مفهوم سیستم مدیریت امنیت اطلاعات ( ISMS (Information Security Management System عبارت است از : امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات. درواقع مفهوم سیستم مدیریت اطلاعات عبارت است از :
بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم.
خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و… جزء تهدیدات غیر عمدی به حساب می آید .
برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنیم قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشیم این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد.مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد :
- تعیین سیاست امنیتی
- اعمال سیاست های مناسب
- بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
- بازرسی و تست امنیت شبکه ی اطلاعاتی
- بهبود روش های امنیت اطلاعاتی سازمان
مستندات ISMS
- اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
- طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
- طرح امنيت فضاي تبادل اطلاعات دستگاه
- طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
- برنامة آگاهي رساني امنيتي به پرسنل دستگاه
- برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
اجرای (( ISMS در یک سازمان طبق مراحل ذیل صورت میپذیرد:
۱) آماده سازی
۲) تعریف نظم مدیریت امنیت اطلاعات
۳) ایجاد سند سیاست امنیت اطلاعات
۴) ارزیابی مخاطرات
۵) آموزش و آگاهی بخشی
۶)آمادگی برای ممیزی
۷) کنترل و بهبود مداوم
همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را براي خود تدوين نمايد
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
- استاندارد مديريتيBS7799موسسه استاندارد انگليس که شامل ۲ بخش است :
BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب ۱۰ دسته بندی کلی زیر است : - تدوين سياست امنيتي سازمان
- ايجاد تشکيلات تامين امنيت سازمان
- دستهبندی سرمايهها و تعيين کنترلهای لازم
- امنيت پرسنلی
- امنيت فيزيکی و پيرامونی
- مديريت ارتباطات
- کنترل دسترسی
- نگهداری و توسعه سيستمها
- مديريت تداوم فعاليت سازمان
- پاسخگوئي به نيازهای امنيتی
که در سال ۲۰۰۵ به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل ۴ مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
- استاندارد مديريتيISO/IEC 17799موسسه بينالمللي استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال ۲۰۰۰ به این اسم نامیده شد.
- گزارش فنيISO/IEC TR 13335موسسه بينالمللي استاندارد که اين گزارش فني در قالب ۵ بخش مستقل در فواصل سالهاي ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زیر است :
۱) تعيين اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان
۲) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
۳) انتخاب حفاظ ها و ارائه طرح امنيت
۴) پيادهسازي طرح امنيت
۵) پشتيباني امنيت فضاي تبادل اطلاعات سازمان
مشکلات موجود در زمینه پیاده سازی ISMS
۱- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
۲- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
۳- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
۴- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.
۵- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات )انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
استانداردISO27001 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي كنترل های مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.
استانداردISO27001 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات
- ایجاد اطمینان نزد مشتریان و شركای تجاری
- امكان رقابت بهتر با سایر شركت ها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
- بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوطLeased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواعFireWall و IDS ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد
مشکلات معمول در پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS)
بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیادهسازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه میگردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمیتوان فرهنگسازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلیترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
امنیت تداوم میخواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیادهسازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آوردهای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بینالمللی از چرخهای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی، انجام، آزمایش و اعمال مجدد طراحی استفاده میشود.
ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امنسازی و تفکر امنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذیقیمتی را در معرض تهاجم نمیبینند. بر این اساس، حمایت جدی و همهجانبه از پیادهسازی و تداوم استانداردهای مدیریت امنیت ندارند.
امنیت نامحسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت) انجام میشود بعضاً مدیریت و کارشناسان احساس میکنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نمودهاند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمیشد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان و در هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
نویسنده: دکتر امین گلستانی، مشاور و مدرس استراتژی های فناوری و امنیت اطلاعات