ارزیابی امنیتی مبتنی بر استاندارد NIST

ارزیابی امنیتی مبتنی بر استاندارد NIST

در مطالب گذشته در مورد اهمیت وجود استاندارد و نهادهای تدوین آن برایتان گفتیم. در این مقاله در مورد انواع ارزیابی و متدولوژی‌های موجود صحبت می‌کنیم. ارزیابی امنیتی مبتنی بر استاندارد NIST از جمله استانداردهایی است که در این حوزه استفاده می‌شود و قصد داریم در همند به آن بپردازیم.

ارزیابی امنیتی مبتنی بر استاندارد NIST:

استاندارد‌های مرتبط با ارزیابی امنیتی را می‌توان به دسته‌های زیر تقسیم‌بندی نمود:

  1. استانداردهای متدولوژی ارزیابی امنیتی
  2. طراحی و پیاده‌سازی استانداردهای تکنیکی مبتنی برامنیت
  3. استاندارد‌های یافتن آسیب‌پذیری و تخمین ریسک و روش‌های مواجهه‌ی با آن

۱.  استانداردهای متدولوژی ارزیابی امنیتی

مخاطب این استانداردها عموما شامل مدیران فناوری‌اطلاعات، مدیران تیم‌های ارزیابی امنیتی و مدیران امنیت اطلاعات می‌باشند. این استانداردها شامل موارد زیر می‌شوند:

  • طراحی ارزیابی
  • انتخاب کنترل‌های امنیتی ارزیابی
  • تقدم و تاخر بخش‌های مختلف ارزیابی
  • روش‌های مورد استفاده در ارزیابی
  • گزارش‌دهی مخاطرات یافته شده در ارزیابی

در جدول زیر به عناوین این چک‌لیست‌ها اشاره شده که در صورت علاقمندی می‌توانید سند آن را گوگل کنید.

عنوان استاندارد
Guide for Developing Security Plans for Federal Information Systems
Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products
Recommended Security Controls for Federal Information Systems and Organizations
Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans
Performance Measurement Guide for Information Security
Technical Guide to Information Security Testing and Assessment
Information Security Continuous Monitoring for Federal Information Systems and Organizations

2. طراحی و پیاده‌سازی استانداردهای تکنیکی مبتنی بر امنیت

مخاطب این استانداردها شامل اعضای تیم ارزیابی، مشاور امنیتی شرکت‌ها، مدیران امنیت فناوری اطلاعات می‌باشند که نسبت به استانداردهای اول، مشاوران امنیتی شرکت‌ها نیز به دایره مخاطبین آن اضافه شدند.

استانداردهای تکنیکی مشخص می‌کنند که در یک سیستم فناوری اطلاعات هر جزء باید چگونه مبتنی بر امنیت، طراحی و پیاده سازی شود. این استانداردها در چگونگی تامین امنیت به ارزیاب‌ها کمک می‌کنند.

در جدول زیر فهرستی از این استاندارد‌ها را مشاهده می‌نمایید.

عنوان استاندارد
Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products
Contingency Planning Guide for Federal Information Systems
Creating a Patch and Vulnerability Management Program
Guidelines on Firewalls and Firewall Policy
Guidelines on Securing Public Web Servers
Guidelines on Electronic Mail Security
Guide to Enterprise Telework and Remote Access Security
Security Guide for Interconnecting Information Technology Systems
Guide to Securing Legacy IEEE 802.11 Wireless Networks
Border Gateway Protocol Security
Security Considerations for Voice Over IP Systems
Computer Security Incident Handling Guide
Secure Domain Name System (DNS) Deployment Guide
Guide to Malware Incident Prevention and Handling
Guide to Integrating Forensic Techniques into Incident Response
Guidelines for Media Sanitization
Guide to Computer Security Log Management
Guide to Intrusion Detection and Prevention Systems (IDPS)
Guide to Secure WebServices
Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i
Guidelines for Securing Radio Frequency Identification (RFID) Systems
User’s Guide to Securing External Devices for Telework and Remote Access
DRAFT Guide to Enterprise Password Management
Guide to General Server Security
Guide to Securing WiMAX Wireless Communications
Guide for Security-Focused Configuration Management of Information Systems
Information Security Continuous Monitoring for Federal Information Systems and Organizations
Guidelines for Securing Wireless Local Area Networks (WLANs)

۳.  استاندارد‌های یافتن آسیب‌پذیری و تخمین ریسک و روش‌های مواجهه‌ی با آن

این استاندارد‌ها پس از یافتن آسیب‌پذیری در سیستم فناوری اطلاعات، به تخمین ریسک و روش‌های مواجهه‌ی با آن می‌پردازند.

مخاطب این دوره ها اکثرا مدیران یک سازمان، مدیران امنیت اطلاعات و مدیران تیم‌های ارزیابی امنیتی می‌باشند.

عنوان استاندارد
Risk Management Guide for Information Technology Systems

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالای صفحه بردن