بخشی از مقاله
شناسایی چالشهاي پیاده سازي سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان
چکیده
در جهان امروز اتکاي هر سازمانی، چه دولتی و چه خصوصی، بر مبناي تکنولوژي اطلاعات است که به طور فزایندهاي در حال افزایش میباشد . در طول دو دههي گذشته، ماهیت سیستمهاي اطلاعاتی به طور عمدهاي تغییر یافته و تبدیل به بخش بزرگی از فرآیندهاي کسب و کار شده است. اطلاعات، به یک دارایی استراتژیکی توسعه یافته و سیستمهاي اطلاعاتی به یک ابزار استراتژیکی براي سازمانها و دولتها تبدیل شده است. در شرایط کنونی، امنیت اطلاعات ماهیتی مدیریتی پیدا کرده و نیازمند آموزش و توجه مدیران سازمانها میباشد. سیستم مدیریت امنیت اطلاعات «ISMS»، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت اطلاعات و در دسترس بودن اطلاعات تعریف میکند. بسیاري از شکستهاي پیادهسازي «ISMS» ریشه در مسائل سازمانی و بیتوجهی به وضعیت آمادگی سازمان قبل از پیادهسازي دارد. پژوهش حاضر به دنبال دو هدف عمدهي شناسایی چالشهاي پیادهسازي سیستم مدیریت امنیت اطلاعات «ISMS» و اولویتبندي این چالشها میباشد . براي این منظور، طبق مطالعات موردي انجام شده از سازمانهاي مورد بررسی و مطالعهي مقالههاي متعدد، چالشها و بایدها و نبایدهایی که باعث موفقیت و عدم موفقیت پیادهسازي «ISMS» میشدند، استخراج گردید . نتایج این پژوهش نشان میدهد امنیت یک فرآیند تکاملی و تدریجی است و سازمان باید تصمیم بگیرد که امنیت داشته باشد و این نیاز حتما باید توسط ارشد سازمان توجه شود . در واقع حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نماییم، عدم تداوم آن هیچ آوردهاي را از نظر امنیتی براي سازمان نخواهد داشت، بنابراین، مهمترین نکته، باور و اعتقاد مدیر عالی سازمان و همچنین حمایت و آموزشهاي لازم براي ایجاد فرهنگ امنیت در سازمان براي پیادهسازي موفق سیستم مدیریت امنیت اطلاعات میباشد.
واژههاي کلیدي: امنیت اطلاعات، چالشهاي پیادهسازي سیستم مدیریت امنیت اطلاعات، طراحی سیستم مدیریت امنیت اطلاعات، پیادهسازي سیستم مدیریت امنیت اطلاعات، سیستمهاي اطلاعاتی
-1 مقدمه
حیات سازمانها ارتباط نزدیکی با سیستمهاي اطلاعاتی آنها دارد. سیستمهاي اطلاعاتی نیز همواره در خطر سرقت اطلاعات، تغییر اطلاعات و ایجاد وقفه در خدماترسانی هستند .[1] تا اوایل دههي هفتاد، فعالیتهاي مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکتها محدود به محلهاي نگهداري این اطلاعات شامل آرشیو اسناد و شبکههاي محلی کامپیوتري بود. در چنین محیطهایی، روشهاي حفاظت فیزیکی امنیت سیستمها و اطلاعات را تا حد بسیار بالایی تامین میکرد. اگر چه مزایاي فضاي تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستمهاي داخلی به شبکههاي خارجی و بینالمللی و ارائه خدمات مبادلهي اطلاعات از طریق این شبکهها خطرات و تهدیدات جدیدي را ایجاد کرده است. مهمترین نگرانیهاي امنیتی مرتبط با سیستمهاي اطلاعاتی شامل دستیابی نفوذگران به سیستمهاي اطلاعاتی و سرقت اطلاعات آنها، ایجاد وقفه و اختلال در ارائه سرویسهاي حیاتی و تغییر یا تخریب اطلاعات میباشند. بدیهی است که در این شرایط روشهاي حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود. لذا سازمانها ناچار از به کار گرفتن روشهاي جدید حفاظت اطلاعات و کنترل دسترسیها به منابع سازمان شدهاند.[2]به منظور حل مسئله امنیت اطلاعات، سازمان نیازمند به کارگیري طیف گستردهاي از دانش، فناوري و قوانین سازمانی است.[5] پرداختن به مقولهي امنیت اطلاعات و ایمنسازي شبکههاي کامپیوتري در سازمان، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی، به جایگاه امنیت اطلاعات و ایمنسازي شبکههاي کامپیوتري میباشد.[6]در سازمانهاي کوچک ممکن است شرایط تامین اطلاعات ساده باشد و هر کس مسئولیت کامپیوتر و فایلهاي خود را بر عهده داشته باشد. با این حال براي گروههاي بزرگتر مثل سازمانهایی که با تراکنشهاي تجاري سرو کار دارند یا گروههایی که از دادههاي محرمانه شهروندان یا مشتریان نگهداري میکنند (مثل شهرداريها)، نیاز به ایجاد سیاستها و روالهاي رسمی امنیتی بیشتر اهمیت پیدا میکند. هنگامی که مدیران و کارمندان موضوع امنیت اطلاعات را مدنظر قرار میدهند، همواره با مسائل مشابهی مواجه خواهند بود. نقش داده و اطلاعات در مدیریت سازمانها، نقش حیاتی و اساسی دارد، هر چه فضاي اطلاعاتی یک سازمان دقیقتر، منسجمتر و سیستماتیکتر باشد، سازمان بهتر میتواند به اهدافش نائل آید. امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره میکند. امنیت به مجموعهاي از تدابیر، روشها و ابزارها براي جلوگیري از دسترسی و تغییرات غیر مجاز در نظامهاي رایانهاي و ارتباطی اطلاق میشود.[3]
از سویی دیگر، با گسترش شبکههاي کامپیوتري و ورود انواع مختلف محصولات سختافزاري، نرمافزاري و ارتباطی، پیچیدگی شبکهها افزایش یافته است. با این پیچیدگی نقاط آسیبپذیري شبکه براي سارقان و
نفوذ کنندهها جهت دستبرد اطلاعات محرمانه از داخل و خارج از سازمان به طور چشمگیري افزایش یافته است. این افزایش در حدي است که دیگر نصب یک محصول امنیتی مانند فایروال یا روتر به تنهایی جوابگوي امنیت اطلاعات و منابع فناوري اطلاعات نیست. طراحی و استقرار سیستم مدیریت امنیت اطلاعات "ISMS" جامعترین راهحل است که به صورت یک سیستم جامع، امنیت اطلاعات و شبکه را تا حد قابل قبول تضمین میکند. سیستم مدیریت امنیت اطلاعات "ISMS" مجموعهاي از سختافزارها، نرمافزارها، سیاستهاي امنیت اطلاعات، روشها و روالهاست که امنیت اطلاعات و منابع فناوري اطلاعات را تا حد قابل قبول سازمان تضمین میکند.[4]
براي سیستم مدیریت امنیت اطلاعات ویژگیهاي گوناگون بیان شده است، براي مثال ذکر شده که باید مدیریت آن متمرکز باشد و واحدها فرآیندهاي مجزا از سایر بخشهاي سازمانی (به ویژه بخش فناوري اطلاعات) داشته باشد، البته باید هماهنگی و همراستایی میان قسمتهاي گوناگون نیز حفظ شود(ارنست جونز 16](2006،.[1 همچنین تاکید شده است که رویکرد صحیح باید تکرار شونده، نظاممند، کامل، سازگار و آسان براي درك، تجزیه و تحلیل باشد ( کوتونیا و سرومرویل، 17]( 1988 ،.[1 ویژگی دیگر آنکه رویکرد مدیریت امنیت، باید تعادلی میان حفاظت اطلاعات و دسترسی مجاز باشد. نکتهي مهم این است که امنیت اطلاعات باید در تمام سطح سازمانی ( راهبردي، تاکتیکی و عملیاتی) مدیریت شود و کنترلهاي لازم پیاده-سازي شوند.[1] به منظور پیادهسازي یک ظرفیت امنیتی موثر، سامانها نیاز به تعیین ضعیفترین نقاط اتصال خود دارند و طراحی یک معماري وسیع امنیتی، جهت تحقق اهداف مدیریت امنیت ضروري است..هدف از ایمن سازي اطلاعات، تضمین جامعیت، محرمانه بودن و دسترسپذیر بودن اطلاعات است .[3]
-1-1 اهمیت و دلایل انتخاب موضوع پژوهش
با توجه به اقتصادهاي ملی مدرن که کاملا براي بقا به فناوري اطلاعات وابسته شدهاند، امروزه نیاز به امنیت اطلاعات و سیستمهاي اطلاعاتی اجتنابناپذیر است. هدف مدیریت امنیت اطلاعات، تضمین تداوم کسب و کار، اطمینان مشتري، حفاظت از فرصتها و سرمایهگذاريهاي کسب و کار و کاهش آسیبهاي کسب و کار بهوسیله جلوگیري و کمینه کردن اثرات حوادث امنیتی است .[5]
دلایل مختلف براي پیادهسازي ISMS و اخذ گواهینامهي ISO27001 در سازمانها عبارتند از :[4]
مشتري / سهامدار- نیازمندي قرارداد / شرط براي دعوت به مناقصه؛ به دلیل حساسیت اطلاعات، ممکن است شرکتی براي عقد هرگونه قرارداد همکاري با شرکت دیگر، آن را ملزم به اخذ این گواهینامه کند.
بازاریابی؛ استاندارد ISO27001 به عنوان یک ابزار رقابتی در بازاریابی محصولات و خدمات محسوب میشود. به عنوان مثال، داشتن این گواهینامه در بازاریابی سرویس جدید براي بانکی که خدماتش را از طریق اینترنت به مشتریانش ارائه میدهد، موثر خواهد بود.
با نمایش گواهینامه ISO27001 به شرکاي تجاري خود به آنها ثابت میکنیم که سازمان متعهد به امنیت اطلاعات است.
ابزار مدیریت داخلی براي کنترل و اطمینان؛ استاندارد ISO27001 ابزار مدیریتی است براي کنترل و تضمین امنیت اطلاعات در سازمان، این کنترلها شامل کارمندان، تجهیزات و غیره میشود.
در این پژوهش ما به دنبال هدف کلیدي زیر هستیم:
چالشهاي پیادهسازي «ISMS» در سازمانها بنابراین سوال اصلی این پژوهش به صورت زیر میباشد:
چالشهاي پیادهسازي سیستم مدیریت امنیت اطلاعات (ISMS) در سازمانها کدامند؟
-2 مبانی و چارچوب نظري تحقیق
-2-1 سیستمهاي اطلاعاتی
بیانهاي مختلف براي تعریف سیستمهاي اطلاعاتی ارائه شده است:
سیستمهاي اطلاعاتی به جمعآوري، پردازش، ذخیره، تحلیل و توزیع اطلاعات با هدفی مشخص می-پردازند.
این سیستمها وروديها را پردازش و به تولید خروجیها میپردازد که از طریق شبکهها یا دیگر سیستمها براي کاربران ارسال نمایند.
سیستمهاي اطلاعاتی مجموعهاي نظامیافته از افراد، دستورالعملها، پایگاه دادهها و تجهیزات است که گزارشات روزمره مورد نیاز مدیران یا (کاربران) را جهت تصمیمگیري ارائه مینماید.
-2-2 امنیت اطلاعات
امنیت از دیرباز یکی از اجزاي اصلی زیرساختهاي فناوري اطلاعات به شمار میرفته است. هدف از امنیت اطلاعات، استفاده از مجموعهاي از سیاستها، راهکارها، ابزارها، سختافزارها، نرمافزارها، براي فراهم آوردن محیطی عاري از تهدید در تولید، پالایش، انتقال و توزیع اطلاعات است .[7]
تهدیدات امنیتی را میتوان در دو مقوله دستهبندي کرد :[7]
تهدیدات فیزیکی: امنیت فیزیکی شامل کنترل ورود و خروج کارکنان به سایتهاي شبکه و همچنین روال-هاي سازمانی و یا بلاهاي طبیعی از قبیل آتشسوزي، زلزله، دزدي و از این قبیل است.
تهدیدات الکترونیک: خطرات الکترونیک غالبا شامل تهدیدات هکرها و نفوذگران داخلی و خارجی در شبکه است.
-2-3 نیازهاي امنیتی اطلاعات
• ارزش هر واحد اطلاعاتی براي مالک آن باید مشخص باشد. بر اساس ارزش واحدهاي اطلاعاتی بایستی آنها را ردهبندي و یک سقف هزینه را براي امنیت آنها تعیین و برچسب رده امنیتی را بر روي آنها نصب کرد.
• تمهیدات لازم اعم از سختافزاري و نرمافزاري براي حفاظت از اطلاعات با اولویت بالاتر فراهم شود.
• سیاستگذاري یکپارچه و سازگار در خصوص امنیت اطلاعات در بخشهاي مختلف مدیریتی یک سازمان اعمال میشود.
• سازوکار و تشکیلات مناسب جهت تطبیق امنیت اطلاعات با پیشرفتهاي تکنولوژي تولید، توزیع و انتقال اطلاعات از یک طرف و تهدیدات جدید از طرف دیگر فراهم شود .[7]
-2-4 عوامل موثر در طراحی سیستم مدیریت امنیت اطلاعات
نیازمنديهاي امنیتی (اهداف کسب و کار): هر سازمانی باید بداند که چه چیز را در برابر چه خطراتی و چرا باید محافظت کند. سازمانها در سطوح حساسیت متفاوتی از یکدیگر قرار دارند و هیچ راه حل ثابتی براي سازمانها وجود ندارد.
رویکرد مورد نظر در سازمان: براي پیادهسازي سیستمهاي مدیریت امنیت، روشها و الگوهاي گوناگون فنی و مدیریتی پیشنهاد شده است، یکی از این روشها رویکرد فرآیند محور است. امنیت اطلاعات در سازمان به یکباره حاصل نمیشود و در واقع امنیت یک فرآیند تکاملی و تدریجی است. این مسئله گاهی با این عنوان که "امنیت یک فرآیند است نه یک محصول" بیان میشود.
اندازه و ساختار سازمان: ISMS یک سیستم مدیریتی و بخشی از ساختار مدیریتی سازمان است. هر قدر سازمان بزرگتر باشد و واحدهاي سازمانی بیشتري در بر داشته باشد، راهاندازي و راهبري ISMS در آن پیچیدهتر خواهد بود. مطالعات نشان داده است که هزینه، زمان و کارکنان بیشتري در یک سازمان بزرگ براي پیادهسازي امنیت نیاز است .[7]
-2-5 مراحل پیادهسازي سیستم مدیریت امنیت اطلاعات
براي طراحی، اجرا و استقرار سیستم مدیریت امنیت اطلاعات""ISMS از چرخهي
"Plan,Do,Check,Act (PDCA)" استفاده میشود .[4]
الف) طراحی: استقرار ISMS شامل تعیین خط مشیها، اهداف، فرآیندها و روالها به منظور مدیریت مخاطرات در راستاي اهداف کسب و کار است. در این مرحله، باید سرمایه اولیهي راهاندازي ISMS، روش-هاي مستند سازي، رویکرد مدیریت مخاطرات و نیز روشهاي اختصاص منابع مشخص شود. در واقع باید اطمینان حاصل شود که محتوا و محدوده ISMS به طور دقیق و مناسب مشخص شده است .[7]
ب) اجرا: در این بخش باید کلیهي کنترلها، عملیاتی شوند. در این مرحله نیاز به رویههایی جهت تشخیص سریع و پاسخگویی به حوادث، وجود دارد. همچنین نیاز است، کلیهي کارمندان و افراد سازمان نسبت به امنیت در سازمان، آگاهی لازم را داشته باشند و آموزشهاي لازم جهت عملکرد مناسب براي برخورد با ریسک و تهدید، ارائه شود .[7]
ج) ارزیابی: هدف از این مرحله، حصول اطمینان از اجراي به موقع کنترلهاي امنیتی و برآورده شدن اهدافی که به دنبال دارند، است. ارزیابی و موثر بودن ISMS در این مرحله انجام میگیرد. اجراي روالهاي ارزیابی، مرور فرآیندها و خط مشیها، انجام بازرسیهاي دورهاي درونسازمانی و برونسازمانی از آن جمله است.
همچنین در این قسمت با استفاده از یکسري ابزار، به تحلیل فایلهاي ثبت وقایع و اطلاعات پرداخته می-شود و نتایج حاصل از آنها، جهت بهبود عملکرد سیستم امنیتی شبکه، استفاده و سپس در سیاستهاي امنیتی شبکه اعمال میشود .[7]
د) اصلاح: بر اساس نتایج مرحلهي ارزیابی میتوان اقدامات اصلاحی را در جهت بهبود ISMS به انجام رساند .[7] در صورت وجود نقص و کمبود در سیستم، تغییرات لازم جهت بهبود سیستم مدیریت امنیت اطلاعات پیادهسازي شده، انجام میگیرد .[4]
-2-6 فناوري امنیت اطلاعات
فناوري امنیت اطلاعات به بهرهگیري مناسب از تمام فناوريهاي امنیتی پیشرفته براي حفاظت از تمام اطلاعات احتمالی روي اینترنت اشاره دارد .[2]
براي شناخت این حوزه مطابق شکل (1) یک طبقهبندي از فناوريهاي امنیت اطلاعات با دو ویژگی زیر ارائه میشود :[2]
(1 بر اساس مرحلهي خاصی از زمان: بدین معنا که در زمان تعامل فناوري با اطلاعات، عکسالعمل لازم در برابر یک مشکل امنیتی میتواند فراکنشی یا پیشدستانه یا واکنشی باشد. منظور از فراکنشی،
انجام عملیات پیشگیرانه قبل از وقوع یک مشکل خاص امنیتی و منظور از واکنشی، انجام عکس-العمل لازم پس از وقوع یک مشکل خاص امنیتی است.
(2 بر اساس سطوح پیادهسازي نظامهاي امنیتی در یک محیط رایانهاي: فناوري امنیت اطلاعات را، خواه از نوع فراکنشی باشد یا واکنشی، میتوان در سه سطح شبکه، سطح میزبان و سطح برنامه کاربردي پیادهسازي کرد. بدین منظور میتوان نظام امنیتی را نیز در همان سه سطح پیاده کرد.
امنیت اطلاعات
واکنشی فراکنشی
سطح کاربرد سطح میزبان سطح شبکه سطح کاربرد سطح میزبان سطح شبکه
کنترل دسترسی کنترل دسترسی کنترل دسترسی پویشگرهاي ضد امنیت سخت سخت افزار
زیست سنجیها ویروس
زیست سنجیها زیست سنجیها رمزنگاري افزار امنیت
واقعه نگاري پویشگرهاي ضد
واقعه نگاري واقعه نگاري امنیت SDK ها شبکه VPN
فایروالها ویروس
فایروالها پروتکلهاي امنیت
فایروالها اسم رمزها امضاي دیجیتال امنیت پروتکلها
اسم رمزها امنیت SDK ها
اسم رمزها آشکارسازي ورود گواهی دیجیتال پویشگر آسیب
آشکارسازي ورود رمزنگاري
غیر مجاز پذیرها
دسترسی از راه غیر مجاز
دور
شکل .1 طبقهبندي فناوري امنیت اطلاعات[2] -2-7 چالشهاي اساسی سازمانهاي ایرانی در پیادهسازي موفق سیستم مدیریت امنیت اطلاعات
اولویت نداشتن امنیت در اهداف و نادیده گرفتن آن در استراتژي سازمان: براي پیادهسازي موفق سیستم مدیریت امنیت اطلاعات باید تمام اجزاي سازمان درگیر شوند. در صورتیکه اجراي این سیستم از اولویتهاي سازمان نباشد و حمایت لازم مدیریت را پشت سر خود نداشته باشد، نمیتوان انتظار موفقیت آن را داشت.
نگاه پروژه محور به پیادهسازي سیستم مدیریت امنیت اطلاعات: در صورتی که نگاه سازمان به مقولهي امنیت اطلاعات پروژه محور باشد و پس از اجراي سیستم و احتمالا اخذ گواهینامه در نگهداري
سیستم و گرداندن دوباره چرخهي PDCA تلاشی صورت نپذیرد، طبیعتا با بروز آسیبپذیريهاي جدید و انجام حملات پیشرفتهتر، امنیت سازمان به مخاطره جدي خواهد افتاد.
عدم وجود الزام براي اجراي کامل سیستم مدیرت امنیت اطلاعات: برخی از سازمانها انجام طراحی و تدوین طرح مقابله با مخاطرات را پایان کار دانسته و هیچ الزامی در خود براي اجراي طرح نمی-بینند.
عدم تمایل به اجراي ممیزي: بسیاري از سازمانها پس از پیادهسازي سیستم مدیریت امنیت اطلاعات، تمایلی براي اجراي ممیزي ندارند. در صورت عدم وجود ممیزي، نه کارفرما و نه پیمانکار آنچنان که باید در انجام وظایف خود اهتمام نخواهند ورزید.
عدم ارائه آموزشهاي لازم به پرسنل: براي انجام بهتر امور و همکاري بیشتر بین طرفین و ایجاد همزبانی لازم ارائه برخی دورههاي آموزشی در سطوح مختلف از مدیریتی تا کارشناسی الزامی است.
عدم آمادگی سازمان براي شروع پروژه: در صورتی که سازمان موارد زیر را انجام نداده باشد در اجراي پروژه با چالشهاي جدي روبرو میشود:
o تعریف قلمرو پروژه از نظر: ساختار سازمانی، جغرافیایی، فناوريهاي مورد استفاده، داراییهاي نرم-افزاري، داراییهاي سختافزاري، داراییهاي مستنداتی و اطلاعاتی، داراییهاي خدماتی، داراییهاي
انسانی
o ساختار سازمانی سازمان و واحدهاي قلمرو پروژه به همراه شرح وظایف
o ماموریت، چشمانداز و اهداف میانمدت قابل سنجش سازمان و واحدهاي قلمرو پروژه o فرآیندهاي مربوط به واحدهاي قلمرو پروژه
o شناسایی ذینفعان مختلف
o الزامات و تعهدات سازمان در زمینه امنیت اطلاعات که از مراجع بالادستی ابلاغ شده و یا در قراردادها تعهد شدهاند
o برگزاري دورههاي آموزشی مرتبط براي پرسنل سلزمان
کمبود نیروي متخصص در زمینه امنیت اطلاعات و عدم تعیین افراد متخصص اجراي پروژه در سازمان
عدم همکاري و هماهنگی واحدهاي درگیر پروژه در سازمان
سازماندهی نامناسب پروژه
تقلیل مفهوم ISMS به پروژه امنیت شبکه: مفهوم ISMS بسیار فراتر از امنیت شبکه است و تقلیل آن
به امنیت شبکه باعث تقلیل اثرگذاري آن و عدم امکان صدور گواهینامه ISO27001 میشود. عدم بلوغ فناوري اطلاعات: در صورتی که سازمان به سطح بلوغ مناسبی از نظر فناوري اطلاعات و
همسوئی آن با اهداف و استراتژي سازمانی نرسیده باشد، مشکلات زیادي بین فناوري اطلاعات و مدیرت ارشد سازمان به وجود آمده که بر کلیه سیستمهاي مدیریتی از جمله مدیریت امنیت اطلاعات تاثیر نامطلوب خواهد گذاشت .[8]