شیوه ها و استانداردها
اهمیت امنیت اطلاعات در سازمانها غیر قابل انکار است. شرکت ها باید قدمهای لازم برای حفاظت از اطلاعات طبقه بندی شده خود را در مقابل نفوذ و تهدیدات امنیتی بردارند. استانداردها و شیوهها، راهنماییهای لازم را به سازمانها جهت بهبود امنیت سایبری ارائه میدهند. آنها همچنین مجموعه ای از مراجع را تهیه کرده که سازمانها بتوانند به مدد این مستندات تعیین کنند که آیا روندها و سایر کنترلهای انجام شده حداقل نیازهای مورد نظر را برآورده میکند یا خیر. محصول نشانه، یکی از پیشگامان پیادهسازی پروتکل احراز هویت فایدو بوده و استانداردهای مرتبط با امنیت اطلاعات و شیوه های مربوطه جهت حفاظت از دادهی با ارزش و دارایی اطلاعاتی را رعایت کرده است. در ادامه استانداردها و شیوه هایی که در این محصول و سرویسهای مرتبط بکار گرفته شده، شرح داده میشود.
سامانه مدیریت امنیت اطلاعات (ISO/IEC 27001)
در محصول نشانه استانداردهای سری ISO/IEC 27001 بکار گرفته شده و با استفاده از چرخه بهبود مستمر سالانه (چرخه دمینگ) PDCA اطمینان حاصل میشود که سامانه مدیریت امنیت اطلاعات ISMS تا حدامکان بی عیب و نقص باشد.
استاندارد NIST نسخه مخصوص سری 800
استانداردهای NIST نسخه مخصوص سری 800 مجموعه ای از مدارک و مستندات است که راهکارهای امنیتی را برای موسسات دولتی آمریکا شرح میدهد. محصول نشانه فقط محدود به استاندارد NIST SP 800 نبوده و در ذیل تعدادی از استانداردهای موجود ذکر میشود:
- NIST SP 800-53 R5 as a reference to supplement our list of security controls in multiple domains.
- NIST SP 800-53A R4 as a complementary guide to provide a checklist consisting of a set of procedures for conducting assessments of security controls.
- NIST SP 800-34 as a reference for developing continuity plans and organizing related team structures.
- NIST SP 800-37 to develop a multi-step process to manage the risks of operating information systems.
- NIST SP 800-30 as a reference for conducting risk assessment to satisfy clause 8.2 (information security risk assessment) of ISO/IEC 27001.
- NIST 800-64 R2 as a reference for Security Considerations that have been taken into account in the System Development Life Cycle.
استاندارد اروپایی GDRP در خصوص حریم خصوصی داده
هدف استاندارد GDRP حفاظت از اطلاعات شخصی تمامی ساکنین اتحادیه اروپا میباشد. بخاطر اینکه محصول نشانه در نظر دارد در بازار اروپا نیز حضور داشته باشد، ملاحظات و الزامات استاندارد GDRP را در پیادهسازی خود درنظر گرفته است.
مدل بلوغ امنیت اطلاعات
مدلهای بلوغ امنیت اطلاعات در واقع چارچوب کاری و شیوه های لازم برای ارزیابی و بهبود معیارهای امنیت سایبری است. هدف اصلی آنها کمک به سازمانها جهت ارزیابی و بهبود برنامه های امنیت سایبری و تقویت تاب آوری عملیاتی می باشد. تیم امنیتی محصول نشانه، مدل بلوغ امنیت اطلاعات C2M2 (Cybersecurity Capability Maturity Model) را بعنوان مدل پایه جهت ارزیابی بلوغ امنیت اطلاعات اتخاذ کرده است. بهرحال پیادهسازی استاندارد ISO/IEC 270001 و NIST 800-53 و همچنین حوزه های مدل C2M2 بر حسب نیازهای امنیتی مورد نیاز در محصول نشانه درنظر گرفته شده است.