هوای مشهد
پست الكترونيك
آرشيو مطالب
خانگي سازی
ذخيره كردن صفحه
اضافه به علاقه منديها
تیر 1388
اردیبهشت 1388
بهمن 1387
دی 1387
آذر 1387
آبان 1387
شهریور 1387
تیر 1387
خرداد 1387
اردیبهشت 1387
فروردین 1387
اسفند 1386
بهمن 1386
دی 1386
آذر 1386
مهر 1386
مرداد 1386
تیر 1386
خرداد 1386
اردیبهشت 1386
gaza غزه
Network Security
از اسلام چه می دانیم
Software
کامپیوتر و فناوری اطلاعات
کتابخانه تخصصی کامپیوتر محمد بشیری
اطمینان از انلاین افراد در لیست یاهو
اخبار دنیای کامپیوتر
آنتی ویروس
آرشيو پیوندها
همكلاسي
Satellite Finder / Dish Pointing Calculator with Google Maps
E-book & Software
Pray Times! فایر فاکسی
CacheViewer فایر فاکس
دانلود نرم افزار
دانلود نرم افزار
اخبار فناوری اطلاعات
سایت خبری و تحلیلی
آفتاب
دنیای کامپیوتر و ارتباطات
software download
نرم افزارهای بدون نیاز به نصب
مترجم فارسی گوگل
من و عکس
قالب وبلاگ
آمارگیری سایت
مقدمه :
استانداردهاي ISO/IEC 17799 و BS7799 که بصورت واحد بر روي امنيت يک سازمان اعمال مي گردند، استانداردهايي مي باشند که مجموعه اي فراگير از کنترلها ، شامل بر بهترين متدهاي سنجش در امنيت اطلاعات بوده و شامل بر کليه جزئيات امنيتي هستند. اين استانداردها به دو بخش عمده تقسيم مي گردد:
الف) يک مجموعه قانونمند از متد سنجش امنيتي (ISO/IEC 17799 )
ب) يک نظام نامه براي مديريت امنيت اطلاعات ( BS 7799-2 ).
بطور اساسي يک استاندارد امنيت اطلاعات عمومي مورد تاييد بين المللي است.
هدف از ايجاد اين استانداردها اين بوده است که مانند يک منبع منفرد براي تعريف محدوده اي از کنترلهاي مورد نياز براي اغلب موقعيتهايي که سيستمهاي اطلاعاتي وجود داشته و در تجارت و صنعت کاربرد دارد ، بکار برده شوند. ضرورتاً تسهيلاتي براي رسيدن به انجام تجارت در محيطي قابل اطمينان فراهم مي آورد.
تاريخچه :
- اولين نسخه آن توسط وزارت تجارت و صنعت انگلستان ( DTI ) براي بررسي ارائه گرديد.
- تحت يک عنوان مشخص و بصورت بازنگري شده با عنوان نسخه اول BS 7799 در فوريه سال 1995 منتشر گرديد.
- نسخه ارائه شده بصورت فراگير اهداف اوليه را تحت پوشش قرار نميداد و داراي مشکلات ذيل بود :
- به اندازه کافي انعطاف پذير نبود.
- کليدهاي کنترلي را خيلي ساده بيان کرده بود.
- تحت فشار مشکلات ديگري انتشار داده شده بود ( مانند مشکل سال 2000 ).
- تجديد نظر زيادي مي بايست صورت مي پذيرفت که در نتيجه نسخه دوم BS 7799 در ماه مي سال 1999 منتشر گرديد.
- شماهاي رسمي و نظام نامه ارائه گواهينامه و اعتبارنامه هاي آن در همان سال منتشر گرديد.
- در همان سال ابزاري که از اين استاندارد حمايت مي نمودند پديدار گرديدند.
- همزمان مؤسسه ISO با سرعت زيادي در اين راه پيشقدم گرديد.
- قسمت دوم استاندارد BS 7799 در سال 2002 ميلادي ارائه و متعاقب آن مجموعه ابزارمند استاندارد ISO 17799 در همان سال منتشر گرديد.
الف ) استانداردISO/IEC 17799 :
اين استاندارد در ده بخش و بيش از 127 نوع متد جهت سنجش امنيت سيستم سازماندهي گرديده است. هر بخش بر روي يک سرفصل يا محدوده عملکرد مجزا تعريف شده است. ده عنوان و اهداف آن عبارتند از:
1 ) طرح تداوم خدمات تجاري :
اهداف اين بخش شامل جلوگيري از منقطع شدن فعاليتهاي تجاري و فرايندهاي بحراني اقتصادي بر اثر حوادث ناگوار و يا ناتواني در ارائه خدمات در سطح وسيع مي باشد.
2 ) کنترل بر نحوه دستيابي به سيستم :
اهداف اين بخش شامل :
2-1 ) کنترل دسترسي به اطلاعات.
2-2 ) جلوگيري از دستيابي غير مجاز به سيستم اطلاعاتي.
2-3 ) ايجاد تضمين در نحوه خدمت رساني حمايت شده شبکه.
2-4 ) جلوگيري از دستيابي غير مجاز به رايانه ها.
2-5 ) بازرسي و نظارت بر فعاليتهاي غير مجاز.
2-6 ) اطمينان حاصل کردن از امنيت اطلاعات در زماني که در شبکه از تجهيزات شبکه بيسيم و يا تلفن سيار استفاده مي گردد.
3 ) پشتيباني کردن و توسعه دادن سيستم :
اهداف اين بخش شامل :
3-1 ) اطمينان از امکانات امنيتي ايجاد شده در درون سيستمهاي قابل کنترل.
3-2 ) ممانعت از گم شدن ، تغيير و سؤاستفاده از داده هاي کاربران در سيستم هاي کاربردي.
3-3 ) حمايت از جنبه هاي محرمانگي ، صحت و تماميت اطلاعات.
3-4 ) اطمينان از پروژه هاي IT و فعاليتهاي حمايتي آن که در يک چارچوب امن هدايت خواهند شد.
3-5 ) پشتيباني امنيتي از داده ها و نرم افزارهاي کاربردي.
4 ) ايجاد امنيت فيزيکي و محيطي:
اهداف اين بخش شامل ممانعت از دسترسي غير مجاز ، آسيب رساني و دخالت در بنيادهاي اقتصادي و اطلاعات ؛ ممانعت از گم شدن ، آسيب ديدن و مصالحه بر سر دارايي ها براي تعليق فعاليتهاي اقتصادي مؤسسه ؛ ممانعت از مورد مصالحه قرار گرفتن يا سرقت اطلاعات و همچنين امکانات پردازش اطلاعات مي گردد.
5 ) مورد قبول واقع شدن:
اهداف اين بخش شامل :
5-1 ) اجتناب از بروز هرگونه رخنه اي که مجرمانه بوده ويا قوانين مدني ، قوانين موضوعي ، قوانين تنظيمي يا قراردادهاي الزام آور و هر نوع نياز امنيتي را مورد هدف قرار دهد.
5-2 ) ايجاد اطمينان از همخواني سيستمها با سياستهاي امنيتي و استانداردهاي سازماني.
5-3 ) به حد اکثر رساندن تاثيرات کارا و به حداقل رساندن فرايندهاي اخلال کننده سيستم مراقبت امنيتي وارد شده بر سيستم يا صادر شده از سيستم.
6 ) امنيت شخصي:
اهداف اين بخش شامل کاهش خطرات ناشي از خطاهاي انساني ، دزدي ، تقلب يا سؤاستفاده از امکانات ؛ ايجاد اطمينان از اينکه کاربران از تهديدات امنيتي موجود بر روي اطلاعات واقف و نگران بوده و در روشهاي کاري معمول خود ، در جهت حمايت از سياستهاي امنيتي ، شراکت خواهند داد ؛ به حداقل رساندن خسارتهاي ناشي از بروز حوادث امنيتي و سؤ عمل و همچنين درس گرفتن از اين رخدادهاي امنيتي مي باشد.
7 ) ايجاد امنيت سازماني:
اهداف اين بخش شامل :
7-1 ) مديريت امنيت اطلاعات در محدوده شرکت.
7-2 ) پشتيباني از امکانات امنيت فرايندهاي اطلاعاتي سازماني و دستيابي به داراييهاي اطلاعاتي به واسطه عوامل ثالث ( Third Party ).
7-3 ) پشتيباني از امنيت اطلاعات در زماني که وظيفه پردازش اطلاعات شرکت ، بصورت Outsource به سازمان ديگري سپرده شده باشد.
8 ) مديريت رايانه و عمليات:
اهداف اين بخش شامل :
8-1 ) ايجاد اطمينان از عمليات موجود و امنيتي بر روي امکانات پردازش اطلاعات.
8-2 ) به حداقل رساندن خطرات ناشي از ناتواني هاي سيستم.
8-3 ) حمايت از تماميت اطلاعات و نرم افزار.
8-4 ) پشتيباني از در دسترس بودن و تماميت پردازش اطلاعات و ارتباطات.
8-5 ) ايجاد اطمينان از امن نگهداشتن اطلاعات در شبکه ها و حمايت از زيربناي پشتيباني کننده.
8-6 ) ممانعت از آسيب رسيدن به دارايي ها و تعليق فعاليتهاي اقتصادي.
8-7 ) ممانعت از گم شدن ، تغيير دادن و سؤاستفاده از اطلاعات در حال مبادله مابين سازمانها.
9 ) کنترل و طبقه بندي داراييها:
اهداف اين بخش شامل پشتيباني مناسب حمايتي از داراييهاي مشترک و اطمينان از اينکه داراييهاي اطلاعاتي در يک سطح مناسب امنيتي دريافت مي گردد ، مي باشد.
10 ) امنيت اطلاعاتي:
اهداف اين بخش شامل ايجاد مديريت هدفمند و حمايتي براي امنيت اطلاعات مي گردد.