سيستم مديريت امنيت اطلاعات
-(5 Body)  Print

در عصر حاضر که به عنوان عصر فرصت‌ها و تهديدها شناخته مي‌شود، سازماني برنده است که از فرصت‌هاي موجود به نحو مطلوب استفاده نموده و تهديدات را از ميان بردارد. در همين راستا تاثير ابزار IT بر سرعت و دقت تبادل اطلاعات اکنون به عنوان بزرگترين فرصت گسترش کسب و کار بر همگان مشخص است و سازمان‌ها جهت ادامه‌ي حيات در بازار رقابتي فعلي ملزم به استفاده از آن هستند، اما به واسطه استفاده از همين فناوري نوين، تهديداتي نيز متوجه سازمان خواهد بود که عدم توجه به آنها مي‌تواند صدمات جبران ناپذيري را به اطلاعات سازمان وارد سازد، از اين تهديدات مي‌توان به نفوذ و ايجاد دسترسي غير مجاز به سيستم‌ها از داخل و خارج سازمان، تهديدات محيطي، بلاياي طبيعي، ويروس‌هاي تهديد کننده اطلاعات و ... اشاره کرد که موجب از بين رفتن، افشا و يا دستکاري اطلاعات خواهند شد.

اولين تجربه سازمان‌ها در راستاي امن سازي بسترهاي تبادل اطلاعات، استفاده از ابزارها و راهبردهاي فني با صرف هزينه‌هاي گزاف و به جهت جلوگيري از بروز تهديدات فوق الذکر بود (ابزار)، اين راهکار تا حدي تهديدات را برطرف نمود اما بررسي‌هاي به عمل آمده نشان داد بسياري از مخاطرات را نمي توان صرفاً با راهکارهاي فني پوشش داد، بسياري از تهديدات متوجه سازمان باقي ماند بدون اينکه هيچ راهکار و ابزاري بتواند آن را مهار کند، به عنوان مثال هيچ ديواره‌ي آتشي نمي‌تواند از بروز خطاي انساني در فرايندهاي پشتيباني و يا از افشاي اطلاعات توسط يک کارمند ناآگاه جلوگيري کند!

از آنجايي که سازمان‌ها بدون شناسايي مخاطرات متوجه هر کسب و کار و شدت آنها، راهکارهاي فني بدون اولويت‌بندي و به صورت جامع پياده‌سازي نمودند هزينه‌هاي گزافي را به خود تحميل نمودند، که اثربخشي ناچيزي داشته است. پياده‌سازي راهکارهاي فني امن سازي بدون در نظر گرفتن شدت و اولويت مخاطرات وارده بر دارايي‌هاي سازمان مانند شليک يک موشک با چشمان بسته و بدون شناسايي دشمن و يا حتي تصميم براي انهدام يک چادر انفرادي، با يک موشک بالستيک است!

در نتيجه دو مشکل عمده در پياده‌سازي راهکارهاي صرفاً فني به شرح ذيل شناسايي شد:

(الف) عدم پوشش صددرصدي مخاطره‌هاي امنيت اطلاعات با استفاده از ابزار به دليل در نظر نگرفتن موارد انساني، غير فني و مبتني بر آموزش

(ب) عدم پياده سازي اقدامات فني متناسب با شدت مخاطره وارده بر دارايي‌ها و اولويت مخاطرات

از اين رو نيازمندي جديدي مطرح شد، نياز به راهکاري که نه تنها امنيت سرويس ها و سامانه‌هاي سازمان را تضمين نمايد بلکه هر دارايي ديگري را که حاوي اطلاعات ارزشمند براي سازمان مي‌باشد (از جمله منابع انساني، اطلاعات کاغذي و ...) نيز پوشش دهد، همچنين اين راهکار مي‌بايست مبتني بر فرايندهاي جاري سازمان و متناسب با آنها تهيه شود. در نتيجه علاوه بر ابزار دو بخش ديگر نيز به نيازمندي‌هاي امنيتي سازمان‌ها اضافه شد: منابع انساني و فرايند. با در نظر گرفتن اين سه وجه در کنار يکديگر مي‌توان ادعا نمود که هيچ حوزه‌اي از قلم نيفتاده و به مقوله‌ي امنيت از سه وجه اصلي آن توجه شده است.

Responsive image

تعامل اين سه وجه مي‌تواند فاکتورهاي به شرح ذيل را به سازمان‌ها ارائه نمايد:

الف) شناسايي دارايي‌هاي مرتبط با اطلاعات و ارزش‌گذاري آنها
ب) شناسايي مخاطرات وارد بر دارايي‌ها و اولويت بندي آنها
ج) تهيه راهکارهاي فني و غير فني متناسب با مخاطرات شناسايي شده هر دارايي از جمله:
  • وجود روش‌هاي اجرايي واحد و يکپارچه جهت دستيابي به اهداف امنيتي سازمان
  • مديريت ارتباط با پيمانکاران و حفظ امنيت اطلاعات قابل مبادله با آنان
  • تهيه و به روز رساني اهداف امنيت
  • ارتقاء سطح دانش و فرهنگ سازماني امنيت
  • برنامه ريزي جهت مميزي نرم افزارها و سخت افزارها
  • مشخص نمودن وظايف و مسئوليت هاي امنيتي تمامي افراد سازمان در فعاليت‌هاي روزانه و يا در برخورد با حوادث امنيتي
  • برنامه‌ريزي جهت مواجهه با بحران‌ها و حوادث امنيت اطلاعات
  • و غيره...
د) پايش و بازنگري اثربخشي راهکارها و انجام اقدامات بهبود

براي اطمينان از پوشش همه‌ي فاکتورهاي عنوان شده، استاندارد ISO27001:2013 توسط سازمان بين المللي استاندارد معرفي شد تا به اين واسطه بتوان چارچوبي مشخص جهت شناسايي، ارزيابي و مديريت تهديدات و ريسک‌هاي اطلاعاتي موجود در سازمان‌ها ايجاد نمود و بکارگيري خدمات IT امن را به عنوان مزيت جديد رقابتي سازمان‌ها معرفي کند.

اهميت استقرار اين چارچوب که به ISMS معروف شد، به حدي بود که مطابق بخشنامه شماره 13711-86/م/38505 مورخ 1386/08/10  معاون اول محترم رئيس جمهور کليه دستگاه‌هاي دولتي و غيردولتي، موظف به تهيه طرح سيستم مديريت امنيت اطلاعات(ISMS) شدند و براساس مصوبه مورخ 1388/12/24 هيأت محترم وزيران، مركزي با عنوان «مرکز مديريت، توسعه و راهبري نظام مديريت امنيت اطلاعات(نما)»، تشكيل شد كه نقش نهاد اعتباربخشي ارکان ديگر شامل: نهادهاي آموزشي، مشاوره و پياده‌سازي، مميزي و صدور گواهينامه ملي که در حوزه مديريت امنيت اطلاعات فعاليت مي‌کنند را عهده‌دار گرديد.

در راستاي دستيابي به اهداف امنيت اطلاعات ارائه شده و همچنين استقرار سيستم يکپارچه امنيت اطلاعات بر مبناي ISO27001:2013، شرکت ثامن ارتباط عصر، با بکارگيري گروهي از بهترين متخصصان مجرب و با تجربه در اين حوزه، آماده ارائه خدمات مشاوره و استقرار سيستم مديريت امنيت اطلاعات در زمينه‌هاي ذيل مي‌باشد:

  • بررسي و نياز سنجي اوليه سازمان و تهيه RFP براي سازمان‌ها
  • انجام شناخت اوليه سازمان و شناسايي شکاف‌هاي موجود بين شرايط فعلي و شرايط ايده‌آل (Gap Analysis)
  • انجام تست نفوذ جهت شناسايي دقيق‌تر آسيب پذيري‌هاي وارده بر سازمان
  • طراحي، استقرار و نگه‌داشت سيستم مديريت امنيت اطلاعات متناسب با نياز سازمان
  • تهيه و اجراي طرح‌هاي تداوم کسب و کار(BCP) و بازيابي از حادثه (DRP)
  • برنامه ريزي و اجراي سمينارها و دوره‌هاي آموزشي و آگاهي رساني امنيتي جهت پرسنل سازمان
  • انجام مميزي داخلي سيستم مديريت امنيت اطلاعات بر مبناي ISO27001:2013

1) ISMS چيست؟

ISMS يا Information Security Management System که به سيستم مديريت امنيت اطلاعات معروف است، به معني استقرار سيستمي جهت حفظ سه پارامتر محرمانگي، صحت و دسترس پذيري اطلاعات مي باشد، اين سيستم که تلفيقي از راهکارهاي فني و مديريتي مي باشد، تمامي وجوه سازمان از جمله فني و مديريتي را در بر مي گيرد و مطابق با چرخه اي تکرار شونده (معروف به چرخه دمينگ) به برنامه ريزي در مورد حفظ امنيت دارايي ها، اجراي طرح ها، بازنگري و در نهايت اصلاح طرح هاي ايمن سازي مي پردازد و در پايان هر چرخه دوباره چرخه ي جديدي شروع مي گردد.

2) ISO27001:2013 چيست؟

ISO يک استاندارد بين المللي است که توسط سازمان بين المللي استانداردسازي (International Standardization Organization) ايجاد شده و توضيح مي دهد که چطور امنيت اطلاعات را در سازمان مديريت کنيم. آخرين ورژن از اين استاندارد در سال 2013 تحت عنوان ISO27001:2013 منتشر شد. ورژن قبلي اين استاندارد در سال 2005 و تحت عنوان ISO 27001:2005 منتشر شده بود و همان استاندارد نيز در اصل ورژن جديد استاندارد BS 7799-2 بود. در حال حاضر تنها استاندارد ISO27001:2013 معتبر مي باشد و استانداردهاي قبلي که ذکر گرديد منسوخ گرديده‌اند.

3)چه سازمان‌هايي نياز به پياده سازي ISMS دارند؟

توصيه مي شود سازمان‌هايي که در آنها اطلاعات نقش اساسي دارد و از ارزش و اهميت بالايي برخوردار است و همچنين آن دسته از سازمان هايي که از ابزارهاي IT به جهت بهبود خدمات خود استفاه مي کنند، حتما استقرار سيستم مديريت امنيت اطلاعات را در اولويت قرار دهند. اين سازمان ها مي توانند دولتي و يا خصوصي باشند. همچنين سازمان هايي که زيرساخت هاي فناوري اطلاعات را براي ديگر سازمان ها و نهادها تامين مي کنند نيز مي بايست براي استقرار اين سيستم برنامه ريزي نمايند، به عنوان مثال مي توان به سازمان هايي که زيرساختهاي مالي، بانکي، ارتباطات، مراکز داده و ... را ايجاد مي کنند اشاره نمود.

4)آيا سازمان‌هاي دولتي مي‌توانند اين استاندارد را پياده‌سازي نمايند؟

با توجه به بخشنامه مورخ 86/08/10 ، معاون اول محترم رئيس جمهور کليه دستگاه‌هاي دولتي و غيردولتي را موظف به تهيه طرح سيستم مديريت امنيت اطلاعات (ISMS) نمود و براساس مصوبه مورخ 1388/12/24هيأت محترم وزيران، مركزي با عنوان «مرکز مديريت، توسعه و راهبري نظام مديريت امنيت اطلاعات(نما)»، تشكيل شد، پس از آن وظيفه مميزي و صدور گواهينامه ISO27001 بر عهده سازمان نما قرار گرفت، هرچند هنوز سازمان هاي خصوصي مجاز به دريافت گواهينامه بين المللي ISO27001:2013 نيز مي‌باشند، اما شرکت‌هاي دولتي، تنها مجاز به دريافت گواهينامه داخلي نما مي باشند، لازم به ذکر است تمامي مراحل پياده‌سازي و مميزي براي گواهينامه‌هاي بين المللي و داخلي مشابه يکديگر مي‌باشد، با اين تفاوت که مرکز اعتبار بخشي گواهينامه‌هاي داخلي، در داخل کشور بوده و سازمان‌ها توسط CBهاي ملي مميزي شده و گواهينامه دريافت مي کنند اما گواهينامه هاي بين المللي توسط نمايندگان CBهاي بين المللي در ايران صادر مي گردد. توضيح: CB (Certification Body) شرکت مميزي کننده مي باشد.

5)براي پياده سازي سيستم مديريت امنيت اطلاعات بايد از کجا شروع کرد؟

  • قبل از اقدام به هر کاري نياز است سازمان حمايت مديريت ارشد را جلب نمايد، با توجه به اينکه استقرار اين سيستم از بالاترين مقام سازمان شروع مي‌شود، در تمامي مراحل حمايت مديريت عامل، اصل اساسي در پيشبرد اهداف ISMS خواهد بود، در غير اين صورت استقرار اين سيستم تنها هدر دادن زمان و منابع مالي خواهد بود.
  • با توجه به اينکه سيستم مديريت امنيت اطلاعات بر پايه چرخه PDCA بنا گذاشته شده است و اين بدان معني است که اين سيستم پس از استقرار بصورت مداوم ادامه خواهد داشت؛ لذا لازم است ساختاري تحت عنوان ساختار امنيت اطلاعات براي نگهداشت و بهبود اين سيستم تشکيل گردد.
  • به جهت استقرار سيستم مديريت امنيت اطلاعات، در دوره اول توصيه مي‌گردد از خدمات مشاوره استقرار سيستم مديريت امنيت اطلاعات استفاده نماييد، از مزاياي استفاده از خدمات مشاوره مي توان به موارد ذيل اشاره نمود:
    • سرعت در استقرار سيستم
    • عدم نياز به تخصيص نيروي انساني بيش از حد به پروژه;
    • پايه گذاري مناسب سيستم مديريت امنيت اطلاعات به واسطه استفاده از يک تيم مشاور با تجربه
    • و ...
  • پس از استقرار سيستم مديريت امنيت اطلاعات در سازمان که با توجه به حجم اطلاعات و دارايي‌هاي سازمان مدت متغيري خواهد داشت، نوبت به مميزي و دريافت گواهينامه مي‌رسد، در اين مرحله سازمان يک چرخه از استقرار را تکميل نموده و پس از مميزي توسط شرکت‌هاي مجاز در اين حوزه گواهينامه ISO 27001:2013 را دريافت مي‌نمايد، اما دريافت اين گواهينامه به معناي پايان استقرار سيستم نيست، بلکه اين چرخه به صورت مداوم جريان دارد و سيستم در سازمان جاري خواهد بود، بدين معني که امنيت اطلاعات سازمان به طور مستمر پايش شده و اقدامات بهبود تعريف و اجرا مي‌گردد.

6)در سازمان خود برخي از راهکارهاي امنيتي فني را پياده سازي نموده‌ايم، آيا باز هم نياز است که سيستم مديريت امنيت اطلاعات را پياده‌سازي نماييم؟

ISMS يک سيستم مديريتي است؛ ارتباطي که اين سيستم با اقدامات فني دارد در خصوص توجيه ضرورت پياده سازي راهکارهاي فني و اولويت بندي انجام اقدامات فني است. در اصل توسط ISMS دارايي‌هاي مرتبط با اطلاعات در سازمان مشخص مي‌شوند، ارزش گذاري مي‌گردند، ريسک‌هاي روي هر يک از آن دارايي‌ها شناسايي مي‌شود، اين ريسک‌ها اولويت دهي مي‌شوند و در نهايت اقدامات فني و مديريتي به ازاي ريسک‌هاي اولويت بندي شده ارائه مي‌گردد. همانطور که عنوان شد، راهکارهاي فني به عنوان بخشي از خروجي‌هاي ISMS مي‌تواند در نظر گرفته شود، اما نه همه‌ي آن! بديهي است که اجراي اقدامات پايه فني در خصوص ارتقاي امنيت اطلاعات (Information Security Baseline) همانند جداسازي و حفاظت شبکه با ديوار? آتش، نصب آنتيويروس، نصب وصله‌هاي امنيتي و ... در هر سازمان مطلوب است و اين موارد صراحتاً جزئي از الزامات استاندارد ISMS هستند راهکارهاي فني اگر درست انتخاب شوند و در جايگاه مناسب پياده سازي شوند تنها مي‌توانند بخشي از ريسک‌هاي سازمان را پوشش دهند، سيستم مديريت امنيت اطلاعات کليه وجوه سازمان را در نظر گرفته و براي تمامي ريسکهاي متوجه داراييهاي اطلاعاتي آن راهکار ارائه مي‌دهد، اين راهکارهاي مي تواند استقرار فايروال، آموزش پرسنل، ايجاد خط مشي پشتيبان گيري از اطلاعات و ... باشد. لذا پاسخ اين سوال را مي توان به اين صورت جمع بندي کرد که پياده سازي راهکارهاي فني اگرچه مي‌تواند بخشي از ريسک‌هاي متوجه اطلاعات شناسايي شده طي استقرار سيستم مديريت امنيت اطلاعات را کاهش دهد اما به هيچ عنوان نمي تواند جايگزيني براي سيستم مديريت امنيت اطلاعات باشد. در اصل ISMS کمک مي کند که اقدامات تکميلي فني، فرايندي و مديريتي با رويکردي مؤثر و بر اساس اصل هزينه-فايده انجام پذيرد.

 

آپارات آراس اس تلگرام
تمامي حقوق متعلق به موسسه ارتباط عصر ثامن مي باشد.