سيستم مديريت امنيت اطلاعات (ISMS)

با گسترش حساسيت­ ها و نيازمندي­ هاي امنيت اطلاعات در نظام ­هاي کسب و کاري، ديگر، به جهت تحت پوشش قرار دادن اين نيازمندي­ ها در اين حوزه، تنها استفاده از راهکارها و فناوري­ هاي تکنولوژيک، يک راهکار جامع و کارامد محسوب نمي­ شود. بدين ترتيب، در کنار به کارگيري از راهکارهاي فني و تکنولوژيک، لازم است تا نظام­ هاي جامع مديريت امنيت نيز در بدنه معماري امنيت زيرساخت فناوري اطلاعات سازماني ايجاد و پياده­ سازي گردند. در اين راستا، يکي از کارامدترين و مناسب­ ترين چارچوب­ هاي پياده­ سازي چنين نظام­ هايي، خانواده استاندارد ISMS مي­ باشد.

جایگاه

فلسفه وجودي نظام جامع مديريت امنيت اطلاعات، حصول اطمينان از تحت پوشش قرار گرفتن تمامي نيازمندي هاي امنيتي يک نظام کسب و کاري، همراستا با نيازمندي ها، سياست ها و محدوديت هاي آن کسب و کار است که مبتني بر استانداردهاي ISMS تدوين مي­گردد و رويکردي فرايند محور دارد.

جایگاه

در اين راستا، اجزاي نظام جامع مديريت امنيت اطلاعات، متناسب با خصوصيات بومي نظام کسب و کاري، مي­ بايست منطبق گردد. به طور کلي، برخي از اين اجزا به شرح زير مي­ باشند:

  • نظام مديريت دارايي ها
  • نظام مديريت سياست گذاري امنيتي
  • نظام مديريت ريسک
  • نظام مديريت تداوم کسب و کار
  • نظام مديريت امنيت در حوزه منابع انساني
  • نظام مديرت کنترل دسترسي
  • نظام مديريت رخدادها و وقايع امنيتي
  • تبيين نظام جامع مستندسازي مبتني بر رويکرد مديريت دانش
  • شاخص هاي کليدي موفقيت و معيارهاي ارزيابي بهره وري

به طور کلي، مزيت استفاده از نظام جامع مديريت امنيت اطلاعات (مبتني بر خانواده استاندارد ISMS)، کاهش ريسک­ها و مخاطرات امنيتي، با به کارگيري سازوکارهاي مناسب و فرايند محور مي ­باشد. از مهم ­ترين مزاياي ايجاد نظام جامع مديريت امنيت اطلاعات، (مبتني بر استانداردهاي ISMS) در يک سازمان، مي ­توان به موارد زير اشاره نمود:

  • تعريف فرايندهاي برنامه­ ريزي، پياده­ سازي، نگهداري و پشتيباني از يک معماري جامع و مقرون به صرفه، در جهت تحت پوشش قرار دادن نيازمندي­ هاي امنيتي نظام کسب و کار
  • بهبود سطح مديريت امنيت اطلاعات در قالب فرايندها و دستورالعمل­ هاي عملياتي و رفتاري
  • افزايش چشم­گير پارامترهاي کنترلي در حوزه امنيت، به جهت حصول اطمينان از مطلوبيت سطوح امنيت در بخش­ ها و لايه­ هاي مختلف
  • ايجاد مسيري به جهت بهينه­ سازي مدون و ارتقاء دائمي سطح امنيت متناسب با پتانسيل موجود، پيشرفت­ هاي تکنولوژيک و تغييرات تأثيرگذار در سطح زيرساخت فناوري اطلاعات و در سطح کسب و کار سازمان
  • قابليت سازگاري و انطباق کامل با معماري تکنولوژيک فناوري اطلاعات

رويکرد شرکت فناوران عصر شبکه پاسارگاد، در انجام پروژه ­هاي فناوري اطلاعات در تمامي حوزه­ هاي فني، مبني بر ايجاد متدولوژي­هاي يکپارچه و ماژولار است. اين متدولوژي­ ها بر مهندسي­ سازي رفتار يک سيستم جامع، در چرخه­ هاي عمر سيستم تأکيد دارند.

پروژه­ هايي که در زمينه خدمات ISMS نيز انجام مي­ شوند، از اين قاعده مستثنا نيستند و رويکرد کلان شرکت در رابطه با اين پروژه­ ها به همين صورت است.

بدين ترتيب، با اتکا بر چنين رويکردي، شرکت به اين توانايي دست يافته است، تا راهکارهاي جامع را به طور کامل، از ابتدا تعريف نموده، آن را طراحي و پياده سازي نمايد و پس از آن به بهينه­ سازي و پشتيباني راهکارها بپردازد.

همچنين، با استفاده از چنين رويکردي، شرکت به اين توانايي نيز دست يافته است، تا به اقتضا بر شرايط پروژه، هر کدام از فازها و مراحل يک پروژه را به تنهايي، بدون اين­که در ساير فازها و مراحل درگير باشد، با اخذ ورودي­ هاي اطلاعاتي لازم از فعاليت­ هاي انجام شده پيشين و ارائه خروجي­ هاي اطلاعاتي لازم به جهت ادامه کار توسط تيم فني ديگر، انجام دهد.

استفاده از اين چنين رويکرد مشترکي، در تناقض با نيازمندي­ ها و فعاليت­ هاي فني پروژه از ديدگاه فاز­هاي کلان نبوده و تفاوت­ هاي تکنولوژيک و فني پروژه­ هايي که در اين حوزه (حوزه خدمات ISMS) انجام مي­ پذيرند، تنها بر روي فعاليت­ هاي درون فازهاي مختلف تأثيرگذار خواهند بود، نه در متدولوژي و رويکرد کلان انجام پروژه.

برخي از توانمندي هاي تيم فني شرکت در حوزه استقرار سيستم مديريت امنيت اطلاعات (ISMS) به شرح زير مي باشد:

   مطالعه و شناخت وضعيت موجود سيستم‌ها و فرآيندها
  • شناسايي معماري امنيت كنوني شبكه
  • تعيين دامنه دقيق اجراي پروژه
  • تعيين پيش نويس خط مشي امنيت اطلاعات
  • تعيين نقش و وظايف تيم امنيت در استقرار سيستم
  • تعيين مستند خط مشي سيستم مديريت امنيت اطلاعات (ISMS Policy)

   ارزيابي امنيتي و تحليل ريسک (مخاطرات)
  • تعيين متدولوژي ارزيابي و تحليل ريسك
  • شناسايي،طبقه بندي و ارزش گذاري دارايي‌ها
  • شناسايي تهديدها و آسيب پذيري ها
  • تحليل احتمال و پيامد وقوع تهديدها
  • تعيين ريسك دارايي‌ها (انجام Risk Assesment و تهيه Risk Analysis Matrix)
  • تحليل و آناليز شكاف بر روي وضعيت موجود امنيت شبکه
  • تحليل و آناليز شكاف بر روي وضعيت موجود امنيت نرم افزارها و سرويس‌ها
  • تحليل و آناليز شكاف بر روي وضعيت موجود امنيت پايگاه هاي داده و بانک‌هاي اطلاعاتي
  • تحليل و آناليز شكاف بر روي وضعيت موجود امنيت زيرساخت‌هاي ارتباطي

   اجراي آزمون نفوذ پذيري شبكه و نرم افزارها
  • اجراي تست‌هاي نفوذ پذيري (Penetration Test) و شناسايي آسيب پذيري هاي شبكه

   تدوين سياست‌هاي امنيتي
  • تدوين طرح برخورد با ريسك (Risk Treatment)
  • تدوين طرح پشتيباني از حوادث (DRP)
  • تدوين طرح استمرار كسب و كار (BCP)
  • تدوين بيانيه قابليت اجرا (SOA)

   طراحي وضعيت مطلوب امنيتي
  • بررسي و تحليل اختلافات تفصيلي (Detailed Gap Analysis)
  • انتخاب تکنولوژي‌ها و استانداردها و فناوري‌هاي مناسب
  • طراحي راهکارها و سياست‌هاي کنترل و مديريت مخاطرات دارايي‌ها
  • طراحي راهکارها و سياست‌هاي کاهش سطح مخاطرات دارايي‌ها
  • طراحي سيستم ISMS و تعيين روال‌ها بر اساس چرخه PDCA

   پياده سازي راهکارهاي کاهش مخاطرات و مشکلات امنيتي
  • پياده سازي و بهينه سازي مکانيزم‌هاي امنيتي در سطح شبکه
  • پياده سازي و بهينه سازي مکانيزم‌هاي امنيت فيزيکي در سطح شبکه
  • پياده سازي و بهينه سازي مکانيزم‌هاي کنترل دسترسي
  • پياده سازي و بهينه سازي راهکارهاي رمزنگاري
  • پياده سازي و بهينه سازي ابزارهاي امنيت سيستمي(آنتي ويروس HIPS و...)
  • پياده سازي و بهينه سازي راهکارهاي برقراري ارتباطات امن VPN
  • پياده سازي و بهينه سازي مکانيزم‌هاي امنيتي در سيستم عامل‌ها و رفع آسيب پذيري ها
  • پياده سازي و بهينه سازي مکانيزم‌هاي امنيتي در بانک‌هاي اطلاعاتي و رفع آسيب پذيري ها
  • پياده سازي و بهينه سازي مکانيزم‌هاي امنيتي در برنامه هاي كاربردي و رفع آسيب پذيري ها
  • پياده سازي و بهينه سازي مکانيزم‌هاي NFP در شبکه
  • پياده سازي و بهينه سازي مکانيزم‌هاي Device Hardening
  • پياده سازي و بهينه سازي تجهيزات امنيتي (Firewall ، IPS ، NAC و ....) در شبکه
  • پياده سازي و بهينه سازي دستورالعمل‌هاي امن سازي پيکربندي‌هاي تجهيزات شبکه
  • پياده سازي و بهينه سازي نواحي امنيتي و نحوه قرارگيري سيستم‌هاي مختلف در آن‌ها

   مميزي داخلي، پايش و اندازه گيري ها
  • انجام مميزي داخلي
  • انجام اقدامات اصلاحي و پيشگيرانه و پايش اثر بخش سيستم

   مميزي خارجي و همکاري جهت اخذ گواهينامه
  • معرفي براي مميزي صدور گواهينامه ISO 27001
  • برطرف نمودن موارد مطرح شده از سوي سرمميز