منبع: http://www.takfa.ir/portal/Homeمقدمهدر حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساخت‌هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي اشاره نمود. بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساخت‌هائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت‌هاي امنيت فضاي تبادل اطلاعات در کشور مي‌باشد. از سوي ديگر، وجود زيرساخت‌هاي فوق، قطعا تاثير بسزائي در ايمن‌سازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت. صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه‌هاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه‌ها شده و کاهش اعتبار اين دستگاه‌ها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي، ضروري به نظر مي‌رسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاه‌هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت. سيستم مديريت امنيت اطلاعات (ISMS)با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:1- تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان3- اجراي طرح‌ها و برنامه‌هاي امنيتي سازماندر حال حاضر، مجموعه‌اي از استانداردهاي مديريتي و فني ايمن‌سازي فضاي تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد از برجسته‌ترين استاندادرها و راهنماهاي فني در اين زمينه محسوب مي‌گردند. در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:1- تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان2- جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله3- ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان4- ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان5- کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان مروري بر استانداردهاي مديريت امنيت اطلاعاتاستانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از: · استاندارد مديريتي BS7799 موسسه استاندارد انگليس· استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد · گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارددر اين بخش، به بررسي مختصر استانداردهاي فوق خواهيم پرداخت. استاندارد BS7799 موسسه استاندارد انگليساستاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد. بخش اولدر اين بخش از استاندارد، مجموعه کنترل‌هاي امنيتي موردنياز سيستم‌هاي اطلاعاتي و ارتباطي هر سازمان، در قالب ده دسته‌بندي کلي شامل موارد زير، ارائه شده است:1- تدوين سياست امنيتي سازماندر اين قسمت، به ضرورت تدوين و انتشار سياست‌هاي امنيتي اطلاعات و ارتباطات سازمان ، بنحوي که کليه مخاطبين سياست‌ها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياست‌هاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است.2- ايجاد تشکيلات تامين امنيت سازمان در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليت‌هاي هر يک از سطوح، ارائه شده است.3- دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازمدر اين قسمت، ضمن تشريح ضرورت دسته‌بندي اطلاعات سازمان، به جزئيات تدوين راهنماي دسته‌بندي اطلاعات سازمان پرداخته و محورهاي دسته‌بندي اطلاعات را ارائه نموده است.4- امنيت پرسنليدر اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بکارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از مسئوليت‌هاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده است.5- امنيت فيزيکي و پيرامونيدر اين قسمت، اهميت و ابعاد امنيت فيزيکي، جزئيات محافظت از تجهيزات و کنترلهاي موردنياز براي اين منظور، ارائه شده است.6- مديريت ارتباطاتدر اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر يک از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستم‌ها، محافظت در مقابل نرم‌افزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبان‌گيري از اطلاعات، مديريت شبکه، محافظت از رسانه‌ها و روالها و مسئوليت‌هاي مربوط به درخواست، تحويل، تست و ساير موارد ‌تغيير نرم‌افزارها ارائه شده است.7- کنترل دسترسي در اين قسمت، نيازمنديهاي کنترل دسترسي، نحوه مديريت دسترسي پرسنل، مسئوليت‌هاي کاربران، ابزارها و مکانيزم‌هاي کنترل دسترسي در شبکه، کنترل دسترسي در سيستم‌عاملها و نرم‌افزارهاي کاربردي، استفاده از سيستم‌هاي مانيتورينگ و کنترل ‌دسترسي در ارتباط از راه دور به شبکه ارائه شده است.8- نگهداري و توسعه سيستم‌هادر اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستم‌ها، امنيت در سيستم‌هاي کاربردي، کنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز در توسعه و پشتيباني سيستم‌ها، ارائه شده است.9- مديريت تداوم فعاليت سازماندر اين قسمت، رويه‌هاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدوين طرح‌هاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرح‌هاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.10- پاسخگوئي به نيازهاي امنيتي در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياست‌هاي امنيتي موردنياز و ابزارها و مکانيزم‌هاي بازرسي امنيتي سيستم‌ها، ارائه شده است.