| قبل از هر چیز باید ذکر شود که این مقاله تنها به عنوان یک مرجع و مقدمه برای مطالعات تکمیلی آورده شده و با ارائه استاندارد ها و مستندات شما را به سوی دنیایی از داده های حوزه امنیت رهنمون می سازد. اما این مختصر و استانداردهای پیوست، می تواند دید کاملی به افرادی که نیاز به آشنایی با این مقوله دارند، بدهد.در سال ۱۹۹۵ اولین استاندارد مدیریت امنیت داده بوجود آمد. بر این اساس دیدگاه اصولی نسبت به امنیت در فضای تبادل اطلاعات شکل گرفت و این دیدگاه سازمانها را به داشتن چرخه ای متشکل از طراحی، پیاده سازی، ارزیابی و اصلاح ملزم می نمود.با توجه به این دیدگاه هر سازمان باید موارد زیر را پیاده سازی کند: الف- تهيه طرحها و برنامههاى امنيتى موردنياز سازمان ب- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاى تبادل اطلاعات سازمان ج- اجراى طرحها و برنامههاى امنيتى سازمان د- تعمیر، نگهداری، بازنگری و ارتقای سیستماز آنجا که تامین امنیت در سیستمهای درحال رشد امروزی با گسترش دانش و امکانات امری مطلق نمی تواند باشد و هر شرکت و سازمانی هم برای تامین امنیت داده هایش نیاز به یک الگوریتم ساختیافته دارد، پس سازمانهای معتبر جهانی استانداردهایی را برای تامین امنیت داده ها و همچنین فضای ارتباطی تبادل اطلاعات، تعریف کردند.سيستم مديريت امنيت اطلاعات (ISMS) يا Information Security Management System سيستمي براي پياده سازي کنترل هاي امنيتي مي باشد که با برقراري زيرساخت هاي مورد نياز، ايمني اطلاعات را تضمين مي نمايد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.استانداردهای ارائه شده در این زمینه از موسسه ها و سازمانهای معتبر در سه طرح عمده معرفی شده است که این استاندارد ها عبارتند از:۱- استاندارد BS۷۷۹۹ موسسه استاندارد انگليس که خود از ۲ بخش تشکیل شده است:BS۷۷۹۹ حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي کند.الف- استاندارد ISO/IEC ۲۷۰۰۲استاندارد BS۷۷۹۹ داراي ۱۰ گروهکنترلي مي باشد که هرگروه شامل چندين کنترل زيرمجموعه است بنابراين در کل ۱۲۷ کنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت يا سازمان پتانسيل پياده سازي کنترل هاي مذکور را خواهد داشت. اين ده گروه کنترلي عبارتند از:۱- تدوین سياستهاي امنيتي۲- تامین امنيت سازمان۳- کنترل و طبقه بندي دارايي ها۴- امنيت فردي۵- امنيت فيزيکي و پیرامونی۶- مديريت ارتباطات۷- کنترل دسترسي ها۸- روشها و روالهاي نگهداري و بهبود اطلاعات۹- مديريت تداوم کار سازمان۱۰- سازگاري با موارد قانوني و پاسخگویی به نیازهای امنیتیاین استاندارد از سال ۲۰۰۰ به نام استاندارد ISO/IEC ۱۷۷۹۹ از موسسه بينالمللي استاندارد شناخته شده است که خود یکی از طرحهای عمده می باشد که بالا مطرح گردید.ب- استاندارد ISO/IEC ۲۷۰۰۱:۲۰۰۵این استاندارد شامل ۴ مرحله PDCA به معني Plan (مرحله تاسيس و طراحي)، Do (مرحله پياده سازي و عملي کردن)، Check (مرحله نظارت و مرور) و Act (مرحله بهبود بخشيدن و اصلاح) است.۲- گزارش فني ISO/IEC TR ۱۳۳۳۵ موسسه بينالمللي استاندارد که اين گزارش فني در فاصله سالهاي ۱۹۹۶ تا ۲۰۰۱ در قالب ۵ بخش مستقل توسط موسسه بين المللي استاندارد منتشر شد.اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS۷۷۹۹ و ISO/IEC ۱۷۷۹۹ مي باشد و شامل مراحل زیر است:۱) تعيين اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان۲) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان ۳) انتخاب حفاظ ها و ارائه طرح امنيت۴) پيادهسازي طرح امنيت۵) پشتيباني امنيت فضاي تبادل اطلاعات سازمانمستندات ISMS اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه طرح امنيت فضاي تبادل اطلاعات دستگاه طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه برنامه آگاهي رساني امنيتي به پرسنل دستگاه برنامه آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاهاجزاء تشکيلات امنيتتشکيلات امنيت شبکه، متشکل از سه جزء اصلی به شرح زير می باشد: در سطح سياستگذاري: کميته راهبری امنيت فضاي تبادل اطلاعات دستگاه در سطح مديريت اجرائي: مدير امنيت فضاي تبادل اطلاعات دستگاه در سطح فني: واحد پشتيبانی امنيت فضاي تبادل اطلاعات دستگاهنحوه پیاده سازی ISMS در سازمانهاسازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند. شرکت های ارائه دهنده این خدمات با شرکت های خارجی که در زمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.مشکلات موجود در زمینه پیاده سازی ISMS۱- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل از خرید تجهیزات امنیتی توصیه می گردد.وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.۴- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.۵- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات) انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکر کرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان و در هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.مزایای استفاده از ISMSاستاندارد ISO۲۷۰۰۱ راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي كنترل های مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرورها بلكه كليه موارد حتي نگهبان سازمان يا شركت را در نظر خواهد گرفت.استاندارد ISO۲۷۰۰۱ قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فواید پياده سازي اين استاندارد اشاره شده است: اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات ایجاد اطمینان نزد مشتریان و شركای تجاری امكان رقابت بهتر با سایر شركت ها ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازیدبه وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوط Leased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواع Firewall و IDS ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد .براي داشتن سازماني با برنامه و ايده آل، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد.مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS ايجاد و تعريف سياست ها: در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت. تعيين محدوده عملياتي: يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده وScope صورت مي پذيرScope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيينScope و الويت براي پياده سازي استاندارد امنيت اطلاعات درScope خواهد بود. پس از پياده سازي و اجراي كنترل هايISO۲۷۰۰۱ و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد. برآورد دارايي ها و طبقه بندي آنها: براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد. ارزيابي مخاطرات: با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد. مديريت مخاطرات: مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد. انتخاب كنترلهای مناسب:استانداردISO۲۷۰۰۱ داراي ۱۰ گروه كنترلي مي باشد كه هر گروه شامل چندين كنترل زيرمجموعه است بنابراين در كل ۱۲۷ كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.اين ده گروه كنترلي عبارتند از :۱- سياستهاي امنيتي۲- امنيت سازمان۳- كنترل و طبقه بندي دارايي ها۴- امنيت فردي۵- امنيت فيزيكي ۶- مديريت ارتباط ها۷- كنترل دسترسي ها۸- روشها و روالهاي نگهداري و بهبود اطلاعات۹- مديريت تداوم كار سازمان۱۰-سازگاري با موارد قانوني تعيين قابليت اجرا:جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خود را براي اخذ استاندارد ISO۲۷۰۰۱ آماده خواهيد ساخت.نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استانداردISO۲۷۰۰۱ می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعاتمتن زير يك تست سريع و آموزنده می باشد كه به برخی از سوالات شما در زمينه امنيت اطلاعات پاسخ می دهد. همانطور كه خواهيد ديد به صورت پرسش و پاسخ بيان شده است. باب امنيت اطلاعات اغلب پيچيده می باشد. بر همين اساس اين مبحث به برخی از سوالاتی كه ممكن است برای شما ايجاد شود، پاسخ داده است و پيشنهاداتی را برای آن ارائه داده است تا به سادگی قبول كنيد كه سيستم های شما نيز ممكن است در معرض خطر قرار گيرد.۱- اگر امنيت اطلاعات را افزايش دهيم، كارايی كاهش پيدا می كند. درست يا غلط؟درست - امنيت اطلاعات هزينه مربوط به خودش را دارد. افزايش امنيت اطلاعات ممكن است به روالهای موثر اضافی از جمله (تكنولوژی) و (سرمايه گذاری) نياز داشته باشد. افزايش امنيت اطلاعات ممكن است پيشرفت جريان كار را با كندی مواجهه كند و اين امر ممكن است در كارايی افراد و شبكه شما نمود پيدا كند. امنيت اطلاعات ممكن است به معنی قفل كردن ايستگاهای كاری و محدود كردن دسترسی به اتاقهای كامپيوتر و سرور شما باشد. هر سازمانی بايد هنگامی كه به مقوله امنيت اطلاعات می پردازد به صورت انديشمندانه ای بين خطرات (Risks) و كارآيی توازن برقرار كند.۲- حملاتي كه توسط نفوذگران خارجی انجام می گيرد نسبت به حملات كارمندان داخلی هزينه برتر و خسارت بارتر می باشد. درست يا غلط؟غلط - حملات كارمندان داخلی نوعا بسيار خسارت بارتر از حملات خارجی گزارش شده است. بر طبق آمارهای انستيتو امنيت كامپيوتر (Computer Security Institute) ميانگين حملات خارجی ۵۷۰۰۰ دلار و ميانگين هزينه حملات داخلي ۲۷۰۰۰۰۰ دلار برآورد شده است. كارمندان داخلی، اطلاعات محرمانه بيشتری درباره سيستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعاليت هاي ديده بانی (Monitoring) را نام برد.۳- پيكربندي يك ديواره آتش (Firewall) به صورت كامل ما را در مقابل حملات خارجی ايمن می كند. درست يا غلط؟غلط - آمارهای انستيو امنيت رایانه نشان می دهد كه حجم قابل توجهی از شركتهايی كه از ديواره آتش استفاده كرده اند، هنوز از دست نفوذگران در امان نمانده اند. اولين كاركرد ديواره آتش بستن پورتهای مشخص می باشد به همين دليل در بعضی از مشاغل نياز است كه بعضی از پورتها باز باشد. هر پورت باز می تواند يك خطری را برای سازمان ايجاد كند و يك معبر برای شبكه شما باشد. ترافيكی كه از ميان يك پورت می گذرد را بايد هميشه به صورت سختگيرانه ای ديده بانی كرد تا تمامی تلاشهايی كه منجر به نفوذ در شبكه می شود شناسايی و گزارش شود. يك ديواره آتش به تنهايی نمی تواند يك راه حل جامع باشد و بايد از آن به همراه تكنولوژي های (IDS (Intrusion Detection System و روشهای تركيبی استفاده كرد.۴- اگر ديواره آتش من به صورت مناسبی پيكر بندی شود ديگر نيازی به ديده بانی بيشتر ترافيك شبكه نمی باشد. درست يا غلط؟غلط - هميشه نفوذگران خبره می توانند يك ديواره آتش را در هم شكنند و به آن نفوذ كنند. به همين دليل ديده بانی كليدی براي هر برنامه امنيت اطلاعات می باشد. فراموش نكنيد كه ديواره آتش نيز ممكن است هك شود و IDS ها راهی می باشند برای اينكه بدانيد چه سيستم هايی در شرف هك شدن می باشند.۵- ديواره های آتش بايد به گونه ای پيكربندی شوند كه علاوه بر ترافيك ورودی به شبكه، ترافيك های خروجی را نيز كنترل كنند. درست يا غلط؟درست - بسياری از سازمانها توجه زيادی به محدود كردن ترافيك ورودی خود دارند، اما در مقايسه توجه كمتری در مسدود كردن ترافيك خروجی از شبكه را دارند. خطرات زيادی ممكن است در درون سازمان وجود داشته باشد. يك كارمند ناراضی يا يك نفوذگر كه شبكه شما را در دست گرفته است، ممكن است كه بخواهد اطلاعات حساس و محرمانه شما را برای شركت رقيب بفرستد.۶- امنيت اطلاعات به عنوان يك مبحث تكنولوژيكی مطرح است. درست يا غلط؟غلط - امنيت اطلاعات يك پی آمد تجاري-فرهنگی می باشد. يك استراتژی جامع امنيت طلاعات بايد شامل سه عنصر باشد: روالها و سياستهای اداری، كنترل دسترسی های فيزيكی، كنترل دسترسی های تكنيكی.اين عناصر اگر به صورت مناسبی اجرا شود، مجموعا يك فرهنگ امنيتی ايجاد می كند. بيشتر متخصصين امنيتی معتقدند كه تكنولوژيهای امنيتی فقط كمتر از ۲۵ درصد مجموعه امنيت را شامل می شوند. حال آنكه در ميان درصد باقيمانده آنچه كه بيشتر از همه نمود دارد، (افراد) می باشند. (كاربر انتهايی) افراد يكی از ضعيف ترين حلقه ها، در هر برنامه امنيت اطلاعات می باشند.۷- هرگاه كه كارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنيتی از بين می روند. درست يا غلط؟غلط - به طور واضح غلط است. برای شهادت غلط بودن اين موضوع می توان به شركت Meltdown اشاره كرد كه لشكری از كارمندان ناراضی اما آشنا به سرقتهای كامپيوتری برای خود ايجاد كرده بود. بر طبق گفته های FBI حجم فعاليتهای خرابكارانه از كارمندان داخلی افزايش يافته است. همين امر سازمانها را با خطرات جدی در آينده مواجهه خواهد كرد.۸- نرم افزارهای بدون كسب مجوز (Unauthorized Software) يكی از عمومی ترين رخنه های امنيتی كاربران داخلی می باشد. درست يا غلط؟درست - رخنه ها (Breaches) می تواند بدون ضرر به نظر بيايد، مانند Screen Saver های دريافت شده از اينترنت يا بازی ها و ... نتيجه اين برنامه ها، انتقال ويروس ها، تروجانها و ... می باشد. اگر چه رخنه ها می تواند خطرناكتر از اين باشد. ايجاد يا نصب يك برنامه كنترل از راه دور كه می تواند يك در پشتی (Backdoor) قابل سوءاستفاده ای را در شبكه ايجاد كند كه به وسيله ديواره آتش نيز محافظت نمی شود. بر طبق تحقيقاتی كه توسط ICSA.net و Global Integrity انجام شده است بيش از ۷۸ درصد گزارش ها مربوط به ايجاد يك رخنه در نرم افزار دريافتی از افراد يا سايتهای ناشناخته است.۹- خسارتهای ناشی از سايتهای فقط اطلاعاتی كمتر از سايتهای تجاری می باشد. درست يا غلط؟درست - درست است كه خطرهای مالی در سايتهای فقط اطلاعاتی كمتر از سايتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بيشتر تهديد می كند. سازمانها نيازمند اين می باشند كه مداوم سايت های اطلاع رسانی را بازبينی كنند تا به تهديد های احتمالی شبكه های خود خيلی سريع پی ببرند و در مقابل آنها واكنش نشان دهند تا از خسارتهايی كه ممكن است شهرت آنها را بر باد دهد جلوگيری كنند.۱۰- رمزهای عبور می تواند جلو كسانی كه دسترسی فيزيكی به شبكه را دارند، بگيرد. درست يا غلط؟غلط - كلمات رمز نوعا خيلی كم می توانند جلو كارمندان داخلی و خبره را بگيرند. بسياری از سازمانها تمامی تلاش خود را روی امور تكنيكی امنيت اطلاعات صرف می كنند و در برخورد با مسائل اداری و كنترل دسترسی فيزيكی لازم برای ايجاد يك محافظت مناسب، با شكست مواجه می شوند.۱۱- يك نام كاربری و يك رمز عبور می تواند شبكه ما را از ارتباط با يك شبكه غيردوستانه (Unfriendly) محافظت كند. درست يا غلط؟غلط - يك ارتباط فيزيكی و يك آدرس شبكه همه آنچيزی می باشد كه يك نفوذگر براي نفوذ در شبكه نياز دارد. با يك ارتباط می توان تمامی ترافيك شبكه را جذب كرد (Sniffing). مهاجم قادر است با استفاده از تكنيكهای Sniffing كل ترافيك حساس شبكه، شامل تركيباتی از نام كاربري/رمز عبور را جذب كند و در حملات بعدی از آنها استفاده كند.۱۲- هيچ كسی در سازمان نبايد به رمزهای عبور دسترسی داشته باشد به جز مدير امنيت شبكه. درست يا غلط؟غلط - هيچ كس در سازمان نبايد به كلمات رمز كاربران دسترسی داشته باشد، حتی مدير امنيتی شبكه! رمزهای عبور بايد به صورت رمز شده (Encrypted) ذخيره شوند. براي كاربران جديد ابتدا با يك رمز عبور ساخته شده اجازه ورود به شبكه داده می شود و پس از آن بايد روالی قرار داد تا كاربران بتوانند در هر زمانی كلمات رمز خود را تغيير دهند. همچنين بايد سياستهايی را برای مواردی كه كاربران رمزهای عبور خود را فراموش كرده اند در نظر گرفت.۱۳- رمزگذاری بايد برای ترافيك های داخلی شبكه به خوبی ترافيك خروجی شبكه انجام گيرد. درست يا غلط؟درست - به عنوان يك نكته بايد گفت كه فرآيند Sniffing (جذب داده هايی كه روی شبكه رد و بدل می شود) به عنوان يك خطر امنيتی داخلی و خارجی مطرح می شود.۱۴- امنيت داده ها در طول انتقال آنها هدف رمزگذاری است. درست يا غلط؟غلط - رمزگذاری همچنين می تواند جامعيت (Integrity)، تصديق (Authentication) و عدم انكار (nonrepudiation) داده ها را نيز پشتيبانی كند. |  |
↧
مديريت امنيت شبکه در ISMS
↧