امروزه ارزیابى امنیتى سیستم هاى اطلاعاتى بر طبق نیازهاى تجارى ، از جمله اجراء جدا ناپذیر استراتژى هاى کارى یک سازمان مى باشد .
در حالى که تعداد معدود و محدودى استاندارد ، اسلوب و چهارچوب براى رسیدگى به امنیت اطلاعات و فیلد هایى که مى بایست مورد بررسى قرار گیرند در دسترس مى باشد ، هیچ یک از آنها چگونگى و دلیل انجام این رسیدگى و حتى روش هاى امن سازى پارامترهاى مورد بحث را تحت پوشش قرار نمى دهند .
ISSAF یک چهارچوب ساخت یافته براى بررسى امنیت اطلاعات مى باشد که امر بررسى امنیتى را تحت بخش هاى متنوع و مختلف ارائه داده و به ذکر جزییات در مورد هریک از بخش هاى عنوان شده مى پردازد.
این توضیحات شامل مواردى است که مى بایست مورد ارزیابى قرار گیرند ، و همچنین روش و محدوده بررسى .
در ISSAF سعى بر آن شده تا فیلد هاى مطرح شده براى بررسى ، انعکاسى از موارد واقعى و کاملآ کاربردى باشد .
ISSAF مى بایست بعنوان یک مرجع و راهنماى اولیه براى رفع نیاز بررسى امنیتى سازمان ها و همچنین بعنوان مرجعى براى سایر موارد امنیتى مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش هاى کوچک و مفیدى را براى پیشبرد پروسه هاى امنیتى ، بررسى و محکم سازى و ترسیم تصویر کاملى از ضعف هاى امنیتى موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده هاى بررسى مختلفى تقسیم بندى شده که هر بخش توسط یک متخصص در آن زمینه خاص تهیه و مورد بازبینى قرار گرفته است.
هر محدوده و معیار بررسى تعریف شده شامل بخش هاى زیر مى باشد
• توضیحى در مورد معیارهاى رسیدگى
• اهداف و ایده آل ها
• شرایط لازم براى انجام بررسى
• مراحل و پروسه بررسى
• عنوان نتایجى که انتظار میرود
• پیشنهاد روش ها و اقدامات مقابله و متقابل
• ارجاع به مطالب و منابع خارجى
مطالب ارائه شده در این چهارچوب گسترده مى باشند .
ما تصمیم به ارائه هرچه بیشتر اطلاعات کردیم با این قصد که استفاده کننده از این چهارچوب بجاى نیاز به گسترش و بسط دادن مطالب لازم و عنوان شده ، از آنها صرف نظر و چشم پوشى کند.
ISSAF یک سند باز مى باشد که بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و بروز رسانى خواهد شد .
چهارچوب بررسى امنیتى سیستم هاى اطلاعاتىامروزه ارزیابى امنیتى سیستم هاى اطلاعاتى بر طبق نیازهاى تجارى ، از جمله اجراء جدا ناپذیر استراتـژى هاى کارى یک سازمان مى باشد .
در حالى که تـعداد معـــــــدود و محدودى استاندارد ، اسلوب و چهارچوب براى رسیدگى به امنیت اطلاعات و فیلد هایى که مى بایست مورد بررسى قرار گیرند در دسترس مى باشد ، هیچ یک از آنها چگونگى و دلیل انجام این رسیدگى و حتى روش هاى امن سازى پارامترهاى مورد بحث را تحت پوشش قرار نمى دهند .
ISSAF یک چهارچوب ساخت یافته براى بررسى امنیت اطلاعات مى باشد که امر بررسى امنیتى را تحت بخش هاى متنوع و مختلف ارائه داده و به ذکر جزییات در مورد هریک از بخش هاى عنوان شده مى پردازد.
این توضیحات شامل مواردى است که مى بایست مورد ارزیابى قرار گیرند ، و همچنین روش و محدوده بررسى .
در ISSAF سعى بر آن شده تا فیلد هاى مطرح شده براى بررسى ، انعکاسى از موارد واقعى و کاملآ کاربردى باشد .
ISSAF مى بایست بعنوان یک مرجع و راهنماى اولیه براى رفع نیاز بررسى امنیتى سازمان ها و همچنین بعنوان مرجعى براى سایر موارد امنیتى مورد رجوع و استفاده قرار گیرد.
ISSAF همچنین زیربخش هاى کوچک و مفیدى را براى پیشبرد پروسه هاى امنیتى ، بررسى و محکم سازى و ترسیم تصویر کاملى از ضعف هاى امنیتى موجود در بردارد.
اطلاعات در ISSAF بر اساس معیارها و محدوده هاى بررسى مختلفى تقسیم بندى شده که هر بخش توسط یک متخصص در آن زمینه خاص تهیه و مورد بازبینى قرار گرفته است.
هر محدوده و معیار بررسى تعریف شده شامل بخش هاى زیر مى باشد · توضیحى در مورد معیارهاى رسیدگى · اهداف و ایده آل ها · شرایط لازم براى انجام بررسى · مراحل و پروسه بررسى · عنوان نتایجى که انتظار میرود · پیشنهاد روش ها و اقدامات مقابله و متقابل · ارجاع به مطالب و منابع خارجى مطالب ارائه شده در این چهارچوب گسترده مى باشند .
ISSAF یک سند باز مى باشد که بصورت مداوم در آینده گسترش خواهد یافت و اصلاح و بروز رسانى خواهد شد .
اهداف ISSAF · عمل کردن بعنوان یک مرجع پیوسته براى بررسى امنیتى ( Security Assessment ) · استاندارد سازى پروسه بررسى امنیتى سیستم هاى اطلاعاتى · بکارگیرى حداقل و کوتاه ترین پروسه قابل قبول وممکن · فراهم کردن یک روال استاندارد که بررسى میتواند ( باید ) بر اساس آن انجام شود · بررسى و بازبینى اقدامات پیاده سازى شده براى مقابله با دسترسى غیرمجاز · عمل کردن بعنوان یک مرجع اجرا سازى امنیت اطلاعات · تقویت پروسه هاى امنیتى و تکنولوژى هاى موجود هدف اصلى ISSAF فراهم آوردن یک نقطه رجوع واحد براى بررسى امنیتى مى باشد و در تهیه آن سعى بر آن شده تا مواردى که عنوان مى گردد نزدیکى هرچه بیشترى به پیامد ها و مسایل بررسى هاى امنیتى واقعى داشته باشد که این موضوع از لحاظ کارى موقعیتى ارزشمند را فراهم مى کند .
براى دسترسى به این هدف ISSAF از این دستور کار استفاده مى کند : · ارزیابى رویه هاى ( Policy ) امنیت اطلاعات سازمان ها براى اطمینان از اینکه با معیارها و نیازهاى صنعتى مطابقت داشته و آئین نامه ها و قوانین تعریف شده را مختل نمى کنند .
· تشخیص نیازهاى حیاتى زیربناى سیستم هاى اطلاعاتى مورد نیاز سازمان ها براى انجام پروسه هاى کارى و ارزیابى امنیت آنها · هدایت پروسه هاى تشخیص نقاط آسیب پذیر و تست نفوذ براى نمایان کردن نقاط ضعف سیستم ها و در نتیجه تشخیص نقاط ضعف مربوط به شبکه ، سیستم ها و برنامه ها · ارزیابى کنترل هاى اعمال شده بر حوزه هاى مختلف امنیت با : o پیدا کردن تنظیمات غلط اعمال شده و تصحیح آنها o تشخیص ریسک هاى شناخته شده و ناشناخته مربوط به فناورى و اداره کردن آنها o تشخیص ریسک هاى شناخته شده و ناشناخته مربوط به کارکنان و پروسه هاى کارى و اداره کردن آنها o تحکیم و تقویت پروسه ها و فناورى هاى موجود · اولویت بندى انجام بررسى ها بر اساس میزان اهمیت سیستم ، هزینه بررسى و منافع مورد توقع · تربیت کردن افراد براى انجام بررسى هاى امنیتى · تربیت کردن افراد در زمینه سیستم هاى امنیتى ، شبکه ها و برنامه ها · ارائه اطلاعات در زمینه o بازبینى گزارش ها، مانیتورینگ و پروسه هاى ممیزى ( Audit) و بررسى o تهیه و بازبینى روال هاى بازیابى از حوادث (Disaster Recovery ( o بازبینى مسایل مربوط به Outsource کردن امنیت · مطابقت دادن با استاندارد هاى قانونى و قواعد · ایجاد آگاهى امنیتى ( Security Awareness ) · مدیریت مؤثر پروژه هاى بررسى امنیتى · محافظت در برابر حملات مهندسى اجتماعى · بازبینى امنیت فیزیکى این خط مشى بر اساس استـفاده از کوتاه ترین راه براى رسیدن به هدف شخص ، بر اساس یافتن نقاط ضعفى که بطور مؤثر و با کمترین تلاش قابل بهره بردارى هستند مى باشد .
هدف این چهارچوب دادن تمامیت ودقت و کارایى به امر بررسى امنیتى مى باشد .
چرا ما به فکر ISSAF افتادیم ؟
پس از کار بر روى پروژه هاى بسیار در زمینه بیمه و امنیت اطلاعات ، عدم وجود یک منبع و چهارچوب جامع که امنیت اطلاعات در قالب تشخیص نقاط ضعف ، تست نفوذپذیرى و بررسى امنیتى را بصورت استاندارد شده فراهم مى آورد ، احساس شد.
ISSAF یک چهارچوب جامع و ژرف مى باشد که به پرهیز از عواقب استفاده از روش هاى بررسى امنیتى ناقص و غیر استاندارد کمک مى کند .
در ISSAF سعى ما بر آن بوده تا چهارچوب بررسى امنیتى سیستم هاى اطلاعاتى کامل ترى نسبت به انواع موجود و مشابه تهیه گردد و هدف سبک سازى ریسک هاى آمیخته با خود پروسه بررسى امنیتى مى باشد .
این به ما کمک مى کند تا خطراتى را که ما را در حین انجام امورکارى روزانه تهدید مى کند بهتر بشناسیم .
تهدیدات ، افشا سازى اطلاعات وآسیب پذیرى هایى که سازمان ما را تهدید مى کنند بسیار بزرگتر از آن هستند که از بتوان از آنها صرف نظر کرد.
در حال حاضر ISSAF پاسخگوى تمامى نیازها و موقعیت ها نمى باشد اما ما با بهبود مطالب عنوان شده کنونى و اضافه کردن حوزه هاى جدید متعهد به بهبود پیوسته این چهارچوب شده ایم.
استفاده کننده گان این چهارچوب این چهارچوب طیف وسیعى از کاربران را پوشش مى دهد که شامل موارد ذیل مى باشند: o ارزیاب هاى داخلى و خارجى امنیتى ، بررسى کننده هاى نفوذ ، ممیزى هاى امنیتى o افراد حرفه اى که پیرامون مسایل امنیت اطلاعات داراى مسئولیت مى باشند o مهندسین و مشاورین امنیتى o مدیران پروژه هاى بررسى امنیت o موارد مربوط به سیستم هاى اطلاعاتى با مسئولیت امنیت اطلاعات o مدیران سیستم / شبکه / وب o مدیران فنى نویسنده : سید حمید کشفى