سیستم مدیریت امنیت اطلاعات (ISMS)
در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات كشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد از جمله دلايل اصلي وضعيت موجود، مي توان به فقدان زيرساخت هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي اشاره نمود.
بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات كشور، به واسطه فقدان زيرساختهايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار كليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت هاي امنيتي فضاي تبادل اطلاعات در كشور ميباشد از سوي ديگر وجود زير ساختهاي فوق، قطعا تاثير بسزایي در ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت.
توجه به مقوله ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي ضروري به نظر ميرسد اين امر علاوه بر كاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاههاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات كشور خواهد داشت.
مشكلات در فقدان سيستم امنيت اطلاعات شهرداري يزد:
- نبود راهكار مشخص براي حفظ و نگهداري داده ها
- نبود راهكار جامع براي پشتيبان گيري از داده ها
- نبود راهكار مشخص براي جلوگيري از دسترسي غير مجاز ( داخلي و خارجي ) به داده ها
- نبود روش خاص براي توليد كلمات عبور امننرم افزارهاي سازمان از لحاظ امنيت و حفاظت اطلاعات و همچنين حفاطت خود نرم افزار تست نشدهاند
- در حال حاضر تمام مناطق و سازمانها به شبكه داخلي مجهز شدهاند و يا در مراحل پاياني تجهيز به سر ميبرند. شبكههايي كه جديداً ايجاد شدهاند مستندسازي شدهاند اما شبكههايي كه از قبل وجود داشتهاند، مستندسازي نشدهاند. در نتيجه مستندسازي كاملي از شبكهها و تجهيزات شبكه وجود ندارد
- مشخص نبودن نياز دقيق هر فرد به سختافزارها، نرمافزارها و داده ها
- مشخص نبودن سطح دسترسي فرد به سختافزارها، نرمافزارها و داده ها
- مشخص نبودن مسئوليت هر فرد در مورد سختافزارها، نرمافزارها و داده ها
- افراد براي مسئوليتهاي خود آموزش كافي نديده اند
- مشخص نبودن سر فصل آموزشيهاي كه هر فرد با توجه به فعاليتش بايد آموزش ببيند
- مشخص نبودن مسئول امنيت اطلاعات و شبكه
برای رفع این مشکلات پروژه های زیر اجرا شده یا در حال اجرا میباشد:
- استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک
- نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک
- توسعه سیستم مدیریت امنیت اطلاعات به شهرداریهای مناطق دو و سه و ناحیه تاریخی
- پیادهسازی سرویسهای DNS ،DHCP ،DFS ،Active Directory، ساختار نواحی (Zone) و حیطهبندی (VLAN) شبکه و امنیت سرویسهای مرکز داده شهرداری یزد
در ادامه به تشریح این پروژه ها خواهیم پرداخت:
-استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک-نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک-توسعه سیستم مدیریت امنیت اطلاعات به شهرداریهای مناطق دو وسه و ناحیه تاریخی-پیادهسازی سرویسهای DNS، DHCP،DFS ، Active Directory ، ساختار نواحی (Zone) و حیطهبندی (VLAN) شبکه و امنیت سرویسهای مرکز داده شهرداری یزد |
# استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک
پروژه استقرار سيستم امنيت اطلاعات شهرداري يزد براي منطقه يك شهرداري يزد و شهرداري مركزي يزد اجرا شده است. اين پروژه در هفت فاز طراحی شده بود. اين هفت فاز به شرح ذيل ميباشد:
1- فاز صفر :
- توصيف وضع موجود سازمان در حوزه فناوري اطلاعات و فعاليتهاي آن
- ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان که شامل موارد ذيل ميباشد:
o بررسي ساختار شبکه
o بررسي نحوه دسترسي فيزيکي به شبکه
o بررسي نحوه دسترسي لاجيکي به شبکه
- ارائه پرسشنامه:
طبقه بندي اين پرسش نامه ها عبارتند از :
o حوزه هاي مرتبط با مديريت
o حوزه هاي مرتبط با آموزش و آگاه سازي
o حوزه هاي مرتبط با وابستگي سازمان به کارمندان
o حوزه هاي مرتبط با دسترسي
o حوزه هاي مرتبط با حق دسترسي
o حوزه هاي مرتبط با استانداردها
o حوزه هاي مرتبط با رويههاي سازماني
o حوزه هاي مرتبط با مميزي
o حوزه هاي مرتبط با خط مشي امنيتي
o حوزه هاي مرتبط با کنترل
o حوزه هاي مرتبط با مستندات
o حوزه هاي مرتبط با سخت افزار
o حوزه هاي مرتبط با شبکه
o حوزه هاي مرتبط با منابع تغذيه
o حوزه هاي مرتبط با کاربران
o حوزه هاي مرتبط با برنامههاي کاربردي
- تعيين فرآيندها و دارائي هاي ( سرمايههاي ) سازماني ( در حوزه کاربرد – Scope )
o مستندات کاغذي
o دارائي هاي اطلاعاتي
o دارائي هاي فيزيکي
o سخت افزارها
o نرم افزارها
o اطلاعات و ارتباطات
o دارائي هاي انساني
o انواع کاربران
o خدمات
- تعيين CIA براي هر يک از دارائيها
2- فاز اول: تعيين اهداف، راهبردها و سياستهاي امنيتي سازمان ( در حوزه کاربرد –Scope )
- اهداف امنيت فضاي تبادل اطلاعات سازمان
- راهبردهاي امنيت فضاي تبادل اطلاعات سازمان
3- فاز دوم: طرح تحليل مخاطرات امنيتي
- تجزيه و تحليل شبکه و تعيين مخاطرات امنيتي آن
در اين بخش، شبکه سازمان با توجه به خروجي فاز صفر و حداقل در موارد مهمي مانند "معماري شبکه"، "تجهيزات شبکه"، "سرويسدهندههاي شبکه"، "مديريت و نگهداري شبکه" و "تشکيلات و روشهاي مديريت امنيت شبکه"، مورد تجزيه و تحليل قرار ميگيرد .
o معماري شبکه ارتباطي
o تجهيزات شبکه ارتباطي
o مديريت و نگهداري شبکه ارتباطي
o سرويسهاي شبکه ارتباطي
o تشکيلات و روشهاي تامين امنيت شبکه ارتباطي
- تعيين آسيب پذيري ها ( Vulnerabilities Assessment )
o شناسائي منابع آسيب پذيري
o تست امنيتي سيستم
o توسعه چك ليست هاي نيازمندي هاي امنيتي سيستم
- تعيين ريسک دارائيها و فرايندها
- تعيين آستانه پذيرش ريسک
4- فاز سوم : ارائه طرح جامع امنيت شبکه و اطلاعات
- ارائه طرح جامع امنيت شبکه و اطلاعات ( ارائه راه حلهاي مناسب )
o معماري شبکه
o پروتکلهاي شبکه
o طراحي ساختار کلي Server Farm
o Switching
o ارتباطات
o امنيت فني شبکه
o طرح تهيه نسخ پشتيبان
o امنيت فيزيکي شبکه
o سيستمهاي کنترل جريان اطلاعات و تشکيل نواحي امنيتي
o سيستمهاي تشخيص و مقابله يا تشخيص و پيشگيري از حملات
- ارائه نمونه هاي مناسب دستورالعملهاي پيکربندي امن و چک ليست هاي مربوطه
- طرح پشتيباني از حوادث
5- فاز چهارم : انتخاب کنترل هاي مناسب استاندارد ISO 27001 براي سازمان
در اين مرحله با توجه به خروجي هر يک فاز هاي قبلي، آندسته از کنترل هاي استاندارد ISO 27001 که انتخاب گرديده ( Control customization ). ارتباط اين کنترل ها و راهکارهاي ارائه شده در فاز قبلي مشخص مي گردد بدين معني که راهکار هاي لازم براي پياده سازي کنترل هاي انتخابي ارائه مي گردد .
6- فاز پنجم : مميزي داخلي سازمان ( در حوزه کاري – Scope )
در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليستها و مستندات مربوط به سرمميزي استاندارد ISO 27001 که در اختيار ميباشد و همچنين با توجه به توانائي تيم امنيت اين شرکت براي مميزي استاندارد
ISO 27001 ، کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررسي مي گردند تا اگر احيانا انحرافي نسبت به اهداف استاندارد وجود دارد، سريعا برطرف گردد. پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود، سازمان آماده دريافت گواهينامه بينالمللي استاندارد ISO 27001 ميباشد.
7- فاز ششم : صدور گواهينامه بينالمللي استانداردISO 27001
پس از انجام فاز پنجم و پس از اينکه تشخيص داده شد که سازمان آماده دريافت گواهينامه ميباشد و در صورت تمايل مديريت سازمان، از يک مرکز تصديق معتبر ( Certification Body- CB) براي صدور گواهينامه دعوت بعمل ميآيد.
# نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک
به منظور نگهداری سیستم مدیریت امنیت اطلاعات پیادهسازی شده در شهرداری مرکز و منطقه یک این نیاز وجود دارد تا بین شهرداری و سازمان فاوا تفاهم نامه ای منعقد گردد تا بر اساس آن در دوره زمانی مشخص، سازمان فاوا به عنوان بدنه اصلی اجرایی این سیستم وظایف برگزاری کارگروه های مختلف، اجرای رویه های اجرایی تصویب شده در سیستم استقرار یافته، تخصیص نیرو های انسانی متخصص در مسئولیت های امنیتی مشخص شده در سیستم را به عهد بگیرند.
# توسعه سیستم مدیریت امنیت اطلاعات به شهرداریهای مناطق دو وسه و ناحیه تاریخی
با توجه به اهمیت استقرار کامل سیستم مدیریت امنیت اطلاعات در کل مجموعه شهرداری یزد، این ضرورت توسط سازمان فاوا دیده شد که سیستم مذکور در مناطق دو و سه و ناحیه تاریخی نیز پیادهسازی شود. بر این اساس طرحی در این خصوص تهیه و تقدیم مدیر امنیت اطلاعات شهرداری یزد شده است که علارغم نظر مساعد اولیه در خصوص طرح، تاکنون در خصوص اجرایی شدن این طرح اعلام نظری نشده است.
این طرح شامل 5 فاز اجرایی به شرح زیر میباشد:
- بازنگری و بهینه سازی سیستم استقرار یافته در قلمرو موجود
- پیادهسازی سیستم در قلمرو جدید
- فرهنگسازی امنیت اطلاعات و آموزش
- برگزاری ممیزی داخلی امنیت اطلاعات بر اساس استاندارد
- پشتیبانی 6 ماهه سیستم استقرار یافته
# پیادهسازی سرویسهای DNS،DHCP،DFS ، Active Directory ، ساختار نواحی (Zone) و حیطهبندی (VLAN) شبکه و امنیت سرویسهای مرکز داده شهرداری یزد
یکی از خروجی های سیستم مدیریت امنیت اطلاعات، پیشنهاد طرح های اجرایی هستند که به منظور ارتقاء امنیت در حوزه های اطلاعات شهرداری قابل اجرا هستند. یکی از این طرح های اجرایی که در شورای راهبردی امنیت اطلاعات نیز به تصویب رسیده است، پیادهسازی سیستم های اشاره شده در عنوان میباشد. تعاریف مختصر از هر کدام از این سرویس ها و سیستم ها به شرح زیر میباشد:
- Acitve Directory : یک پایگاه داده پخش شده است و به کاربران تعریف شده در این پایگاه داده اجازه میدهد در هر نقطه ای از دامنه از تمام منابع شبکه استفاده کنند. این سرویس شامل اطلاعات مربوط به شبکه شامل دسترسی ها و مجوز های هر کاربر ،دامنه،کامپیوترها و غیره است.
- DNS : سرويس تفکيک اسامي Name Resolution Service)) است که برای کاربران و کلاینتها، قابليت دسترسي به منابع را با استفاده از اسامي ساده به جاي آدرس IP به طور سريع و قابل اطمينان فراهم مینماید.
- DHCP : این سرويس به منظور ارايه تنظيمات IP به صورت خودكار به كاربران شبكه استفاده خواهد شد که از طریق آن اشكالات پيش آمده در تنظيم دستي تنظيمات را به طرز قابل توجهي رفع خواهد شد و باعث متمركز شدن مديريت تنظيمات IP و در نتيجه كاهش زمان راهبري شبكه خواهد شد.
- DFS : سرویسی است که امکان استفــاده و مديريـت آسـان Fileها در سطح شبـکه و همینطور سهولـت استفـاده کاربران از داده هاي اشتراکي در ساختـار شبکه را فراهم می نماید.
- Acitve V-laning: سرویسی است که از طریق جداسازی مجازی بستر شبکه در سوئیچ های شبکه باعث ارتقاء امنیت و مدیریت بهتر شبکه می شود.
- Zoning: سرویسی که از طریق تقسیم شبکه از نظر فیزیکی به بخش های کوچکتر امکان مدیریت امن یک شبکه بزرگ را افزایش می دهد.
ادامه دارد
این خبر را با دوستان خود به اشتراک بگذارید | |||||||||
---|---|---|---|---|---|---|---|---|---|
مخاطبان آن لاین یزدفردا -فرداییان همیشه همراه یزدفردا در سراسر جهان |
> مطلب این صفحه را به زبان دلخواه خود ترجمه کنید |
||||||||
|
- نویسنده : یزد فردا
- منبع خبر : خبرگزاری فردا
شنبه 23,نوامبر,2024