کنترل دسترسی: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
جز ویرایش 217.219.93.6 (بحث) به آخرین تغییری که YamahaBot انجام داده بود واگردانده شد |
LetsDoItBot (بحث | مشارکتها) تمیزکاری، + ویرایش با ماژول ابرابزار با استفاده از AWB |
||
خط ۲۲:
== جامعیت ==
از طریق اهداف زیر بیان میگردد:
# ممانعت از تغییر اطلاعات توسط افراد
# ممانعت از تغییر غیرعمدی توسط افراد مجاز
# محافظت از سازگاری داخلی و خارجی
خط ۴۰:
واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکهها را دارا میباشد.
==
ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکهها شود.
خط ۶۰:
این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی میشوند، به عنوان مثال قفل کردن درها، امنسازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را میتوان ذکر کرد.
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را
رویههای تضمین باعث میشوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیادهسازی نمایند.
خط ۶۶:
در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
مبحث کنترل دسترسی (کنترل دسترسی) یکی از دامنههای مورد نظر در استاندارهای [[امنیت اطلاعات]] (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به
== تعریف کنترل دسترسی از دیدگاه CISSP ==
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست:
خط ۸۳:
== چرا کنترل دسترسی اهمیت دارد؟ ==
کنترل دسترسی روشنترین نماد امنیت است. در واقع آنرا قلب امنیت هم میدانند. همچنین برای به اجرا
کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته میشود که عبارتند از:
# جلوگیری از دسترسی کاربران
# جلوگیری از دستکاری اطلاعات به صورت
# حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی.
== انواع کنترل دسترسی ==
کنترل دسترسی و به طور کلی کنترل را از دیدگاههای مختلفی میتوان
# پیش گیرانه (که جلوی چیزی را قبل از حادث شدن میگیرند)
# شناسایی کننده. (شناسایی مخاطرات)
# اصلاح کننده (که تعمیر یا تصحیح امور را انجام میدهند)
# بازیاب (که چیزی را بازیافت و دوباره احیا میکنند)
خط ۹۸:
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند:
# کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری
# کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
# کنترلهای فیزیکی مانند درها، حصارها، گاردها
== کنترل دسترسی در ISO ۱۷۷۹۹-۲۰۰۵ ==▼
دامنه کنترل دسترسی به عنوان یکی از دامنههای استاندارد امنیتی ایزو ۱۷۷۹۹ دارای هفت بخش کلی است که هر کدام از آنها نیز از چندین زیربخش تشکیل شدهاند. فهرست این بخشها به شرح زیر است:
# ملزومات مورد نیاز برای پیادهسازی
## سیاستهای کنترل دسترسی
# مدیریت دسترسی کاربران
## ثبت کاربر
## مدیریت امتیازات خاص کنترل
## مدیریت رمز عبور کاربران کنترل
## بررسی حقوق دسترسی کاربر کنترل
# مسئولیتهای کاربر
## کاربرد رمز عبور
## تجهیزات دور از توجه مستقیم کاربر
## سیاست تمیز نگاه داشتن میز کار و صفحه نمایش تجهیزات الکترونیکی
# کنترل دسترسی به شبکه
## سیاست چگونگی استفاده از سرویسهای شبکه
## تصدیق اعتبار کاربر برای ارتباطات و تماسهای از خارج از سازمان
## شناسایی و تعیین هویت تجهیزات در شبکه
## مراقبت از پورتهایی که برای اجرای تنظیمات و رفع نقصها از راه دور
## تفکیک و جداسازی در شبکهها
## کنترل تماس با شبکه
# کنترل دسترسی به سیستمعامل
## فرآیندهایی امن برای ورود به سیستم
## شناسایی و تصدیق هویت کاربران
## سیستم مدیریت رمز عبور
## استفاده از برنامههای مزیتی سیستم
## مهلت زمانی نشستها
## محدودیت زمان برقراری ارتباط
# کنترل دسترسی به برنامههای کاربردی و اطلاعات
## ممنوعیت دسترسی به اطلاعات
## جداسازی سیستمهای حساس
# شبکههای بیسیم و ارتباطات سیار راه دور
## محاسبات و ارتباطات سیار
## کارکردن از راه دور
سطر ۱۴۱ ⟵ ۱۴۰:
=== کنترل دسترسی اجباری ===
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء میباشد. برای مثال مستندات
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات
تا زمانیکه اشخاص مطابق با طبقهبندی موردنیاز مشخص نشدهاند نباید به اطلاعات دسترسی داشته باشند.
سطر ۱۸۲ ⟵ ۱۸۱:
=== ممانعت ===
==== راهبری ====
در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، میباشد. این مکانیزمها شامل سیاستهای سازمانی و رویهها، موافقت نامههای کارمندان، رویههای اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهیهای رفتاری و رویههای نشانه گذاری برای حصول شبکهها و سیستمهای اطلاعاتی
==== فنی ====
سطر ۱۹۷ ⟵ ۱۹۶:
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف میشود که تحت نظرکنترل دسترسی میباشد.
کنترلهای ممانعت/ فیزیکی شامل: حفاظها،
سنجههای ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.
سطر ۲۰۴ ⟵ ۲۰۳:
==== راهبری ====
تعداد زیادی از کنترلهای این نوع با کنترلهای مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد.
نمونههایی از این کنترلها سیاستهای سازمان و رویهها، زمانبندی تعطیلات، برچسب گذاری مواد حساس
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند.
سطر ۲۲۳ ⟵ ۲۲۲:
Wiley] - The CISSP Prep Guide - Mastering the Ten Domains of Computer Security]
==
[[امنیت اطلاعات]]
== پیوند به بیرون ==
* [http://www.praxiom.com/ خلاصه متن استاندارد ایزو ۱۷۷۹۹]
{{دادههای کتابخانهای}}
|