در مطالب گذشته در مورد اهمیت وجود استاندارد و نهادهای تدوین آن برایتان گفتیم. در این مقاله در مورد انواع ارزیابی و متدولوژیهای موجود صحبت میکنیم. ارزیابی امنیتی مبتنی بر استاندارد NIST از جمله استانداردهایی است که در این حوزه استفاده میشود و قصد داریم در همند به آن بپردازیم.
ارزیابی امنیتی مبتنی بر استاندارد NIST:
استانداردهای مرتبط با ارزیابی امنیتی را میتوان به دستههای زیر تقسیمبندی نمود:
- استانداردهای متدولوژی ارزیابی امنیتی
- طراحی و پیادهسازی استانداردهای تکنیکی مبتنی برامنیت
- استانداردهای یافتن آسیبپذیری و تخمین ریسک و روشهای مواجههی با آن
۱. استانداردهای متدولوژی ارزیابی امنیتی
مخاطب این استانداردها عموما شامل مدیران فناوریاطلاعات، مدیران تیمهای ارزیابی امنیتی و مدیران امنیت اطلاعات میباشند. این استانداردها شامل موارد زیر میشوند:
- طراحی ارزیابی
- انتخاب کنترلهای امنیتی ارزیابی
- تقدم و تاخر بخشهای مختلف ارزیابی
- روشهای مورد استفاده در ارزیابی
- گزارشدهی مخاطرات یافته شده در ارزیابی
در جدول زیر به عناوین این چکلیستها اشاره شده که در صورت علاقمندی میتوانید سند آن را گوگل کنید.
عنوان استاندارد |
Guide for Developing Security Plans for Federal Information Systems |
Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products |
Recommended Security Controls for Federal Information Systems and Organizations |
Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans |
Performance Measurement Guide for Information Security |
Technical Guide to Information Security Testing and Assessment |
Information Security Continuous Monitoring for Federal Information Systems and Organizations |
2. طراحی و پیادهسازی استانداردهای تکنیکی مبتنی بر امنیت
مخاطب این استانداردها شامل اعضای تیم ارزیابی، مشاور امنیتی شرکتها، مدیران امنیت فناوری اطلاعات میباشند که نسبت به استانداردهای اول، مشاوران امنیتی شرکتها نیز به دایره مخاطبین آن اضافه شدند.
استانداردهای تکنیکی مشخص میکنند که در یک سیستم فناوری اطلاعات هر جزء باید چگونه مبتنی بر امنیت، طراحی و پیاده سازی شود. این استانداردها در چگونگی تامین امنیت به ارزیابها کمک میکنند.
در جدول زیر فهرستی از این استانداردها را مشاهده مینمایید.
عنوان استاندارد |
Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products |
Contingency Planning Guide for Federal Information Systems |
Creating a Patch and Vulnerability Management Program |
Guidelines on Firewalls and Firewall Policy |
Guidelines on Securing Public Web Servers |
Guidelines on Electronic Mail Security |
Guide to Enterprise Telework and Remote Access Security |
Security Guide for Interconnecting Information Technology Systems |
Guide to Securing Legacy IEEE 802.11 Wireless Networks |
Border Gateway Protocol Security |
Security Considerations for Voice Over IP Systems |
Computer Security Incident Handling Guide |
Secure Domain Name System (DNS) Deployment Guide |
Guide to Malware Incident Prevention and Handling |
Guide to Integrating Forensic Techniques into Incident Response |
Guidelines for Media Sanitization |
Guide to Computer Security Log Management |
Guide to Intrusion Detection and Prevention Systems (IDPS) |
Guide to Secure WebServices |
Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i |
Guidelines for Securing Radio Frequency Identification (RFID) Systems |
User’s Guide to Securing External Devices for Telework and Remote Access |
DRAFT Guide to Enterprise Password Management |
Guide to General Server Security |
Guide to Securing WiMAX Wireless Communications |
Guide for Security-Focused Configuration Management of Information Systems |
Information Security Continuous Monitoring for Federal Information Systems and Organizations |
Guidelines for Securing Wireless Local Area Networks (WLANs) |
۳. استانداردهای یافتن آسیبپذیری و تخمین ریسک و روشهای مواجههی با آن
این استانداردها پس از یافتن آسیبپذیری در سیستم فناوری اطلاعات، به تخمین ریسک و روشهای مواجههی با آن میپردازند.
مخاطب این دوره ها اکثرا مدیران یک سازمان، مدیران امنیت اطلاعات و مدیران تیمهای ارزیابی امنیتی میباشند.
عنوان استاندارد |
Risk Management Guide for Information Technology Systems |