ارسال شده در شنبه 21 آبان 1390برچسب:, - 22:14
1- مقدمه
اين گزارش با عنوان ” امنيت در مراكز داده” و در راستاي انجام فاز يك پروژه “مطالعات تطبيقي و مدل مفهومی اينترنت ملي و تحقيق، بررسی و طراحی الگو برای مراکز داده اينترنتی در کشور در سه تيپ A، B و C ” تهيه و ارائه گشته است.
امنيت از ديرباز يكي از اجزاي اصلي زيرساختهاي فناوري اطلاعات به شمار ميرفته است. تهديدهاي امنيتي تنها منحصر به تهديدات الكترونيكي نيستند، بلكه هر شبكه بايد از نظر فيزيكي نيز ايمن گردد. خطرات الكترونيكي غالباً شامل تهديدات هكرها و نفوذگران خارجي و داخلي در شبكهها مي باشند. در حالي كه امنيت فيزيكي شامل كنترل ورود و خروج پرسنل به سايتهاي شبكه و همچنين روالهاي سازماني نيز هست. براي پياده سازي امنيت در حوزههاي فوق، علاوه بر ايمنسازي سختافزاري شبكه، نياز به تدوين سياستهاي امنيتي در حوزه فناوري اطلاعات در يك سازمان نيز مي باشد. در اين راستا لازم است از روالهاي استانداردي استفاده شود كه به واسطه آنها بتوان ساختار يك سازمان را براي پياده سازي فناوري اطلاعات ايمن نمود.
روند ارائه مطالب در
اين گزارش بدين صورت است كه ابتدا در بخش دوم به علل ايجاد امنيت در مركز داده پرداخته ميشود. در بخش سوم ISMS، كه اولين استاندارد مديريت امنيت اطلاعات ميباشد معرفي گشته و هر يك از استانداردهاي آن به طور كلي مورد بررسي قرار ميگيرد. در بخش چهارم انواع تهديدات موجود در شبك DOS، DDOS و كرمهاي اينترنتي مورد بررسي قرار ميگيرد. در بخش پنجم به بررسي روشهاي ايجاد امنيت در شبكه پرداخته ميشود و در نهايت در بخش ششم امنيت فيزيكي مركز داده مورد بررسي قرار ميگيرد.
1- علل ايجاد امنيت در مركز داده
مقوله امنيت اطلاعات يك از حياتي ترين اجزاي چرخه رو به رشد فناوري اطلاعات است. وقتي كه يك مجموعه تجاري يا اداري خصوصي و يا دولتي مدلها و سيستم هاي نوين مديريتي و اطلاعاتي را ميپذيرد، خود به خود حجم زيادي از كارمندان، شركاي تجاري، اسپانسرهاي مالي و مشتركين و مشتريان گسترده را در سطوح مختلف در مجموعه خود پذيرا شده است. هر يك از اين گروهها از يك سو به سهم خود در توليد اطلاعات بعضأ حياتي نقش عمدهاي دارند و از سوي ديگر ميزان و سطح دسترسي آنها به مجموعه داده هاي توليد شده خود مقوله قابل توجهي خواهد بود. به همان اندازه كه فرصتهاي جديد و تجارت هاي گوناگون براي توسعه بيشتر توسط اين سازمانها ايجاد ميشوند، ريسكهاي ايجاد شده نيز افزايش مييابند. مهمترين آنها دسترسي خارج از ضابطه افراد و گروهها به داده هاي توليد شده است. به موازات رشد بسيار سريع توليد اطلاعات خود به خود انواع تروريستهاي فضاي مجازي و سارقان اطلاعات (هكرها) نيز رشد ميكنند.
لذا ايجاد يك نظارت منسجم و دقيق براي ايجاد ايمني بالاي اطلاعات تبديل به يك نياز بسيار گسترده شده است. سازمانها و مراكز تجاري مخصوصا مراكز نگهداري داده ها اين نياز را بخوبي درك كرده اند و سعي در رفع نيازهاي امنيتي خود دارند.
مراكز داده به عنوان مجموعهاي بزرگ از انواع اطلاعات ، نرمافزارها و داراييهاي اطلاعاتي اماج بيشترين حملات الكترونيكي از نظر تعداد و حجم قرار دارند. تعداد حملات گزارش شده به مراكز داده هر ساله رشدي نمايي داشته است[1]. تجهيزاتي نظير سرويس دهندهها و مسيريابها به عنوان نقاط سوئيچي مراكز داده آماج بيشترين حملات قراردارند و نسبت به ساير تجهيزات نياز به مراقبت بيشتر و دقيقتري دارند.
حملاتي كه عيله Server Farm ها صورت ميگيرد ميتواند منجر به از بين رفتن نرم افزارهاي كاربردي نظير نرمافزارهاي تجارت الكترونيك يا سرقت اطلاعات محرمانه و اختصاصي شود. هم شبكههاي محلي و هم شبكه هاي ذخيره سازي بايد در مقابل حملاتي از اين دست كه احتمال وقوع آن نياز بسيار زياد است محافظت گردند.
هكرها از ابزارهاي گوناگوني براي ورود به شبكه ها و نفوذ در سرويس دهنده ها و منابع شبكه استفاده ميكنند. كه متداولترين نمونه هاي آن در قسمت هاي بعدي بررسي خواهند شد.
بدليل اينكه بسياري از تهديد ها و حملاتي كه از طريق شبكه هاي محلي انجام ميشود شناخته شده هستند و ميتوان به سرعت از آنها جلوگيري كرد و يا منبع آنها را شناسايي نمود، تجهيزاتي نظير Firewall ها عمدتا به عنوان سطوح اوليه امنيت شبكه در مقابل كاربران خارجي كه تلاش ميكنند از طريق شبكه جهاني Internet به Server Farm ها نفوذ كنند قرار ميگيرند. اين تجهيزات نيز در بخش هاي بعدي به تفكيك مورد بررسي قرار ميگيرند.
در هر حال براي اينكه يك مركز داده كاملأ ايمن باشد توصيه شده است كه يك سياست دقيق كه بتواند حداكثر توانمندي را با استفاده از انواع تجهيزات مانند Firewall و IDS وSSL Offloader و ... ايجاد نمايد در يك مركز داده پياده سازي شود.
در عين حال بديهي است كه هيچ گاه ضريب امنيت يك مجموعه 100 درصد نخواهد شد و همواره روشهايي نظير مانيتورينگ منظم نيز بايد به مجموعه سياست ها و تجهيزات امنيتي افزوده شود.
2- ISMS و استانداردهاي آن
با ارائه اولين استاندارد مديريت امنيت اطلاعات(ISMS)[2] در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تأمين امنيت فضاي تبادل اطلاعات سازمانها، دفعتأ مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:
- تهيه طرحها و برنامههاي امنيتي موردنياز سازمان
- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
- اجراي طرحها و برنامههاي امنيتي سازمان
در حال حاضر، مجموعهاي از استانداردهاي مديريتي و فني ايمنسازي فضاي تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مديريتي BS7799 مؤسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 مؤسسه بينالمللي استاندارد از برجستهترين استانداردها و راهنماييهاي فني در اين زمينه محسوب ميگردند.
در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:
- تعيين مراحل ايمنسازي و نحوه شکلگيري چرخه امنيت اطلاعات و ارتباطات سازمان
- جرئيات مراحل ايمنسازي و تکنيکهاي فني مورد استفاده در هر مرحله
- ليست و محتواي طرحها و برنامههاي امنيتي موردنياز سازمان
- ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تأمين امنيت اطلاعات و ارتباطات سازمان
- کنترلهاي امنيتي موردنياز براي هر يک از سيستمهاي اطلاعاتي و ارتباطي سازمان
2-1- معرفي استانداردهاي ISMS
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
- استاندارد مديريتي BS7799 مؤسسه استاندارد انگليس
- استاندارد مديريتي ISO/IEC 17799 مؤسسه بينالمللي استاندارد
- گزارش فني ISO/IEC TR 13335 مؤسسه بينالمللي استاندارد
2-1-1- استاندارد BS7799 موسسه استاندارد انگليس
منشاء استاندارد British Standard BS7799 به زمان تأسيس مركز Commercial ComputerSecurityCenter و شكلگيري بخش Industry (DTI) UK Department of Trade and در سال 1987برمي گردد. اين مركز به منظور تحقق دو هدف تشكيل گرديد. اول تعريف معيارهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليدشده توسط سازندگان تجهيزات امنيتي، به منظور ارائه تاييديه هاي مربوطه بود و دوم كمك به كاربران براي اين منظور مركز CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت نمود كه به “Users Code of Practice” معروف گرديد. چندي بعد، اجرايي بودن اين كدها از ديدگاه كاربر، توسط مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران كه به طور كلي از صاحبان صنايع در انگلستان بودند مورد بررسي قرار گرفت. اولين نسخه اين استاندارد به عنوان مستندات راهبري PD 0003 در انگلستان منتشر گرديد. در سال 1995 اين استاندارد با عنوان BS7799 منشر گرديد و قسمت دوم آن نيز در فوريه سال 1998 به آن اضافه گرديد. اين قسمت مفهوم سيستم مديريت امنيت اطلاعات (Information Security Management System (ISMS را بهوجود آورد.
اين سيستم ISMS به مديران اين امكان را مي دهد تا بتوانند امنيت سيستم هاي خود را با حداقل نمودن ريسكهاي تجاري كنترل نمايند. نسخه بازنگري شده اين استاندارد در سال 1995 به عنوان استاندارد ISO ثبت گرديد. در مجمعي كه رأي موافق به ثبت اين استاندارد به عنوان استاندارد ISO داده بودند، كشورهايي نظير استراليا و نيوزلند با اندكي تغيير، آن را در كشور خود با عنوان AS/NZS4444 منتشر نمودند. طي سالهاي 1999 تا 2002 بازنگريهاي زيادي روي اين استاندارد صورت پذيرفت. در سال 2000 با افزودن الحاقيههايي به استاندارد BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود، اين استاندارد تحتعنوان استاندارد ISO/IEC17799 به ثبت رسيد.
نسخه جديد و قسمت دوم اين استاندارد در سال 2002 به منظور ايجاد هماهنگي بين اين استاندارد مديريتي و ساير استانداردهاي مديريتي نظير 9001 ISO و 14001 ISO تدوين گرديد. اين قسمت براي ارزيابي ميزان مؤثربودن سيستم ISMS در يك سازمان مدل (Plan-Do-Check-Act (PDCA را ارائه مي نمايد.
- نحوه عملكرد استاندارد BS 7799 : در راستاي تحقق دومين هدف پيدايش اين استاندارد كه به آن اشاره شد، يعني كمك به كاربران سرفصلهايي براي نحوه پياده سازي امنيت در يك سازمان كه در حقيقت يك كاربر سيستم هاي امنيتي مي باشد، تعيين شده است كه عبارتند از:
- تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت
- جزييات مراحل ايمن سازي و تكنيكهاي فني مورد استفاده در هر مرحله
- ليست و محتواي طرح ها و برنامه هاي امنيت اطلاعات مورد نياز سازمان
- ضرورت و جزييات ايجاد تشكيلات سياستگذاري، اجرايي و فني تأمين امنيت
- كنترلهاي امنيتي مورد نياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي
- تعريف سياستهاي امنيت اطلاعات
- تعريف قلمرو سيستم مديريت امنيت اطلاعات و مرزبندي آن متناسب با نوع نيازهاي سازمان
- انجام و پذيرش برآورد مخاطرات، متناسب با نيازهاي سازمان
- پيش بيني زمينه ها و نوع مخاطرات بر اساس سياستهاي امنيتي تدوين شده
- انتخاب هدفهاي كنترل و كنترلهاي مناسب كه قابل توجيه باشند، از ليست كنترلهاي همه جانبه
- تدوين دستورالعمل هاي عملياتي
- مديريت امنيت شبكه: به منظور تعيين اهداف امنيت، ابتدا بايد سرمايههاي مرتبط با اطلاعات و ارتباطات سازمان، شناسايي شده و سپس اهداف تأمين امنيت براي هريك از سرمايهها، مشخص شود.سرمايههاي مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطلاعات، ارتباطات، كاربران.
اهداف امنيتي سازمانها بايد به صورت كوتاهمدت و ميانمدت تعيين گردد تا امكان تغيير آنها متناسب با تغييرات تكنولوژيها و استانداردهاي امنيتي وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پيادهسازي امنيت در يك سازمان عبارتند از:
- جلوگيري از حملات و دسترسيهاي غيرمجاز عليه سرمايه هاي شبكه
- مهار خسارتهاي ناشي از ناامني موجود در شبكه
- كاهش رخنه پذيري
اهداف ميانمدت نيز عمدتاً عبارتند از:
- تأمين صحت عملكرد، قابليت دسترسي براي نرمافزارها و سختافزارها و محافظت فيزيكي صرفاً براي سخت افزارها
- تأمين محرمانگي، صحت و قابليت دسترسي براي ارتباطات و اطلاعات متناسب با طبقه بندي آنها از حيث محرمانگي و حساسيت
- تأمين قابليت تشخيص هويت، حدود اختيارات و پاسخگويي، حريم خصوصي و آگاهيرساني امنيتي براي كاربران شبكه، متناسب با طبقهبندي اطلاعات قابل دسترس و نوع كاربران
- تهديدهاي امنيتي: تهديدهاي بالقوه براي امنيت شبكههاي كامپيوتري به صورت عمده عبارتند از:
- فاش شدن غيرمجاز اطلاعات در نتيجه استراقسمع دادهها يا پيامهاي در حال مبادله روي شبكه
- قطع ارتباط و اختلال در شبكه به واسطه يك اقدام خرابكارانه
- تغيير و دستكاري غير مجاز اطلاعات يا يك پيغام ارسالشده براي جلوگيري از اين صدمات بايد سرويسهاي امنيتي زير در شبكههاي كامپيوتري ارائه شود و زماني كه يكي از سرويسهاي امنيتي نقص شود بايستي تمامي تدابير امنيتي لازم براي كشف و جلوگيري رخنه در نظر گرفته شود:
- محرمانه ماندن اطلاعات
- احراز هويت فرستنده پيغام
- سلامت دادهها در طي انتقال يا نگهداري
- كنترل دسترسي و امكان منع افرادي كه براي دسترسي به شبكه قابل اعتماد نمي باشد.
- در دسترس بودن تمام امكانات شبكه براي افراد مجاز و عدم امكان اختلال در دسترسي
- مراحل پياده سازي امنيت: براي پيادهسازي يك سيستم امنيتي مناسب مراحل زير بايستي انجام گردد:
- برآورد نيازهاي امنيتي شبكه : بر اساس نوع شبكه طراحي شده، نوع استفاده از آن و كاربردهاي مختلف آن نيازهاي امنيتي شبكه بايستي بررسي گردد. اين نيازها بر اساس انواع سرويسهايي كه شبكه ارائه ميدهد گسترش مي يابد.
- اتخاد سياستهاي امنيتي لازم : در اين مرحله سياستها و تدابير امنيتي لازم اتخاذ مي شود. اين تدابير براي پاسخ به نيازهايي خواهد بود كه در مرحله قبل براي شبكه برآورد شده است.
- ارائه طرح امنيتي شبكه: بر اساس نيازها و سياستهاي برآورده كننده آنها، طرحي از سياست كلي شبكه ارائه مي شود، بهطوري كه تمامي نيازهاي شبكه برآورده شود و در طرح جامع و مانعي كه تهيه شده است هيچ تداخلي وجود نداشته باشد.
- پياده سازي و تست: در اين مرحله تجهيزات و سيستم هاي لازم براي طرح انتخاب ميشود. تنظيمات كليه سيستمها پس از تجزيه و تحليل كافي استخراج ميشوند. براي تست طرح پياده سازي شده، دسترسيها و امكانات رخنه تستشده و در صورت خطا راهكارهاي پيشگيري بهكار گرفته مي شود.
- مديريت امنيت : اين مرحله كه پس از اتمام پيادهسازي انجام ميشود شامل تمامي مسائل مديريتي امنيت شبكه ميباشد. در اين مرحله روشهاي مقابله با تهاجم با روش جديد بايد بهكار گرفته شود و تغييراتي را كه در اثر گذشت زمان در امنيت شبكه روي ميدهند تحت كنترل گرفته شوند.
- اجراي سيستم امنيتي : به منظور اجراي يك سيستم امنيتي شبكه و ارائه قابليتهاي بروز امنيتي درشبكه، روال هاي زير بايستي توسط سازمان به صورت مداوم در شبكه اعمال شود:
- تعيين سياستهاي امنيتي شبكه : در اين قسمت تمامي فرامين و دستورات امنيتي لازم براي فايروالها و سيستم هاي تشخيص تهاجم توسط ابزارهاي خاص استخراج مي گردد.
- اعمال سياستهاي امنيتي شبكه : دستورات امنيتي تهيهشده براي استفاده در تجهيزات و سرويسهاي ارائه شده براي امنيت در شبكه پياده سازي ميشوند.
- بررسي بلادرنگ وضعيت امنيت شبكه : پس از پيادهسازي سياستهاي امنيتي، با استفاده از سيستم هاي بلادرنگ تهاجم (IDS) و يا سيستمهاي آناليز فايلهاي Log و تشخيص Offline تهاجم، كليه دسترسيهاي غيرمجاز انجام شده به شبكه و عبور از سيستم امنيتي تشخيص دادهشده و در فايلهاي Log خروجي ذخيره ميشوند.
- بازرسي و تست امنيت شبكه : در اين قسمت با استفاده از ابزارهاي امنيتي، كليه پورتها و سرويسهاي شبكه و يا محلهاي رخنه به شبكه بازرسي شده و اطلاعات مربوطه در فايل Log مربوطه قرار ميگيرند. همچنين در اين قسمت با استفاده از يك سري از ابزارها، به تحليل اطلاعات پرداخته ميشود و نتايج حاصل از آنها براي مرحله بعدي نگهداري مي شود.
- بهبود روشهاي امنيت شبكه: به منظور بهبود عملكرد سيستم امنيتي شبكه، از نتايج حاصل از دو قسمت قبل استفاده ميشود و تغييراتي كه از اين بررسيها نتيجه ميشود، در سياستهاي امنيتي شبكه اعمال مي گردد.
- تشكيلات اجرائي امنيت: براي پياده سازي يك سيستم امنيتي پويا، وجود تشكيلات امنيتي متناسب با نيازهاي امنيتي سازمان لازم و ضروري مي باشد. گروههاي كاري لازم براي اينكه امور امنيتي يك شبكه به نحو احسن اداره شود عبارتند از:
- سياست امنيت : وظايف اين قسمت تدوين سياست امنيتي و بازنگري و اصلاح سياست امنيتي در صورت پيشنهاد گروه مديريت امنيتي ميباشد. قسمت سياست امنيتي هماهنگي تشكيل جلسات گروه سياستگذاري امنيتي را از قسمت مديريت امنيتي دريافت كرده و طبق آن عمل مي كند و نتايج حاصله را به مديريت امنيتي تحويل مي دهد.
- مركز هماهنگي واطلاع رساني: مركز هماهنگي تمامي گزارشها را از بخشهاي مختلف جمع آوري كرده و در واقع نقش رابط بين قسمتها را بازي ميكند. اين مركز بيشتر مانند واسط اصلي بين قسمتها و بخش مديريتي عمل مي كند و تغييرات و پيشنهادات گروه مديريتي را به گروههاي كاري منعكس ميكنند. وظايف اين قسمت دريافت اطلاعات و گزارش از گروههاي پائينتر، پردازش و دستهبندي آنها، ثبت اطلاعات، ارسال نتايج به گروه مديريت امنيتي، دريافت تغييرات (تغيير سياست امنيتي) از گروه مديريت امنيتي، ثبت اطلاعات و ارسال آن براي گروههاي پائينتر، تشكيل بانكاطلاعاتي حاوي آسيبپذيريها و پيكربندي امن تجهيزات و سرويسهاي شبكه، نگهداري آمار و گزارش حملات انجام شده و واكنش گروههاي مرتبط و ارائه مشاوره در زمينه خريد تجهيزات، آناليز ريسك و ... مي باشد.
- تشخيص و مقابله باحوادث: وظيفه اين قسمت شناسايي و مقابله با حملات و دسترسيهاي غيرمجاز ميباشد و داراي بخش آمادهسازي به منظور تعيين روند و سياست سازماني جهت شناسايي، تعيين منابع اطلاعاتي جهت شناسايي تهاجم، تهيه بانكاطلاعاتي حاوي الگوهاي حملات شناخته شده ، مديريت مكانيزم هاي ثبت اطلاعات، پشتيباني سيستم و دريافت گزارشات و توصيههاي گروه هماهنگي و اطلاع رساني، بخش كشف تهاجم به منظور نظارت بر فعاليتهاي شبكه، نظارت بر فعاليتهاي سيستم، بازرسي فايلها و دايركتوريها، جستجوي اتصالات غيرقانوني به شبكه، بازرسي منابع فيزيكي و دريافت و پردازش گزارشات كاربران، بخش پاسخگويي به تهاجم به منظور آناليز گزارش، انتقال اطلاعات حادثه و روند آن به بخشهاي لازم، بهكارگيري سريعترين راهكارها جهت قطع حمله، جلوگيري از وقوع دوباره حمله، بازيابي سيستم به حالت عادي و تعيين خسارت و در انتها بخش تحقيقات به منظور شناخت انواع حملات، دريافت گزارش مقابله ناموفق و تشخيص و مقابله با ويروسها ميباشد.
- تشخيص و مقابله با حوادث خاص: اين قسمت با اجزاي آمادهسازي، كشف و پاسخگويي وظايف مقابله با خطرات ناشي از حوادث و پيشگيري از برخي حوادث محتمل را به عهده دارد. اين قسمت گزارشهاي مربوط به مقابله با تهاجم يا ويروس يا حادثه خاص را به قسمت مركز هماهنگي براي ارسال به قسمت مديريتي منتقل ميكند و سياست ها و موارد اضافهشده در برابر حوادث را به عنوان نتيجه دريافت مينمايد.
- بازرسي امنيتي: بخش بازرسي امنيتي وظايف بازرسي تجهيزات امنيتي، بازبيني logها و پيغامها و سيستمهاي پشتيبان و بازرسي شبكه براي ايجاد امنيت در شبكه را برعهده دارد. در اين نوع بازرسيها بايد اجزا و شبكه به صورت خودكار مورد بررسي قرار گيرند.
- نصب و پيكربندي: اين قسمت وظايف پيكربندي امن تجهيزات و سرويسهاي شبكه و نصب و پيكربندي سيستم امنيتي شبكه را به عهده دارد.
- نگهداري و پشتيباني: اين قسمت وظايف محافظت و پشتيباني از كليه تجهيزات و اطلاعات امنيتي، نگهداري و ثبت تجهيزات، گزارش هشدارهاي خودكار، عيبيابي شبكه و ارائه سرويس لازم و آمارگيري شبكه را بهعهده دارد.
جدول 1 بخش هاي مختلف استاندارد BS7799 را نشان مي دهد:
جدول1: بخش هاي اصلي استاندارد BS7799
BS7799 Control Description |
|
A.1 |
Security Policy |
A 1.1 |
Information Security Policy |
A 1.1.1 |
Information Security Policy Document |
A 1.1.2 |
Review and evaluation |
A. 2 |
Organizational Security |
A.2.1 |
Information Security Infrastructure |
A.2.1.1 |
Management Information Security Forum |
A.2.1.2 |
Information Security co-ordination |
A.2.1.3 |
Allocation of information security responsibilities |
A.2.1.4 |
Authorization Process for information processing facilities |
A.2.1.5 |
Specialist information security advice |
A.2.1.6 |
Cooperation between organization |
A.2.1.7 |
Independent Review of information Security |
A.2.2 |
Security of Third Party Access |
A.2.2.1 |
Identification of risks from third party access |
A.2.2.2 |
Security requirements in third party contracts |
A.2.3 |
Outsourcing |
A.2.3.1 |
Security Requirements in outsourcing contracts |
A.3 |
Asset Classification and Control |
A.3.1 |
Accountability for assets |
A.3.1.1 |
Inventory of assets |
A.3.2 |
Information Classification |
A.3.2.1 |
Classification Guidelines |
A.3.2.2 |
Information Labeling and handling |
A.4 |
Personnel Security |
A.4.1 |
Security in job Definition and Resourcing |
A.4.1.1 |
Including security in job responsibities |
A.4.1.2 |
Personnel screening and policy |
A.4.1.3 |
Confidentiality agreements |
A.4.1.4 |
Terms and conditions of employment |
A.4.2 |
User Training |
A.4.2.1 |
Information security education and training |
A.5 |
Physical and Environmental Security |
A.5.1 |
Secure Areas |
A.5.1.1 |
Physical security perimeter |
A.5.1.2 |
Physical entry controls |
A.5.1.3 |
Securing offices، rooms and facilities |
A.5.1.4 |
Working in secure areas |
A.5.1.5 |
Isolated delivery and loading areas |
A.5.2 |
Equipment Security |
A.5.2.1 |
Equipment sitting and protection |
A.5.2.2 |
Power Supplies |
A.5.2.3 |
Cabling security |
A.5.2.4 |
Equipment maintenance |
A.5.2.5 |
Security of equipment off-premises |
A.5.2.6 |
Secure disposal or re-use of equipment |
A.5.3 |
General controls |
A.5.3.1 |
Clear desk and clear screen policy |
A.5.3.2 |
Removal of property |
A.6 |
Communications and Operations Management |
A.6.1 |
Operational Procedures and Responsibilities |
A.6.1.1 |
Documented operating procedures |
A.6.1.2 |
Operational Change Control |
A.6.1.3 |
Incident Management Procedures |
A.6.1.4 |
Segregation of Duties |
A.6.1.5 |
Separation of Development and operational facilities |
A.6.1.6 |
External facilities management |
A.6.2 |
System Planning and Acceptance |
A.6.2.1 |
Capacity Planning |
A.6.2.2 |
System Acceptance |
A.6.3 |
Protection against Malicious Software |
A.6.3.1 |
Control against Malicious Software |
A.6.4 |
Housekeeping |
A.6.4.1 |
Information Backup |
A.6.4.2 |
Operator Logs |
A.6.4.3 |
Fault Logging |
A.6.5 |
Network Management |
A.6.5.1 |
Network Controls |
A.6.6 |
Media Handling and Security |
A.6.6.1 |
Management of removable computer media |
A.6.6.2 |
Disposal of media |
A.6.6.3 |
Information Handling Procedures |
A.6.6.4 |
Security of System Documentation |
A.6.7 |
Exchange of Information and Software |
A.6.7.1 |
Information and Software Exchange Agreements |
A.6.7.2 |
Security of Media in Transit |
A.6.7.3 |
Electronic Commerce Security |
A.6.7.4 |
Security of Electronic Mil |
A.6.7.5 |
Security of Electronic Office Systems |
A.6.7.6 |
Publicly available systems |
A.6.7.7 |
Other forms of Information Exchange |
A.7 |
Access Control |
A.7.1 |
Business Requirement for Access Control |
A.7.1.1 |
Access Control Policy |
A.7.2 |
User Access Management |
A.7.2.1 |
User Registration |
A.7.2.2 |
Privilege Management |
A.7.2.3 |
User Password Management |
A.7.2.4 |
Review of User Access Rights |
A.7.3 |
User Responsibilities |
A.7.3.1 |
Password Use |
A.7.3.2 |
Unattended user equipment |
A.7.4 |
Network Access Control |
A.7.4.1 |
Policy on use of network services |
A.7.4.2 |
Enforced Path |
A.7.4.3 |
User Authentication for External Connections |
A.7.4.4 |
Node Authentication |
A.7.4.5 |
Remote Diagnostic Port Protection |
A.7.4.6 |
Segregation in Networks |
A.7.4.7 |
Network Connection Control |
A.7.4.8 |
Network Routing control |
A.7.4.9 |
Security in Network services |
A.7.5 |
Operation System Access Control |
A.7.5.1 |
Automatic Terminal Identification |
A.7.5.2 |
Terminal Log-on Procedures |
A.7.5.3 |
User Identification and Authentication |
A.7.5.4 |
Password Management System |
A.7.5.5 |
Use of System Utilities |
A.7.5.6 |
Duress Alarms to Safeguard Users |
A.7.5.7 |
Terminal Time-out |
A.7.5.8 |
Limitation of Connection Time |
A.7.6 |
Application Access Control |
A.7.6.1 |
Information Access Restriction |
A.7.6.2 |
Sensitive System Isolation |
|
|
A.7.7 |
Monitoring System Access and Use |
A.7.7.1 |
Event Logging |
A.7.7.2 |
Monitoring System Use |
A.7.7.3 |
Clock Synchronization |
|
|
A.7.8 |
Mobile Computing and Teleworking |
A.7.8.1 |
Mobile Computing |
A.7.8.2 |
Teleworking |
A.8 |
System Development and Maintenance |
A.8.1 |
Security Requirements of Systems |
A.8.1.1 |
Security Requirements Analysis and Specification |
A.8.2 |
Security in Application Systems |
A.8.2.1 |
Input data validation |
A.8.2.2 |
Control of Internal Processing |
A.8.2.3 |
Message Authentication |
A.8.2.4 |
Output Data Validation |
A.8.3 |
Cryptographic controls |
A.8.3.1 |
Policy on the use of cryptographic controls |
A.8.3.2 |
Encryption |
A.8.3.3 |
Digital Signatures |
A.8.3.4 |
Non- repudiation Services |
A.8.3.5 |
Key Management- |
A.8.4 |
Security of system files |
A.8.4.1 |
Control of Operational Software |
A.8.4.2 |
Protection of System Test Data |
A.8.4.3 |
Access Control to Program Source Library |
A.8.5 |
Security in Development and Support Processes |
A.8.5.1 |
Change control Procedures |
A.8.5.2 |
نظرات شما عزیزان:
نويسنده
علی
|