وبلاگ کسپرسکی آنلاین | گواهینامه ISO 27001 چیست و چرا به آن نیاز داریم؟

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند روز پیش بود که خبر کسب گواهینامه‌ی ISO 27001 توسط کسپرسکی را گزارش دادیم. اخیراً شرکت TÜV AUSTRIA تأیید کرده است که سیستم مدیریت امنیت اطلاعاتی که با استفاده از زیرساخت KSN[1] به کار می‌بریم با استاندارد ISO/IEC 27001:2013 (در تحویل فایل‌های مخرب و مشکوک) مطابقت دارد. TÜV همچنین ذخیره و دسترسی امن به این فایل‌ها در KLDFS[2] را نیز تصدیق نمود. حال که کمی از ماجرا خبردار شدید بد نیست در این خبر نیز کمی بیشتر در مورد خودِ این گواهی‌نامه و الزامِ داشتن آن بدانید. پس با ما همراه باشید.

ISO 27001 چیست؟

ISO 2700 یک استاندارد بین‌المللی است با الزاماتی برای ساخت، حفظ و توسعه‌ی سیستم‌های مدیریت امنیت اطلاعات. در اصل می‌شود گفت مجموعه‌ایست از بهترین روش‌های مدیریت امنیت برای حفاظت داده و نیز تضمین محافظت از اطلاعات‌ به مشتری. برای انجام صدور گواهینامه، یک نهاد مستقل (در این مورد منظور TÜV AUSTRIA است) اقدام به ارسال یک سری ممیزی می‌کند که هدفشان بررسی میزان انطباق فرآیندهای امنیت سایبری با بهترین راهکارهاست. در طی این ممیزی، آن‌ها در دپارتمان‌های مختلف (از جمله منابع انسانی، آی‌تی، توسعه و تحقیق و امنیت) این فرآیندها را مورد ارزیابی قرار داده و گزارشی جامع تهیه می‌کنند؛ گزارشی که سایر متخصصین مستقل سپس آن را تحلیل می‌کنند تا انصاف حسابرس‌ها تأیید گردد. در نهایت این سازمان مستقل، گواهی را صادر می‌کند. در مورد شرکت ما اینطور بود که گواهی شد سیستم مدیریت امنیت اطلاعات با بهترین روش‌ها مطابقت دارد.

چه چیزی «گواهی» می‌شود؟

مشتریان ما در درجه‌ی اول علاقه دارند بدانند آیا ما برای تحلیل دستی و اتوماتیکِ بیشتر (توسط متخصصین‌مان) بالاترین میزان ممکنِ امنیت را برای فرآیندهای ارسال فایل‌های مشکوک و مخرب ارائه می‌دهیم و اینکه آیا بعدش به طرز مطمئنی آن‌ها را ذخیره می‌کنیم یا نه. این بخش برای هر شرکتی که کارش ارائه‌ی آنتی‌ویروس است بخش مهم و حیاتی محسوب می‌شود. بنابراین، ما با استفاده از زیرساخت KSN و ذخیره امن آن‌ها در KLDFS گواهی مکانیزم‌های ارسال برای فایل‌های مخرب و مشکوک را دنبال نمودیم. با این حال، ممیزی فقط به این بخش محدود نمی‌شد. بسیاری از خدمات این شرکت نیز به طرز مشابهی ترتیب داده شده بود. عوامل بسیاری بر امنیت هر فرآیند تأثیر می‌گذارد و سیستم‌های مدیریت امنیت اطلاعات می‌توانند در تعریف این عوامل یاری رسانده و محافظت به موقعی ارائه دهند. خیلی از سوالات در حوزه مدیریت امنیت سایبری می‌تواند اصولی تلقی شود. چه کسی به سیستم‌های اطلاعاتی و اطلاعات مهم دسترسی دارد؟ فرآیند درخواست شغل‌شان چطور پیش رفته است؟ چطور کارمندان با داکیومنت‌ها و سیستم‌های اطلاعات کار می‌کنند؟ تیم امنیتی چطور از پسِ باطل کردن حقوق دسترسی بعد از اینکه کارمند از شرکت می‌رود برمی‌آید؟ کارمندان تا چه میزان می‌بایست نسبت به تهدیدهای سایبری و ابزار محافظتی برای مقابله با آن‌ها آگاه باشند؟ ادمین‌ها چطور با کامپیوترهایی که عملیات‌های حساس انجام می‌دهند کار می‌کنند؟

این سیستم محافظتی همچنین انواع جدیدی از تهدیدها و مقابله با آن‌ها را مد نظر قرار می‌دهد. بعنوان مثال محافظت در برابر حملات APT، مقابله با خطرات احتمالی استفاده از فناوری‌های جدید از جمله استفاده از الگوریتم‌های فناوری یادگیری ماشین. با این تفاسیر، ممیزی‌ها مستندات را مورد تحلیل و بررسی قرار دادند، با کارمندان دپارتمان‌های مختلف صحبت کردند و جوانب فنی و سازمانی حفاظت اطلاعاتی را بازبینی و موشکافی نمودند (از جمله فرآیندهای استخدام، اخراج و آموزش). آن‌ها بررسی کردند چطور سرویس آی‌تی، شبکه‌ی سازمانی را حفظ می‌کند. همچنین از مراکز اطلاعاتی ما نیز دیدن کردند. افزون بر این دیدند کارمندان چطور کار می‌کنند، چک کردند ببینند آیا داکیومنت پرینت‌شده‌ای جا گذاشته‌اند و یا نکند فایل رسانه‌ای‌ای در دفتر جامانده باشد. چک کردند ببینند کارمندان وقتی از پشت میزشان می‌روند آیا کامپیوتر خود را قفل می‌کنند یا نه و یا مانیتورها و داشبوردهایشان چه چیزی را نمایش می‌دهد. اینکه کارمندان به استفاده از چه نوع برنامه‌ای عادت کرده بودند نیز مورد بررسی قرار گرفت. به بیانی دیگر ممیزی‌ها در حقیقت کل عادات شرکت را موشکافی کردند و خصوصاً توجهشان به تأیید فرآیندهای سیستم مدیریت امنیت اطلاعات بود: تحلیل امنیت با مدیریت، مدیریت ریسک، مدیریت رخداد، اقدامات اصلاحی، ممیزی، اطمینان از آگاهی امنیت سایبری کارمندان و حفظ تداوم کسب و کار.

بعدش چه؟

اکنون، مشتریان مربوطه می‌توانند با این گواهی که بازتابی از نظرات متخصصین مستقل است خود را آشنا کنند. سوالات پیرامون گواهی ISO 2700 تقریباً مکرراً پرسیده می‌شود؛ خصوصاً وقتی یک شرکت سازمانی در حال انتخاب ارائه‌دهنده‌ی امنیت است؛ زیرا بیشتر خدمات معتبر را می‌توان در راهکارهای ما جست. اما کار به اینجا ختم نمی‌شود. ما هر سال یک بار تجدید اعتبار می‌کنیم و این یعنی ممیزی‌های بیشتر برای تصدیق مالکیت گواهی. افزون بر این، ممیزی‌ها سالانه بررسی‌ها را لحاظ نمی‌کنند.

برای اطلاعات بیشتر در مورد این گواهی به وبسایت زیر مراجعه نمایید.

https://www.kaspersky.com/about/iso-27001

[1] Kaspersky Security Network

[2] Kaspersky Lab Distributed File System

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.