ارتقای امنیت سایبری: تغییرات کلیدی در ISO/IEC 27032:2023
در این مقاله به ارتقای امنیت سایبری: تغییرات کلیدی در ISO/IEC 27032:2023 خواهیم پرداخت. در عصر دیجیتال امروزی، اهمیت اقدامات قوی در زمینه امنیت سایبری بیش از پیش به وضوح مشهود است. با افزایش تهدیدات سایبری، سازمانها با چالشهای روزافزونی در حفاظت از اطلاعات و داراییهای خود در مقابل خطرات مبتنی بر اینترنت مواجه میشوند.
سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیکی (IEC) با شناخت این چشمانداز پویا، استاندارد ISO/IEC 27032 را که توسط کمیته فنی مشترک ISO/IEC JTC 1، فناوری اطلاعات، کمیته فرعی تهیه شده بود، بهطور چشمگیری بهروزرسانی نمودهاند. این استاندارد که برای اولین بار در سال 2012 منتشر شد و آخرین نسخه آن در تاریخ 28 ژوئن 2023 منتشر گردید، بهروز رسانیهای اخیر را در زمینه امنیت اینترنت را تعقیب میکند و سازمانها را در کاهش خطر و بهبود توانایی دفاع خود راهنمایی مینماید. استفاده از ISO/IEC 27032:2023 از عنوان بهروزرسانی شده، سازمانها را برای مواجهه با چالشهای دیجیتال و بههنگامی ایمنسازی سیستمهای اطلاعاتی خود آماده میسازد.
امنیت اینترنت چیست و چرا ارتقای امنیت سایبری اهمیت دارد؟
ارتقای امنیت سایبری و امنیت اینترنت با اتخاذ تدابیر مختلف بهمنظور حفاظت از فعالیتها، تراکنشها و دادههای آنلاین، نقش اساسی در زندگی دیجیتال ما ایفا میکند. با افزایش جرائم سایبری و ادامه انتقال اطلاعات حساس، تأکید بر امنیت به منظور مقابله با تهدیداتی همچون دسترسی غیرمجاز، بدافزار و سرقت هویت افزایش مییابد.
لازم به ذکر است که در ابتدا طراحی اینترنت با در نظر گرفتن امنیت به نظر نرفته بود و این باعث آسیبپذیری آن در برابر تهدیدات شده بود. ظهور اینترنت اشیا (IoT) و افزایش اتصال دستگاهها به یکدیگر، چالشهای امنیتی اینترنت را تشدید کرده است. همچنین، فناوری پیشرفته موجب ظهور روشهای جدید حمله مانند فیشینگ و جاسوسافزار شده است که توسط اشخاص بدجنس برای منافع شخصی یا جرایم سایبری مورداستفاده قرار میگیرند.
دسترسی جهانی به اینترنت و مشارکتی که سهامداران در فعالیتهای آنلاین دارند، خطرات امنیتی پیچیدهتری را ایجاد مینماید که نیازمند همکاری بین اجتماعات فنی و حقوقی جهانی است. با همکاری در سطح جهانی و اتخاذ استراتژیهای گسترده، میتوان به چالشهای اینترنتی پاسخ داد و محیط آنلاین را برای همه کاربران ایمنتر کرد.
در زمینه حفاظت از دنیای دیجیتال ما، امنیت اینترنت و امنیت سایبری ارتباط نزدیکی دارند. آنها دو رشته متداخل هستند که هدف اصلی آنها محافظت از سیستمها و محیطهای آنلاین در برابر تهدیدات و آسیبپذیریهای مختلف است. ارتقای امنیت سایبری و امنیت اینترنت بهطور خاص به مسائلی مانند ایمن سازی دسترسی به اینترنت، مواجهه با خطرات مرتبط با خدمات آنلاین و سیستمهای ICT متمرکز میپردازد.
اما امنیت سایبری دامنهای گستردهتر دارد. این امنیت اینترنت را بهعنوان بخش مهمی از حوزه خود در بر میگیرد. این رویکرد جامع به حفاظت از سیستمهای متصل به اینترنت – شامل سختافزار، نرمافزار، برنامهها و دادهها – در برابر حملات احتمالی میپردازد. در امنیت سایبری، رشتههای مختلفی از امنیت اینترنت، امنیت شبکه و حفاظت از دادهها به طور موثر مورد توجه قرار میگیرند.
ISO/IEC 27032:2012
ISO/IEC 27032:2012 که به نام “فناوری اطلاعات – تکنیکهای امنیتی – دستورالعملهای امنیت سایبری” هم شناخته میشود، یک استاندارد بینالمللی است که بهطور خاص بر روی امنیت سایبری تمرکز دارد و به سازمانها راهنمایی کاملی در زمینه مدیریت و کاهش خطرات سایبری ارائه میدهد. این استاندارد نقش حیاتی امنیت سایبری را در چشمانداز دیجیتال امروزی تأیید میکند و یک رویکرد سیستماتیک برای مدیریت امنیت سایبری ارائه میکند.
این نسخه از استاندارد مختلف حوزههای حیاتی امنیت سایبری را پوشش میدهد، از جمله ارزیابی ریسک، استراتژی و سیاستهای امنیت سایبری، ساختار سازمانی و حاکمیت، مدیریت حوادث و آموزش واکنش و آگاهی و مدیریت شخص ثالث.
این استاندارد بر اهمیت انجام ارزیابیهای جامع ریسک تأکید میکند تا آسیبپذیریهای پتانسیلی شناسایی شوند و استراتژی شفافی برای امنیت سایبری متناسب با اهداف سازمانی ایجاد شود. همچنین، اهمیت ایجاد برنامههای مدیریت حوادث کارآمد، ارائه آموزش منظم در حوزه امنیت سایبری به کارکنان و تضمین اجرای روشهای قوی امنیت سایبری توسط تأمینکنندگان شخص ثالث را تأکید میکند.
دستورالعملهای ISO/IEC 27032:2012 به سازمانها کمک میکند تا از حملات سایبری جلوگیری کرده و آسیبها ناشی از حوادث را به حداقل برسانند. این استاندارد منبع ارزشمندی برای سازمانها در هر اندازه است که به آنها کمک میکند تا در چشمانداز پیچیده امنیت سایبری پیش بروند و راهکارهای قوی برای حفاظت از داراییهای دیجیتال و اطلاعات خود در برابر تهدیدات در حال تغییر ایجاد کنند.
بهروزرسانی ISO/IEC 27032:2023
ویرایش جدید استاندارد ISO/IEC 27032 با عنوان “امنیت سایبری – دستورالعملهایی برای امنیت اینترنت” به پرداختن به چالشهای امنیت اینترنت و ارائه راهنمایی برای کاهش تهدیدات رایج تمرکز دارد. این استاندارد به مسائل امنیتی مختلف از جمله حملات مهندسی اجتماعی و حملات حریم خصوصی پرداخته و سازمانها را با ابزارهایی برای آمادهسازی، پیشگیری، شناسایی، نظارت و پاسخ به انواع مختلف حملات مبتنی بر اینترنت با ارائه راهکارهای فنی و غیرمجاز مجهز میکند.
راهنمایی ارائه شده در ISO/IEC 27032:2023 جنبههای متعدد امنیت اینترنت را پوشش میدهد، از جمله کنترلهایی برای آمادهشدن برای حملات، جلوگیری از حملات، شناسایی و نظارت بر حملات، و پاسخ به آنها.
این استاندارد بر اجرای بهترین شیوههای صنعت تأکید میکند و آموزش مصرفکنندگان و کارکنان را برای تشویق مشارکت فعال در پرداختن به چالشهای امنیت اینترنت ترویج میکند. همچنین اهمیت حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات، و همچنین سایر ویژگیها مانند اصالت، پاسخگویی، عدم انکار، و قابلیت اطمینان را برجسته میکند.
توجه به این نکته مهم است که ISO/IEC 27032:2023 به صراحت بر کنترل سیستمهای پشتیبانیکننده از زیرساختهای حیاتی یا امنیت ملی تمرکز نمیکند. با این حال، اکثر کنترلهای ذکر شده در این سند میتوانند برای چنین سیستمهایی اعمال شوند و سازمانها را قادر میسازند تا از داراییهای حیاتی خود به طور موثر محافظت کنند. این استاندارد با استفاده از مفاهیم استانداردهای موجود مطابق با ISO/IEC 27002، سری ISO/IEC 27033، ISO/IEC TS 27100 و ISO/IEC 27701، رابطه قوی بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری را برقرار میکند.
تغییرات اصلی بین ISO/IEC 27032:2012 و ISO/IEC 27032:2023:
- عنوان استاندارد به “امنیت سایبری – دستورالعملهایی برای امنیت اینترنت” تغییر یافته است که نشاندهنده تغییر تمرکز به سمت پرداختن به چالشهای امنیتی اینترنت است.
- این سند بازسازی شده تا درک آن برای سازمانها آسانتر شود.
| ساختار ISO/IEC 27032:2012 | ساختار ISO/IEC 27032:2023 |
| 1 دامنه | 1 دامنه |
| 2 قابلیت اجرا | |
| 2 مراجع هنجاری | |
| 2.1 مخاطب | 3 اصطلاحات و تعاریف |
| 2.2 محدودیت ها | 4 اصطلاحات اختصاری |
| 3 مراجع هنجاری | 5 رابطه بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری |
| 4 اصطلاحات و تعاریف | 6 مروری بر امنیت اینترنت |
| 5 اصطلاحات مختصر | 7 علاقه مندان |
| 6 بررسی اجمالی | 7.1 عمومی |
| 6.1 مقدمه | 7.2 کاربران |
| 6.2 ماهیت فضای مجازی | 7.3 سازمان های هماهنگ کننده و استاندارد |
| 6.3 ماهیت امنیت سایبری | 7.4 مقامات دولتی |
| 6.4 مدل عمومی | 7.5 سازمان های مجری قانون |
| 6.5 رویکرد | 7.6 ارائه دهندگان خدمات اینترنت |
| 7 ذینفعان در فضای مجازی | 8 ارزیابی خطر امنیت اینترنت و درمان |
| 7.1 بررسی اجمالی | 8.1 عمومی |
| 7.2 مصرف کنندگان | 8.2 تهدیدها |
| 7.3 ارائه دهندگان | 8.3 آسیب پذیری ها |
| 8 دارایی در فضای مجازی | 8.4 بردارهای حمله |
| 8.1 بررسی اجمالی | 9 دستورالعمل امنیتی برای اینترنت |
| 8.2 دارایی های شخصی | 9.1 عمومی |
| 8.3 دارایی های سازمانی | 9.2 کنترل برای امنیت اینترنت |
| 9 تهدید علیه امنیت فضای مجازی | 9.2.1 کلی |
| 9.1 تهدید | 9.2.2 سیاست های امنیت اینترنت |
| 9.2 عوامل تهدید | 9.2.3 کنترل دسترسی |
| 9.3 آسیب پذیری ها | 9.2.4 آموزش، آگاهی و آموزش |
| 9.4 مکانیسم های حمله | 9.2.5 مدیریت حوادث امنیتی |
| 10 نقش ذینفعان در امنیت سایبری | 9.2.6 مدیریت دارایی |
| 10.1 بررسی اجمالی | 9.2.7 مدیریت تامین کننده |
| 10.2 نقش مصرف کنندگان | 9.2.8 تداوم کسب و کار از طریق اینترنت |
| 10.3 نقش ارائه دهندگان | 9.2.9 حفاظت از حریم خصوصی از طریق اینترنت |
| 11 دستورالعمل برای ذینفعان | 9.2.10 مدیریت آسیب پذیری |
| 11.1 بررسی اجمالی | 9.2.11 مدیریت شبکه |
| 11.2 ارزیابی خطر و درمان | 9.2.12 محافظت در برابر بدافزار |
| 11.3 دستورالعمل برای مصرف کنندگان | 9.2.13 مدیریت تغییر |
| 11.4 دستورالعملها برای سازمانها و ارائهدهندگان خدمات | 9.2.14 شناسایی قوانین قابل اجرا و الزامات انطباق |
| 12 کنترل امنیت سایبری | 9.2.15 استفاده از رمزنگاری |
| 12.1 بررسی اجمالی | 9.2.16 امنیت برنامه برای برنامه های رو به اینترنت |
| 12.2 کنترل های سطح برنامه | 9.2.17 مدیریت دستگاه نقطه پایانی |
| 12.3 حفاظت از سرور | 9.2.18 نظارت |
| 12.4 کنترل های کاربر نهایی | پیوست A (آموزنده) ارجاعات متقابل بین این سند و ISO/IEC 27002 |
| 12.5 کنترل در برابر حملات مهندسی اجتماعی | کتابشناسی – فهرست کتب |
| 12.6 آمادگی امنیت سایبری | |
| 12.7 سایر کنترل ها | |
| 13 چارچوب اشتراک و هماهنگی اطلاعات | |
| 13.1 کلی | |
| 13.2 سیاست ها | |
| 13.3 روش ها و فرآیندها | |
| 13.4 افراد و سازمان ها | |
| 13.5 فنی | |
| 13.6 راهنمای اجرا | |
| ضمیمه A (آموزنده) آمادگی امنیت سایبری | |
| ضمیمه B (آموزنده) منابع اضافی | |
| پیوست C (آموزنده) نمونه هایی از اسناد مرتبط | |
| کتابشناسی – فهرست کتب |
یکی از اصلاحات حیاتی در این بهروزرسانی مربوط به استاندارد ISO/IEC 27032:2023، ارائه چارچوب جامعتری برای ارزیابی ریسک و مدیریت ریسک مرتبط با امنیت اینترنت است. این نسخه بهروزرسانیشده دارای محتوای اضافی در مورد تهدیدها، آسیبپذیریها و روشهای حمله میباشد و به سازمانها امکان میدهد تا درک عمیقتری از خطرات مرتبط با امنیت اینترنت داشته باشند و راهکارهای بهتری برای مدیریت ریسک ارائه دهند.
ضمیمه A نیز یک نقشه میان کنترلهای امنیت اینترنت در ISO/IEC 27032:2023 و کنترلهای موجود در ISO/IEC 27002 معرفی میکند. این نقشهبرداری به سازمانها اجازه میدهد تا اقدامات امنیتی ارائه شده در استاندارد را با کنترلهای تعریف شده در استانداردهای دیگر مقایسه و تراز کنند. ISO/IEC 27002 که به تجمیع بهتر چارچوبها و رویکردهای امنیتی معترفی در سطح جهانی اشاره دارد، این تطابقات را ترویج میکند.
به طور کلی، ISO/IEC 27032:2023 بر اهمیت امنیت اینترنت تأکید میکند، طیف گستردهتری از تهدیدات مرتبط با اینترنت را راهنمایی میکند و چارچوب بهبودیافتهای برای ارزیابی ریسک و مدیریت آن ارائه میدهد. این بهروزرسانی کلیدی، سازمانها را برای مواجهه با چالشهای در حال تحول امنیت سایبری در دوران دیجیتال و حفاظت از اطلاعات و داراییهای خود در برابر خطرات مرتبط با اینترنت، بهتر آماده میکند.
