه ديگر را داشته باشيد.سعي نماييد كه اين شرط كتبا درج گردد تا احيانا در صورت بروز مشكل,فروشنده از زير بار تعهدات خويش طفره نرود.
-برگه گارانتي بين الملل بايستي به همراه نوت بوك به شما داده شود.اگر ديديد از چنين برگه اي خبري در دست نبود,از صحت دست اول بودن نوت بوكي كه مي خريد باخبر گرديد.در غير اين صورت از خريد خودداري نماييد.

-برخي شركت هاي اصلي سازنده از خواصي همچون تعويض سه ماهه و گارانتي يك تا سه ساله و خدمات پس از فروش چند ساله بهره مي برند.هرچه بيشتر از صحت و سقم تعهدات اين چنيني مطمئن تر گرديد,خريد دقيق تري انجام خواهيد داد.

-برندهايي كه تحت تحريم نمي باشند عبارتند از:ACER/LG/TOSHIBA/ASUS /SONYو احتمالا مارك هايي كه كشور سازنده آن در خاك امريكا مستقر نمي باشد.

-آيا فروشنده محترم داراي وسايل يدكي نوت بوك هست و آيا وسايل جانبي نوت بوك در دسترس وي قرار دارد؟

-آيا بغير از نوت بوك,مثلا ساير قطعات سخت افزاري غير مرتبط براي فروش در اختيار دارد يا صرفا دائره فعاليت وي بر روي نوت بوك مستقر است؟

-آيا وب سايت فروشنده وجود خارجي دارد و آيا با مراجعه به آن مي توان به خوبي از آن بهره برد يا خير؟

-آيا فروشنده فوق از طرف شركت مادر همان برند داراي تاييديه مي باشد؟
-امكان ثبت شماره سريال نوت بوك شما در شركت مادر از طرف فروشنده و يا در صورت امكان شركت اصلي وجود دارد يا خير؟

-آيا فروشنده نوت بوك داراي كاتالوگ معرفي محصول و همچنين چند مدل نسبتا جديد از همان برند مي باشد يا خير؟

-آيا نوت بوك شما داراي بسته و پك مناسبي است كه تمامي كابل ها و درايو هاي آن بصورت اورجينال در آن قرار داشته باشد يا خير؟

-امكان ارتقاي نوت بوك در همان شركت فروشنده نوت بوك مقدور و امكان پذير مي باشد؟
-آيا گارانتي بين الملل قابل تمديد مي باشد يا خير؟

-آيا براي تعمير نوت بوك,مركز خدماتي در خارج از كشور از طرف فروشنده پيشنهاد مي شود يا در داخل نيز مقدور مي باشد؟

با بررسي موارد فوق در بين فروشندگان مختلف براحتي مي توانيد از صحت و سقم گفته هاي آنان مطلع گرديد.

3-عامل مهم ديگر در خريد ,توجه به بودجه و تطبيق آن با قيمت هاي موجود در بازار است.در عمل خريد هرچه نزديك تر به تكنولوژي ساخت به روز تر درست كه در عمل به گرانتر شدن آن كمك مي كند,ولي تا چندين سال از فكر ارتقا و تعويض آن مشكلي نخواهيد داشت.

4-پردازنده هاي AMD در قبال INTEL براي كساني كه يكي از اهداف آنان خريد نوت بوك جهت استفاده هرچه بيشتر از توان مصرفي باطري مولد انرژي راه انداز عملكرد محاسباتي و منبع برق نوت بوك مي باشد,چندان جذاب نخواهد بود.

5-در مورد كارت گرافيكي در نوت بوك از وضعيت SHARE و بخصوص حالت آن بورد هرچه كمتر بهره مند باشد,كيفيت تصويري بهتري خواهيد داشت.پس بنابراين به مختصات فني نوت بوك مورد علاقه خويش دقت نماييد.

6-ميزان عمر مفيد باطري در يك بار شارژ بخوبي در دفترچه راهنماي نوت بوك درج شده است.به آن دقت كافي مبذول داريد.

7-از حداقل ميزان رم 256 و همچنين 64 مگ كارت گرافيكي خويش بي بهره نمانيد.(ميزان 512 مطلوب تر است)

8-بيشتر سعي نماييد كه از قابليت هايي نظير بلوتوث و كارت شبكه بصورت توكار بهره بريد تا اينكه بعدا مجبور گرديد آن را جداگانه در درگاه PCMCIA نصب نموده و آن بخش را اشغال نماييد.اين امر هم اندكي بر وزن نوت بوك مي افزايد و هم اينكه در جريان باطري كمي از انرژي آن را براي فعال سازي و به جريان مدار انداختن آن مصرف مي نمايد.

9-به تعداد و حدود پورت هاي موجود بر نوت بوك دقت نماييد و آن را بر اساس اطلاعاتتان و نيازمندي فعلي خود و احتمالا در آينده بسنجيد.

10-مبحث شبكه در نوت بوك بسيار حائز اهميت است و با توجه به اينكه معتبر ترين و يكي از مهم ترين تامين كننده مورد فوق در نوت بوك ها شركت سيسكو مي باشد كه يك شركت آمريكايي بوده و تامين كننده بيشترين موارد ارتباطات بيسيم نوت بوك هاي سيار جهت اتصال به شبكه مي باشد و با توجه به اينكه شركت مزبور از مورد حفاظت داده ها در نوت بوك بسيار مراقبت مي نمايد تا در مبحث امنيت شبكه اي خللي در اين مورد حادث نگردد,لذا مراجعه به شركت فوق در صورتيكه به اين مقوله اهميت مي دهيد و مطلع گشتن از اين موضوع كه شركت فوق با كدامين برند هاي موحود در بازار همكاري مي نمايد,مي تواند بر تصميم شما اثر گذار باشد.

11-در هنگام خريد نوت بوك از تعداد گارانتي پيكسل هاي مرده صفحه نمايش نوت بوك خود جهت تعويض مطمئن گرديد.مي توانيد براي اين كار به سازنده هر برند مراجعه نموده و سياست گارانتي چنين امري را بخوبي دريابيد.معمولا تعداد اين پيكسل هاي مرده جهت گارانتي در نوت بوك چيزي مابين 2 در بهترين حالت تا حداكثر 10 در بدترين حالت است.

12-ترجيحا مناسب ترين خريد آن است كه سازنده هر نوت بوك,خود سازنده قطعات سخت افزاري آن بوده باشد.براي اين مسئله و البته چون حالت تبليغي مي يابد,تنها بي اين اشاره مي نمايم كه در بخش مفاهيم به پست مربوط به آن توجه نماييد.اصولا هرچه سازنده قطعات يك نوت بوك متعلق به برند خاص در يك راستا و يا ارتباط باشند,مشكل شما از بابت گرفتن درايو هاي به روز كمتر خواهد بود.

13-دقت نماييد كه به هرحال گارانتي نوت بوك شما در صورت ارسال براي تعويض در بيشتر حالات به دوبي ارسال مي گردد.بنابراين هر برندي كه در دوبي فعالتر از مابقي عمل نمايد,مطمئن باشيد سرويس بهتري را براي نوت بوك شما ارائه خواهد داد.

14-امكان ارتقاي گارانتي براي نوت بوك شما بسيار مهم است.اصولا اگر طول مدت گارانتي دستگاه شما در حدود يك سال بوده باشد,بايد بهنگام خريد ببينيد آيا امكان تمديد آن برايتان مقدور است يا خير.اين امر هم شامل گارانتي داخلي و هم بين الملل مي گردد.براي اطلاع از گارانتي بين الملل مي توانيد به وب سايت نوت بوك انتخابي خودتان مراجعه نماييد و از وجود حالت قابل تمديد نمودن آن مطمئن گرديد.

15-يادتان باشد كه اگرچه نوت بوك هاي جديد تر در عمل گرانتر از نمونه هاي گذشته تمام مي شوند,ولي بدانيد بسياري از خطاهاي عملكردي كه بر روي كارايي نوت بوك شما تاثير منفي مي گذارند,در نمونه هاي جديدتر تا حدود بسياري اصلاح و برطرف گشته اند.
16-يادتان باشد سه اصل حرفه اي براي نوت بوك در خريد بسيار مصداق دارد:سبك بودن,كم حجم بودن در حد امكان و باطري با دوام الكتريكي بيشتر تا حد ممكن.باقي موارد نظير كارايي و كيفيت و قيمت و نوع قطعات بكار رفته نيز بسيار در جاي خود مهم محسوب مي گردند كه البته بعد از سه اصل فوق مطرح مي گردند.

17-اينچ بالاي مانيتور تنها بر وزن و مصرف باطري و دشواري حمل و نقل مي افزايد.در بهترين حالت انتخابي بين 14 تا 15.4 براي صفحه نمايش كافي است.
18- در نوت بوك بر خلاف دسكتاپ,با توجه به كيفيت نسبي مانيتور,تعداد پيكسل هاي بيشتر كمتر از وضعيتي چون
SXGA/UXGA/SXGA+/WXGA كه مستقيما نشانه كيفيت و بهبود كيفي صفحه نمايش نوت بوك مي باشد,اهميت دارد.

19-در مورد هارد نوت بوك,rpm كمتر در هاردنوت بوك بمنزله مصرف كمتر منبع انرژي باطري خواهد بود.

20-در صورتيكه براي شروع مي خواهيد به خريد نوت بوك اقدام نماييد,پيشنهاد من اين است كه از رده mid-range و يا medium stream شروع كنيد كه در دسته بندي هاي نوب بوك در بخش مشخصات فني آن موجود است.در بخش مفاهيم نيز راجع به اين دسته بندي توضيح داده ام.

21-اين مقاله بيشتر مد نظر كساني است كه به نوت بوك به معناي دسكتاپ نمي نگرند.اگر بدنبال يك جايگزين معادل دسكتاپ از نوت بوك هستيد,بسيار از مطالب بالا بدليل رويكرد ويژه به مسئله باطري,مصداق نمي يابد.
البته توصيه ما به اين دوستان اين است كه:بهتر است از نوت بوك سا ده تري استفاده نمايند ولي در عوض از يك دسكتاپ قوي تر بهره برند.

يك دسكتاپ قوي بمراتب بهتر از يك نوت بوك معادل آن است:

اولا امكان ارتقاي قطعات در دسكتاپ راحتر از نوت بوك بوده و قطعات به روز تري در اختيار شماست.
دوما به نسبت قيمت,قطعات نوت بوك در مقايسه با دسكتاپ گرانتر مي باشند.
سوما امكان ارتقا در نوت بوك مشكل تر از لپتاپ است.

براي كاربر ايراني با قدرت خريد مشخص و البته با محدوديت در انتخاب,بهتر است يك نوت بوك mid-range انتخاب گردد و در صورت نياز از يك سيستم دسكتاپ قوي تر بهره برد.خريد يك نوت بوك قوي تر و به اصطلاح به روز تر و دارا بودن يك دسكتاپ معمولي -البته كه امكان پذير است-ولي به هزينه آن كمي بيشتر فكر كنيد.ضمن اينكه بازهم تكرار مي كنم:به دومقوله فلسفي داشتن نوت بوك دقت نماييد.

با عنايت به موارد فوق و مطالعه تمامي يا بخشي از اطلاعات موجود در اين فوروم در قسمت لپتاپ,مي توانيد از تهيه يك نوت بوك مناسب حال خويش مطمئن گرديد.

|+| نوشته شده در شنبه سی ام شهریور 1387 ساعت 21:1 توسط سعید |

استانداردهای امنیت

خلاصه : امنیت از دیرباز یكی از اجزای اصلی زیرساختهای فناوری اطلاعات به شمار میرفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الكترونیكی نیستند، بلكه هر شبكه باید از نظر فیزیكی نیز ایمن گردد. خطرات الكترونیكی غالباً شامل تهدیدات هكرها و نفوذگران خارجی و داخلی در شبكهها می باشند. در حالی كه امنیت فیزیكی شامل كنترل ورود و خروج پرسنل به سایتهای شبكه و همچنین روالهای سازمانی نیز هست.

برای پیاده سازی امنیت در حوزههای فوق، علاوه بر ایمنسازی سختافزاری شبكه، نیاز به تدوین سیاستهای امنیتی در حوزه فناوری اطلاعات در یك سازمان نیز می باشد. در این راستا لازم است از روالهای استانداردی استفاده شود كه به واسطه آنها بتوان ساختار یك سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS۷۷۹۹ كه در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یك سازمان می پردازد.

تاریخچه استاندارد

منشاء استاندارد British Standard BS۷۷۹۹ به زمان تاسیس مركز CommercialComputerSecurityCenter و شكلگیری بخش Industry (DTI) UK Department of Trade and در سال ۱۹۸۷برمی گردد. این مركز به منظور تحقق دو هدف تشكیل گردید. اول تعریف معیارهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولیدشده توسط سازندگان تجهیزات امنیتی، به منظور ارائه تاییدیه های مربوطه بود و دوم كمك به كاربران برای این منظور مركز CCSC در سال ۱۹۸۹ اقدام به انتشار كدهایی برای سنجش میزان امنیت نمود كه به “Users Code of Practice” معروف گردید.

چندی بعد، اجرایی بودن این كدها از دیدگاه كاربر، توسط مركز محاسبات بین المللی NCC و یك كنسرسیوم از كاربران كه به طور كلی از صاحبان صنایع در انگلستان بودند مورد بررسی قرار گرفت. اولین نسخه این استاندارد به عنوان مستندات راهبری PD ۰۰۰۳ در انگلستان منتشر گردید. در سال ۱۹۹۵ این استاندارد با عنوان BS۷۷۹۹ منشر گردید و قسمت دوم آن نیز در فوریه سال ۱۹۹۸ به آن اضافه گردید. این قسمت مفهوم سیستم مدیریت امنیت اطلاعات (Information Security Management System (ISMS را بهوجود آورد. این سیستم ISMS به مدیران این امكان را می دهد تا بتوانند امنیت سیستم های خود را با حداقل نمودن ریسكهای تجاری كنترل نمایند.

نسخه بازنگری شده این استاندارد در سال ۱۹۹۵ به عنوان استاندارد ISO ثبت گردید. در مجمعی كه رای موافق به ثبت این استاندارد به عنوان استاندارد ISO داده بودند، كشورهایی نظیر استرالیا و نیوزلند با اندكی تغییر، آن را در كشور خود با عنوان AS/NZS۴۴۴۴ منتشر نمودند. طی سالهای ۱۹۹۹ تا ۲۰۰۲ بازنگریهای زیادی روی این استاندارد صورت پذیرفت. در سال ۲۰۰۰ با افزودن الحاقیههایی به استاندارد BS۷۷۹۹ كه به عنوان یك استاندارد ISO ثبت شده بود، این استاندارد تحتعنوان استاندارد ISO/IEC۱۷۷۹۹ به ثبت رسید.

نسخه جدید و قسمت دوم این استاندارد در سال ۲۰۰۲ به منظور ایجاد هماهنگی بین این استاندارد مدیریتی و سایر استانداردهای مدیریتی نظیر ۹۰۰۱ ISO و ۱۴۰۰۱ ISO تدوین گردید. این قسمت برای ارزیابی میزان موثربودن سیستم ISMS در یك سازمان مدل (Plan-Do-Check-Act (PDCA را همانگونه كه در شكل یك نشان داده شده است ارائه می نماید.

نحوه عملكرد استاندارد BS ۷۷۹۹

در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده است كه عبارتند از:

تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت
جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله
لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان
ضرورت و جزییات ایجاد تشكیلات سیاستگذاری، اجرایی و فنی تامین امنیت
كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطلاعاتی و ارتباطی
تعریف سیاستهای امنیت اطلاعات
تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان
انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان
پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده
انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه
تدوین دستورالعمل های عملیاتی

مدیریت امنیت شبكه

به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطلاعات، ارتباطات، كاربران. اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد.

اهداف كوتاه مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:

جلوگیری از حملات و دسترسیهای غیرمجاز علیه سرمایه های شبكه
مهار خسارتهای ناشی از ناامنی موجود در شبكه
كاهش رخنه پذیری

اهداف میانمدت نیز عبارتند از :

تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی صرفاً برای سخت افزارها
تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آنها ازحیث محرمانگی و حساسیت
تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطلاعات قابل دسترس و نوع كاربران

تهدیدهای امنیتی

تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:

فاش شدن غیرمجاز اطلاعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه
قطع ارتباط و اختلال در شبكه به واسطه یك اقدام خرابكارانه
تغییر و دستكاری غیر مجاز اطلاعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای كشف و جلوگیری رخنه در نظر گرفته شود:

محرمانه ماندن اطلاعات
احراز هویت فرستنده پیغام
سلامت دادهها در طی انتقال یا نگهداری
كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.
در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختلال در دسترسی

مراحل پیاده سازی امنیت

برای پیادهسازی یك سیستم امنیتی مناسب مراحل زیر بایستی انجام گردد:

برآورد نیازهای امنیتی شبكه : بر اساس نوع شبكه طراحی شده، نوع استفاده از آن و كاربردهای مختلف آن نیازهای امنیتی شبكه بایستی بررسی گردد. این نیازها بر اساس انواع سرویسهایی كه شبكه ارائه میدهد گسترش می یابد.

اتخاد سیاستهای امنیتی لازم : در این مرحله سیاستها و تدابیر امنیتی لازم اتخاذ می شود. این تدابیر برای پاسخ به نیازهایی خواهد بود كه در مرحله قبل برای شبكه برآورد شده است.

ارائه طرح امنیتی شبكه : بر اساس نیازها و سیاستهای برآورده كننده آنها، طرحی از سیاست كلی شبكه ارائه می شود، بهطوری كه تمامی نیازهای شبكه برآورده شود و در طرح جامع و مانعی كه تهیه شده است هیچ تداخلی وجود نداشته باشد.

پیاده سازی و تست : در این مرحله تجهیزات و سیستم های لازم برای طرح انتخاب میشود. تنظیمات كلیه سیستمها پس از تجزیه و تحلیل كافی استخراج میشوند. برای تست طرح پیاده سازی شده، دسترسیها و امكانات رخنه تستشده و در صورت خطا راهكارهای پیشگیری بهكار گرفته می شود.

مدیریت امنیت : این مرحله كه پس از اتمام پیادهسازی انجام میشود شامل تمامی مسائل مدیریتی امنیت شبكه میباشد. در این مرحله روشهای مقابله با تهاجم با روش جدید باید بهكار گرفته شود و تغییراتی را كه در اثر گذشت زمان در امنیت شبكه روی میدهند تحت كنترل گرفته شوند.

اجرای سیستم امنیتی

به منظور اجرای یك سیستم امنیتی شبكه و ارائه قابلیتهای بروز امنیتی درشبكه، روال های زیر بایستی توسط سازمان به صورت مداوم در شبكه اعمال شود:

تعیین سیاستهای امنیتی شبكه : در این قسمت تمامی فرامین و دستورات امنیتی لازم برای فایروالها و سیستم های تشخیص تهاجم توسط ابزارهای خاص استخراج می گردد.

اعمال سیاستهای امنیتی شبكه : دستورات امنیتی تهیهشده برای استفاده در تجهیزات و سرویسهای ارائه شده برای امنیت در شبكه پیاده سازی میشوند.

بررسی بلادرنگ وضعیت امنیت شبكه : پس از پیادهسازی سیاستهای امنیتی، با استفاده از سیستم های بلادرنگ تهاجم (IDS) و یا سیستمهای آنالیز فایلهای Log و تشخیص Offline تهاجم، كلیه دسترسیهای غیرمجاز انجام شده به شبكه و عبور از سیستم امنیتی تشخیص دادهشده و در فایلهای Log خروجی ذخیره میشوند.

بازرسی و تست امنیت شبكه

در این قسمت با استفاده از ابزارهای امنیتی، كلیه پورتها و سرویسهای شبكه و یا محلهای رخنه به شبكه بازرسی شده و اطلاعات مربوطه در فایل Log مربوطه قرار میگیرند. همچنین در این قسمت با استفاده از یك سری از ابزارها، به تحلیل اطلاعات پرداخته میشود و نتایج حاصل از آنها برای مرحله بعدی نگهداری می شود.

بهبود روشهای امنیت شبكه

به منظور بهبود عملكرد سیستم امنیتی شبكه، از نتایج حاصل از دو قسمت قبل استفاده میشود و تغییراتی كه از این بررسیها نتیجه میشود، در سیاستهای امنیتی شبكه اعمال می گردد.

تشكیلات اجرائی امنیت

برای پیاده سازی یك سیستم امنیتی پویا، وجود تشكیلات امنیتی متناسب با نیازهای امنیتی سازمان لازم و ضروری می باشد. گروههای كاری لازم برای اینكه امور امنیتی یك شبكه به نحو احسن اداره شود عبارتند از:

▪ سیاست امنیت : وظایف این قسمت تدوین سیاست امنیتی و بازنگری و اصلاح سیاست امنیتی در صورت پیشنهاد گروه مدیریت امنیتی میباشد. قسمت سیاست امنیتی هماهنگی تشكیل جلسات گروه سیاستگذاری امنیتی را از قسمت مدیریت امنیتی دریافت كرده و طبق آن عمل می كند و نتایج حاصله را به مدیریت امنیتی تحویل می دهد.

▪ مركز هماهنگی واطلاع رسانی : مركز هماهنگی تمامی گزارشها را از بخشهای مختلف جمع آوری كرده و در واقع نقش رابط بین قسمتها را بازی میكند. این مركز بیشتر مانند واسط اصلی بین قسمتها و بخش مدیریتی عمل می كند و تغییرات و پیشنهادات گروه مدیریتی را به گروههای كاری منعكس میكنند. وظایف این قسمت دریافت اطلاعات و گزارش از گروههای پائینتر، پردازش و دستهبندی آنها، ثبت اطلاعات، ارسال نتایج به گروه مدیریت امنیتی، دریافت تغییرات (تغییر سیاست امنیتی) از گروه مدیریت امنیتی، ثبت اطلاعات و ارسال آن برای گروههای پائینتر، تشكیل بانكاطلاعاتی حاوی آسیبپذیریها و پیكربندی امن تجهیزات و سرویسهای شبكه، نگهداری آمار و گزارش حملات انجام شده و واكنش گروههای مرتبط و ارائه مشاوره در زمینه خرید تجهیزات، آنالیز ریسك و ... می باشد.

▪ تشخیص و مقابله باحوادث : وظیفه این قسمت شناسایی و مقابله با حملات و دسترسیهای غیرمجاز میباشد و دارای بخش آمادهسازی به منظور تعیین روند و سیاست سازمانی جهت شناسایی، تعیین منابع اطلاعاتی جهت شناسایی تهاجم، تهیه بانكاطلاعاتی حاوی الگوهای حملات شناخته شده ، مدیریت مكانیزم های ثبت اطلاعات، پشتیبانی سیستم و دریافت گزارشات و توصیههای گروه هماهنگی و اطلاع رسانی، بخش كشف تهاجم به منظور نظارت بر فعالیتهای شبكه، نظارت بر فعالیتهای سیستم، بازرسی فایلها و دایركتوریها، جستجوی اتصالات غیرقانونی به شبكه، بازرسی منابع فیزیكی و دریافت و پردازش گزارشات كاربران، بخش پاسخگویی به تهاجم به منظور آنالیز گزارش، انتقال اطلاعات حادثه و روند آن به بخشهای لازم، بهكارگیری سریعترین راهكارها جهت قطع حمله، جلوگیری از وقوع دوباره حمله، بازیابی سیستم به حالت عادی و تعیین خسارت و در انتها بخش تحقیقات به منظور شناخت انواع حملات، دریافت گزارش مقابله ناموفق و تشخیص و مقابله با ویروسها میباشد.

▪ تشخیص و مقابله با حوادث خاص : این قسمت با اجزای آمادهسازی، كشف و پاسخگویی وظایف مقابله با خطرات ناشی از حوادث و پیشگیری از برخی حوادث محتمل را به عهده دارد. این قسمت گزارشهای مربوط به مقابله با تهاجم یا ویروس یا حادثه خاص را به قسمت مركز هماهنگی برای ارسال به قسمت مدیریتی منتقل میكند و سیاست ها و موارد اضافهشده در برابر حوادث را به عنوان نتیجه دریافت مینماید.

▪ بازرسی امنیتی : بخش بازرسی امنیتی وظایف بازرسی تجهیزات امنیتی، بازبینی logها و پیغامها و سیستمهای پشتیبان و بازرسی شبكه برای ایجاد امنیت در شبكه را برعهده دارد. در این نوع بازرسیها باید اجزا و شبكه به صورت خودكار مورد بررسی قرار گیرند.

▪ نصب و پیكربندی : این قسمت وظایف پیكربندی امن تجهیزات و سرویسهای شبكه و نصب و پیكربندی سیستم امنیتی شبكه را به عهده دارد.

▪ نگهداری و پشتیبانی : این قسمت وظایف محافظت و پشتیبانی از كلیه تجهیزات و اطلاعات امنیتی، نگهداری و ثبت تجهیزات، گزارش هشدارهای خودكار، عیبیابی شبكه و ارائه سرویس لازم و آمارگیری شبكه را بهعهده دارد.

آینده استاندارد BS۷۷۹۹ : استاندارد ۱۷۷۹۹ ISO/IEC كه در سال ۲۰۰۰ به عنوان یك استاندارد معتبر توسط ISO پذیرفته شد، در حال بازنگری است و تخمین زده شده كه تا اواسط سال ۲۰۰۵ این بازنگری تكمیل خواهد شد. اصلیترین تغییری كه انتظار میرود در آن انجام گیرد، تغییر در ساختار كنترلها میباشد. این تغییرات به منظور توصیف بهتر سیستمهای كنترلی، نحوه عملكرد آنها و روابط بین سیستمهای امنیت اطلاعات، صورت میپذیرد. نمودار زیر میزان استفاده از این استاندارد را تا سال ۲۰۰۴ در جهان نشان میدهد.

آیا قسمت سومی برای استاندارد ۷۷۹۹ BS تدوین خواهد شد؟ : اگر قرار است قسمت سومی برای این استاندارد تدوین گردد، این قسمت شامل چه مواردی می باشد؟ نكته قابل اشاره در این زمینه مقایسه این استاندارد با استاندارد ISO۹۰۰۰ میباشد. قسمت سوم استاندارد BS۷۷۹۹ در حقیقت توسعه سیستم ISMS میباشد. درست مانند تغییرات ایجاد شده در استاندارد ISO۹۰۰۴ در مقایسه با نسخه های قبلی آن.

نتیجه گیری : این نوشته قصد داشت كه BS۷۷۹۹ را به عنوان استانداردهای جهانی برای ایمنسازی شبكهها معرفی كند و توجه خواننده را به این موضوع جلب نماید كه برقراری امنیت در سازمان، بایستی در همه ابعاد آن صورت گیرد. توجه به چنین استانداردی و شناخت آن، باعث میشود كه بحث موضوعات پیشرفتهتری نظیر برپایی مراكز امنیت شبكه (Security Operating Center:SOC) ملموس تر و دست یافتنی تر به نظر برسند.

منبع : www.aftab.ir

|+| نوشته شده در دوشنبه چهارم شهریور 1387 ساعت 11:14 توسط سعید |

استانداردهاي ISO/IEC 17799 و BS7799-2

مقدمه :

استانداردهاي ISO/IEC 17799 و BS7799 که بصورت واحد بر روي امنيت يک سازمان اعمال مي گردند، استانداردهايي مي باشند که مجموعه اي فراگير از کنترلها ، شامل بر بهترين متدهاي سنجش در امنيت اطلاعات بوده و شامل بر کليه جزئيات امنيتي هستند. اين استانداردها به دو بخش عمده تقسيم مي گردد:

الف) يک مجموعه قانونمند از متد سنجش امنيتي (ISO/IEC 17799 )

ب) يک نظام نامه براي مديريت امنيت اطلاعات ( BS 7799-2 ).

بطور اساسي يک استاندارد امنيت اطلاعات عمومي مورد تاييد بين المللي است.

هدف از ايجاد اين استانداردها اين بوده است که مانند يک منبع منفرد براي تعريف محدوده اي از کنترلهاي مورد نياز براي اغلب موقعيتهايي که سيستمهاي اطلاعاتي وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهيلاتي براي رسيدن به انجام تجارت در محيطي قابل اطمينان فراهم مي آورد.

تاريخچه :

- اولين نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) براي بررسي ارائه گرديد.
- تحت يک عنوان مشخص و بصورت بازنگري شده با عنوان نسخه اول BS 7799 در فوريه سال 1995 منتشر گرديد.
- نسخه ارائه شده بصورت فراگير اهداف اوليه را تحت پوشش قرار نميداد و داراي مشکلات ذيل بود :
      - به اندازه کافي انعطاف پذير نبود.
      - کليدهاي کنترلي را خيلي ساده بيان کرده بود.
      - تحت فشار مشکلات ديگري انتشار داده شده بود ( مانند مشکل سال 2000 ).
- تجديد نظر زيادي مي بايست صورت مي پذيرفت که در نتيجه نسخه دوم BS 7799 در ماه مي سال 1999 منتشر گرديد.
- شماهاي رسمي و نظام نامه ارائه گواهينامه و اعتبارنامه هاي آن در همان سال منتشر گرديد.
- در همان سال ابزاري که از اين استاندارد حمايت مي نمودند پديدار گرديدند.
- همزمان مؤسسه ISO با سرعت زيادي در اين راه پيشقدم گرديد.
- قسمت دوم استاندارد BS 7799 در سال 2002 ميلادي ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO 17799 در همان سال منتشر گرديد.

الف ) استانداردISO/IEC 17799 :

اين استاندارد در ده بخش و بيش از 127 نوع متد جهت سنجش امنيت سيستم سازماندهي گرديده است. هر بخش بر روي يک سرفصل يا محدوده عملکرد مجزا تعريف شده است. ده عنوان و اهداف آن عبارتند از:

1 ) طرح تداوم خدمات تجاري :

اهداف اين بخش شامل جلوگيري از منقطع شدن فعاليتهاي تجاري و فرايندهاي بحراني اقتصادي بر اثر حوادث ناگوار و يا ناتواني در ارائه خدمات در سطح وسيع مي باشد.

2 ) کنترل بر نحوه دستيابي به سيستم :

اهداف اين بخش شامل :

2-1 ) کنترل دسترسي به اطلاعات.

2-2 ) جلوگيري از دستيابي غير مجاز به سيستم اطلاعاتي.

2-3 ) ايجاد تضمين در نحوه خدمت رساني حمايت شده شبکه.

2-4 ) جلوگيري از دستيابي غير مجاز به رايانه ها.

2-5 ) بازرسي و نظارت بر فعاليتهاي غير مجاز.

2-6 ) اطمينان حاصل کردن از امنيت اطلاعات در زماني که در شبکه از تجهيزات شبکه بيسيم و يا تلفن سيار استفاده مي گردد.

3 ) پشتيباني کردن و توسعه دادن سيستم :

اهداف اين بخش شامل :

3-1 ) اطمينان از امکانات امنيتي ايجاد شده در درون سيستمهاي قابل کنترل.

3-2 ) ممانعت از گم شدن ، تغيير و سؤاستفاده از داده هاي کاربران در سيستم هاي کاربردي.

3-3 ) حمايت از جنبه هاي محرمانگي ، صحت و تماميت اطلاعات.

3-4 ) اطمينان از پروژه هاي IT و فعاليتهاي حمايتي آن که در يک چارچوب امن هدايت خواهند شد.

3-5 ) پشتيباني امنيتي از داده ها و نرم افزارهاي کاربردي.

4 ) ايجاد امنيت فيزيکي و محيطي:

اهداف اين بخش شامل ممانعت از دسترسي غير مجاز ، آسيب رساني و دخالت در بنيادهاي اقتصادي و اطلاعات ؛ ممانعت از گم شدن ، آسيب ديدن و مصالحه بر سر دارايي ها براي تعليق فعاليتهاي اقتصادي مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن يا سرقت اطلاعات و همچنين امکانات پردازش اطلاعات مي گردد.

5 ) مورد قبول واقع شدن:

اهداف اين بخش شامل :

5-1 ) اجتناب از بروز هرگونه رخنه اي که مجرمانه بوده ويا قوانين مدني ، قوانين موضوعي ، قوانين تنظيمي يا قراردادهاي الزام آور و هر نوع نياز امنيتي را مورد هدف قرار دهد.

5-2 ) ايجاد اطمينان از همخواني سيستمها با سياستهاي امنيتي و استانداردهاي سازماني.

5-3 ) به حد اکثر رساندن تاثيرات کارا و به حداقل رساندن فرايندهاي اخلال کننده سيستم مراقبت امنيتي وارد شده بر سيستم يا صادر شده از سيستم.

6 ) امنيت شخصي:

اهداف اين بخش شامل کاهش خطرات ناشي از خطاهاي انساني ، دزدي ، تقلب يا سؤاستفاده از امکانات ؛ ايجاد اطمينان از اينکه کاربران از تهديدات امنيتي موجود بر روي اطلاعات واقف و نگران بوده و در روشهاي کاري معمول خود ، در جهت حمايت از سياستهاي امنيتي ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهاي ناشي از بروز حوادث امنيتي و سؤ عمل و همچنين درس گرفتن از اين رخدادهاي امنيتي مي باشد.

7 ) ايجاد امنيت سازماني:

اهداف اين بخش شامل :

7-1 ) مديريت امنيت اطلاعات در محدوده شرکت.

7-2 ) پشتيباني از امکانات امنيت فرايندهاي اطلاعاتي سازماني و دستيابي به داراييهاي اطلاعاتي به واسطه عوامل ثالث ( Third Party ).

7-3 ) پشتيباني از امنيت اطلاعات در زماني که وظيفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان ديگري سپرده شده باشد.

8 ) مديريت رايانه و عمليات:

اهداف اين بخش شامل :

8-1 ) ايجاد اطمينان از عمليات موجود و امنيتي بر روي امکانات پردازش اطلاعات.

8-2 ) به حداقل رساندن خطرات ناشي از ناتواني هاي سيستم.

8-3 ) حمايت از تماميت اطلاعات و نرم افزار.

8-4 ) پشتيباني از در دسترس بودن و تماميت پردازش اطلاعات و ارتباطات.

8-5 ) ايجاد اطمينان از امن نگهداشتن اطلاعات در شبکه ها و حمايت از زيربناي پشتيباني کننده.

8-6 ) ممانعت از آسيب رسيدن به دارايي ها و تعليق فعاليتهاي اقتصادي.

8-7 ) ممانعت از گم شدن ، تغيير دادن و سؤاستفاده از اطلاعات در حال مبادله مابين سازمانها.

9 ) کنترل و طبقه بندي داراييها:

اهداف اين بخش شامل پشتيباني مناسب حمايتي از داراييهاي مشترک و اطمينان از اينکه داراييهاي اطلاعاتي در يک سطح مناسب امنيتي دريافت مي گردد ، مي باشد.

10 ) امنيت اطلاعاتي:

اهداف اين بخش شامل ايجاد مديريت هدفمند و حمايتي براي امنيت اطلاعات مي گردد.

|+| نوشته شده در دوشنبه چهارم شهریور 1387 ساعت 11:12 توسط سعید |

معرفی سیستم مدیریت امنیت اطلاعات

ISMS چیست؟
سیستم مدیریت امنیت اطلاعات یا Information Security Management System سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی اطلاعات را تضمین می نماید. مدل PDCA ساختاری است که در پیاده سازی ISMS بکار برده می شود و ISMS زیربنای BS7799 می باشد.

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.

برای داشتن سازمانی با برنامه و ایده آل ، هدفمند کردن این تلاش ها برای رسیدن به حداکثر ایمنی امری است که باید مدنظر قرار گیرد.
استاندارد BS7799 راهکاری است که اطلاعات سازمان و شرکت را دسته بندی و ارزش گذاری کرده و با ایجاد سیاستهای متناسب با سازمان و همچنین پیاده سازی 127 کنترل مختلف، اطلاعات سازمان را ایمن می سازد. این اطلاعات نه تنها داده های کامپیوتری و اطلاعات سرور ها بلکه کلیه موارد حتی نگهبان سازمان یا شرکت رادر نظر خواهد گرفت.

آیا امنیت 100% امکانپذیر است؟
با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟

فوائد استاندارد BS7799 و لزوم پیاده سازی
استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
ایجاد اطمینان نزد مشتریان و شرکای تجاری
امکان رقابت بهتر با سایر شرکت ها
ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

مراحل ایجاد سیستم مدیریت امنیت اطلاعات (ISMS)

ایجاد و تعریف سیاست ها:
در این مرحله ایجاد سیاستهای کلی سازمان مدنظر قراردارد. روالها از درون فعالیت شرکت یا سازمان استخراج شده و در قالب سند و سیاست امنیتی به شرکت ارائه می شود. مدیران کلیدی و کارشناسان برنامه ریز نقش کلیدی در گردآوری این سند خواهند داشت.

تعیین محدوده عملیاتی :
یک سازمان ممکن است دارای چندین زیرمجموعه و شاخه های کاری باشد لذا شروع پیاده سازی سیستم امنیت اطلاعات کاری بس دشوار است . برای جلوگیری از پیچیدگی پیاده سازی ، تعریف محدوده و Scope صورت می پذیرد. Scope می تواند ساختمان مرکزی یک سازمان یا بخش اداری و یا حتی سایت کامپیوتری سازمان باشد. بنابراین قدم اول تعیین Scope و الویت برای پیاده سازی استاندارد امنیت اطلاعات در Scope خواهد بود. پس از پیاده سازی و اجرای کنترل های BS7799 و اخذ گواهینامه برای محدوده تعیین شده نوبت به پیاده سازی آن در سایر قسمت ها می رسد که مرحله به مرحله اجرا خواهند شد.

برآورد دارایی ها و طبقه بندی آنها:
برای اینکه بتوان کنترل های مناسب را برای قسمت های مختلف سازمان اعمال کرد ابتدا نیاز به تعیین دارایی ها می باشیم. در واقع ابتدا باید تعیین کرد چه داریم و سپس اقدام به ایمن سازی آن نماییم. در این مرحله لیست کلیه تجهیزات و دارایی های سازمان تهیه شده و باتوجه به درجه اهمیت آن طبقه بندی خواهند شد.

ارزیابی خطرات:
با داشتن لیست دارایی ها و اهمیت آن ها برای سازمان ، نسبت به پیش بینی خطرات اقدام کنید. پس از تعیین کلیه خطرات برای هر دارایی اقدام به تشخیص نقاط ضعف امنیتی و دلایل بوجود آمدن تهدیدها نمایید و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازید و خطرات و تهدیدها و نقاط ضعف را مستند نمایید.

مدیریت خطرات :
مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتی شما را قادر به اتخاذ تصمیم درست و مؤثر برای مقابله با آنها می نماید.

انتخاب کنترل مناسب :
استاندارد BS7799 دارای 10 گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت یا سازمان شما پتانسیل پیاده سازی کنترل های مذکور را خواهد داشت.
این ده گروه کنترلی عبارتند از :

1- سیاستهای امنیتی
2- امنیت سازمان
3- کنترل و طبقه بندی دارایی ها
4- امنیت فردی
5- امنیت فیزیکی
6- مدیریت ارتباط ها
7- کنترل دسترسی ها
8- روشها و روالهای نگهداری و بهبود اطلاعات
9- مدیریت تداوم کار سازمان
10- سازگاری با موارد قانونی

تعیین قابلیت اجرا:
جمع آوری لیست دارایی ها، تعیین تهدیدها ، نقاط ضعف امنیتی و در نهایت ایجاد جدول کنترل ها مارا در به دست آوردن جدولی موسوم به SOA یا Statement Of Applicability یاری می رساند. این جدول لیستی نهایی از کلیه کنترل های مورد نیاز برای پیاده سازی را ارائه می دهد. با مطالعه این جدول و مشخص کردن کنترل های قابل اجرا و اعمال آنها ،سازمان یا شرکت خودرا برای اخذ استاندارد BS7799 آماده خواهید ساخت.

نتیجه آنکه برای رسیدن به یک قالب درست امنیتی ناچار به استفاده از روال های صحیح کاری و همچنین پیاده سازی استاندارد امنیت هستیم و استاندارد BS ISO/IEC 17799:2000 انتخابی درست برای رسیدن به این منظور می باشد.

|+| نوشته شده در دوشنبه چهارم شهریور 1387 ساعت 11:10 توسط سعید |