سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح

پیشرفت علوم کامپیوتری و درنتیجه شبکه های سخت افزاری و نرم افزاری، امکان دسترسی آسان و سریع را به منابع به اشتراک گذاشته شده سازمانها و شرکتها را پدید آورده است. سیستم‌های خود پردازبانکی ، کارت‌های اعتباری، امکانات کامپیوتری بر روی تلفن های همراه ، همگی مثالهای بارزی از تاثیر امکانات کامپیوتری بر جامعه کنونی ایران هستند. با نظر به این تحولات نکاتی نظیر خطر آشکار شدن رمز عبور، خطر ویروسی شدن سیستم‌ها، ازبین رفتن اطلاعات و تغییر اطلاعات توسط افراد غیر مجاز، نفوذ آنها به شبکه ها و سیستم‌های کامپیوتری از اهمیت بالایی برخوردار می شوند. مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حلهای امنیتی (ازقبیل نصب فایروال، IDS و ...) برای برقراری امنیت مناسب و کافی است. امنیت اطلاعات نیازمند یک "سیستم مدیریت امنیت" یا به اصطلاح ISMS است. هدف این سیستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زیر ساخت و اجزای مختلف امنیتی سازمان است. یکی از قابلیتهای ارائه شده توسط ISMS ، امکان مدیریت تغییرات است. قابلیت دیگر، امکان مدیریت رخدادهاست. در این مقاله به بررسی این سیستم پرداخته شده است.
● مقدمه
امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیرمجاز به آنها اشاره می کند.(Dalton, King & Osmanoglu, ۲۰۰۱) همچنین علم مطالعه روشهای حفاظت از داده ها در رایانه ها و نظامهای ارتباطی در برابر دسترسی و تغییرات غیرمجاز است. (عبداللهی ،۱۳۷۵) امنیت به مجموعه ای از تدابیر، روشها و ابزارها برای جلوگیری از دسترسی و تغییرات غیرمجاز در نظامهای رایانه ای و ارتباطی اطلاق می شود. در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور با توجه به استفاده روز افزون از شبکه های کامپیوتری چه به صورت LAN (شبکه محلی) وچه به صورت WAN (شبکه گسترده)، بویژه در حوزه دستگاههای دولتی و خصوصا سازمانهایی که بخش اعظمی از اطلاعات مهم خود را به صورت دیجیتال ثبت می کنند، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساختهای فنی و اجرایی امنیت و انجام ندادن اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات دردستگاهها و سازمانهای دولتی اشاره نمود. بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، به خاطر فقدان زیرساختهایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرایم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور است.
بیش از یک سوم نقصهای امنیتی نظامهای رایانه ای در انگلیس ناشی از کارمندان و یک سوم از بدترین حوادث ایمنی ناشی از ویروس‌های رایانه ای است.( Matt Lonney، ۲۰۰۲) صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات سازمانها و دستگاههای دولتی، از یک‌سو موجب بروز اخلال در عملکرد صحیح دستگاهها می‌شود و کاهش اعتبار این دستگاهها را در پی خواهد داشت و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. بنابراین همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر می‌رسد. به منظور پیاده سازی یک ظرفیت امنیتی موثر ، سازمانها نیاز به تعیین ضعیفترین نقاط اتصال خود دارند و طراحی یک معماری وسیع امنیتی ، جهت تحقق اهداف مدیریت امنیت ضروری است. (Barnard, Von-Solms, ،۲۰۰۲) هدف از ایمن سازی اطلاعات، تضمین جامعیت ، محرمانه بودن و دسترس پذیر بودن اطلاعات است.
● امنیت اطلاعات
امنیت از دیرباز یکی از اجزای اصلی زیرساختهای فناوری اطلاعات به شمار می‌رفته است .تهدیدات امنیتی را می توان در دو مقوله دسته بندی کرد:
۱) تهدیدات فیزیکی: امنیت فیزیکی شامل کنترل ورود و خروج کارکنان به سایت‌های شبکه و همچنین روالهای سازمانی و یا بلاهای طبیعی از قبیل آتش سوزی، زلزله ، دزدی و از این قبیل است.
۲) تهدیدات الکترونیک: خطرات الکترونیک غالبا شامل تهدیدات هکرها و نفوذگران داخلی و خارجی در شبکه است.
هدف از امنیت اطلاعات، استفاده از مجموعه ای از سیاستها ، راهکارها ، ابزارها‌، سخت افزارها و نرم افزار ها، برای فراهم آوردن محیطی عاری از تهدید در تولید ، پالایش، انتقال و توزیع اطلاعات است . فراهم آوردن چنین محیطی مستلزم انجام مواردی است که می توان از آنها به عنوان نیازهای امنیتی اطلاعات نا م برد. برخی از این موارد در زیر ذکر شده اند:
_ ارزش هر واحد اطلاعاتی برای مالک آن باید مشخص باشد.بر اساس ارزش واحدهای اطلاعاتی بایستی آنها را رده‌بندی و یک سقف هزینه را برای امنیت آنها تعیین و برچسب رده امنیتی را بر روی آنها نصب کرد.
ـ تمهیدات لازم اعم از سخت افزاری و نرم افزاری برای حفاظت از اطلاعات با اولویت بالاتر فراهم شود.
ـ سیاستگذاری یکپارچه و سازگار در خصوص امنیت اطلاعات در بخشهای مختلف مدیریتی یک سازمان اعمال شود.
ـ سازوکار و تشکیلات مناسب جهت تطبیق امنیت اطلاعات با پیشرفتهای تکنولوژی تولید ، توزیع و انتقال اطلاعات از یک طرف و تهدیدات جدید از طرف دیگر فراهم شود.
ـ امنیت اطلاعات مانع و محدودیتی برای دسترسی کاربران مجاز آن فراهم نکند.
ـ امکان تعقیب عملکردهای مشکوک روی اطلاعات فراهم شده باشد.
● عوامل موثر در طراحی سیستم مدیریت امنیت اطلاعات
۱) نیازمندیهای امنیتی (اهداف کسب و کار): هر سازمانی باید بداند که چه چیز را در برابر چه خطراتی و چرا باید محافظت کند . سازمانها در سطوح حساسیت متفاوتی از یکدیگر قرار دارند و هیچ راه حل ثابتی برای همه سازمانها وجود ندارد.
۲) رویکرد مورد نظر در سازمان: برای پیاده سازی سیستم‌های مدیریت امنیت، روشها و الگوهای گوناگون فنی و مدیریتی پیشنهاد شده است ، یکی از این روشها رویکرد فرایند محور است . امنیت اطلاعات در یک سازمان به یکباره حاصل نمی شود و در واقع امنیت یک فرایند تکاملی و تدریجی است . این مسئله گاهی با این عنوان که " امنیت یک فرایند است نه یک محصول " بیان می شود.
۳) اندازه و ساختار سازمان: ISMS یک سیستم مدیریتی و بخشی از ساختار مدیریتی سازمان است. هرقدر سازمان بزرگتر باشد و واحدهای سازمانی بیشتری در بر داشته باشد، راه اندازی و راهبری ISMS در آن پیچیده تر خواهد بود. مطالعات نشان داده است که هزینه، زمان و کارکنان بیشتری در یک سازمان بزرگ برای پیاده سازی امنیت نیاز است .
● رویه های راه اندازی سیستم مدیریت امنیت اطلاعات
با توجه به رویکرد فرایند محور، کلیه راه حلهای ارائه شده در ISMS باید طی مراحل چهارگانه طراحی، پیاده سازی (اجرا)، ارزیابی و اصلاح به صورت یک چرخه همیشگی و ادامه دار در کلیه راه حلهای امنیتی اعم از فنی و مدیریتی اعمال شود. الگوی فرایندی فوق با عنوان PLAN,DO,CHECK, ACT)= (PDCAدر استاندارد BS ۷۷۹۹ شناخته می شود که قابل اعمال روی تمام فرایندهای پیشنهاد شده در ISMS بوده، وکل فرایند ISMS هم مبتنی بر همین الگوست.
دو نوع ورودی برای فرایند کلی ISMS در نظر گرفته شده که عبارت است از:
ـ خواسته های امنیتی: برای مثال اینکه حوادث امنیتی تاحدامکان منجر به ضرر مالی قابل توجهی نشود.
ـ انتظارات : برای مثال اگروب سایت سازمان توسط افراد غیر مجاز مورد نفوذ واقع شود، باید افرادی با مهارت کافی وجود داشته باشند که بتوانند آثار منفی آن را به حداقل برسانند.
● چرخه سیستم مدیریت امنیت اطلاعات
الف ) طراحی: استقرار ISMS شامل تعیین خط مشی ها، اهداف، فرایندها و روالها به منظور مدیریت مخاطرات در راستای اهداف کسب و کار است. در این مرحله، باید سرمایه اولیه راه اندازی ISMS ، روشهای مستند سازی، رویکرد مدیریت مخاطرات و نیز روشهای اختصاص منابع مشخص شود. در واقع باید اطمینان حاصل شود که محتوا و محدوده ISMS به طور دقیق و مناسب مشخص شده است. فعالیتهای مورد نیاز در این مرحله عبارت‌اند از:
۱) تعریف قلمرو (محدوده)ISMS : اولین قدم تعیین محدوده و میدانی است که نیاز است تا امنیت در آن در نظر گرفته شود و هدف سیستم مدیریت امنیت اطلاعات است. قلمرو ISMS بر اساس مشخصات کسب و کار، محل، داراییها و فناوریهای سازمان مشخص می شود.
۲) تعریف خط مشی ISMS : سیاست یا خط مشی امنیت در تمام فرایندهای ISMS نقش کلیدی ایفا می کند، به طوری که در تمام تجربیات موفق مدیریت امنیت، سند خط مشی به عنوان قلب، مبنا و نقطه آغاز یک طرح مدیریت امنیت موفق برشمرده شده است. هدف هر خط مشی (خواه امنیتی و خواه غیر امنیتی) تعریف و تأثیرگذاری بر تمامی رفتارها، عملکردها و تصمیم گیریهاست، به گونه ای که مشخص شود چه چیزی مجاز و چه چیزی غیرمجاز است.( Dancho Danchev ، ۲۰۰۳)
۳) تعیین مخاطرات: در این مرحله باید مخاطرات موجود را شناسایی کرد. بدین منظور ابتدا شناخت سرمایه ها و صاحبان آنها در قلمرو تعیین شده ISMS ضروری است. سپس باید تهدیدهای متناظر با هر دارایی را مشخص کرد. تعیین آسیب پذیریها و عواقب تهدیدها در مرحله پایانی این فاز قرار دارد .
۴) ارزیابی مخاطرات : اساس کار ISMS ، مدیریت مخاطرات امنیتی است. یکی از مهمترین قابلیتهای ISMS که در هر سازمانی متناسب با محدوده و نیازش باید انجام شود ، مدیریت ریسک است. مدیریت مخاطرات مجموعه فعالیتهای طرح ریزی، ارزیابی و کنترل مبتنی بر نتایج تحلیل مخاطرات است. ریسک یا مخاطره عبارت است از احتمال ضرر و زیانی که متوجه یک دارایی سازمان (دارایی شامل سخت افزار ، نرم افزار، اطلاعات ، ارتباطات ، کاربران) است. عدم قطعیت در نتیجه مقیاس ناپذیری یکی از مهمترین ویژگیهای مفهوم ریسک است. ( Dancho Danchev، ۲۰۰۳ ) طبعا این عدم قطعیت به معنای غیر قابل محاسبه و مقیاس بودن ریسکها نیست.
برای تحلیل مخاطرات وارد بر سیستم اطلاعات، باید ابتدا مخاطرات را تعیین کرد، سپس ارزش هر مخاطره را تخمین زد و سپس مخاطرات را برمبنای ارزش، احتمال رخداد و عواقب آن، به شکل عددی محاسبه کرد.
تحلیل مخاطرات شامل سه فرایند زیر است:
ـ تعیین مخاطرات که لیست مخاطرات موجود و ممکن را تولید می کند.
ـ تخمین مخاطرات که به هر مخاطره ارزشی (عددی، کیفیتی و...) تخصیص می‌دهد.
ـ ارزیابی مخاطرات که بر مبنای ارزش مخاطره، احتمال رخداد و عواقب آن، مخاطرات را به شکل عددی محاسبه می‌کند.
در مجموع شناسایی مخاطرات، و ارزیابی مخاطرات به عنوان برآورد مخاطرات مطرح شده است. برای این منظور باید ارزشیابی روی امنیت داراییهای سازمان انجام گیرد که با توجه به مرحله قبل، کلیه داراییها و سرمایه های سازمان (سخت افزار، نرم افزار ، اطلاعات ، ارتباطات و کاربر) به همراه اولویت و ارزش آن دارایی برای سازمان و نرخ ریسک‌ها و خطراتی که متوجه هر کدام است و آنها را تهدید می کند، لیست شود. همچنین بایستی احتمال رخداد هر کدام از تهدیدات که در اثر ضعف در سیستم دفاعی آن دارایی است، تعیین شود و در نهایت ضریب تاثیر هر کدام از ریسکها ، مشخص شود. بنابراین با ارزیابی ریسک‌ها تاثیر احتمال رخداد آن تهدیدات در برابر میزان ارزش آن دارایی تعیین می شود و می توان اولویت ریسک‌ها و تهدیداتی که برای داراییهای سازمان وجود دارد را تعیین کرد. در این حالت ماتریسی از احتمال رخداد ریسکها در سازمان و میزان تاثیر آنها با توجه به ارزش دارایی حاصل می شود. نتیجه این عملیات ، تعیین ریسک‌های موجود در سازمان خواهد بود که داراییهای سازمان را تهدید می کنند .
۵) انتخاب کنترل‌های مناسب: بر اساس نتایج حاصله از ارزیابی مخاطرات، آن دسته از مخاطرات که از سطح قابل قبول بالاتر و نیازمند اقدامات دفاعی هستند، انتخاب می شوند و کنترل‌های مناسب برای آنها برگزیده می شود. در بحث ISMS صرفنظر از رویکرد انتخابی در طرح ارزیابی مخاطرات، آنچه که اهمیت دارد، وجود این طرح است. خروجی اصلی فرایند مدیریت ریسک، سندی حاوی لیست کنترل‌های مورد نظر و اهداف هر کنترل است که در استانداردهای ISMS به نام «بیانیه کاربرد» شناخته می شود. این سند باید به امضای مدیریت ارشد سازمان برسد .
ب) اجرا: در این بخش باید کلیه کنترل‌ها‌، عملیاتی شوند. در این مرحله نیازبه رویه‌هایی جهت تشخیص سریع و پاسخگویی به حوادث، وجود دارد. همچنین نیاز است، کلیه کارمندان و افراد سازمان نسبت به امنیت در سازمان، آگاهی لازم را داشته باشند و آموزشهای لازم جهت عملکرد مناسب برای برخورد با ریسک و تهدید، ارائه شود. خلاصه ای از فعالیتهای این مرحله عبارت است از :
ـ فرموله کردن طرح برخورد با مخاطرات؛
ـ اجرای طرح برخورد با مخاطرات؛
ـ پیاده سازی کنترل‌های امنیتی انتخاب شده؛
ـ اجرای برنامه های آموزش و آگاهی‌رسانی؛
ـ مدیریت منابع و فعالیتها.
همچنین سیاستهای امنیتی باید تعیین و اعمال شوند. یک سیاست امنیتی انجام اعمالی است که باید صورت گیرد تا بتواند از اطلاعات ذخیره شده در کامپیوتر محافظت کند. یک سیاست امنیتی موثر باعث ایجاد امنیت نسبی برای کاربران می شود که در واقع یک استراتژی برای نگهداری اطلاعات و منابع شبکه است. (‌Nyanchama,۲۰۰۵)
ج) ارزیابی: هدف از این مرحله، حصول اطمینان از اجرای بموقع کنترل‌های امنیتی و برآورده شدن اهدافی که به دنبال دارند، است. ارزیابی میزان کارایی و مؤثر بودن ISMS در این مرحله انجام می گیرد. اجرای روالهای ارزیابی، مرور فرایندها و خط مشی ها، انجام بازرسیهای دوره‌ای درون سازمانی و برون سازمانی از آن جمله است. فعالیتهای کنترلی متنوعی وجود دارد‌، اما بازرسیهای داخلی ISMS و مدیریت بازبینی از مراحل اجباری برای پیاده سازی امنیت در سازمان‌اند. پس از پیاده سازی سیاستهای امنیتی ، با استفاده از سیستم‌های تشخیص نفوذی، یا سیستم‌های واقعه نگاری ، کلیه دسترسیهای غیر مجاز به شبکه و عبور از سیستم‌های امنیتی مشخص و در فایل های ثبت وقایع خروجی ، ذخیره می شود. سپس با استفاده از ابزار امنیتی، کلیه پورت‌ها و سرویس‌های شبکه و یا محلهای رخنه به شبکه بازرسی می شوند و اطلاعات مربوطه در فایل ثبت وقایع قرار می گیرند. همچنین در این قسمت با استفاده از یک‌سری ابزار، به تحلیل فایل‌های ثبت وقایع و اطلاعات پرداخته می شود و نتایج حاصل از آنها ، جهت بهبود عملکرد سیستم امنیتی شبکه ، استفاده و سپس در سیاستهای امنیتی شبکه اعمال می شود.
د) اصلاح: بر اساس نتایج مرحله ارزیابی می توان اقدامات اصلاحی را در جهت بهبود ISMS به انجام رساند. این اقدامات را می توان در دو مقوله طبقه بندی کرد:
۱) بر اساس مرحله خاصی از زمان انجام شود. بدین معنا که در زمان تعامل فناوری با اطلاعات ، عکس العمل لازم در برابر یک مشکل امنیتی می تواند از نوع پیشگیرانه (کنشی) یا اصلاحی (واکنشی) باشد.
پس از تحلیل مخاطرات، باید برای آن دسته از مخاطرات که از سطح قابل قبول بالاتر هستند، اقدامات دفاعی اتخاذ و کنترل‌های مناسب بر آنها اعمال شود.
۲) بر اساس سطوح پیاده سازی نظامهای امنیتی در یک محیط دیجیتال: فناوری امنیت اطلاعات، خواه از نوع واکنشی و خواه از نوع کنشی را می توان در سه سطح‌، شبکه‌، میزبان ، برنامه های کاربردی‌، پیاده‌سازی کرد.
● نتیجه گیری
در اغلب موارد ، تشکیلات اقتصادی همچون شبکه های کامپیوتری در برابر تغییرات فشرده و ناگهانی با ضعف و شکست مواجه می شوند. یک پروژه ابتدایی امنیتی نیز از این مقوله مستثنا نیست. قبل از پیاده سازی هر چیزی، ابتدا باید طرح و برنامه آن را تعیین و سپس ابزار لازم را مهیا کرد. دلیل اینکه بیشتر تشکیلات اقتصادی با شکست مواجه می‌شوند، به خاطر تعیین نکردن هدف اصلی از این تشکیلات است تا بتوانند با تعیین آنها، در آینده نیز فعالیت خود را ادامه دهند. امنیت بالاتر شبکه در یک سازمان تنها به داشتن یک دیواره آتش ختم نمی شود. هر سازمان برای دستیابی به این مقوله بسیار مهم باید به طور دقیق مشخص کند که «چه چیزی» را «چگونه» می خواهد ایمن کند. قصد پیاده سازی چه نوع فیلترینگ را دارد؟ چه مقدار دسترسی را برای کاربران خود در نظر دارد؟ آیا سازمان قصد دارد که کاربران اینترنتی را تعیین هویت کند و فعالیتهای آنها را ثبت کند؟ فقط با پاسخ دادن به این سوالات و سوالهای دیگر است که سازمان قادر خواهد بود به طور دقیق مشخص کند که چه لازم دارد و چه چیزی را باید دنبال کند و به طور جزئی‌تر برای پیاده سازی امنیت در سازمان چه سیاستی را در پیش بگیرد تا آنچه را که در نظر دارد پیاده سازی کند.