مقایسه استانداردهای ISO 27001 و PCI-DSS بخش اول: شباهت ها و تفاوت ها

  • نویسنده: مجید یداللهی
  • تاریخ انتشار: دوشنبه ، ۱۰ مهر ماه ۹۶
  • تعداد بازدید: 2186
  • تعداد نظرها: 0
  • دسته بندی: کارت و پرداخت

محافظت و نگهداری مناسب سرمایه و داریی ها از گذشته تاکنون مورد توجه سازمان های کوچک و بزرگ بوده است و البته امروزه گسترش روز افزون فناوری اطلاعات و توسعه کسب و کارها، مبتنی بر تکنولوژی، منجر گردیده که سازمان ها در این خصوص با فرصت ها و چالش های جدیدی روبرو گردند. محافظت از اطلاعات و سامانه های اطلاعاتی به منزله تدام کسب و کار آنها قلمداد گشته و حائز اهمیت می باشد و بدین منظور استانداردهای متعددی تدوین و انتشار یافته است.

اگر برای شما اطلاعاتی در خصوص استانداردهای ISO 27001, PCI-DSS و امنیت اطلاعات جذابیت دارد و شباهت‌ها و تمایز بین آن‌ها برای شما سوال بوده است، مطالعه مقاله حاضر را به شما توصیه می‌کنیم و از اینکه شما را در ادامه مقاله همراه خود داشته باشیم مسرور خواهیم شد. در این مطلب سعی می شود تا ضمن معرفی این دو استاندارد ارتباط میان آنها تبیین گردد.

 اگر تاکنون هیچ گونه اطلاعاتی درخصوص استاندارد ISO 27001 نداشته اید در ابتدا توصیه می‌کنم کلیات این مقاله را مطالعه فرمائید: چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟

همان گونه که مطلع هستید، استانداردهای متعددی در حوزه امنیت و فناوری اطلاعات وجود دارد. استانداردهایی از قبیل: ISO 27001, COBIT, ITIL, PCI-DSS و غیره اما دو مورد از آن‌ها که جامعیت و اثربخشی بیشتری در حوزه امنیت اطلاعات داشته‌اند در این مقاله موضوع بحث ما خواهند بود و توصیف کلی از آن‌ها ارائه خواهیم داد.

کدام:PCI-DSS  یا  ISO 27001؟!

این سوال ممکن است سوال بسیاری از سازمان‌ها و مدیران باشد. پاسخ آن چندان دشوار نیست: نیازمندی‌های کسب‌وکار هر سازمان تعیین کننده و در واقع پاسخ دهنده به این سوال خواهد بود. قبل از هر چیزی به تعریف‌های زیر از این دو استاندارد دقت فرمائید:

این استاندارد بستر مدیریتی و فرآیندی مناسبی را جهت پیاده سازی کنترل های بیشتر امنیتی ایجاد می نماید. شایان ذکر است در کشور ما با توجه به تصویب سند افتا و قوانین بالادستی، سازمان ها و ارگان های دولتی ملزم به پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) می باشند که به منظور تحقق آن به پیاده سازی الزامات و کنترل های استاندارد ISO 27001 رو می آورند.

  • PCI-DSS استانداردی به ‌منظور امنیت داده‌ها در صنعت کارت ‌های پرداخت می‌باشد که برای شرکت‌های پردازش ، ذخیره و یا مبادله‌‌کننده داده کارت های پرداخت، کاربردی می ‌باشد. برای این شرکت‌ها انطباق با استاندارد مذکور الزامی است، اگرچه با توجه به نوع فعالیت و میزان پردازش اطلاعات، الزامات و قوانین متفاوتی ممکن است اعمال گردد.

اصلی ترین تمایز ساختار شکلی این دو استاندارد که در نگاه اول قابل تشخیص می باشد، ساختار مبتنی بر چرخه PDCA   (Plan, Do, Check, Act)  استاندارد ISO 27001 در مقایسه با استاندارد PCI-DSS می‌باشد. شاکله‌ای که تقریبا برای تمامی استانداردهای سیستم‌های مدیریتی مبتنی بر ایزو، از جمله استاندارد ISO 27001 وجود دارد. بر اساس این ساختار سازمان ها با هر اندازه و سطح امنیتی که دارا می باشند، با اجرای چرخه PDCA به سطح بالغ تری هدایت می شوند. البته لازم به ذکر است که در نسخ جدید استانداردهای سیستم مدیریتی دیگر نامی از چرخه مذکور به میان نمی آید ولی با این وجود به نظر می رسد ساختار فعالیت ها کماکان بر اساس این چرخه می باشد.

بنابراین استاندارد ISO 27001 برای سازمان‌هایی که دارای سیستم مدیریتی بوده (یا به دنبال آن می‌باشند) و در نظر دارند امنیت اطلاعات را نیز به شکل سازمان‌یافته برای کسب و کار خود به ارمغان بیاورند، مناسب می‌باشد، درحالی‌که استاندارد PCI-DSS برای سازمان‌های که با داده‌های کارت‌های پرداخت سر و کار دارند مناسب و البته الزامی است. اگر چه در کشور ما اتصال به شبکه های پرداخت بین المللی در حال حاضر تحقق نیافته، اما پیاده سازی این استاندارد از جمله الزامات پیوستن به شبکه های بین المللی می باشد، اتفاقی که در آینده نزدیک وقوع آن محتمل است. از سوی دیگر الزامات داخلی صنعت پرداخت، از جمله الزامات امنیتی شرکت شاپرک، اقتباس شده از استاندارد بین المللی PCI-DSS و منطبق با آن می باشند. بنابراین رعایت الزامات و کنترل های این استاندارد برای شرکت های پرداخت الکترونیک (PSP)، بانک ها، موسسات مالی و اعتباری، شرکت های تجارت الکترونیک و غیره که تداوم کسب و کار آنها در امنیت اطلاعات کارت های پرداخت خلاصه می شود، حیاتی و ضروری می باشد. 

ساختار استاندارد PCI-DSS

استاندارد PCI-DSS مشتمل بر 13 حوزه کنترلی (12 حوزه الزامات و یک پیوست) می‌باشد که جمعا بیش از 200 کنترل امنیتی حوزه داده‌های کارت‌های پرداخت را در بر می گیرد. در جدول ذیل به این حوزه ها اشاره شده است.  

اهداف

الزامات

ایجاد و حفظ شبکه و سیستم امن

  • الزام 1: نصب و نگهداشت پیکره بندی فایروال به‌منظور محافظت از اطلاعات دارندگان کارت
  • الزام 2:عدم استفاده از کلمات عبور و سایر المان‌های امنیتی پیش فرض

حفاظت از اطلاعات دارنده کارت

  • الزام 3: محافظت از داده‌های ذخیره شده دارندگان کارت
  • الزام 4: رمزنگاری و محافظت از داده‌های در حال انتقال دارندگان کارت در شبکه های عمومی

استفاده از برنامه‌های مدیریت آسیب پذیری

  • الزام 5: محافظت از سامانه ها در برابر بدافزارها و به‌روزرسانی نرم افزارهای آنتی ویروس
  • الزام 6: توسعه و نگهداری سامانه ها و نرم افزارهای ایمن

اعمال تمهیدات قوی در کنترل دسترسی‌ها

  • الزام 7: محدودیت در دسترسی به داده‌های دارندگان کارت تا حد موردنیاز
  • الزام 8: شناسایی و تائید اعتبار جهت دسترسی به اجزای سیستم
  • الزام 9: محدودیت در دسترسی فیزیکی به داده‌های دارندگان کارت

پایش و ارزیابی مداوم شبکه

  • الزام 10: ردیابی و مانیتور کلیه دسترسی‌ها به منابع شبکه و داده‌های دارندگان کارت
  • الزام 11: ارزیابی دوره‌ای سیستم‌ها و فرآیندهای امنیتی

اتخاذ یک سیاست امنیت اطلاعات

  • الزام 12: ایجاد و نگهداری یک خط مشی به‌منظور هدایت امنیت اطلاعات برای پرسنل

پیوست1: محافظت از محیط داده دارندگان کارت از سوی تامین کنندگان هاستینگ

محتوای این استاندارد شامل 120 صفحه می‌باشد که به صورت آزاد و رایگان در دسترس می‌باشد. امکان دانلود استاندارد از طریق وب سایت رسمی شورای استاندارد PCI وجود دارد. این سند الزامات را مشخص و جهت انطباق با آن راهنمایی لازم را فراهم می‌کند.

شباهت‌ها و تفاوت‌ها

از سوی دیگر استاندارد ISO 27001 مشتمل بر 10 بند اصلی منطبق با سیستم های مدیریتی و یک پیوست الزامی (شامل کنترل های امنیتی) می‌باشد. این استاندارد دارای 14 گروه/حوزه کنترلی و  114 کنترل امنیتی عمومی می‌باشد که برای هر سازمانی می تواند کاربردی باشد. تعداد زیادی از این کنترل ها مشابه با استاندارد PCI-DSS می‌باشند. در ادامه به حوزه های کنترلی 14 گانه استاندارد و ارتباط آن با حوزه های استاندارد PCI-DSS اشاره شده است.

A.5. خط مشی های امنیت اطلاعات (مشابه با الزام 12 از استاندارد PCI-DSS)

A.6.سازمان امنیت اطلاعات (مشابه با الزام 12 از استاندارد PCI-DSS)

A.7. امنیت منابع انسانی (مشابه با الزام 12 از استاندارد PCI-DSS)

A.8. مدیریت دارایی ها (مشابه با الزام 12 از استاندارد PCI-DSS)

A.9. کنترل دسترسی (مشابه با الزام 7 از استاندارد PCI-DSS)

A.10. رمزنگاری (مشابه با الزام 4 از استاندارد PCI-DSS)

A.11. امنیت فیزیکی و محیطی (مشابه با الزام 9 از استاندارد PCI-DSS)

A.12. امنیت عملیات (مشابه با الزام 1، 5، 10 و 11 از استاندارد PCI-DSS)

A.13. امنیت ارتباطات (مشابه با الزام 4 از استاندارد PCI-DSS)

A.14. اکتساب، توسعه و نگهداری سیستم (مشابه با الزام 6 از استاندارد PCI-DSS)

A.15. روابط تامین کنندگان

A.16. مدیریت رخدادهای امنیت اطلاعات

A.17. جوانب امنیت اطلاعات در مدیریت تدوام کسب‌وکار

A.18. انطباق

 

محتوای این استاندارد مشتمل بر 30 صفحه می‌باشد که در وب سایت  سازمان استاندارد جهانی (ISO) قابل دسترس می‌باشد، البته دسترسی به آن رایگان نبوده و لازم است مبلغی را پرداخت نمائید. استانداردISO 27001 تنها به بیان الزامات می‌پردازد و اگر درخصوص نحوه انطباق و پوشش الزامات نیازمند راهنمایی و اطلاعات می باشید باید به استاندارد ISO 27002 رجوع نمائید که در برگیرنده راهنمایی ها و تجارب موفق در این خصوص می‌باشد.

کدام استاندارد را انتخاب کنیم؟

با توضیحاتی که ارائه شد قطعا شما به درستی می توانید تصمیم گیری کنید، اما شرکت‌های زیادی هستند که الزامات هر دو استاندارد (الزامات کاربرد پذیر) را پیاده‌سازی نموده و از مزایای هر دو استاندارد بهره‌مند گردیده‌اند و به ارائه سرویس به مشتریان خود در بهترین سطح امنیتی می‌پردازند. از آنجایی که این دو استاندارد امنیتی می‌توانند تکمیل کننده خوبی برای یکدیگر باشند، شاید بهترین ایده و استراتژی، برنامه ریزی جهت پیاده‌سازی الزامات هر دو استاندارد در سازمان باشد. بدیهی است استاندارد ISO 27001 به دلیل دارا بودن الزامات عمومی و ساختار سیستماتیک و مدیریتی آن در اولویت می تواند باشد. (در این مقاله در رابطه با رویکردهای پیاده سازی ISO 27001 مطالعه نمایید)

نویسنده: مجید یداللهی دسته بندی: کارت و پرداخت