رعایت استانداردها در توسعه پذیری و پذیرش فناوری های جدید در سازمان، نقش بسیار مهم و جدایی ناپذیری دارند. از این رو آشنایی هر مهندس فناوری اطلاعات با استانداردهای حوزه تخصص خود بسیار ضروری و انکارناپذیر است.
در این مقاله سعی داریم استانداردهای حوزه امنیت در فناوری اطلاعات را به صورت اجمالی مرور کنیم. با ما همراه باشید..
استاندارد های خانواده(Information Security Management System ) ISMS
استاندارد های خانواده ISMS برای کمک به سازمان ها از هر نوع و اندازه , یه منظور پیاده سازی و بهره برداری از ISMS در نظر گرفته شده است. استاندارد های خانواده ISMS شامل استاندارد های بین المللی زیر , با عنوان عمومی فناوری اطلاعات-فنون امنیتی است :
استاندارد ملی ایران شماره 27000: سال 1391, سامانه های مدیریت امنیت اطلاعات-مرور کلی واژگان
استاندارد ملی ایران شماره 27001: سال 1387 , سامانه های مدیریت امنیت اطلاعات-الزامات
استاندارد ملی ایران شماره 27002: سال 1387,آیین کار مدیریت امنیت اطلاعات
ISO/IEC 27003 , راهنمای پیاده سازی سامانه مدیریت امنیت اطلاعات
ISO/IEC 27004, مدیریت امنیت اطلاعات-سنجش
ISO/IEC27005:2008 , مدیریت مخاطرات امنیت اطلاعات
استاندارد ملی ایران شماره 27006 : سال 1378 , الزامات نهاد های ارائه دهنده خدمات ممیزی و صدور گواهی سامانه های مدیریت امنیت اطلاعات
ISO/IEC 27007 , راهنمای ممیزی سامانه های مدیریت امنیت اطلاعات
ISO/IEC 27011, راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی مبتنی بر ISO/IEC 27002
مؤسسه ملی فناوری و استانداردها (National Institute of Standards and Technology)
این مؤسسه که زیر نظر وزارت بازرگانی ایالات متحده آمریکا فعالیت میکند هدفش ارتقای امنیت اقتصادی و سطح کیفیت زندگی با تکیه بر نوآوری و فناوری می باشد.
NIST دارای سه دسته استاندارد در حوزه امنیت کامپیوتر, اینترنت , و اطلاعات می باشد که به صورت راهنما و توصیه ها ارائه می شود.
SP800 ( Computer Security, 1990)
شامل توصیه ها و راهنما ها و موارد مرجع در زمینه امنیت کامپیوتر , شبکه و اینترنت می باشد.
SP1800 (NIST Cyber Security Practice guide, 2015)
این دسته از استاندارد ها جهت تکمیل استاندارد sp800 منتشر شدند. و هدف از آنها به طور خاص چالش های امنیتی فضای مجازی در بخش عمومی و خصوصی می باشد.
SP500 (Computer System Technology, 1997)
این دسته استاندارد ها به صورت گسترده توسط آزمایشگاه فناوری اطلاعات NIST بکار گرفته می شود.
دسته استاندارد SP800 در تمامی زمینه های حوزه فناوری دارای راهنما های بسیار کاربردی می باشد که در این طرح متناسب با تجربه چندین ساله در زمینه امنیت شبکه برخی از موارد پر کاربرد به اختصار توضیح داده شده و در راهکار های امنیتی ارائه شده از آنها استفاده می شود.
SP 800-94 (Guide to Intrusion Detection and Prevention Systems (IDPS), 2012)
این نشریه با توصیف مشخصات یک سیستم تشخیص نفوذ, راهکارهایی در مورد معماری بکارگیری , نحوه پیکر بندی , نظارت بر سیستم و نگهداری از آن ارائه می کند.
SP 800-92 (Guide to Computer Security Log Management, 2006)
هدف این نشریه ارائه راهکار هایی در نحوه روال فرآیند تولید, انتقال , ذخیره سازی, تحلیل و مرتب سازی گزارشات امنیتی می باشد.
SP 800-77 (Guide to IPsec VPNs, 2005)
این راهنما به بررسی و تحلیل کنترل های امنیتی می پردازد که هدفشان حفظ امنیت جریان اطلاعات روی بستر TCP/IP می باشد.
SP 800-153 (Guidelines for Securing Wireless Local Area Networks (WLANs),2012)
این راهنما نیازمندی های امنیتی روی شبکه بی سیم را هم در سطح کاربر و هم نقطه دسترسی بررسی کرده و توصیه هایی جهت ارتقا سطح امنیت بستر بی سیم به سازمان ارائه می نماید.
SP 800-36(Guide to Selecting Information Technology Security Products,2003)
این راهنما به یک سازمان جهت انتخاب مناسب ترین محصول امنیتی مورد نیاز کمک می کند.لازم به ذکر است این راهنما وابسته به راهنما های 800-30,800-77,800-23,800-53,800-64,800-27 می باشد.
SP 800-35(Guide to Information Technology Security Services,2003)
این راهنما با استفاده از توضیح و تشریح فاز های مختلف چرخه عمر سرویس های امنیتی , سازمان را جهت انتخاب , پیاده سازی و مدیریت یک سرویس امنیتی آگاه می سازد.
SP 800-41 (Guidelines on Firewalls and Firewall Policy, 2009)
این راهنما به توصیف تکنولوژی دیوار آتش پرداخته و قابلیت های امنیتی آن و مزایا و معایب بکارگیری از آن را تشریح میکند و نیز راهکار هایی جهت بهترین پیکربندی و معماری بکارگیری در اختیار سازمان قرار می دهد.
درج دیدگاه