اصول امنیت اطلاعات و شبکه که باید با آن آشنا باشید (بخش اول)

به عنوان صاحب کسب و کار و یا یک کارشناس امنیت سایبری تا به حال این سوال برایتان پیش آماده که برای تامین امنیت اطلاعات و شبکه سازمان و کسب و کار اولین قدمی که باید بردارید چیست؟ شاید شنیده باشید که بهتر است ابتدا یک ضد بدافزار تحت شبکه پیاده‌سازی شود، و یا از کارشناس دیگری شنیده‌اید که بهتر است ابتدا از یک فایروال گران قیمت استفاده کنید. واقعیت این است که تمامی این نظرات و پیشنهادات کاملا شخصی و سلیقه‌ای است، و ما در دنیای امنیت اطلاعات و شبکه نمی‌توانیم بر اساس سلیقه‌ها عمل کنیم. اما پاسخ درست چیست؟

برای اقدامات و پیاده سازی استراتژی و راهکارهای امنیت اطلاعات و شبکه به یک ساختار منسجم و منظم نیاز داریم تا از سلیقه‌ها دور باشیم و به صورت ساختار یافته و هدفمند به امن سازی زیرساخت فناوری اطلاعات سازمان خود بپردازیم.

همانظور که تهدیدات سایبری هر روز پیچیده‌تر می‌شوند، درک درست و پیاده سازی یک چهارچوب (Framework) قدرتمند امنیت سایبری، برای هر سازمانی با هر اندازه‌ای بسیار حیاتی است.

در این مقاله از پیرامون امنیت شبکه گستر، اساسی‌ترین اصول امنیت اطلاعات و شبکه که برای راهنمایی کسب و کارها و سازمان‌ها با هدف تامین امنیت و حفاظت از دارایی‌های دیجیتال خود تهیه و توسعه یافته‌اند، معرفی خواهد شد. از راهنمای جامع اصول امنیت سایبری NIST تا استانداردهای مخصوص امنیت اطلاعات و شبکه مانند 27001 ISO/IEC، این دستورالعمل‌ها یک رویکرد ساختار یافته و استراتژیک برای مدیریت خطرات امنیت سایبری فراهم می‌آورند.

کنترل‌های امنیتی حیاتی CIS

CIS Critical Security Controls و یا CIS Controls به صورت مشخص و اولویت بندی شده، مجموعه‌ای از بهترین روش‌ها را برای تقویت وضعیت امنیت اطلاعات و شبکه شما ارائه می‌دهد. این کنترل‌ها از طریق اجتماعی از هزاران کارشناس خبره امنیت سایبری در سراسر دنیا مورد استفاده قرار گرفته و طی یک پروسه مداوم توسعه داده شده است.

COBIT

Control Objectives for Information and Related Technologies و یا COBIT، چهارچوبی است که برای حکمرانی فناوری اطلاعات طراحی شده است. این اصول به کسب و کارها در اتخاذ، نظارت و بهبود بهترین روش‌های مدیریت فناوری اطلاعات یاری می‌رساند. COBIT توسط ISACA توسعه یافته است و برای اتصال نیازهای کنترلی، ریسک‌های کسب و کار و چالش‌های فنی مورد استفاده قرار میگیرد.

CSA Cloud Controls Matrix (CCM)

ماتریس کنترل‌های ابری CSA و یا CCM به عنوان اصول کنترل امنیت اطلاعات و شبکه‌ استفاده می‌شود که اختصاصا برای پردازش و محیط ابری مناسب سازی شده است. این اصول شامل 197 کنترل هدف می‌شود که در گستره 17 دامنه سازماندهی شده است، و تمام طیف فناوری ابری را فرا می‌گیرد.

ISO/IEC 27001:2022

ISO/IEC 27001 استاندارد جهانی سیستم‌های مدیریت امنیت اطلاعات (ISMS) می‌باشد، معیارهایی که این سیستم‌ها باید تکمیل کنند را مشخص می‌کند. این استاندارد راهنمای جامعی برای تمامی کسب و کارها در هر صنعتی است برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات خود است.

PCI DSS

استاندارد امنیت داده صنعت کارت پرداخت و یا PCI DSS یک استاندارد امنیتی است که برای مدیریت اطلاعات کارت‌های اعتباری و کارت‌های پرداخت است و از سوی صادرکنندگان بزرگ کارت‌های اعتباری طراحی شده است. تحت نظارت شورای استانداردهای امنیت صنعت کارت پرداخت، این استاندارد برای صادر کنندگان کارت‌های پرداختی لازم و در اکثر مواقع اجباری است. هدف این استاندارد بهبود مدیریت داده دارندگان کارت‌های پرداخت و کاهش کلاه برداری‌های کارت اعتباری و پرداختی است. بررسی، تایید و تطبیق با این استاندارد معمولا به صورت سالیانه و یا فصلی انجام می‌شود.

سخن آخر:

پنج اصل اساسی امنیت اطلاعات و شبکه معرفی شد و در بخش بعدی پنج چهارچوب مهم دیگر معرفی خواهد شد.

اگر دچار سردرگمی هستید که دنبال کردن و پیاده سازی کدام یک از این اصول امنیت اطلاعات و شبکه برای کسب و کار شما مناسب است، کاملا قابل درک بوده و می‌توانید این امر را به مشاورین و متخصصین با تجربه شبکه گستر با بیش از ۳۰ سال تجربه در ارائه خدمات امنیت اطلاعات و شبکه بسپارید، تا با همراهی شما بهترین نحوه پیاده سازی مدیریت و کنترل‌های امنیت سایبری برای کسب و کار شما مشخص و در پیاده سازی آن همراه شما باشند.