بخشی از مقاله
چکیده - فارسی -
با رشد و توسعه فناوری اطلاعات، خدمات بانکداری الکترونیک نیز روز به روز توسعه یافته و فرصت های جدیدی را برای بانک ها بوجود آورده تا از طریق آن به مشتریان خدمت رسانی نمایند. با این وجود و با رشد روز افزون فناوری های مرتبط، مبحث امنیت در بانکداری موجب روند کند گسترش این نوع از خدمات بوده است. در واقع می توان اینطور بیان نمود که تجارت الکترونیک بدون تامین امنیت اطلاعات معنایی ندارد. برای تأمین امنیت اطلاعات در یک سازمان فقط تأمین تجهیزات سخت افزاری و نرمافزاری کافی نیست بلکه لازم است فرآیندهای مرتبط با امنیت اطلاعات در سازمان نیز اصلاح شوند. به عبارت دیگر امنیت اطلاعات با فرآیند تأمین میشود و نه فقط با محصولات. سیستم مدیریت امنیت اطلاعات - ISMS - ، سیستمی برای پیاده سازی کنترل های امنیتی می باشد که با برقراری زیرساخت های مورد نیاز ایمنی اطلاعات را تضمین می نماید که با وجود تب شدید استفاده از ISMS در سازمان ها، هنوز چالش های مدیریتی و فنی بسیاری در پیاده سازی این استاندارد وجود دارد. این مقاله به بررسی چالش های موجود در این حوزه و همچنین ارائه راهکارهایی در این رابطه می پردازد.
کلمات کلیدی: ISMS، بانکداری الکترونیک، سیستم مدیریت امنیت اطلاعات، استانداردهای امنیتی، امنیت اطلاعات، تجارت الکترونیک.
.1 مقدمه
لازم به تکرار نیست که در دنیای امروز، فناوری اطلاعات حرف اول را در توسعه کشورها می زند. اما این نکته را نیز نباید از خاطر ببریم که IT یک سکه دو روست یعنی هم فرصت است و هم تهدید. اگر همانقدر که به توسعه آن توجه می کنیم به "امنیت" آن توجه لازم را نداشته باشیم، می تواند موجب خسارات فراوانی گردد که شاید جبران کردن آن به زمان بسیار زیادی نیاز داشته باشد. از این رو خصوصا امروزه که IT در تمام جنبه های زندگی ما نفوذ کرده فرآیند امن سازی سازمان ها اهمیت دو چندان می یابد.هم زمان با پیشرفت IT، تهدیدات و مخاطرات نیز به طور چشم گیری افزایش می یابد و مخاطرات بالقوه و جدیدی دارایی های اطلاعاتی مشتریان و بانک ها را تهدید می کند.
مخصوصا زمانی که پرداخت ها از طریق تلفن همراه و اینترنت انجام می شود، دقت و امنیت اطلاعات به امری حیاتی تبدیل می شود.[8]امنیت اطلاعات زمانی محقق می شود که سه شاخص اصلی دسترس پذیری اطلاعات، یکپارچگی اطلاعات و محرمانگی اطلاعات مهیا شود. از این سه شاخص تحت عنوان مثلث امنیت اطلاعات یاد می شود. این مثلث در حالت بهینه باید متساوی الاضلاع باشد به این معنی که محرمانگی اطلاعات نباید تا حدی باشد که دسترس پذیری نقض شود و یا دسترس پذیری به اطلاعات نباید باعث این شود که محرمانگی اطلاعات نقض گردد.[7]
oمحرمانگی: اطمینان از این امر که اطلاعات تنها توسط افرادی قابل دسترسی می باشند که اجازه دسترسی به آن را داشته باشند.
oصحت:تأمینِ دقت، درستی و تمامیت - کامل بودن - اطلاعات و شیوه های پردازشی.
oدسترس پذیری: اطمینان از اینکه کاربران، به هنگام نیاز، به اطلاعات و دارائی های مرتبط با آن، دسترسی داشته باشند.[16]
به طور کلی می توان فرآیند امن سازی را در 4 شاخه اصلی طبقه بندی کرد:
-1 امنیت در رایانه ها -2 امنیت در شبکه ها -3 امنیت در سازمان ها -4 امنیت کاربران
و همچنین علل بروز مشکلات امنیتی را می توان در سه مقوله ضعف فناوری - ضعف پروتکل TCP/IP ، ضعف سیستم عامل، ضعف تجهیزات شبکه ای و ... - ، ضعف پیکربندی - رمز عبور ساده، تعریف سطح دسترسی غیر ایمن کاربران و. .. - و ضعف سیاست ها - عدم وجود یک سیاست امنیتی مکتوب، رها کردن مدیریت امنیت شبکه به حال خود، عدم وجود برنامه ای مدون جهت برخورد با حوادث غیر مترقبه و ... - مشاهده نمود.شاید استفاده از سیستم امنیت اطلاعات به نظر سخت آید اما به کارگیری آن لازم و ضروری است. استقرار این نظام باعث ایجاد حساسیت و کنترل بهتر جهت حفظ محرمانگی اسرار یک سیستم است و در آن نقش آموزش و برنامه ریزی کلان جهت نیروهای انسانی و جلوگیری از حوادث اطلاعاتی بسیار موثر است که این موضوع به جز با حمایت مدیران یک مجموعه امکان پذیر نمی باشد.
برای اینکه بتوانیم حمایت مدیران را جهت برقراری امنیت اطلاعات جلب کنیم بهتر است سیستمی مناسب را ارایه نماییم تا حمایت آنان را برای تقویت امنیت اطلاعات به دست آوریم و در این راستا سیستم مدیریت امنیت اطلاعات - ISMS - یک سیستم مناسب و استاندارد برای این امر می باشد.ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات است و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
براساس تبصره 3 ماده 46 قانون برنامه پنجم، تدوین نظام پایش شاخص های فناوری اطلاعات و ارتباطات اجرایی و توسط وزارت ارتباطات و فناوری اطلاعات عملیاتی شده است تا شاید پایانی بر آمارهای متفاوت و بحث برانگیز در حوزه های مختلف فناوری اطلاعات در کشور باشد. در راستای این همکاری، شاخصها، انواع فرمولهای محاسباتی، مقررات و روشهای اجرایی پیشنهادی سازمان فناوری اطلاعات ایران بررسی و تدوین و به آمارهای ملی تبدیل می شود.نظام پایش در مرداد ماه سال 92 تدوین و به دستگاه های مرتبط ابلاغ گردید. نتایج به دست آمده از این پایش نیز باید هر سال به دولت و مجلس گزارش شود.
اولین شاخص در بخش "گسترش و امنیت فضای تولید و تبادل اطلاعات"، بحث نسبت دستگاه های اجرایی است که ISMS در آن ها پیاده سازی شده است که نشان از توجه به اهمیت بحث سیستم های مدیریت امنیت اطلاعات نزد برنامه ریزان و مسئولین دارد. به عبارت دیگر، بیش از سه هزارو پانصد مجموعه دولتی باید در چارچوب فرآیند ISMS قرار گیرند وچیدمان و المانهای IT آنها بر اساس نظام یکپارچهای تنظیم شود.با وجود اینکه کارهای بسیاری در زمینه ISMS صورت گرفته اما هنوز مسائل و مشکلات بسیاری از جمله استقرار ISMS به صورت یک فرایند خطی و منظم ،الویت نداشتن امنیت در سازمان، نگاه پروژه محور به ISMS، عدم وجود الزام برای اجرایISMS، پیش زمینه و فرهنگ سازمانی، عدم تمایل به اجرای ممیزی، عدم آموزش لازم پرسنل و ...وجود دارد.
با توجه به اهمیت استاندارد ISMS در بحث امنیت بانکداری و همچنین کمبود ادبیات تحقیق در این زمینه در داخل کشور، این مقاله تلاش می کند که چالش ها و عوامل موثر در مدیریت و پیاده سازی هر چه بهتر این استاندارد را شناسایی و عنوان نماید.در بخش بعدی پژوهش ابتدا به معرفی استانداردهای خانواده ISMS می پردازیم و ارتباط بین استانداردها را مشخص می نماییم، در بخش سوم پیشینه تحقیق را یادآور می شویم و در بخش چهارم به چالش ها و راهکارها و پیشنهادات مرتبط در پیاده سازی ISMS در بانکداری می پردازیم و در نهایت به نتیجه گیری ختم می شود .
.2 استانداردهای ISMS
موسسات ISO و IEC از موسسات بین المللی تدوین استاندارد در سطح جهانی می باشند که کمیته مشترکی را با نام JTC1 برای تدوین استانداردها تشکیل داده اند.استانداردهای خانواده ISMS برای کمک به سازمانها از هر نوع و اندازه ، به منظور پیاده سازی و بهره برداری از ISMS در نظر گرفته شده است. این استانداردها شامل موارد زیر و با عنوان عمومی فناوری اطلاعات فنون امنیتی است:
1.ISO/IEC 27000، سامانه های مدیریت امنیت اطلاعات -مرور کلی و واژگان
2.استاندارد ملی ایران به شماره 27001 ، سامانه های مدیریت امنیت اطلاعات - الزامات
3.استاندارد ملی ایران به شماره 27002 ، آیین کار مدیریت امنیت اطلاعات
4.استاندارد ملی ایران به شماره 27003 ، راهنمای پیاده سازی سامانه مدیریت امنیت اطلاعات
5.ISO/IEC 27004، مدیریت امنیت اطلاعات- سنجش
6.ISO/IEC 27005، مدیریت مخاطرات امنیت اطلاعات
7.استاندارد ملی ایران به شماره 27006، الزامات نهادهای ارائه دهنده خدمات ممیزی و صدور گواهی سامانه های مدیریت امنیت اطلاعات
8.ISO/IEC 27007، راهنمای ممیزی سامانه های مدیریت امنیت اطلاعات
9.استاندارد ملی ایران به شماره 27011، راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی مبتنی برISO/IEC 27002