نسخه جدید استاندارد ISO 27002 به عنوان یکی از استانداردهای مهم خانواده ISMS در سال 2022 منتشر شده است که در آن مجموعاً 93 کنترل وجود دارد که 11 مورد جدید را در آن نسبت به استاندارد سال 2013 شاهد هستیم، همچنین 24 مورد با یکدیگر تلفیق شده و 58 کنترل امنیتی بهروز شدهاند. از جمله تغییرات جالب در این نسخه، اضافه شدن مفهومی جدید با عنوان Attribute است که جهت دستهبندی کنترلها کاربرد دارد. در این مطلب قصد داریم ضمن بررسی تغییرات نسخه جدید، تأثیر این تغییرات را بر سازمانهایی که دارای سیستم فعال هستند و یا در حال استقرار ISMS میباشند، مورد بررسی قرار دهیم.
نویسنده: محبوبه سپهری نسب
دسته بندی: سیستم مدیریت امنیت اطلاعات
علیرغم سرمایهگذاری مناسب بانکها بر روی مسائل امنیتی در خصوص حوزههای مختلف فناوری اطلاعات، بنظر می رسد ایشان هنوز موضوع امنیت اپلیکیشن های موبایلی را جدی نگرفتهاند. در برخی از این اپلیکیشن ها که به لحاظ ماهیتی بسیار مهم هستند، میتوان با صرف زمان کوتاهی به اطلاعات محرمانه و حساس دست پیدا نمود. در این یادداشت سعی می کنیم تا با نگاهی دقیقتر نسبت به آسیب پذیری های امنیتی اپلیکیشن های مذکور و همچنین تبین باورهای غلط در میان برنامه نویسان و مدیران این موسسات مالی، توجه دست اندرکاران را به اهمیت و ضرورت امن سازی اپلیکیشن خود جلب نماییم.
نویسنده: میلاد یداللهی
دسته بندی: امنیت برنامه های موبایل
یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی به اطلاعات است. مدیران سازمانی همواره با این چالش مواجهاند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند. در این مقاله به تشریح الگوی مطرح شده از سوی استاندارد ISO 27001 در خصوص کنترل دسترسی پرداخته می شود.
نویسنده: محسن دهقان
با عنایت به نقش اساسی و عملکردی اتوماسیون صنعتی در مدیریت و کنترل زیرساختهای حیاتی کشور بالاخص در صنعت انرژی، علیرغم حساسیت بالا و اهمیت ویژه حوزه اتوماسیون و کنترل صنعتی از منظر امنیت اطلاعات، به نظر می رسد نگاه استاندارد امنیتی به این حوزه نسبت به فضای فناوری اطلاعات از بلوغ کمتری برخوردار است. از سوی دیگر انتشار بدافزار استاکس نت که درسالهای اخیر در سیستم های صنعتی رخ داد اهمیت این موضوع را دو چندان نموده است. در این مقاله به معرفی استاندارد ISA/IEC 62443 امنیت سیستم های اتوماسیون و کنترل صنعتی می پردازیم.
نویسنده: سعید ترکمانی