استاندارد ISF، تجربه ی برتر امنیت اطلاعات

امروزه استاندارد (ISF (Information Security Forum به عنوان تجربه ای معتبر برای امنیت اطلاعات شناخته شده است. این استاندارد مجموعه ی تجربیات بیش از 260 شرکت و سازمان بین المللی معتبر در زمینه ی اطلاعات و بهسازی امنیت اطلاعات آن هاست.

در طول 16 سال،ISF بیش از هفتاد و پنج میلیون دلار برای گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این استاندارد، نشان دادن مجموعه ی بسیار گسترده و جامع از تمامی عناوین مربوط به مدیریت ریسکهای اطلاعات در دنیاست.

استاندارد ISF فشرده و کلیدی برای برنامه های گسترده ی گروه ISF است. نتایج این استاندارد که در طی سال ها گسترش یافته و هر سال نسبت به سال پیش بهبود پیدا کرده است ، اجرای پروژه هایی زیادی است که توسط ISF تعریف و انجام شده است.

هر چند ISF و نتایج آن متعلق به اعضای انحصاری آن است، اما این گروه تصمیم گرفت برخی از نکات کلیدی را در قالب مجموعه ای کامل به نام The Standard of Good Practice (استاندارد تجربه برتر)، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:

  • ایجاد زمینه ای برای بالا بردن سطح امنیت اطلاعات سازمان ها در سرتاسر جهان از طریق تجربه ای برتر
  • کمک به سازمان ها و شرکت هایی که عضو ISF نیستند، برای بهبود وضعیت امنیتی خود و کاهش خطرات امنیتی در سطح قابل قبول
  • کمک عملی به تولید کنندگان استاندارد ها برای مشخص کردن نواحی و کاهش ریسک های اطلاعاتی در یک مجموعه

ISF با اجرای ممیزی وضعیت امنیت اطلاعات اعضای خود، آنها را قادر می سازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودکار انجام می شود تا بتوانند میزان اجرای توافق های امنیتی خود را در سازمان اندازه گیری و با سازمان های سردمدار گروه مقایسه کنند.

معرفی استاندارد

در این بخش، جزییات دقیق تری از استاندارد ISF ارائه خواهد شد.

این استاندارد، امنیت اطلاعات را از دید کسب و کارها بررسی می کند و ارزیابی ابتدایی از توافق ها و سیاست های امنیتی سازمان ها ارائه می دهد. استاندارد ISF روی توافق هایی تمرکز دارد که باید در سازمان های سردمدار IT ایجاد شود تا از این طریق به آنها برای کنترل ریسک های امنیتی کمک کند.

استاندارد بر اساس اصول غنی شده ی حاصل از تحقیقات عمیق و تمرینات عملی اعضای گروه ISF تنظیم شده است و هر دو سال یک بار روز آمد می شود.

تمرینات موجود در استاندارد می تواند به صورت جزیی یا کلی در توافق های امنیتی سازمان ها توسط افراد کلیدی زیر گنجانده شود:

  • مدیر امنیت اطلاعات: مقامی مشابه که مسئول و پاسخگوی مسایل امنیت اطلاعات و پیاده سازی آنها در سازمان است.
  • مدیر سازمان: که مجری برنامه های کاربردی و بحرانی سازمان است.
  • مدیر IT: که پاسخگو و مسئول طراحی، تولید، نصب و اجرا و نگهداری تجهیزات یا سیستم های اطلاعاتی است.

استاندارد ISF برای اولین بار در سال 1996 منتشر شد. نسخه ی جدید این استاندارد هر دو سال یک بار منتشر و کلید ها و موارد دیگر به آن افزوده می شود و در راستای استاندارد بین المللی توسعه پیدا می کند. این استاندارد بر پایه ی دانش اعضای گروه ISF و نیز مهارت های تیم مدیریت آن بنا نهاده شده است، که به صورت تمام وقت روی این استاندارد فعالیت می کند. از استاندارد های بین المللی دیگر (همچون ISO 17799) و نتایج تجزیه و تحلیل های ممیزی های ISF نیز به عنوان یک منبع در آن استفاده می شود.

خلاصه آنکه، این استاندارد بر پایه ی 16 سال برنامه های کاری ISF، 125 پروژه ی تحقیقاتی و 200 گزارش بنا نهاده شده است.

این استاندارد در بیش از 10 شرکت و سازمان تولیدی و طراحی به طور آزمایشی پیاده سازی شده است تا از درستی کلید های آن در بخش امنیت اطلاعات، اطمینان حاصل شود.

استاندارد تجربه ی برتر امنیت اطلاعات، در اصل مجموعه ای است از اصول واقعی و درستی که از طریق بهترین تجربیات سازمان های عضو به دست آمده و بر اساس نیازهای سازمان های مختلف ایجاد شده است.

بسیاری از حرفه ای های امنیت اطلاعات، از این استاندارد به عنوان استانداردی ارزشمند یاد می کنند که می توان آن را در تمام سطوح امنیتی سازمان ها در سرتاسر جهان به کار برد.

منافع استفاده از استاندارد

ایجاد یک محیط مدیریتی- تجاری

برای ایجاد یک محیط مدیریتی-تجاری که در آن ریسک های امنیتی قابل کنترل باشند، نیاز است:

  • امنیت اطلاعات در وضعیت ایده آل قرار داشته باشد
  • بهترین تجربه ها برای طراحی، تولید، نصب و اجرا و همچنین نگهداری سیستم های اطلاعاتی در نظر گرفته شود.

هر چند انجام همه این امور کاری طاقت فرسا و پیچیده است، زیرا یک سازمان در یک مسیر پویا با مسایل زیادی رو به رو می شود، از جمله :

  • فشار های ناشی از وضعیت های دشوار اقتصادی جهان که سازمان با آن مواجه است.
  • اعتماد فزاینده ای که بر پایه ی سیستم اطلاعاتی برپایه IT ایجاد می شود
  • خطرات و تهدیداتی که کامپیوتر ها و شبکه ها با آن مواجه اند و تکنیک ها و فناوری های آن روز به روز در حال افزایش و پیشرفت است
  • نیازهای تجاری سیستم ها و کارمندان برای انجام سریع و آسان کارها
  • نبود مهارتهای کلیدی، کارشناسی و دیگر منابع در بسیاری از حوزه های پر اهمیت .

بنابراین، سازمان ها نیازمند تعریفی ساده و عملیاتی اند که شامل تکنیک های مناسبی برای بالابردن سطح امنیت اطلاعات باشد و بتواند این تکنیک ها را به شکل عملیاتی در سازمان پیاده سازی کنند. این چیزی نیست جز استاندارد تجربه ی برتر امنیت اطلاعات!

اندازه گیری میزان کارایی در برابر استاندارد

اگر چه استاندارد تجربه ی برتر مشخص می کند که چه کاری باید انجام شود، اغلب سازمان ها می خواهند بدانند که در برابر یک استاندارد باید چه کاری انجام دهند. در واقع ، اعضای ISF می توانند از ممیزی وضعیت امنیت اطلاعات، بهره بگیرند و این می تواند تا حدی آنها را به استاندارد نزدیک کند.

این ممیزی به سازمان کمک می کند که بتواند توافق های امنیت اطلاعات موجود در سازمان را آزمایش کند و نمره ی خود را در برابر استاندارد ببیند.

اعمال کردن استاندارد

استاندارد تجربه ی برتر، به پنج بخش جداگانه تقسیم می شود که هر کدام محیط کاری مشخصی را در نظر گرفته است.

در اصل استاندارد، بر چگونگی پشتیبانی نقاط و فرآیند های کلیدی سازمان توسط امنیت اطلاعات تمرکز دارد. این فرآیند ها تا اندازه ی زیادی به میزان وابستگی سازمان به IT بستگی دارد و بیشتر از همه روی بخش هایی که حیات سازمان به آن ها بستگی دارد متمرکز می شوند.

به همین دلیل بخش برنامه های کاربردی تجاری پر اهمیت (Critical Business Application) جز مرکز طراحی این استاندارد است. این ارتباط در شکل زیر نشان داده شده است :

بخش تاسیسات کامپیوتری (Computer Installation) و شبکه ها (Networks) به عنوان شالوده ی زیربنایی برای اجرای برنامه های کاربردی تجاری را فراهم می کند. بخش توسعه ی سیستم ها (Systems Development) نیز چگونگی برخورد با برنامه ی کاربردی جدید را مشخص می کند. مدیریت امنیت (Security Management) نیز مشخص کننده ی کنترل ها و هدایت در سطح بالاست.

مدیریت امنیت در سطح بالای سازمان

تعهدی تمامی مدیران سطح بالای سازمان برای بالا بردن سطح امنیت اطلاعات سازمان با در اختیار قرار دادن تمامی منابع در این جهت

برنامه های کاربردی پر اهمیت

تمامی برنامه های کاربردی که برای حیات تجاری سازمان لازم است.

تمامی نیاز های امنیتی برنامه های کاربردی و مقرراتی که وضع می شود تا ریسک های مربوط به برنامه های کاربری در سطح قابل قبولی قرار گیرند.

تاسیسات کامپیوتری

تاسیسات کامپیوتری که برنامه های کاربردی را پشتیبانی می کند.

تعریف تمامی نیاز ها برای سرویس کامپیوترها و چگونگی راه اندازی کامپیوتر ها و اجرای آن برای تامین نیازهای تعریف شده

شبکه ها

شبکه ای که یک یا چند برنامه کاربردی را مشخص می کند

چه نیاز هایی برای سرویس شبکه ها باید تعریف شوند، و چه شبکه هایی باید راه اندازی و اجرا شوند تا این نیاز ها را تامین کنند.

توسعه سیستم

واحد یا حوزه ی توسعه ی سیستم ها یا پروژه ی توسعه ی سیستم مشخص

چگونه نیازهای تجاری (ازجمله نیاز های امنیتی) یک سازمان، تعریف می شود و چگونه سیستم ها طراحی و ساخته می شوند تا پاسخگوی این نیازها باشند.

۵ آبان ۱۳۸۹ ۱۱:۳۶

نظرات بینندگان

نام را وارد کنید
تعداد کاراکتر باقیمانده: 500
نظر خود را وارد کنید