مقالات علمی

استانداردهای امنیت در فناوری داده ها و ارتباطات

مهمترین چیز در دنیای فناوری داده ها و ارتباطات امنیت میباشد ، از این رو ما می بایست بدین مورد اهمیت متعددی بدهیم و همت کنیم استانداردهای امنیت در فناوری داده ها و ارتباطات را رعایت کنیم .

 

پرداختن به مقوله امنیت داده ها و ایمن سازی شبکه های کامپیوتری، نیازمند دقت همگی یوزرها صرفنظر از شرایط شغلی و سنی آنان بوده و باید به‌این مسأله در سطح کلان دقت شود. وجود ضعف امنیتی در کانال های کامپیوتری و اطلاعاتی، عدم فراگیری و توجیه درست یوزرها، عدم وجود راهبرد های لازم برای پیشگیری از نقایص امنیتی، عدم وجود سیاست های مشخص و معلوم و مدون به خواسته واکنش مطلوب و به موقع با اشکالات امنیتی، مسایلی را در پی خواهد داشت که ضرر و زیان آن متوجه کلیه یوزرها کامپیوتر در یک میهن گردیده و عملاً زیرساخت اطلاعاتی یک سرزمین را در معرض زخم و تهدید بدون شوخی قرار می‌دهد.

در دنیای رقابتی امروز، اهمیت داده ها تحت عنوان دارایی باارزش و ابزار رقابت بر هیچکس پوشیده نیست. از این رو، صیانت و حفاظت از این دارایی گران بها یکی از وظایف ذاتی سیستم مدیریت در هر بنگاه اقتصادی و سازمان می باشد. به خصوص با پیشرفت ابزارهای فناوری داده ها و گونه های مرسوم در منفعت گیری از داده ها تولید گردیده، این دستور از اهمیت دوچندانی برخوردار شده‌است. بی تردید سود گیری از جور های مدیریتی در چارچوب استانداردهای بین المللی می تواند سازمان را در این وظیفه خطیر یاری دهد. داده ها تحت عنوان یک دارایی مهم و باارزش برای هر سازمان به اکانت می‌آید و در نتیجه نیازمند ارائه رویکرد شغل های حفاظتی لازم برای حفظ میباشد.

 

درین نوشته‌ی‌علمی تلاش داریم استانداردهای امنیت در فناوری داده ها و ارتباطات را به طور اجمالی مرور کنیم .

 

1– استاندارد های خانواده ISMS

(Information Security Management System)

استاندارد های خانواده ISMS برای یاری به سازمان ها از هر مدل و اندازه , به مراد پیاده سازی و بهره‌برداری از ISMS در حیث گرفته شده‌است. استاندارد های خانواده ISMS دربرگیرنده استاندارد های در بین المللی پایین , با تیتر همگانی فناوری داده ها-فوت و فن امنیتی میباشد :

 

استاندارد ملی جمهوری اسلامی ایران شماره 27000: سال 1391, سامانه های مدیر امنیت داده ها-مرور کلی واژگان

استاندارد ملی کشور ایران شماره 27001: سال 1387 , سامانه های مدیر امنیت داده ها-ملزومات

استاندارد ملی جمهوری اسلامی ایران شماره 27002: سال 1387,دین عمل مدیر امنیت داده ها

ISO/IEC 27003 , راهنمای پیاده سازی سامانه رئیس امنیت داده ها

ISO/IEC 27004, مدیر امنیت داده ها-سنجش

ISO/IEC27005:2008 , مدیر خطرات امنیت داده ها

استاندارد ملی جمهوری اسلامی ایران شماره 27006 : سال 1378 , ملزومات سازمانهای ارائه دهنده سرویس ها ممیزی و صادر شدن سند سامانه های رئیس امنیت داده ها

ISO/IEC 27007 , راهنمای ممیزی سامانه های رئیس امنیت داده ها

ISO/IEC 27011, راهنمای رئیس امنیت داده ها برای سازمانهای مخابراتی بر طبق ISO/IEC 27002

2 – موسسه ملی فناوری استاندارد ها

(National Institute of Standards and Technology)

این مؤسسه که تحت لحاظ وزارت بازرگانی آمریکا ایالات متحده عمل می کند هدفش ارتقای امنیت اقتصادی و سطح کیفیت معاش با توکل بر ابتکار و فناوری می‌باشد.

 

NIST دارنده سه گونه استاندارد در حوزه امنیت کامپیوتر, وب , و داده ها هست که به طور راهنما و پیشنهاد ها ارائه می‌شود.

 

SP800 (Computer Security, 1990) :

مشتمل بر سفارش ها و راهنما ها و مورد ها مبداء در موضوع امنیت کامپیوتر , کانال و وب است.

 

SP1800 (NIST Cyber Security Practice guide, 2015) :

این مدل از استاندارد ها جهت کامل شدن استاندارد sp800 منتشر شدند. و انگیزه از آن‌ها به صورت یگانه معضل های امنیتی فضای مجازی در بخش همگانی و سری است.

 

SP500 (Computer System Technology, 1997) :

این جور استاندارد ها به طور گسترده به وسیله آزمایشگاه فناوری داده ها NIST بکار گرفته می‌گردد.

 

مدل استاندارد SP800 در کلیه موضوع های حوزه فناوری دارنده راهنما های بسیار کاربردی است که در‌این طرح متناسب زبده یک سری ساله در موضوع امنیت کانال بعضی از موردها پر استفاده به اختصار توضیح داده گردیده و در راهکار های امنیتی ارائه گردیده از آن ها به کار گیری می‌شود.

 

SP 800-94 (Guide to Intrusion Detection and Prevention Systems (IDPS), 2012) :

این نشریه با تعریف ویژگی ها یک سیستم تشخیص نفوذ, راهکارهایی در خصوص معماری بکارگیری , طریق پیکر بندی , چک بر سیستم و حفظ از آن ارائه می‌نماید.

 

SP 800-92 (Guide to Computer Security Log Management, 2006) :

انگیزه این نشریه ارائه راهکار هایی در طرز روال روند ساخت, انتقال , ذخیره سازی, محاسبه و سازمان دهی گزارشات امنیتی است.

 

SP 800-77 (Guide to IPsec VPNs, 2005) :

این راهنما به باز‌بینی و ارزیابی در اختیار گرفتن های امنیتی می‌پردازد که هدفشان نگهداری امنیت جریان داده ها روی بستر TCP/IP است.

 

SP 800-153 (Guidelines for Securing Wireless Local Area Networks (WLANs),2012) :

این راهنما نیازمندی های امنیتی روی کانال بی سیم را هم در سطح استفاده کننده و هم نقطه دسترسی بازبینی کرده و سفارش هایی جهت افزایش سطح امنیت بستر بی سیم به سازمان ارائه می کند.

 

SP 800-36 (Guide to Selecting Information Technology Security Products,2003) :

این راهنما به یک سازمان جهت گزینش مطلوب ترین متاع امنیتی ما یحتاج امداد مینماید.قابل ذکر میباشد این راهنما متعلق به راهنما های 800-30,800-77,800-23,800-53,800-64,800-27 میباشد.

 

SP 800-35 (Guide to Information Technology Security Services,2003) :

این راهنما با به کارگیری از توضیح و تشریح فاز های متفاوت چرخه قدمت خدمت های امنیتی , سازمان را جهت تعیین , پیاده سازی و مدیر یک خدمت امنیتی مطلع می سازد.

 

SP 800-41 (Guidelines on Firewalls and Firewall Policy, 2009) :

این راهنما به تعریف تکنولوژی دیوار حریق پرداخته و قابلیت و امکان های امنیتی آن و مزایا و معایب بکارگیری از آن را تشریح می‌نماید و نیز راهکار هایی جهت شایسته ترین تنظیمات و معماری بکارگیری در مشت سازمان قرار می‌دهد.