بخشی از مقاله
ایجاد چارچوب بهینه به منظور مدیریت فن آوری اطلاعات با استفاده از نگاشت بین استاندارد مدیریت امنیت اطلاعات، 4.1 COBIT و 20000 ISO/IEC
چکیده
: امروزه مدیریت امنیت اطلاعات به عنوان یکی از مهمترین اهداف راهبردی سازمان ها مطرح می باشد. اما از سویی دیگر فرایندها و فعالیتهای واحد فن آوری اطلاعات در راستای دستیابی به اهداف سیستم مدیریت امنیت اطلاعات نیازمند سیستمهای مدیریتی و راهبری می باشند. چارچوبها و استانداردهای بسیاری برای این منظور تعریف شدهاند، اما هیچ یک از آنها همه ی ابعاد مدیریت و راهبری و امنیت فن آوری اطلاعات را به طور کامل پوشش نمی دهند. بدین منظور در این مقاله در ابتنا دو استاندارد 27001 ISO/IEC و IS()/IEC 20000 و چار چوب کوپیٹ معرفی و بررسی می گردند۔ سپس کندھایی عملیاتی و کنترل های این استانداردها و اهداف کنترلی چارچوب کوبیت مقایسه گردیده و نگاشتی بین آنها انجام میپذیرد. در ادامه میزان همپوشانی آنها بصورت کیفی بیان شده تا براین اساس بتوان به یک چارچوب جامع در راستای ابعاد مختلف سیستم مدیریت یکپارچه فناوری اطلاعات دست یافت.
واژههای کلیدی: سیستم مدیریت امنیت اطلاعات، سیستم مدیریت JISO/IEC 27001. ISO/IEC 20000 colley-Ll کوبیت ۔
۱- مقدمه
امروزه به دلیل گسترش روز افزون منابع اطلاعاتی، سیستم مدیریت یکپارچه فن آوری اطلاعات که ابعاد مدیریت، امنیت، کیفیت و راهبری IT را در بر میگیرد، برای سازمان ها حائز اهمیت می نمایند. در هر یک از این ابعاد، استانذاردها و چارچوبهای مختلفی مطرح میباشند که بنا به اهدافی که در تدوین هر یک از آنها مد نظر بوده است، در دیگر ابعاد دارای نقاط ضعف می باشند. از سوی دیگر به دلیل آن که نمیتوان این ابعاد را از یکدیگر جدا دانست، در برخی موارد این استانداردها و چارچوبها با یکدیگر همپوشانی داشته و دارای اشتراکات موضوعی می باششند. لذا می توان با استفاده از تجمیع سیستم های مدیریت Iل سیستم مدیریت امنیت اطلاعات و چارچوب راهبری II، به این مهم دست یافت که با صرف کمترین هزینه و زمان، سیستم جامع و یکپارچه مدیریت فن آوری اطلاعات را در سازمان پیاده سازی نمود۔ سیستم مدیریت امنیت اطلاعات (ISMS) و سیستم مدیریت کتابخانه ی زیر بنایی فن آوری اطلاعات(ITIL)، در زمره پرکاربردترین سیستمهای مدیریت IT می باشند و استانداردهایی که برای این سیستم ها تعریف شده اند به ترتیب عبارتند از: 27001 IS()/IEC و 20000 IS()/IEC. از سویی دیگر، به منظور راهبری فن آوری اطلاعات نیز چارچوبهایی تعریف شده اند که مهمترین و پرکاربردترین آنها، چارچوب کوبیت می یاشدہ۔ در متن استانداردهای 20000 ISO/IEC 27001 ، ISO/IEC و چارچوب کوبیت، به ترتیب کنهای عملیاتی، کنترل ها و اهداف کنترلی تعریف شدهاند. به دلیل همپوشانی کدها و کنترل های این استانداردها می توان با ارائه نگاشتی بین آنها و به دست آوردن میزان انطباق آنها با یکدیگر، سیستم یکپارچه فن آوری اطلاعاتی را که پیشتر به مفهوم و ابعاد آن اشاره گردید به دست آورد که در سازمان های مختلف می توان آن را به کار گرفت
این مقاله در پنج بخش اصلی ارائه می شود که پس از بخش مقدمه، در قسمت دوم به معرفی و مروری بر استانداردهای فناوری اطلاعات پرداخته شده است. در قسمت سوم به تحقیقات پیشین در زمینه این موضوع اشاره گردیده است. قسمت چهارم به بیان روش مورد استفاده اختصاص یافته است. بخش پنجم، بخش نتیجه گیری می باشد.
۲- مروری بر استانداردها و چارچوبهای فن آوری أطلاعات
استاندارد معدیربت امنبت اطلاعات
با ارائه اولین استاندارد مدیریت امنیت در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمن سازی فضای تبادل اطلاعات شکل گرفت.
براساس این نگرش، تأمین امنیت فضای تبادل اطلاعات دفعتاً مقدور نمی باشد و لازم است این امر به صورت مدوام در یک چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح انجام گیرد. در حال حاضر مجموعه ای از استانداردهای مدیریتی و فنی ایمن سازی فضای تبادل اطلاعات سازمان ها ارائه شده اند. مواردی که در کلیه این استانداردها مد نظر می باشتند عبارتند از: • تعیین مراحل ایمن سازی و نحوه ی شکل گیری چرخه امنیت اطلاعات و ارتباطات سازمان
• جزئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحلة
• لیست و محتوای طرحها و برنامههای امنیتی مورد نیاز سازمان
• ضرورت و جزئیات ایجاد تشکیلات سیاست گذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان
• کنترل های امنیتی مورد نیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی سازمان
استاندارد 799 7 BS در سال ۱۹۹۵ توسط مؤسسههای استاندارد BSD's( منتشر شد. بخش اول این استاندارد مجموعه ای از بهروش ها در زمینه ی مدیریت امنیت اطلاعات بود که در سال ۱۹۹۸ مورد بازنگری قرار گرفت. بخش دوم این استاندارد(2-799 7 BS) برای اولین بار در سال ۱۹۹۹ تحت عنوان (سیستمهای مدیریت امنیت اطلاعات - مشخصهها به همراه راهنمایی هایی برای استفاده) منتشر شد. این بخش به چگونگی پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS می پرداخت و کنترل های تعریف شده در آن به ساختار مدیریت امنیت اطلاعات ارجاع داده شدند. سازمان بین المللی استاندارد برای یکسان نمودن ساختار 799 7 BS با دیگر استانداردهای تعریف شده توسط این سازمان، آن را مورد بازنگری و تغییر قرار داد. در نتیجه در سال ۲۰۰۰ بخش اول آن را با عنوان 17799 ISO/IEC (فن آوری اطلاعات - کدهای عملیاتی مدیریت امنیت اطلاعات) پذیرفت. در ژوئن سال ۲۰۰۵ آن را مورد بازنگری قرار داد و در جولای ۲۰۰۷ آن را به عنوان 27002 ISO/IEC در سری استانداردهای 27000 ISO/IEC تعریف نمود. همچنین این سازمان 2 - 799 7 BS را در سال ۰۵ - ۲ با عنوان 27001 ISO/IEC (فن آوری اطلاعات - تکنیکهای امنیتی - سیستمهای مدیریت امنیت اطلاعات - الزامات) منتشر نمود. با توجه به توضیحات ارائه شده می توان گفت، سری استانداردهای 27000 ISO/IEC (که به عنوان خانواده استانداردهای مدیریت امنیت اطلاعات و یا به اختصار ISO/IEC 27k شناخته می شوند) از استانداردهای امنیت اطلاعات منتشر شده توسط سازمان بینالمللی استاندارد به همراه کمیته بینالمللی الکترو تکنیک، تشکیل شدهاند.
این سری استانداردها، بهترین رویکردهای پیشنهادی در مدیریت امتیت اطلاعات، مخاطرات و کنترل ها را در مفهوم کلی سیستم مدیریت امتیت اطلاعات تأمین می نمایند. محدوده این استانداردها، برای تمامی سازمان ها با هر اندازه و شکلی تعریف شده است و تمرکز آنها تنها بر روی حوزدهای خصوصی و محرمانگی و فن آوری اطلاعات و یا امنیت مسائل فنی نمی باشد.
۲- ۱-۱ سیستم مدیریت امنیت اطلاعات سیستم مدیریت
امتیت اطلاعات، سیستمی برای پیادهسازی کنترل های امنیتی میباشد که با برقرار دسازی زیر ساختهای مورد نیاز، ایمنی اطلاعات را تضمین می نماید. مدل PDCA ساختاری است که در پیادهسازی سیستم مدیریت امنیت اطلاعات به کار برده می شود و زیر بنای استاندارد 2 - 799 7 BS میباشند. بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر سازمان باید مجموعه ی مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:
• اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
• طرح تحلیل مخلاطرات امنیتی فضائی تبادل اصطلاعات سازمان
• طرح امنیت فضای تبادل اطلاعات سازمان
• طرح مقابله با حوادث امنیتی و ترمیم خرابی های فضای تبادل اطلاعات سازمان
• برنامه آگاهی رسانی امنیتی به پرسنل سازمان
• برنامه آموزش امنیتی پرسنل تشکیلات تأمین امنیت فضای تبادل اطلاعات سازمان
پذیرفتن سیستم مدیریت امنیت اطلاعات در یک سازمان به عنوان تصمیمی راهبردی برای سازمان تلقی می شود. طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات متأثر از نیازها و اهداف، الزامات امنیتی، فرایندهای به کار رفته شذه و اندازه و ساختار سازمان می باشند. چرا که درصد پیادهسازی سیستم مدیریت امنیت اطلاعات در یک سازمان با انتظارات آن سازمان در ارتباط میباشد
استاندارد 20000 ISO/IEC اولین استاندارد جهانی در زمینه مدیریت خدمات فن آوری اطلاعات می باشد و بر اساس استاندارد 15000 BS بوده و برای جایگزینی آن از سوی سازمان بین المللی استاندارد در سال ۲۰۰۵ ارائه گردید. این استاندارد مجموعهای از فرایندهای مدیریتی میباشد که جهت به کارگیری مؤثر خدمات در کسب و کار و مشتریان تعریف شدهاند. این استاندارد که مکمل و همسو با IIIL میباشد، از دو بخش تشکیل شده است:
۲- ۱-۲ 20000-1:2005 ISO/IEC :
این بخش، شامل مشخصات رسمی است و الزاماتی را برای ارائه خدمات مدیریت شده به مشتریان، با کیفیت مناسبی معین می نماید. محدوده این استاندارد شامل:
• الزاماتی برای سیستم مدیریتی
• طراحی و پیاده سازی سیستم مدیریت خدمات
• طراحی و پیاده سازی خدمات جدید و یا تغییر یافته
• فراینند ارائه مدیریت خدمات
• فرایندهای ارتباطی
• فرایندهای ارائه ی راه حل
• فرایندهای کنترلی
• فرایندهای انتشار
۲- ۲-۲ 20000-2:2005 ISO/IEC :
این بخش، شامل کد عملیاتی است و بهروش ها را برای فراین نهای مدیریت خدمات در محدوده تعریف شده در قسمت اول بیان می نماید کوبیت و یا به عبارتی دیگر، "اهداف کنترلی برای اطلاعات و فن آوری های مرتبط"، مجموعهای از بهروش ها، برای مدیریت فن آوری اطلاعات می باشد که برای اولین بار توسط انجمن کنترل و ممیزی سیستمها (ISACA) و سازمان راهبری فن آوری اطلاعات (ITGI) مطرح گردید. کوبیت در چهار نسخه اصلی انتشار یافته است. در سال ۱۹۹۴ چارچوب کوبیت برای نخستین بار تعریف شد، سپس نسخه اول کوبیت در سال ۱۹۹۶ انتشار یافت. در جهت تکمیل نسخه اول و تنظیم نسخه دوم کوبیت در سال ۱۹۹۸ آنالیزهای منابع بینالملی شناخته شده بدان افزوده گردید. در سال ۰ - ۲۰ نسخه سوم کوبیت و در دسامبر ۵ - -۲ نسخه چهارم آن به صورت اولیه انتشار یافت. این نسخه با یکپارچه سازی اکثر کتابهای مجزا به صورت یک جلد واحد و همچنین اضافه نمودن مراجعی شامل ورودی ها و خروجی های فرایندهای کوبیت به یکدیگر، فعالیتهای مربوط به هر فرایند به همراه جدول RACI به ازای هر فعالیت تدوین گردید. کوبیت نسخه ۴.۱ در ماه مه سال ۲۰۰۷ با ساده سازی توضیحات اهداف و نمایش فرایندها و ارتباطات میان کسب و کار منتشر گردید. کوبیت نسخه ۵ هم اکنون به صورت پیش نویسی بوده و به یکپارچهسازی چارچوب مخاطرات فناوری اطلاعات، 2.0 Vall IT و کوبیت نسخه ۴.۱ پرداخته است. در چارچوب کوبیت برای مطابقت با چارچوب راهبری فن آوری اطلاعات حوزهها، فرایندها و اهداف کنترلی ارائه شده است. ۴ حوزهی کوبیت
عبارتند از: برنامه ریزی و سازماندهی (بس)، اکتساب و پیاده سازی (اپ)، خدمت رسانی و پشتیبانی (خپ) و پایش و ارزیابی (پا). حوزهی برنامه ریزی و سازماندهی راهبردی و تاکتیکی میباشند و به چگونگی حمایت فناوری اطلاعات از کسب و کار سازمان میپردازد. تحقق چنین هدف راهبردی نیازمند برنامهریزی ، ارتباطات و مدیریت در بخش های مختلفی میباشد. فرایندهای تعریف برنامه راهبردی فن آوری اطلاعات، تعریف معماری اطلاعات، تعریف جهت گیری تکنولوژیکی، تعریف فرایندها، سازمان و ارتباطات فن آوری اطلاعات، مدیریت سرمایه گذاری فناوری اطلاعات، ارتباط برقرار کردن با جهت و هدف مدیریت، مدیریت نیروی انسانی فن آوری اطلاعات، مدیریت کیفیت، ارزیابی و مدیریت مخاطرات فن آوری اطلاعات و مدیریت پروژهها، ده فرایند این حوزه میباشند. آنچه که در حوزدی اکتساب و پیاده سازی بیان شده است این است که، برای تشخیص راهبرد فن آوری اطلاعات می بایست راهکارهای فناوری اطلاعات را شناسایی، کسب و پیاده سازی کرد، به گونه ای که با فراین نهای کسب و کار مطابقت داشته باشند. علاوه بر آن ایجاد تغییرات و حفظ و نگهداری سیستمهای موجود نیز در این حوزه قرار می گیرند تا از برآورده شدن اهداف کسب و کار اطمینان حاصل شود. فرایندهای این حوزه شامل: شناسایی راهکارهای اتوماتیک، کسب و نگهداری برنامههای کاربردی ، کسب و نگهداری زیرساختههای فناوری، عملیات فعالسازی و استفاده، تدارک منابع فناوری اطلاعات، مدیریت تغییرات و پیاده سازی و معتبرسازی راهکارها و تغییرات میباشد. حوزه خدمت رسانی و پشتیبانی بر روی ارائه خدمات مورد نیاز که عبارتند از، مدیریت امنیت و تداوم ، ارائه خدمات پشتیبانی از کاربران مدیریت دادهها و تجهیزات عملیاتی دارد و فرایندهای تعریف و مدیریت سطح خدمات، مدیریت خدمات شخص ثالث، مدیریت کارآیی و ظرفیت، اطمینان از تداوم خدمت رسانی، اطمینان از امنیت سیستمها، شناسایی و تخصیص هزینههای حوزه ی فن آوری اطلاعات، آموزش کاربران، مدیریت پیشخوان خدمت و رخدادها، مدیریت پیکرش پنندی، مدیریت مشکلات، مدیریت دادش ها، مدیریت محیط فیزیکی و مدیریت عملیات را شامل می شود. حوزه ی چهار هم حوزه ی پایش و ارزیابی می باشد، که بیان می کند تمامی فراین نهای فناوری اطلاعات می بایست به وسیله کنترل های مناسب در زمان های مثاسپ ارزیابی شوند. این حوزه بر روی مدیریت اجرا، ارزیابی و کنترل های داخلی، اجرا و نظارت تمرکز دارد. ۴ فرایند این حوزه عبارتند از پایش و ارزیابی اجرای فن آوری اطلاعات، پایش و ارزیابی کنترل های داخلی، اطمینان از تطابق با نیازهای خارجی و فراهم سازی نظارت بر فناآوری اطلاعات [10].
برخی از مقالات و تحقیقات پیشین به بررسی همپوشانی فرایندها و الزامات چارچوب مIIIL و اهداف کنترلی کوبیت پرداخته و نگاشت بین آنها را به همراه میزان کیفی همپوشانی بیان نمودهاند. Sh. Sahlbuldin و M. Sharif1 در مقاله خود به بررسی همسویی ISO/IEC 27001 ، ITIL و کوبیت پرداخته و تنها به مقایسه آنها براساس فرایندهای مITIL پرداخته و به صورت محدود نگاشتی با اهداف کنترلی کوبیت بیان نموده است و استاندارد 27001 ISO/IEC را استانداردی با مفهوم صرف امنیتی دانسته و از بررسی جزیی تر ان خودداری نمودهاند || ۱۱ در گزارش مدیریتی ISACAA، اهداف کنترلی کوبیت ۴.۱ و فرایندهای 3 ITIL, V و اهان اف کنترلی 27002 ISO/IEC مورد مقایسه قرار گرفته و نگاشتی بین آنها بر قرار شده است || ۱۲ برخی دیگر به نسخههای پیشین این استانداردها استناد نمودهاند که کاربردی نمیباشند ۱۳] [۱۴ ] [۱۵]
۴- روش کار همانطور که در قسمت ۳ اشاره گردید، نگاشت کاملی بین ISO/IEC 20000 ، 27001 ISO/IEC و کوبیت به همراه تعیین میزان همپوشانی آنها با یکدیگر در تحقیقات گذشته ارائه نشده است. روش پیشنهادی در ۳ فاز انجام می پذیرد: فاز اول: در ابتدا کدهای عملیاتی متن 20000 ISO/IEC با کنترل های 27001 ISO/IEC مقایسه شدهاند و آنهایی که دارای مفاهیم یکسانی بودند، در جدولی با عنوان جدول نگاشت ۱، در مقابل یکدیگر قرار گرفتند. در ادامه کدهای عملیاتی 20000 ISO/IEC با اعداف کنترلی کوبیت مقایسه شده و مواردی که با یکدیگر منطبق بودند در جدول نگاشت ۲، گردآوری شدند. به این ترتیب جند اول اولیه نگاشت بین 20000 ISO/IEC ISO/IEC 27001 و کوبیت در سطح کدهای عملیاتی، کنترل ها و اهداف کنترلی به دست آمد. فاز دوم: در این فاز، در ابتدا با استفاده از جذول نگاشت۱، میزان همپوشانی هر یک از کنترل های 27001 ISO/IEC با کدهای عملیاتی 20000 ISO/IEC که در فاز اول تعیین شده است ارزیابی شند. میزان همپوشانی در این مقاله به صورت معیار کیفی بیان می شود. برای این منظور از ۵ شاخص NA و -A و A به A۳ به E استفاده شده است که هر کدام دارای مفاهیم زیر میباشند: E: کنترل های نگاشته شده از 27001 ISO/IEC بر کدهای عملیاتی متناظر در 20000 ISO/IEC علاوه بر پوشش تمامی الزامات آن، مفاهیم بیشتری را نیز در خود جای میدهند.
C: کنترل های 27001 ISO/IEC کاملا مشابه مفاهیم کدهای عملیاتی ... ISO/IEC 20000 AF : کنترل های 27001 ISO/IECجنبههای زیادی از الزامات کندهای عملیاتی نگاشته شده 20000 ISO/IEC را پوشش میدهند. A: برخی از الزامات کنههای عملیاتی 20000 ISO/IEC توسط کنترل های ఉసిపీ شدهی 27001 ISO/IEC مورث توجت بودهاند. -A: درصد کمی از مفاهیم کدهای عملیاتی 20000 ISO/IEC توسط کنترل های متناظر آن در 27001