بخشی از مقاله
چکیده
امروزه اطلاعات به عنوان یکی از با ارزشترین داراییها و منابع سازمانها برای رقابت و کسب مزیت های رقابتی محسوب میشود و امنیت اطلاعات خود یک دغدغه و معضل دنیای دانایی محور شده است. لذا پرداختن به موضوع امنیت اطلاعات امری ضروری و اجتناب ناپذیر است.
کلید حل برخی مشکلات امنیت اطلاعات در دنیای صفر و یکی امروز توجه بیشتر و اعتماد به حاصل تلفیق علم، فناوری و تجربه به نام استاندارد است. این بار استاندارد ISO/IEC 27001 با نگرش جامع و کامل به مقوله امنیت، سکاندار ایجاد امنیت در سازمانها شده است. اما مساله قابل بحث این است که آیا سازمانها قادر به پیاده سازی و استقرار موفق این استاندارد و تضمین تداوم امنیت اطلاعات خود هستند؟تجربه نشان داده است که در کشور ما علیرغم الزامات ضمنی و قانونی، سازمانهای اندکی موفق به استقرار کامل و موثر سیستم مدیریت امنیت اطلاعات شدهاند.
با بررسی موانع و مشکلات پیادهسازی سیستم مدیریت امنیت اطلاعات میتوان به تاثیر متدلوژی انتخاب شده در پیاده سازی سیستم پی برد. بطور کلی متدلوژی استقرار ، رویکرد سازمان، مراحل و گام های اجرا، زمانبندی و نقاط عطف پیاده سازی، نقش ها و مسوولیت های کلیدی، جریان و توالی فعالیتها را بیان میکند.
در این مقاله پس از بررسی اجمالی مفاهیم اساسی مطرح در موضوعات سیستم مدیریت امنیت اطلاعات5 و استاندارد مبنا، به معرفی و بررسی متدلوژیهای متداول در پیاده سازی سیستم مدیریت امنیت اطلاعات پرداخته و ضمن مقایسه و بیان مشکلات آنها، راهکاری برای حل برخی از موانع پیاده سازی سیستم مدیریت امنیت اطلاعات موثر و پایدار پیشنهاد خواهد شد.
1 مقدمه
امروزه با بهکارگیری گسترده از خدمات فنآوریاطلاعات در سازمانها، میتوان گفت که اغلب سازمانها با یکی از حوادث و یا مشکلات امنیت اطلاعات نظیر آلودگی به ویروسها و نرمافزارهای مخرب، دسترسی غیرمجاز افراد بدون صلاحیت به دادههای حساس سازمان، قطعی و یا کندی شبکههای اطلاعاتی، عدم تطابق و صحت اطلاعات در برنامههای کاربردی و غیره مواجه میباشند.
وابستگی به خدمات و سیستمهای اطلاعاتی بدان معنی است که سازمانها بیشتر در معرض تهدیدهای امنیتی قرار دارند. اما راهکار مقابله با این مشکلات چیست؟ امنیت اطلاعات فراتر از نصب نرمافزار ضدویروس و یا پیکرهبندی یک دیوارهآتش یا حتی نصب سیستمهای تشخیص و پیشگیری از نفوذ میباشد.
مخاطرات امنیت اطلاعات همواه با عدم قطعیت همراه بوده و مدیران سازمانها تا با یک حادثه امنیت اطلاعات مواجه نشوند عمولاً توجهی به آن ندارند. پیچیدگی و تعداد رو به فزونی سیستمها، فراهم آوردن محیط پردازش، ذخیره و انتقال امن اطلاعات را دشوار میسازد. مساله امنیت اطلاعات بسیار پیچیده است، معمولاً در فرآیند توسعه سیستمها تمایل زیادی برای نادیده گرفتن و صرفنظر کردن از مدلسازیهای امنیتی دیده میشود
در چند سال گذشته، با توجه به آگاهی به مخاطرات و حتی در بعضی موارد پرداخت هزینههایی سنگین برای بازیابی از تهدیدات امنیت اطلاعات در شرایطی که راهحلهای مناسب قبل از آن اندیشیده نشده بود، جستجو برای راهکارهای مقابله و مدیریت این مخاطرات آغاز شده است. در همین راستا در سال 1383 شاهد انتشار بخشنامهای از سوی شورای عالی امنیت فضای تبادل اطلاعات کشور بوده ایم که طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات بر مبنای استاندارد ISO/IEC 27000:2005 را به کلیه سازمانهای دولتی توصیه کرده است.
2 امنیت اطلاعات
امنیت به معنای دور بودن یا محفوظ ماندن از خطرات می باشد. کنترلهای مورد نیاز برای تامین امنیت اطلاعات به سه دسته امنیت فیزیکی - استفاده از قفلها، نگهبانها، علایم و ... - ، امنیت فنی - عملیات یا برنامه های کاربردی، تمهیدات سختافزاری و نرم افزاری و ... - و امنیت مدیریتی - محدودیتهای مدیریتی، رویههای عملیاتی، رویههای رویدادنگاری و ... - تقسیم میشوند.
پیشرفتهای بسیار سریع در زمینه کامپیوترها و شبکه های کامپیوتری در سالهای اخیر سبب پیچیدهتر شدن مقوله ایجاد امنیت شده است. در نتیجه مدیران باید امنیت را در یک مقیاس بسیار وسیعتر تامین و مدیریت کنند. وظیفه مدیر امنیت اطلاعات، برقراری یک برنامه امنیت است که سه نیاز: محرمانگی1، جامعیت2 و دسترسپذیری3 منابع اطلاعاتی سازمان را مورد توجه قرار دهد
بطور کلی امنیت اطلاعات از شش وجه، یعنی دسترسی فیزیکی، نیروی انسانی، سیستم عامل، دادهها، برنامههای کاربردی و شبکه قابل بررسی میباشد.
3 استاندارد و امنیت اطلاعات
استاندارد، مدرکی - سندی - است در برگیرنده قواعد، راهنماییها یا ویژگیهایی برای فعالیتها یا نتایج آنها بمنظور استفاده عمومی و مکرر که از طریق اجماع ایجاد شده و مورد تصویب سازمان شناخته شده - دارای صلاحیت - قرار گرفته باشد و هدف آن دستیابی به میزان مطلوبی از نظم در یک زمینه خاص است. استاندارد باید مبتنی بر نتایج تثبیت شده علم، فناوری و تجربه بوده و به ارتقا منافع جامعه کمک کند
توجه روزافزون به مباحث مدیریت امنیت اطلاعات از طریق برقراری قوانین و ضوابط ملی/منطقه ای/بین المللی و همچنین توجه به راهبردهای جدید به منظور پاسخگویی به انتظارات و الزامات طرف های ذینفع نسبت به اطمینان از امنیت و ایمنی شبکه ها و سیستم های اطلاعاتی، باعث پدید آمدن استانداردهایی برای ایجاد، پیادهسازی، حفظ و ممیزی سیستم های مدیریت امنیت اطلاعات شده است
در سال 1993 اولین گروه های کاری صنایع برای انسجام بخشیدن و سیستماتیک کردن مدیریت امنیت اطلاعات تشکیل شده و استانداردهای BS-7799-1 و BS-7799-2 در سال 1999 منتشر شدند. در سال 2000 استاندارد ISO/IEC 17799 جایگزین استاندارد BS-7799-1 شد.در سال 2002 ویرایش جدید استاندارد BS-7799-2 منتشر شد. 7] و [6 در سال 2005 نگرش جامعتری نسبت به استاندارد مدیریت امنیت اطلاعات شکل گرفت و منجر به معرفی خانواده استاندارد 27000 شد. به همین منظور استاندارد ISO/IEC 27001 جایگزین استاندارد BS-7799-2 شد.
استاندارد ISO/IEC 17799 در سال 2007 به ISO/IEC 27002 تغییر نام داد
4 معرفی استاندارد ISO/IEC27001
استاندارد ISO/IEC27001 یک مجموعه جامع از کنترلها است که حاصل بهترین تجارب در مورد امنیت اطلاعات میباشد. این استاندارد بصورت بینالمللی به رسمیت شناخته شده است و شامل 11 حوزه، 39 منظور مدیریتی و بیش از 133 کنترل امنیتی به منظور اقدامات بازدارنده و نظارتی و بیش از 500 زیر کنترل میباشد. حوزه های یازدهگانه استاندارد عبارتند از: خط مشی امنیتی، سازمان امنیت اطلاعات، مدیریت دارائی، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات و ارتباطات، کنترل دسترسی، تهیه، توسعه و نگهداری سیستم های اطلاعاتی، مدیریت حوادث امنیت اطلاعات، مدیریت تداوم کسب و کار، انطباق .
این استاندارد دیدگاه فرایند گرا را برای ایجاد، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات انتخاب کرده است. مدل اعمال شده بر کلیه فرآیندهای سیستم مدیریت امنیت اطلاعات شامل
چرخه ای مستمر - شکل - - - 1 و متشکل از 4 مرحله زیر است:
شکل : - 1 - استفاده از چرخه PDCA در فرایندهای سیستم مدیریت امنیت اطلاعات
- 1 طرحریزی1 - ایجاد سیستم مدیریت امنیت اطلاعات - : در این مرحله از چرخه بهبود، باید خطمشی امنیتی، اهداف، مقاصد، فرآیندها و روشهای اجرایی مرتبط با مدیریت مخاطرات و بهبود امنیت اطلاعات، بهگونهای ایجاد شوند تا نتایج مطلوبی در چارچوب اهداف و خط مشیهای کلی سازمان بهدست آید.
- 2 اجرا2 - پیاده سازی و اجرای سیستم مدیریت امنیت اطلاعات - : در این مرحله باید خط مشیهای امنیتی، کنترل ها و فرآیندهای لازم در جهت بهبود امنیت اطلاعات پیاده سازی و اجرا شوند.
- 3 بررسی3 - پایش و بازنگری سیستم مدیریت امنیت اطلاعات - : در این مرحله باید بر اساس خطمشیهای امنیتی، اهداف و فعالیتهای عملی انجام گرفته در جهت ایجاد امنیت اطلاعات، ارزیابیهای لازم برای اندازهگیری اثربخشی فرآیندها، پیادهسازی صحیح کنترلها در سیستم و چگونگی انجام گرفتن فعالیتها صورت گیرد و در نهایت گزارشی از عدم انطباقها برای بازنگری دوباره فرآیندهای صورت گرفته، تهیه شود.
- 4 اقدام - 4 نگهداری و بهبود سیستم مدیریت امنیت اطلاعات - : در این مرحله باید فعالیتهای پیشگیرانه و اصلاحی بر مبنای نتایج بازخورهای مناسب انجام گیرد
