أهم الضوابط الأمنية أثناء تطبيق آيزو 27001
أصبحت ضوابط الأمن البيئي لمراكز البيانات تمثل تحديًا كبيرًا بسبب زيادة عدد الأجهزة والمعدات التي تتم إضافتها. سترى في هذه المقالة كيفية إنشاء مركز بيانات متواف...
أصبحت ضوابط الأمن البيئي لمراكز البيانات تمثل تحديًا كبيرًا بسبب زيادة عدد الأجهزة والمعدات التي تتم إضافتها. سترى في هذه المقالة كيفية إنشاء مركز بيانات متوافق مع ISO 27001 عن طريق تحديد ضوابط أمان المعلومات والتنفيذ الفعال لها. تلخص المقالة متطلبات مركز بيانات ISO 27001 وتساعدك على تحسين أمانها.
تحديات الأمان لمركز البيانات
مركز البيانات هو في الأساس مبنى أو مساحة مخصصة تستضيف جميع الأنظمة الهامة أو البنية التحتية لتكنولوجيا المعلومات في المؤسسة. يتزايد عدد الهجمات الأمنية ، بما في ذلك تلك التي تؤثر على مراكز البيانات يومًا بعد يوم. تحتوي مراكز البيانات على جميع المعلومات الهامة للمنظمات ؛ لذلك ، فإن أمن المعلومات هو مصدر قلق. يجب أن يحافظ مركز البيانات على معايير عالية لضمان سرية وسلامة وتوافر بيئة تكنولوجيا المعلومات المستضافة لديه.
كيفية تحديد عناصر التحكم في الأمان لتلبية متطلبات ISO 27001 لمركز بيانات آمن؟
يجب أن يكون أفضل نهج لتحديد عناصر التحكم في الأمان لمركز البيانات هو البدء بتقييم المخاطر. في تقييم المخاطر ، تقوم بتحليل التهديدات ونقاط الضعف والمخاطر التي يمكن أن تكون موجودة لمركز البيانات. يمكن أن تكون منهجية تقييم المخاطر هي نفسها التي تستخدمها في ISO 27001 ، إذا كنت معتمدًا فيها. إذا لم يكن كذلك ، فلا تتردد في تحديد منهجية خاصة بك لتقييم المخاطر.
التهديدات
فيما يلي أمثلة على التهديدات الأكثر شيوعًا لمراكز البيانات:
خرق المعلومات السرية
هجوم رفض الخدمة (DoS)
الوصول غير المصرح به واستخدام موارد الحوسبة
سرقة الهوية
سرقة البيانات أو تغييرها
نقاط الضعف
ترتبط نقاط الضعف الأكثر شيوعًا في مراكز البيانات بالمجالات التالية:
العيوب في تنفيذ أشياء مثل البرامج والبروتوكولات أو تصميم البرامج الخاطئ أو الاختبار غير المكتمل ، إلخ.
عيوب التكوين مثل استخدام بيانات الاعتماد الافتراضية ، والعناصر التي لم يتم تكوينها بشكل صحيح ، ونقاط الضعف المعروفة ، والأنظمة القديمة ، وما إلى ذلك.
تصميم أمني غير فعال
التنفيذ غير الفعال للتكرار للأنظمة الحرجة
التحكم في الوصول المادي غير الفعال / نقص الضوابط البيئية ، إلخ.
استنادًا إلى قائمة المخاطر المحددة ، يجب تعيين كل خطر إلى ضوابط الأمان ، والتي يمكن اختيارها من ISO 27001 (عناصر تحكم الملحق أ) أو ضوابط الأمان من معايير أمن المعلومات المحلية / الدولية الأخرى.
هناك أنواع مختلفة من الضوابط التي يمكن تنفيذها للتخفيف من المخاطر المحددة ، ولكن هذه المقالة ستركز فقط على الضوابط المادية وعناصر التحكم الافتراضية / الشبكة.
ضوابط الأمن المادي
الأمان المادي لمركز البيانات هو مجموعة البروتوكولات التي تمنع أي نوع من الضرر المادي للأنظمة التي تخزن البيانات الهامة للمؤسسة. يجب أن تكون الضوابط الأمنية المختارة قادرة على التعامل مع كل شيء بدءًا من الكوارث الطبيعية إلى تجسس الشركات إلى الهجمات الإرهابية. لفهم حماية المناطق الآمنة .
تتضمن أمثلة ضوابط الأمن المادي ما يلي:
اختيار آمن للموقع من خلال مراعاة عوامل الموقع مثل خدمات الشبكات ، والقرب من شبكات الطاقة ، والبنية التحتية للاتصالات ، وخطوط النقل وخدمات الطوارئ ، والمخاطر الجيولوجية والمناخ ، إلخ.
مواقع خالية من مخاطر الكوارث الطبيعية أو موقع التعافي من الكوارث
التحكم في الوصول المادي مع البوابة الدوارة المضادة للخلف / المضادة للتجاوز والتي تسمح لشخص واحد فقط بالمرور بعد المصادقة
نقطة دخول واحدة للمنشأة
قيود إضافية على الوصول المادي إلى الرفوف الخاصة
مراقبة كاميرا CCTV مع الاحتفاظ بالفيديو وفقًا لسياسة المنظمة
حراس أمن على مدار الساعة طوال أيام الأسبوع ، وخدمات مركز عمليات الشبكة (NOC) والفريق الفني
الصيانة الدورية للأجهزة المستخدمة
مراقبة التحكم في الوصول / الأنشطة
التكييف والتبريد غير المباشر للتحكم في درجة الحرارة والرطوبة
مراقبة درجة الحرارة والرطوبة
مزود الطاقة غير المنقطع (UPS)
أجهزة كشف الدخان لتوفير الإنذار المبكر للحريق في مرحلته الأولى
أنظمة الحماية من الحريق بما في ذلك طفايات الحريق. ويفضل أن تكون الوقاية من الحريق باستخدام مرشة مواسير جافة مخصصة لمناطق معينة
تأمين الكابلات بما في ذلك الكابلات ذات الأرضية المرتفعة لأسباب أمنية ولتجنب إضافة أنظمة التبريد فوق الرفوف
ضوابط أمن الشبكة
الأمان الافتراضي أو أمان الشبكة عبارة عن إجراءات يتم وضعها لمنع أي وصول غير مصرح به من شأنه أن يؤثر على سرية أو سلامة أو توفر البيانات المخزنة على الخوادم أو أجهزة الكمبيوتر. لفهم التحكم في الوصول في ISO 27001 ، يرجى قراءة مقالة كيفية التعامل مع التحكم في الوصول وفقًا لمعيار ISO 27001.
من الصعب جدًا التعامل مع أمان الشبكة نظرًا لوجود طرق متعددة لتهديد شبكة المؤسسة. يتمثل التحدي الأكبر لأمن الشبكات في أن أساليب القرصنة أو هجمات الشبكة تتطور عامًا بعد عام. على سبيل المثال ، قد يقرر أحد المتطفلين استخدام برامج ضارة أو برامج ضارة لتجاوز جدران الحماية المختلفة والوصول إلى المعلومات الهامة للمؤسسة. قد تعرض الأنظمة القديمة الأمان للخطر لأنها لا تحتوي على أساليب حديثة لأمن البيانات. أيضًا ، مع تزايد شعبية العمل عن بُعد ، هناك خطر حدوث هجمات افتراضية. لمزيد من المعلومات حول العمل عن بُعد.
يمكن منع الهجمات الافتراضية باستخدام الأساليب التالية:
التشفير لتطبيقات الويب والملفات وقواعد البيانات
سجلات التدقيق لجميع أنشطة المستخدم ومراقبتها
أفضل الممارسات لأمان كلمة المرور. استخدام كلمات مرور قوية وأسماء مستخدم آمنة يتم تشفيرها عبر SSL 256 بت ، وعدم تخزينها في نص عادي ، وإعداد فترات انتهاء الصلاحية المجدولة ، ومنع إعادة استخدام كلمة المرور
التحكم في الوصول المستند إلى الدور
تكامل AD (Active Directory) / LDAP (بروتوكول الوصول إلى الدليل الخفيف الوزن)
الضوابط القائمة على عناوين IP (بروتوكول الإنترنت)
تشفير ملفات تعريف الارتباط معرّف الجلسة من أجل تحديد كل مستخدم فريد
مصادقة ثنائية العامل
VAPT متكرر لطرف ثالث (اختبار الضعف والاختراق)
منع البرامج الضارة من خلال جدران الحماية وأجهزة الشبكة الأخرى
أهمية تقييم المخاطر
كما هو موضح أعلاه ، من المهم إجراء تقييم للمخاطر وتنفيذ ضوابط الأمان المناسبة من أجل تحقيق الامتثال لمعيار ISO 27001 ، مما يضمن مركز بيانات آمنًا. تعتمد البنية التحتية لتكنولوجيا المعلومات في أي مؤسسة بشكل أساسي على الأجهزة (مثل الخوادم والتخزين وما إلى ذلك) الموجودة في مركز البيانات. هذا يعني أنه كلما نفذت منظمة ISO 27001 أو معايير أخرى لأمن المعلومات ، تحتاج المنظمة إلى النظر في تقييم المخاطر المذكور أعلاه لمركز البيانات لحماية البيانات بشكل كامل.
