اگر شما مسئول مدیریت ریسک امنیت اطلاعات شرکت هستید ، هر دوی ما می دانیم که کار شما سخت است. کسبوکارها به تولید حجم زیادی از دادهها ادامه میدهند، سیستمهای فناوری اطلاعات به طور فزایندهای پیچیدهتر میشوند و تهدیدات سایبری همچنان در حال تکامل هستند. چیزی که باید با آن دست و پنجه نرم کنید ممکن است گاهی اوقات به نظر تعداد بی پایانی از چالش ها باشد و بودجه و منابع شما برای مقابله با همه آنها بسیار محدود به نظر می رسد. در میان چیزهای دیگر، به عنوان یک رهبر امنیت اطلاعات، از شما انتظار می رود:
یک رویکرد سیستماتیک به امنیت فناوری اطلاعات داشته باشید. تعیین کنید که کدام ریسک ها بیشترین تأثیر را بر سازمان شما دارند و از دارایی هایی که بیشترین اهمیت را دارند محافظت کنید. به طور فعال خطرات را کاهش دهید و آسیب های ناشی از حملات سایبری و نقض داده ها را به حداقل برسانید . اطمینان حاصل کنید که سازمان شما می تواند سریعتر و آسانتر از حوادث امنیتی بازیابی کند. توجیه سرمایه گذاری در امنیت فناوری اطلاعات به هیئت مدیره.
داشتن یک استراتژی جامع مدیریت ریسک امنیت اطلاعات (ISRM) به شما در غلبه بر این چالش ها کمک می کند. در این پست، نکاتی را در مورد چگونگی ایجاد یک استراتژی موثر ISRM و اینکه یک برنامه خوب به نظر می رسد به اشتراک خواهم گذاشت. برای راحتی شما، من همچنین یک پرسش متداول را در پایان ارائه می کنم.
مدیریت ریسک امنیت اطلاعات چیست؟ مدیریت ریسک امنیت اطلاعات فرآیند مدیریت ریسک های مرتبط با استفاده از فناوری اطلاعات است. به عبارت دیگر، سازمان ها خطرات مربوط به محرمانه بودن، یکپارچگی و در دسترس بودن دارایی های اطلاعاتی خود را شناسایی و ارزیابی می کنند. این فرآیند را می توان به طور کلی به دو بخش تقسیم کرد:
ارزیابی ریسک Risk assessment- فرآیند جمعآوری و تجزیه و تحلیل اطلاعات در مورد داراییها و کنترلهای شما، و ترکیب آن دادهها با ارزیابی احتمال وقوع رویدادهایی که میتواند تهدیدی برای محیط فناوری اطلاعات و تأثیر بالقوه آنها باشد، به منظور تعریف و اولویتبندی ریسکهای شما. درمان ریسک Risk treatment- اقدامات (در صورت وجود) برای اصلاح، کاهش، اجتناب، پذیرش، انتقال یا مدیریت ریسکها را شامل میشود. درمان ریسک در واقع بر اساس نتایج ارزیابی ریسک، به منظور کاهش یا از بین بردن ریسکها و ضمانت امنیت داراییها، انجام میشود. این فرآیند از چهار مرحله اصلی تشکیل شده است که عبارتند از: (۱) شناسایی ریسک، (۲) ارزیابی و تجزیه و تحلیل ریسک، (۳) تعیین استراتژی درمان ریسک، و (۴) پیادهسازی و پایش برنامه درمان ریسک.
اصلاح (Mitigation): این روش به منظور کاهش میزان خطر احتمالی انجام میشود. برای این کار، باید مواردی که باعث بروز ریسک میشوند را شناسایی کرده و تلاش کرد که با رفع یا کاهش آنها، ریسک را کاهش دهیم.
کاهش (Reduction): این روش به منظور کاهش اثرات مخرب ریسکها استفاده میشود. برای این کار، باید مواردی که میتوانند به خطرات ایجاد شده توسط ریسکها کمک کنند را شناسایی کرد و برای آنها اقدام کرد تا اثرات مخرب کاهش یابند.
اجتناب (Avoidance): این روش به منظور جلوگیری از بروز ریسکهای جدید استفاده میشود. برای این کار، باید مواردی که ممکن است باعث بروز ریسک شوند را شناسایی کرده و از آنها اجتناب کرد.
پذیرش (Acceptance): این روش به منظور پذیرش ریسک و انجام فعالیتها به منظور کاهش میزان خطرات استفاده میشود. در این روش، برخی از ریسکها ممکن است قابل قبول باشند و برای آنها اقداماتی به منظور مدیریت آنها انجام میشود.
انتقال (Transfer): این روش به منظور انتقال ریسک به شخص یا سازمان دیگر استفاده میشود. در این روش، شخص یا سازمان دیگری مسئولیت مدیریت ریسکها را بر عهده میگیرد و برای این کار، باید قراردادهایی با شخص یا سازمان دیگر برای انتقال ریسک بسته شود.
مدیریت (Management): این روش به منظور مدیریت ریسکها استفاده میشود. در این روش، باید به شناسایی، تحلیل و مدیریت ریسکها توجه شود. این روش شامل استفاده از ابزارها، فرایندها، سیاستها و فناوریهایی است که به منظور پیشگیری از بروز ریسکها، کاهش اثرات مخرب آنها و مدیریت ایمنی سیستمهای اطلاعاتی استفاده میشود.
اصلاح (Mitigation): در این روش، به منظور کاهش احتمال بروز ریسک یا کاهش تأثیرات آنها، از روشهای مختلفی استفاده میشود. برای مثال، میتوان از روشهای تحلیلی، فنی و مدیریتی استفاده کرد تا برای جلوگیری از بروز ریسک، تأثیرات آن را کاهش داد یا از ریسکها جلوگیری کرد. در این روش، تأکید بر جلوگیری از بروز ریسکها و تأثیرات آنها است.
کاهش (Reduction): در این روش، با استفاده از تغییراتی در سیستمهای اطلاعاتی، احتمال بروز ریسک و تأثیرات آنها کاهش داده میشود. برای مثال، میتوان از روشهای امنیتی مانند رمزگذاری، شبکههای امنیتی و سیستمهای تشخیص تهدیدات استفاده کرد. در این روش، تأکید بر کاهش احتمال بروز ریسکها و تأثیرات آنها است.
اجتناب (Avoidance): در این روش، با اجتناب از فعالیتهایی که میتوانند ریسک ایجاد کنند، از بروز ریسک و تأثیرات آنها جلوگیری میشود. برای مثال، ممکن است سازمان از برخی از سیستمها و فناوریهایی که به دلیل نبود امنیت بالا، ریسک بالایی دارند، استفاده نکند. در این روش، تأکید بر جلوگیری از بروز ریسکها و تأثیرات آنها است.
پذیرش (Acceptance): در این روش، به دلیل عدم امکان اجتناب یا کاهش ریسکها، تصمیم گرفته میشود که ریسک پذیرفته شود. در این روش، با اطلاع از ریسکها و تأثیرات آنها، تصمیم گرفته میشود که آیا باید اقداماتی انجام شود یا خیر. برای مثال، ممکن است که سازمان در مورد بروز حملات کندوکاوی، ویروسهای رایانهای و سایر تهدیدات امنیتی، تصمیم گیری کند که با اینکه این تهدیدات ممکن است رخ دهند، اما با توجه به هزینه و زمان برای کاهش این ریسکها، تصمیم میگیرد که ریسک را پذیرفته و برای مدیریت و پاسخ به آنها، آماده باشد.
انتقال (Transfer): در این روش، ریسک به صورتی انتقال داده میشود که در صورت بروز ریسک، تأثیرات آن توسط شخص یا سازمان دیگری مدیریت شود. برای مثال، میتوان به بیمهگذاری در برابر ریسکهای امنیتی اشاره کرد. در این روش، تأکید بر انتقال ریسک و تأثیرات آن به سازمان یا شخص دیگر است.
مدیریت (Management): در این روش، با استفاده از ارزیابی و مدیریت ریسکها، برای جلوگیری از بروز ریسک و تأثیرات آنها، اقداماتی انجام میشود. برای مثال، میتوان با انجام مدیریت ریسکها، سیاستها و رویههای امنیتی را ارتقاء داد و با اطمینان از رفتار درست کاربران، از بروز ریسکها جلوگیری کرد. در این روش، تأکید بر مدیریت ریسکها و کاهش آنها است.
یک رویکرد مدیریت ریسک امنیت اطلاعات خوب چیست؟ در اینجا سه معیار برای تعیین اینکه آیا استراتژی ISRM سازمان شما در بهبود وضعیت امنیتی شما موثر است یا خیر وجود دارد: این تضمین می کند که خطرات غیرقابل قبول به درستی شناسایی و رسیدگی می شوند. این تضمین می کند که پول و تلاش برای خطراتی که قابل توجه نیستند هدر نمی رود. این به مدیریت ارشد امکان مشاهده مشخصات ریسک سازمانی و اولویت های درمان ریسک را برای پشتیبانی از توانایی آنها در تصمیم گیری استراتژیک می دهد.
مطالب مرتبط دستچین شده: مراحل ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر چیست؟ تمرین نشان می دهد که یک رویکرد چند مرحله ای برای ایجاد یک برنامه ISRM موثرترین است، زیرا منجر به یک برنامه جامع تر می شود و کل فرآیند مدیریت ریسک امنیت اطلاعات را با تقسیم آن به چند مرحله ساده می کند. این فرآیند ISRM را قابل مدیریت تر می کند و شما را قادر می سازد تا مشکلات را راحت تر برطرف کنید. در اینجا پنج مرحله برای ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر وجود دارد:
مرحله شماره 1. همسویی کسب و کار Business alignment ابتدا باید شرایط کسب و کار سازمان خود را بشناسید، مانند ملاحظات بودجه، کارکنان و پیچیدگی فرآیندهای تجاری. نمی توانم به اندازه کافی بر اهمیت این مرحله تاکید کنم. حتی اگر بهترین تیم، ابزار و کنترلها را داشته باشید، اگر تلاشهای خود را روی مهمترین چیز برای کسبوکار متمرکز نکنید، ممکن است شکست بخورید. در طول این مرحله، شما باید با تیم رهبری سازمان ارتباط برقرار کنید تا فرآیندهای تجاری و وابستگی آنها به دارایی های فنی و جریان داده ها را درک کنید. همچنین باید مشخصات ریسک سازمان را مستند کنید، از جمله شرح مفصلی از هر ریسکی که با آن مواجه است و همچنین ریسک پذیری آن – سطح ریسکی که برای دستیابی به اهدافش آماده پذیرش آن است. این به شما پایهای را میدهد که میتوانید بر اساس آن برنامه ISRM را بسازید - و پشتیبانی مدیرانی را که برای اجرای موفقیتآمیز آن نیاز دارید.
مرحله شماره 2. تعریف برنامه Program definition در مرحله بعد، سازمان شما باید برنامه ISRM را تعریف کند. حتما: یک برنامه سالانه تجویزی و به دنبال آن یک برنامه سه ساله سطح بالا تعریف کنید. تعیین اهداف و مقاصد خاصی که باید به صورت سالانه برآورده شوند. این طرح باید سالانه تنظیم شود تا با تغییرات در شرایط و فعالیت های تجاری سازگار شود. زمانی که همه قابلیت ها وجود داشته باشند و شرایط کسب و کار ثابت بماند، بازه زمانی معمول برای اجرای یک برنامه ISRM 30 تا 36 ماه است. نقطه ورود قابلیت ها را بر اساس ورودی مدیریت به وضوح تعریف کنید. نقطه ورود اساساً تعریفی از قابلیتهایی است که سازمان میخواهد پس از اجرای برنامه داشته باشد. شما می توانید با همکاری نزدیک با تیم رهبری برای درک اهداف آنها در مورد ISRM، نقطه ورود را شناسایی کنید. اطمینان از در دسترس بودن و توانایی کارکنان لازم برای اجرای برنامه. یک عنصر کلیدی هر برنامه ISRM کارکنان مناسب است. در اغلب موارد، سازمان ها کارکنان واجد شرایط کافی برای دستیابی به اهداف برنامه های ISRM خود را ندارند. بنابراین، ارزیابی در دسترس بودن و صلاحیت کارکنان برای اطمینان از دستیابی به تمام اهداف ضروری است. شناختی از فرهنگ سازمان به دست آورید. اگر افراد سازمان از اجرای آن حمایت نکنند، اجرای برنامه ISRM بسیار دشوارتر است. بسته به فرهنگ سازمان، باید به طور آشکار در مورد برنامه ISRM با همه طرف های ذینفع بحث کنید یا از مدیریت ارشد راهنمایی بگیرید تا برنامه را به پیش ببرید.
مرحله شماره 3. پیشرفت برنامه Program development در این مرحله، باید قابلیتها و کنترلهای عملکردی مرتبط با امنیت فناوری اطلاعات و مدیریت ریسک (به عنوان مثال، ارزیابی آسیبپذیری، واکنش به حادثه، آموزش و ارتباطات) را به همراه مدل حاکمیتی که تعیین میکند چه کسی مسئول هر حوزه است، تعریف کنید. استراتژی ISRM اگر پیادهسازی قابلیتهای ISRM را به اشخاص ثالث برونسپاری میکنید، حتماً خطرات را در نظر بگیرید و از نظارت مناسب توسط کارکنان داخلی اطمینان حاصل کنید.
مرحله شماره 4. معیارها و محک زدن Metrics and benchmarking در مرحله بعد، سازمان شما باید معیارهایی را برای ارزیابی اثربخشی استراتژی ISRM تعریف کند. در اینجا دو بهترین روش برای این مرحله وجود دارد: از همسویی با استانداردها و دستورالعمل های صنعت اطمینان حاصل کنید. چندین استاندارد وجود دارد که به شما کمک می کند تا مطمئن شوید برنامه ISRM شما با مقررات صنعت مطابقت دارد، از جمله COBIT، سری سازمان بین المللی استاندارد (ISO) 27000 و موسسه ملی استانداردها و فناوری ایالات متحده (NIST) سری 800. توصیه میکنم ISO/IEC 27005:2018 ، انتشارات ویژه NIST 800-37 (نسخه 2) و همچنین انتشارات ویژه NIST 800-53A (نسخه 5) را در نظر بگیرید، که دستورالعملهای دقیقی را در مورد نحوه ایجاد یک برنامه مدیریت ریسک ارائه میدهد. برای تعیین اینکه آیا برنامه ISRM شما تمام عملکردها و قابلیت های لازم را دارد یا خیر، مشورت با استانداردها و چارچوب های انطباق متعدد مهم است. از KPI ها برای اندازه گیری اثربخشی عملکردها و قابلیت های توسعه یافته از طریق برنامه ISRM استفاده کنید. هنگام توسعه شاخص های کلیدی عملکرد، باید ارزش تجاری را که می خواهید با قابلیت های ISRM به دست آورید شناسایی کنید و سپس معیارهای عینی را تعریف کنید که می تواند برای ارزیابی آن ارزش مورد استفاده قرار گیرد. سعی کنید شاخص های کلیدی عملکرد را بر اساس تأثیر بالقوه کسب و کار و دستورالعمل های نقطه ورود قرار دهید و در صورت امکان ارزش دلاری را تعیین کنید. این به شما کمک می کند وضعیت امنیتی خود را با زمینه تجاری برای رهبری سازمان مرتبط کنید. همچنین، شناسایی آستانه های قابل قبول و غیرقابل قبول برای هر KPI ضروری است.
مرحله شماره 5. اجرا و بهره برداری Implementation and operation در نهایت، شما باید استراتژی ISRM خود را پیاده سازی کنید - و عملکرد آن را برای شناسایی مسائل یا زمینه های بهبود نظارت کنید. برنامه یا شرایطی را برای بررسی برنامه تعریف کنید. تغییرات عمده در محیط IT شما، نقض داده ها در صنعت شما و تکنیک های جدید حمله سایبری، همگی دلایل معتبری هستند تا شما به برنامه ISRM خود با دیدی انتقادی نگاه کنید و در صورت لزوم آن را اصلاح کنید.
کدام چارچوب برای ایجاد یک ISRM موثر بهترین است؟ چارچوب های NIST یک منبع عالی هستند. هر سازمانی می تواند برای مدل سازی استراتژی مدیریت ریسک و خطوط پایه امنیتی خود به دستورالعمل های NIST مراجعه کند. اگر سازمان شما به دنبال بررسی کاملی از نحوه اعمال بهترین شیوهها از طریق چارچوبهای نظارتی ساختاریافته است که با انطباقها نیز مطابقت دارد، با مطالعه چارچوب مدیریت ریسک NIST و چارچوب امنیت سایبری NIST به خوبی به شما کمک خواهد کرد :
چارچوب مدیریت ریسک NIST (RMF) چارچوب مدیریت ریسک NIST (RMF) ، همانطور که در نشریه ویژه NIST 800-37 (بازبینی 2) توضیح داده شده است، یک فرآیند جامع، انعطاف پذیر، قابل تکرار و قابل اندازه گیری را برای بهبود نحوه طراحی، ایمن سازی و نظارت سیستم های IT ارائه می دهد. اگرچه NIST RMF توسط وزارت دفاع ایالات متحده (DoD) ایجاد شده است، اما به عنوان یک پایه خوب برای امنیت داده ها و برنامه حفظ حریم خصوصی برای هر سازمانی عمل می کند. NIST RMF شامل 7 مرحله زیر است (توجه داشته باشید که دو مرحله آخر برای سازمان ها و سازمان های فدرال متفاوت است):
مرحله شماره 1. آماده کردن Prepare آماده سازی شامل شناسایی نقش های کلیدی مدیریت ریسک است. تعیین میزان تحمل ریسک سازمان؛ و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی برای سازمان ناشی از بهره برداری و استفاده از سیستم های فناوری اطلاعات.
مرحله شماره 2. طبقه بندی Categorize در مرحله بعد، باید سیستم های فناوری اطلاعات را بر اساس سطح ریسک دسته بندی کنید. تأثیر نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستم ها و اطلاعاتی که آنها پردازش، ذخیره یا منتقل می کنند را برآورد کنید.
مرحله شماره 3. انتخاب کنید Select بر اساس نتایج مرحله قبل، باید کنترل های مناسب را برای هر سیستم انتخاب و پیاده سازی کنید. در طول این مرحله، بر اساس اینکه ریسک های امنیتی در چه دسته ای قرار می گیرند، تصمیم می گیرید که چه کنترل های امنیتی پایه را می خواهید اجرا کنید.
مرحله شماره 4. پیاده سازی Implement گام بعدی اجرای کنترل ها برای کاهش خطرات امنیتی و حریم خصوصی سیستم است.
مرحله شماره 5. ارزیابی کنید Assess در مرحله بعد، مهم است که کنترل ها به درستی اجرا شوند و همانطور که انتظار می رود برای محافظت از سیستم ها عمل کنند.
مرحله شماره 6. مجاز کردن Authorize برای آژانس های فدرال هنگامی که کنترلهای امنیتی شما وارد عمل شد، میتوان به یک سیستم اجازه عملیات (ATO) را توسط دولت اعطا کرد (یا رد کرد). برای سایر سازمان ها ذینفعان داخلی یا خارجی ممکن است به فرصتی نیاز داشته باشند تا بسته مجوزی را که شامل برنامههای امنیتی و حریم خصوصی، نقاط عطف، گزارشهای ارزیابی و شواهد پشتیبان یا سایر اسناد است، بررسی کنند.
مرحله شماره 7. نظارت کنید Monitor برای آژانس های فدرال کنترل های سیستم باید به طور منظم بررسی شوند. یک ATO فقط برای سه سال معتبر است و پس از آن کل فرآیند باید دوباره انجام شود. برای سایر سازمان ها سازمان باید به طور مستمر کنترلهای خود را کنترل کند تا مطمئن شود که آنها مؤثر باقی میمانند و بر اساس تغییرات در محیط فناوری اطلاعات یا چشمانداز تهدید، در صورت نیاز بهروزرسانیها را انجام دهند.
چارچوب امنیت سایبری NIST چارچوب امنیت سایبری NIST چارچوب دیگری است که می تواند به شرکت ها در مدیریت بهتر و کاهش ریسک امنیت سایبری کمک کند. مراحل این چارچوب شامل موارد زیر است:
شناسایی Identify- خطرات امنیت سایبری برای سیستم ها، افراد، دارایی ها، داده های حساس و قابلیت ها را درک و اولویت بندی کنید. فعالیت ها شامل مدیریت دارایی، حاکمیت و ارزیابی ریسک است.
محافظت Protect- برای محافظت از دارایی های حیاتی در برابر تهدیدات سایبری، کنترل های امنیتی مناسب و سایر اقدامات حفاظتی را اجرا کنید. نمونههایی از فعالیتها در اینجا مدیریت هویت و کنترل دسترسی، ارتقای آگاهی و آموزش کارکنان است.
تشخیص Detect- مطمئن شوید که سازمان شما می تواند به سرعت رویدادهایی را که می تواند خطراتی برای امنیت داده ها ایجاد کند، شناسایی کند. تکنیک ها شامل نظارت مستمر امنیتی و تجزیه و تحلیل رفتار کاربر (UBA) است.
پاسخ Respond- برنامه ای برای پاسخ به یک حادثه امنیت سایبری ایجاد کنید تا تأثیرات آن شامل تجزیه و تحلیل، ارتباطات و کاهش را در بر بگیرد.
بازیابی Recover- داشتن یک استراتژی برای بازیابی قابلیت ها یا خدماتی که تحت تأثیر یک حادثه امنیتی قرار گرفته اند، به اطمینان از بازگشت سریعتر به عملیات عادی کمک می کند. حتماً طرح بازیابی را مرور کنید و بهبودهایی مانند بهروزرسانی یا جایگزینی خطمشیها را انجام دهید.
خلاصه درک و مدیریت ریسک های سیستم ها و داده های حساس برای موفقیت یک سازمان ضروری است. توسعه یک برنامه ISRM فرآیند مدیریت ریسک را قابل مدیریت تر می کند و به شما کمک می کند از حیاتی ترین دارایی های خود در برابر تهدیدات سایبری در حال ظهور محافظت کنید.
سوالات متداول مدیریت ریسک در امنیت سایبری چیست؟ مدیریت ریسک در امنیت سایبری مدیریت ریسک های امنیتی و حریم خصوصی مرتبط با سیستم های اطلاعاتی است. این یک فعالیت کلی نگر است که بر هر جنبه ای از سازمان از جمله برنامه ریزی ماموریت، معماری سازمانی، توسعه نرم افزار و مهندسی سیستم تأثیر می گذارد. خطرات امنیت اطلاعات چیست؟ خطرات امنیت اطلاعات تهدیدهایی هستند که می توانند باعث آسیب یا اختلال در سیستم ها یا داده های فناوری اطلاعات شوند. خطرات رایج امنیت فناوری اطلاعات افشای رمز عبور، بدافزار و نرم افزارهای جاسوسی، دسترسی غیرمجاز به شبکه و حملات مهندسی اجتماعی است. هدف از چارچوب مدیریت ریسک NIST چیست؟ چارچوب مدیریت ریسک که توسط موسسه ملی استاندارد و فناوری (NIST) ایجاد شده است به سازمان ها کمک می کند تا یک برنامه ISRM ایمن و پایدار بسازند. این به آنها کمک می کند تا خطرات سیستم و داده های خود را شناسایی و ارزیابی کنند تا بتوانند تصمیمات امنیتی IT آگاهانه و مبتنی بر ریسک را اتخاذ کنند. آیا برنامه های صدور گواهینامه برای چارچوب مدیریت ریسک NIST وجود دارد؟ گواهی RMF فقط برای سازمان های فدرال و ایالتی مورد نیاز است، اما می تواند ارزشمند باشد حتی اگر شما توسط دولت استخدام نشده باشید. در اینجا چند برنامه وجود دارد که می تواند به شما کمک کند یاد بگیرید چگونه چارچوب مدیریت ریسک را در استراتژی مدیریت ریسک خود اعمال کنید و در صورت انتخاب، گواهینامه دریافت کنید: مدیریت ریسک چگونه امنیت فناوری اطلاعات را بهبود می بخشد؟ یک فرآیند مدیریت ریسک کامل میتواند امنیت فناوری اطلاعات را با شناسایی ریسکهای سیستمها و دادههای فناوری اطلاعات سازمان، و تصمیمگیری آگاهانه در مورد چگونگی کاهش و حذف آسیبپذیریها، به طور قابل توجهی تقویت کند.
منبع: National Institute of Standards and Technology (NIST)
ترجمه: گوگل
گردآوری و تنظیم متن: میر علی شهیدی
ورود به صفحه انگلیسی