سیاست امنیتی پیشنهادی برای شبکه GSM کشور
< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>
خط مشیهای امنيت اطلاعات در ساختار سازمانی
مقصود : مديريت بر امنيت و نحوه عملکرد مديران در ايمنسازی شبکه GSM.
خط مشیهای امنيت اطلاعات در ساختار سازمانی شبکه ارتباطات سیار به شرح زير پیشنهاد میگردد:
- حفاظت از امکانات و تجهیزات NSS و BSS که در اختيار عوامل ثالث قرار داده شده است.
- تعبیه الزامات لازم از طرف شرکت ارتباطات سیار جهت حمايتهای اجرايي داشتن راهکارهای امنيتی ارايه شده بعد از تحلیل مخاطره شبکه تلفن همراه.
- تعيين ساختاری کارا جهت استمرار بخشی امنیت شبکه تلفن همراه.
- تعيين واحد سازمانی جهت تصدی وضع و اجرای خط مشی امنيت سرویسها شبکه NSS و BSS
- تعیین گروه عملياتي از مديران ارشد شرکت ارتباطات سیار به منظور هماهنگي در پيادهسازي کنترلهاي حفاظتي تاکيد شود.
- باید مسؤوليتهای مرتبط با امنیت شبکه تلفن همراه و عهدهداران آنها در چارت سازمانی شرکت ارتباطات سیار دقیقاً مشخص گردد.
- وجود يک فرايند مديريتی مجازسازي به منظور دسترسي به امکانات شبکه تلفن همراه.
- تاکيد بر تعریف دقیق مشاغل و مسؤوليتها به منظور کاهش تهديدات و فرصتهاي استفاده نابجا از تجهیزات و خدمات شبکه تلفن همراه کشور.
- تعریف سیستمی اثر بخش برای آگاهي از نظرات نيروهاي داخلي يا مشاورين شرکت ارتباطات سیار در تدوین خط مشی امنيت اطلاعات و ارتباطات شبکه تلفن همراه.
- بايد مسؤوليت و عهدهدار پيادهسازی و مرور خط مشی امنيت اطلاعات و ارتباطات و نظارت بر اجرای آن در شرکت ارتباطات سیار مشخص شود.
- بايد روالی برای امن سازی اطلاعات و ارتباطات شرکت ارتیاطات سیار که مسؤوليت و عهدهدار آنها عوامل ثالث میباشد تدوین گردد و یا تکمیل گردد.
- شناسايي و ارزيابی مخاطرات ناشي از دستيابي عوامل ثالث (حقوقي و حقيقي) به امکانات فنآوري اطلاعات شرکت ارتباطات سیار.
- پيشبيني کردن نيازها و لوازم امنيتي در قراردادهاي عوامل ثالث.
- تعریف دقیق حوزه فعاليت ستادها، کميتهها و حتی عوامل ثالث.
- تعيين نحوه رويداد نگاری در اماکن حساس شبکه تلفن همراه.
- مشخص کردن مسؤوليت و عهدهدار مديريت طرح ضربتی مربوط به امبنت اطلاعات و ارتباطات در شرکت مخابرات ایران.
خط مشی طبقه بندي و کنترل دارايي های
مقصود: ايجاد و اطمينان از امنيت قابل قبول براي داراييهاي اطلاعاتی و ارتباطی شرکت ارتباطات سیار و حسابرسی آنها.
موارد مطرح در خطمشی امنيت اطلاعات شرکت ارتباطات سیار به شرح زیر میباشد:
- تهيه و نگهداری فهرستی از همه داراييهاي ملموس و غیر ملموس شرکت.
- متناسب کردن طبقهبندي و کنترلهاي امنيتي داراییهای شرکت در اشتراکگذاري يا محدوديتسازي.
- برچسبگذاري اطلاعات و تجهیزات طبقهبندي شده و مرور دورهاي آن.
- مشخص کردن نحوه حسابرسی تجهيزات
- تدوين شناسنامه برای تجهيزات
خط مشی امنيت اطلاعات پرسنل
مقصود از تدوين خط مشی امنيت اطلاعات پرسنل شرکت ارتباطات سیار موارد زير میباشد:
- کاهش مخاطرات ناشي از خطاي انساني، دزدي، تقلب و استفاده نادرست از منابع و قابليتها
- اطمينان از اينکه کاربران آگاهي لازم از تهديدها و نيازهاي امنيت اطلاعات داشتهاند و در انجام وظايف خود ميتوانند پشتيباني لازم از خط مشیهاي امنيتي شرکت به عمل آورند.
- کاهش صدمات ناشي از حوادث و اشتباهات حفاظتي و آموزش برخورد مناسب در مقابل آنها
- تعریف روال نظارتی و کنترلی برای منابع انسانی شرکت و در جهت حفظ امنيت داراييهای شرکت.
- لحاظ نمودن و مستند نمودن مسائل امنيتي در شرح شغلي
- لحاظ نمودن و مستند نمودن مسائل امنيتي در گزينش و پايان خدمت پرسنل دايمی و يا قراردادی
- گرفتن توافقنامه محرمانه بودن اطلاعات سازماني
- آموزش و آگاهی بخشی مناسب و منظم کليه کارکنان سازمان، عوامل ثالث و مشاورين در مورد روندها و خطمشی امنيت اطلاعات سازمان.
- طراحی روندی قانونی برای ارتقای سطح امنيت در چرخش، غنیسازی و توسعه شغلی.
- گزارش و پاسخ سريع به حوادث امنيتی از طريق مجاري مديريتي مناسب
- گزارش ضعفها و تهديدهای روي سرويسها و سيستمهای اطلاعاتی
- گزارش اشتباهات نرمافزاري در زودترين زمان ممکن.
- طراحی مکانيزمهايي برای افزايش يادگيري پرسنل از ميزان، نوع و هزينه رخداد حوادث و پيشگيري از آنها
- در نظرداشتن يک فرايند انضباطي جهت مواجهه با تخلفهای پرسنل از خط مشیهاي امنيتي اطلاعاتی و ارتباطی شرکت.
خط مشی امنيت فيزيکي و محيطي
مقصود از خط مشی امنيت فيزيکی و محيطی شرکت ارتباطات سیار ایران موارد زير میباشد:
- جلوگيري از دستيابي غيرمجاز، وارد کردن صدمه و تداخل به اطلاعات شرکت در محيطهاي امن
- جلوگيري از تلف شدن و وارد آمدن صدمه به داراييها و وقفه در کار تجهيزات شرکت
- جلوگيري از تساهل يا دزدي اطلاعات و فنآوريهاي اطلاعات
- استفاده از حفاظهاي محيطي مناسب براي امنيت از امکانات فنآوري اطلاعات
- تجهيز اماکن لازم الامن به کنترلکنندههاي فيزيکي ورود تا فقط افراد مجاز قادر به ورود باشند.
- تعيين نحوه رويداد نگاری و مميزی در اماکن امن
- در نظر گرفتن اصل حداقل دسترسی و توازن دسترسی
- توجه به ضوابط امنيت فيزيکی به منظور استمرار فعاليتهاي حساس.
- کنترل محلهاي تحويل و ارائه اطلاعات و در صورت امکان مجزا از ديگر درگاهها باشند.
- مشخص بودن نحوه تایید هویت برای استفاده از تجهيزات مورد استفاده
- تعبيه تجهيزات در محل مناسب و ايمن.
- حفظ تجهيزات از هر گونه صدمات ناشي از قطع يا خرابي منابع تغذيه.( ترجيحاً استفاده از برق UPS).
- تعيين مناسب نوع سيستمهای گرمايشی، سرمايشی و تهويه کننده (در نظرداشتن استانداردهای HVAC)
- مشخص کردن دقيق اماکن لازم الامن و تجهيزات لازمالکنترل
- تعيين کردن سطح دسترسی به اماکن امن شناخته شده
- حفاظت از کابلکشيهاي برق، دادهها و تلفن .
- نگهداری تجهيزات، متناسب با دستورالعملهاي سازنده يا مستندات ارائه شده.
- تدوين روند نگهداری و بايگانی رسانهها و اسناد
- پيشبينی تسهيلاتی جهت کاهش آسيبهای ناشی از سوانح طبيعی (مانند آتش سوزی، سيل، زلزله و…)
- تدوين روالهاي امن به منظور امنيت تجهيزات در هنگام استفاده از بيرون شرکت.
- پاک شدن اطلاعات از روي تجهيزاتي که مجدداً مورد استفاده قرار ميگيرند يا در معرض عموم واقع ميشوند.
- مشخص کردن نحوه و زمان پشتيبانگيري از دادههای رسانه ها
- در نظر داشتن استفاده از استاندارد SSB/SG-20 در نگهداری تجهيزات اسقاطی
- تدوين طرحی در از رده خارج کردن تجهيزات
- پاکسازی ميز به منظور کاهش مخاطرات ناشي از دستيابي غير مجاز و فقدان يا صدمه به اطلاعات.(يعني تا حد امکان اطلاعات، مستندات و امکانات در معرض و دسترس قرار نگيرند )
- عدم جابجايي بدون همامنگی تجهيزات، اطلاعات يا نرم افزار متعلق به شرکت.
- پيروی از استاندارد SSB/SG-30 در کليه نقل و انتقالها
- تدوين طرح به حداقل رساندن انتقال رسانههای قابل حمل و نقل (لپتاپها، نوارها، کاستها، CDها، فلاپیها،گزارشات چاپشده و..)
- مشخص کردن موقعيت تجهيزات و ابزار آلات داخل شرکتی مربوط به شبکه
خطمشی امنيت عمليات و ارتباطات
موارد مطرح در خط مشی امنيت اطلاعات عمليات و ارتباطات شرکت ارتباطات سیار ایران در ذيل آمده است
- ايجاد اطمينان از صحت و امن بودن عملياتِ کامپيوترها و شبکه
- کمينه کردن مخاطره خرابي سيستمها
- محافظت از يکپارچگي اطلاعات و نرمافزار
- نگهداري يکپارچگي و در دسترس بودن سرويسهاي ارتباطي و پردازشي اطلاعات
- اطمينان از ايمني حفاظهاي اطلاعاتي شبکهها.
- جلوگيري از گم شدن، تغيير يا استفاده نابجا از اطلاعات مبادله شده بين سازمانها
- جلوگيري از صدمهديدن داراييها و ايجاد وقفه در فعاليتهاي سازماني
- کنترل تغييرات در امکانات پردازش اطلاعات و سيستمها.
- تدوين روالها و مسؤوليتهاي مديريت حوادث به منظور اطمينان از سرعت، تأثيرپذيري و پاسخ مناسب به رويدادهای امنيتی.
- تدوين روندی برای صدور، بکارگيری و از دور خارج کردن گذرواژه
- مجزا سازی امکانات ارزيابي و توسعه از امکانات عملياتي .
- شناسايي روشهاي کنترل امنيتی مناسب مورد توافق طرف قرارداد و شرکت برای مقابله با مخاطرات پيش از استفاده از خدمات امکانات خارج شرکتی.
- برنامهريزي لازم براي توان پردازش و ظرفيت ذخيرهسازي اطلاعات در دسترس، با در نظر گرفتن تقاضاهاي فعلي و آتي سيستم.
- کنترل تغييرات عملياتی امکانات سرويس دهنده اطلاعاتي و سيستمها.
- تدوين، شناسايي و آگاهیرسانی روندهاي کنترلي جهت شناسايي و مقابله با نرمافزارهاي مخرب پياده شوند.
- ارائه آموزش مورد نياز جهت استفاده از اينترنت
- مشخص شدن مسؤوليت کاربران در بازديد از سايتهای اینترنتی و نوع اطلاعات قابل UPLoad و Download
- پشتيبانگيری منظم از اطلاعات مهم بانکهای اطلاعاتی شبکه GSM و نرمافزارها.
- مستند کردن و نگهداري روالهاي عملياتي شناسايي شده.
- ثبت دقيق فعاليتهاي کارکنان عملياتي.
- گزارش وثبت خرابيها و عمليات تصحيح.
- کنترل محيط کامپيوترها در مواقع حساس.
- پيادهسازی مجموعهای از کنترلها برای دسترسی، نگهداري و حفاظت در شبکههای تلفن همراه.
- تعيين خط مشی خريد، نصب، بکارگيری، توسعه، تغيير،ارتقا و از کارانداختن نرمافزارهای کاربردی
- تدوين کنترلهايي جهت رسانههاي قابل نقل و انتقال نظير نوار، ديسک، کاست و گزارشهاي چاپ شده.
- تدوين روندی برای کنارگذاری رسانه هايي که ديگر مورد نياز نيستند.
- بکارگيري و ذخيره درست اطلاعات جهت عدم استفاده نابجا و غيرمجاز از اطلاعات.
- حفظ مستندات سيستم از دستيابي غيرمجاز.
- نگهداری رسانههاي اسقاطي در محل ايمن.
- تهيه توافقنامههايي رسمي، چه براي تبادل دستي و چه براي تبادل الکترونيکي اطلاعات و نرمافزارها در بين واحدها و یا بخشهای شرکت ارتباطات سیار.
- حفظ محيط منتقل کننده اطلاعات از دستيابي غيرمجاز، صدمه يا استفاده نابجا
- شناخت درگاههای اينترنت و تعيين توپولوژی ايمن
- حفاظت از سرويسهای تحت وب
- استفاده از PKI و ديگر کنترلها در زیر شبکههای BSS و NSS
- حفظ دادههاي الکترونيکي در مقابل فعاليتهاي غيرقانوني، آشکارسازي يا تغيير
- تدوين خط مشی ويژهای جهت استفاده از پست الکترونيکي و کاهش مخاطرات(نحوه ارسال، نحوه رمز نگاری، نحوه استفاده از امضای الکترونيکی و…)
- حفاظت از سيستمهاي الکترونيکي دفتري، با توجه به اولويت حاصل شده از ارزيابی مخاطرهاي که صورت گرفته است.
- تشکيل گروه مستقل تحليل ريسککننده امنيت تجهيزات ارتباطی
- تدوين يک فرآيند رسمي براي مجازسازي، قبل از اينکه اطلاعات به طور عمومي در دسترس قرار بگيرند و انجام حفاظتهاي مربوطه براي جامعيت و تغيير نکردن اطلاعات.
- تدوين روالهايي براي ايمني تبادل اطلاعات به شکلهای ديگر (از قبيل فاکس و امکانات ويدئويي).
- تدوين روند مقابله با ويروسها، کرمها و اسبهای تروا
خط مشی امنیتی کنترل دسترسی
خط مشی کنترل دسترسی در شرکت ارتباطات سیار ایران موارد زير را شامل میگردد:
- جلوگيري از دسترسي غيرمجاز به سيستمهاي اطلاعاتي
- کشف فعاليتهاي غيرمجاز
- اطمينان از ايمني اطلاعات در زماني است که از امکانات پردازش سيار و از راه دور استفاده ميشود
- تعريف و مستند کردن قوانين کنترل دسترسی با توجه به فعاليتهای تجاري شرکت
- تدوين روندی برای نامنويسي ورود کاربران و خروج آنها به منظور دسترسي به همه سيستمهاي اطلاعاتي چند کاربره و سرويسهاي آنها.
- محدود و کنترل کردن، اختصاص و استفاده از اختيارات.
- کنترل تخصيص گذرواژه کاربران و تبعيت آنها از يک فرايند مديريتي رسمي.
- وجود يک فرايند رسمي که به طور منظم و در فواصل زماني مناسب حق دسترسي کاربرن را مرور و در صورت لزوم بازنگري مینمايد.
- دقت کردن کاربران در انتخاب و استفاده از کلمه عبور.
- اطمينان کاربران از حفاظت تجهيزات غيرهمراه.
- استفاده مستقيم کاربران از سرويسهايي که براي آنها مجاز شده است.
- داشتن کنترل بر مسير پايانه کاربر تا رايانه سرويسدهنده.
- تدوين روال شناسايي و تصديق اصالت براي کاربران راهدور.
- کنترل دستيابي به پورتهايي که براي عيبيابي از راه دور استفاده ميشوند.
- تدوين کنترلهايي به منظور سرويسهاي اطلاعاتي، کاربران و سيستمهاي اطلاعاتيِ گروههاي مجزا در شبکهها.
- محدود کردن ظرفيت اتصال کاربران در شبکههاي اشتراکي، برطبق با خط مشی کنترل دستيابي.
- تدوين کنترلهاي مسيريابي به منظور اطمينان از اتصالات رايانهها و انطباق جريان اطلاعات با خط مشی کنترل در شبکههاي اشتراکي.
- توصيف شفاف از خواص امنيتي سرويسهاي شبکه
- شناسايي خودکار پايانه، به منظور تایید هویت در محلهاي معين و تجهيزات قابل حمل
- دستيابي به سرويسهاي اطلاعاتي با استفاده از يک فرايند ورود امن.
- منحصر به فرد (شناسه کاربر) قابل ردگيري و کنترل بودن شناسه همه کاربران براي فعاليت.
- اطمينان از سيستم مديريت گذرواژه به نحوی که بتوان به طور مؤثر و متعامل از کيفيت کلمه عبور اطمينان حاصل نمود.
- دقت در کنترل استفاده از برنامههاي سيستمي.
- در نظر گرفتن هشدارهاي اجباري براي کاربراني که ممکن است مقصد نادرستي را طي نمايند.
- خاموش بودن پايانههاي غيرفعال در محلهاي با مخاطره بالا که از دسترسي افراد غيرمجاز در يک زمان تعريف شده، محفوظ نگه داشته شود.
- محدوديت زماني اتصال، براي استفاده از کاربردهاي پر مخاطره به منظور ايمني مضاعف.
- تعبيه سيستمهاي حساس در يک محل اختصاصي.
- ثبت و نگهداري وقايع به ويژه استثناها در يک مدت مورد توافق تا در رسيدگيهاي آتي در نظارت کنترل دسترسي استفاده شوند.
- تهيه روالهايي به منظور نظارت بر سيستمهاي اطلاعاتي.
- همزمانی ساعت رايانهها با دستگاههاي ثبت وقايع .
- تدوين خط مشیی جهت کنترل مناسب داشتن، مطابق با مخاطرات کار و پردازشهاي اطلاعاتي سيار در محلهاي غير حفاظت شده.
- تدوين خط مشی و روالهايي براي فعاليت راه دور به منظور کنترل و مجازسازي.
خط مشی امنیتی توسعه و نگهداري
خط مشی توسعه و نگهداری سيستمهای شرکت ارتباطات سیار ایران شامل موارد زير میباشد:
- اطمينان از امنيت سيستمهاي IT
- جلوگيري از گم شدن، تغيير يا تخريب دادههاي سيستمهاي کاربردي
- محافظت از محرمانگی و جامعيت اطلاعات
- اطمينان از هدايت پروژههاي فناوري اطلاعات و فعاليتهاي پشتيباني آن در يک روش امن
- نگهداري و حفاظت از اطلاعات و نرمافزار سيستمهاي کاربردي
- آميختگی نيازهاي سازمان به سيستمهاي جديد يا گسترش سيستمهاي موجود با تعيين نيازهاي امنيتي.
- تدوين کنترلهائي جهت تعيين قابل قبول بودن دادههاي پردازش شده و مشخص کردن ميزان انحراف توسط سيستمها.
- انجام تایید هویت پيام براي برنامههاي کاربردي که نياز به اطمينان از درستي محتويات پيام دارند.
- تدوين روالهايي جهت پیبردن به درستی دادههاي خروجي برنامههاي کاربردي براي حصول اطمينان از پردازش اطلاعات ذخيره شده.
- استفاده رمزنگاري براي حفاظت از اطلاعات حساس و مهم.
- استفاده از کنترلهاي رمزنگاري توسعهيافته براي رمزنگاري اطلاعات.
- استفاده از امضاءهاي ديجيتال به منظور تایید هویت، مجازسازي و جامعيت اطلاعات الکترونيکي.
- استفاده از سرويسهاي غيرقابل انکار به منظور حل اختلاف در مورد روي داد يا عدم وقوع يک رخداد يا عمل.
- استفاده از يک سيستم مديريت کليد منطبق بر مجموعه استانداردها، روالها و روشهاي مورد توافق، به منظور پشتيباني از روشهاي رمزنگاري.
- کنترل و محافظت دادههاي ارزيابي سيستم
- کنترل شديد بر دسترسي به کتابخانه منبع برنامهها
- دقت در پيادهسازي تغييرات به وسيله روالهاي تغيير رسمي تا اتفاقات ناخواسته در سيستمهاي اطلاعاتي کمينه گردند.
- مرور و ارزيابي سيستمهاي کاربردي بعد از رخداد تغييرات.
- کنترل نرم افزارها در حين خريد، استفاده و اصلاح جهت اطمينان از عدم وجود منافذ مخفي و کد تراوا.
- تدوين کنترلهايي براي اطمينان از توسعه ايمن نرمافزارها توسط عوامل ثالث.
خط مشی امنیتی مديريت استمرار
مقصود: بياثر کردن وقفههاي فعاليتهای شرکت و حفاظت از فرايندهاي مهم شرکت در مقابل اثرات ناشي از خرابيها يا بلاها است.
نکات مطرح در اين خط مشی برای شرکت ارتباطات سیار ایران عبارتند از:
- تدوين يک فرايند مديريت شده براي توسعه و نگهداري تداوم فعاليتهای مرتبط با امنیت در شرکت.
- تدوين يک برنامه راهبردي متناسب با برآورد مخاطره، مناسب براي کليه فعاليتها به منظور استمرار فعاليت.
- توسعه يافتگی برنامههاي استمرار تا در زمانهاي وقفه و خرابي فرايندهاي بحراني فعاليتهای مرتبط با شبکه تلفن همراه، قابل استفاده باشند.
- تشکيل يک گروه کاري واحد جهت حصول اطمينان از انطباق همه برنامهها با اولويتها.
- ارزيابي و نگهداري منظم برنامههاي استمرار به طوري که همواره اطمينان از به روز بودن و تأثيرپذيري آنها وجود داشته باشد.
خطمشی منطبق سازی امنیت تلفن همراه
مقصود، تدوين خط مشی استانداردهای بروز موارد زير در شرکت ارتباطات سیار ایران میباشد:
- اجتناب از نقض قوانين مدني و التزام به معاهدات، قوانين و قواعد امنيتي است.
- اطمينان از سازگاري سيستمها با خط مشیهاي امنيتي سازمان و استانداردهاي مربوط
- بيشينه کردن تأثيرپذيري و کاهش تداخل در فرايند بازرسي سيستم
- تعريف و مستندکردن همه قوانين و مقررات لازم براي هر سيستم اطلاعاتي و انطباق سيستمها با آن.
- تدوين روالهايي متناسب با ضرورتهاي قانوني و حقوقی جهت اطمينان از استفاده صحيح دارائيها و محصولات نرمافزاري.
- عدم گم شدن، خرابي يا استفاده نادرست، ثبتهاي مهم توسط سیستمها در شبکه تلفن همراه.
- خصوصي و محرمانه تلقي شدن قوانين اطلاعات پرسنلي.
- اجازه و کنترل مديريت در استفاده از امکانات فنآوري اطلاعات.
- وجود کنترلهاي لازم براي اطمينان از سازگاري با قوانين رمزنگاري ملي و ديگر قوانين.
- جمعآوري و نگهداري گواه و مدرک لازم در تمام زمينهها به منظور ارائه به مراجع ذيصلاح در محاکم دعاوي شرکت.
- تداوم درستي اجرا، بازنگري بر طبق خط مشی و استانداردها شدن روالهاي امنيتي، متناسب با مسؤوليتهای مديران ردههای مختلف حوزه اعمال خط مشی امنيت اطلاعات.
- حفاظت منظم از سيستمهاي اطلاعاتي براي انطباق با استانداردهاي پيادهسازي.
- بر تدوين برنامه براي کاهش وقفه بازرسي سيستمهاي عملياتي.
- تاکيد بر کنترل دستيابي به ابزارهاي بازرسي سيستم.