Borna66
05-04-2009, 11:54 PM
چکيده: نياز روزافزون به استفاده از فناوريهاي نوين در عرصه اطلاعات و ارتباطات، ضرورت استقرار يک نظام مديريت امنيت اطلاعات را بيش از پيش آشکار مينمايد . در اين مقاله ضمن اشاره به برخي از ويژگيهاي اين نظام مديريتي به معرفي استاندارد بينالمللي موجود در اين زمينه و نحوه رويکرد مناسب به آن اشاره شده است . در خاتمه نيز برخي از مزاياي استقرار يک نظام مديريت امنيت اطلاعات را برشمردهايم .
مقدمه
امروزه شاهد بکارگيري تجهيزات الکترونيک و روشهاي مجازي در بخش عمدهاي از فعاليتهاي روزمره همچون ارائه خدمات مديريت و نظارت و اطلاعرساني هستيم . فضايي که چنين فعاليتهايي در آن صورت ميپذيرد با عنوان فضاي تبادل اطلاعات شناخته ميشود. فضاي مذکور همواره در معرض تهديدهاي الکترونيک يا آسيبهاي فيزيکي از قبيل جرايم سازمان يافته بهمنظور ايجاد تغيير در محتوا يا جريان انتقال اطلاعات ، تخريب بانکهاي اطلاعاتي، اختلال در ارائه خدمات اطلاعرساني يا نظارتي و نقض حقوق مالکيت معنوي است.
از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبکههاي ارتباطي، آسيبپذيري فضاي تبادل اطلاعات افزايش يافته است و روشهاي اعمال تهديدهاي يادشده گستردهتر و پيچيدهتر ميشود . از اينرو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب ميشود. بهموازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضاي تبادل اطلاعات در امور مديريتي و اطلاعرساني تجديد نظر شده و فرهنگ صحيح بکارگيري امکانات يادشده نيز در سطح جامعه ترويج شود .
بديهي است که توجه نکردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوله مانع از گسترش فضاي مذکور در ميان آحاد جامعه و جلب اعتماد مديران در بکارگيري روشهاي نوين نظارتي و اطلاعرساني خواهد شد . ايجاد يک نظام منسجم در سطح ملي با لحاظ کردن ويژگيهاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يک ضرورت است. برخي از اين ويژگيها بهقرار زير است:
_ امنيت فضاي تبادل اطلاعات مفهومي کلان و مبتني بر حوزههاي مختلف دانش است .
_ امنيت با توجه به هزينه و کارايي تعريف ميشود و مقولهاي نسبي است .
_ امنيت متأثر از مجموعه آداب، سنن و اخلاقيات حاکم بر جامعه است .
_ امنيت در فضاي تبادل اطلاعات از روند تغييرات سريع فناوريهاي مرتبط تأثيرپذير است .
خوشبختانه در برنامه چهارم توسعه به اين مهم توجه خاصي شده است، بهنحوي که ارائه سند راهبرد ملي امنيت فضاي تبادل اطلاعات کشور تا پايان سال اول برنامه الزام شده است . همچنين در پيشنويس اين سند پيشنهاد شده است که دستگاههاي مجري طرحهاي خود در انطباق با سند مذکور ارائه کنند .
استاندارد BS7799/ISO17799
با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستمهاي آسيبپذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوهبرآن بايد قادر به طرحريزي برنامههاي بازيابي و جبران خسارت هم باشند. ايجاد يک نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بکارگيري دستاوردهاي نوين فناوري اطلاعات و برخورداري از مزاياي انکارناپذير آن در چنين سازمانهايي ميشود.
خوشبختانه قريب به يک دهه از ارائه يک ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس ميگذرد. در اين مدت استاندارد فوقالذکر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بينالمللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نيز يک بازنگري در بخش دوم استانداردBS7799 بهمنظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامينکنندگان و راحتي کاربري و مفاهيم مرتبط با امنيت برنامههاي موبايل بر روي اين استاندارد در حال انجام است که پيشبيني ميشود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجعبه استاندارد مذکور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين ميشود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينکه اطلاعات ميتوانند تنها در دسترس کساني باشند که مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينکه کاربران مجاز در هر زمان که نياز داشته باشند، امکان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعهاي از کنترلها که شامل سياستها ، عمليات ، رويهها ، ساختارهاي سازماني و فعاليتهاي نرمافزاري است، حاصل ميشود. اين کنترلها بايد بهمنظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يک نظامنامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساختهاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است که در حقيقت يک راهنماي مميزي است که بر مبناي نيازمنديها استوار است.
بخش اول مشخص کننده مفاهيم امنيت اطلاعاتي است که يک سازمان بايستي بکار گيرد، در حاليکه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيههايي است که ?? هدف امنيتي و ??? کنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي بهقرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيههاي مديريتي بهمنظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي شامل مجموعهاي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود.
-2 امنيت سازماني: اين بعد اجرايي کردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- کميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستمهاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستمهاي امنيتي
- هدايت دسترسي تامينکنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقهبندي و کنترل داراييها: طبقهبندي داراييها و سرمايههاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايههاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات که به بخشهاي زير قابل تقسيم است :
- کنترل پرسنل توسط يک سياست سازماني که با توجه به قوانين و فرهنگ حاکم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ ميشود.
- مسئوليت پرسنل که بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام که در آن پرسنل بايد بهوضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات که شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه ميشود.
-5 امنيت فيزيکي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي دادهها و تسهيلات مربوط که شامل بخشهاي امنيت فيزيکي محيط ، کنترل دسترسيها ، امنيت مکان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي ميشود .
-6 مديريت ارتباطات و عمليات: کسب اطمينان از عملکرد مناسب و معتبر تجهيزات پردازش اطلاعات که شامل روشهاي اجرايي، کنترل تغييرات ، مديريت وقايع و حوادث، تفکيک وظايف و برنامهريزي ظرفيتهاي سازماني ميشود.
-7 کنترل دسترسي: کنترل نحوه و سطوح دسترسي به اطلاعات که در شامل مديريت کاربران ، مسئوليتهاي کاربران، کنترل دسترسي به شبکه، کنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستمها: اطمينان از اينکه امنيت جزء جدانشدني سيستمهاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستمها و امنيت کاربردي، استانداردها و سياستهاي رمزنگاري، انسجام سيستمها و امنيت توسعه است.
-9 تداوم و انسجام کسب و کار: تقليل تاثيرات وقفههاي کسب و کار و محافظت فرايندهاي اساسي سازمان از حوادث عمده و شکست.
-10 همراهي و التزام: اجتناب از هرگونه پيمانشکني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم کننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات ميپردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام ميپذيرد.
نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يک رويکرد نظاممند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يک ديواره آتش ساده يا عقد قرارداد با يک شرکت امنيتي است . در چنين رويکردي بسيار مهم است که فعاليتهاي گوناگون امنيتي را با راهبردي مشترک بهمنظور تدارک يک سطح بهينه از حفاظت همراستا کنيم . نظام مديريتي مذکور بايد شامل روشهاي ارزيابي، محافظت، مستندسازي و بازنگري باشد ، که اين مراحل در قالب يک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ريزي Plan :
- تعريف چشمانداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف کنترل و آنچه سازمان را در مديريت اين مخاطرات ياري ميکند.
- آمادهسازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يک طرح براي تقليل مخاطرات.
- اجراي طرحهاي کنترلي انتخابي براي تحقق اهداف کنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري بهمنظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي بهمنظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيههاي ارائه شده براي بهبود.
- نظام مديريتي مذکور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت کيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي بهمنظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يک نظام مديريتي است که سازمان بهمنظور بکارگيري محصولات نرمافزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره ميگيرد . چيزي که اين دو بخش را به هم پيوند ميدهد ميزان انطباق با بخشهاي استاندارد است که در يکي از چهار رده زير قرار ميگيرد :
* کلاس اول : حفاظت ناکافي
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پيادهسازي ISMS در يک سازمان اين مراحل را شامل ميشود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راهانداز انتخاب شوند و آموزش ببينند . بايد توجه شود که امنيت اطلاعات يک برنامه نيست بلکه يک فرايند است .
- تعريف نظام مديريت امنيت اطلاعات: اين مرحله شامل تعريف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب ميشود .
- ايجاد سند سياست امنيت اطلاعات : که پيشتر به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايههايي که نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيبپذيري اطلاعات و سرمايههاي فيزيکي مرتبط نيز مشخص شود .
- آموزش و آگاهيبخشي: به دليل آسيبپذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم کرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- کنترل و بهبود مداوم : اثربخشي نظام مديريتي پياده شده بايد مطابق مدل بهرسميت شناخته شده کنترل و ارتقا يابد.
در کليه مراحل استقرار نظام مديريت امنيت اطلاعات مستندسازي از اهميت ويژهاي برخوردار است. مستندات از يک طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات ميپردازند و از طرف ديگر کنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در کل ميتوان مستندات را به چهار دسته تقسيم کرد:
-1 سياست ، چشمانداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذکور که در مجموع بهعنوان نظامنامه امنيتي شناخته ميشود .
-2 توصيف فرايندها که پاسخ سؤالات چه کسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مکاني را مي دهد و بهعنوان روشهاي اجرايي شناخته ميشوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده که شامل دستورالعملهاي کاري ، چک ليستها ، فرمها و نظاير آن ميشود .
-4 مدارک و شواهد انطباق فعاليتها با الزامات ISMS که از آنها بهعنوان سوابق ياد ميشود .
نتيجه گيري
هر چند بکارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه ISO17799 بتنهايي نشاندهنده برقراري امنيت کامل در يک سازمان نيست، اما استقرار اين نظام مزايايي دارد که مهمترين آنها چنين است:
- در سطح سازماني استقرار نظام يادشده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و کارکنان سازمان در اين زمينه است.
- در سطح قانوني، اخذ گواهينامه به اولياي امور ثابت ميکند که سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت ميکند.
- در سطح اجرايي، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها ميشود . علاوهبر اين چنين نظامي استفاده مطمئنتر از سختافزار و نرمافزار را تضمين ميکند .
- در سطح تجاري تلاشهاي مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتريان اطمينان خاطر بيشتري را فراهم ميآورد.
- در سطح مالي اين اقدام باعث کاهش هزينههاي مرتبط با مسائل امنيتي و کاهش احتمالي حق بيمههاي مرتبط ميشود .
- در سطح پرسنلي، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بکارگيري چنين نظامي است.
منابع
1 - سند راهبرد امنيت فضاي تبادل اطلاعات کشور «پيشنويس» ، دبير خانه شوراي امنيت فضاي تبادل اطلاعات
2 - پروژه استانداردسازي حفاظت اطلاعات «گزارش بررسي و شناخت»، پروژه شماره ???? شوراي پژوهشهاي علمي کشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com (http://www.callio.com/)
مقدمه
امروزه شاهد بکارگيري تجهيزات الکترونيک و روشهاي مجازي در بخش عمدهاي از فعاليتهاي روزمره همچون ارائه خدمات مديريت و نظارت و اطلاعرساني هستيم . فضايي که چنين فعاليتهايي در آن صورت ميپذيرد با عنوان فضاي تبادل اطلاعات شناخته ميشود. فضاي مذکور همواره در معرض تهديدهاي الکترونيک يا آسيبهاي فيزيکي از قبيل جرايم سازمان يافته بهمنظور ايجاد تغيير در محتوا يا جريان انتقال اطلاعات ، تخريب بانکهاي اطلاعاتي، اختلال در ارائه خدمات اطلاعرساني يا نظارتي و نقض حقوق مالکيت معنوي است.
از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبکههاي ارتباطي، آسيبپذيري فضاي تبادل اطلاعات افزايش يافته است و روشهاي اعمال تهديدهاي يادشده گستردهتر و پيچيدهتر ميشود . از اينرو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب ميشود. بهموازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضاي تبادل اطلاعات در امور مديريتي و اطلاعرساني تجديد نظر شده و فرهنگ صحيح بکارگيري امکانات يادشده نيز در سطح جامعه ترويج شود .
بديهي است که توجه نکردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوله مانع از گسترش فضاي مذکور در ميان آحاد جامعه و جلب اعتماد مديران در بکارگيري روشهاي نوين نظارتي و اطلاعرساني خواهد شد . ايجاد يک نظام منسجم در سطح ملي با لحاظ کردن ويژگيهاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يک ضرورت است. برخي از اين ويژگيها بهقرار زير است:
_ امنيت فضاي تبادل اطلاعات مفهومي کلان و مبتني بر حوزههاي مختلف دانش است .
_ امنيت با توجه به هزينه و کارايي تعريف ميشود و مقولهاي نسبي است .
_ امنيت متأثر از مجموعه آداب، سنن و اخلاقيات حاکم بر جامعه است .
_ امنيت در فضاي تبادل اطلاعات از روند تغييرات سريع فناوريهاي مرتبط تأثيرپذير است .
خوشبختانه در برنامه چهارم توسعه به اين مهم توجه خاصي شده است، بهنحوي که ارائه سند راهبرد ملي امنيت فضاي تبادل اطلاعات کشور تا پايان سال اول برنامه الزام شده است . همچنين در پيشنويس اين سند پيشنهاد شده است که دستگاههاي مجري طرحهاي خود در انطباق با سند مذکور ارائه کنند .
استاندارد BS7799/ISO17799
با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستمهاي آسيبپذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوهبرآن بايد قادر به طرحريزي برنامههاي بازيابي و جبران خسارت هم باشند. ايجاد يک نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بکارگيري دستاوردهاي نوين فناوري اطلاعات و برخورداري از مزاياي انکارناپذير آن در چنين سازمانهايي ميشود.
خوشبختانه قريب به يک دهه از ارائه يک ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس ميگذرد. در اين مدت استاندارد فوقالذکر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بينالمللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نيز يک بازنگري در بخش دوم استانداردBS7799 بهمنظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامينکنندگان و راحتي کاربري و مفاهيم مرتبط با امنيت برنامههاي موبايل بر روي اين استاندارد در حال انجام است که پيشبيني ميشود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجعبه استاندارد مذکور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين ميشود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينکه اطلاعات ميتوانند تنها در دسترس کساني باشند که مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينکه کاربران مجاز در هر زمان که نياز داشته باشند، امکان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعهاي از کنترلها که شامل سياستها ، عمليات ، رويهها ، ساختارهاي سازماني و فعاليتهاي نرمافزاري است، حاصل ميشود. اين کنترلها بايد بهمنظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يک نظامنامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساختهاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است که در حقيقت يک راهنماي مميزي است که بر مبناي نيازمنديها استوار است.
بخش اول مشخص کننده مفاهيم امنيت اطلاعاتي است که يک سازمان بايستي بکار گيرد، در حاليکه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيههايي است که ?? هدف امنيتي و ??? کنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي بهقرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيههاي مديريتي بهمنظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي شامل مجموعهاي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود.
-2 امنيت سازماني: اين بعد اجرايي کردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- کميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستمهاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستمهاي امنيتي
- هدايت دسترسي تامينکنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقهبندي و کنترل داراييها: طبقهبندي داراييها و سرمايههاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايههاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات که به بخشهاي زير قابل تقسيم است :
- کنترل پرسنل توسط يک سياست سازماني که با توجه به قوانين و فرهنگ حاکم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ ميشود.
- مسئوليت پرسنل که بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام که در آن پرسنل بايد بهوضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات که شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه ميشود.
-5 امنيت فيزيکي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي دادهها و تسهيلات مربوط که شامل بخشهاي امنيت فيزيکي محيط ، کنترل دسترسيها ، امنيت مکان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي ميشود .
-6 مديريت ارتباطات و عمليات: کسب اطمينان از عملکرد مناسب و معتبر تجهيزات پردازش اطلاعات که شامل روشهاي اجرايي، کنترل تغييرات ، مديريت وقايع و حوادث، تفکيک وظايف و برنامهريزي ظرفيتهاي سازماني ميشود.
-7 کنترل دسترسي: کنترل نحوه و سطوح دسترسي به اطلاعات که در شامل مديريت کاربران ، مسئوليتهاي کاربران، کنترل دسترسي به شبکه، کنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستمها: اطمينان از اينکه امنيت جزء جدانشدني سيستمهاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستمها و امنيت کاربردي، استانداردها و سياستهاي رمزنگاري، انسجام سيستمها و امنيت توسعه است.
-9 تداوم و انسجام کسب و کار: تقليل تاثيرات وقفههاي کسب و کار و محافظت فرايندهاي اساسي سازمان از حوادث عمده و شکست.
-10 همراهي و التزام: اجتناب از هرگونه پيمانشکني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم کننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات ميپردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام ميپذيرد.
نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يک رويکرد نظاممند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يک ديواره آتش ساده يا عقد قرارداد با يک شرکت امنيتي است . در چنين رويکردي بسيار مهم است که فعاليتهاي گوناگون امنيتي را با راهبردي مشترک بهمنظور تدارک يک سطح بهينه از حفاظت همراستا کنيم . نظام مديريتي مذکور بايد شامل روشهاي ارزيابي، محافظت، مستندسازي و بازنگري باشد ، که اين مراحل در قالب يک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ريزي Plan :
- تعريف چشمانداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف کنترل و آنچه سازمان را در مديريت اين مخاطرات ياري ميکند.
- آمادهسازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يک طرح براي تقليل مخاطرات.
- اجراي طرحهاي کنترلي انتخابي براي تحقق اهداف کنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري بهمنظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي بهمنظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيههاي ارائه شده براي بهبود.
- نظام مديريتي مذکور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت کيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي بهمنظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يک نظام مديريتي است که سازمان بهمنظور بکارگيري محصولات نرمافزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره ميگيرد . چيزي که اين دو بخش را به هم پيوند ميدهد ميزان انطباق با بخشهاي استاندارد است که در يکي از چهار رده زير قرار ميگيرد :
* کلاس اول : حفاظت ناکافي
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافي
مراحل اجراي نظام مديريت امنيت اطلاعات
پيادهسازي ISMS در يک سازمان اين مراحل را شامل ميشود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راهانداز انتخاب شوند و آموزش ببينند . بايد توجه شود که امنيت اطلاعات يک برنامه نيست بلکه يک فرايند است .
- تعريف نظام مديريت امنيت اطلاعات: اين مرحله شامل تعريف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب ميشود .
- ايجاد سند سياست امنيت اطلاعات : که پيشتر به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايههايي که نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيبپذيري اطلاعات و سرمايههاي فيزيکي مرتبط نيز مشخص شود .
- آموزش و آگاهيبخشي: به دليل آسيبپذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم کرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- کنترل و بهبود مداوم : اثربخشي نظام مديريتي پياده شده بايد مطابق مدل بهرسميت شناخته شده کنترل و ارتقا يابد.
در کليه مراحل استقرار نظام مديريت امنيت اطلاعات مستندسازي از اهميت ويژهاي برخوردار است. مستندات از يک طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات ميپردازند و از طرف ديگر کنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در کل ميتوان مستندات را به چهار دسته تقسيم کرد:
-1 سياست ، چشمانداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذکور که در مجموع بهعنوان نظامنامه امنيتي شناخته ميشود .
-2 توصيف فرايندها که پاسخ سؤالات چه کسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مکاني را مي دهد و بهعنوان روشهاي اجرايي شناخته ميشوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده که شامل دستورالعملهاي کاري ، چک ليستها ، فرمها و نظاير آن ميشود .
-4 مدارک و شواهد انطباق فعاليتها با الزامات ISMS که از آنها بهعنوان سوابق ياد ميشود .
نتيجه گيري
هر چند بکارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه ISO17799 بتنهايي نشاندهنده برقراري امنيت کامل در يک سازمان نيست، اما استقرار اين نظام مزايايي دارد که مهمترين آنها چنين است:
- در سطح سازماني استقرار نظام يادشده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و کارکنان سازمان در اين زمينه است.
- در سطح قانوني، اخذ گواهينامه به اولياي امور ثابت ميکند که سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت ميکند.
- در سطح اجرايي، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها ميشود . علاوهبر اين چنين نظامي استفاده مطمئنتر از سختافزار و نرمافزار را تضمين ميکند .
- در سطح تجاري تلاشهاي مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتريان اطمينان خاطر بيشتري را فراهم ميآورد.
- در سطح مالي اين اقدام باعث کاهش هزينههاي مرتبط با مسائل امنيتي و کاهش احتمالي حق بيمههاي مرتبط ميشود .
- در سطح پرسنلي، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بکارگيري چنين نظامي است.
منابع
1 - سند راهبرد امنيت فضاي تبادل اطلاعات کشور «پيشنويس» ، دبير خانه شوراي امنيت فضاي تبادل اطلاعات
2 - پروژه استانداردسازي حفاظت اطلاعات «گزارش بررسي و شناخت»، پروژه شماره ???? شوراي پژوهشهاي علمي کشور
3 - Jan Eloff, Mariki Eloff, “Information security Management – A new Paradigm , proceedings of SAICSIT 2003 , pages 130 – 136
4 - Tom Carlson, “Information security management : Understanding ISO17799” , Lucent Technologies World Wide Services , September 2001
5 - Angelika Plate, “ Revision of ISO/IEC17799” , ISMS Journal , IUG , Issue 3 , April 2004
6 - Jacquelin Bisson, Cissp, Rene Saint-Germain, “The BS7799/ISO17799 standard for a better approach to information security, Callio Technologies, Canada, www.callio.com (http://www.callio.com/)