راهبردان با توجه به تجربیات قبلی خود در زمینه مشاوره و ارائه طرح های جامع شبکه و امنیت سیستم های اطلاعاتی در دستگاه های مختلف،استانداردISO17799 را به عنوان متدولوژی اصلی درفعالیت های امن سازی مورد استفاده قرار می دهد.
فرآيند امن سازي فضاي تبادل اطلاعات سازمان
روند طراحي فرآيند امن سازي فضاي تبادل اطلاعات سازمان:
فعاليت هاي لازم در فرآيند امن سازي سازمان، به صورت زير در قالب چهار مرحله طرح ريزي(Plan)، اجرا(Do) ، بررسي و ارزيابي(Check) و اصلاح وارتقاء(Act) مطابق با استانداردISO17799 يا ويرايش جديد آن يعنيISO/IEC 27001:2005 دسته بندي مي شوند:
• طرح ريزي(Plan)
1-تعيين حوزه عملکرد
1-1کمک در شکل گيري تشکيلاتISMS
1-2تهيه طرح کلان امنيتي فضاي تبادل اطلاعات
1-3تدوين معماري امنيتي سازمان
1-4يکپارچه سازي عناصر کلان امنيتي(طرح کلان،خط مشي،معماري و استانداردهاي امنيتي)
2-تعيين خط مشي امنيت اطلاعات سازمان
3- ارزيابي ومديريت مخاطرات
3-1 بررسي وتدوين نيازهاي امنيتي ارتباط بين شبکه اي اينترنت ،اکسترانت سازمان و همچنين اتصال سازمان به اينترنت
3-2بررسي ابعاد امنيتي سيستم (هاي) عامل مورد استفاده
3-3بررسي ابعاد امنيتي سيستم مديريت پايگاه داده مورد استفاده
3-4 بررسي نيازهاي امنيتي محيطي امنيت(امنيت فيزيکي،جنبه هاي سازماني و….)
4-انتخاب کنترل هاي امنيتي مورد نياز
4-1 ارائه مشاوره در زمينه انتخاب محصول از نظر امنيتي
4-2 پيشنهاد پروژه هاي تکميلي امنيت(سازگار با طرح کلان امنيتي)به مديريت
4-3 ارائه طريق در استقرار مولفه هاي امنيتي
4-4 تبيين راهکارهاي نگهداشت مؤلفه هاي امنيتي
4-5 تعيين آئين نامه ها ورويه هاي مورد نياز
• اجرا(DO)
1-همکاري در تعريف پروژه هاي فضاي تبادل اطلاعات سازمان جهت در نظرگرفتن ملاحظات امنيتي
1-1تهيه بخش امنيتي RFP و قراردادهاي مرتبط با فضاي تبادل اطلاعات سازمان
1-2 همکاري در انتخاب ناظر پروژه هاي فضاي تبادل اطلاعات از بعد امنيتي
2-همکاري در تعريف و اجراي زير پروژه هاي امن سازي
2-1 تهيهRFP زير پروژه هاي امن سازي فضاي تبادل اطلاعات سازمان
2-2 همکاري در انتخاب پيمانکار زير پروژه هاي امن سازي فضاي تبادل اطلاعات سازمان
3-همکاري در تدوين شيوه هاي کنترل مديريتي و عملياتي
3-1 کمک در تدوين آئين نامه هاي مديريتي مرتبط با امنيت(جذب و عزل پرسنل،جابجائي مسئوليت ها و…)
3-2 کمک در تدوين دستورالعمل هاي امنيت شبکه هاي رايانه اي
4-همکاري در اجراي برنامه هاي آموزشي و آگاهي رساني
4-1 همکاري در تهيه برنامه آموزش عمومي و فرهنگ سازي امنيت فضاي تبادل اطلاعات در سطح سازمان
4-2 ارائه سمينارهاي آموزشي لازم براي کارشناسان سازمان
• بررسي و ارزيابي(Check)
1- بررسي و نظارت برحسن اجراي پروژها از لحاظ امنيتي
1-1نظارت برحسن پياده سازي طرح هاي امنيتي
1-2 کنترل رعايت استانداردهاي امنيتي در مراحل مختلف ساخت(طراحي،توليد،آزمون و نگهداشت)سيستم هاي جامع
1-3 نظارت برحسن اجراي زير پروژه هاي امن سازي فضاي تبادل اطلاعات سازمان
1-4 مطالعه واظهارنظر در خصوص پروژه هاي درحال اجراي سازمان از نظر امنيتي(سازگاري)
2-1ارائه مشاوره در امور مربوطه به امنيت شبکه هاي کامپيوتري و خطوط ارتباطي
2-2 ارائه مشاوره در امور مربوط به امنيت زيرسيستم هاي سيستم جامع
2-3 ارزيابي امنيتي شبکه هاي کامپيوتري و خطوط ارتباطي
2-4 بررسي و نظارت برميزان انطباق دستورالعمل ها آئين نامه هاي مرتبط با امنيت
• اصلاح و ارتقاء (Act)
1- مشاوره در زمينه روزآمدسازي فناوري امنيت سازمان منطبق با گسترش نيازها
2- ارائه نظرات اصلاحي راجع به امنيت شبکه، سيستم عامل و سيستم مديريت پايگاه داده مورد استفاده
3- ارائه مشاوره در ديگر زمينه هاي مرتبط در راستاي ارتقاء امنيتي سيستم
فرايند امن سازي پايه شبکه
روند طراحي فرايند امن سازي پايه شبکه:(امنيت شبکه)
1.شناخت وضع موجود وتحليل آسيب پذيري شبکه:
اهم فعاليت هاي لازم در اين مرحله به شرح زير است:
الف)شناسايي،جمع آوري و دسته بندي اطلاعات موجود در رابطه با شبکه وامنيت شبکه سازمان به منظور آگاهي از اجزا به کارگرفته شده و فلسفه وجودي هريک به صورت کلان شامل اطلاعات مربوط به منابع شبکه(سرورها،سرويس ها و نرم افزارهاي کاربردي،تجهيزات شبکه و خطوط ارتباطي،اطلاعات کاربران)
ب)برگزاري جلسات مقدماتي با مديران وکارشناسان شبکه به منظور تشريح روند اجراي پروژه و دريافت نقطه نظرات وانتظارات آنان
ج)همکاري با کارفرما در راستاي تشکيل تيم فني امنيت در سازمان
د)تشخيص نقاط ضعف،آسيب پذيري ها ومخاطرات اساسي امنيتي در شبکه
و)تعيين اهداف و راهبردهاي کلان امنيت در سازمان
2.طرح آموزش واارتقاء فرهنگ امنيت:
جهت ارتقاء فرهنگ امنيت اطلاعات و بالابردن توان علمي و تخصيصي کارشناسان مربوطه در شبکه سازمان ،مجموعه اي از دوره هاي آموزشي در سه سطح مديريتي،فني وعمومي برگزار مي شود.
3.پيکربندي امن شبکه
1. بازبيني مجدد و تأييد ساختار شبکه از لحاظ امنيتي
2. پيکربندي امن تجهيزات شبکه
3.پيکربندي امن سرويس دهنده هاي شبکه
4.پيشگيري ومقابله با حملات
• جلوگيري از نفوذ با استفاده ازديواره آتش(Firewall)
• سيستم تشخيص نفوذ
• سيستم آنتي ويروس
• سيستم مديريت نصب وصله(Patch)
5. امن سازي ارتباطات شبکه
6. احراز اصالت کاربران
7. سيستم مانيتورينگ شبکه
4.خروجي اين بخش از طراحي
• گزارش شناخت وضعيت موجود شبکه از لحاظ امنيت
• تشخيص آسيب پذيري ها ومخاطرات شبکه و ارائه گزارش مربوطه
• همکاري در تشکيل تيم فني امنيت شبکه
• انجام نشست ها وارائه دوره هاي آموزشي امنيت
• ارائه گزارش بررسي و ارزيابي ساختار شبکه و راهکارهاي امنيتي جهت اصلاح ساختار در صورت نياز
• ارائه دستورالعمل وهمکاري در پيکربندي امن تجهيزات موجودشبکه(روتر،سوئيچ و…)
• ارائه دستورالعمل وهمکاري در پيکربندي سيستم عامل و سيستم مديريت پايگاه داده و سرويس دهنده هاي شبکه
• ارائه دستورالعمل اجرايي مربوط به نصب و پيکربندي امن سيستم هاي عامل ايستگاه هاي کاري کاربران
• تهيه فهرست مشخصات (LOM) تجهيزات و نرم افزارهاي امنيتي مورد نياز( تجهيزات شبکه ،ديواره آتش،سيستم تشخيص نفوذ،سيستم مديريت نصب متمرکز وصله،آنتي ويروس،امکانات امن سازي ارتباطات در شبکه،احراز اصالت کاربران)