مدیریت حفاظت امنیت اطلاعات

در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی اشاره نمود. بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت‌هائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد. از سوی دیگر، وجود زیرساخت‌های فوق، قطعا تاثیر بسزائی در ایمن‌سازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه‌های دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه‌ها شده و کاهش اعتبار این دستگاه‌ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی، ضروری به نظر می‌رسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاه‌های دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.
۱) سیستم مدیریت امنیت اطلاعات (ISMS)
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمن‌سازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی‌باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن‌سازی شامل مراحل طراحی، پیاده‌سازی، ارزیابی و اصلاح، انجام گیرد.برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
ـ تهیه طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان
ـ ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
ـ اجرای طرح‌ها و برنامه‌های امنیتی سازمان
در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند.
▪ در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
ـ تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان
ـ جزئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله
ـ لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان
ـ ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان
۱-۲) مروری بر استانداردهای مدیریت امنیت اطلاعات
▪ استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:
ـ استاندارد مدیریتی BS۷۷۹۹ موسسه استاندارد انگلیس
ـ استاندارد مدیریتی ISO/IEC ۱۷۷۹۹ موسسه بین‌المللی استاندارد
ـ گزارش فنی ISO/IEC TR ۱۳۳۳۵ موسسه بین‌المللی استاندارد
در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.
۱-۲-۳) استاندارد BS۷۷۹۹ موسسه استاندارد انگلیس
استاندارد BS۷۷۹۹ اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS۷۷۹۹:۱) در سال ۱۹۹۵ منتشر شد. نسخه دوم این استاندارد (BS۷۷۹۹:۲) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS۷۷۹۹:۲۰۰۲) نیز در سال ۲۰۰۲ و در دو بخش منتشر گردید.
● بخش اول
در این بخش از استاندارد، مجموعه کنترل‌های امنیتی موردنیاز سیستم‌های اطلاعاتی و ارتباطی هر سازمان، در قالب ده دسته‌بندی کلی شامل موارد زیر، ارائه شده است:
۱) تدوین سیاست امنیتی سازمان
در این قسمت، به ضرورت تدوین و انتشار سیاست‌های امنیتی اطلاعات و ارتباطات سازمان ، بنحوی که کلیه مخاطبین سیاست‌ها در جریان جزئیات آن قرار گیرند، تاکید شده است همچنین جزئیات و نحوه نگارش سیاست‌های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است
۲) ایجاد تشکیلات تامین امنیت سازمان
در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت‌های هر یک از سطوح، ارائه شده است.
۳) دسته‌بندی سرمایه‌ها و تعیین کنترل‌های لازم
در این قسمت، ضمن تشریح ضرورت دسته‌بندی اطلاعات سازمان، به جزئیات تدوین راهنمای دسته‌بندی اطلاعات سازمان پرداخته و محورهای دسته‌بندی اطلاعات را ارائه نموده است.
۴) امنیت پرسنلی
در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیت‌های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.
۵) امنیت فیزیکی و پیرامونی
در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.
۶) مدیریت ارتباطات
در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم‌ها، محافظت در مقابل نرم‌افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان‌گیری از اطلاعات، مدیریت شبکه، محافظت از رسانه‌ها و روالها و مسئولیت‌های مربوط به درخواست، تحویل، تست و سایر موارد ‌تغییر نرم‌افزارها ارائه شده است.
۷) کنترل دسترسی
در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیت‌های کاربران، ابزارها و مکانیزم‌های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم‌عاملها و نرم‌افزارهای کاربردی، استفاده از سیستم‌های مانیتورینگ و کنترل ‌دسترسی در ارتباط از راه دور به شبکه ارائه شده است.
۸) نگهداری و توسعه سیستم‌ها
در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستم‌ها، امنیت در سیستم‌های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستم‌ها، ارائه شده است.
۹) مدیریت تداوم فعالیت سازمان
در این قسمت، رویه‌های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرح‌های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح‌های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.
۱۰) پاسخگوئی به نیازهای امنیتی
در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست‌های امنیتی موردنیاز و ابزارها و مکانیزم‌های بازرسی امنیتی سیستم‌ها، ارائه شده است.