دوشنبه, ۲۷ اسفند, ۱۴۰۳ / 17 March, 2025
استانداردی برای مدیریت امنیت اطلاعات

● چكیده
نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یك نظام مدیریت امنیت اطلاعات را بیش از پیش آشكار مینماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بینالمللی موجود در این زمینه و نحوه رویكرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یك نظام مدیریت امنیت اطلاعات را برشمردهایم .
● مقدمه
امروزه شاهد بكارگیری تجهیزات الكترونیك و روشهای مجازی در بخش عمدهای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاعرسانی هستیم . فضایی كه چنین فعالیتهایی در آن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذكور همواره در معرض تهدیدهای الكترونیك یا آسیبهای فیزیكی از قبیل جرایم سازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانكهای اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی و نقض حقوق مالكیت معنوی است.
از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبكههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود . از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیح بكارگیری امكانات یادشده نیز در سطح جامعه ترویج شود .
بدیهی است كه توجه نكردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذكور در میان آحاد جامعه و جلب اعتماد مدیران در بكارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد . ایجاد یك نظام منسجم در سطح ملی با لحاظ كردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یك ضرورت است. برخی از این ویژگیها بهقرار زیر است:
▪ امنیت فضای تبادل اطلاعات مفهومی كلان و مبتنی بر حوزههای مختلف دانش است .
▪ امنیت با توجه به هزینه و كارایی تعریف میشود و مقولهای نسبی است .
▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است .
▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی كه ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات كشور تا پایان سال اول برنامه الزام شده است . همچنین در پیشنویس این سند پیشنهاد شده است كه دستگاههای مجری طرحهای خود در انطباق با سند مذكور ارائه كنند .
● استاندارد BS۷۷۹۹/ISO۱۷۷۹۹
با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یك نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بكارگیری دستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انكارناپذیر آن در چنین سازمانهایی میشود.
خوشبختانه قریب به یك دهه از ارائه یك ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذكر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه كرده است. در سال ۲۰۰۲ نیز یك بازنگری در بخش دوم استانداردBS۷۷۹۹ بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO۹۰۰۱-۲۰۰۰ و ISO۱۴۰۰۱-۱۹۹۶ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینكنندگان و راحتی كاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد در حال انجام است كه پیشبینی میشود در سال جاری میلادی ارائه شود.
پیش از توضیح راجعبه استاندارد مذكور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین میشود :
▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات میتوانند تنها در دسترس كسانی باشند كه مجوز دارند.
▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
▪ در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیاز داشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از كنترلها كه شامل سیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاری است، حاصل میشود. این كنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
استانداردBS۷۷۹۹/ISO۱۷۷۹۹ در دو قسمت منتشر شده است :
▪ ((ISO/IEC۱۷۷۹۹ part۱) یك نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
▪ (BS۷۷۹۹ part ۲) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندیها استوار است.
بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی بکار گیرد، در حالیكه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
بخش اول شامل رهنمودها و توصیههایی است كه ?? هدف امنیتی و ??? كنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نموده است :
۱) سیاست امنیتی:
دربرگیرنده راهنماییها و توصیههای مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.
۲) امنیت سازمانی:
این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
- كمیته مدیریت امنیت اطلاعات
- متصدی امنیت سیستم اطلاعاتی
- صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
- بازنگری مستقل تاثیرات سیستمهای امنیتی
- هدایت دسترسی تامینكنندگان به اطلاعات درون سازمان را دربرمی گیرد.
۳) طبقهبندی و كنترل داراییها:
طبقهبندی داراییها و سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم این بحث است.
۴) امنیت پرسنلی:
تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات كه به بخشهای زیر قابل تقسیم است :
- كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود.
- مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
- شرایط استخدام كه در آن پرسنل باید بهوضوح از مسئولیتهای امنیتی خویش آگاه شوند.
- تعلیمات كه شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه میشود.
۵) امنیت فیزیكی و محیطی:
محافظت در برابر تجاوز ، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط ، كنترل دسترسیها ، امنیت مكان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی میشود .
۶) مدیریت ارتباطات و عملیات:
كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روشهای اجرایی، كنترل تغییرات ، مدیریت وقایع و حوادث، تفكیك وظایف و برنامهریزی ظرفیتهای سازمانی میشود.
۷) كنترل دسترسی:
كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران ، مسئولیتهای كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسیهاست.
۸) توسعه و نگهداری سیستمها:
اطمینان از اینكه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت كاربردی، استانداردها و سیاستهای رمزنگاری، انسجام سیستمها و امنیت توسعه است.
۹) تداوم و انسجام كسب و كار:
تقلیل تاثیرات وقفههای كسب و كار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شكست.
۱۰) همراهی و التزام:
اجتناب از هرگونه پیمانشكنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.
علی پورمند
منابع
۱ - سند راهبرد امنیت فضای تبادل اطلاعات كشور «پیشنویس» ، دبیر خانه شورای امنیت فضای تبادل اطلاعات
۲ - پروژه استانداردسازی حفاظت اطلاعات «گزارش بررسی و شناخت»، پروژه شماره ???? شورای پژوهشهای علمی كشور
۳ - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT ۲۰۰۳ , pages ۱۳۰ – ۱۳۶
۴ - Tom Carlson, “Information security management : Understanding ISO۱۷۷۹۹” , Lucent Technologies World Wide Services , September ۲۰۰۱
۵ - Angelika Plate, “ Revision of ISO/IEC۱۷۷۹۹” , ISMS Journal , IUG , Issue ۳ , April ۲۰۰۴
۶ - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS۷۷۹۹/ISO۱۷۷۹۹ standard for a better approach to information security, Callio Technologies, Canada, www.callio.com
_ علی پورمند: كارشناس ارشد مهندسی سیستمها از دانشگاه امیركبیر ، مدرس سازمان مدیریت صنعتی - واحد شمال
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست