انواع کنترل امنیتی ISMS و اهداف کنترل ها

انواع کنترل امنیتی ISMS و اهداف کنترل ها

انواع کنترل امنیتی ISMS و اهداف کنترل ها: امروزه فقط با نصب مجموعه ای از نرم افزارها و سخت افزارهای امنیتی، نمی توان به میزان قابل قبولی از امنیت یعنی ISMS رسید و این امر بر هیچ فرد و یا سازمانی پوشیده نیست. تاکید بر امنیت اطلاعات در یک سازمان همواره وجود داشته و دارد، تا بتوان در زمان مواجهه با تهدید امنیتی به درستی از پس آن برآمد. لزوم برقراری امنیت در یک سازمان وجود سیسم مدیریت امینت اطلاعات (ISMS) است.

در راستای اجرای یک طرح ISMS نیاز به استفاده از کنترل های امنیتی در جهت برقراری یک سیستم مدیریت امنیت اطلاعات و نیز کاهش مخاطرات است. شناخت کنترل ها و اهداف کنترلی در ISMS علاوه بر کمک به درک لزوم پیاده سازی طرح ISMS، به شما کمک می کند در برابر تهدیدات و مخاطرات ارزیابی درستی داشته باشید و بتوانید بهترین راهکار را برای کاهش مخاطرات برگزینید.

کنترل ها در ISMS

• A.5.خط مشی امنیت اطلاعات
• A.6.ساختار امنیت اطلاعات
• A.7.امنیت منابع انسانی
• A.8.مدیریت دارایی ها
• A.9.کنترل دسترسی
• A.10.رمزنگاری
• A.11.امنیت فیزیکی و محیطی
• A.12.امنیت اطلاعات
• A.13.امنیت ارتباطات
• A.14.اکتساب، توسعه و نگهداری سیستم امنیت اطلاعات
• A.15.ارتباطات برونسپاری
• A.16.مدیریت حوادث امنیت اطلاعات
• A.17.مدیریت تداوم کسب و کار
• A.18.انطباق

در ادامه این مقاله به شرح هر یک می پردازیم.

A.5.خط مشی امنیت اطلاعات

A.5.1.رهبری خط مشی امنیت اطلاعات: هدف از این کنترل امنیتی ISMS فراهم آوری حمایت مدیریت از امنیت اطلاعات مطابق نیازمندی های کسب و کار و قوانین مرتبط با آن است.

• A.5.1.1. خط مشی امنیت اطلاعات: به گونه ای که برای عموم قابل درک و فهم باشد و از طریق نصب در سازمان و قرارگیری در پورتال سازمان قابل دسترسی برای همگان باشد.
• A.5.1.2. بازنگری خط مشی امنیت اطلاعات: تاییدیه مدیریت برای خط مشی بازبینی شده اخذ شود.

A.6.ساختار امنیت اطلاعات

A.6.1. سازمان داخلی: هدف از این کنترل امنیتی در ISMS ایجاد یگ چارچوب مدیریت برای پیاده سازی و کنترل ISMS در داخل سازمان است.

• A.6.1.1. تعهد مدیریت در برابر امنیت اطلاعات: مدیریت
• A.6.1.2. هماهنگی امنیت اطلاعات
• A.6.1.3. تخصیص مسئولیت های امنیت اطلاعات
• A.6.1.4. فرآیند تصدیق حق دستیابی برای امکان پردازش اطلاعات
• A.6.1.5. توافق نامه های محرمانه
• A.6.1.6. ارتباط با نهادهای ذیصلاح
• A.6.1.7. ارتباط با گروه های ویژه مرتبط
• A.6.1.8. مرور مستقل امنیت اطلاعات

A.6.2. سازمان های خارجی: هدف از این کنترل امنیتی در ISMS، حفظ امنیت اطلاعات و دارایی های سازمانی که توسط سازمان های خارجی در دسترس قرار می گیرد، است.

• A.6.2.1 شناسایی مخاطرات ناشی از دسترسی سازمان های خارجی
• A.6.2.2 الزامات امنیتی در مواجهه با مشتریان
• A.6.2.3 اازامات امنیتی در قراردادهای ششخص ثالث

A.7.امنیت منابع انسانی

A.7.1. قبل از استخدام: هدف این کنترل امنیتی ISMS اینست که از آگاهی کارمندان، پیمانکاران و اشخاص شخص ثالث از مسئولیت های خود، و نیز شایستگی این افراد، اطمینان حاصل شود.

• A.7.1.1. تعریف و مستندسازی نقش ها و مسئولیت ها
• A.7.1.2. نظارت بر تمامی داوطلبان از حیث مقررات و ضوابط اخلاقی
• A.7.1.3. امضای توافق نامه محرمانه بودن اطلاعات سازمان و نیز شرایط استخدام

A.7.2. در حین خدمت: این کنترل امنیتی ISMS به دنبال این هدف است که اطمینان حاصل کند کارمندان، پیمانکاران و افراد شخص ثالث از تهدیدات و نیازهای امنیت اطلاعات آگاهی دارند و می توانند پشتیبانی لازم از خط مشی های امنیتی سازمان را در راستای انجام وظایف خود، به عمل آورند.

• A.7.2.1. مسئولیت های مدیریت
• A.7.2.2. اگاهی رسانی، تربیت و اموزش امنیت اطلاعات
• A.7.2.3. فرآیندهای انضباطی

A.7.3. خاتمه یا تغییر در استخدام: هدف این کنترل امنیتی ISMS این است که از نحوه تغییر یا خاتمه کار کارمندان، پیمانکاران و کاربران شخص ثالث، طبق ضوابط مشخص سازمانی اطمینان حاصا نماید.

• A.7.3.1. خاتمه کار مسئولیت ها
• A.7.3.2. بازگشت دارایی ها
• A.7.3.3. از بین بردن حقوق دسترسی

A.8.مدیریت دارایی ها

A.8.1. مسئولیت دارایی ها: هدف از این کنترل امنیتی ISMS حفاظت مناسب از دارایی های سازمان است.

• A.8.1.1 ایجاد فهرستی از دارایی ها
• A.8.1.2 مشخص شدن مالکیت دارایی ها
• A.8.1.3 تعین قوانینی جهت استفاده قابل قبول از دارایی ها

A.8.2 طبقه بندی اطلاعات: هدف از این کنترل امنیتی ISMS اینست که اطمینان حاصل شود دارایی های اطلاعاتی از سطح امنیتی مناسبی برخوردار هستند.

• A.8.2.1 اصول طبقه بندی
• A.8.2.2 برچسب گذاری و اداره اطلاعات

A.9.کنترل دسترسی

A.9.1. نیازهای کسب و کار به کنترل دسترسی: هدف از این کنترل امنیتی ISMS، کنترل نمودن دسترسی به اطلاعات است.

A.9.1.1. ایجاد و مستندسازی خط مشی کنترل دسترسی

A.9.2. مدیریت دسترسی کاربر: هدف از این کنترل امنیتی ISMS، اطمینان از وجود حقوق دسترسی به کاربر مجاز، و عدم دسترسی کاربر غیرمجاز به اطلاعات است.

• A.9.2.1. ثبت نام کاربر و اخذ دسترسی
• A.9.2.2. مدیریت سطوح دسترسی
• A.9.2.3. مدیریت کلمه عبور کاربر
• A.9.2.4. بازنگری حقوق دسترسی کاربر

A.9.3. مسئولیت های کاربر: هدف از این کنترل امنیتی ISMS، جلوگیری از دسترسی کاربر غیرمجاز و سواستفاده از اطلاعات و امکانات پردازش اطلاعات است.

• A.9.3.1. استفاده از کلمه عبور
• A.9.3.2. تجهیزات کاربر در شرایط بدون مراقبت
• A.9.3.3. خط مشی پاک نمودن صفحه مانیتور و تمیز نمودن میز کاری

A.9.4. کنترل دسترسی شبکه: هدف از این کنترل امنیتی ISMS، جلوگیری از دسترسی غیرمجاز به شبکه است.

• A.9.4.1. خط مشی استفاده از سرویس های شبکه
• A.9.4.2. تصدیق هویت کاربر برای اتصال خارجی
• A.9.4.3. شناسایی تجهیزات در شبکه ها
• A.9.4.4. محافظت از پورت های پیکربندی و عیب یابی راه دور
• A.9.4.5. جداسازی در شبکه ها
• A.9.4.6. کنترل ارتباط شبکه ای
• A.9.4.7. کنترل مسیریابی شبکه

A.9.5. کنترل دسترسی برای سیستم عامل: هدف از این کنترل امنیتی ISMS، جلوگیری از دسترسی غیرمجاز به سیستم عامل ها است.

• A.9.5.1. رویه های ورود به سیستم به صورت ایمن
• A.9.5.2. شناسایی و تصدیق هویت کاربر
• A.9.5.3. سیستم مددیریت کلمه عبور
• A.9.5.4. استفاده از ابزارهای سیستم
• A.9.5.5. از بین رفتن مهلت استفاده از یک جلسه پس از گذشت مدت زمان مشخصی
• A.9.5.6. محدودیت زمان اتصال

A.9.6. کنترل دسترسی به اطلاعات و برنامه های کاربردی: هدف از این کنترل امنیتی ISMS، جلوگیری از دسترسی غیرمجاز به اطلاعات نگهداری شده در سیستم های برنامه های کاربردی است.

• A.9.6.1. محدودیت دسترسی به اطلاعات
• A.9.6.2. جداسازی سیستم های حساس

A.9.7. محاسبات سیار و کار از راه دور: هدف این کنترل امنیتی ISMS، اطمینان از امنیت اطلاعات در زمانیکه محاسبات سیار و امکانات کار از راه دور مورد استفاده قرار می گیرد، است.

• A.9.7.1. محافظت در برابر مخاطرات ناشی از ارتباطات و محاسبات سیار
• A.9.7.2. تدوین خط مشی و رویه های محافظتی برای فعالیت های کار از راه دور

A.10.رمزنگاری

A.10.1. کنترل های رمزنگاری: هدف از این کنترل امنیتی ISMS، اطمینان از استفاده مناسب و اثربخش رمزنگاری برای حفاظت از محرمانگی، یکپارچگی و دسترس پذیری اطلاعات است.

• A.10.1.1 خط مشی استفاده از کنترل های رمزنگاری
• A.10.1.2 مدیریت کلید

A.11.امنیت فیزیکی و محیطی

A.11.1. محل های امن: هدف از این کنترل امنیتی ISMS، جلوگیری از دسترسی غیرمجاز فیزیکی، اعمال صدمات و اختلال در اطلاعات سازمان است.

• A.11.1.1 استفاده از محیط امن فیزیکی
• A.11.1.2 کنترل فیزیکی تردد
• A.11.1.3 ایمن سازی دفاتر کاری، اتاق ها و امکانات
• A.11.1.4 محافظت در برابر تهدیدات محیطی و خارجی
• A.11.1.5 کار در محط های امن
• A.11.1.6 کنترل محیط های دسترسی عمومی، تحویل و بارگیری

A.11.2 امنیت تجهیزات: هدف از این کنترل امنیتی ISMS، جلوگیری از دزدی و به مخاطره افتادن اموال و وقفه در کار سازمان است.

• A.11.2.1 تعیین محل و حفاظت تجهیزات
• A.11.2.2 ابزارهای پشتیبانی
• A.11.2.3 امنیت کابل کشی
• A.11.2.4 نگهداری تجهیزات
• A.11.2.5 امنیت تجهیزات خارج از سازمان
• A.11.2.6 ایمن نمودن یا استفاده مجدد از تجهیزات
• A.11.2.7 اخذ مجوز برای از بین بردن اموال

A.12.امنیت عملیات

 A.12.1. مسئولیت ها و رویه های عملیاتی: هدف از این کنترل امنیتی ISMS، ایجاد اطمینان از صحت و امنیت عملیات ابزارهای پردازش اطلاعات است.

• A.12.1.1. رویه های عملیاتی مستند شده
• A.12.1.2. مدیریت تغییر
• A.12.1.3. تفکیک وظایف
• A.12.1.4. جداسازی امکانات توسعه وعملیاتی

A.12.2. امنیت در برابر کدهای سیار و مخرب: هدف از این کنترل امنیتی ISMS، حفظ یکپارچگی اطلاعات و نرم افزار است.

• A.12.2.1. کنترل در برابر کدهای مخرب
• A.12.2.2. کنترل در برابر کدهای سیار

A.12.3. نسخه پشتیبان: هدف از این کنترل امنیتی ISMS، حفظ یکپارچگی و در دسترس بودن اطلاعات و امکانات پردازش اطلاعات است.

• A.12.3.1. تهیه نسخه پشتیبان از اطلاعات

A.12.4. نظارت: هدف از این کنترل امنیتی ISMS، شناسایی فعالیت های غیرمجاز پردازش اطلاعات است.

• A.12.4.1. ثبت ممیزی
• A.12.4.2. نظارت بر استفاده از سیستم
• A.12.4.3. حفاظت از اطلاعات ثبت شده
• A.12.4.4. ثبت گزارشات راهبران و اپراتورها
• A.12.4.5. ثبت کاستی ها و نقایص
• A.12.4.6. همزمان سازی

A.12.5. مدیریت تحویل خدمات شخص ثالث: هدف از این کنترل امنیتی ISMS، پیاده سازی و نگهداری سطح امنیت اطلاعات مناسب و تحویل خدمات منطبق با توافق نامه های خدمات شخص ثالث است.

• A.12.5.1. تحویل خدمات
• A.12.5.2. نظارت و بازبینی خدمات شخص ثالث
• A.12.5.3. مدیریت تغییرات در خدمات شخص ثالث

A.12.6. برنامه ریزی و پذیرش سیستم: هدف از این کنترل امنیتی ISMS، به حداقل رساندن خرابی در سیستم ها است.

• A.12.6.1. مدیریت ظرفیت
• A.12.6.2. پذیرش سیستم

A.12.7. اداره رسانه ها: هدف از این کنترل امنیتی ISMS، جلوگیری از افشای عمدی، تغییر یا صدمه به منابع و وقفه در فعالیت های کسب و کار سازمان است.

• A.12.7.1. مدیریت رسانه های رایانه ای قابل انتقال
• A.12.7.2. دور ریختن رسانه
• A.12.7.3. رویه های اداره اطلاعات
• A.12.7.4. امنیت مستندات سیستم

A.12.8. سرویس های تجارت الکترونیکی: هدف از این کنترل امنیتی ISMS، اطمینان از امنیت سرویس های تجارت الکترونیکی و استفاده ایمن از آن ها است.

• A.12.8.1. تجارت الکترونیکی
• A.12.8.2. تراکنش های برخط
• A.12.8.3. اطلاعات در دسترس عموم

A.13.امنیت ارتباطات

A.13.1. مدیریت شبکه: هدف از این کنترل امنیتی ISMS، اطمینان از امنیت اطلاعات در شبکه ها و حفاظت از زیرساخت های پشتیبانی آن است.

• A.13.1.1 کنترل های شبکه
• A.13.1.2. امنیت سرویس های شبکه

A.13.2. تبادل اطلاعات: هدف از این کنترل امنیتی ISMS، حفظ امنیت اطلاعات و نرم افزارهای مبادله شده در داخل سازمان و هر موجودیت خارجی مرتبط با آن است.

• A.13.2.1. رویه های تبادل اطلاعات
• A.13.2.2. توافق نامه های تبادل اطلاعات
• A.13.2.3. رسانه های فیزیکی در ال انتقال
• A.13.2.4. پیام های الکترونیکی
• A.13.2.5. سیستم های اطلاعاتی کسب و کار

A.14.اکتساب، توسعه و نگهداری سیستم امنیت اطلاعات

A.14.1. نیازهای امنیتی برای سیستم های اطلاعاتی: هدف از این کنترل امنیتی ISMS، اطمینان از این است که امنیت جز کاملی از سیستم های اطلاعاتی است.

• A.14.1.1. تحلیل الزامات و مشخصه های امنیتی

A.14.2. پردازش صحیح برنامه های کاربردی: هدف از این کنترل امنیتی ISMS، جلوگیری از رخداد خطا و سواستفاده از اطلاعات موجود در برنامه های کاربردی است.

• A.14.2.1. تایید اعتبار داده
• A.14.2.2. کنترل پردازش داخلی
• A.14.2.3. یکپارچگی پیام
• A.14.2.4. تایید اعتبار داده خروجی

A.14.3. کنترل های رمزنگاری: هدف از این کنترل امنیتی ISMS، حفظ محرمانگی، صحت و یکپارچگی اطلاعات با استفاده از مفاهیم رمزنگاری است.

• A.14.3.1. خط مشی استفاده از کنترل های رمزنگاری
• A.14.3.2. مدیریت کلید

A.14.4. امنیت فایل های سیستم: هدف از این کنترل امنیتی ISMS، اطمینان از وجود امنیت برای فایل های سیستم است.

• A.14.4.1. کنترل نرم افزارهای کاربردی
• A.14.4.2. حفاظت از داده های آزمایش سیستم
• A.14.4.3. کنترل دسترسی به کتابخانه منبع برنامه ها

A.14.5. امنیت در فرآیندهای توسعه و پشتیبانی: هدف از این کنترل امنیتی ISMS، حفظ امنیت اطلاعات و نرم افزار سیستم برنامه های کاربردی است.

• A.14.5.1. دستورالعمل های کنترل تغییر
• A.14.5.2. بازبینی فنی برنامه های کاربردی پس از تغییرات در سیستم عامل
• A.14.5.3. محدودیت های تغییرات در بسته های نرم افزاری
• A.14.5.4. فاش شدن اطلاعات
• A.14.5.5. توسعه نرم افزار برونسپاری شده

A.14.6. مدیریت آسیب پذیری های فنی: هدف از این کنترل امنیتی ISMS، کاهش مخاطرات ناشی از سواستفاده از آسیب پذیری های منتسر شده است.

• A.14.6.1. کنترل آسیب پذیری های فنی

A.15.ارتباطات برونسپاری:

هدف از این کنترل امنیتی ISMS، اطمینان از دارایی های سازمان که برونسپاری شده اند یا در دسترس تامین کنندگان است، می باشد.

A.15.1. امنیت اطلاعات در ارتباط با تامین کنندگان:

• A.15.1.1 خط مشی امنیت اطلاعات برای ارتباط با تامین کنندگان
• A.15.1.2 نشانی دهی امنیت در توافقنامه های تامین کنندگان
• A.15.1.3. زنجیره تامین فناوری اطلاعات و ارتباطات

A.15.2. مدیریت تحویل خدمات به تامین کنندگان:

• A.15.2.1. پایش و بازنگری خدمات تامین کنندگان
• A.15.2.2. مدیریت تغییرات در خدمات تامین کنندگان

A.16.مدیریت حوادث امنیت اطلاعات

A.16.1. گزارش وقایع و نقاط ضعف مرتبط با امنیت اطلاعات: هدف از این کنترل امنیتی ISMS، اینست که اطمینان حاصل شود که وقایع امنیت اطلاعات مرتبط با سیستم های اطلاعاتی، طوری اطلاع رسانی می شوند که منجر به انجام اقدامات اصلاحی به موقع شوند.

• A.16.1.1. گزارش وقایع مرتبط با امنیت اطلاعات
• A.16.1.2. گزارش نقاط ضعف امنیتی

A.16.2. مدیریت امنیت در فرآیندهای توسعه و پشتیبانی: هدف از این کنترل امنیتی ISMS، حفظ امنیت اطلاعات و نرم افزار سیستم برنامه های کاربردی است.

• A.16.2.1. مشخص شدن مسئولیت ها و رویه ها
• A.16.2.2. یادگیری از رخدادهای امنیت اطلاعات
• A.16.2.3. جمع آوری شواهد

A.17.مدیریت تداوم کسب و کار

A.17.1. مدیریت تداوم کسب و کار: هدف از این کنترل امنیتی ISMS، بی اثر نمودن وقفه در فعالیت سازمان و حفاظت از فرآیندهای حیاتی سازمان در برابر خرابی سیستم اطلاعاتی است.

• A.17.1.1. در نظر داشتن امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار
• A.17.1.2. تداوم کسب و کار و ارزیابی مخاطرات
• A.17.1.3.توسعه و پیاده سازی طرح های تداوم کسب وکار حاوی امنیت اطلاعات
• A.17.1.4. چارچوب طرح تداوم کسب و کار
• A.17.1.5.آزمایش، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار

A.18.انطباق

A.18.1. انطباق با الزامات قانونی: هدف از این کنترل امنیتی ISMS، اجتناب از نقض قوانین و التزام به قراردادها و هرگونه الزامات امنیتی می باشد.

• A.18.1.1. شناسایی قوانین کاربردپذیر
• A.18.1.2. پیاده سازی رویه های مطابق با مقررات هنگام استفاده از مطالبی که مشمول حقوق دارایی های ذهنی می شوند.
• A.18.1.3. محافظت از رکوردهای سازمانی
• A.18.1.4. حفاظت داده و محرمانگی اطلاعات کارکنان
• A.18.1.5. جلوگیری از سواستفاده از امکانات پردازش اطلاعات
• A.18.1.6. قوانین کنترل های رمزنگاری

A.18.2. سازگاری با خط مشی ها و استانداردهای امنیتی: هدف از این  کنترل امنیتی ISMS، اطمینان از مطابقت سیستم ها با خط مشی ها و استانداردهای امنیت سازمانی است.

• A.18.2.1. تطابق پذیری با سیاست های امنیتی و استانداردها
• A.18.2.2. بررسی مطابقت از نظر فنی

A.18.3. ملاحظات ممیزی سیستم های اطلاعاتی: هدف از این کنترل امنیتی ISMS، به حداکثر رساندن اثربخشی و به حداقل رساندن تداخل در فرآیند ممیزی سیستم های اطلاعاتی است.

• A.18.3.1. کنترل های ممیزی سیستم های اطلاعاتی
• A.18.3.2. حفاظت از ابزارهای ممیزی سیستم های اطلاعاتی

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.