استانداردي براي مديريت امنيت اطلاعات
استانداردي براي
مديريت امنيت اطلاعات
چكيده
نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يك نظام مديريت امنيت اطلاعات را بيش از پيش آشكار مينمايد . در اين مقاله ضمن اشاره به برخي از ويژگيهاي اين نظام مديريتي به معرفي استاندارد بينالمللي موجود در اين زمينه و نحوه رويكرد مناسب به آن اشاره شده است . در خاتمه نيز برخي از مزاياي استقرار يك نظام مديريت امنيت اطلاعات را برشمردهايم .
مقدمه
امروزه شاهد بكارگيري تجهيزات الكترونيك و روشهاي مجازي در بخش عمدهاي از فعاليتهاي روزمره همچون ارائه خدمات مديريت و نظارت و اطلاعرساني هستيم . فضايي كه چنين فعاليتهايي در آن صورت ميپذيرد با عنوان فضاي تبادل اطلاعات شناخته ميشود. فضاي مذكور همواره در معرض تهديدهاي الكترونيك يا آسيبهاي فيزيكي از قبيل جرايم سازمان يافته بهمنظور ايجاد تغيير در محتوا يا جريان انتقال اطلاعات ، تخريب بانكهاي اطلاعاتي، اختلال در ارائه خدمات اطلاعرساني يا نظارتي و نقض حقوق مالكيت معنوي است.
از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبكههاي ارتباطي، آسيبپذيري فضاي تبادل اطلاعات افزايش يافته است و روشهاي اعمال تهديدهاي يادشده گستردهتر و پيچيدهتر ميشود . از اينرو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب ميشود. بهموازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضاي تبادل اطلاعات در امور مديريتي و اطلاعرساني تجديد نظر شده و فرهنگ صحيح بكارگيري امكانات يادشده نيز در سطح جامعه ترويج شود .
بديهي است كه توجه نكردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوله مانع از گسترش فضاي مذكور در ميان آحاد جامعه و جلب اعتماد مديران در بكارگيري روشهاي نوين نظارتي و اطلاعرساني خواهد شد . ايجاد يك نظام منسجم در سطح ملي با لحاظ كردن ويژگيهاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يك ضرورت است. برخي از اين ويژگيها بهقرار زير است:
_ امنيت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزههاي مختلف دانش است .
_ امنيت با توجه به هزينه و كارايي تعريف ميشود و مقولهاي نسبي است .
_ امنيت متأثر از مجموعه آداب، سنن و اخلاقيات حاكم بر جامعه است .
_ امنيت در فضاي تبادل اطلاعات از روند تغييرات سريع فناوريهاي مرتبط تأثيرپذير است .
خوشبختانه در برنامه چهارم توسعه به اين مهم توجه خاصي شده است، بهنحوي كه ارائه سند راهبرد ملي امنيت فضاي تبادل اطلاعات كشور تا پايان سال اول برنامه الزام شده است . همچنين در پيشنويس اين سند پيشنهاد شده است كه دستگاههاي مجري طرحهاي خود در انطباق با سند مذكور ارائه كنند .
استاندارد BS7799/ISO17799
با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستمهاي آسيبپذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوهبرآن بايد قادر به طرحريزي برنامههاي بازيابي و جبران خسارت هم باشند. ايجاد يك نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بكارگيري دستاوردهاي نوين فناوري اطلاعات و برخورداري از مزاياي انكارناپذير آن در چنين سازمانهايي ميشود.
خوشبختانه قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس ميگذرد. در اين مدت استاندارد فوقالذكر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بينالمللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نيز يك بازنگري در بخش دوم استانداردBS7799 بهمنظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامينكنندگان و راحتي كاربري و مفاهيم مرتبط با امنيت برنامههاي موبايل بر روي اين استاندارد در حال انجام است كه پيشبيني ميشود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجعبه استاندارد مذكور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين ميشود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينكه اطلاعات ميتوانند تنها در دسترس كساني باشند كه مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينكه كاربران مجاز در هر زمان كه نياز داشته باشند، امكان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعهاي از كنترلها كه شامل سياستها ، عمليات ، رويهها ، ساختارهاي سازماني و فعاليتهاي نرمافزاري است، حاصل ميشود. اين كنترلها بايد بهمنظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظامنامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساختهاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حاليكه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيههايي است كه ?? هدف امنيتي و ??? كنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي بهقرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيههاي مديريتي بهمنظور افزايش امنيت اطلاعات است. اين بخش در قالب يك سند سياست امنيتي شامل مجموعهاي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود.
-2 امنيت سازماني: اين بعد اجرايي كردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- كميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستمهاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستمهاي امنيتي
- هدايت دسترسي تامينكنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقهبندي و كنترل داراييها: طبقهبندي داراييها و سرمايههاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايههاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات كه به بخشهاي زير قابل تقسيم است :
- كنترل پرسنل توسط يك سياست سازماني كه با توجه به قوانين و فرهنگ حاكم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ ميشود.
- مسئوليت پرسنل كه بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام كه در آن پرسنل بايد بهوضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات كه شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه ميشود.
-5 امنيت فيزيكي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي دادهها و تسهيلات مربوط كه شامل بخشهاي امنيت فيزيكي محيط ، كنترل دسترسيها ، امنيت مكان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي ميشود .
-6 مديريت ارتباطات و عمليات: كسب اطمينان از عملكرد مناسب و معتبر تجهيزات پردازش اطلاعات كه شامل روشهاي اجرايي، كنترل تغييرات ، مديريت وقايع و حوادث، تفكيك وظايف و برنامهريزي ظرفيتهاي سازماني ميشود.
-7 كنترل دسترسي: كنترل نحوه و سطوح دسترسي به اطلاعات كه در شامل مديريت كاربران ، مسئوليتهاي كاربران، كنترل دسترسي به شبكه، كنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستمها: اطمينان از اينكه امنيت جزء جدانشدني سيستمهاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستمها و امنيت كاربردي، استانداردها و سياستهاي رمزنگاري، انسجام سيستمها و امنيت توسعه است.
-9 تداوم و انسجام كسب و كار: تقليل تاثيرات وقفههاي كسب و كار و محافظت فرايندهاي اساسي سازمان از حوادث عمده و شكست.
-10 همراهي و التزام: اجتناب از هرگونه پيمانشكني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم كننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات ميپردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام ميپذيرد.
نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يك رويكرد نظاممند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يك ديواره آتش ساده يا عقد قرارداد با يك شركت امنيتي است . در چنين رويكردي بسيار مهم است كه فعاليتهاي گوناگون امنيتي را با راهبردي مشترك بهمنظور تدارك يك سطح بهينه از حفاظت همراستا كنيم . نظام مديريتي مذكور بايد شامل روشهاي ارزيابي، محافظت، مستندسازي و بازنگري باشد ، كه اين مراحل در قالب يك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ريزي Plan :
- تعريف چشمانداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف كنترل و آنچه سازمان را در مديريت اين مخاطرات ياري ميكند.
- آمادهسازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يك طرح براي تقليل مخاطرات.
- اجراي طرحهاي كنترلي انتخابي براي تحقق اهداف كنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري بهمنظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي بهمنظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيههاي ارائه شده براي بهبود.
- نظام مديريتي مذكور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت كيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي بهمنظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يك نظام مديريتي است كه سازمان بهمنظور بكارگيري محصولات نرمافزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره ميگيرد . چيزي كه اين دو بخش را به هم پيوند ميدهد ميزان انطباق با بخشهاي استاندارد است كه در يكي از چهار رده زير قرار ميگيرد :
* كلاس اول : حفاظت ناكافي
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پيادهسازي ISMS در يك سازمان اين مراحل را شامل ميشود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راهانداز انتخاب شوند و آموزش ببينند . بايد توجه شود كه امنيت اطلاعات يك برنامه نيست بلكه يك فرايند است .
- تعريف نظام مديريت امنيت اطلاعات: اين مرحله شامل تعريف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب ميشود .
- ايجاد سند سياست امنيت اطلاعات : كه پيشتر به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايههايي كه نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيبپذيري اطلاعات و سرمايههاي فيزيكي مرتبط نيز مشخص شود .
- آموزش و آگاهيبخشي: به دليل آسيبپذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم كرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- كنترل و بهبود مداوم : اثربخشي نظام مديريتي پياده شده بايد مطابق مدل بهرسميت شناخته شده كنترل و ارتقا يابد.
در كليه مراحل استقرار نظام مديريت امنيت اطلاعات مستندسازي از اهميت ويژهاي برخوردار است. مستندات از يك طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات ميپردازند و از طرف ديگر كنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در كل ميتوان مستندات را به چهار دسته تقسيم كرد:
-1 سياست ، چشمانداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذكور كه در مجموع بهعنوان نظامنامه امنيتي شناخته ميشود .
-2 توصيف فرايندها كه پاسخ سؤالات چه كسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مكاني را مي دهد و بهعنوان روشهاي اجرايي شناخته ميشوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده كه شامل دستورالعملهاي كاري ، چك ليستها ، فرمها و نظاير آن ميشود .
-4 مدارك و شواهد انطباق فعاليتها با الزامات ISMS كه از آنها بهعنوان سوابق ياد ميشود .
نتيجه گيري
هر چند بكارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه ISO17799 بتنهايي نشاندهنده برقراري امنيت كامل در يك سازمان نيست، اما استقرار اين نظام مزايايي دارد كه مهمترين آنها چنين است:
- در سطح سازماني استقرار نظام يادشده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و كاركنان سازمان در اين زمينه است.
- در سطح قانوني، اخذ گواهينامه به اولياي امور ثابت ميكند كه سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت ميكند.
- در سطح اجرايي، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها ميشود . علاوهبر اين چنين نظامي استفاده مطمئنتر از سختافزار و نرمافزار را تضمين ميكند .
- در سطح تجاري تلاشهاي مؤثر سازمان به منظور حفاظت از اطلاعات در شركا و مشتريان اطمينان خاطر بيشتري را فراهم ميآورد.
- در سطح مالي اين اقدام باعث كاهش هزينههاي مرتبط با مسائل امنيتي و كاهش احتمالي حق بيمههاي مرتبط ميشود .
- در سطح پرسنلي، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بكارگيري چنين نظامي است.
منابع
1 - سند راهبرد امنيت فضاي تبادل اطلاعات كشور «پيشنويس» ، دبير خانه شوراي امنيت فضاي تبادل اطلاعات
2 - پروژه استانداردسازي حفاظت اطلاعات «گزارش بررسي و شناخت»، پروژه شماره ???? شوراي پژوهشهاي علمي كشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com
مديريت امنيت اطلاعات
چكيده
نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يك نظام مديريت امنيت اطلاعات را بيش از پيش آشكار مينمايد . در اين مقاله ضمن اشاره به برخي از ويژگيهاي اين نظام مديريتي به معرفي استاندارد بينالمللي موجود در اين زمينه و نحوه رويكرد مناسب به آن اشاره شده است . در خاتمه نيز برخي از مزاياي استقرار يك نظام مديريت امنيت اطلاعات را برشمردهايم .
مقدمه
امروزه شاهد بكارگيري تجهيزات الكترونيك و روشهاي مجازي در بخش عمدهاي از فعاليتهاي روزمره همچون ارائه خدمات مديريت و نظارت و اطلاعرساني هستيم . فضايي كه چنين فعاليتهايي در آن صورت ميپذيرد با عنوان فضاي تبادل اطلاعات شناخته ميشود. فضاي مذكور همواره در معرض تهديدهاي الكترونيك يا آسيبهاي فيزيكي از قبيل جرايم سازمان يافته بهمنظور ايجاد تغيير در محتوا يا جريان انتقال اطلاعات ، تخريب بانكهاي اطلاعاتي، اختلال در ارائه خدمات اطلاعرساني يا نظارتي و نقض حقوق مالكيت معنوي است.
از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبكههاي ارتباطي، آسيبپذيري فضاي تبادل اطلاعات افزايش يافته است و روشهاي اعمال تهديدهاي يادشده گستردهتر و پيچيدهتر ميشود . از اينرو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب ميشود. بهموازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضاي تبادل اطلاعات در امور مديريتي و اطلاعرساني تجديد نظر شده و فرهنگ صحيح بكارگيري امكانات يادشده نيز در سطح جامعه ترويج شود .
بديهي است كه توجه نكردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوله مانع از گسترش فضاي مذكور در ميان آحاد جامعه و جلب اعتماد مديران در بكارگيري روشهاي نوين نظارتي و اطلاعرساني خواهد شد . ايجاد يك نظام منسجم در سطح ملي با لحاظ كردن ويژگيهاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يك ضرورت است. برخي از اين ويژگيها بهقرار زير است:
_ امنيت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزههاي مختلف دانش است .
_ امنيت با توجه به هزينه و كارايي تعريف ميشود و مقولهاي نسبي است .
_ امنيت متأثر از مجموعه آداب، سنن و اخلاقيات حاكم بر جامعه است .
_ امنيت در فضاي تبادل اطلاعات از روند تغييرات سريع فناوريهاي مرتبط تأثيرپذير است .
خوشبختانه در برنامه چهارم توسعه به اين مهم توجه خاصي شده است، بهنحوي كه ارائه سند راهبرد ملي امنيت فضاي تبادل اطلاعات كشور تا پايان سال اول برنامه الزام شده است . همچنين در پيشنويس اين سند پيشنهاد شده است كه دستگاههاي مجري طرحهاي خود در انطباق با سند مذكور ارائه كنند .
استاندارد BS7799/ISO17799
با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستمهاي آسيبپذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوهبرآن بايد قادر به طرحريزي برنامههاي بازيابي و جبران خسارت هم باشند. ايجاد يك نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بكارگيري دستاوردهاي نوين فناوري اطلاعات و برخورداري از مزاياي انكارناپذير آن در چنين سازمانهايي ميشود.
خوشبختانه قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس ميگذرد. در اين مدت استاندارد فوقالذكر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بينالمللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نيز يك بازنگري در بخش دوم استانداردBS7799 بهمنظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامينكنندگان و راحتي كاربري و مفاهيم مرتبط با امنيت برنامههاي موبايل بر روي اين استاندارد در حال انجام است كه پيشبيني ميشود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجعبه استاندارد مذكور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين ميشود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينكه اطلاعات ميتوانند تنها در دسترس كساني باشند كه مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينكه كاربران مجاز در هر زمان كه نياز داشته باشند، امكان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعهاي از كنترلها كه شامل سياستها ، عمليات ، رويهها ، ساختارهاي سازماني و فعاليتهاي نرمافزاري است، حاصل ميشود. اين كنترلها بايد بهمنظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظامنامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساختهاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حاليكه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيههايي است كه ?? هدف امنيتي و ??? كنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي بهقرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيههاي مديريتي بهمنظور افزايش امنيت اطلاعات است. اين بخش در قالب يك سند سياست امنيتي شامل مجموعهاي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود.
-2 امنيت سازماني: اين بعد اجرايي كردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- كميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستمهاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستمهاي امنيتي
- هدايت دسترسي تامينكنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقهبندي و كنترل داراييها: طبقهبندي داراييها و سرمايههاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايههاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات كه به بخشهاي زير قابل تقسيم است :
- كنترل پرسنل توسط يك سياست سازماني كه با توجه به قوانين و فرهنگ حاكم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ ميشود.
- مسئوليت پرسنل كه بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام كه در آن پرسنل بايد بهوضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات كه شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه ميشود.
-5 امنيت فيزيكي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي دادهها و تسهيلات مربوط كه شامل بخشهاي امنيت فيزيكي محيط ، كنترل دسترسيها ، امنيت مكان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي ميشود .
-6 مديريت ارتباطات و عمليات: كسب اطمينان از عملكرد مناسب و معتبر تجهيزات پردازش اطلاعات كه شامل روشهاي اجرايي، كنترل تغييرات ، مديريت وقايع و حوادث، تفكيك وظايف و برنامهريزي ظرفيتهاي سازماني ميشود.
-7 كنترل دسترسي: كنترل نحوه و سطوح دسترسي به اطلاعات كه در شامل مديريت كاربران ، مسئوليتهاي كاربران، كنترل دسترسي به شبكه، كنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستمها: اطمينان از اينكه امنيت جزء جدانشدني سيستمهاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستمها و امنيت كاربردي، استانداردها و سياستهاي رمزنگاري، انسجام سيستمها و امنيت توسعه است.
-9 تداوم و انسجام كسب و كار: تقليل تاثيرات وقفههاي كسب و كار و محافظت فرايندهاي اساسي سازمان از حوادث عمده و شكست.
-10 همراهي و التزام: اجتناب از هرگونه پيمانشكني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم كننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات ميپردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام ميپذيرد.
نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يك رويكرد نظاممند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يك ديواره آتش ساده يا عقد قرارداد با يك شركت امنيتي است . در چنين رويكردي بسيار مهم است كه فعاليتهاي گوناگون امنيتي را با راهبردي مشترك بهمنظور تدارك يك سطح بهينه از حفاظت همراستا كنيم . نظام مديريتي مذكور بايد شامل روشهاي ارزيابي، محافظت، مستندسازي و بازنگري باشد ، كه اين مراحل در قالب يك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ريزي Plan :
- تعريف چشمانداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف كنترل و آنچه سازمان را در مديريت اين مخاطرات ياري ميكند.
- آمادهسازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يك طرح براي تقليل مخاطرات.
- اجراي طرحهاي كنترلي انتخابي براي تحقق اهداف كنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري بهمنظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي بهمنظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيههاي ارائه شده براي بهبود.
- نظام مديريتي مذكور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت كيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي بهمنظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يك نظام مديريتي است كه سازمان بهمنظور بكارگيري محصولات نرمافزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره ميگيرد . چيزي كه اين دو بخش را به هم پيوند ميدهد ميزان انطباق با بخشهاي استاندارد است كه در يكي از چهار رده زير قرار ميگيرد :
* كلاس اول : حفاظت ناكافي
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پيادهسازي ISMS در يك سازمان اين مراحل را شامل ميشود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راهانداز انتخاب شوند و آموزش ببينند . بايد توجه شود كه امنيت اطلاعات يك برنامه نيست بلكه يك فرايند است .
- تعريف نظام مديريت امنيت اطلاعات: اين مرحله شامل تعريف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب ميشود .
- ايجاد سند سياست امنيت اطلاعات : كه پيشتر به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايههايي كه نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيبپذيري اطلاعات و سرمايههاي فيزيكي مرتبط نيز مشخص شود .
- آموزش و آگاهيبخشي: به دليل آسيبپذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم كرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- كنترل و بهبود مداوم : اثربخشي نظام مديريتي پياده شده بايد مطابق مدل بهرسميت شناخته شده كنترل و ارتقا يابد.
در كليه مراحل استقرار نظام مديريت امنيت اطلاعات مستندسازي از اهميت ويژهاي برخوردار است. مستندات از يك طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات ميپردازند و از طرف ديگر كنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در كل ميتوان مستندات را به چهار دسته تقسيم كرد:
-1 سياست ، چشمانداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذكور كه در مجموع بهعنوان نظامنامه امنيتي شناخته ميشود .
-2 توصيف فرايندها كه پاسخ سؤالات چه كسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مكاني را مي دهد و بهعنوان روشهاي اجرايي شناخته ميشوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده كه شامل دستورالعملهاي كاري ، چك ليستها ، فرمها و نظاير آن ميشود .
-4 مدارك و شواهد انطباق فعاليتها با الزامات ISMS كه از آنها بهعنوان سوابق ياد ميشود .
نتيجه گيري
هر چند بكارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه ISO17799 بتنهايي نشاندهنده برقراري امنيت كامل در يك سازمان نيست، اما استقرار اين نظام مزايايي دارد كه مهمترين آنها چنين است:
- در سطح سازماني استقرار نظام يادشده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و كاركنان سازمان در اين زمينه است.
- در سطح قانوني، اخذ گواهينامه به اولياي امور ثابت ميكند كه سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت ميكند.
- در سطح اجرايي، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها ميشود . علاوهبر اين چنين نظامي استفاده مطمئنتر از سختافزار و نرمافزار را تضمين ميكند .
- در سطح تجاري تلاشهاي مؤثر سازمان به منظور حفاظت از اطلاعات در شركا و مشتريان اطمينان خاطر بيشتري را فراهم ميآورد.
- در سطح مالي اين اقدام باعث كاهش هزينههاي مرتبط با مسائل امنيتي و كاهش احتمالي حق بيمههاي مرتبط ميشود .
- در سطح پرسنلي، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بكارگيري چنين نظامي است.
منابع
1 - سند راهبرد امنيت فضاي تبادل اطلاعات كشور «پيشنويس» ، دبير خانه شوراي امنيت فضاي تبادل اطلاعات
2 - پروژه استانداردسازي حفاظت اطلاعات «گزارش بررسي و شناخت»، پروژه شماره ???? شوراي پژوهشهاي علمي كشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com
+ نوشته شده در ساعت توسط Gh.Bashari
|