موضوع : پژوهش | مقاله

استانداردی برای مدیریت امنیت اطلاعات

نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار می‌نماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بین‌المللی موجود در این زمینه و نحوه رویکرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یک نظام مدیریت امنیت اطلاعات را برشمرده‌ایم .


مقدمه
امروزه شاهد بکارگیری تجهیزات الکترونیک و روشهای مجازی در بخش عمده‌ای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاع‌رسانی هستیم . فضایی که چنین فعالیتهایی در آن صورت می‌پذیرد با عنوان فضای تبادل اطلاعات شناخته می‌شود. فضای مذکور همواره در معرض تهدیدهای الکترونیک یا آسیبهای فیزیکی از قبیل جرایم سازمان یافته به‌منظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانکهای اطلاعاتی، اختلال در ارائه خدمات اطلاع‌رسانی یا نظارتی و نقض حقوق مالکیت معنوی است.
از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبکه‌های ارتباطی، آسیب‌پذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گسترده‌تر و پیچیده‌تر می‌شود . از این‌رو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب می‌شود‌. به‌موازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاع‌رسانی تجدید نظر شده و فرهنگ صحیح بکارگیری امکانات یادشده نیز در سطح جامعه ترویج شود .
بدیهی است که توجه نکردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذکور در میان آحاد جامعه و جلب اعتماد مدیران در بکارگیری روشهای نوین نظارتی و اطلاع‌رسانی خواهد شد . ایجاد یک نظام منسجم در سطح ملی با لحاظ کردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یک ضرورت است. برخی از این ویژگیها به‌قرار زیر است:
_ امنیت فضای تبادل اطلاعات مفهومی کلان و مبتنی بر حوزه‌های مختلف دانش است .
_ امنیت با توجه به هزینه و کارایی تعریف می‌شود و مقوله‌ای نسبی است .
_ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاکم بر جامعه است .
_ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، به‌نحوی که ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور تا پایان سال اول برنامه الزام شده است . همچنین در پیش‌نویس این سند پیشنهاد شده است که دستگاههای مجری طرحهای خود در انطباق با سند مذکور ارائه کنند .

استاندارد BS7799/ISO17799
با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستم‌های آسیب‌پذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوه‌برآن باید قادر به طرح‌ریزی برنامه‌های بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاورد‌های نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی می‌شود.
خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس می‌گذرد. در این مدت استاندارد فوق‌الذکر(BS7799) مورد بازنگری قرار گرفته و در سال 2000 میلادی نیز موسسه بین‌المللی ISO اولین بخش آن را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نیز یک بازنگری در بخش دوم استانداردBS7799 به‌منظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO9001-2000 و ISO14001-1996 صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامین‌کنندگان و راحتی کاربری و مفاهیم مرتبط با امنیت برنامه‌های موبایل بر روی این استاندارد در حال انجام است که پیش‌بینی می‌شود در سال جاری میلادی ارائه شود.
پیش از توضیح راجع‌به استاندارد مذکور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین می‌شود :
_ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات می‌توانند تنها در دسترس کسانی باشند که مجوز دارند.
_ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعه‌ای از کنترلها که شامل سیاستها ، عملیات ، رویه‌ها ، ساختارهای سازمانی و فعالیتهای نرم‌افزاری است، حاصل می‌شود. این کنترل‌ها باید به‌منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) یک نظام‌نامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساخت‌های امنیت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندیها استوار است.
بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک سازمان بایستی بکار گیرد، در حالی‌که بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
بخش اول شامل رهنمودها و توصیه‌هایی است که ?? هدف امنیتی و ??? کنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی به‌قرار زیر ارائه نموده است :
-1 سیاست امنیتی: دربرگیرنده راهنماییها و توصیه‌های مدیریتی به‌منظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعه‌ای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می‌شود.
-2 امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
- کمیته مدیریت امنیت اطلاعات
- متصدی امنیت سیستم اطلاعاتی
- صدور مجوزهای لازم برای سیستم‌های پردازش اطلاعات
- بازنگری مستقل تاثیرات سیستم‌های امنیتی
- هدایت دسترسی تامین‌کنندگان به اطلاعات درون سازمان را دربرمی گیرد.
-3 طبقه‌بندی و کنترل داراییها: طبقه‌بندی داراییها و سرمایه‌های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه‌های سازمان، حوزه سوم این بحث است.
-4 امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات که به بخشهای زیر قابل تقسیم است :
- کنترل پرسنل توسط یک سیاست سازمانی که با توجه به قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ می‌شود.
- مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود.
- شرایط استخدام که در آن پرسنل باید به‌وضوح از مسئولیتهای امنیتی خویش آگاه شوند.
- تعلیمات که شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه می‌شود.
-5 امنیت فیزیکی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگی داده‌ها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط ، کنترل دسترسیها ، امنیت مکان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی می‌شود .
-6 مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روشهای اجرایی‌، کنترل تغییرات ، مدیریت وقایع و حوادث‌، تفکیک وظایف و برنامه‌ریزی ظرفیتهای سازمانی می‌شود.
-7 کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات که در شامل مدیریت کاربران ، مسئولیتهای کاربران، کنترل دسترسی به شبکه، کنترل دسترسی از راه دور و نمایش دسترسیهاست.
-8 توسعه و نگهداری سیستم‌ها: اطمینان از اینکه امنیت جزء جدانشدنی سیستم‌های اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستم‌ها و امنیت کاربردی‌، استانداردها و سیاستهای رمزنگاری‌، انسجام سیستم‌ها و امنیت توسعه است.
-9 تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفه‌های کسب و کار و محافظت فرایند‌های اساسی سازمان از حوادث عمده و شکست.
-10 همراهی و التزام: اجتناب از هرگونه پیمان‌شکنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی
بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می‌پردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام می‌پذیرد.

نظام مدیریت امنیت اطلاعات
نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظام‌مند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای گوناگون امنیتی را با راهبردی مشترک به‌منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستند‌سازی و بازنگری باشد ، که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO9001 دارد‌. )
_ برنامه ریزی Plan :
- تعریف چشم‌انداز نظام مدیریتی و سیاستهای امنیتی سازمان.
- تعیین و ارزیابی مخاطرات.
- انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این مخاطرات یاری می‌کند.
- آماده‌سازی شرایط اجرایی.
_ انجام Do:
- تدوین و اجرای یک طرح برای تقلیل مخاطرات.
- اجرای طرحهای کنترلی انتخابی برای تحقق اهداف کنترلی.
_ ارزیابی Check :
- استقرار روشهای نظارت و پایش.
- هدایت بازنگریهای ادواری به‌منظور ارزیابی اثربخشی ISMS.
- بازنگری درحد قابل قبول مخاطرات.
- پیشبرد و هدایت ممیزیهای داخلی به‌منظور ارزیابی تحقق ISMS.
_ بازانجام Act:
- اجرای توصیه‌های ارائه شده برای بهبود.
- نظام مدیریتی مذکور.
- انجام اقدامات اصلاحی و پیشگیرانه.
- ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
همانند نظامهای مدیریت کیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی به‌منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان به‌منظور بکارگیری محصولات نرم‌افزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می‌گیرد . چیزی که این دو بخش را به هم پیوند می‌دهد میزان انطباق با بخشهای استاندارد است که در یکی از چهار رده زیر قرار می‌گیرد :
* کلاس اول : حفاظت ناکافی
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافی

مراحل اجرای نظام مدیریت امنیت اطلاعات
پیاده‌سازی ISMS در یک سازمان این مراحل را شامل می‌شود:
- آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه‌انداز انتخاب شوند و آموزش ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است .
- تعریف نظام مدیریت امنیت اطلاعات‌: این مرحله شامل تعریف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می‌شود .
- ایجاد سند سیاست امنیت اطلاعات : که پیشتر ‌به آن اشاره شد .
- ارزیابی مخاطرات : باید به بررسی سرمایه‌هایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب‌پذیری اطلاعات و سرمایه‌های فیزیکی مرتبط نیز مشخص شود .
- آموزش و آگاهی‌بخشی‌: به‌ دلیل آسیب‌پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
- آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد.
- ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
- کنترل و بهبود مداوم : اثر‌بخشی نظام مدیریتی پیاده شده باید مطابق مدل به‌رسمیت شناخته شده کنترل و ارتقا یابد.
در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند‌سازی از اهمیت ویژه‌ای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات می‌پردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در کل می‌توان مستندات را به چهار دسته تقسیم کرد:
-1 سیاست ، چشم‌انداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع به‌عنوان نظام‌نامه امنیتی شناخته می‌شود .
-2 توصیف فرایندها که پاسخ سؤالات چه کسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مکانی را می دهد و به‌عنوان روشهای اجرایی شناخته می‌شوند .
-3 توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که شامل دستورالعملهای کاری ، چک لیست‌ها ، فرم‌ها و نظایر آن می‌شود .
-4 مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها به‌عنوان سوابق یاد می‌شود .

نتیجه گیری
هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO17799 بتنهایی نشاندهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است:
- در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و کارکنان سازمان در این زمینه است‌.
- در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت می‌کند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت می‌کند‌.
- در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها می‌شود . علاوه‌بر این چنین نظامی استفاده مطمئن‌تر از سخت‌افزار و نرم‌افزار را تضمین می‌کند .
- در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم می‌آورد.
- در سطح مالی این اقدام باعث کاهش هزینه‌های مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمه‌های مرتبط می‌شود .
- در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است.

منابع
1 - سند راهبرد امنیت فضای تبادل اطلاعات کشور «پیش‌نویس» ، دبیر خانه شورای امنیت فضای تبادل اطلاعات
2 - پروژه استاندارد‌سازی حفاظت اطلاعات «گزارش بررسی و شناخت»، پروژه شماره ???? شورای پژوهشهای علمی کشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com

_ علی پورمند: کارشناس ارشد مهندسی سیستم‌ها از دانشگاه امیر‌کبیر ، مدرس سازمان مدیریت صنعتی - واحد شمال

منبع:  ماهنامه  تدبیر / 1385 / شماره 178، اسفند ۱۳۸۵/۱۲/۰۰
نویسنده : علی پورمند

 

نظر شما