استاندارد BS 7799-2
یک استاندارد خاص طراحی شده برای یک سیستم مدیریت امنیت اطلاعات یا ISMS (Information Security Management Systems ) می باشد.ISMS جهت مانیتورینگ ، کنترل امنیت و کاهش درجه خطرپذیری خطا در امنیت اطلاعات مورد استفاده قرار می گیرد. سری استاندارد مدیریتی BS 7799-2 توضیحات لازم در مورد چگونگی به کارگیری امنیت اطلاعات و بر اساس عملکرد استاندارد ISO/IEC 17799 ارائه می دهد و همچنین چگونگی ایجاد ، سپس هدایت و نهایتاً مدیریت یکISMS را بیان مینماید. جزئیات یکISMS در چرخه چهار مرحله حیاتیPlan - Do - Check - Act خلاصه میشود که بترتیب به آنها خواهیم پرداخت.
Plan
این فاز به زیر شاخه هایScope , Policy , Risk Assessment وRisk Treatment تقسیم می شود .
Scope : در این بخش هدف ISMS تعریف و تدوین می گردد. تعیین اهداف بستگی تام به نیاز شبکه ما دارد که می تواند مربوط به یک بخش خاص از سایتهای سازمان بوده و یا مربوط به ارائه یک سرویس خاص مثلE-Banking باشد.
Policy : در این بخش به سؤالات مهمی مانند :
- چرا امنیت اطلاعات برای ما مهم است ؟
- آیا مقابله با ویروس خاصی مد نظر است ؟
- آیا تنها در صدد تهیه و جمع آوری یک سری اطلاعات مانندConfidentiality ،Integrity وAvailability می باشیم؟
- چه سطحی از خطا برای ما قابل قبول است؟
- آیا تنظیمات خاصی مد نظر می باشد؟
- محدودیت خاصی وجود دارد؟
- و ......
تمام پاسخهای جمع آوری شده را باید در بخشPolicy جمع آوری کرده و مورد پردازش قرار دهیم.
Risk Assessment : در این بخش با توجه به تدوین Policy ، اکنون ما می دانیم که چه چیزی را می بایست مورد محافظت قرار داده و سطح قابل قبول خطا برای ما چقدر خواهد بود. در این بخش خطرهای مهم و جدی را شناسایی کرده و بر آنها اشراف داریم. بنابراین باید یک روش مناسب که برای سازمان ما قابل قبول باشد را انتخاب ، و هدف از ISMS را تعیین نماییم.
Risk Treatment: بعد از کامل نمودن ارزیابی خطا , استاندارد BS 7799-2 از ما می خواهد تا در خصوص مدیریت خطا تصمیم گیری کنیم .
نسخه جدید این استاندارد، یهنیBS 7799-2:2002 در مورد از بین بردن خطا ، استانداردهای زیادی دارد که بر پایه سه سوال اساسی ذیل دسته بندی می شوند :
1 ) آیا خطا را می پذیرید و به توانائی خود برای شناسائی و از بین بردن خطا اعتماد کامل دارید ؟
2 ) از پذیرش خطا اجتناب می کنید و محصولات خود را بیمه می کنید ؟
3 ) آیا می خواهید کنترل مناسبی روی شبکه داشته باشید ؟
Do
در این فاز ما ملزم به کنترل خطا می باشیم. در این مرحله ما به یک فرایند نیازمندیم تا خطا را شناسائی و به ما اعلام کند. همچنین نیازمند به آموزش پرسنل در خصوص مسائل امنیتی خواهیم بود تا پس از آموزشهای مربوطه، به عنوان متخصصین امنیتی منحصراً بتوانند امنیت شبکه را بعهده بگیرند .
Check
در فازCheck باید از کنترل شبکه در مواقع لازم مطمئن شویم و هر گونه مشاهده ای را آرشیو کنیم. استانداردها دامنه متنوعی از فعالیتهای قابل بررسی را مشخص کرده اند که در ذیل به آنها اشاره می شود:
Intrusion Detection
Incident Handling
Routine Checks
Self Policing Procedures
Learning From Others (e.g. CERT )
Internal ISMS Audit
Management Review
دو فعالیت بررسی شونده Internal ISMS Audit و Management Review لازم الاجراء بوده و بقیه موارد اختیاری می باشند.
Act
خروجی فاز Check فعالیتهای این بخش را تشکیل می دهد که در سه بخش خلاصه می شود :
Corrective Action
Preventive Action
Improvements
چهار فاز فوق الذکر در بازه های زمانی مشخصی که حساسیت اطلاعات سازمان مشخص می نماید می بایست تکرار گردد. ذکر این نکته ضروری است که لزوماً ممکن است در اجرای استانداردهای امنیتی خرید تجهیزات جدید پیشنهاد نگردد و با بازنگری تجهیزات موجود ، گرفتن گواهی های استاندارد امکانپذیر باشد.
