(10خط) 02177613815

استانداردي براي مديريت امنيت اطلاعات

استانداردي براي مديريت امنيت اطلاعات
مولف/مترجم: علي پورمند
موضوع: فن آوري اطلاعات
سال انتشار(ميلادي): 2006
وضعيت: تمام متن
منبع: ماهنامه تدبير-سال هفدهم-شماره 178
تهيه و تنظيم: پايگاه مقالات مديريت www.SYSTEM.parsiblog.com
چکيده: نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يک نظام مديريت امنيت اطلاعات را بيش از پيش آشکار مي‌نمايد . در اين مقاله ضمن اشاره به برخي از ويژگيهاي اين نظام مديريتي به معرفي استاندارد بين‌المللي موجود در اين زمينه و نحوه رويکرد مناسب به آن اشاره شده است . در خاتمه نيز برخي از مزاياي استقرار يک نظام مديريت امنيت اطلاعات را برشمرده‌ايم .


مقدمه
امروزه شاهد بکارگيري تجهيزات الکترونيک و روشهاي مجازي در بخش عمده‌اي از فعاليتهاي روزمره همچون ارائه خدمات مديريت و نظارت و اطلاع‌رساني هستيم . فضايي که چنين فعاليتهايي در آن صورت مي‌پذيرد با عنوان فضاي تبادل اطلاعات شناخته مي‌شود. فضاي مذکور همواره در معرض تهديدهاي الکترونيک يا آسيبهاي فيزيکي از قبيل جرايم سازمان يافته به‌منظور ايجاد تغيير در محتوا يا جريان انتقال اطلاعات ، تخريب بانکهاي اطلاعاتي، اختلال در ارائه خدمات اطلاع‌رساني يا نظارتي و نقض حقوق مالکيت معنوي است.
از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبکه‌هاي ارتباطي، آسيب‌پذيري فضاي تبادل اطلاعات افزايش يافته است و روشهاي اعمال تهديدهاي يادشده گسترده‌تر و پيچيده‌تر مي‌شود . از اين‌رو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب مي‌شود‌. به‌موازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضاي تبادل اطلاعات در امور مديريتي و اطلاع‌رساني تجديد نظر شده و فرهنگ صحيح بکارگيري امکانات يادشده نيز در سطح جامعه ترويج شود .
بديهي است که توجه نکردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوله مانع از گسترش فضاي مذکور در ميان آحاد جامعه و جلب اعتماد مديران در بکارگيري روشهاي نوين نظارتي و اطلاع‌رساني خواهد شد . ايجاد يک نظام منسجم در سطح ملي با لحاظ کردن ويژگيهاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يک ضرورت است. برخي از اين ويژگيها به‌قرار زير است:
_ امنيت فضاي تبادل اطلاعات مفهومي کلان و مبتني بر حوزه‌هاي مختلف دانش است .
_ امنيت با توجه به هزينه و کارايي تعريف مي‌شود و مقوله‌اي نسبي است .
_ امنيت متأثر از مجموعه آداب، سنن و اخلاقيات حاکم بر جامعه است .
_ امنيت در فضاي تبادل اطلاعات از روند تغييرات سريع فناوريهاي مرتبط تأثيرپذير است .
خوشبختانه در برنامه چهارم توسعه به اين مهم توجه خاصي شده است، به‌نحوي که ارائه سند راهبرد ملي امنيت فضاي تبادل اطلاعات کشور تا پايان سال اول برنامه الزام شده است . همچنين در پيش‌نويس اين سند پيشنهاد شده است که دستگاههاي مجري طرحهاي خود در انطباق با سند مذکور ارائه کنند .
استاندارد BS7799/ISO17799
با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستم‌هاي آسيب‌پذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوه‌برآن بايد قادر به طرح‌ريزي برنامه‌هاي بازيابي و جبران خسارت هم باشند. ايجاد يک نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بکارگيري دستاورد‌هاي نوين فناوري اطلاعات و برخورداري از مزاياي انکارناپذير آن در چنين سازمانهايي مي‌شود.
خوشبختانه قريب به يک دهه از ارائه يک ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس مي‌گذرد. در اين مدت استاندارد فوق‌الذکر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بين‌المللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نيز يک بازنگري در بخش دوم استانداردBS7799 به‌منظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامين‌کنندگان و راحتي کاربري و مفاهيم مرتبط با امنيت برنامه‌هاي موبايل بر روي اين استاندارد در حال انجام است که پيش‌بيني مي‌شود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجع‌به استاندارد مذکور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين مي‌شود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينکه اطلاعات مي‌توانند تنها در دسترس کساني باشند که مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينکه کاربران مجاز در هر زمان که نياز داشته باشند، امکان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعه‌اي از کنترلها که شامل سياستها ، عمليات ، رويه‌ها ، ساختارهاي سازماني و فعاليتهاي نرم‌افزاري است، حاصل مي‌شود. اين کنترل‌ها بايد به‌منظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يک نظام‌نامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساخت‌هاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است که در حقيقت يک راهنماي مميزي است که بر مبناي نيازمنديها استوار است.
بخش اول مشخص کننده مفاهيم امنيت اطلاعاتي است که يک سازمان بايستي بکار گيرد، در حالي‌که بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيه‌هايي است که ?? هدف امنيتي و ??? کنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي به‌قرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيه‌هاي مديريتي به‌منظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي شامل مجموعه‌اي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم مي‌شود.
-2 امنيت سازماني: اين بعد اجرايي کردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- کميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستم‌هاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستم‌هاي امنيتي
- هدايت دسترسي تامين‌کنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقه‌بندي و کنترل داراييها: طبقه‌بندي داراييها و سرمايه‌هاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايه‌هاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات که به بخشهاي زير قابل تقسيم است :
- کنترل پرسنل توسط يک سياست سازماني که با توجه به قوانين و فرهنگ حاکم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ مي‌شود.
- مسئوليت پرسنل که بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام که در آن پرسنل بايد به‌وضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات که شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه مي‌شود.
-5 امنيت فيزيکي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي داده‌ها و تسهيلات مربوط که شامل بخشهاي امنيت فيزيکي محيط ، کنترل دسترسيها ، امنيت مکان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي مي‌شود .
-6 مديريت ارتباطات و عمليات: کسب اطمينان از عملکرد مناسب و معتبر تجهيزات پردازش اطلاعات که شامل روشهاي اجرايي‌، کنترل تغييرات ، مديريت وقايع و حوادث‌، تفکيک وظايف و برنامه‌ريزي ظرفيتهاي سازماني مي‌شود.
-7 کنترل دسترسي: کنترل نحوه و سطوح دسترسي به اطلاعات که در شامل مديريت کاربران ، مسئوليتهاي کاربران، کنترل دسترسي به شبکه، کنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستم‌ها: اطمينان از اينکه امنيت جزء جدانشدني سيستم‌هاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستم‌ها و امنيت کاربردي‌، استانداردها و سياستهاي رمزنگاري‌، انسجام سيستم‌ها و امنيت توسعه است.
-9 تداوم و انسجام کسب و کار: تقليل تاثيرات وقفه‌هاي کسب و کار و محافظت فرايند‌هاي اساسي سازمان از حوادث عمده و شکست.
-10 همراهي و التزام: اجتناب از هرگونه پيمان‌شکني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم کننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات مي‌پردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام مي‌پذيرد.
نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يک رويکرد نظام‌مند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يک ديواره آتش ساده يا عقد قرارداد با يک شرکت امنيتي است . در چنين رويکردي بسيار مهم است که فعاليتهاي گوناگون امنيتي را با راهبردي مشترک به‌منظور تدارک يک سطح بهينه از حفاظت همراستا کنيم . نظام مديريتي مذکور بايد شامل روشهاي ارزيابي، محافظت، مستند‌سازي و بازنگري باشد ، که اين مراحل در قالب يک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد‌. )
_ برنامه ريزي Plan :
- تعريف چشم‌انداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف کنترل و آنچه سازمان را در مديريت اين مخاطرات ياري مي‌کند.
- آماده‌سازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يک طرح براي تقليل مخاطرات.
- اجراي طرحهاي کنترلي انتخابي براي تحقق اهداف کنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري به‌منظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي به‌منظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيه‌هاي ارائه شده براي بهبود.
- نظام مديريتي مذکور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت کيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي به‌منظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يک نظام مديريتي است که سازمان به‌منظور بکارگيري محصولات نرم‌افزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره مي‌گيرد . چيزي که اين دو بخش را به هم پيوند مي‌دهد ميزان انطباق با بخشهاي استاندارد است که در يکي از چهار رده زير قرار مي‌گيرد :
* کلاس اول : حفاظت ناکافي
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پياده‌سازي ISMS در يک سازمان اين مراحل را شامل مي‌شود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راه‌انداز انتخاب شوند و آموزش ببينند . بايد توجه شود که امنيت اطلاعات يک برنامه نيست بلکه يک فرايند است .
- تعريف نظام مديريت امنيت اطلاعات‌: اين مرحله شامل تعريف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب مي‌شود .
- ايجاد سند سياست امنيت اطلاعات : که پيشتر ‌به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايه‌هايي که نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيب‌پذيري اطلاعات و سرمايه‌هاي فيزيکي مرتبط نيز مشخص شود .
- آموزش و آگاهي‌بخشي‌: به‌ دليل آسيب‌پذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم کرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- کنترل و بهبود مداوم : اثر‌بخشي نظام مديريتي پياده شده بايد مطابق مدل به‌رسميت شناخته شده کنترل و ارتقا يابد.
در کليه مراحل استقرار نظام مديريت امنيت اطلاعات مستند‌سازي از اهميت ويژه‌اي برخوردار است. مستندات از يک طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات مي‌پردازند و از طرف ديگر کنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در کل مي‌توان مستندات را به چهار دسته تقسيم کرد:
-1 سياست ، چشم‌انداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذکور که در مجموع به‌عنوان نظام‌نامه امنيتي شناخته مي‌شود .
-2 توصيف فرايندها که پاسخ سؤالات چه کسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مکاني را مي دهد و به‌عنوان روشهاي اجرايي شناخته مي‌شوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده که شامل دستورالعملهاي کاري ، چک ليست‌ها ، فرم‌ها و نظاير آن مي‌شود .
-4 مدارک و شواهد انطباق فعاليتها با الزامات ISMS که از آنها به‌عنوان سوابق ياد مي‌شود .
نتيجه گيري
هر چند بکارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه ISO17799 بتنهايي نشاندهنده برقراري امنيت کامل در يک سازمان نيست، اما استقرار اين نظام مزايايي دارد که مهمترين آنها چنين است:
- در سطح سازماني استقرار نظام يادشده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و کارکنان سازمان در اين زمينه است‌.
- در سطح قانوني، اخذ گواهينامه به اولياي امور ثابت مي‌کند که سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت مي‌کند‌.
- در سطح اجرايي، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها مي‌شود . علاوه‌بر اين چنين نظامي استفاده مطمئن‌تر از سخت‌افزار و نرم‌افزار را تضمين مي‌کند .
- در سطح تجاري تلاشهاي مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتريان اطمينان خاطر بيشتري را فراهم مي‌آورد.
- در سطح مالي اين اقدام باعث کاهش هزينه‌هاي مرتبط با مسائل امنيتي و کاهش احتمالي حق بيمه‌هاي مرتبط مي‌شود .
- در سطح پرسنلي، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بکارگيري چنين نظامي است.
منابع
1 - سند راهبرد امنيت فضاي تبادل اطلاعات کشور «پيش‌نويس» ، دبير خانه شوراي امنيت فضاي تبادل اطلاعات
2 - پروژه استاندارد‌سازي حفاظت اطلاعات «گزارش بررسي و شناخت»، پروژه شماره ???? شوراي پژوهشهاي علمي کشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com