استانداردی برای مدیریت امنیت اطلاعات

نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات, ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار می نماید

نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار می نماید. در این مقاله ضمن اشاره به برخی از ویژگی های این نظام مدیریتی به معرفی استاندارد بین المللی موجود در این زمینه و نحوه رویکرد مناسب به آن اشاره شده است .

● مقدمه

امروزه شاهد بکارگیری تجهیزات الکترونیک و روشهای مجازی در بخش عمدهای از فعالیت های روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاعرسانی هستیم. فضایی که چنین فعالیت هایی در آن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذکور همواره در معرض تهدیدهای الکترونیک یا آسیب های فیزیکی از قبیل جرایم سازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات، تخریب بانک های اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی و نقض حقوق مالکیت معنوی است.

از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبکههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایش یافته است و روش های اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود. از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاست های جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیح بکارگیری امکانات یادشده نیز در سطح جامعه ترویج شود.

بدیهی است که توجه نکردن به تأمین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذکور در میان آحاد جامعه و جلب اعتماد مدیران در بکارگیری روش های نوین نظارتی و اطلاعرسانی خواهد شد. ایجاد یک نظام منسجم در سطح ملی با لحاظ کردن ویژگی های خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یک ضرورت است. برخی از این ویژگی ها بهقرار زیر است:

▪ امنیت فضای تبادل اطلاعات مفهومی کلان و مبتنی بر حوزههای مختلف دانش است.

▪ امنیت با توجه به هزینه و کارایی تعریف میشود و مقولهای نسبی است.

▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاکم بر جامعه است.

▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوری های مرتبط تأثیرپذیر است.

خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی که ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور تا پایان سال اول برنامه الزام شده است. همچنین در پیشنویس این سند پیشنهاد شده است که دستگاه های مجری طرح های خود در انطباق با سند مذکور ارائه کنند.

● استاندارد ISO۱۷۷۹۹/BS۷۷۹۹

با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمان ها باید هم راستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روش های استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمان ها باعث افزایش اعتماد مدیران در بکارگیری دستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمان هایی میشود.

خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذکر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه کرده است. در سال ۲۰۰۲ نیز یک بازنگری در بخش دوم استاندارد BS۷۷۹۹ بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ۲۰۰۰-ISO۹۰۰۱ و ۱۹۹۶-ISO۱۴۰۰۱ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخش های مربوط به پرسنل و خدمات تامینکنندگان و راحتی کاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد در حال انجام است که پیشبینی میشود در سال جاری میلادی ارائه شود.

پیش از توضیح راجعبه استاندارد مذکور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین میشود:

▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات میتوانند تنها در دسترس کسانی باشند که مجوز دارند.

▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راه های مناسب پردازش آن اطلاعات.

▪ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.

در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از کنترل ها که شامل سیاست ها، عملیات، رویهها، ساختارهای سازمانی و فعالیت های نرمافزاری است، حاصل میشود. این کنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.

استاندارد ISO۱۷۷۹۹/BS۷۷۹۹ در دو قسمت منتشر شده است:

(part۱ ISO/IEC۱۷۷۹۹) یک نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.

(part۲ BS۷۷۹۹) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندی ها استوار می باشد.

بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک سازمان بایستی آنها را بکار گیرد، در حالیکه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.

بخش اول شامل رهنمودها و توصیههایی است که هدف امنیتی و کنترل را در قالب حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نموده است:

۱) سیاست امنیتی: دربرگیرنده راهنمایی ها و توصیههای مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.

۲) امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساخت های امنیتی شامل:

▪ کمیته مدیریت امنیت اطلاعات

▪ متصدی امنیت سیستم اطلاعاتی

▪ صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات

▪ بازنگری مستقل تاثیرات سیستمهای امنیتی

هدایت دسترسی تامینکنندگان به اطلاعات درون سازمان را دربرمی گیرد.

۳) طبقهبندی و کنترل دارایی ها: طبقهبندی دارایی ها و سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم این بحث است.

۴) امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی، دستبرد، حیله و استفاده نادرست از تجهیزات که به بخش های زیر قابل تقسیم است:

کنترل پرسنل توسط یک سیاست سازمانی که با توجه به قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با دارایی های سازمان اتخاذ میشود.

مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود.

شرایط استخدام که در آن پرسنل باید به وضوح از مسئولیت های امنیتی خویش آگاه شوند.

تعلیمات که شامل آموزش های پرسنل جدید و قدیمی سازمان در این زمینه میشود.

۵) امنیت فیزیکی و محیطی: محافظت در برابر تجاوز، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط، کنترل دسترسی ها، امنیت مکان، تجهیزات و نقل و انتقال دارایی های اطلاعاتی میشود.

۶) مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روش های اجرایی، کنترل تغییرات، مدیریت وقایع و حوادث، تفکیک وظایف و برنامهریزی ظرفیت های سازمانی میشود.

۷) کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات که در شامل مدیریت کاربران، مسئولیت های کاربران، کنترل دسترسی به شبکه، کنترل دسترسی از راه دور و نمایش دسترسی هاست.

۸) توسعه و نگهداری سیستمها: اطمینان از اینکه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت کاربردی، استانداردها و سیاست های رمزنگاری، انسجام سیستمها و امنیت توسعه است.

۹) تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفههای کسب و کار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شکست.

۱۰) همراهی و التزام: اجتناب از هرگونه پیمانشکنی مجرمانه از قوانین مدنی، قواعد و ضوابط قراردادی و سایر مسائل امنیتی

بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدم های توسعه، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد. ارزیابی سازمان های متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.

● نظام مدیریت امنیت اطلاعات

نظام مدیریت امنیت اطلاعات ISMS، در مجموع یک رویکرد نظاممند به مدیریت اطلاعات حساس به منظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک بهمنظور تدارک یک سطح بهینه از حفاظت هم راستا کنیم. نظام مدیریتی مذکور باید شامل روش های ارزیابی، محافظت، مستندسازی و بازنگری باشد، که این مراحل در قالب یک چرخه (PDCA(PLAN-DO-CHECK-ACT تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO۹۰۰۱دارد.)

▪ برنامه ریزی Plan:

ـ تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی سازمان.

ـ تعیین و ارزیابی مخاطرات.

ـ انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میکند.

ـ آمادهسازی شرایط اجرایی.

▪ انجام Do:

ـ تدوین و اجرای یک طرح برای تقلیل مخاطرات.

ـ اجرای طرح های کنترلی انتخابی برای تحقق اهداف کنترلی.

▪ ارزیابی Check:

ـ استقرار روشهای نظارت و پایش.

هدایت بازنگری های ادواری بهمنظور ارزیابی اثربخشی ISMS.

بازنگری درحد قابل قبول مخاطرات.

پیشبرد و هدایت ممیزی های داخلی بهمنظور ارزیابی تحقق ISMS.

▪ بازانجام Act:

ـ اجرای توصیههای ارائه شده برای بهبود.

ـ نظام مدیریتی مذکور.

ـ انجام اقدامات اصلاحی و پیشگیرانه.

ـ ارزیابی اقدامات صورت پذیرفته در راستای بهبود.

همانند نظام های مدیریت کیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعمل های مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان بهمنظور بکارگیری محصولات نرمافزاری معتبر در زیرساخت های فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره میگیرد. چیزی که این دو بخش را به هم پیوند میدهد میزان انطباق با بخش های استاندارد است که در یکی از چهار رده زیر قرار میگیرد:

▪ کلاس اول: حفاظت ناکافی

▪ کلاس دوم: حفاظت حداقل

▪ کلاس سوم: حفاظت قابل قبول

▪ کلاس چهارم: حفاظت کافی

● مراحل اجرای نظام مدیریت امنیت اطلاعات

پیادهسازی ISMSدر یک سازمان این مراحل را شامل میشود:

▪ آماده سازی اولیه: در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش ببینند. باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است.

▪ تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب میشود.

ایجاد سند سیاست امنیت اطلاعات: پیشتر به آن اشاره شد.

▪ ارزیابی مخاطرات: باید به بررسی سرمایههایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیبپذیری اطلاعات و سرمایههای فیزیکی مرتبط نیز مشخص شود.

▪ آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است.

▪ آمادگی برای ممیزی: باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد.

▪ ممیزی: باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود.

▪ کنترل و بهبود مداوم: اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل بهرسمیت شناخته شده کنترل و ارتقا یابد.

در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی از اهمیت ویژهای برخوردار است. مستندات از یک طرف به تشریح سیاست، اهداف و ارزیابی مخاطرات میپردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند. در کل میتوان مستندات را به چهار دسته تقسیم کرد:

۱) سیاست، چشمانداز، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع بهعنوان نظامنامه امنیتی شناخته میشود.

۲) توصیف فرایندها که پاسخ سؤالات چه کسی؟ چه چیزی؟ چه موقع؟ و در چه مکانی را می دهد و بهعنوان روش های اجرایی شناخته میشوند.

۳) توصیف چگونگی اجرای وظایف و فعالیت های مشخص شده که شامل دستورالعمل های کاری، چک لیستها، فرمها و نظایر آن میشود.

۴) مدارک و شواهد انطباق فعالیت ها با الزامات ISMS که از آنها بهعنوان سوابق یاد میشود.

● نتیجه گیری

هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO۱۷۷۹۹ به تنهایی نشاندهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است:

در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاش های امنیتی در همه سطوح و نمایشی از تلاش های مدیران و کارکنان سازمان در این زمینه است.

در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میکند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میکند.

در سطح اجرایی، استقرار این نظام باعث اطلاع دقیق تر از سیستم های اطلاعاتی و ضعف و قوت آنها میشود. علاوهبر این چنین نظامی استفاده مطمئنتر از سختافزار و نرمافزار را تضمین میکند.

در سطح تجاری تلاش های مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم میآورد.

در سطح مالی این اقدام باعث کاهش هزینههای مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمههای مرتبط میشود.

در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیت های آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است.

علی پورمند

منبع: ماهنامه پردازشگر