نسخه جدید استاندارد ISO 27002 به عنوان یکی از استانداردهای مهم خانواده ISMS در سال 2022 منتشر شده است که در آن مجموعاً 93 کنترل وجود دارد که 11 مورد جدید را در آن نسبت به استاندارد سال 2013 شاهد هستیم، همچنین 24 مورد با یکدیگر تلفیق شده و 58 کنترل امنیتی بهروز شدهاند. از جمله تغییرات جالب در این نسخه، اضافه شدن مفهومی جدید با عنوان Attribute است که جهت دستهبندی کنترلها کاربرد دارد. در این مطلب قصد داریم ضمن بررسی تغییرات نسخه جدید، تأثیر این تغییرات را بر سازمانهایی که دارای سیستم فعال هستند و یا در حال استقرار ISMS میباشند، مورد بررسی قرار دهیم.
نویسنده: محبوبه سپهری نسب
دسته بندی: سیستم مدیریت امنیت اطلاعات
یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی به اطلاعات است. مدیران سازمانی همواره با این چالش مواجهاند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند. در این مقاله به تشریح الگوی مطرح شده از سوی استاندارد ISO 27001 در خصوص کنترل دسترسی پرداخته می شود.
نویسنده: محسن دهقان
با عنایت به نقش اساسی و عملکردی اتوماسیون صنعتی در مدیریت و کنترل زیرساختهای حیاتی کشور بالاخص در صنعت انرژی، علیرغم حساسیت بالا و اهمیت ویژه حوزه اتوماسیون و کنترل صنعتی از منظر امنیت اطلاعات، به نظر می رسد نگاه استاندارد امنیتی به این حوزه نسبت به فضای فناوری اطلاعات از بلوغ کمتری برخوردار است. از سوی دیگر انتشار بدافزار استاکس نت که درسالهای اخیر در سیستم های صنعتی رخ داد اهمیت این موضوع را دو چندان نموده است. در این مقاله به معرفی استاندارد ISA/IEC 62443 امنیت سیستم های اتوماسیون و کنترل صنعتی می پردازیم.
نویسنده: سعید ترکمانی
با توجه به ساختار نسبتا پیچیده فناوری اینترنت اشیاء (IOT)، این حوزه با چالش های امنیتی متفاوتی رو به رو است. به همین دلیل نیاز به استانداردسازی و نگاه ویژه از منظر امنیت اطلاعات به این موضوع بدیهی می باشد. در همین راستا استاندارد ISO 27030 از سوی خبرگان امنیتی سازمان جهانی استاندارد در راستای الزامات سیستم مدیریت امنیت اطلاعات ISMS پیشنهاد شده است که در آینده ای نزدیک منتشر خواهد شد. در این مقاله سعی شده است تا ضمن ایجاد نگاه استانداردگونه به این موضوع، الزامات مورد نیاز امنیتی و حریم خصوصی برای توسعه دهندگان و تولیدکننده گان IOT تشریح شود.