مقاله سیستم مدیریت امنیت اطلاعات ( ISMS ) با رویکرد پدافند سایبری در سازمان بنادر و دریانوردی

بخشی از مقاله

خلاصه

در عصر حاضر قسمت عمده ای از تلاشهای سازمانها معطوف به الکترونیکی کردن انبوهی از اطلاعات و ربودن گوی سبقت از رقبا هستند، ولی پیامد آن نیز، نگرانی از بروز رویدادهای پیچیده و مخاطره انگیز برای این دستاوردها است و به بیان دیگر تعریف جدید قدرت، همان اطلاعات است که باید به هر نحوی ازمخاطرات مصون بماند. این درحالی است که سازمانها روز به روز به سرمایههای اطلاعاتی مانند نرم افزارها،پورتالها و پایگاههای داده وابسته تر می شوند و این وابستگی ارتباط مستقیم با کارایی و بهره وری سازمان دارد. لذا متناسب با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور - سند افتا - ، و برنامه های ذیربط آن، توجه به مقوله ایمن سازی فضای تبادل اطلاعات را ضروری و مهم دانسته است.

با توجه به اینکه زیرساختهای سازمان بنادر و دریانوردی مجهز به انواع تجهیزات مختلف فناوری اطلاعات و ارتباطات است ،آیا تمهیدات، آموزشها و مهارتهای امنیتی لازم درخصوص شناسایی مخاطرات امنیتی ورفع آنها درراستای افزایش بهره وری سامانه ها از لحاظ سهولت ، اعتماد، اطمینان ورضایت مندی در نظرگرفته شده است؟ از اینرو این تحقیق با بررسی راهکارهای مناسب دراسناد فناوری اطلاعات سازمانی، مولفه های امنیت شامل: یکپارچگی اطلاعات، محرمانگی و قابلیت دسترسی به اطلاعات، را بمنظور بررسی ضرورت پیاده سازی امنیت در رسیدن به عملکرد بهینه سامانه ها با هدف شناسایی مخاطرات حوزه فناوری اطلاعات وارتباطات در ادارات بنادر و دریا نوردی را مدنظر قرارداده است. لذا نتایج بدست آمده، حاکی از آن است که علیرغم تبیین اهداف مورد نظر، رویکرد خاص در این حوزه میتواند در بهبود سیاست های کلان کشوری و تحقق رسالت دولت الکترونیک موثر واقع گردد.

کلمات کلیدی: مخاطرات ICT ، سیستم مدیریت امنیت اطلاعات - ISMS - ، پدافند غیرعامل، دولت الکترونیک

.1 مقدمه

هدف مباحث مخاطرات و امنیت فناوری اطلاعات، دور ساختن کاربران از فناوریهای جدید نیست، بلکه قدرت بخشیدن به کاربران برای لذت بردن از این دنیای نوین به روشی ایمن و مطمئن است و در این راستا ایجاد فرهنگ توجه به مسایل و مخاطرات امنیت فناوری اطلاعات بعنوان سلاحی در برابر این ابزار قدرتمند و رام کردن این پدیده است و در واقع به دنبال آن هستیم که "تفکرحساسیت امنیت اطلاعات" نهادینه گردد و در واقع اهمیت کسب دانش و اطلاعات، دسترسی به اعتماد و اطمینان و یا به عبارتی ایمنی و امنیت در کنار گزینه های سرعت، دقت، راحتی برای این دستاوردها است و به بیان دیگر تعریف جدید قدرت، همان دانش امنیت است که باید اطلاعات را به هر نحوی از مخاطرات مصون دارد. لذا در اینجا نقش سازمان بنادر و دریا نوردی با وجود پتانسیلها موجود مانند زیرساخت تجهیزاتی و کارشناسان مجرب و مراکز متعدد تخصصی در تمامی نقاط کشور و ارتباط با قشر عظیمی از متقاضیان داخلی و خارجی، میتواند بسیار پر رنگ و محسوس گردد.

.2 شناسایی مخاطرات فناوری اطلاعات و ارتباطات در سازمانها

پیامبر اکرم - ص - :  " کسی که به شرایط زمان اش آگاه باشد هرگز خطرات وتهدیدات او را احاطه نمی کند."ماهیت امنیت فناوری اطلاعات را میتوان به حراست از یک عمارت زیبای بلورین و شیشه ای توصیف نمود که هر روزه با سنگ هایی از جنس وگونه های جدید تهدیدات و مخاطرات روبرو است. هرگاه بحث استفاده از فناوری اطلاعات و ارتباطات پیش می آید همواره حجم عظیمی از انواع کاربری ها و مزایای آن برشمرده می شود و به نوعی بکارگیری این ابزارهای تکنولوژیکی یک ویژگی منحصر بفرد در بازارهای رقابتی محسوب می گردد. این درحالی است که نخستین گام در جهت شناخت و تبیین درست هرمفهوم یا پدیده، ارایه تعریف روشنی از مزایا و معایب آن است. لیکن این تحقیق این سئوال را مطرح می کند که آیا به همان میزان که شاهد نفوذ وتبلیغ مزایای این فناوری هستیم آیا راهکارها، آموزشها و مهارتهای لازم در خصوص معرفی مخاطرات و رفع آنها تعیین شده است؟

این درحالی است که این فناوری با توجه به دو لبه بودن در تمامی لایه های جامعه تسری کرده است هر روز علیرغم پیشرفت آن، رویدادهای پیچیده ومخاطره انگیز مانند سرقت و افشا اطلاعات خصوصی و محرمانه، هک سامانه ها وغیره رخ می دهد. لذا نیاز به استقرار تدابیر علمی و عملی آن جهت بهره برداری صحیح و شناخت سوء استفاده های احتمالی را بسیار مهم و حائز اهمیت می نماید لذا اکثر تلاشها در جهت راهنمایی برای صیانت از این سرمایه گرانبهاست که در این راستا نیزآمار و ارقام حاکی از آنست که شانس افراد برای این که یکی از قربانیان جرایم سایبری باشند، یک به چهار است و یا هکرها، هر 39 ثانیه یک بار، کامپیوترهایمتصّل به اینترنت را مورد حمله قرار میدهند و یا شکل - 1 - از مرکز ماهر1 که دامنه سرایت سریع عمیق این خطر و آتش دیجیتال را نشان میدهد.[1] لذا جهت مهار کردن این تهدید همیشگی نیاز است آتش نشانهای خوبی برای داراییهای سازمانی آماده شوند و این مهم مگر با اخذ سیاستهای امنیتی کارا وکسب آموزشهای مهارتی مربوطه میسر نمی گردد.

و از طرفی تصمیمات استراتژیک و ملی مبنی برایجاد دولت الکترونیک، چشم انداز ایران 1404 وبه تبع آن الزام های استانداردسازی عملیات وهمچنین علاقمندی سازمانها به ورود درجرگه سازمانهای پیشرو درامر فناوری اطلاعات، وتاکید اسناد بالادستی برگسترش بکارگیری مزایای فناوریهای اطلاعات وارتباطات وجلب رضایت ارباب رجوع، مقدماتی را پیش روی سازمانها قرارمی دهد که مطابق ساختار این مقاله، گرایش به مدیریت و بهره برداری سامانه های اطلاعاتی امن یکی ازآنها است که لزوم بستر سازی به صورت زیربنایی و اساسی را بسیار محسوس نموده است.از اینرو بنا به گستردگی و نفوذ فناوری در خانواده ها و سازمانها ، لازمه طراحی و پیاده سازی سیستم جامع و کارآمد مدیریت امنیت اطلاعات، اطلاع رسانی، آموزش و فرهنگ سازی برای کلیه افراد در فضای مجازی شامل کودکان، والدین و کارکنان ومدیران می باشد. چون براین باوریم با توجه به انواع حملات مانند مهندسی اجتماعی، فیشینگ، هک وغیره، امنیت فناوری اطلاعات با کوچکترین تا بزرگترین افراد خانواده و یا سازمان درارتباط است پس می توان انتظار داشت که شناخت مخاطرات و تامین امنیت در فناوری به کیفیت زندگی و عملکرد سازمانی نیزکمک می کند.

.3 نقش اسناد بالادستی و سیاستهای امنیتی در مدیریت فناوری اطلاعات

عنصر کلیدی درشرایط نا مطمئن درتصمیمات برنامه ریزی نشده موفقیت آمیز، بصیرت است. بصیرت، توانایی شناختن یا تشخیص دادن سریع امکانات در یک موقعیت مشخص است. بویژه درشرایط ریسکی وعدم اطمینان، مدیران موفق تا حدود زیادی از بصیرت در تصمیم گیری استفاده می کنند. این یک راه بر خورد با موقعیتهایی است که در آن سابقه امر روشن نیست، واقعیتها محدودند و زمان، عامل اصلی تصمیم گیری است .[2]همانطور که بیان شد از آنجاییکه نابسامانی احتمالی و غیر قابل پیش بینی در وضعیت امنیت فضای تبادل اطلاعات، از یکسو موجب بروز اخلال درعملکرد صحیح سامانه ها شده وکاهش اعتبار و اعتماد را از طرف جامعه درپی خواهد داشت، وازسوی دیگر، موجب اتلاف سرمایه های ملی نیز خواهد شد نیازمند بصیرتی بنام شناسایی مخاطرات فناوری اطلاعات هستیم و نیز بنا به تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور - سند افتا - ، توجه به مقوله ایمن سازی فضای تبادل اطلاعات، ضرورتی واجب ومهم به نظر می رسد.

لذا این تحقیق علاوه بر بررسی ضرورت جلوگیری از صدمات و زیانهای ناشی از وضعیت فعلی امنیت ، نقش موثری در فرآیند اجرایی شدن سند راهبردی امنیت فضای تبادل اطلاعات کشور که از سال 1386 تا کنون با روند خیلی ضعیفی درحال اجراست نیزخواهد داشت.در این راستا مطابق چشم انداز تعیین شده درسند افتا یعنی"تأمین امنیت فضای تولید و تبادل اطلاعات کشور، عدم بروز اختلال درزیرساختهای حیاتی کشور و اعتماد وآسودگی خاطر آحاد شهروندان جامعه برای انجام تمامی امورقانونی ازجمله فعالیتهای اقتصادی، اجتماعی و فرهنگی به منظورصیانت ازحاکمیت واقتدار ملی درافق سال."1404 و طبق مفاد بند های ترتیبات اجرایی سند افتا درجهت لزوم انجام مطالعات فضای تولید و تبادل اطلاعات توسط دستگاهها ونیز بمنظور نیل به اهداف فوق الذکر، تحقیق حاضر به اجرایی شدن ممیزی وتدوین سیاست نامه های امنیتی که حلقه مفقوده درتوسعه بسترهای فناوری اطلاعات و ارتباطات در جامعه وسازمانهاست می پردازد" .[3]

لیکن جایگاه واهمیت ویژه مدیریت فناوری اطلاعات وارتباطات بعنوان یک سرمایه راهبردی مهم درارایه خدمات الکترونیکی ازحیث تسریع و دقت در انجام کارها وجلب رضایتمندی واعتماد کاربران و متقاضیان وحفظ جایگاه رقابتی بسیار مشهود است. دراین راستا همانطور که در چارچوب مدیریت امنیت سیستماتیک شکل - 2 - دیده میشود این فعالیت همه جانبه در صورتی محقق خواهد شد که بتوان ضمن ایجاد تعامل و تفاهم بین متصدیان امر، حاصل کار را بصورت یک آموزه و فرهنگ تولید و بهره برداری نمود.در این چارچوب ضمن توجه به عناصر سنتی مانند افراد، فرایند ها و تکنولوژی و استراتژیها ، عناصر راهبردی دیگری را نیز مانند فرهنگ را مد نظر قرار داده است. این مدل تشریح می کند این عناصر بصورت پویا و گاهی ناسازگار با هم در ارتباط هستند ودرنظر گرفتن نقش این چارچوب به