به عنوان صاحب کسب و کار و یا یک کارشناس امنیت سایبری تا به حال این سوال برایتان پیش آماده که برای تامین امنیت اطلاعات و شبکه سازمان و کسب و کار اولین قدمی که باید بردارید چیست؟ شاید شنیده باشید که بهتر است ابتدا یک ضد بدافزار تحت شبکه پیادهسازی شود، و یا از کارشناس دیگری شنیدهاید که بهتر است ابتدا از یک فایروال گران قیمت استفاده کنید. واقعیت این است که تمامی این نظرات و پیشنهادات کاملا شخصی و سلیقهای است، و ما در دنیای امنیت اطلاعات و شبکه نمیتوانیم بر اساس سلیقهها عمل کنیم. اما پاسخ درست چیست؟
برای اقدامات و پیاده سازی استراتژی و راهکارهای امنیت اطلاعات و شبکه به یک ساختار منسجم و منظم نیاز داریم تا از سلیقهها دور باشیم و به صورت ساختار یافته و هدفمند به امن سازی زیرساخت فناوری اطلاعات سازمان خود بپردازیم.
همانظور که تهدیدات سایبری هر روز پیچیدهتر میشوند، درک درست و پیاده سازی یک چهارچوب (Framework) قدرتمند امنیت سایبری، برای هر سازمانی با هر اندازهای بسیار حیاتی است.
در این مقاله از پیرامون امنیت شبکه گستر، اساسیترین اصول امنیت اطلاعات و شبکه که برای راهنمایی کسب و کارها و سازمانها با هدف تامین امنیت و حفاظت از داراییهای دیجیتال خود تهیه و توسعه یافتهاند، معرفی خواهد شد. از راهنمای جامع اصول امنیت سایبری NIST تا استانداردهای مخصوص امنیت اطلاعات و شبکه مانند 27001 ISO/IEC، این دستورالعملها یک رویکرد ساختار یافته و استراتژیک برای مدیریت خطرات امنیت سایبری فراهم میآورند.
کنترلهای امنیتی حیاتی CIS
CIS Critical Security Controls و یا CIS Controls به صورت مشخص و اولویت بندی شده، مجموعهای از بهترین روشها را برای تقویت وضعیت امنیت اطلاعات و شبکه شما ارائه میدهد. این کنترلها از طریق اجتماعی از هزاران کارشناس خبره امنیت سایبری در سراسر دنیا مورد استفاده قرار گرفته و طی یک پروسه مداوم توسعه داده شده است.
COBIT
Control Objectives for Information and Related Technologies و یا COBIT، چهارچوبی است که برای حکمرانی فناوری اطلاعات طراحی شده است. این اصول به کسب و کارها در اتخاذ، نظارت و بهبود بهترین روشهای مدیریت فناوری اطلاعات یاری میرساند. COBIT توسط ISACA توسعه یافته است و برای اتصال نیازهای کنترلی، ریسکهای کسب و کار و چالشهای فنی مورد استفاده قرار میگیرد.
CSA Cloud Controls Matrix (CCM)
ماتریس کنترلهای ابری CSA و یا CCM به عنوان اصول کنترل امنیت اطلاعات و شبکه استفاده میشود که اختصاصا برای پردازش و محیط ابری مناسب سازی شده است. این اصول شامل 197 کنترل هدف میشود که در گستره 17 دامنه سازماندهی شده است، و تمام طیف فناوری ابری را فرا میگیرد.
ISO/IEC 27001:2022
ISO/IEC 27001 استاندارد جهانی سیستمهای مدیریت امنیت اطلاعات (ISMS) میباشد، معیارهایی که این سیستمها باید تکمیل کنند را مشخص میکند. این استاندارد راهنمای جامعی برای تمامی کسب و کارها در هر صنعتی است برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات خود است.
PCI DSS
استاندارد امنیت داده صنعت کارت پرداخت و یا PCI DSS یک استاندارد امنیتی است که برای مدیریت اطلاعات کارتهای اعتباری و کارتهای پرداخت است و از سوی صادرکنندگان بزرگ کارتهای اعتباری طراحی شده است. تحت نظارت شورای استانداردهای امنیت صنعت کارت پرداخت، این استاندارد برای صادر کنندگان کارتهای پرداختی لازم و در اکثر مواقع اجباری است. هدف این استاندارد بهبود مدیریت داده دارندگان کارتهای پرداخت و کاهش کلاه برداریهای کارت اعتباری و پرداختی است. بررسی، تایید و تطبیق با این استاندارد معمولا به صورت سالیانه و یا فصلی انجام میشود.
سخن آخر:
پنج اصل اساسی امنیت اطلاعات و شبکه معرفی شد و در بخش بعدی پنج چهارچوب مهم دیگر معرفی خواهد شد.
اگر دچار سردرگمی هستید که دنبال کردن و پیاده سازی کدام یک از این اصول امنیت اطلاعات و شبکه برای کسب و کار شما مناسب است، کاملا قابل درک بوده و میتوانید این امر را به مشاورین و متخصصین با تجربه شبکه گستر با بیش از ۳۰ سال تجربه در ارائه خدمات امنیت اطلاعات و شبکه بسپارید، تا با همراهی شما بهترین نحوه پیاده سازی مدیریت و کنترلهای امنیت سایبری برای کسب و کار شما مشخص و در پیاده سازی آن همراه شما باشند.