سیستم مدیریت امنیت اطلاعات
-(23 Body)  Print

در عصر حاضر که به عنوان عصر فرصت‌ها و تهدیدها شناخته می‌شود، سازمانی برنده است که از فرصت‌های موجود به نحو مطلوب استفاده نموده و تهدیدات را از میان بردارد. در همین راستا تاثیر ابزار IT بر سرعت و دقت تبادل اطلاعات اکنون به عنوان بزرگترین فرصت گسترش کسب و کار بر همگان مشخص است و سازمان‌ها جهت ادامه‌ی حیات در بازار رقابتی فعلی ملزم به استفاده از آن هستند، اما به واسطه استفاده از همین فناوری نوین، تهدیداتی نیز متوجه سازمان خواهد بود که عدم توجه به آنها می‌تواند صدمات جبران ناپذیری را به اطلاعات سازمان وارد سازد، از این تهدیدات می‌توان به نفوذ و ایجاد دسترسی غیر مجاز به سیستم‌ها از داخل و خارج سازمان، تهدیدات محیطی، بلایای طبیعی، ویروس‌های تهدید کننده اطلاعات و ... اشاره کرد که موجب از بین رفتن، افشا و یا دستکاری اطلاعات خواهند شد.

اولین تجربه سازمان‌ها در راستای امن سازی بسترهای تبادل اطلاعات، استفاده از ابزارها و راهبردهای فنی با صرف هزینه‌های گزاف و به جهت جلوگیری از بروز تهدیدات فوق الذکر بود (ابزار)، این راهکار تا حدی تهدیدات را برطرف نمود اما بررسی‌های به عمل آمده نشان داد بسیاری از مخاطرات را نمی توان صرفاً با راهکارهای فنی پوشش داد، بسیاری از تهدیدات متوجه سازمان باقی ماند بدون اینکه هیچ راهکار و ابزاری بتواند آن را مهار کند، به عنوان مثال هیچ دیواره‌ی آتشی نمی‌تواند از بروز خطای انسانی در فرایندهای پشتیبانی و یا از افشای اطلاعات توسط یک کارمند ناآگاه جلوگیری کند!

از آنجایی که سازمان‌ها بدون شناسایی مخاطرات متوجه هر کسب و کار و شدت آنها، راهکارهای فنی بدون اولویت‌بندی و به صورت جامع پیاده‌سازی نمودند هزینه‌های گزافی را به خود تحمیل نمودند، که اثربخشی ناچیزی داشته است. پیاده‌سازی راهکارهای فنی امن سازی بدون در نظر گرفتن شدت و اولویت مخاطرات وارده بر دارایی‌های سازمان مانند شلیک یک موشک با چشمان بسته و بدون شناسایی دشمن و یا حتی تصمیم برای انهدام یک چادر انفرادی، با یک موشک بالستیک است!

در نتیجه دو مشکل عمده در پیاده‌سازی راهکارهای صرفاً فنی به شرح ذیل شناسایی شد:

(الف) عدم پوشش صددرصدی مخاطره‌های امنیت اطلاعات با استفاده از ابزار به دلیل در نظر نگرفتن موارد انسانی، غیر فنی و مبتنی بر آموزش

(ب) عدم پیاده سازی اقدامات فنی متناسب با شدت مخاطره وارده بر دارایی‌ها و اولویت مخاطرات

از این رو نیازمندی جدیدی مطرح شد، نیاز به راهکاری که نه تنها امنیت سرویس ها و سامانه‌های سازمان را تضمین نماید بلکه هر دارایی دیگری را که حاوی اطلاعات ارزشمند برای سازمان می‌باشد (از جمله منابع انسانی، اطلاعات کاغذی و ...) نیز پوشش دهد، همچنین این راهکار می‌بایست مبتنی بر فرایندهای جاری سازمان و متناسب با آنها تهیه شود. در نتیجه علاوه بر ابزار دو بخش دیگر نیز به نیازمندی‌های امنیتی سازمان‌ها اضافه شد: منابع انسانی و فرایند. با در نظر گرفتن این سه وجه در کنار یکدیگر می‌توان ادعا نمود که هیچ حوزه‌ای از قلم نیفتاده و به مقوله‌ی امنیت از سه وجه اصلی آن توجه شده است.

Responsive image

تعامل این سه وجه می‌تواند فاکتورهای به شرح ذیل را به سازمان‌ها ارائه نماید:

الف) شناسایی دارایی‌های مرتبط با اطلاعات و ارزش‌گذاری آنها
ب) شناسایی مخاطرات وارد بر دارایی‌ها و اولویت بندی آنها
ج) تهیه راهکارهای فنی و غیر فنی متناسب با مخاطرات شناسایی شده هر دارایی از جمله:
  • وجود روش‌های اجرایی واحد و یکپارچه جهت دستیابی به اهداف امنیتی سازمان
  • مدیریت ارتباط با پیمانکاران و حفظ امنیت اطلاعات قابل مبادله با آنان
  • تهیه و به روز رسانی اهداف امنیت
  • ارتقاء سطح دانش و فرهنگ سازمانی امنیت
  • برنامه ریزی جهت ممیزی نرم افزارها و سخت افزارها
  • مشخص نمودن وظایف و مسئولیت های امنیتی تمامی افراد سازمان در فعالیت‌های روزانه و یا در برخورد با حوادث امنیتی
  • برنامه‌ریزی جهت مواجهه با بحران‌ها و حوادث امنیت اطلاعات
  • و غیره...
د) پایش و بازنگری اثربخشی راهکارها و انجام اقدامات بهبود

برای اطمینان از پوشش همه‌ی فاکتورهای عنوان شده، استاندارد ISO27001:2013 توسط سازمان بین المللی استاندارد معرفی شد تا به این واسطه بتوان چارچوبی مشخص جهت شناسایی، ارزیابی و مدیریت تهدیدات و ریسک‌های اطلاعاتی موجود در سازمان‌ها ایجاد نمود و بکارگیری خدمات IT امن را به عنوان مزیت جدید رقابتی سازمان‌ها معرفی کند.

اهمیت استقرار این چارچوب که به ISMS معروف شد، به حدی بود که مطابق بخشنامه شماره 13711-86/م/38505 مورخ 1386/08/10  معاون اول محترم رئیس جمهور کلیه دستگاه‌های دولتی و غیردولتی، موظف به تهیه طرح سیستم مدیریت امنیت اطلاعات(ISMS) شدند و براساس مصوبه مورخ 1388/12/24 هیأت محترم وزیران، مرکزی با عنوان «مرکز مدیریت، توسعه و راهبری نظام مدیریت امنیت اطلاعات(نما)»، تشکیل شد که نقش نهاد اعتباربخشی ارکان دیگر شامل: نهادهای آموزشی، مشاوره و پیاده‌سازی، ممیزی و صدور گواهینامه ملی که در حوزه مدیریت امنیت اطلاعات فعالیت می‌کنند را عهده‌دار گردید.

در راستای دستیابی به اهداف امنیت اطلاعات ارائه شده و همچنین استقرار سیستم یکپارچه امنیت اطلاعات بر مبنای ISO27001:2013، شرکت ثامن ارتباط عصر، با بکارگیری گروهی از بهترین متخصصان مجرب و با تجربه در این حوزه، آماده ارائه خدمات مشاوره و استقرار سیستم مدیریت امنیت اطلاعات در زمینه‌های ذیل می‌باشد:

  • بررسی و نیاز سنجی اولیه سازمان و تهیه RFP برای سازمان‌ها
  • انجام شناخت اولیه سازمان و شناسایی شکاف‌های موجود بین شرایط فعلی و شرایط ایده‌آل (Gap Analysis)
  • انجام تست نفوذ جهت شناسایی دقیق‌تر آسیب پذیری‌های وارده بر سازمان
  • طراحی، استقرار و نگه‌داشت سیستم مدیریت امنیت اطلاعات متناسب با نیاز سازمان
  • تهیه و اجرای طرح‌های تداوم کسب و کار(BCP) و بازیابی از حادثه (DRP)
  • برنامه ریزی و اجرای سمینارها و دوره‌های آموزشی و آگاهی رسانی امنیتی جهت پرسنل سازمان
  • انجام ممیزی داخلی سیستم مدیریت امنیت اطلاعات بر مبنای ISO27001:2013

1) ISMS چیست؟

ISMS یا Information Security Management System که به سیستم مدیریت امنیت اطلاعات معروف است، به معنی استقرار سیستمی جهت حفظ سه پارامتر محرمانگی، صحت و دسترس پذیری اطلاعات می باشد، این سیستم که تلفیقی از راهکارهای فنی و مدیریتی می باشد، تمامی وجوه سازمان از جمله فنی و مدیریتی را در بر می گیرد و مطابق با چرخه ای تکرار شونده (معروف به چرخه دمینگ) به برنامه ریزی در مورد حفظ امنیت دارایی ها، اجرای طرح ها، بازنگری و در نهایت اصلاح طرح های ایمن سازی می پردازد و در پایان هر چرخه دوباره چرخه ی جدیدی شروع می گردد.

2) ISO27001:2013 چیست؟

ISO یک استاندارد بین المللی است که توسط سازمان بین المللی استانداردسازی (International Standardization Organization) ایجاد شده و توضیح می دهد که چطور امنیت اطلاعات را در سازمان مدیریت کنیم. آخرین ورژن از این استاندارد در سال 2013 تحت عنوان ISO27001:2013 منتشر شد. ورژن قبلی این استاندارد در سال 2005 و تحت عنوان ISO 27001:2005 منتشر شده بود و همان استاندارد نیز در اصل ورژن جدید استاندارد BS 7799-2 بود. در حال حاضر تنها استاندارد ISO27001:2013 معتبر می باشد و استانداردهای قبلی که ذکر گردید منسوخ گردیده‌اند.

3)چه سازمان‌هایی نیاز به پیاده سازی ISMS دارند؟

توصیه می شود سازمان‌هایی که در آنها اطلاعات نقش اساسی دارد و از ارزش و اهمیت بالایی برخوردار است و همچنین آن دسته از سازمان هایی که از ابزارهای IT به جهت بهبود خدمات خود استفاه می کنند، حتما استقرار سیستم مدیریت امنیت اطلاعات را در اولویت قرار دهند. این سازمان ها می توانند دولتی و یا خصوصی باشند. همچنین سازمان هایی که زیرساخت های فناوری اطلاعات را برای دیگر سازمان ها و نهادها تامین می کنند نیز می بایست برای استقرار این سیستم برنامه ریزی نمایند، به عنوان مثال می توان به سازمان هایی که زیرساختهای مالی، بانکی، ارتباطات، مراکز داده و ... را ایجاد می کنند اشاره نمود.

4)آیا سازمان‌های دولتی می‌توانند این استاندارد را پیاده‌سازی نمایند؟

با توجه به بخشنامه مورخ 86/08/10 ، معاون اول محترم رئیس جمهور کلیه دستگاه‌های دولتی و غیردولتی را موظف به تهیه طرح سیستم مدیریت امنیت اطلاعات (ISMS) نمود و براساس مصوبه مورخ 1388/12/24هیأت محترم وزیران، مرکزی با عنوان «مرکز مدیریت، توسعه و راهبری نظام مدیریت امنیت اطلاعات(نما)»، تشکیل شد، پس از آن وظیفه ممیزی و صدور گواهینامه ISO27001 بر عهده سازمان نما قرار گرفت، هرچند هنوز سازمان های خصوصی مجاز به دریافت گواهینامه بین المللی ISO27001:2013 نیز می‌باشند، اما شرکت‌های دولتی، تنها مجاز به دریافت گواهینامه داخلی نما می باشند، لازم به ذکر است تمامی مراحل پیاده‌سازی و ممیزی برای گواهینامه‌های بین المللی و داخلی مشابه یکدیگر می‌باشد، با این تفاوت که مرکز اعتبار بخشی گواهینامه‌های داخلی، در داخل کشور بوده و سازمان‌ها توسط CBهای ملی ممیزی شده و گواهینامه دریافت می کنند اما گواهینامه های بین المللی توسط نمایندگان CBهای بین المللی در ایران صادر می گردد. توضیح: CB (Certification Body) شرکت ممیزی کننده می باشد.

5)برای پیاده سازی سیستم مدیریت امنیت اطلاعات باید از کجا شروع کرد؟

  • قبل از اقدام به هر کاری نیاز است سازمان حمایت مدیریت ارشد را جلب نماید، با توجه به اینکه استقرار این سیستم از بالاترین مقام سازمان شروع می‌شود، در تمامی مراحل حمایت مدیریت عامل، اصل اساسی در پیشبرد اهداف ISMS خواهد بود، در غیر این صورت استقرار این سیستم تنها هدر دادن زمان و منابع مالی خواهد بود.
  • با توجه به اینکه سیستم مدیریت امنیت اطلاعات بر پایه چرخه PDCA بنا گذاشته شده است و این بدان معنی است که این سیستم پس از استقرار بصورت مداوم ادامه خواهد داشت؛ لذا لازم است ساختاری تحت عنوان ساختار امنیت اطلاعات برای نگهداشت و بهبود این سیستم تشکیل گردد.
  • به جهت استقرار سیستم مدیریت امنیت اطلاعات، در دوره اول توصیه می‌گردد از خدمات مشاوره استقرار سیستم مدیریت امنیت اطلاعات استفاده نمایید، از مزایای استفاده از خدمات مشاوره می توان به موارد ذیل اشاره نمود:
    • سرعت در استقرار سیستم
    • عدم نیاز به تخصیص نیروی انسانی بیش از حد به پروژه;
    • پایه گذاری مناسب سیستم مدیریت امنیت اطلاعات به واسطه استفاده از یک تیم مشاور با تجربه
    • و ...
  • پس از استقرار سیستم مدیریت امنیت اطلاعات در سازمان که با توجه به حجم اطلاعات و دارایی‌های سازمان مدت متغیری خواهد داشت، نوبت به ممیزی و دریافت گواهینامه می‌رسد، در این مرحله سازمان یک چرخه از استقرار را تکمیل نموده و پس از ممیزی توسط شرکت‌های مجاز در این حوزه گواهینامه ISO 27001:2013 را دریافت می‌نماید، اما دریافت این گواهینامه به معنای پایان استقرار سیستم نیست، بلکه این چرخه به صورت مداوم جریان دارد و سیستم در سازمان جاری خواهد بود، بدین معنی که امنیت اطلاعات سازمان به طور مستمر پایش شده و اقدامات بهبود تعریف و اجرا می‌گردد.

6)در سازمان خود برخی از راهکارهای امنیتی فنی را پیاده سازی نموده‌ایم، آیا باز هم نیاز است که سیستم مدیریت امنیت اطلاعات را پیاده‌سازی نماییم؟

ISMS یک سیستم مدیریتی است؛ ارتباطی که این سیستم با اقدامات فنی دارد در خصوص توجیه ضرورت پیاده سازی راهکارهای فنی و اولویت بندی انجام اقدامات فنی است. در اصل توسط ISMS دارایی‌های مرتبط با اطلاعات در سازمان مشخص می‌شوند، ارزش گذاری می‌گردند، ریسک‌های روی هر یک از آن دارایی‌ها شناسایی می‌شود، این ریسک‌ها اولویت دهی می‌شوند و در نهایت اقدامات فنی و مدیریتی به ازای ریسک‌های اولویت بندی شده ارائه می‌گردد. همانطور که عنوان شد، راهکارهای فنی به عنوان بخشی از خروجی‌های ISMS می‌تواند در نظر گرفته شود، اما نه همه‌ی آن! بدیهی است که اجرای اقدامات پایه فنی در خصوص ارتقای امنیت اطلاعات (Information Security Baseline) همانند جداسازی و حفاظت شبکه با دیوار? آتش، نصب آنتیویروس، نصب وصله‌های امنیتی و ... در هر سازمان مطلوب است و این موارد صراحتاً جزئی از الزامات استاندارد ISMS هستند راهکارهای فنی اگر درست انتخاب شوند و در جایگاه مناسب پیاده سازی شوند تنها می‌توانند بخشی از ریسک‌های سازمان را پوشش دهند، سیستم مدیریت امنیت اطلاعات کلیه وجوه سازمان را در نظر گرفته و برای تمامی ریسکهای متوجه داراییهای اطلاعاتی آن راهکار ارائه می‌دهد، این راهکارهای می تواند استقرار فایروال، آموزش پرسنل، ایجاد خط مشی پشتیبان گیری از اطلاعات و ... باشد. لذا پاسخ این سوال را می توان به این صورت جمع بندی کرد که پیاده سازی راهکارهای فنی اگرچه می‌تواند بخشی از ریسک‌های متوجه اطلاعات شناسایی شده طی استقرار سیستم مدیریت امنیت اطلاعات را کاهش دهد اما به هیچ عنوان نمی تواند جایگزینی برای سیستم مدیریت امنیت اطلاعات باشد. در اصل ISMS کمک می کند که اقدامات تکمیلی فنی، فرایندی و مدیریتی با رویکردی مؤثر و بر اساس اصل هزینه-فایده انجام پذیرد.

 

  • تهران-خیابان گاندی جنوبی- خیابان پانزدهم- پلاک 25
  • درخواست دمو محصول و ارائه خدمات: 87137330-021
    دفتر مرکزی: 87137000-021
  • info[@]samenea.com
اینستاگرام آپارات آراس اس تلگرام لینکدین