امروزه با گسترش تهديد هاي امنيتي ، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد.
سازمان هايی که موجوديتشان به طور عمومی به فن آوری اطلاعات وابسته است بايد از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند .
جهت دستيابی به امنيت قابل قبول اطلاعات به همکاری مشتريان ، شرکای تجاری و دولت نياز خواهد بود ، در ضمن بررسی دوره ای امنيت اطلاعات توسط سازمان های امنيتی يک روش مقبول در اين زمينه خواهد بود .
پياده سازی استاندارد های امنيتی موجود نيز ، سازمان ها را در نيل به اهداف خود ياری می رساند . پياده سازی به طور اساسی در دو سطح صورت می گيرد .
در سطح اول که سطح کلی می باشد تمرکز بر روی پروسه های تجاری و امنيتی می باشد ، به طوريکه فرهنگ امنيت اطلاعات به عنوان مفاهيم اصلی اين سطح مورد بررسی قرار می گيرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معيار های امنيتی در تمامی سطوح سازمانی تفهيم گردد .
در سطح دوم ، پياده سازی فنی و با جامعيت بيشتر صورت می گيرد که با استفاده از استانداردهای بين المللی و سيستم ها و ابزارهای لازم صورت می گيرد .
بعد از پياده سازی پروسه های مديريتی و تجاری و نيز پياده سازی فنی و عملياتی امنيت ، سازمان تا حد قابل قبولی می تواند از پوشش مناسب مديريت امنيت اطلاعات اطمينان پيدا نمايد . پياده سازی مديريت امنيت اطلاعات بر اساس يک استاندارد بين المللی مانند ISO1799 صورت می گيرد تا سازمان بتواند تاييديه و گواهی مربوطه را اخذ نمايد .
جهت پياده سازی مديريت امنيت اطلاعات به چک ليست های کاملی جهت بررسی وضعيت امنيتی و تشخيص نقاط ضعف جهت بر طرف نمودن آنها نياز خواهيم داشت که اين چک ليست ها شامل موارد ذيل می باشد :
- چک ليست استمرار فعاليت هاي شبکه
- چک ليست امنيت اطلاعات
- انتقال ايمن اطلاعات
- آماده کردن اطلاعات جهت استفاده در مسيرهاي امن و حفاظت شده
- امکان پشتيبان گيري از اطلاعات
- نگهداري مالکيت اطلاعات
- چک ليست امنيت نرم افزار و سرويس دهنده ها
- امنيت نرم افزار
- امنيت سرويس دهنده ها
- چک ليست آموزش امنيتي پرسنل شبکه
- چک ليست امنيت فيزيکي
- امنيت فيزيکي مکان هاي استقرار تجهيزات در کلاس (A,B,C) و اماکن
- امنيت فيزيکي تجهيزات
- جريان برق
- چک ليست امنيت دسترسي کاربران
- تدوين روالي جهت کنترل فعاليت کاربران
- آماده کردن کد شناسايي کاربر
- روند احراز هويت شخصي
- توسعه روندهاي استاندارد ورود به سيستم
- سازمان دهي اصول امنيت فيزيکي مهم
- دقت در دسترسي راه دور
- دسترسي ديگر نهاد اجرايي به شبکه
سيستم مديريت امنيت اطلاعات نظام جامع امنيت اطلاعات سازمان
مفهوم « سيستم مديريت امنيت اطلاعات » اولين بار طي مراحل تحرير و توسعه استاندارد بريتانيايي 7799 در سالهاي انتهايي دهه 1980 ميلادي مورد بحث و توجه قرار گرفت . آخرين تعريف « سيستم مديريت امنيت اطلاعات » از نظر استاندارد بين المللي آن عبارت است از :
سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که بر پايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قرار داشته و هدف آن ، پايه گذاري ، پياده سازي ، بهره برداري ، نظارت ، بازبيني ، نگهداري و بهبود امنيت اطلاعات است .
« امنيت اطلاعات » نيز چنين تعريف ميشود :
حفاظت از محرمانگي ، تماميت و دسترسپذيري اطلاعات ، علاوه براينها ساير ويژگيها از قبيل اصالت ( authenticity ) ، قابليت جوابگويي و اعتبار ( accountability ) ، انکارناپذيري ( non- repudiation )، و قابليت اطمينان(reliability) اطلاعات نيز ميتوانند مشمول اين حفاظت باشند .
« سيستم مديريت امنيت اطلاعات » براي حصول اطمينان از کفايت و تناسب کنترلهاي امنيتي محافظ داراييهاي اطلاعاتي طراحي شده است تا به اين وسيله به مشتريان و ديگر گروههاي ذينفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطر داده شود . هدف اين سيستم پيادهسازي نوعي از كنترلهاي امنيتي است كه با برقراري زيرساختهاي مورد نياز ، امنيت اطلاعات را تضمين مينمايند . درحقيقت يک « سيستم مديريت امنيت اطلاعات » ، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم ميآورد و کل کارکنان ، فرآيندها و سيستمهاي اطلاعاتي يک سازمان را دربر مي گيرد .
ميزان نسبي در معرض ريسک بودن يک سيستم اطلاعاتي براساس فعاليت در بخشهاي مختلف
طراحي ، پيادهسازي ، نگهداري و بهبود سيستم مديريت امنيت اطلاعات
فعاليت هاي مربوط به پيادهسازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ ( برنامه ، اجرا ، بررسي ، اقدام اصلاحي ) به همراه گروه های ذينفع و روابط آنها با يکديگر در شکل زير نمايش داده شدهاست :
فعاليتهايي که در هر فاز از اين پروژه اجرا ميشوند نيز عبارتند از:
فاز برنامه :
- تعريف محدوده اوليه ISMS
- تعريف سياست و خط مشي كلي در ISMS
- شناسايي دارايي ها
- شناسايي تهديدها
- ارزيابي ريسك
- تنظيم برنامه برخورد با ريسك ها
- انتخاب كنترل هاي امنيتي
- تنظيم بيانيه قابليت اجرا (SOA)
فاز اجرا :
- بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
- پياده سازي برنامه برخورد با ريسك و كنترل هاي مربوطه
فاز بررسي :
- نظارت بر اجرا
- بازبيني هاي منظم بر كارآيي و كارآمدي ISMS
- نظارت بر ريسك هاي مورد قبول
- هدايت منظم مميزي هاي ISMS
فاز اقدام :
- پياده سازي موارد بهبود
- انتخاب اعمال اصلاحي مناسب
- اطمينان از رسيدن به اهداف بهبود و توسعه
استانداردهاي BS7799 و ISO 27001
BS 7799 و ISO 27001 جديدترين استانداردهاي بينالمللي براي استقرار و بهبود سيستم مديريت امنيت اطلاعات در شركتها و سازمانهاي مرتبط با فناوري اطلاعات و تجارت الكترونيك به شمار ميآيند . براي مقابله با خطراتي كه در سيستمهاي اطلاعاتي اين سازمانها نهفته ميباشند ، وجود يك سيستم مديريت امنيت اطلاعات (ISMS) جهت اطمينان از مديريت مؤثر اين خطرات بسيار حياتي است .
مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001 :
- استاندارد مورد تأييد و اجباري از سوي شوراي عالي امنيت فضاي تبادل اطلاعات كشور
- كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
- تأمين امنيت در همه سطوح شامل امنيت فيزيكي ، پرسنلي و ارتباطات
- ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
- کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
- جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
- كاهش هزينهها
- سيستم مديريت امنيت پويا و مستمر با نگاه همه جانبه به امنيت
- آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت
نویسنده : فرهمند آریاشکوه - کارشناس سرممیز و ممیز سیستم مدیریت امنیت اطلاعات ISMS ISO27001
فرهمند آریاشکوه