استانداردی برای مدیریت امنیت اطلاعات
چكیده

نیازروزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورتاستقرار یك نظام مدیریت امنیت اطلاعات را بیش از پیش آشكار مینماید . دراین مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفیاستاندارد بینالمللی موجود در این زمینه و نحوه رویكرد مناسب به آن اشارهشده است . در خاتمه نیز برخی از مزایای استقرار یك نظام مدیریت امنیتاطلاعات را برشمردهایم .

مقدمه
امروزه شاهد بكارگیری تجهیزاتالكترونیك و روشهای مجازی در بخش عمدهای از فعالیتهای روزمره همچون ارائهخدمات مدیریت و نظارت و اطلاعرسانی هستیم . فضایی كه چنین فعالیتهایی درآن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذكورهمواره در معرض تهدیدهای الكترونیك یا آسیبهای فیزیكی از قبیل جرایمسازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ،تخریب بانكهای اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی ونقض حقوق مالكیت معنوی است.
از طرف دیگر با رشد و توسعه فزاینده فناوریاطلاعات و گسترش شبكههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایشیافته است و روشهای اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود .از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعهفناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمالشده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادلاطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیحبكارگیری امكانات یادشده نیز در سطح جامعه ترویج شود .
بدیهی است كهتوجه نكردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با اینمقوله مانع از گسترش فضای مذكور در میان آحاد جامعه و جلب اعتماد مدیراندر بكارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد . ایجاد یك نظاممنسجم در سطح ملی با لحاظ كردن ویژگیهای خاص فضای تبادل اطلاعات و مقولهامنیت در این فضا یك ضرورت است. برخی از این ویژگیها بهقرار زیر است:
_ امنیت فضای تبادل اطلاعات مفهومی كلان و مبتنی بر حوزههای مختلف دانش است .
_ امنیت با توجه به هزینه و كارایی تعریف میشود و مقولهای نسبی است .
_ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاكم بر جامعه است .
_ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
خوشبختانهدر برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی كه ارائهسند راهبرد ملی امنیت فضای تبادل اطلاعات كشور تا پایان سال اول برنامهالزام شده است . همچنین در پیشنویس این سند پیشنهاد شده است كه دستگاههایمجری طرحهای خود در انطباق با سند مذكور ارائه كنند .

استاندارد BS7799/ISO17799
باتوجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا بانظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزهفعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظتدارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روشهای استفادهنابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر بهطرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یك نظاممدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بكارگیریدستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انكارناپذیر آن درچنین سازمانهایی میشود.
خوشبختانه قریب به یك دهه از ارائه یك ساختارامنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدتاستاندارد فوقالذكر(BS7799) مورد بازنگری قرار گرفته و در سال 2000میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استانداردISO17799 ارائه كرده است. در سال 2002 نیز یك بازنگری در بخش دوماستانداردBS7799 بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتینظیر ISO9001-2000 و ISO14001-1996 صورت پذیرفت. در حال حاضر نیز بازنگریبه منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینكنندگان وراحتی كاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی ایناستاندارد در حال انجام است كه پیشبینی میشود در سال جاری میلادی ارائهشود.
پیش از توضیح راجعبه استاندارد مذكور، لازم است شرایط تحقق امنیتاطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیرتامین میشود :
_ محرمانه بودن اطلاعات: یعنی اطمینان از اینكه اطلاعات میتوانند تنها در دسترس كسانی باشند كه مجوز دارند.
_ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
_در دسترس بودن اطلاعات: اطمینان از اینكه كاربران مجاز در هر زمان كه نیازداشته باشند، امكان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
دراین راستا امنیت اطلاعات از طریق اجرای مجموعهای از كنترلها كه شاملسیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاریاست، حاصل میشود. این كنترلها باید بهمنظور اطمینان از تحقق اهدافامنیتی مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_((ISO/IEC17799 part1) یك نظامنامه عملی مدیریت امنیت اطلاعات است مبتنیبر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
_(BS7799 part 2) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه درحقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندیها استوار است.
بخشاول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی بکار گیرد،در حالیكه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
بخشاول شامل رهنمودها و توصیههایی است كه ?? هدف امنیتی و ??? كنترل را درقالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نمودهاست :
-1 سیاست امنیتی: دربرگیرنده راهنماییها و توصیههای مدیریتیبهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتیشامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیممیشود.
-2 امنیت سازمانی: این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
- كمیته مدیریت امنیت اطلاعات
- متصدی امنیت سیستم اطلاعاتی
- صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
- بازنگری مستقل تاثیرات سیستمهای امنیتی
- هدایت دسترسی تامینكنندگان به اطلاعات درون سازمان را دربرمی گیرد.
-3طبقهبندی و كنترل داراییها: طبقهبندی داراییها و سرمایههای اطلاعاتی وپیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم اینبحث است.
-4 امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات كه به بخشهای زیر قابل تقسیم است :
-كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكمبرای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود.
- مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
- شرایط استخدام كه در آن پرسنل باید بهوضوح از مسئولیتهای امنیتی خویش آگاه شوند.
- تعلیمات كه شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه میشود.
-5امنیت فیزیكی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگیدادهها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط ، كنترلدسترسیها ، امنیت مكان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتیمیشود .
-6 مدیریت ارتباطات و عملیات: كسب اطمینان از عملكرد مناسب ومعتبر تجهیزات پردازش اطلاعات كه شامل روشهای اجرایی، كنترل تغییرات ،مدیریت وقایع و حوادث، تفكیك وظایف و برنامهریزی ظرفیتهای سازمانیمیشود.
-7 كنترل دسترسی: كنترل نحوه و سطوح دسترسی به اطلاعات كه درشامل مدیریت كاربران ، مسئولیتهای كاربران، كنترل دسترسی به شبكه، كنترلدسترسی از راه دور و نمایش دسترسیهاست.
-8 توسعه و نگهداری سیستمها:اطمینان از اینكه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخششامل تعیین نیازمندیهای امنیت سیستمها و امنیت كاربردی، استانداردها وسیاستهای رمزنگاری، انسجام سیستمها و امنیت توسعه است.
-9 تداوم و انسجام كسب و كار: تقلیل تاثیرات وقفههای كسب و كار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شكست.
-10 همراهی و التزام: اجتناب از هرگونه پیمانشكنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی
بخشدوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش بهقدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد.ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.

نظام مدیریت امنیت اطلاعات
نظاممدیریت امنیت اطلاعات ISMS ، در مجموع یك رویكرد نظاممند به مدیریتاطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصبیك دیواره آتش ساده یا عقد قرارداد با یك شركت امنیتی است . در چنینرویكردی بسیار مهم است كه فعالیتهای گوناگون امنیتی را با راهبردی مشتركبهمنظور تدارك یك سطح بهینه از حفاظت همراستا كنیم . نظام مدیریتی مذكورباید شامل روشهای ارزیابی، محافظت، مستندسازی و بازنگری باشد ، كه اینمراحل در قالب یك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخهیادشده نقش محوری در تشریح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ریزی Plan :
- تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی سازمان.
- تعیین و ارزیابی مخاطرات.
- انتخاب اهداف كنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میكند.
- آمادهسازی شرایط اجرایی.
_ انجام Do:
- تدوین و اجرای یك طرح برای تقلیل مخاطرات.
- اجرای طرحهای كنترلی انتخابی برای تحقق اهداف كنترلی.
_ ارزیابی Check :
- استقرار روشهای نظارت و پایش.
- هدایت بازنگریهای ادواری بهمنظور ارزیابی اثربخشی ISMS.
- بازنگری درحد قابل قبول مخاطرات.
- پیشبرد و هدایت ممیزیهای داخلی بهمنظور ارزیابی تحقق ISMS.
_ بازانجام Act:
- اجرای توصیههای ارائه شده برای بهبود.
- نظام مدیریتی مذكور.
- انجام اقدامات اصلاحی و پیشگیرانه.
- ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
همانندنظامهای مدیریت كیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها ومحصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتیبهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یك نظاممدیریتی است كه سازمان بهمنظور بكارگیری محصولات نرمافزاری معتبر درزیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش ازآن بهره میگیرد . چیزی كه این دو بخش را به هم پیوند میدهد میزان انطباقبا بخشهای استاندارد است كه در یكی از چهار رده زیر قرار میگیرد :
* كلاس اول : حفاظت ناكافی
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافی

مراحل اجرای نظام مدیریت امنیت اطلاعات
پیادهسازی ISMS در یك سازمان این مراحل را شامل میشود:
-آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازماناطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش ببینند . بایدتوجه شود كه امنیت اطلاعات یك برنامه نیست بلكه یك فرایند است .
-تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز وچهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگی این تعریف ازمهمترین عوامل موفقیت پروژه محسوب میشود .
- ایجاد سند سیاست امنیت اطلاعات : كه پیشتر به آن اشاره شد .
-ارزیابی مخاطرات : باید به بررسی سرمایههایی كه نیاز به محافظت دارندپرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله بایدمیزان آسیبپذیری اطلاعات و سرمایههای فیزیكی مرتبط نیز مشخص شود .
- آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
- آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم كرد.
- ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
- كنترل و بهبود مداوم : اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل بهرسمیت شناخته شده كنترل و ارتقا یابد.
دركلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی از اهمیتویژهای برخوردار است. مستندات از یك طرف به تشریح سیاست ، اهداف وارزیابی مخاطرات میپردازند و از طرف دیگر كنترل و بررسی و نظارت بر رونداجرای ISMS را بر عهده دارند . در كل میتوان مستندات را به چهار دستهتقسیم كرد:
-1 سیاست ، چشمانداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذكور كه در مجموع بهعنوان نظامنامه امنیتی شناخته میشود .
-2 توصیف فرایندها كه پاسخ سؤالات چه كسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مكانی را می دهد و بهعنوان روشهای اجرایی شناخته میشوند .
-3 توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده كه شامل دستورالعملهای كاری ، چك لیستها ، فرمها و نظایر آن میشود .
-4 مدارك و شواهد انطباق فعالیتها با الزامات ISMS كه از آنها بهعنوان سوابق یاد میشود .

نتیجه گیری
هرچند بكارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO17799 بتنهایینشاندهنده برقراری امنیت كامل در یك سازمان نیست، اما استقرار این نظاممزایایی دارد كه مهمترین آنها چنین است:
- در سطح سازمانی استقرار نظامیادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح ونمایشی از تلاشهای مدیران و كاركنان سازمان در این زمینه است.
- در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میكند كه سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میكند.
-در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتیو ضعف و قوت آنها میشود . علاوهبر این چنین نظامی استفاده مطمئنتر ازسختافزار و نرمافزار را تضمین میكند .
- در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شركا و مشتریان اطمینان خاطر بیشتری را فراهم میآورد.
- در سطح مالی این اقدام باعث كاهش هزینههای مرتبط با مسائل امنیتی و كاهش احتمالی حق بیمههای مرتبط میشود .
-در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات ومسئولیتهای آنها در مقابل سازمان از مزایای بكارگیری چنین نظامی است.

منابع
1 - سند راهبرد امنیت فضای تبادل اطلاعات كشور «پیشنویس» ، دبیر خانه شورای امنیت فضای تبادل اطلاعات
2 - پروژه استانداردسازی حفاظت اطلاعات «گزارش بررسی و شناخت»، پروژه شماره ???? شورای پژوهشهای علمی كشور
3- Jan Eloff**** Mariki Eloff**** “Information security Management – Anew Paradigm **** proceedings of SAICSIT 2003 **** pages 130 – 136
4- Tom Carlson**** “Information security management : UnderstandingISO17799” **** Lucent Technologies World Wide Services **** September2001
5 - Angelika Plate**** “ Revision of ISO/IEC17799” **** ISMS Journal **** IUG **** Issue 3 **** April 2004
6- Jacquelin Bisson**** Cissp**** Rene Saint-Germain**** “TheBS7799/ISO17799 standard for a better approach to informationsecurity**** Callio Technologies**** Canada**** [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]

نویسنده: علی پورمند: كارشناس ارشد مهندسی سیستمها از دانشگاه امیركبیر ، مدرس سازمان مدیریت صنعتی - واحد شمال