سیستم مدیریت امنیت اطلاعات یا ISMS چیست؟

 

این روزها در ایران در حوزه امنیت اطلاعات و ارتباطات یک بحث بسیار داغ است و آن چیزی نیست جز سیستم مدیریت امنیت اطلاعات یا چیزی که ما به عنوان ISMS می شناسیم . این سیستم امروزه به شکل یک تب در بین سازمان های دولتی در آمده است و بسیاری از سازمان ها و شرکت ها حتی برای چشم و هم چشمی هم که شده بایستی به سراغ این سیستم بروند. این دقیقا همان مشکلی است که در خصوص سیستم مدیریت کیفیت یا ISO 9000 نیز پیش آمد. یعنی تب بالا می گیرد و همه به سراغش می روند و هر کس و ناکسی ادعای امنیت اطلاعات می کند. از اینها که بگذریم برویم به سراغ اصل سیستم مدیریت امنیت اطلاعات و چیستی آن ، در ابتدا واژه سیستم را تعریف می کنیم و کلیات موضوع سیستم مدیریت امنیت اطلاعات و اجزاء آن را برای شما شرح خواهیم داد پس تا آخر مقاله با ما باشید.

d3068fdf24c24b63991c0aaa975871c9

تعریف سیستم یا System و استاندارد

سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد. 

ساختار یک استاندارد به چه شکل است ؟

همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود. 

فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟

طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود. 

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟

همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد: 

  • مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
  • مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
  • مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
  • مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
  • مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
  • مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟

 

  1. سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
  2. این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
  3. شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
  4. بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
  5. قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
  6. از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
  7. در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.

 

مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )

  • بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

 

  • امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.

 

736b7373942644faafd99c46f6a9da70

  • اامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

  • امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.ITPro باشید.

سایت گوگل آنالیز چه کاری می کند!

کسانی که در کسب و کارهای اینترنتی فعالیت دارند و سایتی به این منظور طراحی کرده اند باید در مورد کاربران خود و شیوه برخورد کاربران با سایت شان اطلاعاتی داشته باشند این داده ها، می تواند شما را هم در طراحی سایت مناسب و هم در بهینه سازی سایت یاری نماید.

ارزیابی و بررسی پیشرفت بهینه سازی سایت در سایت گوگل آنالیز برای کسب و کار شما منافع زیادی را به همراه دارد.

« گوگل آنالیز » ابزار کارآمد و قابل توجه ای است که برای این منظور در اختیارتان بوده و به شما این توانایی را می دهد تا بتوانید سایت خود را از منظر بهینه سازی سایت ارزیابی و آنالیز نمایید.

 

آیا از چنین ابزار مفید آگاه هستید؟

داده های اساسی ای که گوگل آنالیز درباره سایت شما ارائه می دهد در پیشرفت آنالیز بهینه سازی سایت شما بسیار راهگشا و کارآمد است. در این نوشته سعی می کنیم توضیح کوتاهی درباره گوگل آنالیز و اطلاعاتی که درباره سایت شما می دهد را برای تان بنویسیم.

 

معرفی بخش های مختلف گوگل آنالیز:

 

Dimensions

این بخش گوگل آنالیز شرحی مختصر ار عوامل اجرایی و ویژگی های مختلف به شما می دهد. مثل مرورگرها، نمایشگرها و مدت زمان جلسه

 

Metrics

متریک المان خاصی است که به طور کلی و نسبی Pages/Session سایت شما را اندازه گیری می کند و میانگین متوسط مدت زمان جلسه نمونه هایی در حیطه متریک ها است.

 

Sessions

جلسه به مدت زمانی گفته می شود که کاربر در سایت شما در حال استفاده از آن است.

همه اطلاعات مورداستفاده شده مثل رخدادها، تجارت الکترونیک در یک جلسه نشان داده می شوند.

 

Users

یوزرها یا کاربران کسانی هستند که حداقل یکبار در یک جلسه وارد سایت شما شده اند و از آن استفاده کرده اند.

 

Pageviews

این بخش نشان دهنده تعداد دفعاتی است که صفحه سایت شما توسط کاربران دیده شده است.

 

Pages/Session

میانگین دفعاتی که صفحه های سایت شما در مدت زمان یک جلسه توسط کاربران بازدید داشته است.

 

Avg. Session Duration

متوسط زمانی که یک جلسه طول کشیده است.

 

New Sessions

آمار درصدی کاربرانی که برای نخستین بار وارد سایت شما می شوند و آن را می بینند.

 

Goals

هدف های نشان داده شده در این بخش به شما کمک می کند تا بتوانید بررسی و تحلیل درستی از فعالیت های کاربران و استفاده کنندگان از صفحه های خودتان در دست داشته باشید.

 

Conversions

تعداد دفعاتی است که شما به هدف های موردنظرتان دست یافته اید.

 

Campaigns

این بخش به شما این امکان را می دهد که بتوانید پارامتر را به هر یک از URL در سایت تان اضافه کنید.

شما با این قابلیت خواهید توانست داده های بیشتری درباره ترافیک ارجاع داده شده به سایت تان به دست آورید.

 

Acquisition

این بخش نشانگر آن است که شما به چه نحوی کاربران سایتان را آماده و تجهیز و راضی می کنید.

 

Behavior

این بخش و داده های آن به شما یاری خواهد کرد تا بتوانید محتوا و مطالب خودتان را بهینه سازی و بهبود بدهید.

۱۰ نرم افزار رایگان و ضروری برای امنیت بیشتر رایانه

امنیت

میلیون‌ها نرم‌افزار رایگان و متن‌باز برای استفاده در دسترس کاربران قرار گرفته‌اند. نرم‌افزارهایی که حتی از نسخه‌های حرفه‌ای و تجاری مشابه نیز قدرتمندتر هستند. در این قسمت با ۱۰ نرم‌افزار رایگان و ضروری آشنا خواهید شد.

در ادامه با نرم‌افزارهایی آشنا خواهید شد که کاملا رایگان بوده و با نمونه‌های تجاری مشابه تفاوتی ندارند.

آنتی ویروس و ضدجاسوسی
هر سیستمی نیاز به مراقبت دارد. همه کاربران این مسأله را به خوبی تشخیص می‌دهند. اما چیزی که اغلب آنها نمی‌دانند این است که نرم‌افزارهای رایگان زیادی وجود دارند که گاهی بهتر و قدرتمندتر از نمونه‌های تجاری هستند. آنتی ویروس‌های رایگان !Avast و AVG و نرم‌‌افزار ضدجاسوسی Malwarebytes از این نمونه‌ هستند.

پشتیبان‌گیری
نرم‌افزارهای پشتیبان‌گیری رایگانی کمی وجود دارند که به کاربران امکان پشتیبان‌گیری آنلاین را ارائه می‌دهند. اما Mozy و Dropbox این سرویس را در اختیار کاربران قرار داده‌اند.

مرورگر
مرورگرهای اینترنتی رایگان و ایده‌آل را تقریبا همه کاربران می‌شناسند. Mozilla Firefox و Google Chrome دو نمونه از این مرورگرها هستند.

نرم‌افزارهای فشرده‌سازی
اگر پس از دانلود فایل‌های اینترنتی با فایل‌‌تایپ‌هایی همچون ZIP و RAR مواجه شدید از نرم‌افزارهای رایگانی مانند Seven-ZIP استفاده کنید.

ابزارهای ایجاد و رایت لوح‌فشرده
ایجاد فایل‌های صوتی و دیتا، رایت CD از روی فایل‌های ISO به کمک CDBurnerXP به راحتی قابل انجام هستند.

پست الکترونیکی
اگر به دنبال نرم‌افزارهای مدیریت ایمیل هستید، راه‌کارهای آفلاین و آنلاین زیادی برای شما وجود دارد که بسیار بهتر از Outlook هستند. Mozilla Thunderbird و Gmail دو نمونه از بهترین‌ها محسوب می‌شوند.

راهکارهای سرورهای FTP و SFTP و کلاینت SSH
هر کاربری که یک وب‌سایت را مدیریت می‌کند، مطمئنا به یک سرور FTP یا کلاینت SSH برای آپلود و دانلود فایل‌های ضروری خود نیاز دارد. در کنار تمامی نسخه‌های تجاری، نرم‌افزارهای مدیریت سرور FTP رایگانی مانند Filezilla و ابزارهای مدیریت کلاینت SSH مانند MobaXtrem و Putty نیز وجود دارند.

ویرایشگر تصاویر، Paint و مدیریت آلبوم تصاویر
نرم‌افزارهای زیادی برای ویرایش و مدیریت آلبوم تصاویر وجود دارند که البته با دریافت مبالغ اندک، سرویس‌های دیگری را نیز به کاربران ارائه می‌دهند. در این میان ویرایشگر تصاویر GIMP و نرم‌افزار Paint آنلاین Piant.net و سرویس مدیریت تصاویر Google Picasa به طور کامل رایگان هستند.

مالتی‌مدیا
نرم‌افزارهای پخش فیلم و موسیقی فراوان هستند. در این دسته، نرم‌افزارهای فوق‌العاده و رایگان زیادی وجود دارد، از جمله Audacity برای ویرایش فایل‌‌های صوتی و تولید مالتی‌مدیا و پخش‌کننده‌های VLC و MPC-HC.

آفیس سوییت
آفیس‌ سوییت‌ها فقط به مجموعه گران‌قیمتی چون Microsoft Office ختم نمی‌شوند. به جای استفاده از این مجموعه می‌توان از نرم‌افزارهای رایگانی مانند OpenOffice بهره برد که کارایی و قدرت نمونه‌ها تجاری بازار را دارند.