بخشی از مقاله
رویکرد نگاشت فرآیندهای چارچوبCOBIT به کنترلهایاستاندارد سیستم
مدیریت امنیت اطلاعات ISO/IEC 17799
چکیده
روند رو به رشد فناوری اطلاعات و اهمیت امنیت داراییهای اطلاعاتی در سازمانها موجب گسترش نیازمندی سازمانها و مدیران آنها به راهکارهای بهبود مدیریت و امنیت فناوری اطلاعات شده است. معمولاً مدیران سازمانها تمایل دارند با استفاده از استانداردهایی چون1 COBIT، 2ITILو ISO 17799چارچوبی جهت پشتیبانی از استراتژیها و سرمایههای سازمانی به وجود آورند.
COBIT یکی از معتبرترین چارچوبهای بینالمللی در حوزه حاکمیت فناوریاطلاعات است و از جمله مهمترین بندهای فناوری اطلاعات در آن، مدیریت امنیت اطلاعات است. از آنجایی که موارد مطرح شده در مدیریت امنیت اطلاعات در COBIT، حوزه تحت پوشش استاندارد ISO/IEC 17799 نیز می باشند، بهترین گزینه برای برآورده سازی مدیریت امنیت اطلاعات درزیرساخت COBIT، استفاده از استاندارد ISO/IEC 17799 میباشد. در این مقاله به مقایسه و نگاشت پارامترهای ارزیابی و کنترل حاکمیت فناوری اطلاعات COBIT و مدیریت امنیت اطلاعات ISO/IEC 17799 به عنوان مطرحترین استانداردها پرداخته و ارتباط آنها را درجدولی بیان مینماییم.
واژههای×کلیدیْ فناوری اطلاعات، سازمان، امنیت، COBIT، ISO/IEC 17799
×
-1 مقدمه
در سالهای اخیر اهمیت استراتژیک فناوری اطلاعات به شدت افزایش یافته و فناوری اطلاعات به خط حرفه سازمانها تبدیل شده است. نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار مینماید. استفاده از ابزارها، استانداردها و چارچوبهای فناوری اطلاعات ضمن ارتقا سرعت، کیفیت و امنیت در حوزه فناوری اطلاعات موجب صرفهجویی در هزینه تحویل سرویس به مشتری میشود. استانداردها و چارچوبهای بینالمللی مختلفی به عنوان راهحلهای مدیریت و امنیت فناوری اطلاعات مورد استفاده قرار گرفتهاند .[1,2]
COBIT یک چارچوب برای مدیران فناوری اطلاعات و ارتباطـات یـک سازمان است و در واقع مدلی بـرای حاکمیـت فنـاوری اطلاعـات اسـت.
مجموعهای از بهروشهـا در حـوزه ارزیـابی و کنتـرل فنـاوری اطلاعات است. برای مدیران چارچوبی ارائه میدهـد تـا آن هـا برنامه استراتژیک فناوری اطلاعـات، معمـاری اطلاعـاتی، نـرم افزارهـا و سخت افزارهای مورد نیاز فنـاوری اطلاعـات، حصـول از تـداوم خـدمات
فناوری اطلاعات و کنترل عملکرد سیستم های فناوری اطلاعات سـازمان خود را طراحی کنند و با کمک این ابزارها به تصـمیم گیـری و سـرمایه گذاریهای مرتبط با فناوری اطلاعات بپردازند .[2]
استانداردهای مدیریت امنیت فضای تبادل اطلاعات، یک سری استانداردهای امنیتی هستند که به سازمانها توانایی اجرای سیاستها و تکنیکهایی را میدهند که تعداد حملات موفق فضای تبادل اطلاعات را به حداقل میرسانند. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیکهای تخصصیتر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم میسازند .[3]
اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان و با نام BS 7799 ارائه شده است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان نوشته شده و دارای چندین بخش است که به صورت جداگانه منتشر شدهاند. بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 منتشر شد. این استاندارد در سال 1998 بازنویسی شده و در سال 2000 تحت نظر موسسه بینالمللی استاندارد (ISO) با نام
ISO/IEC 17799ارائه شد .[3]
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمنسازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تأمین امنیت فضای تبادل اطلاعات سازمانهادفعتاً، مقدور نمیباشد و لازم است این امر به صورت مداوم در یک چرخه ایمنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:[4]
1. تهیه طرحها و برنامههای امنیتی مورد نیاز سازمان
2. ایجاد تشکیلات مورد نیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
3. اجرای طرحها و برنامههای امنیتی سازمان
در ادامه این مقاله در بخش 2 به بررسی زوایای مختلف چارچوب COBIT پرداخته و در بخش 3 به معرفی استاندارد ISO/IEC 17799 میپردازیم. در بخش 4 به مقایسه و نگاشت پارامترهای ارزیابی و کنترل حاکمیت فناوری اطلاعات COBIT و مدیریت امنیت اطلاعات ISO/IEC 17799 خواهیم پرداخت و سپس در بخش 5 نتیجه گیری بیان میشود.
-2 چارچوب COBIT
COBITمجموعهای از بهروشها در حوزه ارزیابی و کنترل فناوری اطلاعات است که در سال 1996 توسط موسسه ISACA و ITGI ارائه گردید. این استاندارد با رویکردی فرآیندگرا در 4 دامنه و 34 فرآیند و مجموعهای از 318 هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعهای از سنجشها، شاخصها، فرآیندها و بهروشها را برای کمک به مدیران، ممیزان و کاربران IT در حداکثر کردن سود حاصل از استفاده فناوری اطلاعات و توسعه نظارت و کنترل مناسب ITدر سازمان، ارائه میدهد .[1,2]
اطلاعات، منابع فناوری اطلاعات را مدیریت کرده و به نیازمندیهای کسب و کار پاسخ میدهد .[2]
1-2 محتویات بنیادی ×
حاکمیت سازمانی و حاکمیت فناوری اطلاعات از دیدگاه COBIT بسیار به یکدیگر وابسته هستند. حاکمیت سازمانی بدون حاکمیت فناوری اطلاعات ناقص است.
آقای ادوار دمینگ چرخه PDCA را برای کنترل مدیریت و ساختار سنجش کارایی در بدنه سیستمهای مدیریتی جای داده است. این چرخه در شکل 1 نشان داده شده است.
اطلاعات مورد نیاز و پارامترهای سنجش آن مورد برنامه ریزی و طراحی قرار گرفته (برنامه ریزی)، ساختارهای اطلاعاتی و امکانات و سیستمهای آن پیاده سازی و در دسترس قرار میگیرد (اجرا)، نتایج استفاده و انتقال اطلاعات مورد ارزیابی قرار گرفته (نظارت و بازنگری) و جهت بهبود و نزدیکی به اهداف طراحی، اقدام اصلاحی انجام میپذیرد (نگهداری و اصلاح).
نتیجه این است که وابستگی سیستمهایاطلاعاتی صرفاً به خود سیستمها نیست و نیاز به همگرایی بالا با نظامهای تجاری و مدیریت سازمانی وجود دارد. به عبارت دیگر، کنترلها و حاکمیت فناوری اطلاعات مسئولیت هیئت مدیره و مدیران اجرایی است.[5]
برنامه ریزی (Plan)
اجرا (Do) بازانجام (Act)
ارزیابی (Check)
شکل : (1 ) چرخه [5]. PDCA
COBIT ، برای مدیران چارچوبی ارائه میدهد تا آنها برنامه استراتژیک فناوری اطلاعات، معماری اطلاعاتی، نرم افزارها و سخت افزارهای مورد نیاز فناوری اطلاعات، حصول از تداوم خدمات فناوری اطلاعات، و کنترل عملکرد سیستمهای فناوری اطلاعات سازمان خود را طراحی کنند و با کمک این ابزارها به تصمیم گیری و سرمایه گذاریهای مرتبط با فناوری اطلاعات، بپردازند.
چارچوب COBIT نیازمندیهای کسب و کار برای اطلاعات و نظارت را به اهداف توابع سرویسهای فناوری اطلاعات پیوند میزند. به طور خلاصه فرایندهای فناوری اطلاعات برای دستیابی به اهداف فناوری
2-2 ویژگیهای چارچوب COBIT
چارچوب COBIT با ویژگیهای اصلی زیر به وجود آمده است:
1. تمرکز بر کسب و کار
2. فرایند گرا
3. کنترل محور
4. قابل اندازه گیری
1-2-2 تمرکز بر کسب و کار
تمرکز بر کسب و کار موضوع اصلی در COBIT است. COBIT به گونه ای تولید شده است که نه تنها توسط فراهم کنندگان خدمات فناوری اطلاعات، کاربران و بازبینی کنندگان استفاده میشود بلکه به منظور هدایت جامع و فراگیر مالکان فرایند کسب و کار و مدیریت نیز به کار میرود .[2]
معیار های اطلاعاتی COBIT
برای ارضا کردن اهداف و نیازمندیهای کسب و کار و با توجه به نیاز به اطلاعاتی با امنیت و کیفیت و اعتبار بیشتر، 7 شرط اطلاعاتی به صورت زیر تعریف شده است: [2] اثربخشی : در ارتباط با اطلاعاتی است که برای یک فرایند کسب و کار،
مناسب و شایسته هستند و نیز در یک روش بجا، صحیح، سازگار و قابـل استفاده تحویل داده میشوند.
راندمان : مرتبط بـا فـراهم کـردن اطلاعـات از طریـق اسـتفاده بهینـه (پربارترین و اقتصادیترین) از منابع.
محرمانگی : در رابطـه بـا جلـوگیری از دسترسـیهـای غیـر مجـاز بـه اطلاعات حساس.
یکپارچگی: مربوط به صحت و یکپـارچگی اطلاعـات بعـلاوه اعتبـار آن است، که بنا بر ارزشهـا و توقعـات و انتظـارات کسـب و کـار سـنجیده میشود.
دسترسپذیری: مربوط به قابل استفاده و در دسترس بـودن اطلاعـات است، زمانی که توسط فرایندهای کسب و کار حال و آینـده مـورد نیـاز میباشند.
انطباق: مربوط به سازگاری اطلاعات با قوانین، مقررات و سیاسـتهـای سازمان است.
قابلیت اطمینان: مرتبط با تهیه اطلاعات مناسـب بـرای مـدیریت، بـه منظور اداره کردن یک موسسه مستقل و انجام وظایف مدیریتی است.
2-2-2 فرایند گرا
COBIT مجموعه ای از 34 موضوع عمومی سـطح بـالای کنترلـی است که در یک مدل فرایندی کلی در 4 گروه و دامنه اعم از طرح ریزی و سازمان دهی، دستیابی و پیاده سـازی، ارائـه و پشـتیبانی و نظـارت و ارزیابی تفکیک شده اند. این ساختار تمـام نیازهـای اطلاعـاتی و فنـی را پوشش می دهد. جدول 1 هرکدام از این نواحی و فرایندهای مربـوط بـه آنها را نشان میدهد .[2]
چارچوب COBIT یک مدل فرایند مرجع و یک زبان مشـترک را بـرای همه اشخاص در یک سازمان فراهم مـی کنـد. یـک مـدل فراینـد باعـث تقویت مالکیت فرایند شده و منجر به تعریف مسـئولیت هـا و جوابگـویی می شود. برای کنترل فناوری اطلاعات بـه نحـو ی مـؤثر مهـم اسـت کـه فعالیت هـا و ریسـک هـای موجـود در فنـاوری اطلاعـات را کـه نیازمنـد مدیریت هستند درک کنیم .[2]
3-2-2 کنترل محور
فرآیندها نیازمند کنترل میباشند. کنترل به عنوان خط مشیها، پروسیجرها، شیوه هـا و سـاختارهای طراحـی شـده بـرای فـراهم آوردن اطمینان است و باعث میشود که اهداف کسب و کـار تحقـق یابنـد و از رویدادهای نامطلوب جلوگیری شود یا آنکـه آنهـا شناسـایی و تصـحیح شوند. اهداف کنترلی فناوری اطلاعات، لیست کاملی از نیازمندیهایی را که از سوی مدیریت برای کنترل مؤثر هر فرآیند فناوری اطلاعات مطرح میباشند را فراهم میکند .[2]
کنترلهای کارا و موثر ریسـک را کـاهش مـیدهنـد، ارزش و اعتبـار را افزایش میدهند و عملکرد را بهبود میبخشند، زیرا یک روش مـدیریتی سازگارتر و پایدارتری وجود خواهد داشت. [2]
4-2-2 قابل اندازه گیری
نیازهای اساسی هر سازمان، فهمیدن وضعیت سیستمهای فنـاوری اطلاعاتی موجود در آن سازمان و تصمیم گیری در این رابطه که سازمان باید چه سطحی از مدیریت را فراهم کند، میباشد. سازمانها نیازمند آن هستند که جایی را که در آن قرار دارند و جایی را که رشد و پیشرفت تا آنجا لازم است، بسنجند و بر این رشد و پیشرفت نظارت داشته باشـند. COBIT در این زمینه، مدل بلوغ و نیز اهـداف و شـاخصهـای کـارایی (اندازه گیری کارایی) را ارائه داده است .[2]
جدول : (1 ) فرایندهای فناوری اطلاعات شناسایی شده توسط
[2] COBIT
طرح ریزی و سازماندهی تحویل و پشتیبانی
:PO1 تعریف یک طرح استراتژیکی برای :DS1 تعریف و مدیریت سطوح سرویس
فناوری اطلاعات دهی
:PO2 تعریف معماری اطلاعات :DS2 مدیریت سرویسهای شخص ثالث
:PO3 تعیین سمت و سوی فنی و :DS3 مدیریت کارایی و ظرفیت
تخصصی
:PO4 تعریف فرایندها، سازمان فناوری - :DS4 تضمین استمرار خدمات
اطلاعات و روابط بین آنها
:PO5 مدیریت بر سرمایهگذاریها در :DS5 تضمین امنیت سیستمها
فناوری اطلاعات
:PO6 بیان مقاصد و سمت و سوی :DS6 تعیین و تخصیص هزینهها
مدیریت
:PO7 مدیریت منابع انسانی فناوری :DS7 آموزش و تعلیم کاربران
اطلاعات
:PO8 مدیریت کیفیت :DS8 مدیریتService Desk و
Incidents
:PO9 ارزیابی و مدیریت ریسکهای :DS9 مدیریت پیکربندی
فناوری اطلاعات
:PO10 مدیریت پروژهها :DS10 مدیریت مشکلات
دستیابی و پیاده سازی :DS11 مدیریت دادهها
:AI1 شناسایی راه حلهای اتوماتیک :DS12 مدیریت محیط فیزیکی
:AI2 تعیین و نگهداری نرم افزار :DS13 مدیریت عملیات
کاربردی
:AI3 تعیین و نگهداری زیرساخت فنی نظارت و ارزیابی
:AI4 فعالسازی عملیات و کاربرد :ME1 نظارت و ارزیابی کارایی فناوری
اطلاعات
:AI5 تهیه منابع فناوری اطلاعات :ME2 نظارت و ارزیابی کنترل داخلی
:AI6 مدیریت تغییرات :ME3 انطباق با نیازمندیهای خارجی
:AI7 معتبر ساختن و مستقر کردن :ME4 ایجاد حاکمیت فناوری اطلاعات
راهکارها و تغییرات
3-2 مدل چارچوب COBIT
چارچوب COBIT نیازمندیهای کسبوکار برای اطلاعات و نظارت را به اهداف توابع سرویسهای فناوری اطلاعات پیوند میزند. به طور خلاصه فرایندهای فناوری اطلاعات برای دستیابی به اهداف فناوری اطلاعات، منابع فناوری اطلاعات را مدیریت کرده و به نیازمندیهای کسبوکار پاسخ میدهد. چارچوب COBIT مطابق شکل 2 میباشد.
شکل : (2 ) چارچوب COBIT [2,5].
کل این ساختار فرایند گرا، منطبق بر چرخه PDCA است.
4-2 اصول چارچوب COBIT
چارچوب COBITدر سه سطح در نظر گرفته شده است: در سطح پایین، فعالیتها و وظایفی وجود دارند که برای دستیابی به نتایج قابل اندازهگیری مورد نیاز هستند. فعالیتها یک چرخه عمر دارند در حالی که وظایف بیشتر گسسته هستند. سپس فرایندها در یک لایه بالاتـر به عنوان مجموعهای از فعالیتها و وظایف تعریف شدهاند. در بالاترین سطح که بیشتر مورد توجه COBIT است، فرایندها در یک حوزه جمعآوری شدهاند. شکل 3 روش بالا به پایین فرایندهای فناوری اطلاعات را نشان میدهد .[2,6]
شکل : (3 ) روش بالا به پایین فرایندهای [2, 6] IT
بنابراین چارچوب COBIT از نظر مفهومی میتواند از سه بعد در نظر گرفته شود: -1 معیارهای اطلاعات -2 منابع فناوری اطلاعات -3 فرایندهای مربوط به فناوری اطلاعات. این سه بعد در مکعب COBIT به صورت شکل 4 نشان داده شده است.
شکل : (4) مکعب [2] COBIT
-3 استاندارد مدیریت امنیت اطلاعات ISO 17799
اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ارائه شد و در نتیجه نوعی نگرش سیستماتیک به موضوع امنیت اطلاعات را ایجاد کرد. بر طبق این نگرش جدید، شرکتها و سازمانها لازم است برای حفظ امنیت اطلاعات خود، از یک چرخه امنیتی استفاده کنند. مجموعهای از اقدامات پیشگیرانه و تدافعی که لازم است به صورت مداوم توسط شرکتها و سازمانهای مختلف به منظور حفظ امنیت اطلاعات انجام پذیرد، به عنوان چرخه امنیت شناخته میشود. این چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و ترمیم بوده که لازم است طبق یک متدولوژی مشخص اجرا شوند .[4]
استاندارد BS 7799 از نخستین استانداردهای امنیت اطلاعات است که توسط مؤسسه استانداردهای انگلستان ارائه شده است و دارای چندین بخش است که به صورت جداگانه منتشر شدهاند. استاندارد BS7799 حفاظت از اطلاعات را در سه مفهوم زیر تعریف میکند .[4]
محرمانگی: اطمینان از اینکه منابع فقط برای افراد مجاز سازمان در دسترس میباشند.
یکپارچگی: تأمین دقت لازم و کامل بودن منابع و دادهها و روشهای پردازش آنها
دسترس پذیری: اطمینان از این که افراد مجاز در تمامی زمانهای تعیین شده، به منابع و دادهها و سرمایههای موجود دسترسی داشته باشند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از کنترلها که شامل سیاستها، عملیات، رویهها، ساختارهای سازمانی و فعالیتهای نرم افزاری است، حاصل میشود. این کنترلها باید به منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
بخش اول استاندارد BS 7799 که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 میلادی با عنوان Code of Practice for Information Security Management منتشر گردید. این استاندارد به دلیل اینکه در تمام سازمانها و در هر نقطهای از جهان قابل انطباق و استفاده بود، در سال 2000 تحت نظر موسسه بینالمللی استاندارد )ISO( با نام ISO/IEC 17799 بازنویسی و به عنوان یک استاندارد بینالمللی منتشر گردید [5]. بخش دوم استاندارد مذکور اولین بار در سال 1998 میلادی با عنوان
Specification for Information Security Management Systems منتشر گردید و تمرکز آن بر روی پیاده سازی سیستمهای
مدیریت امنیت اطلاعات )ISMS( بود. BS 7799-2:1998 به بیان جزئیات برقراری، پیاده سازی و مستندسازی مربوط به یک سیستم مدیریت امنیت اطلاعات و یا به اختصار ISMS میپردازد. ISMS جهت مشخص نمودن کنترلهای امنیتی یک سازمان بر اساس اهداف کاری و نیازمندیهای امنیتی آن شکل میگیرد. به عبارت دیگر، از آنجا که ممکن است تمامی کنترلهای امنیتی مشخص شده در BS 7799-1 برای همه سازمانها در جهت نیل به امنیت لازم نباشد، با ایجاد یک ISMS، وظیفه تشخیص و انتخاب تمامی کنترلهای امنیتی مورد نیاز، مدیریت و نگهداری آنها به این سیستم محول میشود . [5]
هدف از تدوین استاندارد ISO/IEC 17799 ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات برای کسانی است که مسئول طراحی، پیاده سازی یا پشتیبانی مسائل امنیتی در یک سازمان میباشند. این استاندارد جزئیات و چگونگیها را مطرح نمیکند، بلکه سرفصلها و موضوعات کلی را بیان میکند. استاندارد مزبور نقطه شروع توسعه راهکارهای امنیتی هر سازمان میباشد. کنترلهای این استاندارد در 10 بخش به شرح زیر میباشند .[5,7]
سیاستهای امنیتی: دربرگیرنده راهنماییها و توصیههای مدیریتی به منظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.
امنیت سازمانی: در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاست گذاری، اجرائی و فنی به همراه مسئولیتهای هر یک از سطوح، ارائه شده است.
