02142922000

کاتالوگ

Menu

02142922000

طراحی و پیاده‌سازی مراکز داده بر پایه چارچوب‌های امنیتی قدرتمند

دسته‌ها
امنیت
فهرست مطالب

امروزه، چارچوب‌های امنیتی و استانداردهای مختلفی در زمینه ایمن‌سازی مراکز داده وجود دارند که برای محافظت از زیرساخت‌ها در دسترس قرار دارند. با این‌حال، برخی از آن‌ها اهمیت و اعتبار بیشتری نسبت به نمونه‌های هم‌طراز دارند. در این مطلب، به معرفی چارچوب‌هایی خواهیم پرداخت که آشنایی و تسلط بر آن‌ها ضمن افزایش دانش و مهارت تخصصی موردنیاز کسب‌وکارهای ایرانی، به متخصصان و کارشناسان مراکز داده اجازه می‌دهند به شکل ایمنی شبکه‌های سازمانی را طراحی کرده، خط‌مشی‌های امنیتی را تعریف کرده و بدون مشکل فعالیت‌های روزانه را انجام دهند. با توجه به این‌که مدیریت امنیت اطلاعات حوزه‌های مختلفی را شامل می‌شود، از حفاظت محیطی و رمزنگاری گرفته تا امنیت برنامه‌ها و بازیابی پس از فاجعه، داشتن دانش در حوزه‌های مختلف برای یک متخصص امنیت اطلاعات که قرار است در یک مرکز داده کار کند، ضروری است. شایان ذکر است امنیت فناوری اطلاعات به دلیل مقررات و استانداردهای انطباقی مانند HIPAA، PCI DSS، قانون ساربنز-اکسلی (SOX) و GDPR چالش‌برانگیزتر از قبل شده و از این‌رو، افرادی که در این صنعت مشغول به کار هستند، تنها در سایه داشتن اطلاعات به‌روز قادر به انجام وظایف روزانه خود هستند.

اینجا است که چارچوب‌ها و استانداردهای امنیت فناوری اطلاعات مفید واقع می‌شوند. آگاهی از مقررات، استانداردها و چارچوب‌ها برای همه متخصصان امنیت اطلاعات و امنیت سایبری ضروری است. انطباق با این چارچوب‌ها و استانداردها از منظر ممیزی نیز اهمیت دارد. برای کمک به مدیریت این فرایند، بیایید نگاهی به استانداردهای امنیت فناوری اطلاعات، مقررات و چارچوب‌ها بیندازیم، همچنین چند گزینه محبوب‌تر برای انتخاب و نحوه استفاده از آن‌ها را بررسی کنیم.

استاندارد و مقررات امنیت فناوری اطلاعات چیست؟

استانداردها مانند یک دستور پخت هستند؛ آن‌ها مراحلی را برای انجام کارها مشخص می‌کنند. یک سازمان فناوری اطلاعات که به‌خوبی مدیریت می‌شود، باید با الزامات تعیین‌شده در یک استاندارد مطابقت داشته باشد. در مقابل، مقررات تاثیر قانونی الزام‌اور دارند. روشی که آن‌ها برای انجام کارها توضیح می‌دهند، نشان‌دهنده حمایت دولت و عموم از قوانین و فرایندهای تعیین‌شده در مقررات است. عدم انطباق با مقررات متمرکز بر فناوری اطلاعات می‌تواند منجر به جریمه‌های مالی و دعاوی حقوقی شود.

چارچوب امنیت فناوری اطلاعات چیست؟

چارچوب امنیت فناوری اطلاعات مجموعه‌ای از فرایندهای مستند است که خط‌مشی‌ها و رویه‌ها را برای پیاده‌سازی و مدیریت مداوم کنترل‌های امنیت اطلاعات تعریف می‌کند. این چارچوب‌ها طرحی برای مدیریت ریسک و کاهش اسیب‌پذیری‌ها هستند. متخصصان امنیت اطلاعات از چارچوب‌ها برای تعریف و اولویت‌بندی وظایف مورد نیاز برای مدیریت امنیت سازمانی استفاده می‌کنند. چارچوب‌ها همچنین برای اماده‌سازی سازمان در ارتباط با مباحث ممیزی‌های انطباق و فناوری اطلاعات نیز کاربرد دارند. بنابراین، چارچوب باید از الزامات خاص تعریف‌شده در استاندارد یا مقررات پشتیبانی کند.

سازمان‌ها می‌توانند چارچوب‌ها را برای حل مشکلات خاص امنیت اطلاعات، مانند الزامات خاص صنعت یا اهداف انطباق نظارتی مختلف، سفارشی کنند. همچنین، در درجات مختلفی از پیچیدگی و مقیاس ارائه می‌شوند. چارچوب‌های امروزی اغلب همپوشانی دارند، بنابراین انتخاب چارچوبی که به‌طور موثر از نیازهای عملیاتی، انطباق و ممیزی پشتیبانی کند، باعث می‌شود تا بتوانید در آینده از چارچوب‌های دیگر نیز به موازات آن استفاده کنید.

چرا چارچوب‌های امنیتی مهم هستند؟

چارچوب‌ها، نقطه شروعی برای ایجاد فرایندها، سیاست‌ها و فعالیت‌های نظارتی برای مدیریت امنیت اطلاعات فراهم می‌کنند. الزامات امنیتی اغلب همپوشانی دارند و منجر به “جدول‌های تطبیقی” می‌شوند که می‌توانند برای نشان دادن انطباق با استانداردهای نظارتی مختلف استفاده شوند. برای مثال، ISO 27002 سیاست امنیت اطلاعات را در بخش 5 تعریف می‌کند. با استفاده از یک چارچوب مشترک مانند ISO 27002، یک سازمان می‌تواند جدول‌های تطبیقی را برای نشان دادن انطباق با مقررات مختلف، از جمله HIPAA، SOX، PCI DSS و قانون گرام-لیچ-بلیلی (GLBA)، ایجاد کند.

چگونه یک چارچوب امنیت فناوری اطلاعات انتخاب کنیم؟

انتخاب یک چارچوب امنیت فناوری اطلاعات می‌تواند به عوامل متعددی بستگی داشته باشد. نوع صنعت یا الزامات انطباق ممکن است عوامل تعیین‌کننده باشند. برای مثال، شرکت‌های عمومی ممکن است از COBIT برای انطباق با SOX استفاده کنند، در حالی که بخش سلامت ممکن است HITRUST را در نظر بگیرد. سری استانداردهای ISO 27000 در هر دو بخش عمومی و خصوصی قابل‌استفاده است. در حالی که پیاده‌سازی استانداردهای ISO اغلب زمان‌بر است، اما زمانی مفید هستند که سازمان نیاز به نشان دادن قابلیت‌های امنیت اطلاعات خود از طریق گواهینامه ISO 27000 داشته باشد. به طور مثال، استاندارد NIST SP 800-53، که برای آژانس‌های فدرال ایالات متحده الزامی است، می‌تواند توسط هر سازمانی برای ساخت یک برنامه امنیت اطلاعات خاص فناوری استفاده شود. این چارچوب‌ها به متخصصان امنیتی کمک می‌کنند تا برنامه امنیت اطلاعات را سازمان‌دهی و مدیریت کنند. تنها انتخاب نادرست بین این چارچوب‌ها، عدم انتخاب هیچ‌کدام از آن‌ها است.

مثال‌هایی از استاندارد‌ها و چارچوب‌های امنیت فناوری اطلاعات

چارچوب ISO 27000

سری ISO 27000 توسط سازمان بین‌المللی استاندارد (ISO) توسعه یافته است. یک چارچوب امنیت اطلاعات انعطاف‌پذیر است که برای هر سازمانی در ابعاد و اندازه‌های مختلف قابل‌استفاده است. دو استاندارد اصلی، ISO 27001 و 27002، الزامات و رویه‌های ایجاد یک سیستم مدیریت امنیت اطلاعات (ISMS) را تعیین می‌کنند. داشتن ISMS یک فعالیت مهم در تعامل با ممیزی و انطباق است. ISO 27000 شامل یک مرور کلی و توضیحات فنی است که الزامات ISMS را تعریف می‌کند. همچنین، ISO 27002 کد عملی برای توسعه کنترل‌های ISMS را مشخص می‌کند. انطباق با استانداردهای سری ISO 27000 از طریق فرایندهای ممیزی و صدور گواهینامه، معمولا توسط سازمان‌های شخص ثالث مورد تایید ISO و سایر آژانس‌های معتبر، انجام می‌شود. سری ISO 27000 شامل ۶۰ استاندارد است که طیف گسترده‌ای از مسائل امنیت اطلاعات را پوشش می‌دهد، مانند: ISO 27018 برای رایانش ابری، ISO 27031 برای برنامه‌های بازیابی فاجعه فناوری اطلاعات، ISO 27037 برای جمع‌اوری و حفاظت از شواهد دیجیتال، ISO 27040 برای امنیت ذخیره‌سازی، و ISO 27799 برای امنیت اطلاعات در حوزه سلامت که برای شرکت‌هایی که نیاز به انطباق با HIPAA دارند مفید است.

NIST SP 800-53

NIST مجموعه گسترده‌ای از استانداردهای فناوری اطلاعات را توسعه داده که بسیاری از آن‌ها بر امنیت اطلاعات متمرکز هستند. این سری که اولین بار در سال ۱۹۹۰ منتشر شد، تقریبا تمام جنبه‌های امنیت اطلاعات را با تمرکز فزاینده بر امنیت ابری پوشش می‌دهد. NIST SP 800-53 معیار امنیت اطلاعات برای اژانس‌های دولتی ایالات متحده است و در بخش خصوصی نیز به‌طور گسترده استفاده می‌شود. این استاندارد به توسعه چارچوب‌های امنیت اطلاعات، از جمله چارچوب امنیت سایبری NIST CSF کمک کرده است.

NIST SP 800-171

NIST SP 800-171 به دلیل الزامات تعیین‌شده توسط وزارت دفاع ایالات متحده در مورد انطباق پیمانکاران با چارچوب‌های امنیتی، محبوبیت یافته است. پیمانکاران دولتی به دلیل تعامل مستقیم با سیستم‌های اطلاعاتی دولتی، هدف حملات سایبری مکرر هستند. علاوه بر این، تولیدکنندگان و پیمانکاران خصوصی که در نظر دارند با نهادهای دولتی در ارتباط باشند و از فرصت‌های تجاری دولتی بهره‌مند شوند باید یک چارچوب امنیت فناوری اطلاعات را در استراتژی‌های تجاری خود لحاظ کرده و بر مبنای آن گام بردارند. کنترل‌های موجود در چارچوب NIST SP 800-171 مستقیما با NIST SP 800-53 مرتبط هستند اما کمتر جزئی و عمومی‌تر هستند. می‌توان بین این دو استاندارد یک جدول تطبیقی ایجاد کرد، به این معنا که یک سازمان می‌تواند انطباق با NIST SP 800-53 را با استفاده از NIST SP 800-171 نشان دهد.

NIST CSF

چارچوب NIST برای بهبود امنیت سایبری زیرساخت‌های حیاتی (NIST CSF) تحت فرمان اجرایی 13636 در فوریه 2013 توسعه یافت. این چارچوب برای رسیدگی به زیرساخت‌های حیاتی ایالات متحده، مانند تولید انرژی، تامین اب، مواد غذایی، ارتباطات، تحویل مراقبت‌های بهداشتی و حمل‌ونقل طراحی شده است. این صنایع باید سطح بالایی از امادگی را حفظ کنند، زیرا همگی به دلیل اهمیتشان هدف حملات سایبری هستند. برخلاف سایر چارچوب‌های NIST، NIST CSF بر تحلیل و مدیریت ریسک سایبری متمرکز است. کنترل‌های امنیتی در این چارچوب بر اساس پنج فاز مدیریت ریسک است: شناسایی، محافظت، تشخیص، پاسخ و بازیابی. این فازها به حمایت مدیریت ارشد نیاز دارند که چارچوب فوق این مباحث را پوشش می‌دهد. NIST CSF برای هر دو بخش عمومی و خصوصی مناسب است.

سری NIST SP 1800

سری NIST SP 1800 مجموعه‌ای از راهنماها است که مکمل سری استانداردهای NIST SP 800 و چارچوب‌ها به شمار می‌رود. این سری، اطلاعاتی در مورد نحوه پیاده‌سازی و اعمال فناوری‌های امنیت سایبری مبتنی بر استانداردها در کاربردهای دنیای واقعی ارائه می‌دهد. به بیان دقیق‌تر، سری SP 1800 شامل مثال‌هایی در ارتباط با سناریوهای واقعی، رویکردهای مبتنی بر تجربه برای مقابله با حملات سایبری، نحوه استفاده درست از راهکارهای امنیتی، راهنمایی ماژولار برای پیاده‌سازی قابلیت‌های امنیتی در سازمان‌های مختلف، و ویژگی‌های شاخصی است که یک راهکار امنیت اطلاعات باید داشته باشد.

COBIT

COBIT در اواسط دهه 1990 توسط ISACA، یک سازمان مستقل از متخصصان حاکمیت فناوری اطلاعات، توسعه یافت. ISACA گواهینامه‌های شناخته‌شده‌ای مانند ممیزی سیستم‌های اطلاعاتی و مدیر امنیت اطلاعات ارائه می‌دهد. COBIT در ابتدا بر کاهش ریسک‌های فناوری اطلاعات متمرکز بود. نسخه COBIT 5 در سال 2012 منتشر شد و شامل فناوری‌ها و روندهای تجاری جدید برای کمک به سازمان‌ها در حفظ تعادل میان اهداف تجاری و رعایت اقدامات امنیتی بود. نسخه فعلی COBIT 2019 است که بیشترین استفاده را برای انطباق با SOX دارد.

کنترل‌های CIS

کنترل‌های امنیتی حیاتی مرکز امنیت اینترنت (CIS)، نسخه 8 که قبلا SANS Top 20 نامیده می‌شد، فهرستی از کنترل‌های فنی و عملیاتی است که می‌تواند در هر محیطی اعمال شود. این چارچوب شبیه به NIST CSF تنها متمرکز بر تحلیل یا مدیریت ریسک نیست، بلکه بر کاهش ریسک و افزایش تاب‌اوری زیرساخت‌های فنی نیز متمرکز است. 18 کنترل CIS شامل مواردی مانند مدیریت دارایی‌های سازمانی، حفاظت از داده‌ها، مدیریت لاگ‌های ممیزی، دفاع در برابر بدافزار و تست نفوذ است. کنترل‌های CIS با چارچوب‌های مدیریت ریسک موجود ارتباط دارند تا به رفع ریسک‌های شناسایی‌شده کمک کنند.

HITRUST Common Security Framework

چارچوب امنیتی مشترک HITRUST (CSF) شامل تحلیل و مدیریت ریسک و الزامات عملیاتی است. این چارچوب دارای 14 دسته کنترل مختلف است و تقریبا برای هر سازمانی، از جمله مراقبت‌های بهداشتی، قابل ‌استفاده است. HITRUST CSF به دلیل تاکید زیاد بر مستندات و فرایندها، یک راهکار جامع امنیتی برای هر سازمانی به شمار می‌رود. هزینه‌های اخذ و حفظ گواهینامه HITRUST به سطح تلاش مورد نیاز برای پذیرش این چارچوب بستگی دارد. این گواهینامه توسط شخص ثالث ممیزی می‌شود که سطحی از اعتبار را به سازمان اضافه می‌کند.

GDPR

GDPR چارچوبی از الزامات امنیتی است که سازمان‌های فعال در مقیاس کشوری یا بین‌المللی باید برای حفاظت از امنیت و حریم خصوصی اطلاعات شخصی شهروندان پیاده‌سازی می‌کنند. البته، این چارچوب در اتحادیه اروپا الزامی است و شامل کنترل‌هایی برای محدود کردن دسترسی غیرمجاز به داده‌های ذخیره‌شده و اقدامات کنترل دسترسی مانند حداقل امتیاز، دسترسی مبتنی بر نقش و احراز هویت چندعاملی است.

COSO

COSO ابتکار مشترکی از پنج سازمان حرفه‌ای است. چارچوب کنترل داخلی یکپارچه ان، که در سال 1992 منتشر و در سال 2013 به‌روزرسانی شد، به شرکت‌ها کمک می‌کند تا رویکردی مبتنی بر ریسک برای کنترل‌های داخلی داشته باشند. این چارچوب پنج مولفه را پوشش می‌دهد: محیط کنترلی، ارزیابی و مدیریت ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات، و نظارت. COSO چارچوب مدیریت ریسک سازمانی (ERM) خود را در سال 2004 منتشر و در سال 2017 به‌روزرسانی کرد که 20 اصل را در پنج مولفه شامل می‌شود: حاکمیت و فرهنگ، استراتژی و تعیین هدف، عملکرد، بازبینی و بازنگری، و اطلاعات، ارتباطات و گزارش‌دهی.

FISMA

قانون مدرنیزاسیون امنیت اطلاعات فدرال (FISMA)، که با چارچوب مدیریت ریسک NIST هم‌راستا است، چارچوبی امنیتی برای حفاظت از داده‌ها و سیستم‌های دولتی ارائه می‌دهد. این قانون در سال 2002 معرفی و در سال 2014 به‌روزرسانی شد و در سال 2023 پیشنهاد به‌روزرسانی آن ارائه شد. FISMA از آژانس‌های فدرال و اشخاص ثالث، پیمانکاران و فروشندگان آن‌ها می‌خواهد سیاست‌ها و شیوه‌های امنیتی را توسعه، مستند و پیاده‌سازی کنند، از جمله نظارت بر زیرساخت فناوری اطلاعات و انجام ممیزی‌های امنیتی منظم. FISMA به طور مستقیم ویژگی‌های فنی خاصی را تعیین نمی‌کند، بلکه مجموعه‌ای از فرایندها و چارچوب‌ها را برای آژانس‌های دولتی و سازمان‌هایی که با ان‌ها همکاری می‌کنند، الزامی می‌کند تا امنیت سیستم‌های اطلاعاتی خود را مدیریت و محافظت کنند.

با این حال، برای دستیابی به انطباق با FISMA، سازمان‌ها باید مجموعه‌ای از کنترل‌های امنیتی فنی را پیاده‌سازی کنند که توسط موسسه ملی استانداردها و فناوری (NIST) مشخص شده‌اند. این کنترل‌های فنی شامل مواردی مانند کنترل دسترسی با استفاده از احراز هویت قوی (مانند احراز هویت چند عاملی)، رمزنگاری برای محافظت از داده‌ها در حالت سکون و انتقال، مانیتورینگ و ثبت وقایع (Logging and Monitoring) برای شناسایی و پاسخ به حوادث امنیتی، مدیریت پیکربندی (Configuration Management) برای اطمینان از پیکربندی امن سیستم‌ها، برنامه‌ریزی واکنش به حادثه (Incident Response Planning) برای مدیریت و کاهش اثرات حوادث امنیتی، مدیریت وصله و آسیب‌پذیری (Patch and Vulnerability Management) برای رفع آسیب‌پذیری‌های شناخته شده، و محافظت از سیستم و ارتباطات (System and Communications Protection) از طریق فایروال‌ها و سیستم‌های تشخیص نفوذ است. به طور کلی، FISMA سازمان‌ها را ملزم می‌کند تا این کنترل‌های فنی را بر اساس ارزیابی ریسک و دسته‌بندی تاثیر بالقوه نقض امنیتی بر سیستم‌هایشان، انتخاب و پیاده‌سازی کنند.

NERC CIP

چارچوب حفاظت از زیرساخت‌های حیاتی امریکای شمالی (NERC CIP)، چارچوبی مبتنی بر 14 استاندارد تاییدشده و پیشنهادی است که اجرای آن برای شرکت‌های خدماتی فعال در ارتباط با مبحث انرژی ضروری است. این استانداردها، کنترل‌ها و سیاست‌های توصیه‌شده برای نظارت، تنظیم، مدیریت و حفظ امنیت سیستم‌های زیرساخت حیاتی را مشخص می‌کنند. استانداردهای CIP شامل مواردی مانند امنیت سایبری پرسنل و اموزش، گزارش‌دهی و برنامه‌ریزی پاسخ به حوادث، مدیریت ریسک زنجیره تامین، و امنیت فیزیکی است. مالکان، اپراتورها و کاربران سیستم‌های فعال در زمینه توزیع انرژی باید تمامی اقدامات خود را هماهنگ با چارچوب NERC CIP کنند.

استاندارد NERC CIP چندین ویژگی فنی حیاتی را برای ایمن‌سازی سیستم‌های برق الزامی می‌کنند. این موارد شامل ایجاد محدوده‌های امنیتی الکترونیکی (ESPs) در ارتباط با نقاط دسترسی کنترل‌شده و کنترل‌های دسترسی قوی، پیاده‌سازی شیوه‌های مدیریت امنیت سیستم، استقرار نظارت بر شبکه برای تشخیص ناهنجاری‌ها و ایجاد مسیرهای ارتباطی امن می‌شود. علاوه بر این، NERC CIP مستلزم اقدامات امنیتی فیزیکی برای دارایی‌های سایبری حیاتی و پیاده‌سازی برنامه‌های حفاظت از اطلاعات برای ایمن‌سازی داده‌های حساس است. سازمان‌ها همچنین باید قابلیت‌های ثبت و نظارت بر رویدادهای امنیتی را حفظ کرده و برنامه‌های واکنش و بازیابی از حادثه را در اختیار داشته باشند که اغلب از ابزارهای فنی خاصی برای این منظور استفاده می‌کنند.

https://www.techtarget.com/searchsecurity/tip/IT-security-frameworks-and-standards-Choosing-the-right-one

اشتراک‌گذاری
نویسنده
تصویر حمیدرضا تائبی
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
تماس با مفتاح