تدوین طرح جامع امنیت اطلاعات
1. تعريف معماري امنيت اطلاعات
با توسعه فناوري اطلاعات و گسترش شبكه ها، روز به روز چالش هاي امنيتي در حوزههاي مختلف رو به افزايش است. با گسترش چالش ها و تهديدها، راهكارها و تدابير امنيتي نيز به وجود و توسعه يافته اند. در طي دوره هاي مختلف و با استفاده از تجارب گذشته، معماري هاي مختلفي براي پياده سازي ساختارهاي امنيتي در شبكه ها ايجاد شد. با توجه به افزايش اهميت امنيت در ارتباطات و اطلاعات شبكه روز به روز امنيت با ساختارها و معماري شبكه ها يكپارچه شد. از اين رو در زمان طراحي شبكه ها در تمام ابعاد كوچك و گسترده، تدابير و نكات امنيتي لحاظ مي شود.
2. جايگاه معماري امنيت اطلاعات
امنيت يكي از اجزاي جدايي ناپذير شبكه ها از زيرساخت تا سطوح مختلف سرويس است. شكل زير معرف اين است كه امنيت و مديريت عناصري هستند كه هميشه در كنار تمام لايه هاي شبكه از لايه زيرساخت فيزيكي تا لايه سرويس هاي مشتري وجود دارند.
براي در نظر گرفتن امنيت در تمام لايه ها يك سري امكانات، تدابير و روش هاي امنيتي براي پيش بيني و جلوگيري از تهديدها وجود داشته كه به تك تك لايه ها اعمال مي شود. با در نظر گرفتن يك تدبير يا يك روش مقابله، ممكن است به يك يا چند لايه اعمال شود. براي شناخت روش هاي طراحي و اعمال فناوري ها و سرويس هاي امنيتي نياز به يك چهارچوب از پيش تعيين شده براي معماري امنيت شبكه هاي كامپيوتري است. با وجود اين چهارچوب مي توان بنا به جايگاه شبكه موجود و آتي سازمان، تجارت سازمان و سرويس هاي قابل ارائه به مشتريان معماري درخور سازمان را طراحي و پياده سازي كرد.
امروزه معماري امنيت اطلاعات در جايگاه هاي زير اثبات شده است.
• نگاه كلان تجاري
• نيازمندي هاي قانوني
• نگاه كلان تكنولوژي
• بهترين پيشنهادات
• گرايشات صنعتي
• رويكردها
3. اهداف معماري امنيت اطلاعات
معماري امنيت اطلاعات داراي اهدافي است كه سازمان ها و شركت ها را به ايجاد يا بازنگري آن سوق مي دهد.
• ايجاد ساختار، همبستگي و پيوستگي
• ايجاد توازن بين تجارت سازمان و امنيت
• تعريف راهبرد تجارت سازمان به صورت از بالا-به-پائين
• اطمينان از رهگيري مدل ها و پياده سازي هاي امنيت اطلاعات نسبت به تجارت سازمان و با درنظر گرفتن نيازمندي ها و مقررات سازماني
• ايجاد يك معماري چكيده كه تمامي موارد چون فناوري از ديدگاه منطقه اي و جغرافيايي را شامل شده و قابليت حذف يا اضافه در طبقات مختلف را داشته باشد.
• ايجاد يك زبان مشترك امنيت اطلاعات در سازمان
4. متدولوژي معماري امنيت اطلاعات
شركت آشنا ايمن براي به دست آوردن معماري امنيت هر سازمان مستقل از ساير مشتريان، روش خاصي را استفاده مي نمايد. معماري امنيت اطلاعات يك سازمان از نتيجه استفاده از اين منابع به دست مي آيد.
• شناخت به عمل آمده از سازمان
• چارچوب منتخب
• روش هاي استخراج معماري
4.1. شناخت
براي تعريف و تعيين معماري امنيت اطلاعات يك سازمان نياز به شناخت كامل به تجارت و ساختار داخلي يك سازمان است. پس از اين سطح شناخت، نياز به شناخت در حوزه فناوري اطلاعات بوده كه معماري امنيت اطلاعات را جهت مي دهد. اين شناخت مي تواند در سطوح زير باشد:
• شناخت . . .
• شناخت . . .
4.2. چهارچوب امنيت اطلاعات
پس از شناخت، نياز به يك يا يك سري چارچوب امنيتي كه به عنوان الگو يا استاندارد از آنها ياد مي شود نياز است. اين الگو ها مي توانند ثابت يا بر اساس تجارت يا هر نوع صنعت سازمان ها و شركت ها متفاوت باشند. براي در نظر گرفتن امنيت در كليه سطوح، چارچوب هاي مختلفي كه از سوي پيشتازان اين صنعت پيشنهاد شده است. شركت آشنا ايمن كه از پيشتازان صنعت امنيت در فناوري ارتباطات و ارتباطات بوده است، چهارچوب امنيت خود را درقبال چهارچوب امنيتي ASF پيشنهاد مي دهد.
4.2.1. چهارچوب امنيتي آشنا ايمن ASHNA Secure Framework
براي دستيابي به امنيت مطلوب در حوزه فناوري اطلاعات، شركت آشنا ايمن يك چارچوب معماري با لايههاي مختلف امنيتي طراحي نموده كه بررسي و اجراي موارد موجود در هر لايه، سازمان را به سوي بستر ايمن فناوري اطلاعات رهنمون ميسازد. اين لايهها با مطالعه دقيق استانداردهاي موجود و مرتبط، الگوهاي سرآمدي مطرح و به منظور ايجاد سهولت و دقت در پيادهسازي طراح شده است كه در زير به بررسي آن ميپردازيم:
4.3. راه حل هاي فناوري اطلاعات براي هر مشتري
پس از انتخاب الگوهاي مناسب كه همان چهارچوب هاي امنيتي هستند، نيازهاي تجارت سازمان بر اساس فناوري هاي موجود فناوري اطلاعات و ارتباطات ليست مي شود. در طراحي معماري امنيت اطلاعات سازمان، فناوري ها و سرويس هاي امنيتي در خور نياز سازمان انتخاب و توسط يك سري روش ها طراحي مي شوند.
5. استخراج معماري امنيت اطلاعات
با توجه به شناخت بخش هاي مختلف فناوري اطلاعات سازمان و همچنين با در نظر گرفتن چهارچوب منتخب و استفاده از روش هاي استخراج معماري، معماري امنيت اطلاعات استخراج مي شود.
|
