استاندارد ISF، تجربه ی برتر امنیت اطلاعات

امروزه استاندارد Information Security Forum ISF به عنوان تجربه ای معتبر برای امنیت اطلاعات شناخته شده است. این استاندارد مجموعه ی تجربیات بیش از ۲۶۰ شرکت و سازمان بین المللی معتبر در زمینه ی اطلاعات و بهسازی امنیت اطلاعات آن هاست.
در طول ۱۶ سال ، ISF بیش از هفتاد و پنج میلیون دلار برای گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این استاندارد ، نشان دادن مجموعه ی بسیار گسترده و جامع از تمامی عناوین مربوط به مدیریت ریسكهای اطلاعات در دنیاست.
استاندارد ISF فشرده و كلیدی برای برنامه های گسترده ی گروه ISF است. نتایج این استاندارد که در طی سال ها گسترش یافته و هر سال نسبت به سال پیش بهبود پیدا كرده است ، اجرای پروژه هایی زیادی است كه توسط ISF تعریف و انجام شده است.
هر چند ISF و نتایج آن متعلق به اعضای انحصاری آن است ، اما این گروه تصمیم گرفت برخی از نكات كلیدی را در قالب مجموعه ای كامل به نام The Standard of Good Practice (استاندارد تجربه برتر ) ، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:
۱) ایجاد زمینه ای برای بالا بردن سطح امنیت اطلاعات سازمان ها در سرتاسر جهان از طریق تجربه ای برتر
۲) كمك به سازمان ها و شركت هایی كه عضو ISF نیستند ، برای بهبود وضعیت امنیتی خود و كاهش خطرات امنیتی در سطح قابل قبول
۳) كمك عملی به تولید كنندگان استاندارد ها برای مشخص كردن نواحی و كاهش ریسك های اطلاعاتی در یك مجموعه
ISF با اجرای ممیزی وضعیت امنیت اطلاعات اعضای خود، آنها را قادر می سازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودكار انجام می شود تا بتوانند میزان اجرای توافق های امنیتی خود را در سازمان اندازه گیری و با سازمان های سردمدار گروه مقایسه كنند.
● معرفی استاندارد
در این بخش ، جزییات دقیق تری از استاندارد ISF ارائه خواهد شد.
این استاندارد، امنیت اطلاعات را از دید كسب و كارها بررسی می كند و ارزیابی ابتدایی از توافق ها و سیاست های امنیتی سازمان ها ارائه می دهد. استاندارد ISF روی توافق هایی تمركز دارد كه باید در سازمان های سردمدار IT ایجاد شود تا از این طریق به آنها برای كنترل ریسك های امنیتی کمک کند.
استاندارد بر اساس اصول غنی شده ی حاصل از تحقیقات عمیق و تمرینات عملی اعضای گروه ISF تنظیم شده است و هر دو سال یك بار روز آمد می شود.
تمرینات موجود در استاندارد می تواند به صورت جزیی یا كلی در توافق های امنیتی سازمان ها توسط افراد كلیدی زیر گنجانده شود:
▪ مدیر امنیت اطلاعات :
مقامی مشابه كه مسئول و پاسخگوی مسایل امنیت اطلاعات و پیاده سازی آنها در سازمان است.
▪ مدیر سازمان :
كه مجری برنامه های كاربردی و بحرانی سازمان است.
▪ مدیر IT :
كه پاسخگو و مسئول طراحی، تولید ، نصب و اجرا و نگهداری تجهیزات یا سیستم های اطلاعاتی است.
استاندارد ISF برای اولین بار در سال ۱۹۹۶ منتشر شد. نسخه ی جدید این استاندارد هر دو سال یك بار منتشر و كلید ها و موارد دیگر به آن افزوده می شود و در راستای استاندارد بین المللی توسعه پیدا می كند. این استاندارد بر پایه ی دانش اعضای گروه ISF و نیز مهارت های تیم مدیریت آن بنا نهاده شده است ، كه به صورت تمام وقت روی این استاندارد فعالیت می كند. از استاندارد های بین المللی دیگر (همچون ISO ۱۷۷۹۹ ) و نتایج تجزیه و تحلیل های ممیزی های ISF نیز به عنوان یك منبع در آن استفاده می شود.
خلاصه آنكه، این استاندارد بر پایه ی ۱۶ سال برنامه های كاری ISF، ۱۲۵ پروژه ی تحقیقاتی و ۲۰۰ گزارش بنا نهاده شده است.
این استاندارد در بیش از ۱۰ شركت و سازمان تولیدی و طراحی به طور آزمایشی پیاده سازی شده است تا از درستی كلید های آن در بخش امنیت اطلاعات، اطمینان حاصل شود.
استاندارد تجربه ی برتر امنیت اطلاعات، در اصل مجموعه ای است از اصول واقعی و درستی كه از طریق بهترین تجربیات سازمان های عضو به دست آمده و بر اساس نیازهای سازمان های مختلف ایجاد شده است.
بسیاری از حرفه ای های امنیت اطلاعات ، از این استاندارد به عنوان استانداردی ارزشمند یاد می كنند كه می توان آن را در تمام سطوح امنیتی سازمان ها در سرتاسر جهان به كار برد.
● منافع استفاده از استاندارد
▪ ایجاد یك محیط مدیریتی- تجاری
برای ایجاد یك محیط مدیریتی-تجاری كه در آن ریسك های امنیتی قابل كنترل باشند ، نیاز است:
ـ امنیت اطلاعات در وضعیت ایده آل قرار داشته باشد
- بهترین تجربه ها برای طراحی، تولید، نصب و اجرا و همچنین نگهداری سیستم های اطلاعاتی در نظر گرفته شود.
هر چند انجام همه این امور كاری طاقت فرسا و پیچیده است ، زیرا یك سازمان در یك مسیر پویا با مسایل زیادی رو به رو می شود ، از جمله :
- فشار های ناشی از وضعیت های دشوار اقتصادی جهان كه سازمان با آن مواجه است.
- اعتماد فزاینده ای كه بر پایه ی سیستم اطلاعاتی برپایه IT ایجاد می شود
- خطرات و تهدیداتی كه كامپیوتر ها و شبكه ها با آن مواجه اند و تكنیك ها و فناوری های آن روز به روز در حال افزایش و پیشرفت است
- نیازهای تجاری سیستم ها و كارمندان برای انجام سریع و آسان كارها
- نبود مهارتهای كلیدی ، کارشناسی و دیگر منابع در بسیاری از حوزه های پر اهمیت .
بنابراین ، سازمان ها نیازمند تعریفی ساده و عملیاتی اند كه شامل تكنیك های مناسبی برای بالابردن سطح امنیت اطلاعات باشد و بتواند این تكنیك ها را به شکل عملیاتی در سازمان پیاده سازی كنند . این چیزی نیست جز استاندارد تجربه ی برتر امنیت اطلاعات!
▪ اندازه گیری میزان کارایی در برابر استاندارد
اگر چه استاندارد تجربه ی برتر مشخص می كند كه چه كاری باید انجام شود، اغلب سازمان ها می خواهند بدانند كه در برابر یک استاندارد باید چه كاری انجام دهند. در واقع ، اعضای ISF می توانند از ممیزی وضعیت امنیت اطلاعات، بهره بگیرند و این می تواند تا حدی آنها را به استاندارد نزدیك كند.
این ممیزی به سازمان كمك می كند كه بتواند توافق های امنیت اطلاعات موجود در سازمان را آزمایش کند و نمره ی خود را در برابر استاندارد ببیند.
▪ اعمال كردن استاندارد
استاندارد تجربه ی برتر ، به پنج بخش جداگانه تقسیم می شود كه هر كدام محیط كاری مشخصی را در نظر گرفته است.
در اصل استاندارد ، بر چگونگی پشتیبانی نقاط و فرآیند های كلیدی سازمان توسط امنیت اطلاعات تمركز دارد. این فرآیند ها تا اندازه ی زیادی به میزان وابستگی سازمان به IT بستگی دارد و بیشتر از همه روی بخش هایی كه حیات سازمان به آن ها بستگی دارد متمركز می شوند.
به همین دلیل بخش برنامه های كاربردی تجاری پر اهمیت (Critical Business Application ) جز مركز طراحی این استاندارد است. این ارتباط در شكل زیر نشان داده شده است :
بخش تاسیسات كامپیوتری (Computer Installation ) و شبكه ها (Networks ) به عنوان شالوده ی زیربنایی برای اجرای برنامه های كاربردی تجاری را فراهم می كند. بخش توسعه ی سیستم ها (Systems Development ) نیز چگونگی برخورد با برنامه ی كاربردی جدید را مشخص می كند. مدیریت امنیت (Security Management ) نیز مشخص كننده ی كنترل ها و هدایت در سطح بالاست.