مقدمه

 امروزه ارزيابي امنيتي سيستم هاي اطلاعاتي بر طبق نيازهاي تجاري ، از جمله اجراء جدا ناپذير استراتـژي هاي كاري يك سازمان مي باشد . در حالي كه تـعداد معـــــــدود و محدودي استاندارد ، اسلوب و چهارچوب براي رسيدگي به امنيت اطلاعات و فيلد هايي كه مي بايست مورد بررسي قرار گيرند در دسترس مي باشد ، هيچ يك از آنها چگونگي و دليل انجام اين رسيدگي و حتي روش هاي امن سازي پارامترهاي مورد بحث را تحت پوشش قرار نمي دهند .

ISSAF  يك چهارچوب ساخت يافته براي بررسي امنيت اطلاعات مي باشد كه امر بررسي امنيتي را تحت بخش هاي متنوع و مختلف ارائه داده و به ذكر جزييات در مورد هريك از بخش هاي عنوان شده مي پردازد.

اين توضيحات شامل مواردي است كه مي بايست مورد ارزيابي قرار گيرند ، و همچنين روش و محدوده بررسي . در ISSAF سعي بر آن شده تا فيلد هاي مطرح شده براي بررسي ، انعكاسي از موارد واقعي و كاملآ كاربردي باشد .

ISSAF مي بايست بعنوان يك مرجع و راهنماي اوليه براي رفع نياز بررسي امنيتي سازمان ها و همچنين بعنوان مرجعي براي ساير موارد امنيتي مورد رجوع و استفاده قرار گيرد.

ISSAF همچنين زيربخش هاي كوچك و مفيدي را براي پيشبرد پروسه هاي امنيتي ، بررسي و محكم سازي و ترسيم تصوير كاملي از ضعف هاي امنيتي موجود در بردارد.

اطلاعات در ISSAF بر اساس معيارها و محدوده هاي بررسي مختلفي تقسيم بندي شده كه هر بخش توسط يك متخصص در آن زمينه خاص تهيه و مورد بازبيني قرار گرفته است.

هر محدوده و معيار بررسي تعريف شده شامل بخش هاي زير مي باشد

·         توضيحي در مورد معيارهاي رسيدگي

·         اهداف و ايده آل ها

·         شرايط لازم براي انجام بررسي

·         مراحل و پروسه بررسي

·         عنوان نتايجي كه  انتظار ميرود

·         پيشنهاد روش ها و اقدامات مقابله و متقابل

·         ارجاع به مطالب و منابع خارجي

مطالب ارائه شده در اين چهارچوب گسترده مي باشند . ما تصميم به ارائه هرچه بيشتر اطلاعات كرديم با اين قصد كه استفاده كننده از اين چهارچوب بجاي نياز به گسترش و بسط دادن مطالب لازم و عنوان شده ، از آنها صرف نظر و چشم پوشي كند. ISSAF يك سند باز مي باشد كه بصورت مداوم در آينده گسترش خواهد يافت و  اصلاح و بروز رساني خواهد شد .

اهداف ISSAF

·         عمل كردن بعنوان يك مرجع پيوسته براي بررسي امنيتي ( Security Assessment )

·         استاندارد سازي پروسه بررسي امنيتي سيستم هاي اطلاعاتي

·         بكارگيري حداقل و كوتاه ترين پروسه قابل قبول وممكن

·         فراهم كردن يك روال استاندارد كه بررسي ميتواند ( بايد ) بر اساس آن انجام شود

·         بررسي  و بازبيني اقدامات پياده سازي شده براي مقابله با دسترسي غيرمجاز

·         عمل كردن بعنوان يك مرجع اجرا سازي امنيت اطلاعات

·         تقويت پروسه هاي امنيتي و تكنولوژي هاي موجود

هدف اصلي ISSAF فراهم آوردن يك نقطه رجوع واحد براي بررسي امنيتي مي باشد و در تهيه آن سعي بر آن شده تا مواردي كه عنوان مي گردد نزديكي هرچه بيشتري به پيامد ها و مسايل بررسي هاي امنيتي واقعي داشته باشد كه اين موضوع از لحاظ كاري  موقعيتي ارزشمند را فراهم مي كند  .

براي دسترسي به اين هدف ISSAF از اين دستور كار استفاده مي كند :

·         ارزيابي  رويه هاي ( Policy )  امنيت اطلاعات سازمان ها براي اطمينان از اينكه با معيارها و نيازهاي صنعتي مطابقت داشته و آئين نامه ها و قوانين تعريف شده را مختل نمي كنند .

·         تشخيص نيازهاي حياتي زيربناي سيستم هاي اطلاعاتي مورد نياز سازمان ها براي انجام پروسه هاي كاري و ارزيابي امنيت آنها

·         هدايت پروسه هاي تشخيص نقاط آسيب پذير و تست نفوذ براي نمايان كردن نقاط ضعف سيستم ها و در نتيجه تشخيص نقاط ضعف مربوط به شبكه ، سيستم ها و برنامه ها

·         ارزيابي كنترل هاي اعمال شده بر حوزه هاي مختلف امنيت با :

o        پيدا كردن تنظيمات غلط اعمال شده و تصحيح آنها

o        تشخيص ريسك هاي شناخته شده و ناشناخته مربوط به فناوري و اداره كردن آنها

o        تشخيص ريسك هاي شناخته شده و ناشناخته مربوط به كاركنان و پروسه هاي كاري و اداره كردن آنها

o        تحكيم و تقويت پروسه ها و فناوري هاي موجود

·         اولويت بندي انجام بررسي ها بر اساس ميزان اهميت سيستم ، هزينه بررسي و منافع مورد توقع

·         تربيت كردن افراد براي انجام بررسي هاي امنيتي

·         تربيت كردن افراد در زمينه سيستم هاي امنيتي ، شبكه ها و برنامه ها

·         ارائه اطلاعات در زمينه

o        بازبيني گزارش ها‌، مانيتورينگ  و پروسه هاي مميزي ( Audit‌) و بررسي

o        تهيه و بازبيني  روال هاي بازيابي از حوادث (‌Disaster Recovery  (

o        بازبيني مسايل مربوط به Outsource كردن امنيت

·         مطابقت دادن با استاندارد هاي قانوني و قواعد

·         ايجاد آگاهي امنيتي ( Security Awareness )

·         مديريت مؤثر پروژه هاي بررسي امنيتي

·         محافظت در برابر حملات مهندسي اجتماعي

·         بازبيني امنيت فيزيكي

اين خط  مشي بر اساس استـفاده از كوتاه ترين راه براي رسيدن به هدف شخص ، بر اساس يافتن نقاط ضعفي  كه بطور مؤثر و با كمترين تلاش  قابل بهره برداري هستند مي باشد . هدف اين چهارچوب دادن تماميت ودقت و كارايي به امر بررسي امنيتي مي باشد .

چرا ما به فكر ISSAF افتاديم ؟

پس از كار بر روي پروژه هاي بسيار در زمينه بيمه و امنيت اطلاعات ، عدم وجود يك منبع و چهارچوب جامع كه امنيت اطلاعات در قالب تشخيص نقاط ضعف ، تست نفوذپذيري  و بررسي امنيتي را بصورت استاندارد شده فراهم مي آورد ، احساس شد.

ISSAF يك چهارچوب جامع و ژرف مي باشد كه به پرهيز از عواقب استفاده از روش هاي  بررسي امنيتي ناقص و غير استاندارد كمك مي كند . در ISSAF سعي ما بر آن بوده تا چهارچوب بررسي امنيتي سيستم هاي اطلاعاتي كامل تري نسبت به انواع موجود و مشابه تهيه گردد و هدف سبك سازي ريسك هاي آميخته با خود پروسه بررسي امنيتي مي باشد .

اين به ما كمك مي كند تا خطراتي را كه ما را در حين انجام اموركاري روزانه تهديد مي كند بهتر بشناسيم . تهديدات ،  افشا سازي اطلاعات وآسيب پذيري هايي كه سازمان ما را تهديد مي كنند بسيار بزرگتر از آن هستند كه از بتوان از آنها صرف نظر كرد.

در حال حاضر ISSAF پاسخگوي تمامي نيازها و موقعيت ها  نمي باشد اما ما با بهبود مطالب عنوان شده كنوني و اضافه كردن حوزه هاي جديد متعهد به بهبود پيوسته اين چهارچوب شده ايم.

استفاده كننده گان اين چهارچوب

اين چهارچوب طيف وسيعي از كاربران را پوشش مي دهد كه شامل موارد ذيل مي باشند:

o        ارزياب هاي داخلي و خارجي امنيتي ،‌ بررسي كننده هاي نفوذ ، مميزي هاي امنيتي

o        افراد حرفه اي كه پيرامون مسايل امنيت اطلاعات داراي مسئوليت مي باشند

o        مهندسين و مشاورين امنيتي

o        مديران پروژه هاي بررسي امنيت

o        موارد مربوط به  سيستم هاي اطلاعاتي با مسئوليت امنيت اطلاعات

o        مديران سيستم / شبكه / وب

o        مديران فني