استانداردی برای مدیریت امنیت اطلاعات

● چكیده
نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را بیش از پیش آشكار می‌نماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بین‌المللی موجود در این زمینه و نحوه رویكرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یك نظام مدیریت امنیت اطلاعات را برشمرده‌ایم .
● مقدمه
امروزه شاهد بكارگیری تجهیزات الكترونیك و روشهای مجازی در بخش عمده‌ای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاع‌رسانی هستیم . فضایی كه چنین فعالیتهایی در آن صورت می‌پذیرد با عنوان فضای تبادل اطلاعات شناخته می‌شود. فضای مذكور همواره در معرض تهدیدهای الكترونیك یا آسیبهای فیزیكی از قبیل جرایم سازمان یافته به‌منظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانكهای اطلاعاتی، اختلال در ارائه خدمات اطلاع‌رسانی یا نظارتی و نقض حقوق مالكیت معنوی است.
از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبكه‌های ارتباطی، آسیب‌پذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گسترده‌تر و پیچیده‌تر می‌شود . از این‌رو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب می‌شود‌. به‌موازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاع‌رسانی تجدید نظر شده و فرهنگ صحیح بكارگیری امكانات یادشده نیز در سطح جامعه ترویج شود .
بدیهی است كه توجه نكردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذكور در میان آحاد جامعه و جلب اعتماد مدیران در بكارگیری روشهای نوین نظارتی و اطلاع‌رسانی خواهد شد . ایجاد یك نظام منسجم در سطح ملی با لحاظ كردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یك ضرورت است. برخی از این ویژگیها به‌قرار زیر است:
▪ امنیت فضای تبادل اطلاعات مفهومی كلان و مبتنی بر حوزه‌های مختلف دانش است .
▪ امنیت با توجه به هزینه و كارایی تعریف می‌شود و مقوله‌ای نسبی است .
▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است .
▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، به‌نحوی كه ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات كشور تا پایان سال اول برنامه الزام شده است . همچنین در پیش‌نویس این سند پیشنهاد شده است كه دستگاههای مجری طرحهای خود در انطباق با سند مذكور ارائه كنند .
● استاندارد BS۷۷۹۹/ISO۱۷۷۹۹
با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستم‌های آسیب‌پذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوه‌برآن باید قادر به طرح‌ریزی برنامه‌های بازیابی و جبران خسارت هم باشند. ایجاد یك نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بكارگیری دستاورد‌های نوین فناوری اطلاعات و برخورداری از مزایای انكارناپذیر آن در چنین سازمانهایی می‌شود.
خوشبختانه قریب به یك دهه از ارائه یك ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس می‌گذرد. در این مدت استاندارد فوق‌الذكر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بین‌المللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه كرده است. در سال ۲۰۰۲ نیز یك بازنگری در بخش دوم استانداردBS۷۷۹۹ به‌منظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO۹۰۰۱-۲۰۰۰ و ISO۱۴۰۰۱-۱۹۹۶ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامین‌كنندگان و راحتی كاربری و مفاهیم مرتبط با امنیت برنامه‌های موبایل بر روی این استاندارد در حال انجام است كه پیش‌بینی می‌شود در سال جاری میلادی ارائه شود.
پیش از توضیح راجع‌به استاندارد مذكور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین می‌شود :
▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات می‌توانند تنها در دسترس كسانی باشند كه مجوز دارند.
▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
▪ در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیاز داشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعه‌ای از كنترلها كه شامل سیاستها ، عملیات ، رویه‌ها ، ساختارهای سازمانی و فعالیتهای نرم‌افزاری است، حاصل می‌شود. این كنترل‌ها باید به‌منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
استانداردBS۷۷۹۹/ISO۱۷۷۹۹ در دو قسمت منتشر شده است :
▪ ((ISO/IEC۱۷۷۹۹ part۱) یك نظام‌نامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساخت‌های امنیت اطلاعات.
▪ (BS۷۷۹۹ part ۲) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندیها استوار است.
بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی بکار گیرد، در حالی‌كه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
بخش اول شامل رهنمودها و توصیه‌هایی است كه ?? هدف امنیتی و ??? كنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی به‌قرار زیر ارائه نموده است :
۱) سیاست امنیتی:
دربرگیرنده راهنماییها و توصیه‌های مدیریتی به‌منظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعه‌ای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می‌شود.
۲) امنیت سازمانی:
این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
- كمیته مدیریت امنیت اطلاعات
- متصدی امنیت سیستم اطلاعاتی
- صدور مجوزهای لازم برای سیستم‌های پردازش اطلاعات
- بازنگری مستقل تاثیرات سیستم‌های امنیتی
- هدایت دسترسی تامین‌كنندگان به اطلاعات درون سازمان را دربرمی گیرد.
۳) طبقه‌بندی و كنترل داراییها:
طبقه‌بندی داراییها و سرمایه‌های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه‌های سازمان، حوزه سوم این بحث است.
۴) امنیت پرسنلی:
تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات كه به بخشهای زیر قابل تقسیم است :
- كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ می‌شود.
- مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
- شرایط استخدام كه در آن پرسنل باید به‌وضوح از مسئولیتهای امنیتی خویش آگاه شوند.
- تعلیمات كه شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه می‌شود.
۵) امنیت فیزیكی و محیطی:
محافظت در برابر تجاوز ، زوال یا از هم گسیختگی داده‌ها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط ، كنترل دسترسیها ، امنیت مكان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی می‌شود .
۶) مدیریت ارتباطات و عملیات:
كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روشهای اجرایی‌، كنترل تغییرات ، مدیریت وقایع و حوادث‌، تفكیك وظایف و برنامه‌ریزی ظرفیتهای سازمانی می‌شود.
۷) كنترل دسترسی:
كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران ، مسئولیتهای كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسیهاست.
۸) توسعه و نگهداری سیستم‌ها:
اطمینان از اینكه امنیت جزء جدانشدنی سیستم‌های اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستم‌ها و امنیت كاربردی‌، استانداردها و سیاستهای رمزنگاری‌، انسجام سیستم‌ها و امنیت توسعه است.
۹) تداوم و انسجام كسب و كار:
تقلیل تاثیرات وقفه‌های كسب و كار و محافظت فرایند‌های اساسی سازمان از حوادث عمده و شكست.
۱۰) همراهی و التزام:
اجتناب از هرگونه پیمان‌شكنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می‌پردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام می‌پذیرد.● نظام مدیریت امنیت اطلاعات
نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یك رویكرد نظام‌مند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است . در چنین رویكردی بسیار مهم است كه فعالیتهای گوناگون امنیتی را با راهبردی مشترك به‌منظور تدارك یك سطح بهینه از حفاظت همراستا كنیم . نظام مدیریتی مذكور باید شامل روشهای ارزیابی، محافظت، مستند‌سازی و بازنگری باشد ، كه این مراحل در قالب یك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO۹۰۰۱ دارد‌. )
▪ برنامه ریزی Plan :
- تعریف چشم‌انداز نظام مدیریتی و سیاستهای امنیتی سازمان.
- تعیین و ارزیابی مخاطرات.
- انتخاب اهداف كنترل و آنچه سازمان را در مدیریت این مخاطرات یاری می‌كند.
- آماده‌سازی شرایط اجرایی.
▪ انجام Do:
- تدوین و اجرای یك طرح برای تقلیل مخاطرات.
- اجرای طرحهای كنترلی انتخابی برای تحقق اهداف كنترلی.
▪ ارزیابی Check :
- استقرار روشهای نظارت و پایش.
- هدایت بازنگریهای ادواری به‌منظور ارزیابی اثربخشی ISMS.
- بازنگری درحد قابل قبول مخاطرات.
- پیشبرد و هدایت ممیزیهای داخلی به‌منظور ارزیابی تحقق ISMS.
▪ بازانجام Act:
- اجرای توصیه‌های ارائه شده برای بهبود.
- نظام مدیریتی مذكور.
- انجام اقدامات اصلاحی و پیشگیرانه.
- ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
همانند نظامهای مدیریت كیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی به‌منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یك نظام مدیریتی است كه سازمان به‌منظور بكارگیری محصولات نرم‌افزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می‌گیرد . چیزی كه این دو بخش را به هم پیوند می‌دهد میزان انطباق با بخشهای استاندارد است كه در یكی از چهار رده زیر قرار می‌گیرد :
▪ كلاس اول : حفاظت ناكافی
▪ كلاس دوم : حفاظت حداقل
▪ كلاس سوم : حفاظت قابل قبول
▪ كلاس چهارم : حفاظت كافی
● مراحل اجرای نظام مدیریت امنیت اطلاعات
پیاده‌سازی ISMS در یك سازمان این مراحل را شامل می‌شود:
▪ آماده سازی اولیه :
در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه‌انداز انتخاب شوند و آموزش ببینند . باید توجه شود كه امنیت اطلاعات یك برنامه نیست بلكه یك فرایند است .
▪ تعریف نظام مدیریت امنیت اطلاعات‌:
این مرحله شامل تعریف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می‌شود .
▪ ایجاد سند سیاست امنیت اطلاعات : كه پیشتر ‌به آن اشاره شد .
▪ ارزیابی مخاطرات :
باید به بررسی سرمایه‌هایی كه نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب‌پذیری اطلاعات و سرمایه‌های فیزیكی مرتبط نیز مشخص شود .
▪ آموزش و آگاهی‌بخشی‌:
به‌ دلیل آسیب‌پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
▪ آمادگی برای ممیزی :
باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم كرد.
▪ ممیزی :
باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
▪ كنترل و بهبود مداوم :
اثر‌بخشی نظام مدیریتی پیاده شده باید مطابق مدل به‌رسمیت شناخته شده كنترل و ارتقا یابد.
در كلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند‌سازی از اهمیت ویژه‌ای برخوردار است. مستندات از یك طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات می‌پردازند و از طرف دیگر كنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در كل می‌توان مستندات را به چهار دسته تقسیم كرد:
۱) سیاست ، چشم‌انداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذكور كه در مجموع به‌عنوان نظام‌نامه امنیتی شناخته می‌شود .
۲) توصیف فرایندها كه پاسخ سؤالات چه كسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مكانی را می دهد و به‌عنوان روشهای اجرایی شناخته می‌شوند .
۳) توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده كه شامل دستورالعملهای كاری ، چك لیست‌ها ، فرم‌ها و نظایر آن می‌شود .
۴) مدارك و شواهد انطباق فعالیتها با الزامات ISMS كه از آنها به‌عنوان سوابق یاد می‌شود .
● نتیجه گیری
هر چند بكارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO۱۷۷۹۹ بتنهایی نشاندهنده برقراری امنیت كامل در یك سازمان نیست، اما استقرار این نظام مزایایی دارد كه مهمترین آنها چنین است:
- در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و كاركنان سازمان در این زمینه است‌.
- در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت می‌كند كه سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت می‌كند‌.
- در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها می‌شود . علاوه‌بر این چنین نظامی استفاده مطمئن‌تر از سخت‌افزار و نرم‌افزار را تضمین می‌كند .
- در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شركا و مشتریان اطمینان خاطر بیشتری را فراهم می‌آورد.
- در سطح مالی این اقدام باعث كاهش هزینه‌های مرتبط با مسائل امنیتی و كاهش احتمالی حق بیمه‌های مرتبط می‌شود .
- در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بكارگیری چنین نظامی است.