پاورپوینت استانداردهای امنیت‌ (pptx) 96 اسلاید

دسته بندی : پاورپوینت

نوع فایل : PowerPoint (.pptx) ( قابل ویرایش و آماده پرینت )

تعداد اسلاید: 96 اسلاید

قسمتی از متن PowerPoint (.pptx) :

بنام خدا 1 2   استانداردهای امنیت‌ 3 اهمیت امنیت اطلاعات اشاره :امنیت از دیرباز یكی از اجزای اصلی زیرساخت‌های فناوری اطلاعات به شمار می‌رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الكترونیكی نیستند، بلكه هر شبكه باید از نظر فیزیكی نیز ایمن گردد. خطرات الكترونیكی غالباً شامل تهدیدات هكرها و نفوذگران خارجی و داخلی در شبكه‌ها می باشند. در حالی كه امنیت فیزیكی شامل كنترل ورود و خروج پرسنل به سایت‌های شبكه و همچنین روال‌های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه‌های فوق، علاوه بر ایمن‌سازی سخت‌افزاری شبكه، نیاز به تدوین سیاست‌های امنیتی در حوزه فناوری اطلاعات در یك سازمان نیز می باشد. در این راستا لازم است از روال‌های استانداردی استفاده شود كه به واسطه آن‌ها بتوان ساختار یك سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS7799 كه در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یك سازمان می پردازد. . آشنائي با مراحل طي شده در زمينه امنيت اطلاعات 4 امنيت اطلاعات داراي مراحل مختلفي بوده که در بازه هاي زماني متفاوت اين مراحل با ديدگاههاي خاص خودشان طي گرديده است. اولين مرحله که تا اوايل دهه 80 ميلادي بطول انجاميد، امنيت را فقط با ديدگاه فني مشاهده مي نمود وبرقراري آن را منوط به امنيت کامپيوتر و دستگاههاي جانبي مي دانستند اما با گذشت زمان متوجه شدند که بيشتر تجاوزات امنيتي از طريق مسائلي همچون ضعف هاي مديريتي (از لحاظ امنيتي) و عوامل انساني (بدليل نديدن آموزش هاي امنيتي پرسنل سازمان مربوطه) مي باشد لذا از اواسط دهه 80 ميلادي که تا اواسط دهه 90 ميلادي هم بطول انجاميد، بحث مديريت امنيت اطلاعات مطرح شد که در آن امنيت اطلاعات را منوط به خطي مشي امنيت اطلاعات و ساختارهاي سازماني مي دانستند اما در اواسط دهه 90 ميلادي اين مرحله تکميل تر گرديد که آميزه اي از دو مرحله قبلي و پارامترهاي ديگري همچون تعريف استراتژيهاي امنيتي و خطي مشي هاي امنيتي بر اساس نيازهاي اصلي سازمان و مديريت آن مي باشد. اين مرحله شامل مولفه هائي نظير استانداردسازي امنيت اطلاعات، گواهينامه هاي بين المللي، فرهنگ سازي امنيت اطلاعات در سازمان و پياده سازي معيارهاي ارزيابي دائمي و پوياي امنيت اطلاعات مي باشد. لازم به ذکر مي باشد که اين مرحله هنوز ادامه دارد و در حال تکميل شدن مي‌باشد. استانداردهاي امنيت قابل تقسيم به دو گروه اصلي مي باشند که گروه اول در رابطه با امنيت از لحاظ فني، و گروه دوم در رابطه با امنيت از لحظ مديريتي است. استانداردهاي امنيتي فني در زمينه هائي نظير امضاء ديجيتال، رمزنگاري کليد عمومي، رمزنگاري متقارن، توابع درهم ساز، توابع رمزنگاري احراز اصالت پيام و غيره کاربرد دارند. گروه دوم که استانداردهاي امنيتي مديريتي مي باشند، قسمت هاي مختلف مديريت سازمان را در بر مي گيرند. در حال حاضر مجموعه اي ا استانداردهاي مديريتي و فني امنيت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 (نسخه جديد آن ISO/IEC 27001 مي باشد) و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد، از برجسته ترين استانداردها و راهنماهاي فني محسوب مي گردند . در اين استانداردها، نکات زير مورد توجه قرار گرفته است: تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيت جزئيات مراحل ايمن سازي و تکنيکهاي فني مورد استفاده در هر مرحله ليست و محتواي طرحها و برنامه هاي امنيت اطلاعات مورد نياز سازمان ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت کنترل هاي امنيتي موردنياز براي هر يک از سيستم هاي اطلاعاتي و ارتباطي 5 چگونگي روند رو به رشد استاندارد های امنیت استاندارد BS7799 اولين استاندارد مديريت امنيت است که توسط موسسه استاندارد انگليس ارائه شده است. نسخه اول اين استاندارد (BS7799-1) در سال 1995 و در يک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گرديد. و نسخه دوم آن (BS7799-2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گرديد. هدف از تدوين اين استاندارد ارائه پيشنهاداتي در زمينه مديريت امنيت اطلاعات براي کساني است که مسئول طراحي، پياده سازي يا پشتيباني مسائل امنيتي در يک سازمان مي باشند. اين استاندارد متشکل از 35 هدف امنيتي و 127 اقدام بازدارنده براي تامين اهداف تعيين شده مي‌باشد که جزئيات و چگونگي‌ها را مطرح نمي کند بلکه سرفصل‌ها و موضوعات کلي را بيان مي کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوين اين استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد ويا نياز به کنترلهاي بيشتري باشد که اين استاندارد، آنها را پوشش نداده است. 6 استاندارد BS7799 در سال 2000 ميلادي بخش اول استاندارد BS7799-2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گرديد. وشامل سر فصل هاي ذيل است: تدوين سياست امنيتي سازمان تشکيلات امنيتي طبقه بندي سرمايه ها و تعيين کنترلهاي لازم امنيت پرسنلي امنيت فيزيکي و پيراموني مديريت ارتباطات و بهره برداري کنترل دسترسي توسعه و پشتيباني سيستم ها مديريت تداوم فعاليت سازگاري 7 استاندارد BS7799 اين استاندارد مجددا در سال 2002 ميلادي بازنويسي و منتشر گرديد. در سال 2005 دوباره اين استاندارد بازنويسي و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در يک سند انتشاريافت. اين نسخه متشکل از 39 هدف امنيتي و 134 اقدام بازدارنده است. تغييراتي که اين استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از: الف- افزايش يافتن يک فصل جديد و تغييير نمودن بعضي از فصول گذشته ب- تغيير وحذف شدن بعضي از کنترلهاي قديمي و اضافه شدن 17 کنترل جديد ج- افزايش تعداد کنترل‌ها به 134عدد 8 استاندارد BS7799 استاندارد BS7799 نحوه عملكرد استاندارد BS 7799در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصل‌هایی برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده است كه عبارتند از:‌● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‌● جزییات مراحل ایمن سازی و تكنیك‌های فنی مورد استفاده در هر مرحله‌● لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان‌● ضرورت و جزییات ایجاد تشكیلات سیاستگذاری، اجرایی و فنی تامین امنیت‌  ● كنترل‌های امنیتی مورد نیاز برای هر یك از سیستم های اطلاعاتی و ارتباطی‌  ● تعریف سیاست‌های امنیت اطلاعات‌● تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان ● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‌● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست‌های امنیتی تدوین شده‌● انتخاب هدف‌های كنترل و كنترل‌های مناسب كه قابل توجیه باشند، از لیست كنترل‌های همه جانبه ● تدوین دستور‌العمل های عملیاتی‌ 9