با مطالعه استانداردهای ارزیابی امنیتی که در مقاله قبل به‌ آن‌ها اشاره شد، متوجه خواهید شد که بر خلاف باور بسیاری، دو فرآیند ارزیابی امنیتی و تست نفوذ، با یکدیگر یکسان در نظر گرفته می‌شوند.

اما ارزیابی امنیتی مفهومی گسترده‌تر بوده و تست نفوذ یکی از زیر مجموعه‌های آن است. در این مقاله با مفهوم و روش‌های ارزیابی امنیتی آشنا خواهید شد و متوجه می‌شویدکه یک ارزیابی امنیتی خوب باید دارای فرآیندی باشد که به خوبی برنامه‌ریزی و طراحی گردیده است.

مطالعه‌ی این مقاله برای مدیران شرکت‌ها، مدیران امنیت اطلاعات، مدیران فناوری اطلاعات، مشاوران امنیت اطلاعات و تیم‌های ارزیابی امنیت اطلاعات توصیه می‌شود.

ارزیابی امنیتی به فرآیندی گفته می‌شود که طی آن مشخص می‌شود موجودیت‌های مورد ارزیابی تا چه حد فاکتورهای امنیتی را رعایت کرده اند. موجودیت مورد ارزیابی می‌تواند شامل سیستم‌ها، شبکه، رول‌ها و دستورات، نیروی انسانی و….باشد که به آن شیء مورد ارزیابی نیز گفته می‌شود.

 در راستای ارزیابی امنیتی از ۳ روش استفاده می‌شود.

۱- تست:

به فرآیندی گفته می‌شود که یک یا چند شیء مورد ارزیابی، در شرایط معین به کار گرفته شوند و رفتار آن‌ها با رفتار مورد انتظار، مقایسه گردد. مثلا در یک فرآیند ثبت‌نام انتظار بر این است که یک کاربر بیاید و ثبت‌نام کند و وارد سیستم شود، در حالیکه در واقع این اندازه منطقی و راحت برخورد نمی‌شود. نفوذگر هرگز اینگونه عمل نمی‌کند. ارزیاب برخلاف توسعه‌دهنده با نگاه مخاطره و تهدید به سیستم نگاه می‌کند.

۲- بازرسی:

به فرآیندی اطلاق می‌شود که یک یا چند شی‌ء توسط بازرس، مشاهده، مطالعه و تحلیل گردد تا شناخت بهتری از سیستم به دست آید. رول بازرس در این مرحله وظیفه دارد تا سیستم و ابعاد آن را به طور کامل تحلیل نماید و چارچوب کلی آن را درک نماید.

۳- مصاحبه:

به فرآیندی گفته می‌شود که با فرد یا افرادی در سازمان مورد نظر مصاحبه شوند تا با استفاده از اطلاعات بدست آمده، این‌بار درک بهتری از سازمان به دست آید.

تا اینجا حتما متوجه این نکته شده‌اید که نتایج ارزیابی امنیتی برای تشخیص این‌ که آیا کنترل‌های امنیتی، در طول زمان کارایی لازم را دارا هستند یا نه، مورد استفاده قرار می‌گیرند.

در ادامه روش‌های انجام تست و بازرسی که در ارزیابی امنیتی یک سازمان مورد استفاده قرار می‌گیرند معرفی شده ‌اند. فرآیندها و راهنمایی‌هایی که در این مقاله معرفی شده‌اند، سازمان‌ها را قادر خواهد ساخت تا امور حیاتی زیر را انجام دهند:

۱- سیاست ‌نامه ارزیابی امنیتی حوزه IT را به همراه متدولوژی و تعیین وظایف و مسئولیت‌های افراد مرتبط با جنبه‌های مختلفِ ارزیابی را تدوین نمایند.

۲- برای ارزیابی امنیتی به طور دقیق برنامه‌ریزی کنند.

۳- چگونه یک ارزیابی امنیتی مطمئن و کارا توسط روش‌های ارائه شده انجام دهند و چگونه با حوادثی که ممکن است طی ارزیابی به وجود آیند، برخورد نمایند.

۴-یافته‌های حاصل از ارزیابی را تحلیل کرده و در جهت کاهش ریسک‌های امنیتی اقدام نمایند.

ساختار مستندات ارزیابی شامل بخش‌های زیر می‌باشد:

فصل ۱: مقدمه

توضیحات کلی پروژه و نحوه عملکرد ما به اختصار در این بخش آورده می‌شود.

فصل ۲:تعریف نقش‌ها، وظایف و متد‌ها

در این فصل از مستند، دورنمایی از ارزیابی امنیتی در حوزه IT شامل خط مشی‌ها، نقش‌ها و وظایف، متدولوژی‌هاو روش‌های ارزیابی ترسیم می‌شود.

فصل ۳: تکنیک‌ها و روش‌ها

این فصل شامل فنون استفاده‌ شده در  بازرسی شامل بازبینی مستندات، بازبینی وقایع ثبت شده، Network Sniffing، File Integrity Checking ‌می‌شود.

فصل۴: کشف آسیب‌پذیری

به روش‌های کشف اهداف‌ ارزیابی (نظیر Network Discovery) و استفاده از آن‌ها برای یافتن آسیب ‌پذیری‌های احتمالی در این فصل پرداخته می‌شود.

فصل ۵: استفاده از آسیب‌پذیری‌ها

تکنیک‌هایی را معرفی می‌کند که برای تایید وجود آسیب پذیری به کار می‌روند (مانند روش‌های شکستن رمز عبور یا تست نفوذ). این‌که صرفا اشاره به آسیب‌پذیری‌ها بشود کافی نیست. باید برای اثبات آن اقدامی صورت گیرد که در این فصل کلا به مواردی از این دست اشاره ‌می‌شود.

فصل ۶: برنامه‌ریزی

فرآیند برنامه‌ریزی (Planning) برای ارزیابی امنیتی را معرفی می‌کند. برنامه‌ریزی شامل زمانبندی و برنامه ارزیاب برای این تست را شرح می‌دهد.

فصل ۷: فاکتور‌های ارزیابی

فاکتورهایی که در اجرای درست ارزیابی امنیتی موثرند، در این فصل شرح‌ داده خواهند شد.

فصل ۸: گزارش‌گیری

در آخرین بخش از مستندات هم گزارش‌های کلی و راهنمایی‌هایی برای یافته‌های ارزیابی امنیتی آورده می‌شود.

دیدگاهتان را بنویسید

نظر خودتون در مورد این مقاله رو با ما به اشتراک بگذارید.