معرفی و دانلود کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001
برای دانلود قانونی کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 و دسترسی به هزاران کتاب و کتاب صوتی دیگر، اپلیکیشن کتابراه را رایگان نصب کنید.
معرفی کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001
کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 به قلم مهدی اسد بک و یوسف رشیدی، چارچوب امنیتی کلی و یک سری تکنیکهای تخصصیتر را برای پیادهسازی امنیت فضای تبادل اطلاعات معرفی کرده و آنها را مورد مطالعه و بررسی قرار میدهد.
امروزه نقش اطلاعات در سازمانها به عنوان یکی از حیاتیترین سرمایهها به وضوح به چشم میآید. گسترش شبکههای اطلاعاتی و دیگر فناوریهای پردازش و انتقال اطلاعات، از یک سو به پیشرفت سازمانها و رفاه مشتریان کمک کرده و از سویی دیگر تهدیدهای جدیدی را متوجه کسب و کار سازمانها نموده است.
در نتیجه اطلاعات باید به طور مناسبی محافظت شوند. امنیت اطلاعات، به منظور اطمینان از حیات کسب و کار، کاهش خرابیها، افزایش فرصتهای کسب و کار و بازگشت سرمایه، محافظت اطلاعات را از حیطه گستردهای از تهدیدات تضمین میکند.
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بهویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی اشاره نمود.
بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساختهایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد.
از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرف نظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد.
موسسات ISO و IEC از موسسات بینالمللی تدوین استاندارد در سطح جهانی میباشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل دادهاند.
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی ایمنسازی فضای تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد از برجستهترین استاندادرها و راهنماهای فنی در این زمینه محسوب میگردند.
در بخشی از کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 میخوانیم:
این استاندارد که اصطلاحا به آن CC) common criteria) گفته میشود بعد از سال 1994 مطرح شد و چارچوبی را فراهم میسازد که در آن کاربران سیستم کامپیوتری میتوانند عملکردهای امنیتی و نیازهای قابلیت اطمینان خود را مشخص و فروشندگان بر اساس آنها محصولات CC خود را پیادهسازی و مورد ارزیابی قرار دهند. به عبارت دیگر تضمین میکند که فرایند تشخیص، پیادهسازی و ارزیابی امنیت سیستم کامپیوتری به روشی مطمئن و استاندارد صورت میگیرد.
این استاندارد دربرگیرنده معیار ارزیابی امنیت وابسته به اقدامات امنیتی اجرایی نمیباشد، این اقدامات همچنین به طور مستقیم به اقدامات امنیتی فناوری اطلاعات مربوط نمیشود، اگرچه اینگونه تشخیص داده شده که قسمت مهمی از TOE (هدف ارزیابی) از طریق اقدامات اجرایی مانند کنترلهای سازمانی، پرسنلی، فیزیکی و رویهای ایجاد میشود. اقدامات امنیتی اجرایی در محیط عملیاتی TOE جایی که قابلیت تاثیر گذاری بر روی اقدامات امنیتی جهت مقابله با تهدیدهای شناخته شده را دارند به عنوان فرضیات کاربرد ایمن به کار گرفته میشود.
ارزیابی جنبههای فیزیکی تکنیکی امنیت فناوری اطلاعات مانند کنترل محل صدور جریان الکترومغناطیسی به طور خاص تحت پوشش قرار نمیگیرد، این در حالی است که بسیاری از مفاهیم مورد نظر، برای این سطح قابل اجرا خواهند بود. این استاندارد به طور خاص برخی از جوانب محافظت فیزیکی از TOE را مد نظر قرار میدهد.
این استاندارد هیچ یک از روشهای ارزیابی و چهارچوب قانونی و اجرایی که ممکن است بعنوان معیار توسط مسئولین ارزیابی به کار گرفته شود را بعنوان متودولوژِی ارائه نمیدهد.
فهرست مطالب کتاب
پیشگفتار
مقدمه
فصل اول: امنیت اطلاعات
تاریخچه امنیت اطلاعات
امنیت اطلاعات چیست؟
نقطه آغاز امنیت اطلاعات
چرا به امنیت اطلاعات نیازمندیم؟
چالش انسانی امنیت اطلاعات
اصول مهم در امنیت اطلاعات
مفاهیم پایه درامنیت اطلاعات
محرمانگی
یکپارچه بودن
کنترل اختیارات و قابل دسترس بودن
قابلیت حسابرسی و قابلیت عدم انکار انجام عمل
اصل بودن
کنترل دسترسی
تعریف سادهای از امنیت اطلاعات
کنترل امنیت اطلاعات چگونه ممکن است؟
کنترل امنیت اطلاعات
مدیریتی
منطقی
فیزیکی
رمزنگاری
حراست فیزیکی
روشی برای مدیریت امنیت اطلاعات
برنامه جامع امنیت تجارت الکترونیک
امضای دیجیتالی زیربنای امنیت تبادلات الکترونیکی
منظور از امضای دیجیتالی چیست؟
کاربرد امضای دیجیتالی در تجارت الکترونیکی
تفاوت http با https در امنیت اطلاعات
فصل دوم: مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات چیست؟
طرح مدیریت امنیت اطلاعات چیست؟
سیستم مدیریت امنیت اطلاعات (Information Security Management System)
سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان
مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات
چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)
مراحل اجرای سیستم مدیریت امنیت اطلاعات
تعیین سیاستهای امنیتی
چگونگی تشخیص الزامات امنیتی
طرح تحلیل مخاطرات امنیتی
ارائه طرح جامع امنیت شبکه و اطلاعات
فصل سوم: استانداردهای مدیریت امنیت اطلاعات
تاریخچه استاندارد
تعریف استاندارد
سطوح استاندارد
سازمان بینالمللی استانداردسازی
تعریف ایزو از ISMS
استانداردهای امنیت
مؤسسه مهندسان برق و الکترونیک (IEEE)
استاندارد IEEE 802
انواع استانداردهای802 IEEE
استاندارد IEEE 802. 11 Wireless LAN
قابلیتها و ابعاد امنیتی استاندارد IEEE802. 11
تقسیم بندی گروه کاری IEEE802. 11
استاندارد جدید IEEE 802. 11N
استانداردهای شبکههای محلی بیسیم
قابلیت و سرویس پایه توسط IEEE برای شبکههای محلی بیسیم
استانداردهای مدیریت امنیت اطلاعات
انواع استانداردهای مدیریت امنیت اطلاعات
استانداردهای خانواده ISO27000
استاندارد ISO/IEC 27001
بخش اول
بخش دوم
ممیزی داخلی در استاندارد ISO/IEC 27001
متدولوژی ISO/IEC 27001
حوزه اول - خط مشی امنیتی
اجزاء مستند خط مشی امنیت اطلاعات
حوزه دوم-سازماندهی امنیت اطلاعات
امنیت طرفهای بیرون از سازمان
حوزه سوم – مدیریت دارایی ها
انواع داراییهای عنوان شده
حوزه چهارم – امنیت منابع انسانی
لحاظ نمودن امنیت در تعریف شغل و منبع
حوزه پنجم – امنیت محیطی و فیزیکی
حوزه ششم – مدیریت ارتباطات و عملیات
روشهای عملیاتی و مسئولیت ها
طراحی و تست قبولی سیستم
حفاظت از نرم افزار بدخواه
مدیریت نسخههای پشتیبان
اطمینان از حراست اطلاعات در شبکهها و حفاظت اززیرساخت پشتیبانی کننده
اداره کردن محیطهای ذخیره سازی
سرویسهای تجارت الکترونیکی
حوزه هفتم – کنترل دسترسی
کنترل دسترسی به اطلاعات
مدیریت و حصول اطمینان ازدسترسی کاربر
کنترل دسترسی به سیستم عامل
کنترل دسترسی به برنامههای کاربردی
محاسبه سیار و کار از راه دور
حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
نیازمندیهای امنیتی سیستمهای اطلاعاتی
پردازش صحیح برنامههای کاربردی
کنترلهای رمزنگاری
امنیت فایلهای سیستم کاربردی
امنیت فرآیندهای توسعه و پشتیبانی
حوزه نهم – مدیریت حوادث امنیت اطلاعات
گزارش حوادث و ضعفهای امنیتی
مدیریت حوادث امنیت اطلاعات و راههای بهبود آنها
حوزه دهم– طرح تداوم کسب و کار
وجوه امنیتی مدیریت تداوم کسب و کار
حوزه یازدهم – مطابقت با قوانین
انطباق با الزامات قانونی
انطباق با خط مشیها و انطباق فنی
بازرسی ممیزی سیستمهای اطلاعاتی
مزایای پیاده سازی استاندارد ISO/IEC 27001
استاندارد ISO/IEC 27002
بحث
استاندارد ISO/IEC 27003
استاندارد ISO/IEC 27004
استاندارد ISO/IEC 27005
استاندارد ISO/IEC 27006
استاندارد ISO/IEC 27007
استاندارد ISO/IEC 27011
مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استانداردهای سری :ISO27000
استاندارد ISO/IEC 15408
گزارش فنی ISO/IEC TR13335 موسسه بینالمللی استاندارد
استاندارد NIST800_30
مقایسه استانداردهای ISO 27005 و NIST
تصدیق استانداردها
پیاده سازی استانداردهای امنیت شبکه
اطلاعات سرمایه شماست
نفوذ به سیستم شما شهرت سازمان شما را نیز بر باد میدهد.
مدل امنیتی وایا چیست؟
ویژگیهای منحصر به فرد طرح حاضر
نگرش ایمن افزار وایا به امنیت در طرح حاضر
خدمات وایا
بهینه سازی و ایمن سازی شبکه
عقد قراردادهای مشاوره
نظارت بر عملکرد سیستمهای ذخیره سازی و پشتیبان گیری
جمع بندی
لزوم رعایت استانداردهای مدیریت امنیت اطلاعات در کشور
نتیجهگیری
منابع
مشخصات کتاب الکترونیک
نام کتاب | کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 |
نویسنده | مهدی اسد بک، یوسف رشیدی |
ناشر چاپی | انتشارات آفتاب گیتی |
سال انتشار | ۱۳۹۸ |
فرمت کتاب | EPUB |
تعداد صفحات | 113 |
زبان | فارسی |
شابک | 978-622-6465-72-4 |
موضوع کتاب | کتابهای امنیت شبکه، کتابهای شبکههای کامپیوتری |