خبرهایى مبنى بر پیش نویس سند ملى امنیت فضاى تبادل اطلاعات کشور که هدف از آن تعیین استانداردهایى در حوزه امنیت اطلاعات و ارتباطات است ، همه جا دیده مىشود، اما استانداردهاى امنیت اطلاعات و ارتباطات چیستند؟ استانداردها مستنداتى هستند که بمنظور هماهنگ کردن و در نتیجه بهبود کارآیى و بهره ورى سیستم ها و یا افزایش ایمنى و سلامت در یک مجموعه ارائه مىشوند و عملا معیارى براى مقایسه و ارزیابى سیستم ها نیز فراهم مىکنند. استانداردهاى امنیتى در حوزه شبکه هاى کامپیوترى را مىتوان بر اساس
حوزه مقبولیت و تدوین به دسته هاى زیر تقسیم کرد :
- استانداردهاى بین المللى : استانداردهایى که توسط موسسه هاى استانداردسازى بین المللى، که محدوده وسیعى از کشورها در آنها عضویت دارند، تدوین مىشوند (نظیر استانداردهاى ISOو IETF). اعتبار این استانداردهابه نوع استاندارد بستگى ندارد و کاملا وابسته به اعتبار جهانى موسسه استانداردسازى است .
- استانداردهاى منطقه اى و ملى : استانداردهایى که توسط سازمان ها و موسسه هاى صاحب اختیار کشورها یا اتحادیه هاى منطقه اى تدوین مىشوند. در داخل کشورها نیز استانداردهاى بسیارى بخصوص در بخش هاى مختلف دولتى، نظامى و اقتصادى تدوین مىشود.
- استانداردهاى صنعتى و تجارى : استانداردهاى فنى که توسط صنایع و شرکتها ایجاد و ترویج شده اند (نظیر استانداردهاى و GSM ITU)
- استانداردهاى : de factoاستانداردهایى که توسط سازمانها یا موسسه هاى خاصى تدوین شده اند ولى مقبولیت گسترده اى پیدا کرده اند (نظیر۷۷۹۹( BSوPKC))
استانداردها را بطور کلى مىتوان به چهار نوع تقسیم نمود :
استانداردهاى پایه که مربوط به اصطلاحات ، علائم ، نشانه ها، قرادادهاو....هستند.
- روشهاى تست و استانداردهاى تحلیل که براى اندازه گیرى مشخصات بکار مىروند.
- استانداردهاى محصول، سرویس performanceکه آستانه هاى قابل قبول را مشخص مىکنند.
- استانداردهاى سازمانى یا مدیریتى که فعالیتهاى یک سازمان و روابط بین آنها را توصیف و مدل مىکنند استانداردهاى امنیت اطلاعات و ارتباطات نیز مىتواند به این چهار گروه تقسیم شود. اگرچه ISOاین استانداردها را به سه دسته زیر تقسیم کرده است :
- استانداردهاى مدیریت امنیت
- استانداردهاى مربوط به الگوریتم ها و تکنیک ها
- استانداردهاى ارزیابى امنیتى
دسته مهم دیگرى از مستندات که اغلب در غالب دستورالعملها ارائه مىشوند، دستورالعملهاى پیاده سازى امنیت هستند که اغلب بصورت دستورالعملهاى پیکربندى امن سیستم ها و شبکه ها ارائه مىشوند. به نظر مىرسد بهترین روش براى تعیین استانداردهاى امنیت در داخل کشور، تلفیق استانداردهاى معتبر جهانى در حوزه امنیت فضاى تبادل اطلاعات است .
براى آشنایى با فهرست جامعى از استانداردهاى امنیت اطلاعات تحت عنوانInformation Systems Security Standards Handbookک ه توسط سازمان منطقه اىAPECارائه شده است ، مىتوانید به آدرس اینترنتى
tm۱۸l /estg /estgh۲۶ www.apectelwg.org /apecdata /telwg /eمراجعه کنید.
حوزه مقبولیت و تدوین به دسته هاى زیر تقسیم کرد :
- استانداردهاى بین المللى : استانداردهایى که توسط موسسه هاى استانداردسازى بین المللى، که محدوده وسیعى از کشورها در آنها عضویت دارند، تدوین مىشوند (نظیر استانداردهاى ISOو IETF). اعتبار این استانداردهابه نوع استاندارد بستگى ندارد و کاملا وابسته به اعتبار جهانى موسسه استانداردسازى است .
- استانداردهاى منطقه اى و ملى : استانداردهایى که توسط سازمان ها و موسسه هاى صاحب اختیار کشورها یا اتحادیه هاى منطقه اى تدوین مىشوند. در داخل کشورها نیز استانداردهاى بسیارى بخصوص در بخش هاى مختلف دولتى، نظامى و اقتصادى تدوین مىشود.
- استانداردهاى صنعتى و تجارى : استانداردهاى فنى که توسط صنایع و شرکتها ایجاد و ترویج شده اند (نظیر استانداردهاى و GSM ITU)
- استانداردهاى : de factoاستانداردهایى که توسط سازمانها یا موسسه هاى خاصى تدوین شده اند ولى مقبولیت گسترده اى پیدا کرده اند (نظیر۷۷۹۹( BSوPKC))
استانداردها را بطور کلى مىتوان به چهار نوع تقسیم نمود :
استانداردهاى پایه که مربوط به اصطلاحات ، علائم ، نشانه ها، قرادادهاو....هستند.
- روشهاى تست و استانداردهاى تحلیل که براى اندازه گیرى مشخصات بکار مىروند.
- استانداردهاى محصول، سرویس performanceکه آستانه هاى قابل قبول را مشخص مىکنند.
- استانداردهاى سازمانى یا مدیریتى که فعالیتهاى یک سازمان و روابط بین آنها را توصیف و مدل مىکنند استانداردهاى امنیت اطلاعات و ارتباطات نیز مىتواند به این چهار گروه تقسیم شود. اگرچه ISOاین استانداردها را به سه دسته زیر تقسیم کرده است :
- استانداردهاى مدیریت امنیت
- استانداردهاى مربوط به الگوریتم ها و تکنیک ها
- استانداردهاى ارزیابى امنیتى
دسته مهم دیگرى از مستندات که اغلب در غالب دستورالعملها ارائه مىشوند، دستورالعملهاى پیاده سازى امنیت هستند که اغلب بصورت دستورالعملهاى پیکربندى امن سیستم ها و شبکه ها ارائه مىشوند. به نظر مىرسد بهترین روش براى تعیین استانداردهاى امنیت در داخل کشور، تلفیق استانداردهاى معتبر جهانى در حوزه امنیت فضاى تبادل اطلاعات است .
براى آشنایى با فهرست جامعى از استانداردهاى امنیت اطلاعات تحت عنوانInformation Systems Security Standards Handbookک ه توسط سازمان منطقه اىAPECارائه شده است ، مىتوانید به آدرس اینترنتى
tm۱۸l /estg /estgh۲۶ www.apectelwg.org /apecdata /telwg /eمراجعه کنید.