بخشی از مقاله
چکیده
در عصری که به عصر اطلاعات موسوم است تصور زندگی بدون استفاده از خدمات الکترونیکی و فناوری اطلاعات امری انکار ناپذیر بنظر می رسد و هر روزه شاهد گسترش روزافزون استفاده از سیستم های تحت شبکه نیازمند بستر اینترنت در سازمانها ، ادارات و شرکت ها هستیم. به تناسب الکترونیکی شدن امور بیش از بیش مقوله امنیت اطلاعات اهمیت فوق العاده ای پیدا کرده است که مورد توجه کلیه مدیران قرار دارد. در آشفته بازار انفجار اطلاعات و شفافیت اطلاعاتی سازمانهایی که نتوانند با فراهم آوردن امنیت لازم ، اطمینان مشتریان خود را جلب نمایند با کاهش مشتری و به سوی نیستی گام خواهند برداشت.
در این رهگذر پیاده سازی سیستم مدیریت امنیت اطلاعات تا حد زیادی می تواند امنیت اطلاعات را به ارمغان آورد و نشان دهنده فراهم شدن حداقل امنیت اطلاعات دیجیتالی باشد لیکن عوامل موثر در پیاده سازی سیستم مدیریت امنیت اطلاعات فراوانند که از آن جمله می توان به عوامل فناوری و تکنولوژی، عوامل بیرونی یا خارجی و عوامل سازمانی - درونی - اشاره کرد که در این مقاله سعی شده است عوامل درون سازمانی شناسایی شود و سپس به رتبه بندی عوامل مذکور پرداخته شده است تا مشخص گردد کدامیک از عوامل درون سازمانی در حین پیاده سازی سیستم مدیریت امنیت اطلاعات از اهمیت بیشتر و کدامیک از اهمیت کمتری برخوردارند.
-1 مقدمه
هر سازمانی جهت انجام امور جاری و آتی خود دارای یک سری از فرآیندها ، دستورالعمل ها و روالهای کاری مختص به خود می باشد که به تناسب ظهور فناوری های جدید نحوه انجام فرآیندها نیز دچار تغییرات اساسی می شود . استفاده از فن آوری های جدید باعث می شود تا در حالت نرمال علیرغم گستردگی تغییراتی که در فرایندها و فعالیت ها وجود دارد، انجام آنها در زمان کمتر و بهینه تر انجام گیرد. در این مقوله روشهای حفاظت از اطلاعات نیز با تغییر فن آوری ها دستخوش تغییرات اساسی می گردد و اصل حفاظت از اطلاعات در همه اعصار امری انکار نشدنی است.
در این راستا ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد.بدیهی است سیستم مذکور باید علاوه بر کمک برای پیاده سازی بهینه روشهای مناسب حفاظت اطلاعات به گونه ای طراحی شود تا بتوان موارد امنیتی را کنترل و بهبود داد . از اینرو بحث طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات - - ISMS به عنوان ابزاری مناسب جهت طراحی و کنترل سطح امنیت اطلاعات و بهبود امنیت در سازمان مطرح می شود.
در پیاده سازی سیستم مدیریت امنیت اطلاعات عوامل فراوانی دخیل هستند که از جمله آنها عوامل درون سازمانی است، در واقع پیاده سازی هر سیستمی نیازمند زیر ساخت های خاصی است که بدون وجود آنها امکان پیاده سازی وجود ندارد از جمله زیر ساخت های لازم در حوزه درون سازمانی می توان به عواملی مانند داشتن مدیر پروژه و امنیت اطلاعات قوی، حمایت مدیر ارشد سازمان ، برنامه ریزی دقیق در اجرای فرآیندها، مشارکت و کار تیمی، تامین و تخصیص منابع مالی و انسانی، داشتن مکانیزم مناسب ثبت و گردش کارها، فرهنگ سازی نیاز سازمان به سیستم، تمرکز در تصمیم گیری ها، استفاده از تکنیک های مدیریت دانش، همسوی دیدگاه های مدیران ارشد با تیم پیاده سازی و کارکنان، ارتباطات غیر رسمی سازنده، شکستن پروژه و داشتن برنامه های کوتاه مدت و بلند مدت و بکارگیری سیستم پاداش و تنبیه را نام برد که به بررسی میزان تاثیر هر یک خواهم پرداخت. لیکن در ابتدا مفاهیم اطلاعات، امنیت اطلاعات، حفاطت اطلاعات و سیستم مدیریت امنیت اطلاعات تعریف و بررسی می شود.
-2 مروری بر امنیت اطلاعات ، مدیریت امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات و تحقیقات پیشین
تعاریف گوناگونی برای امنیت اطلاعات وجود دارد که می توان به موارد زیر اشاره کرد: امنیت اطلاعات عبارت است از حفاظت اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها . [3] همچنین علم مطالعه روشهای حفاظت از داده ها در رایانه ها و نظام های ارتباطی در برابر تغییرات غیر مجاز است . [4] از طرفی امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیری اطلاعات است. علاوه بر این ها سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز می توانند مشمول این حفاظت باشند.مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف ، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد . [1 ]
مفهوم سیستم مدیریت اطلاعات عبارت است از : بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم. [2]
خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و... جزء تهدیدات غیر عمدی به حساب می آید .
برای مقابله با تهدیدات فوق می بایست یک سیستم مدیریت امنیت اطلاعات طراحی گردد که فازهای تضمین امنیت اطلاعات در آن عبارتند از: - تعریف دامنه و محدوده - ارزیابی تهدیدات - ارزیابی آسیب پذیری ها -ارزیابی ریسک - استراتژی مدیریت ریسک و نقشه امنیتی - پیاده سازی نقشه امنیتی - ارزیابی ،بازبینی و ممیزی امنیتی[5] .اجرای سیستم مدیریت امنیت اطلاعات در صورت تحقق سه شرط اطمینان، دقت و قابلیت دسترسی بشرح ذیل قابل بررسی است: الف- اطمینان : از سلامت اطلاعات چه در زمان ذخیره و چه به هنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند.
ب - دقت : اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشند و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت. ج - قابلیت دسترسی : اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشند . [6] در ارتباط با پیاده سازی سیستم مدیریت امنیت اطلاعات و بررسی عوامل موثر در پیاده سازی آن تحقیقات فراوانی نمی توان یافت. در بسیاری موارد محققین تنها به تشریح این سیستم مدیریتی و نحوه مستندسازی آن پرداخته اند.
در مقاله ای تحت عنوان " شناسایی و رتبه بندی عوامل فن آوری موثر در پیاده سازی سیستم مدیریت امنیت اطلاعات" به قلم اینجانب ، عوامل فن آوری به ترتیب وجود ممیزین داخلی بمنطور تحلیل وضعیت، تدوین و اطلاع رسانی مناسب دستورالعمل ها، انتخاب دامنه و محدوده مناسب، ارزش گذاری و برآورد مناسب ریسک، وجود تیم فنی و امنیتی پاسخگو، زیر ساخت های نرم افزاری و سخت افزاری مناسب، توانایی و دانش فنی کارشناسان، بهره برداری از دستورالعمل پذیرش سیستم، مطالعه مستندات سیستم های اجرا شده، انطباق بین پروژه ها با اسناد بالا دستی و برنامه های فاوا، تحلیل شکاف ، بهره برداری از سیستم های پایش، اجرای چارچوب های مدیریتی موجود مانند &2%,7' ,7,/' … ، آموزش و برگزاری دوره های مرتبط و دسته بندی و پایش اطلاعات و فایل ها رتبه بندی گردید . [7] در این مقاله از دیدگاه درون سازمانی به رتبه بندی عوامل موثر در پیاده سازی سیستم مدیریت امنیت اطلاعات پرداخته شده است.
