زمان : 30 Mordad 1393 - 20:01
شناسه : 92483
بازدید : 20692
طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) در شهرداری یزد و نواحی تابعه مستند ده سال با فناوری اطلاعات شهرداری یزد طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) در شهرداری یزد و نواحی تابعه (گزیده‌ای از عملکرد سازمان فاوا شهرداری یزد از سال 1383 تا سال 1393)

سیستم مدیریت امنیت اطلاعات (ISMS)

در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات كشور، بويژه در حوزه دستگاه‌هاي دولتي، در سطح نامطلوبي قرار دارد از جمله دلايل اصلي وضعيت موجود، مي توان به فقدان زيرساخت هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي اشاره نمود.

بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات كشور، به واسطه فقدان زيرساخت‌هايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار كليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت هاي امنيتي فضاي تبادل اطلاعات در كشور مي‌باشد از سوي ديگر وجود زير ساخت‌هاي فوق، قطعا تاثير بسزایي در ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي خواهد داشت.

توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي ضروري به نظر مي‌رسد اين امر علاوه بر كاهش صدمات و زيان‌هاي ناشي از وضعيت فعلي امنيت دستگاه‌هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات كشور خواهد داشت.

مشكلات در فقدان  سيستم امنيت اطلاعات شهرداري يزد:

-         نبود راهكار مشخص براي حفظ و نگهداري داده ها

-         نبود راهكار جامع براي پشتيبان گيري از داده ها

-         نبود راهكار مشخص براي جلوگيري از دسترسي غير مجاز ( داخلي و خارجي ) به داده ها

-         نبود روش خاص براي توليد كلمات عبور امننرم افزارهاي سازمان از لحاظ امنيت و حفاظت اطلاعات و همچنين حفاطت خود نرم افزار تست نشده­اند

-         در حال حاضر تمام مناطق و سازمان‌ها به شبكه داخلي مجهز شده­اند و يا در مراحل پاياني تجهيز به سر مي‌برند. شبكه­هايي كه جديداً ايجاد شده­اند مستندسازي شده­اند اما شبكه­هايي كه از قبل وجود داشته­اند، مستندسازي نشده­اند. در نتيجه مستندسازي كاملي از شبكه­ها و تجهيزات شبكه وجود ندارد

-         مشخص نبودن نياز دقيق هر فرد به سخت­افزارها، نرم­افزارها و داده ها

-         مشخص نبودن سطح دسترسي فرد به سخت­افزارها، نرم­افزارها و داده ها

-         مشخص نبودن مسئوليت هر فرد در مورد سخت­افزارها، نرم­افزارها و داده ها

-         افراد براي مسئوليت‌هاي خود آموزش كافي نديده ­اند

-         مشخص نبودن سر فصل آموزشي‌هاي كه هر فرد با توجه به فعاليتش بايد آموزش ببيند

-         مشخص نبودن مسئول امنيت اطلاعات و شبكه

 برای رفع این مشکلات پروژه های زیر اجرا شده یا در حال اجرا می‌باشد:

-         استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

-         نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

-         توسعه سیستم مدیریت امنیت اطلاعات به شهرداری‌های مناطق دو و سه و ناحیه تاریخی

-         پیاده‌سازی سرویس‌های DNS ،DHCP ،DFS ،Active Directory، ساختار نواحی (Zone) و حیطه‌بندی (VLAN)  شبکه و امنیت سرویس‌های مرکز داده شهرداری یزد

در ادامه به تشریح این پروژه ها خواهیم پرداخت:

 

-استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

-نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

-توسعه سیستم مدیریت امنیت اطلاعات به شهرداری‌های مناطق دو وسه و ناحیه تاریخی

-پیاده‌سازی سرویسهای DNS، DHCP،DFS ، Active Directory  ، ساختار نواحی (Zone) و حیطه‌بندی (VLAN)  شبکه و امنیت سرویس‌های مرکز داده شهرداری یزد

 

 # استقرار سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

پروژه استقرار سيستم امنيت اطلاعات شهرداري يزد براي منطقه يك شهرداري يزد و شهرداري مركزي يزد اجرا شده است. اين پروژه در هفت فاز طراحی شده بود. اين هفت فاز به شرح ذيل مي‌باشد:

1-    فاز صفر :

-         توصيف وضع موجود سازمان  در حوزه فناوري اطلاعات  و فعاليت‌هاي آن

-         ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان که شامل موارد ذيل مي‌باشد:

o        بررسي ساختار شبکه
o        بررسي نحوه دسترسي فيزيکي به شبکه
o        بررسي نحوه دسترسي لاجيکي به شبکه

-         ارائه پرسشنامه:

 طبقه بندي اين پرسش نامه ها عبارتند از :

o        حوزه هاي مرتبط با مديريت
o        حوزه هاي مرتبط با آموزش و آگاه سازي
o        حوزه هاي مرتبط با وابستگي سازمان به کارمندان
o        حوزه هاي مرتبط با دسترسي
o        حوزه هاي مرتبط با حق دسترسي
o        حوزه هاي مرتبط با استانداردها
o        حوزه هاي مرتبط با رويه‌هاي سازماني
o        حوزه هاي مرتبط با مميزي
o        حوزه هاي مرتبط با خط مشي امنيتي
o        حوزه هاي مرتبط با کنترل
o        حوزه هاي مرتبط با مستندات
o        حوزه هاي مرتبط با سخت افزار
o        حوزه هاي مرتبط با شبکه
o        حوزه هاي مرتبط با منابع تغذيه
o        حوزه هاي مرتبط با کاربران
o        حوزه هاي مرتبط با برنامه‌هاي کاربردي

-         تعيين فرآيندها و دارائي هاي ( سرمايه‌هاي ) سازماني ( در حوزه کاربرد – Scope )

o        مستندات کاغذي
o        دارائي هاي اطلاعاتي
o        دارائي هاي فيزيکي
o        سخت افزارها
o        نرم افزارها
o        اطلاعات و ارتباطات
o        دارائي هاي انساني
o        انواع کاربران
o        خدمات

-         تعيين CIA براي هر يک از دارائي‌ها

2-    فاز اول: تعيين اهداف،‌ راهبردها و سياست‌هاي امنيتي سازمان ( در حوزه کاربرد –Scope )

-         اهداف امنيت فضاي تبادل اطلاعات سازمان

-         راهبردهاي امنيت فضاي تبادل اطلاعات سازمان

3-    فاز دوم: طرح تحليل مخاطرات امنيتي

-         تجزيه و تحليل شبکه و تعيين مخاطرات امنيتي آن

در اين بخش، شبکه سازمان با توجه به خروجي فاز صفر و حداقل در موارد مهمي مانند "معماري شبکه"، "تجهيزات شبکه"، "سرويس‌دهنده‌هاي شبکه"، "مديريت و نگهداري شبکه" و "تشکيلات و روشهاي مديريت امنيت شبکه"، مورد تجزيه و تحليل قرار مي‌گيرد .

o        معماري شبکه ارتباطي
o        تجهيزات شبکه ارتباطي
o        مديريت و نگهداري شبکه ارتباطي
o        سرويس‌هاي شبکه ارتباطي
o        تشکيلات و روشهاي تامين امنيت شبکه ارتباطي
-         تعيين آسيب پذيري ها ( Vulnerabilities Assessment )
o        شناسائي منابع آسيب پذيري
o        تست امنيتي سيستم
o        توسعه چك ليست هاي نيازمندي هاي امنيتي سيستم

-         تعيين ريسک دارائي‌ها و فرايندها

-         تعيين آستانه پذيرش ريسک

4-    فاز سوم :  ارائه طرح جامع امنيت شبکه و اطلاعات 

-         ارائه طرح جامع امنيت شبکه و اطلاعات ( ارائه راه حل‌هاي مناسب )

o        معماري شبکه
o        پروتکلهاي شبکه
o        طراحي ساختار کلي Server Farm
o        Switching
o        ارتباطات
o        امنيت فني شبکه
o        طرح تهيه نسخ پشتيبان
o        امنيت فيزيکي شبکه
o        سيستم‌هاي کنترل جريان اطلاعات و تشکيل نواحي امنيتي
o        سيستم‌هاي تشخيص و مقابله يا تشخيص و پيشگيري از حملات

-         ارائه نمونه هاي مناسب دستورالعمل‌هاي پيکربندي امن و چک ليست هاي مربوطه

-         طرح پشتيباني از حوادث

5-    فاز چهارم : انتخاب کنترل هاي مناسب استاندارد ISO 27001 براي سازمان

در اين مرحله با توجه به خروجي هر يک فاز هاي قبلي، آن‌دسته از کنترل هاي استاندارد ISO 27001 که انتخاب گرديده ( Control customization ). ارتباط اين کنترل ها و راهکارهاي ارائه شده در فاز قبلي مشخص مي گردد بدين معني که راهکار هاي لازم براي پياده سازي کنترل هاي انتخابي ارائه مي گردد .

6-    فاز پنجم : مميزي داخلي سازمان ( در حوزه کاري – Scope )

در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليست‌ها و مستندات مربوط به سرمميزي استاندارد ISO 27001 که در اختيار مي‌باشد و همچنين با توجه به توانائي تيم امنيت اين شرکت براي مميزي استاندارد
ISO 27001 ، کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررسي مي گردند تا اگر احيانا انحرافي نسبت به اهداف استاندارد وجود دارد، سريعا برطرف گردد. پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود، سازمان آماده دريافت گواهينامه بين‌المللي استاندارد ISO 27001 مي‌باشد.

7-    فاز ششم : صدور گواهينامه بين‌المللي استانداردISO 27001

پس از انجام فاز پنجم و پس از اينکه تشخيص داده شد که سازمان آماده دريافت گواهينامه مي‌باشد و در صورت تمايل مديريت سازمان، از يک مرکز تصديق معتبر ( Certification Body- CB) براي صدور گواهينامه دعوت بعمل مي‌آيد.

# نگهداری سیستم مدیریت امنیت اطلاعات شهرداری مرکز و منطقه یک

به منظور نگهداری سیستم مدیریت امنیت اطلاعات پیاده‌سازی شده در شهرداری مرکز و منطقه یک این نیاز وجود دارد تا بین شهرداری و سازمان فاوا تفاهم نامه ای منعقد گردد تا بر اساس آن در دوره زمانی مشخص، سازمان فاوا به عنوان بدنه اصلی اجرایی این سیستم وظایف برگزاری کارگروه های مختلف، اجرای رویه های اجرایی تصویب شده در سیستم استقرار یافته، تخصیص نیرو های انسانی متخصص در مسئولیت های امنیتی مشخص شده در سیستم را به عهد بگیرند.

# توسعه سیستم مدیریت امنیت اطلاعات به شهرداری‌های مناطق دو وسه و ناحیه تاریخی

با توجه به اهمیت استقرار کامل سیستم مدیریت امنیت اطلاعات در کل مجموعه شهرداری یزد، این ضرورت توسط سازمان فاوا دیده شد که سیستم مذکور در مناطق دو و سه و ناحیه تاریخی نیز پیاده‌سازی شود. بر این اساس طرحی در این خصوص تهیه و تقدیم مدیر امنیت اطلاعات شهرداری یزد شده است که علارغم نظر مساعد اولیه در خصوص طرح، تاکنون در خصوص اجرایی شدن این طرح اعلام نظری نشده است.

این طرح شامل 5 فاز اجرایی به شرح زیر می‌باشد:

-         بازنگری و بهینه سازی سیستم استقرار یافته در قلمرو موجود

-         پیاده‌سازی سیستم در قلمرو جدید

-         فرهنگسازی امنیت اطلاعات و آموزش

-         برگزاری ممیزی داخلی امنیت اطلاعات بر اساس استاندارد

-         پشتیبانی 6 ماهه سیستم استقرار یافته

# پیاده‌سازی سرویسهای DNS،DHCP،DFS ، Active Directory ، ساختار نواحی (Zone) و حیطه‌بندی (VLAN)  شبکه و امنیت سرویس‌های مرکز داده شهرداری یزد

یکی از خروجی های سیستم مدیریت امنیت اطلاعات،  پیشنهاد طرح های اجرایی هستند که به منظور ارتقاء امنیت در حوزه های اطلاعات شهرداری قابل اجرا هستند. یکی از این طرح های اجرایی که در شورای راهبردی امنیت اطلاعات نیز به تصویب رسیده است، پیاده‌سازی سیستم های اشاره شده در عنوان می‌باشد. تعاریف مختصر از هر کدام از این سرویس ها و سیستم ها به شرح زیر می‌باشد:

-         Acitve Directory : یک پایگاه داده پخش شده است و به کاربران تعریف شده در  این  پایگاه داده اجازه می‌دهد در هر نقطه ای از دامنه از تمام منابع شبکه استفاده کنند.  این سرویس شامل اطلاعات مربوط به شبکه شامل دسترسی ها و مجوز های هر کاربر ،دامنه،کامپیوترها و غیره است.

-         DNS : سرويس تفکيک اسامي Name Resolution Service)) است که برای  کاربران و کلاینت‌ها،  قابليت دسترسي به منابع را با استفاده از اسامي ساده  به جاي آدرس IP به طور  سريع و  قابل اطمينان فراهم می‌نماید.

-         DHCP : این سرويس به منظور ارايه تنظيمات IP  به صورت  خودكار  به كاربران شبكه استفاده خواهد شد که از طریق آن اشكالات پيش آمده در تنظيم دستي تنظيمات را به طرز  قابل توجهي رفع خواهد شد و باعث متمركز شدن مديريت تنظيمات IP و در نتيجه كاهش زمان راهبري شبكه خواهد شد.

-         DFS : سرویسی است که امکان استفــاده و مديريـت آسـان Fileها در سطح شبـکه و همین‌طور سهولـت استفـاده کاربران از داده هاي اشتراکي در ساختـار شبکه را فراهم می نماید.

-         Acitve V-laning: سرویسی است که از طریق جداسازی مجازی بستر شبکه در سوئیچ های شبکه باعث  ارتقاء امنیت و مدیریت بهتر شبکه می شود.

-         Zoning: سرویسی که از طریق تقسیم شبکه از نظر فیزیکی به بخش های کوچکتر امکان مدیریت امن یک شبکه بزرگ را افزایش می دهد.

 ادامه دارد


این خبر را با دوستان خود به اشتراک بگذارید

value="http://www.macromedia.com/go/getflashplayer" />
مخاطبان آن لاین یزدفردا -فرداییان همیشه همراه یزدفردا در سراسر جهان

> مطلب این صفحه را به زبان دلخواه خود ترجمه کنید

 
ا
  •  پایگاه خبری" یزدفردا" نظراتی را که حاوی توهین باشد منتشر نمی‌کند.
  • لطفآ از نوشتن نظرات خود با حروف لاتین خودداری نمائید.
  • نظرات ارسالی شما پس از مطالعه دقیق، به قسمتهای مختلف تحریریه ارجاع داده خواهد شد.
  •  ایمیل  "info@yazdfarda.com" پل ارتباطی مخاطبان با یزدفرد و آماده دریافت نظرات،گزارشها ومسندات خبری شماست.