حفاظت از پایگاه داده فناوری اطلاعات

حفاظت از مبانی فناوری اطلاعات (در آلمانی IT-Grundschutz) از اداره امنیت فدرال آلمان (FSI) روش شناسایی و اجرای اقدامات امنیتی کامپیوتر در یک سازمان است. هدف دستیابی به یک سطح مناسب و مناسب امنیتی برای سیستم‌های IT است. برای رسیدن به این هدف، FSI توصیه می‌کند "به خوبی اثبات شده حمایت فنی، سازمانی، پرسنل، و زیرساخت ها^[۱] سازمانها و ادارات فدرال با استفاده از گواهی ISO / IEC 27001 بر اساس IT-Grundschutz رویکرد سیستماتیک خود را برای ایمن‌سازی سیستم‌های فناوری اطلاعات (مانند سیستم مدیریت امنیت اطلاعات) نشان می‌دهند.

بازبینی امنیت پایه

امنیت اصطلاح پایه نشان دهنده اقدامات امنیتی استاندارد برای سیستم‌های معمول سیستم‌های اطلاعاتی است. این در زمینه‌های مختلف با معانی مختلفی مورد استفاده قرار می‌گیرد. مثلاً:

• Microsoft Baseline Security Analyzer :ابزار نرم‌افزاری بر روی سیستم عامل مایکروسافت و امنیت سرویس‌ها متمرکز شده‌است.
• Microsoft Baseline Security Analyzer :ابزار نرم‌افزاری بر روی سیستم عامل مایکروسافت و امنیت سرویس‌ها متمرکز شده‌است.
• خط مشی امنیت سیسکو: پیشنهاد فروشنده بر روی کنترل‌های امنیتی شبکه و شبکه متمرکز شده‌است.
• ISO / IEC 13335-3 :روش پایه ای را برای مدیریت ریسک تعریف می‌کند. این استاندارد توسط ISO / IEC 27005 جایگزین شده‌است، اما روش پایه هنوز به سری 2700x منتهی نشده‌است.
• امنیت پایه Nortel: مجموعه ای از الزامات و بهترین شیوه‌ها با تمرکز بر اپراتورهای شبکه
• برای سازمانها چندین خط مشی امنیتی پایه داخلی وجود دارد^[۲][۳]
• FSI آلمان دارای استانداردهای امنیتی جامع پایه است که مطابق با سری ISO / IEC 27000 است^[۴]

حفاظت از پایگاه فناوری اطلاعات FSI

پایه و اساس یک مفهوم حفاظت از پایه فناوری اطلاعات در ابتدا تجزیه و تحلیل ریسکی دقیق نیست. این از خطرات کلی حاصل می‌شود. در نتیجه، طبقه‌بندی پیچیده با توجه به میزان آسیب و احتمال وقوع، نادیده گرفته می‌شود. سه طبقه حفاظت نیاز دارند. با کمک آنها، نیازهای محافظتی مورد بررسی می‌تواند تعیین شود. بر اساس این، اقدامات امنیتی مربوط به پرسنل، فنی، سازمانی و زیربنایی از کاتالوگ‌های حفاظت از پایگاه اطلاعاتی انتخاب شده‌است.

اداره فدرال امنیت اطلاعات فناوری اطلاعات کاتالوگ‌های حفاظت از پایه فناوری اطلاعات «یک دستور غذای آشپزی» را برای سطح نرمال حفاظت ارائه می‌دهد. علاوه بر احتمال وقوع و میزان بالقوه آسیب، هزینه‌های اجرایی نیز در نظر گرفته می‌شود. با استفاده از کاتالوگ‌های حفاظت از پایه، تجزیه و تحلیل هزینه‌های امنیتی که نیازمند دانش تخصصی است، از آنجا که خطرات کلی در ابتدا مورد استفاده قرار می‌گیرد، رفع می‌شود. برای اشخاص نسبی شناسایی اقداماتی که باید انجام شود و آن‌ها را در همکاری با متخصصان اجرا کند ممکن است.

FSI یک گواهی حفاظت از پایه را به عنوان تأیید برای موفقیت در اجرای حفاظت از پایه ارائه می‌دهد. در مراحل ۱ و ۲، این بر اساس اعلام خود است. در مرحله ۳ یک حسابرسی مستقل با مجوز FSI مجدداً انجام می‌دهد. صدور گواهینامه بین‌المللی سازی از سال ۲۰۰۶ امکان‌پذیر است. گواهینامه ISO / IEC 27001 می‌تواند به‌طور همزمان با صدور گواهینامه حفاظت از پایگاه داده IT صورت پذیرد(استاندارد ISO / IEC 27001 جانشین BS 7799-2 است) این فرایند بر اساس استانداردهای امنیتی جدید FSI است. این فرایند یک قیمت توسعه را به وجود می‌آورد که برای مدتی حاکم شده‌است. شرکت‌های دارای گواهینامه تحت استاندارد BS 7799-2 موظفند ارزیابی خطر را انجام دهند. برای ایجاد آن راحت تر، اغلب از تجزیه و تحلیل نیازهای حفاظت شده بر اساس کاتالوگ‌های حفاظت از پایگاه اطلاعاتی متفاوت است. این مزیت نه تنها مطابق با FSI سخت‌افزاری بلکه همچنین دستیابی به گواهینامه BS 7799-2 است. فراتر از این، FSI چند کمک می‌کند مانند قالب سیاست و GSTOOL.

یکی از اجزای حفاظت از اطلاعات در دسترس است که در همکاری با کمیسیون فدرال آلمان برای حفاظت از داده‌ها و آزادی اطلاعات و مقامات حفاظت از داده‌های دولت تولید شده و در کاتالوگ حفاظت از مبانی فناوری اطلاعات یکپارچه شده‌است. با این حال، این جزء در روند صدور گواهینامه در نظر گرفته نمی‌شود.

فرایند حفاظت پایه

مراحل زیر بر اساس فرایند حفاظت از پایه در طی تجزیه و تحلیل ساختار و تجزیه و تحلیل نیازهای حفاظت انجام می‌شود:

• شبکه IT تعریف شده‌است.
• تجزیه و تحلیل ساختار IT انجام شده‌است.
• حفاظت نیازهای تعیین شده را انجام می‌دهد.
• بازرسی امنیتی پایه انجام می‌شود.
• اقدامات حفاظتی پایه فناوری اطلاعات در حال اجرا است.

ایجاد در مراحل زیر اتفاق می‌افتد:

• تجزیه و تحلیل ساختار IT (نظرسنجی)
• ارزیابی نیازهای حفاظت
• انتخاب اقدامات
• در حال انجام مقایسه اسمی و واقعی

تجزیه و تحلیل ساختار فناوری اطلاعات

یک شبکه فناوری اطلاعات شامل کلیه زیرساختارها، سازمانها، پرسنل و اجزای فنی است که در انجام وظایف در یک منطقه کاربرد کاربرد پردازش اطلاعات مورد استفاده قرار می‌گیرند؛ بنابراین یک شبکه فناوری اطلاعات می‌تواند به کلیه ویژگی‌های فناوری اطلاعات یک نهاد یا بخش تقسیم شود، که توسط سازه‌های سازمانی مانند یک شبکه ادارات یا به عنوان برنامه‌های کاربردی مشترک فناوری اطلاعات، به عنوان مثال، یک سیستم اطلاعاتی پرسنلی، تقسیم شده‌است. لازم است که ساختار فناوری اطلاعات را مورد تجزیه و تحلیل و مستندسازی قرار دهیم تا یک مفهوم امنیتی فناوری اطلاعات و به ویژه برای استفاده از کاتالوگ‌های حفاظت از پایگاه اطلاعاتی مورد استفاده قرار گیرد. با توجه به امروزه سیستم‌های شبکه ای که معمولاً به شدت شبکه هستند، یک طرح توپولوژی شبکهٔ شبکه ای یک نقطه شروع برای تحلیل است. جنبه‌های زیر باید مورد توجه قرار گیرد:

• زیرساخت موجود
• چارچوب سازمانی و پرسنلی برای شبکه فناوری اطلاعات
• شبکه‌های کامپیوتری و شبکه‌های غیر شبکه ای که در شبکه IT کار می‌کنند
• ارتباطات ارتباطی بین سیستم‌های فناوری اطلاعات و خارج از آن
• برنامه‌های کاربردی IT در داخل شبکه IT اجرا می‌شوند

حفاظت نیاز به تعیین است

هدف از تعیین نیازهای حفاظت، بررسی اینکه حفاظت کافی و مناسب برای فناوری اطلاعات و اطلاعات در استفاده است. در این ارتباط، آسیب به هر برنامه و اطلاعات پردازش شده، که می‌تواند منجر به نقض محرمانه بودن، یکپارچگی یا دسترسی شود، در نظر گرفته شده‌است. در این زمینه، ارزیابی واقع بینانه از احتمال خسارت احتمالی مهم است. تقسیم به سه محافظت نیاز به دسته‌های «کم تا متوسط»، «بالا» و «بسیار بالا» خود را ثابت ارزش. «عمومی»، «داخلی» و «راز» اغلب برای محرمانه بودن استفاده می‌شود.

مدل سازی

امروزه سیستم‌های فناوری اطلاعات به‌طور گسترده شبکه ای معمولاً تکنولوژی اطلاعات در دولت و کسب و کار را مشخص می‌کنند. به همین دلیل، بهتر است تمام سیستم اطلاعات IT و نه فقط سیستم‌های فردی را در محدوده تحلیل و مفهوم امنیت فناوری اطلاعات مورد توجه قرار دهد. برای اینکه بتوانید این کار را مدیریت کنید، منطقی است که کل سیستم IT را به قطعات جداگانه تقسیم کنید و هر بخش یا حتی یک شبکه فناوری اطلاعات را به‌طور جداگانه بررسی کنید. مستندات دقیق در مورد ساختار آن لازمه استفاده از کاتالوگ‌های حفاظت از پایگاه اطلاعاتی در یک شبکه IT است. برای مثال می‌توان از طریق تجزیه و تحلیل ساختار IT که در بالا توضیح داده شد، به دست آورد. اجزای کاتالوگ حفاظت از پایگاه داده IT باید در نهایت بر روی اجزای شبکه IT مورد نظر در یک مرحله مدل‌سازی قرار گیرد.

چک کردن امنیت پایه

بازرسی امنیتی پایه یک ابزار سازمانی است که یک مروری سریع از سطح امنیتی حاکم بر فناوری اطلاعات ارائه می‌دهد. با کمک مصاحبه‌ها، وضعیت موجود یک شبکه IT موجود (به وسیلهٔ حفاظت از مبانی فناوری اطلاعات) نسبت به تعدادی از اقدامات امنیتی که از کاتالوگ‌های حفاظت پایه فناوری اطلاعات انجام می‌شود بررسی می‌شود. نتیجه یک کاتالوگ است که در آن وضعیت اجرای «غیر ضروری»، «بله»، «تا حدی» یا «نه» برای هر معیار مربوطه وارد شده‌است. با شناسایی هنوز یا تنها جزئی، اقدامات اجرا شده، گزینه‌های بهبود برای امنیت فناوری اطلاعات مورد بحث برجسته است. بازرسی امنیتی پایه اطلاعاتی در مورد اقدامات ارائه می‌دهد که هنوز از دست داده‌اند (اسمی در مقایسه با مقایسه واقعی). از این به بعد، آنچه که برای حفاظت از پایه از طریق امنیت فراهم می‌شود باید انجام شود. همه اقدامات پیشنهاد شده توسط این بررسی پایه لازم نیست انجام شود. ویژگی‌ها باید در نظر گرفته شوند! این می‌تواند باشد که برنامه‌های کاربردی چند وجهی کمتری در یک سرور اجرا می‌شوند که دارای نیازهای حفاظت کمتری هستند. با این حال، در کل آنها، این برنامه‌ها باید دارای سطح بالایی از حفاظت باشند. این (اثر مخلوط) نامیده می‌شود.

برنامه‌های در حال اجرا بر روی یک سرور نیاز خود را برای حفاظت تعیین می‌کند. در این ارتباط، باید توجه داشت که چندین برنامه کاربردی فناوری اطلاعات می‌توانند بر روی یک سیستم IT کار کنند. وقتی این اتفاق می‌افتد، برنامه با بیشترین نیاز برای حفاظت، طبقه‌بندی حفاظت از سیستم IT را تعیین می‌کند.

برعکس، قابل تصور است که یک برنامه کاربردی فناوری اطلاعات با نیازهای حفاظت عالی، این را به‌طور خودکار به سیستم IT انتقال نمی‌دهد. این ممکن است به این دلیل اتفاق بیفتد که سیستم IT به صورت غیرفعال پیکربندی شده یا به دلیل اینکه تنها یک بخش غیرقابل اجرا بر روی آن اجرا می‌شود. این (اثر توزیع) نامیده می‌شود. این مورد، به عنوان مثال، با خوشه است.

امنیت پایه بررسی نقشه‌های حفاظت از پایه نقشه. این سطح برای نیازهای حفاظت کم به متوسط کافی است. این بر اساس تخمین FSI حدود ۸۰ درصد از کل سیستم‌های IT را تشکیل می‌دهد. برای سیستم‌های با نیازهای حفاظت بالا تا بسیار بالا، مفاهیم امنیت اطلاعات مبتنی بر تجزیه و تحلیل ریسک، مانند استاندارد ISO / IEC 27000 سری، معمولاً استفاده می‌شود.

کاتالوگ حفاظت پایه IT و استانداردها

در طی بازسازی و گسترش فهرست‌های حفاظت از پایه IT در سال ۲۰۰۵، روش FSI از کاتالوگ حفاظت از پایگاه داده IT جدا شده‌است. استانداردهای BSI 100-1، BSI 100-2 و BSI 100-3 حاوی اطلاعات در مورد ساخت یک سیستم مدیریت امنیت اطلاعات (ISMS)، روش یا رویه حفاظت پایه و ایجاد یک تحلیل امنیتی برای افزایش و بسیار بالا حفاظت نیاز به ایجاد یک تحقیق حفاظت پایه کامل است.

BSI 100-4 استاندارد مدیریت اضطراری در حال آماده‌سازی است. این شامل عناصر از BS 25999، مدیریت تداوم خدمات ITIL همراه با اجزای کاتالوگ مربوط به فناوری پایه فناوری اطلاعات و جنبه‌های ضروری برای مدیریت مداوم (BCM) است.

پیاده‌سازی این استانداردها، طبق استاندارد BS 25999-2، صدور گواهینامه امکان‌پذیر است. FSI طرح طراحی استانداردهای FSI 100-4 برای تفسیر آنلاین را در زیر ارائه کرده‌است.^[۵]

FSI استانداردهای خود را با استانداردهای بین‌المللی مانند ISO / IEC 27001 به این ترتیب به ارمغان می‌آورد.

اداره فدرال امنیت اطلاعات فناوری اطلاعات کاتالوگ‌های حفاظت از پایه فناوری اطلاعات «یک دستور غذای آشپزی» را برای سطح نرمال حفاظت ارائه می‌دهد. علاوه بر احتمال وقوع و میزان بالقوه آسیب، هزینه‌های اجرایی نیز در نظر گرفته می‌شود.

با استفاده از کاتالوگ‌های حفاظت از پایه، تجزیه و تحلیل هزینه‌های امنیتی که نیازمند دانش تخصصی است، از آنجا که خطرات کلی در ابتدا مورد استفاده قرار می‌گیرد، رفع می‌شود. برای اشخاص نسبی شناسایی اقداماتی که باید انجام شود و آن‌ها را در همکاری با متخصصان اجرا کند ممکن است.

FSI یک گواهی حفاظت از پایه را به عنوان تأیید برای موفقیت در اجرای حفاظت از پایه ارائه می‌دهد. در مراحل ۱ و ۲، این بر اساس اعلام خود است. در مرحله ۳ یک حسابرسی مستقل با مجوز FSI مجدداً انجام می‌دهد. صدور گواهینامه بین‌المللی سازی از سال ۲۰۰۶ امکان‌پذیر است.

گواهینامه ISO / IEC 27001 می‌تواند به‌طور همزمان با صدور گواهینامه حفاظت از پایگاه داده IT صورت پذیرد(استاندارد ISO / IEC 27001 جانشین BS 7799-2 است) این فرایند بر اساس استانداردهای امنیتی جدید FSI است. این فرایند یک قیمت توسعه را به وجود می‌آورد که برای مدتی حاکم شده‌است.

شرکت‌های دارای گواهینامه تحت استاندارد BS 7799-2 موظفند ارزیابی خطر را انجام دهند. برای ایجاد آن راحت تر، اغلب از تجزیه و تحلیل نیازهای حفاظت شده بر اساس کاتالوگ‌های حفاظت از پایگاه اطلاعاتی متفاوت است. این مزیت نه تنها مطابق با FSI سخت‌افزاری بلکه همچنین دستیابی به گواهینامه BS 7799-2 است. فراتر از این، FSI چند کمک می‌کند مانند قالب سیاست و GSTOOL.

یکی از اجزای حفاظت از اطلاعات در دسترس است که در همکاری با کمیسیون فدرال آلمان برای حفاظت از داده‌ها و آزادی اطلاعات و مقامات حفاظت از داده‌های دولت تولید شده و در کاتالوگ حفاظت از مبانی فناوری اطلاعات یکپارچه شده‌است. با این حال، این جزء در روند صدور گواهینامه در نظر گرفته نمی‌شود.

منابع

1. Klipper، Sebastian (۲۰۱۵). ISO 27005 und BSI IT-Grundschutz. Wiesbaden: Springer Fachmedien Wiesbaden. صص. ۹۷–۱۰۶. شابک ۹۷۸۳۶۵۸۰۸۷۷۳۹.
2. End User License Agreement. Weinheim, Germany: Wiley-VCH Verlag GmbH & Co. KGaA. ۲۰۱۴-۰۷-۱۲. صص. i–i. شابک ۹۷۸۳۵۲۷۶۷۹۴۶۱.
3. Information technology. Security techniques. Information security management systems. Requirements, BSI British Standards, retrieved 2018-07-06
4. Wang, Chi-Hsiang; Tsai, Dwen-Ren (2009-10). "Integrated installing ISO 9000 and ISO 27000 management systems on an organization". 43rd Annual 2009 International Carnahan Conference on Security Technology. IEEE. doi:10.1109/ccst.2009.5335527. ISBN 978-1-4244-4169-3. {{cite journal}}: Check date values in: |date= (help)
5. Weinmann، Alexander (۱۹۸۸). Regelstrecken. Vienna: Springer Vienna. صص. ۸۱–۱۰۰. شابک ۹۷۸۳۷۰۹۱۴۱۰۶۹.