امروزه استاندارد ISF (Information Security Forum ) به عنوان تجربهاي معتبر برای امنیتاطلاعات شناخته شده است. این استاندارد که از تجارب بیش از 260 شرکت و سازمان بین المللی معتبر تهیه شده است در زمینه اطلاعات و تجارب آنها برای بهبود امنیت اطلاعات سازمانهاي خود می باشد.
در عرض 16 سال ISF بیش از هفتاد و پنج میلیون دلار هزینه کرده تا بتواند اطلاعات موثق و درستی را برای اعضای خود جمع آوری کند. کار این استاندارد شاید نشان دادن مجموعه بسیار وسیع و جامعی از تمامي عناوين مربوط به مديريت ريسكهاي اطلاعات در دنيا باشد.
استاندارد ISF خلاصه و كليدي براي برنامه هاي وسيع گروه ISF است. اين استاندارد در طي سال ها توسعه داده شده و هر سال نسبت به سال قبل بهبود پيدا كرده است و نتايج آن حاصل اجرا شدن پروژه هايي زيادي ميباشدكه توسط ISF تعريف و انجام شده است.
هر چند ISF و كليه نتايج آن ،متعلق به اعضاي انحصاري آن است، اما اين گروه تصميم گرفت برخي از نكات كليدي خود را در قالب يك مجموعه كامل به نام The Standard of Good Practice (استاندارد تجربه برتر ) ، براي اشخاص غير عضو در جهت نايل شدن به اهداف ذيل ارائه دهد:
-ايجاد زمينهاي براي بالا بردن سطح امنيتاطلاعات سازمانها در سرتاسر جهان از طريق يك تجربه برتر
-كمك به سازمانها و شركت هايي كه عضو ISF نمي باشند، براي بهبود وضعيت امنيتي خود و كاهش خطرات امنيتي در يك سطح قابل قبول
-كمك عملي به توليد كنندگان استاندارد ها براي مشخص كردن صحيح نواحي و كاهش ريسك هاي اطلاعاتي در يك مجموعه
ISF با اجراي يك مميزي وضعيت امنيت اطلاعات روي اعضاي خود، آنها را قادر مي سازد تا يك ديد كلي از وضعيت امنيت اطلاعات سازمان خود داشته باشند. اين مميزي به صورت عملي و با استفاده از ابزارهاي خودكار انجام مي شود تا بتوانند ميزان اجراي توافقات امنيتي خود را در سازمان اندازه گيري كنند و با سازمان هاي سردمدار گروه مقايسه كنند.
معرفي استاندارد
در اين بخش جزييات دقيق تري از استاندارد ISF ارائه خواهد شد.
اين استاندارد، امنيت اطلاعات را از ديد كسب و كارها بررسي مي كند و يك ارزيابي ابتدايي روي توافقات و سياست هاي امنيتي سازمان ها انجام مي دهد. استاندارد ISF روي توافقاتي تمركز دارد كه بايد در سازمان هاي سردمدار IT ايجاد گردد تا از اين طريق آنها را براي كنترل ريسك هاي امنيتي ياري رساند.
استاندارد بر اساس اصول غني شده اي مي باشد كه از تحقيقات عميق و تمرينات عملي اعضاي گروه ISF به دست آمده است و هر دو سال يك بار به روز رساني مي شود.تمرينات موجود در استاندارد مي تواند به صورت جزيي يا كلي در توافقان امنيتي سازمان ها توسط افراد كليدي زير گنجانده شود:
مديران امنيت اطلاعات ، مقامي مشابه كه مسوؤل و پاسخگوي مسايل امنيت اطلاعات و پياده سازي آنها در سازمان مي باشد.
مديران سازمان كه مجري برنامه هاي كاربردي و بحراني سازمان مي باشند.
مديران ITكه پاسخگو و مسوؤل طراحي، توليد ، نصب و اجرا و نگهداري تجهيزات يا سيستم هاي اطلاعاتي مي باشند.
استاندارد ISF براي اولين بار در سال 1996 منتشر شد. نسخه جديد اين استاندارد هر دو سال يك بار منتشر مي شود و كليد ها و موارد ديگر به آن افزوده مي شود و در جهت يك استاندارد بين المللي توسعه پيدا مي كند. اين استاندارد بر پايه دانش اعضاي گروه ISF و همچنين مهارت هاي تيم مديريت آن بنا نهاده شده است. تيمي كه به صورت تمام وقت روي اين استاندارد فعاليت مي كنند. از استاندارد هاي بين المللي ديگر (همچون ISO 17799 ) و نتايج تجزيه و تحليل هاي مميزي هاي ISF نيز به عنوان يك منبع در آن استفاده مي شود.
به طور خلاصه آنكه، اين استاندارد بر پايه 16 سال برنامه هاي كاري ISF، 125 پروژه تحقيقاتي و 200 گزارش بنا نهاده شده است.
اين استاندارد روي بيش از 10 شركت و سازمان توليدي و طراحي به طور آزمايشي پياده سازي شده تا از درستي كليد هاي آن در بخش امنيت اطلاعات، اطمينان حاصل گردد.
استاندارد تجربه برتر امنيت اطلاعات، در اصل مجموعه اي است از اصول واقعي و درستي كه از طريق بهترين تجارب سازمان هاي عضو به دست آمده و بر اساس نيازهاي سازمان هاي مختلف ايجاد شده است.
بسياري از حرفه اي هاي امنيت اطلاعات از اين استاندارد به عنوان يك استاندارد ارزشمند ياد مي كنند كه مي توان آن را در كليه سطوح امنيتي سازمان ها در سرتاسر جهان به كار برد.
منافع استفاده از استاندارد
ايجاد يك محيط مديريتي- تجاري
براي ايجاد يك محيط مديريتي-تجاري كه در آن ريسك هاي امنيتي قابل كنترل باشند نياز است:
-امنيت اطلاعات در وضعيت ايده آلي قرار داشته باشد
-بهترين تجربه ها براي طراحي، توليد، نصب و اجرا و همچنين نگهداري سيستم هاي اطلاعاتي در نظر گرفته شود.
هر چند انجام همه اين امور كاري طاقت فرسا و پيچيده مي باشد دليل هم آن است كه يك سازمان در يك محيز پويا با مسايل زيادي مواجه مي شود از جمله :
-فشار هاي ناشي از وضعيت هاي دشوار اقتصادي جهان كه يك سازمان با آن مواجه است.
-يك اعتماد در حال افزايش كه روي سيستم اطلاعاتي برپايه IT در حال به وجود آمدن است
-خطرات و تهديداتي كه كامپيوتر ها و شبكه ها با آن مواجه هستند و هر روز نيز تكنيك ها و تكنولوژي هاي آن در حال افزايش و پيشرفت مي باشد
-نيازهاي تجاري سيستم ها و كارمندان براي انجام سريع و آسان كارها
-يك فقدان عمومي مهارتهاي كليدي و خبرگي و ديگر منابع در بسياري از حوزه هاي پر اهميت
بنابراين سازمان ها نياز به تعريف ساده و عملياتي دارند كه شامل تكنيك هاي مناسبي در بالابردن سطح امنيت اطلاعات باشند و بتوانند اين تكنيك ها را به طور عملياتي در سازمان پياده سازي كنند و اين چيزي نيست جز استاندارد تكنيك برتر امنيت اطلاعات !
اندازي گيري ميزان كارايي در برابر استاندارد
اگر چه استاندارد تجربه برتر مشخص مي كند كه چه كاري بايد انجام شود، اما اغلب سازمان ها مي خواهند بدانند كه در مقابل يك استاندارد چه كاري بايد انجام دهند. در اصل اعضاي ISF مي توانند در يك مميزي وضعيت امنيت اطلاعات، بهره برند و اين مي تواند تا حدي آنها را به استاندارد نزديك كند.
اين مميزي به سازمان كمك مي كند كه بتواند توافقات امنيت اطلاعات موجود در سازمان را در معرض آزمايش قرار دهد و نمره خود را در برابر استاندارد مشاهده كنند.
اين پروسه در عكس زير كاملا مشخص است :
اعمال كردن استاندارد
استاندارد تجربه برتر به پنج بخش مجزا تقسيم مي شود كه هر كدام يك محيط كاري مشخص را در نظر گرفته است.
در اصل استاندارد روي نحوه پشتيباني نقاط و فرايند هاي كليدي سازمان توسط امنيت اطلاعات تمركز دارد. اين فرآيند ها به ميزان زيادي به ميزان وابستگي سازمان به IT بستگي دارد و بيشتر از همه روي بخش هايي كه حيات سازمان وابسته به آن است.
به همين دليل بخش برنامه هاي كاربردي تجاري پر اهميت (Critical Business Application ) جزء مركز طراحي اين استاندارد مي باشد. اين ارتباط در شكل زير آمده است :
بخش تاسيسات كامپيوتري (Computer Installation ) و شبكه (Networks ) به عنوان شالوده زيربنايي براي اجراي برنامه هاي كاربردي تجاري را فراهم مي كند. بخش توسعه سيستم ها (Systems Development )نيز نحوه برخورد با يك برنامه كاربردي جديد را مشخص مي كند. مديريت امنيت (Security Management ) نيز مشخص كننده كنترل ها و هدايت در سطح بالا مي باشد.
در عرض 16 سال ISF بیش از هفتاد و پنج میلیون دلار هزینه کرده تا بتواند اطلاعات موثق و درستی را برای اعضای خود جمع آوری کند. کار این استاندارد شاید نشان دادن مجموعه بسیار وسیع و جامعی از تمامي عناوين مربوط به مديريت ريسكهاي اطلاعات در دنيا باشد.
استاندارد ISF خلاصه و كليدي براي برنامه هاي وسيع گروه ISF است. اين استاندارد در طي سال ها توسعه داده شده و هر سال نسبت به سال قبل بهبود پيدا كرده است و نتايج آن حاصل اجرا شدن پروژه هايي زيادي ميباشدكه توسط ISF تعريف و انجام شده است.
هر چند ISF و كليه نتايج آن ،متعلق به اعضاي انحصاري آن است، اما اين گروه تصميم گرفت برخي از نكات كليدي خود را در قالب يك مجموعه كامل به نام The Standard of Good Practice (استاندارد تجربه برتر ) ، براي اشخاص غير عضو در جهت نايل شدن به اهداف ذيل ارائه دهد:
-ايجاد زمينهاي براي بالا بردن سطح امنيتاطلاعات سازمانها در سرتاسر جهان از طريق يك تجربه برتر
-كمك به سازمانها و شركت هايي كه عضو ISF نمي باشند، براي بهبود وضعيت امنيتي خود و كاهش خطرات امنيتي در يك سطح قابل قبول
-كمك عملي به توليد كنندگان استاندارد ها براي مشخص كردن صحيح نواحي و كاهش ريسك هاي اطلاعاتي در يك مجموعه
ISF با اجراي يك مميزي وضعيت امنيت اطلاعات روي اعضاي خود، آنها را قادر مي سازد تا يك ديد كلي از وضعيت امنيت اطلاعات سازمان خود داشته باشند. اين مميزي به صورت عملي و با استفاده از ابزارهاي خودكار انجام مي شود تا بتوانند ميزان اجراي توافقات امنيتي خود را در سازمان اندازه گيري كنند و با سازمان هاي سردمدار گروه مقايسه كنند.
معرفي استاندارد
در اين بخش جزييات دقيق تري از استاندارد ISF ارائه خواهد شد.
اين استاندارد، امنيت اطلاعات را از ديد كسب و كارها بررسي مي كند و يك ارزيابي ابتدايي روي توافقات و سياست هاي امنيتي سازمان ها انجام مي دهد. استاندارد ISF روي توافقاتي تمركز دارد كه بايد در سازمان هاي سردمدار IT ايجاد گردد تا از اين طريق آنها را براي كنترل ريسك هاي امنيتي ياري رساند.
استاندارد بر اساس اصول غني شده اي مي باشد كه از تحقيقات عميق و تمرينات عملي اعضاي گروه ISF به دست آمده است و هر دو سال يك بار به روز رساني مي شود.تمرينات موجود در استاندارد مي تواند به صورت جزيي يا كلي در توافقان امنيتي سازمان ها توسط افراد كليدي زير گنجانده شود:
مديران امنيت اطلاعات ، مقامي مشابه كه مسوؤل و پاسخگوي مسايل امنيت اطلاعات و پياده سازي آنها در سازمان مي باشد.
مديران سازمان كه مجري برنامه هاي كاربردي و بحراني سازمان مي باشند.
مديران ITكه پاسخگو و مسوؤل طراحي، توليد ، نصب و اجرا و نگهداري تجهيزات يا سيستم هاي اطلاعاتي مي باشند.
استاندارد ISF براي اولين بار در سال 1996 منتشر شد. نسخه جديد اين استاندارد هر دو سال يك بار منتشر مي شود و كليد ها و موارد ديگر به آن افزوده مي شود و در جهت يك استاندارد بين المللي توسعه پيدا مي كند. اين استاندارد بر پايه دانش اعضاي گروه ISF و همچنين مهارت هاي تيم مديريت آن بنا نهاده شده است. تيمي كه به صورت تمام وقت روي اين استاندارد فعاليت مي كنند. از استاندارد هاي بين المللي ديگر (همچون ISO 17799 ) و نتايج تجزيه و تحليل هاي مميزي هاي ISF نيز به عنوان يك منبع در آن استفاده مي شود.
به طور خلاصه آنكه، اين استاندارد بر پايه 16 سال برنامه هاي كاري ISF، 125 پروژه تحقيقاتي و 200 گزارش بنا نهاده شده است.
اين استاندارد روي بيش از 10 شركت و سازمان توليدي و طراحي به طور آزمايشي پياده سازي شده تا از درستي كليد هاي آن در بخش امنيت اطلاعات، اطمينان حاصل گردد.
استاندارد تجربه برتر امنيت اطلاعات، در اصل مجموعه اي است از اصول واقعي و درستي كه از طريق بهترين تجارب سازمان هاي عضو به دست آمده و بر اساس نيازهاي سازمان هاي مختلف ايجاد شده است.
بسياري از حرفه اي هاي امنيت اطلاعات از اين استاندارد به عنوان يك استاندارد ارزشمند ياد مي كنند كه مي توان آن را در كليه سطوح امنيتي سازمان ها در سرتاسر جهان به كار برد.
منافع استفاده از استاندارد
ايجاد يك محيط مديريتي- تجاري
براي ايجاد يك محيط مديريتي-تجاري كه در آن ريسك هاي امنيتي قابل كنترل باشند نياز است:
-امنيت اطلاعات در وضعيت ايده آلي قرار داشته باشد
-بهترين تجربه ها براي طراحي، توليد، نصب و اجرا و همچنين نگهداري سيستم هاي اطلاعاتي در نظر گرفته شود.
هر چند انجام همه اين امور كاري طاقت فرسا و پيچيده مي باشد دليل هم آن است كه يك سازمان در يك محيز پويا با مسايل زيادي مواجه مي شود از جمله :
-فشار هاي ناشي از وضعيت هاي دشوار اقتصادي جهان كه يك سازمان با آن مواجه است.
-يك اعتماد در حال افزايش كه روي سيستم اطلاعاتي برپايه IT در حال به وجود آمدن است
-خطرات و تهديداتي كه كامپيوتر ها و شبكه ها با آن مواجه هستند و هر روز نيز تكنيك ها و تكنولوژي هاي آن در حال افزايش و پيشرفت مي باشد
-نيازهاي تجاري سيستم ها و كارمندان براي انجام سريع و آسان كارها
-يك فقدان عمومي مهارتهاي كليدي و خبرگي و ديگر منابع در بسياري از حوزه هاي پر اهميت
بنابراين سازمان ها نياز به تعريف ساده و عملياتي دارند كه شامل تكنيك هاي مناسبي در بالابردن سطح امنيت اطلاعات باشند و بتوانند اين تكنيك ها را به طور عملياتي در سازمان پياده سازي كنند و اين چيزي نيست جز استاندارد تكنيك برتر امنيت اطلاعات !
اندازي گيري ميزان كارايي در برابر استاندارد
اگر چه استاندارد تجربه برتر مشخص مي كند كه چه كاري بايد انجام شود، اما اغلب سازمان ها مي خواهند بدانند كه در مقابل يك استاندارد چه كاري بايد انجام دهند. در اصل اعضاي ISF مي توانند در يك مميزي وضعيت امنيت اطلاعات، بهره برند و اين مي تواند تا حدي آنها را به استاندارد نزديك كند.
اين مميزي به سازمان كمك مي كند كه بتواند توافقات امنيت اطلاعات موجود در سازمان را در معرض آزمايش قرار دهد و نمره خود را در برابر استاندارد مشاهده كنند.
اين پروسه در عكس زير كاملا مشخص است :
اعمال كردن استاندارد
استاندارد تجربه برتر به پنج بخش مجزا تقسيم مي شود كه هر كدام يك محيط كاري مشخص را در نظر گرفته است.
در اصل استاندارد روي نحوه پشتيباني نقاط و فرايند هاي كليدي سازمان توسط امنيت اطلاعات تمركز دارد. اين فرآيند ها به ميزان زيادي به ميزان وابستگي سازمان به IT بستگي دارد و بيشتر از همه روي بخش هايي كه حيات سازمان وابسته به آن است.
به همين دليل بخش برنامه هاي كاربردي تجاري پر اهميت (Critical Business Application ) جزء مركز طراحي اين استاندارد مي باشد. اين ارتباط در شكل زير آمده است :
بخش تاسيسات كامپيوتري (Computer Installation ) و شبكه (Networks ) به عنوان شالوده زيربنايي براي اجراي برنامه هاي كاربردي تجاري را فراهم مي كند. بخش توسعه سيستم ها (Systems Development )نيز نحوه برخورد با يك برنامه كاربردي جديد را مشخص مي كند. مديريت امنيت (Security Management ) نيز مشخص كننده كنترل ها و هدايت در سطح بالا مي باشد.
