مختصری درباره کتاب
ارایه راهکارها و توصیه هایی برای حفاظت از اطلاعات سازمانی در برابر دسترسی غیرمجاز، تغییرات، خرابکاری، افشا و سایر تهدیدات امنیتی
فراهم آوری صحت و تمامیت اطلاعات، به گونه ای که در زمان مناسب، اطلاعات در دسترس افراد مجازی قرار گیرد که نیازمند آن هستند، عاملی است که منجر به اثربخشی کسب و کارها می شود.
این کتاب، توصیه ها و راهنمایی هایی را به سازمان ها، به منظور انتخاب یک رویکرد مؤثر در امنیت اطلاعات، بر اساس استانداردهای ملی کشورمان ارایه می کند تا بتوانند امنیتی پایدار را برای مجموعه سازمانی خویش فراهم کنند. انتظار مي رود كه سازمان هاي ايراني با طراحي و استقرار سیستم مديريت امنيت اطلاعات بر اساس راهنمايي هاي اين كتاب، بتوانند از منافع رويكردي مؤثر در امنيت فناوري اطلاعات، بهره مند گشته و امنيتي پايدار را براي مردم عزيز كشورمان فراهم کنند.
سایر اطلاعات
شناسنامه کتاب
نویسنده: محمد مهدی واعظی نژاد
ناشر: انتشارات وینا
تعداد صفحات: 297 صفحه
سال چاپ: 1391
شماره شابک: 978-964-04-8966-6
مقدمه کتاب
امروزه امنيت اطلاعات، بزرگترين چالش در عصر فناوري اطلاعات محسوب مي شود و حفاظت از اطلاعات در مقابل دسترسي غير مجاز، خرابكاري و افشاء، امري ضروري و اجتناب ناپذير به شمار مي رود. از اين رو، امنيت دارايي هاي اطلاعاتي، براي تمامي سازمان ها امري حياتي بوده و مستلزم يك مديريت اثربخش مي باشد.
فراهم آوري صحت و تماميت اطلاعات، به گونه اي كه در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد كه نيازمند آن مي باشند، عاملي است كه منجر به اثربخشي كسب و كار مي گردد. به همين منظور، استانداردهاي خانواده سامانه مديريت امنيت اطلاعات، شامل استانداردهاي ملي ايران به شماره هاي 27000 (فناوري اطلاعات – فنون امنيتي – سامانه هاي مديريت امنيت اطلاعات – مرور كلي و واژگان)، 27001 (فناوري اطلاعات – فنون امنيتي – سيستم هاي مديريت امنيت اطلاعات - الزامات) و 27002 (فناوري اطلاعات – فنون امنيتي – آيين كار مديريت امنيت اطلاعات) مي توانند سازمان ها را در تحقق اين اهداف، ياري نمايند.
انتظار مي رود كه سازمان هاي ايراني با طراحي و استقرار سامانه مديريت امنيت اطلاعات بر اساس اين استانداردهاي ملي كشورمان و همچنين راهنمايي هاي اين كتاب، بتوانند از منافع رويكردي مؤثر در امنيت فناوري اطلاعات، بهره مند گشته و امنيتي پايدار را براي مردم عزيز كشورمان فراهم نمايند.
فهرست مطالب
ردیف |
عنوان |
|
i |
پيش گفتار |
|
ii |
مروركلي |
|
iii |
هدف و دامنه كاربرد |
|
a |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27000 |
|
b |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27001 |
|
c |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27002 |
|
iv |
سازگاري با ساير سيستم هاي مديريتي |
|
v |
مراجع الزامي |
|
1 |
اصطلاح ها و تعريف ها |
|
2 |
اطلاعات |
|
2-1 |
امنيت اطلاعات |
|
2-2 |
چرا امنيت اطلاعات لازم است؟ |
|
2-3 |
چگونه نيازهاي امنيت شناسايي مي شوند؟ |
|
2-4 |
الزام هاي امنيت اطلاعات |
|
2-5 |
برآورد ريسك هاي امنيت اطلاعات |
|
2-6 |
انتخاب و پياده سازي كنترل هاي امنيت اطلاعات |
|
2-7 |
نقطه آغازين امنيت اطلاعات |
|
2-8 |
مديريت |
|
2-9 |
سامانه مديريت |
|
2-10 |
سامانه مديريت امنيت اطلاعات |
|
2-11 |
ديدگاه فرآيندگرا |
|
2-12 |
استانداردهاي خانواده سامانه مديريت امنيت اطلاعات |
|
2-12-1 |
استاندارد توصيف كننده مرور كلي و واژگان |
|
2-12-1-1 |
استاندارد ملي ايران به شماره 27000 (ISO/IEC 27000 ) |
|
2-12-2 |
استانداردهاي مشخص كننده الزام ها |
|
2-12-2-1 |
استاندارد ملي ايران به شماره 27001 (ISO/IEC 27001 ) |
|
2-12-2-2 |
استاندارد ملي ايران به شماره 27006 (ISO/IEC 27006 ) |
|
2-12-3 |
استانداردهاي توصيف كننده راهنماي مرور كلي |
|
2-12-3-1 |
استاندارد ملي ايران به شماره 27002 (ISO/IEC 27002 ) |
|
2-12-3-2 |
استاندارد ملي ايران به شماره 27003 (ISO/IEC 27003 ) |
|
2-12-3-3 |
استاندارد ملي ايران به شماره 14096 (ISO/IEC 27004 ) |
|
2-12-3-4 |
استاندارد ملي ايران به شماره 27005 (ISO/IEC 27005 ) |
|
2-12-3-5 |
استاندارد بين المللي ISO/IEC 27007 |
|
2-12-4 |
استانداردهاي توصيف كننده راهنماي بخش خاص |
|
2-12-4-1 |
استاندارد ملي ايران به شماره 27011 (ISO/IEC 27011 ) |
|
2-12-4-2 |
استاندارد ملي ايران به شماره 13220 (ISO 27799 ) |
|
2-13 |
مزاياي پياده سازي استانداردهاي خانواده سامانه مديريت امنيت اطلاعات |
|
2-14 |
ايجاد سامانه مديريت امنيت اطلاعات |
|
2-15 |
پياده سازي و اجراي سامانه مديريت امنيت اطلاعات |
|
2-16 |
الزام هاي مستندسازي |
|
2-16-1 |
كنترل مدارك |
|
2-16-2 |
كنترل سابقه ها |
|
2-17 |
مسئوليت و تعهد مديريت |
|
2-18 |
مديريت منابع |
|
2-18-1 |
فراهم آوري منابع |
|
2-18-2 |
آموزش، آگاه سازي و صلاحيت |
|
2-19 |
پايش سامانه مديريت امنيت اطلاعات |
|
2-20 |
بازنگري مديريت سامانه مديريت امنيت اطلاعات |
|
2-20-1 |
ورودي هاي بازنگري |
|
2-20-2 |
خروجي هاي بازنگري |
|
2-21 |
بهبود اثربخشي سامانه مديريت امنيت اطلاعات |
|
2-21-1 |
بهبود مستمر |
|
2-21-2 |
اقدام پيشگيرانه |
|
2-22 |
مميزي داخلي سامانه مديريت امنيت اطلاعات |
|
2-23 |
عوامل مهم موفقيت سامانه مديريت امنيت اطلاعات |
|
2-24 |
توسعه رهنمودهاي مربوط به خود |
|
3 |
ساختار استاندارد ملي ايران به شماره 27002 |
|
3-1 |
بندها |
|
3-2 |
طبقه هاي امنيتي عمده |
|
4 |
برآورد و برطرف سازي ريسك |
|
4-1 |
برآورد ريسك هاي امنيتي |
|
4-2 |
برطرف سازي ريسك هاي امنيتي |
|
5 |
خط مشي امنيتي |
|
5-1 |
خط مشي امنيتي |
|
5-1-1 |
مدرك خط مشي امنيت اطلاعات |
|
5-1-2 |
بازبيني خط مشي امنيت اطلاعات |
|
6 |
سازمان امنيت اطلاعات |
|
6-1 |
سازمان داخلي |
|
6-1-1 |
تعهد مديريت به امنيت اطلاعات |
|
6-1-2 |
هماهنگي امنيت اطلاعات |
|
6-1-3 |
تخصيص مسئوليت هاي امنيت اطلاعات |
|
6-1-4 |
فرآيند مجوزدهي براي امكانات پردازش اطلاعات |
|
6-1-5 |
توافق نامه هاي محرمانگي |
|
6-1-6 |
برقراري ارتباط با مراجع داراي اختيار |
|
6-1-7 |
برقراري ارتباط با گروه هاي با منافع خاص |
|
6-1-8 |
بازنگري مستقل امنيت اطلاعات |
|
6-2 |
اشخاص بيروني |
|
6-2-1 |
شناسايي ريسك هاي مرتبط با اشخاص بيروني |
|
6-2-2 |
نشاني دهي امنيت، هنگام سر و كار داشتن با مشتريان |
|
6-2-3 |
نشاني دهي امنيت در توافق هاي شخص سوم |
|
7 |
مديريت دارايي |
|
7-1 |
مسئوليت دارايي ها |
|
7-1-1 |
ليست موجودي اموال |
|
7-1-2 |
مالكيت دارايي ها |
|
7-1-3 |
استفاده قابل قبول از دارايي ها |
|
7-2 |
طبقه بندي اطلاعات |
|
7-2-1 |
رهنمودهاي طبقه بندي |
|
7-2-2 |
برچسب گذاري و اداره كردن اطلاعات |
|
8 |
امنيت منابع انساني |
|
8-1 |
پيش از اشتغال |
|
8-1-1 |
نقش ها و مسئوليت ها |
|
8-1-2 |
گزينش |
|
8-1-3 |
ضوابط و شرايط استخدام |
|
8-2 |
حين خدمت |
|
8-2-1 |
مسئوليت هاي مديريت |
|
8-2-2 |
آگاهي رساني، تحصيل و آموزش امنيت اطلاعات |
|
8-2-3 |
فرآيند انضباطي |
|
8-3 |
خاتمه استخدام يا تغيير شغل |
|
8-3-1 |
مسئوليت هاي خاتمه خدمت |
|
8-3-2 |
عودت دارايي ها |
|
8-3-3 |
حذف حقوق دسترسي |
|
9 |
امنيت فيزيكي و محيطي |
|
9-1 |
نواحي امن |
|
9-1-1 |
حصار امنيت فيزيكي |
|
9-1-2 |
كنترل هاي مداخل فيزيكي ورودي |
|
9-1-3 |
ايمن سازي دفاتر، اتاق ها و امكانات |
|
9-1-4 |
محافظت در برابر تهديدهاي بيروني و محيطي |
|
9-1-5 |
كار در نواحي امن |
|
9-1-6 |
نواحي دسترسي عمومي، نواحي تحويل و بارگيري |
|
9-2 |
امنيت تجهيزات |
|
9-2-1 |
استقرار و حفاظت تجهيزات |
|
9-2-2 |
امكانات و پشتيباني |
|
9-2-3 |
امنيت كابل كشي |
|
9-2-4 |
نگهداري تجهيزات |
|
9-2-5 |
امنيت تجهيزات خارج از ابنيه اماكن سازمان |
|
9-2-6 |
امحاء يا استفاده مجدد از تجهيزات به صورت امن |
|
9-2-7 |
خروج اموال |
|
10 |
مديريت ارتباطات و عملكرد |
|
10-1 |
روش هاي اجرايي عملياتي و مسئوليت ها |
|
10-1-1 |
روش هاي اجرايي عملياتي مستند شده |
|
10-1-2 |
مديريت تغيير |
|
10-1-3 |
تفكيك وظايف |
|
10-1-4 |
جداسازي امكانات توسعه، آزمون و عملياتي |
|
10-2 |
مديريت تحويل خدمت شخص سوم |
|
10-2-1 |
تحويل خدمت |
|
10-2-2 |
پايش و بازبيني خدمات شخص سوم |
|
10-2-3 |
مديريت تغييرات در خدمات شخص سوم |
|
10-3 |
طرح ريزي و پذيرش سيستم |
|
10-3-1 |
مديريت ظرفيت |
|
10-3-2 |
پذيرش سيستم |
|
10-4 |
حفاظت در برابر كدهاي مخرب و سيار |
|
10-4-1 |
كنترل هايي در برابر كدهاي مخرب |
|
10-4-2 |
كنترل هايي در برابر كدهاي سيار |
|
10-5 |
نسخه هاي پشتيبان |
|
10-5-1 |
ايجاد پشتيبان از اطلاعات |
|
10-6 |
مديريت امنيت شبكه |
|
10-6-1 |
كنترل هاي شبكه |
|
10-6-2 |
امنيت خدمات شبكه |
|
10-7 |
اداره كردن محيط هاي ذخيره سازي |
|
10-7-1 |
مديريت محيط هاي ذخيره سازي قابل جابجايي |
|
10-7-2 |
امحاء محيط هاي ذخيره سازي |
|
10-7-3 |
روش هاي اجرايي جابجايي اطلاعات |
|
10-7-4 |
امنيت مستندات سيستم |
|
10-8 |
تبادل اطلاعات |
|
10-8-1 |
خط مشي ها و روش هاي اجرايي تبادل اطلاعات |
|
10-8-2 |
توافق نامه هاي تبادل |
|
10-8-3 |
محيط هاي ذخيره سازي (رسانه) فيزيكي، حين حمل و نقل |
|
10-8-4 |
پيام رساني الكترونيكي |
|
10-8-5 |
سيستم هاي اطلاعاتي كسب و كار |
|
10-9 |
خدمات تجارت الكترونيك |
|
10-9-1 |
تجارت الكترونيك |
|
10-9-2 |
تراكنش هاي برخط |
|
10-9-3 |
اطلاعات قابل دسترس عموم |
|
10-10 |
پايش |
|
10-10-1 |
واقعه نگاري مميزي |
|
10-10-2 |
پايش كاربرد سيستم |
|
10-10-3 |
حفاظت از اطلاعات ثبت شده وقايع |
|
10-10-4 |
اطلاعات ثبت شده وقايع مربوط به راهبر و اپراتور سيستم |
|
10-10-5 |
واقعه نگاري خرابي |
|
10-10-6 |
همزمان سازي ساعت ها |
|
11 |
كنترل دسترسي |
|
11-1 |
الزام هاي كسب و كار براي كنترل دسترسي |
|
11-1-1 |
خط مشي كنترل دسترسي |
|
11-2 |
مديريت دسترسي كاربر |
|
11-2-1 |
ثبت كاربر |
|
11-2-2 |
مديريت اختيارات ويژه |
|
11-2-3 |
مديريت كلمه عبور كاربر |
|
11-2-4 |
بازنگري حقوق دسترسي كاربر |
|
11-3 |
مسئوليت كاربر |
|
11-3-1 |
استفاده از كلمه عبور |
|
11-3-2 |
تجهيزات بدون مراقبت كاربر |
|
11-3-3 |
خط مشي ميز پاك و صفحه پاك |
|
11-4 |
كنترل دسترسي به شبكه |
|
11-4-1 |
خط مشي استفاده از خدمات شبكه |
|
11-4-2 |
احراز اصالت (تصديق هويت) كاربر براي اتصالات بيروني |
|
11-4-3 |
شناسايي تجهيزات در شبكه ها |
|
11-4-4 |
حفاظت از درگاه عيب يابي و پيكربندي راه دور |
|
11-4-5 |
تفكيك در شبكه ها |
|
11-4-6 |
كنترل اتصال به شبكه |
|
11-4-7 |
كنترل مسيريابي در شبكه |
|
11-5 |
كنترل دسترسي به سيستم عامل |
|
11-5-1 |
روش هاي اجرايي برقراري ارتباط امن |
|
11-5-2 |
شناسايي و احراز اصالت كاربر |
|
11-5-3 |
سيستم مديريت كلمه عبور |
|
11-5-4 |
استفاده از برنامه هاي كمكي سيستم |
|
11-5-5 |
خروج زماني از لايه ارتباطي |
|
11-5-6 |
محدودسازي زمان اتصال |
|
11-6 |
كنترل دسترسي به برنامه هاي كاربردي و اطلاعات |
|
11-6-1 |
محدوديت دسترسي به اطلاعات |
|
11-6-2 |
جداسازي سيستم هاي حساس |
|
11-7 |
محاسبه سيار و كار از راه دور |
|
11-7-1 |
محاسبه و ارتباطات سيار |
|
11-7-2 |
كار از راه دور |
|
12 |
اكتساب، بهبود، حفظ و نگهداري سيستم هاي اطلاعاتي |
|
12-1 |
الزام هاي امنيتي سيستم هاي اطلاعاتي |
|
12-1-1 |
مشخصات و تحليل الزام هاي امنيتي |
|
12-2 |
پردازش صحيح در برنامه هاي كاربردي |
|
12-2-1 |
صحه گذاري داده ورودي |
|
12-2-2 |
كنترل پردازش دروني |
|
12-2-3 |
تماميت پيغام |
|
12-2-4 |
صحه گذاري داده خروجي |
|
12-3 |
كنترل هاي رمزنگاري |
|
12-3-1 |
خط مشي استفاده از كنترل هاي رمزنگاري |
|
12-3-2 |
مديريت كليد |
|
12-4 |
امنيت قايل هاي سيستم |
|
12-4-1 |
كنترل نرم افزار عملياتي |
|
12-4-2 |
حفاظت از داده هاي آزمون سيستم |
|
12-4-3 |
كنترل دسترسي به كد منبع برنامه |
|
12-5 |
امنيت در فرآيندهاي بهبود و پشتياني |
|
12-5-1 |
روش هاي اجرايي كنترل تغيير |
|
12-5-2 |
بازنگري فني نرم افزارهاي كاربردي پس از تغييرات سيستم عامل |
|
12-5-3 |
محدودسازي در اعمال تغييرات در بسته هاي نرم افزاري |
|
12-5-4 |
نشت اطلاعات |
|
12-5-5 |
بهبود نرم افزار برون سپاري شده |
|
12-6 |
مديريت آسيب پذيري فني |
|
12-6-1 |
كنترل آسيب پذيري هاي فني |
|
13 |
مديريت رخدادهاي امنيت اطلاعات |
|
13-1 |
گزارش دهي وقايع و ضعف هاي امنيت اطلاعات |
|
13-1-1 |
گزارش دهي وقايع امنيت اطلاعات |
|
13-1-2 |
گزارش دهي ضعف هاي امنيتي |
|
13-2 |
مديريت رخدادها و بهبودهاي امنيت اطلاعات |
|
13-2-1 |
مسئوليت ها و روش هاي اجرايي |
|
13-2-2 |
يادگيري از رخدادهاي امنيت اطلاعات |
|
13-2-3 |
گردآوري شواهد |
|
14 |
مديريت استمرار كسب و كار |
|
14-1 |
جنبه هاي امنيت اطلاعات مديريت استمرار كسب و كار |
|
14-1-1 |
لحاظ كردن امنيت اطلاعات در فرآيند مديريت استمرار كسب و كار |
|
14-1-2 |
استمرار كسب و كار و ارزيابي ريسك |
|
14-1-3 |
ايجاد و پياده سازي طرح هاي استمرار دربرگيرنده امنيت اطلاعات |
|
14-1-4 |
چارچوب طرح ريزي استمرار كسب و كار |
|
14-1-5 |
حفظ و نگهداري آزمون و ارزيابي مجدد طرح هاي استمرار كسب و كار |
|
15 |
انطباق |
|
15-1 |
انطباق با الزام هاي قانوني |
|
15-1-1 |
شناسايي قوانين قابل اجرا |
|
15-1-2 |
حقوق مالكيت فكري |
|
15-1-3 |
حفاظت از سوابق سازماني |
|
15-1-4 |
حفاظت از داده ها و حريم خصوصي افراد |
|
15-1-5 |
پيشگيري از استفاده نابجا از امكانات پردازش اطلاعات |
|
15-1-6 |
مقررات كنترل هاي رمزنگاري |
|
15-2 |
انطباق با خط مشي ها و استانداردهاي امنيتي |
|
15-2-2 |
بررسي انطباق فني |
|
15-3 |
ملاحظه هاي مميزي سيستم هاي اطلاعاتي |
|
15-3-1 |
كنترل هاي مميزي سيستم هاي اطلاعاتي |
|
15-3-2 |
حفاظت از ابزارهاي مميزي سيستم هاي اطلاعاتي |
|
پيوست الف |
اصطلاح هاي فعلي بيان شرط |
|
پيوست ب |
اصول سازمان همكاري و توسعه اقتصادي و استاندارد ملي ايران به شماره 27001 |
|
پيوست پ |
اصطلاح هاي دسته بندي شده |
|