بخشی از مقاله
چکیده
امروزه اطلاعات نقش سرمایه یک سازمان را ایفا میکند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن است. سیستم مدیریت امنیت اطلاعات حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت اطلاعات و در دسترس بودن اطلاعات تعریف مینماید. یکی از مشکلات عمده در پیاده سازی سیستم مدیرت امنیت اطلاعات عدم پیروی از یک روش استاندارد می باشد.
دراین تحقیق سعی برآن است تا فرصتها و چالشهای پیاده سازی سیستم مدیریت امنیت اطلاعات با استفاده از روش مهاری مورد بررسی قرار گیرد.روش تحقیق حاضر، توصیفی- پیمایشی و از نظر هدف، کاربردی است. نتایج تحقیق نشان میدهد که استفاده از روش مهاری تاثیر بسزایی در کاهش هزینه پیاده سازی سیستم مدیریت امنیت اطلاعات داشته ونیاز به نیروی انسانی خبره کمتری دارد؛ پیاده سازی ISMS را در سازمان ساده تر نموده و نگرانی از عدم توجه به تمامی زوایای امنیتی سازمان را کاهش می دهد؛ همچنین استفاده از این روش انگیزه بیشتری در مدیرسازمان جهت پیاده سازی سیستم مدیریت امنیت اطلاعات ایجاد می کند.
1 مقدمه
کشور فرانسه با انجام مأموران ارشد اطلاعات6 و مدیران ریسک نیز که با چالش های مشابهی روبرو هستند، می توانند از آن بهره ببرند. اولین هدف مهاری فراهم کردن یک روش ارزیابی و مدیریت در حوزه ی امنیت اطلاعات است که منطبق با نیازمندیهای ISO/IEC 27005:2008 باشد و مجموعه ای از ابزارها و عناصر مورد نیاز برای پیاده سازی آن را فراهم نماید. دیگر اهداف عبارتند از:
. امکان تحلیل مستقیم و یک به یک وضعیت های ریسک با استفاده از سناریو ها
. تدارک مجموعهای از ابزارها به منظور طراحی مدیریت امنیت ، در قالب بازه های کوتاه، متوسط و بلند مدت به طوری که با سطوح مختلف بلوغ سازمانی و همچنین اقدامات و فعالیت های مختلف سازگار باشد.
-2 معرفی روش مهاری
به طور واضح، اصلی ترین رویکرد مهاری، ارزیابی و کاهش ریسک است. پایگاه ها ی دانش آن، مکانیزم های آن و همچنین ابزارها به منظور همین هدف ایجاد شده اند . همچنین، در ذهن طراحان این مجموعه متدلوژی، نیاز به یک روش ساخت یافته برای تحلیل و کاهش ریسک با توجه به سازمان می تواند به صورت یکی از موارد زیر باشد:
. یک روش دائمی - راهنمایی برای یک گروه تخصصی
. یک روش کاری قابل استفاده به صورت موازی با دیگر روش های مدیریت امنیت
. یک روش کاری قابل استفاده بصورت گهگاه برای تکمیل روشهای معمول.
با درنظر گرفتن این موضوع ، مهاری مجموعه ای از رهیافت ها و ابزار ها را فراهم می کند تا در هر زمان که نیاز بود، بتوان تحلیل ریسک را انجام داد. متدلوژی مهاری به همراه پایگاههای دانش آن، راهنماها و مستنداتی که ماژولهای مختلف - ذینفعان، ریسکها، آسیب پذیری ها - را تشریح می کنند به منظور کمک به افرادی است که وظایف و فعالیتهایشان در جایگاه مدیریت امنیت - مأموران ارشد امنیت ،مدیران ریسک، ممیزان، مأموران ارشد اطلاعات و ... - قرار دارد.
1-2 مهاری و استاندارد های ISO/IEC 27000
سوالی که ممکن است مطرح شود اینست که ارتباط مهاری با استانداردهای بین المللی به ویژه سری ISO/IEC 27000 چگونه است؟
1-1-2 سازگاری با استاندارد ISO/IEC 27002:2005
اهداف کنترلی یا همان به روش ها در ISO به صورت معیارهای عمومی، رفتاری یا سازمانی بوده و این در حالی است که در مهاری علاوه بر آنها، تأکید بر روی معیارهایی است که بتوان اثربخشی آنها را تضمین کرد. علیرغم این تفاوت ها، بازنگری آسیب پذیری های مهاری یک جدول متناظر فراهم می کند که شاخص هایی را همسو با استاندارد ISO/IEC 27002:2005 مشخص می کند که برای افرادی که میخواهند سازگاری خود را با این استاندارد بیان کنند بکار می رود .
2-1-2 سازگاری با استاندارد ISO/IEC 27001
مهاری به آسانی با فرآیند های چرخه ی PDCA - طرح ریزی اجرا بازبینی اقدام - همانطور که در استاندارد ISO/IEC 27001 به ویژه در فاز طرح ریزی، اشاره شده است قابل یکپارچه سازی است. مهاری به صورت کامل، پوشش دهنده ی مشروح وظایفی است که به منظور ایجاد زیربنای سیستم مدیریت امنیت اطلاعات مورد نیاز است. مهاری برای فاز اجرا که به منظور پیاده سازی و راهبری سیستم مدیریت امنیت اطلاعات است، عناصر شروع کننده ای مانند ساخت طرح های مدیریت ریسک را فراهم کرده است که به طور مستقیم با گروه بندی ریسک ها و تمهیدات بهبود مرتبط بوده و دارای اولویت هستند.
برای فاز بازبینی ،مهاری عناصری را تدارک دیده است که ارزیابی ریسک های باقیمانده و بهود در تمهیدات امنیتی را میسر می کند. علاوه بر این، هر تغییری در محیط - ذینفعان، تهدیدات، راهکارها و سازمان - می تواند مجددا توسط همان ممیزیهایی که در ابتدا از نتایج مهاری حاصل شده است باز ارزیابی شوند. بنابراین، طرحهای امنیتی با گذشت زمان می توانند بهبود داده شده و تکامل یابند. برای فاز اقدام ، مهاری صراحتا کنترلها و بهبودهای امنیت مستمر را معرفی کرده است تا بدین ترتیب، اطمینان حاصل شود که اهداف کاهش ریسک برآورده شده اند .در این سه فاز، علیرغم اینکه مهاری در قلب این فرآیندها نیست، کمک شایانی به اجرا و اطمینان از کارایی آنها می کند.
3-1-2 سازگاری با استاندارد ISO/IEC 27005:2008
چارچوبی که توسط این استاندارد تنظیم شده است می تواند به صورت کامل توسط مهاری برای مدیریت ریسک ها بکارگرفته شود، برای مثال:
. فرآیند های تحلیل، ارزیابی و مقابله با ریسک - برگرفته از ISO
. شناسایی دارایی های اولیه و ثانویه به همراه طبقه بندی سطوح مرتبط با آنها بعد از تحلیل ذینفعان
. شناسایی تهدیدات به همراه سطح آنها که در آن مهاری دقت عمل بیشتری برای مشخص کردن سناریوهای ریسک دارد
. شناسایی و تعریف کارایی تمهیدات امنیتی - یا کنترل ها - در کاهش آسیب پذیری ها
. ترکیب این عناصر به منظور ارزیابی شدت سناریو های ریسک در مقیاسی با چهار سطح
. توانایی انتخاب مستقیم معیارهای امنیتی که برای طرحهای مقابله با ریسک بکار میروند.
بنابراین مهاری نه تنها به آسانی با فرآیندهای سیستم مدیریت امنیت اطلاعات که در ISO/IEC 27001 مشخص شده اند ،یکپارچه سازی می شود، بلکه کاملا با الزامات ISO/IEC 27005 به عنوان یک روش مدیریت ریسک سازگار است.
2-2 پایگاه دانش MEHARI
پایگاه دانش مهاری در یک فایل excel بصورت open source قرار گرفته و قابل دسترس همگان است - شکل. - 1 این پایگاه دانش شامل 14 پرسشنامه با موضوعات: ساماندهی امنیت ، امنیت سایتها ،امنیت ساختمان و محیط ، شبکه توسعه یافته WAN ، شبکه محلی LAN ، عملیات شبکه ، امنیت و معماری سیستمها ، محیط تولید IT ، امنیت برنامه های کاربردی ، امنیت پروژه های برنامه های کاربردی ، حفاظت از تجهیزات کاری کاربران ، عملیات ارتباطات ، فرایندهای مدیریت و مدیریت امنیت اطلاعات می باشد.
