--------------------------------------------------------------------------------------------- Optimizer of Information Technology & Communication ----------------------------------------------------------------------
امنیت، سرعت و دقت را از ما بخواهید

ISMS

مفهوم سیستم مدیریت امنیت اطلاعات ( ISMS (Information Security Management System   عبارت است از :  امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات. درواقع مفهوم سیستم مدیریت اطلاعات عبارت است از :
بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم.

خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و… جزء تهدیدات غیر عمدی به حساب می آید .

برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنیم قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشیم این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد.مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد :

  1. تعیین سیاست امنیتی
  2. اعمال سیاست های مناسب
  3. بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
  4. بازرسی و تست امنیت شبکه ی اطلاعاتی
  5. بهبود روش های امنیت اطلاعاتی سازمان

مستندات ISMS

  • اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
  • طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
  • طرح امنيت فضاي تبادل اطلاعات دستگاه
  • طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
  • برنامة آگاهي رساني امنيتي به پرسنل دستگاه
  • برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

اجرای (( ISMS در یک سازمان طبق مراحل ذیل صورت میپذیرد:
۱) آماده سازی
۲) تعریف نظم مدیریت امنیت اطلاعات
۳) ایجاد سند سیاست امنیت اطلاعات
۴) ارزیابی مخاطرات
۵) آموزش و آگاهی بخشی
۶)آمادگی برای ممیزی
۷) کنترل و بهبود مداوم

همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را براي خود تدوين نمايد

استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات

استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

  1. استاندارد مديريتيBS7799موسسه استاندارد انگليس که شامل ۲ بخش است :
    BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب ۱۰ دسته بندی کلی زیر است :
  2. تدوين سياست امنيتي سازمان
  3. ايجاد تشکيلات تامين امنيت سازمان
  4. دسته‌بندی سرمايه‌ها و تعيين کنترل‌های لازم
  5. امنيت پرسنلی
  6. امنيت فيزيکی و پيرامونی
  7. مديريت ارتباطات
  8. کنترل دسترسی
  9. نگهداری و توسعه سيستم‌ها
  10. مديريت تداوم فعاليت سازمان
  11. پاسخگوئي به نيازهای امنيتی

که در سال ۲۰۰۵ به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل ۴ مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.

  1. استاندارد مديريتيISO/IEC 17799موسسه بين‌المللي استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال ۲۰۰۰ به این اسم نامیده شد.
  2. گزارش فنيISO/IEC TR 13335موسسه بين‌المللي استاندارد که اين گزارش فني در قالب ۵ بخش مستقل در فواصل سالهاي ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زیر است :

۱) تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان

۲) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان

۳) انتخاب حفاظ ها و ارائه طرح امنيت

۴) پياده‌سازي طرح امنيت

۵) پشتيباني امنيت فضاي تبادل اطلاعات سازمان

مشکلات موجود در زمینه پیاده سازی ISMS

۱-  امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.

۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

۴-  ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.

۵-  امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات )انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.

مزایای استفاده از ISMS

استانداردISO27001 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي  كنترل های مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.

استانداردISO27001  قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

  • اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها
  • اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
  • قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات
  • ایجاد اطمینان نزد مشتریان و شركای تجاری
  • امكان رقابت بهتر با سایر شركت ها
  • ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
  • بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوطLeased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواعFireWall و IDS  ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد

مشکلات معمول در پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS)

بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده‌سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می‌گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی‌توان فرهنگ‌سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی‌ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

امنیت تداوم می‌خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده‌سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده‌ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین‌المللی از چرخه‌ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی، انجام، آزمایش و اعمال مجدد طراحی استفاده می‌شود.

ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن‌سازی و تفکر امنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا‌امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی‌قیمتی را در معرض تهاجم نمی‌بینند. بر این اساس، حمایت جدی و همه‌جانبه از پیاده‌سازی و تداوم استانداردهای مدیریت امنیت ندارند.

امنیت نا‌محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت) انجام می‌شود بعضاً مدیریت و کار‌شناسان احساس می‌کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده‌اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی‌شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان و در هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.

نویسنده: دکتر امین گلستانی، مشاور و مدرس استراتژی های فناوری و امنیت اطلاعات

براي دانلود كاتالوگ ما كليك كنيد
**** ورود شما را به اين سايت علمي آموزشي خوش آمد مي گوييم و منتظر نقطه نظرات ارزشمند شما هستيم ****    
Copy Protected by Chetan's WP-Copyprotect. برو به بالا