استانداردی برای مدیریت امنیت اطلاعات

نظام مدیریت امنیت اطلاعات ISMS , در مجموع یك رویكرد نظام مند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست امنیت اطلاعات چیزی فراتر از نصب یك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است

● چكیده

نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را بیش از پیش آشكار می‌نماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بین‌المللی موجود در این زمینه و نحوه رویكرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یك نظام مدیریت امنیت اطلاعات را برشمرده‌ایم .

● مقدمه

امروزه شاهد بكارگیری تجهیزات الكترونیك و روشهای مجازی در بخش عمده‌ای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاع‌رسانی هستیم . فضایی كه چنین فعالیتهایی در آن صورت می‌پذیرد با عنوان فضای تبادل اطلاعات شناخته می‌شود. فضای مذكور همواره در معرض تهدیدهای الكترونیك یا آسیبهای فیزیكی از قبیل جرایم سازمان یافته به‌منظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانكهای اطلاعاتی، اختلال در ارائه خدمات اطلاع‌رسانی یا نظارتی و نقض حقوق مالكیت معنوی است.

از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبكه‌های ارتباطی، آسیب‌پذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گسترده‌تر و پیچیده‌تر می‌شود . از این‌رو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب می‌شود‌. به‌موازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاع‌رسانی تجدید نظر شده و فرهنگ صحیح بكارگیری امكانات یادشده نیز در سطح جامعه ترویج شود .

بدیهی است كه توجه نكردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذكور در میان آحاد جامعه و جلب اعتماد مدیران در بكارگیری روشهای نوین نظارتی و اطلاع‌رسانی خواهد شد . ایجاد یك نظام منسجم در سطح ملی با لحاظ كردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یك ضرورت است. برخی از این ویژگیها به‌قرار زیر است:

▪ امنیت فضای تبادل اطلاعات مفهومی كلان و مبتنی بر حوزه‌های مختلف دانش است .

▪ امنیت با توجه به هزینه و كارایی تعریف می‌شود و مقوله‌ای نسبی است .

▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است .

▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .

خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، به‌نحوی كه ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات كشور تا پایان سال اول برنامه الزام شده است . همچنین در پیش‌نویس این سند پیشنهاد شده است كه دستگاههای مجری طرحهای خود در انطباق با سند مذكور ارائه كنند .

● استاندارد BS۷۷۹۹/ISO۱۷۷۹۹

با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستم‌های آسیب‌پذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوه‌برآن باید قادر به طرح‌ریزی برنامه‌های بازیابی و جبران خسارت هم باشند. ایجاد یك نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بكارگیری دستاورد‌های نوین فناوری اطلاعات و برخورداری از مزایای انكارناپذیر آن در چنین سازمانهایی می‌شود.

خوشبختانه قریب به یك دهه از ارائه یك ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس می‌گذرد. در این مدت استاندارد فوق‌الذكر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بین‌المللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه كرده است. در سال ۲۰۰۲ نیز یك بازنگری در بخش دوم استانداردBS۷۷۹۹ به‌منظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO۹۰۰۱-۲۰۰۰ و ISO۱۴۰۰۱-۱۹۹۶ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامین‌كنندگان و راحتی كاربری و مفاهیم مرتبط با امنیت برنامه‌های موبایل بر روی این استاندارد در حال انجام است كه پیش‌بینی می‌شود در سال جاری میلادی ارائه شود.

پیش از توضیح راجع‌به استاندارد مذكور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین می‌شود :

▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات می‌توانند تنها در دسترس كسانی باشند كه مجوز دارند.

▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.

▪ در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیاز داشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.

در این راستا امنیت اطلاعات از طریق اجرای مجموعه‌ای از كنترلها كه شامل سیاستها ، عملیات ، رویه‌ها ، ساختارهای سازمانی و فعالیتهای نرم‌افزاری است، حاصل می‌شود. این كنترل‌ها باید به‌منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.

استانداردBS۷۷۹۹/ISO۱۷۷۹۹ در دو قسمت منتشر شده است :

▪ ((ISO/IEC۱۷۷۹۹ part۱) یك نظام‌نامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساخت‌های امنیت اطلاعات.

▪ (BS۷۷۹۹ part ۲) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندیها استوار است.

بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی بکار گیرد، در حالی‌كه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.

بخش اول شامل رهنمودها و توصیه‌هایی است كه ?? هدف امنیتی و ??? كنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی به‌قرار زیر ارائه نموده است :

۱) سیاست امنیتی:

دربرگیرنده راهنماییها و توصیه‌های مدیریتی به‌منظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعه‌ای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می‌شود.

۲) امنیت سازمانی:

این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:

- كمیته مدیریت امنیت اطلاعات

- متصدی امنیت سیستم اطلاعاتی

- صدور مجوزهای لازم برای سیستم‌های پردازش اطلاعات

- بازنگری مستقل تاثیرات سیستم‌های امنیتی

- هدایت دسترسی تامین‌كنندگان به اطلاعات درون سازمان را دربرمی گیرد.

۳) طبقه‌بندی و كنترل داراییها:

طبقه‌بندی داراییها و سرمایه‌های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه‌های سازمان، حوزه سوم این بحث است.

۴) امنیت پرسنلی:

تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات كه به بخشهای زیر قابل تقسیم است :

- كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ می‌شود.

- مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.

- شرایط استخدام كه در آن پرسنل باید به‌وضوح از مسئولیتهای امنیتی خویش آگاه شوند.

- تعلیمات كه شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه می‌شود.

۵) امنیت فیزیكی و محیطی:

محافظت در برابر تجاوز ، زوال یا از هم گسیختگی داده‌ها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط ، كنترل دسترسیها ، امنیت مكان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی می‌شود .

۶) مدیریت ارتباطات و عملیات:

كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روشهای اجرایی‌، كنترل تغییرات ، مدیریت وقایع و حوادث‌، تفكیك وظایف و برنامه‌ریزی ظرفیتهای سازمانی می‌شود.

۷) كنترل دسترسی:

كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران ، مسئولیتهای كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسیهاست.

۸) توسعه و نگهداری سیستم‌ها:

اطمینان از اینكه امنیت جزء جدانشدنی سیستم‌های اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستم‌ها و امنیت كاربردی‌، استانداردها و سیاستهای رمزنگاری‌، انسجام سیستم‌ها و امنیت توسعه است.

۹) تداوم و انسجام كسب و كار:

تقلیل تاثیرات وقفه‌های كسب و كار و محافظت فرایند‌های اساسی سازمان از حوادث عمده و شكست.

۱۰) همراهی و التزام:

اجتناب از هرگونه پیمان‌شكنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می‌پردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام می‌پذیرد.

علی پورمند

منابع

۱ - سند راهبرد امنیت فضای تبادل اطلاعات كشور «پیش‌نویس» ، دبیر خانه شورای امنیت فضای تبادل اطلاعات

۲ - پروژه استاندارد‌سازی حفاظت اطلاعات «گزارش بررسی و شناخت»، پروژه شماره ???? شورای پژوهشهای علمی كشور

۳ - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT ۲۰۰۳ , pages ۱۳۰ – ۱۳۶

۴ - Tom Carlson, “Information security management : Understanding ISO۱۷۷۹۹” , Lucent Technologies World Wide Services , September ۲۰۰۱

۵ - Angelika Plate, “ Revision of ISO/IEC۱۷۷۹۹” , ISMS Journal , IUG , Issue ۳ , April ۲۰۰۴

۶ - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS۷۷۹۹/ISO۱۷۷۹۹ standard for a better approach to information security, Callio Technologies, Canada, www.callio.com

_ علی پورمند: كارشناس ارشد مهندسی سیستم‌ها از دانشگاه امیر‌كبیر ، مدرس سازمان مدیریت صنعتی - واحد شمال

---

• بعدى
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.