1.1      برنامه‌ریزی و مدیریت امنیت شبکه

از طرفی چنانچه در بخش‌های پیشین این مطالعه ذکر گردید، در خصوص برنامه‌ریزی و مدیریت امنیت شبکه با در نظر گرفتن تمام اتصالات شبکه، همه‌ی افرادی که در سازمان، مسئولیتی در قبال اتصالات دارند، باید در مورد الزامات کسب‌وکار و منافع آن، مخاطرات امنیتی مرتبط و جنبه‌های فنی معماری امنیت، فنون طراحی و زمینه‌های کنترل امنیت ، توجیه شده باشند. به طور کلی فرایند دستیابی و نگهداری امنیت مورد نیاز شبکه به شرح زیر خلاصه شده است:

الف) تعیین دامنه و ارزیابی مخاطرات امنیتی

جمع‌آوری اطلاعات شبکه‌ی در حال کار یا طراحی‌شده که خود شامل موارد زیر می‌گردد:

بازنگری خط مشی امنیت اطلاعات شرکتی برای بیانیه‌هایی در مورد مخاطرات مرتبط با شبکه که همیشه به عنوان درجه بالا لحاظ می‌گردند و برای کنترل‌های امنیتی شبکه که در رابطه با مخاطرات ارزیابی‌شده، نیاز به پیاده‌سازی خواهند داشت.

جمع‌آوری و بازنگری اطلاعات در شبکه موجود یا طرح‌ریزی شده (معماری‌ها، برنامه‌های کاربردی، خدمات، انواع اتصالات و سایر مشخصه‌ها)، این امر برای شناسایی و ارزیابی مخاطرات و تعیین کردن آنچه که در شرایط معماری فنی امنیت شبکه، امکان‌پذیر است، نقطه اتکایی خواهد بود.

جمع‌آوری سایر اطلاعات تا بتوان اثرات نامطلوب بالقوه­ی کسب‌وکار، تهدیدها و آسیب‌پذیری­ها را ارزیابی کرد؛ که خود شامل ارزش‌دهی به عملیات اطلاعات که با اتصالات شبکه منتقل‌شده باشند، خواهد شد. هرگونه اطلاعات که بالقوه قابل‌دسترسی از روشی غیرمجاز از طریق این اتصالات و خدمات فراهم‌شده، می‌باشند.

  • شناسایی و ارزیابی مخاطرات امنیت شبکه و حوزه‌های کنترل بالقوه مناسب
  • انجام ارزیابی مخاطرات امنیت شبکه و بازنگری مدیریت با استفاده از اطلاعات مخاطره مربوط به سناریوها و موضوعات فناوری مورد نیاز شبکه

ب) شناسایی کنترل‌های امنیتی پشتیبانی فنی و غیر فنی که تنها بر روی شبکه اعمال نمی‌شوند.

ج) بازنگری گزینه‌های طراحی فنی امنیت، با در نظر گرفتن سناریوها و موضوعات فناوری و گزینش و مستندسازی طراحی فنی امنیت و کنترل‌های امنیت مربوط.

د) توسعه و آزمون راه حل امنیتی

ه) پیاده‌سازی و اجرای کنترل‌های امنیتی

و) پایش و بازنگری پیاده‌سازی که شامل پایش و بازنگری کنترل‌های مورد نیاز برای مطابقت با مقررات و قوانین مربوط با اتصالات شبکه، آن‌چنان که توسط نهادهای نظارتی و قانونی مرتبط تعریف شده است، خواهد بود. بدین صورت که بازنگری‌ها، باید به صورت دوره‌ای انجام شود و در مورد تغییرات بزرگ همچون تغییر در نیازمندی‌های کسب‌وکار، فن آوری، راه‌حل‌های امنیتی و …، نتایج مراحل پیشین بازبینی و به‌روز شوند (استاندارد ملی ایران، 1391،17 و 18).