Information Security

امنیــت
 اطــلاعـات

INFORMATION
SECURITY

امنیت اطلاعات، محافظت از اطلاعات در برابر طيف گسترده‌ای از تهديدات است كه به منظور اطمينان از استمرار كسب‌وكار، به حداقل رساندن ريسك و به حداکثر رساندن آورده و فرصت‌هاي سازمان است و در واقع انجام سلسله فرایندهایی است برای محافظت از اطلاعات و داده‌های سازمان در برابر دسترسی‌های غیرمجاز، از دست رفتن، تغییر پیدا‌ کردن و دستکاری شدن در تمام مدت چرخه حیات اطلاعات است.

اطلاعات، دارايي است همانند ساير دارايي‌های مهم سازمان كه براي سازمان دارای اهميت است، اطلاعات هر سازمان یک عضو حیاتی از آن است و محافظت از آن و بالا بردن امنیت اطلاعات از اهمیت بسزایی برخوردار است، زیرا درز اطلاعات و یا از بین رفتن آن آسیب جدی و در بعضی مواقع جبران‌ناپذیری را به سازمان وارد می‌کند. امنيت اطلاعات براي كسب‌و‌كار بخش‌های خصوصی و عمومی و همچنين محافظت از زيرساختارهای حياتی اهميت دارد.

امنيت اطلاعات به وسيله اجرای يکسری از کنترل‌های مناسب، حاصل خواهد شد. اين کنترل‌ها مي‌توانند به صورت خط‌مشی‌ها، رويه‌ها، ساختارهای سازمانی و يا نرم‌افزارهای کاربردی باشند. اين کنترل‌‌ها برای اطمينان از برآورده‌شدن اهداف امنيتی سازمان بايستی اجرا گردند.

سیستم مدیریت امنیت اطلاعات (ISMS)

سیستم مدیریت امنیت اطلاعات (information security management system) مجموعه‌ای از خط‌‌مشی‌ها و رویه‌های امنیتی و شبکه‌ای به منظور مدیریت داده‌های حساس سازمانی است. مدیریت امنيت اطلاعات بخشی از مدیریت اطلاعات است که وظيفه تعيين اهداف امنيت و بررسی موانع سر راه رسيدن به این اهداف و اراهه راهكارهای لازم را بر عهده دارد. همچنين مدیریت امنيت وظيفه پياده‌سازی و کنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سيستم را هميشه روزآمد نگه دارد. سیستم مدیریت امنیت اطلاعات به دنبال به حداقل رساندن ریسک و تضمین تداوم فعالیت‌های تجاری با محدود کردن میزان ‌تاثیرگذاری نقض‌های امنیتی است. یكی از وظایف مدیریت امنيت بررسی و ایجاد یک سيستم امنيت اطلاعات است که متناسب با اهداف سازمان باشد. برای طراحی این سيستم باید عوامل مختلفی را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبه خسارت‌های احتمالی و تخمين هزینه و سودمندی استفاده از سيستم امنيت اطلاعات، بررسی تهدیدات احتمالی و بررسی راهكارهای مختلف و انتخاب سودمندترین روش برای طراحی سيستم‌های امنيت اطلاعات ضروری بنظر مي‌رسد.

اجرای ISMS در یک سازمان طبق مراحل ذیل صورت می‌پذیرد:
۱- تحلیل گسست
۲- مدیریت مخاطرات
۳- استقرار
۴- نگهداری و بهبود

PCI DSS

PCI DSS مجموعه جامعي از قوانين است كه برای ارتقاء سیستم امنیتی داده‌های مربوط به صنعت كارت‌هاي پرداخت وضع گرديده و هدف آن، كمك جهت تسهيل روند اتخاذ تمهيدات امنيتي مربوط به داده‌هاي پايدار در يك جامعه جهاني است. اين استاندارد، توسط مؤسسین سیستم پرداخت مارک‌های تجاری شورای استانداردهای امنیتی PCI ایجاد شده است. PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب‌وکاری برای استفاده از کارت‌های پرداخت و همچنین ذخیره‌سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دريافت نماید. بنابراين، اخذ استاندارد امنيت اطلاعات صنعت كارت‌هاي پرداخت، براي فروشندگاني كه از فناوري كارت پرداخت در سيستم فروش خود استفاده مي‌كنند و شركت‌هايي كه اطلاعات شخصي دارندگان اين نوع كارت را پردازش مي‌نمايند، يك موضوع مهم و ضروري مي‌باشد.

۱- تحلیل گسست
۲- برنامه‌ریزی و پشتیبانی اقدامات اصلاحی
۳- ارزیابی مخاطرات
۴- آزمون نفوذ
۵- پیش‌ممیزی
۶- ممیزی صدور گواهی‌نامه

CSIRT

همچنان که تهدیدات امنیت سایبری در حال افزایش و پیچیده‌تر شدن هستند، یکی از مؤثرترین راه‌ها برای مقابله با این تهدیدات ایجاد یک اکوسیستم سراسری از تیم‌های پاسخ به حوادث امنیت رایانه‌ای CSIRTها که بتوانند ارتباطات را برقرار کنند، اطلاعات را به اشتراک بگذارند و پاسخ کارآمدی به تهدیدات سایبری بدهند. در این میان می‌توان با فراهم کردن چارچوب‌های کارآمد و افزایش تعداد CSIRTها در سراسر جهان و بلوغ CSIRTهای موجود، این فرایند را تسهیل کرد.

CSIRT یا Computer Security Incident Response Team وظیفه کنترل و مدیریت رخداد را بر عهده دارند. این گروه یا تیم، مسئولیت پاسخگویی به حوادث امنیتی در سیستم‌های کامپیوتری و شبکه‌ها را عهده‌دار است و همواره تلاش می‌کند تا به شناسایی، تحلیل و پاسخ به حوادث امنیتی مانند حملات سایبری، نفوذهای غیر مجاز، نفوذ به داده‌ها و سایر تهدیدات امنیتی بپردازد.

تیم پاسخ به رخداد (CSIRT) متشکل از گروهی از متخصصان امنیت است که در هنگام رخ دادن رویدادهای امنیتی به آن‌ها پاسخ می‌دهند. سازماندهی تیم واکنش به رخداد یا CSIRT مشتمل بر این موارد است:
۱- تعیین اینکه چه کسی در تیم خواهد بود.
۲- نقش‌ها و مسئولیت‌های آن‌ها چیست.
۳- چه عملکردی باید برون‌سپاری شود.
۴- اعضای تیم کجا قرار خواهند داشت.

ارزیابی امنیتی

تست نفوذ یا ارزیابی امنیتی روشی است که توسط آن سازمان قادر خواهد بود تا آسیب‌پذیری‌های موجود در شبکه، وب‌سایت و بانک‌های اطلاعاتی و داده‌ای خود را شناسایی کرده و پیش از آنکه نفوذگران واقعی به سیستم وارد شوند، امنیت شبکه خود را افزایش دهد. این روش با استفاده از ارزیابی جنبههای مختلف امنیتی کمک میکند تا با کاهش دادن ریسک‌های امنیتی موجود در شبکه، سیستم‌عامل‌ها، بانک‌های اطلاعاتی و برنامه‌های کاربردی، احتمال نفوذ غیرمجاز به شبکه را کاهش دهیم.
تست نفوذ یا ارزیابی امنیتی به روش‌های متفاوتی قابل انجام است که بیشترین تفاوت میان این روش‌ها، در میزان اطلاعات مرتبط با جزییات پیاده‌سازی سیستم در حال تست می‌باشد که در اختیار تیم تست نفوذ قرار داده می‌شود.

راهکارهای امنیت اطلاعات

امنيت اطلاعات در محيط‌هاي مجازي همواره بعنوان يكي از زيرساخت‌ها و الزامات اساسـي در كـاربري توسـعه‌اي و فراگيـر از ICTمورد تاكيد قرار گرفته است. گرچه امنيت مطلق چه در محيط واقعي و چه در فضاي مجازي دست‌نيـافتني اسـت، ولـي ايجـاد سطحي از امنيت كه به اندازه كافي و متناسب با نيازها و سرمايه‌گذاري انجام شده باشد تقريباً در تمامي شرايط محيطـي امكان‌پـذير است. به همین منظور شرکت اینفوامن با بهره‌گیری از ابزارهای راهبری امنیت اطلاعات سازمانی نظیر اینفورا که از قابلیت‌های بالایی برخوردار است و همچنین بهره بردن از ابزارهای فنی در دسترس توانسته به صورت سفارشی‌سازی شده راهکارهایی را با توجه به نیاز سازمان‌ها به آن‌ها ارائه نماید.

تجربـه مشتریـان از سرویــس امنیــت اطلاعــات: