امروزه با گسترش تهديد هاي امنيتي ، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد.

سازمان هايی که موجوديتشان به طور عمومی به فن آوری اطلاعات  وابسته است بايد از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند .

جهت دستيابی به امنيت قابل قبول اطلاعات به همکاری مشتريان ، شرکای تجاری و دولت  نياز خواهد بود ، در ضمن بررسی دوره ای امنيت اطلاعات توسط سازمان های امنيتی يک روش مقبول در  اين زمينه خواهد بود . 

پياده سازی استاندارد های امنيتی موجود نيز ، سازمان ها را در نيل به اهداف خود ياری می رساند . پياده سازی به طور اساسی در دو سطح صورت می گيرد .

در سطح اول که سطح کلی می باشد تمرکز بر روی پروسه های تجاری و امنيتی می باشد ، به طوريکه فرهنگ امنيت اطلاعات به عنوان مفاهيم اصلی اين سطح مورد بررسی قرار می گيرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معيار های امنيتی در تمامی سطوح سازمانی تفهيم گردد .

در سطح دوم ، پياده سازی فنی و با جامعيت بيشتر صورت می گيرد که  با استفاده از استانداردهای بين المللی و سيستم ها و ابزارهای لازم صورت می گيرد .

بعد از پياده سازی پروسه های مديريتی و تجاری و نيز پياده سازی فنی و عملياتی امنيت ، سازمان تا حد قابل قبولی می تواند از پوشش مناسب  مديريت امنيت اطلاعات  اطمينان پيدا نمايد . پياده سازی مديريت امنيت اطلاعات بر اساس يک استاندارد بين المللی مانند ISO1799 صورت می گيرد تا سازمان بتواند تاييديه و گواهی مربوطه را اخذ نمايد .

جهت پياده سازی مديريت امنيت اطلاعات به چک ليست های کاملی جهت بررسی وضعيت امنيتی و تشخيص نقاط ضعف جهت  بر طرف نمودن آنها نياز خواهيم داشت که اين چک ليست ها شامل موارد ذيل می باشد :

  1. چک ليست استمرار فعاليت هاي شبکه
  2. چک ليست امنيت اطلاعات
  3. انتقال ايمن اطلاعات
  4. آماده کردن اطلاعات جهت استفاده در مسيرهاي امن و حفاظت شده
  5. امکان پشتيبان گيري از اطلاعات
  6. نگهداري مالکيت اطلاعات
  7. چک ليست امنيت نرم افزار و سرويس دهنده ها
  8. امنيت نرم افزار
  9. امنيت سرويس دهنده ها
  10. چک ليست آموزش امنيتي پرسنل شبکه
  11. چک ليست امنيت فيزيکي
  12. امنيت فيزيکي مکان هاي استقرار تجهيزات در کلاس (A,B,C) و اماکن
  13. امنيت فيزيکي تجهيزات
  14. جريان برق
  15. چک ليست امنيت دسترسي کاربران
  16. تدوين روالي جهت کنترل فعاليت کاربران
  17. آماده کردن کد شناسايي کاربر
  18. روند احراز هويت شخصي
  19. توسعه روندهاي استاندارد ورود به سيستم
  20. سازمان دهي اصول امنيت فيزيکي مهم
  21. دقت در دسترسي راه دور
  22. دسترسي ديگر نهاد اجرايي به شبکه

سيستم مديريت امنيت اطلاعات نظام جامع امنيت اطلاعات سازمان

مفهوم « سيستم مديريت امنيت اطلاعات » اولين بار طي مراحل تحرير و توسعه استاندارد بريتانيايي 7799 در سال‌هاي انتهايي دهه 1980 ميلادي مورد بحث و توجه قرار گرفت . آخرين تعريف « سيستم مديريت امنيت اطلاعات » از نظر استاندارد بين المللي آن عبارت است از :

سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که بر پايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قرار داشته و هدف آن ، پايه ‌گذاري ، پياده ‌سازي ، بهره ‌برداري ، نظارت ، بازبيني ، نگهداري و بهبود امنيت اطلاعات است .

« امنيت اطلاعات » نيز چنين تعريف مي‌شود :

حفاظت از محرمانگي ، تماميت و دسترس‌پذيري اطلاعات ، علاوه براين‌ها ساير ويژگي‌ها از قبيل اصالت ( authenticity ) ، قابليت جوابگويي و اعتبار ( accountability ) ، انکارناپذيري ( non- repudiation )، و قابليت اطمينان(reliability) اطلاعات نيز مي‌توانند مشمول اين حفاظت باشند .

« سيستم مديريت امنيت اطلاعات » براي حصول اطمينان از کفايت و تناسب کنترل‌هاي امنيتي محافظ  دارايي‌هاي اطلاعاتي طراحي شده ‌است تا به اين وسيله به مشتريان و ديگر گروه‌هاي ذينفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطر داده ‌شود .  هدف اين سيستم پياده‌سازي نوعي از كنترل‌هاي امنيتي است كه با برقراري زير‌ساخت‌هاي مورد نياز ، امنيت اطلاعات را تضمين مي‌نمايند . درحقيقت يک « سيستم مديريت امنيت اطلاعات » ، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم مي‌آورد و کل کارکنان ، فرآيندها و سيستم‌هاي اطلاعاتي يک سازمان را دربر مي ‌گيرد .

ميزان نسبي در معرض ريسک بودن يک سيستم اطلاعاتي براساس فعاليت در بخش‌هاي مختلف

طراحي ، پياده‌سازي ، نگهداري و بهبود سيستم مديريت امنيت اطلاعات

فعاليت‌ هاي مربوط به پياده‌سازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ ( برنامه ، اجرا ، بررسي ، اقدام اصلاحي ) به همراه گروه های ذينفع و روابط آنها با يکديگر در شکل زير نمايش داده شده‌است :

فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

فاز برنامه :                                                                         

  1. تعريف محدوده اوليه  ISMS                                        
  2. تعريف سياست  و خط مشي كلي در ISMS
  3. شناسايي دارايي ها
  4. شناسايي تهديدها
  5. ارزيابي ريسك
  6. تنظيم برنامه برخورد با ريسك ها
  7. انتخاب كنترل هاي امنيتي
  8. تنظيم بيانيه قابليت اجرا (SOA)

فاز اجرا :  

  1. بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
  2. پياده  سازي برنامه برخورد با ريسك و كنترل هاي مربوطه

فاز بررسي :

  1. نظارت بر اجرا
  2. بازبيني هاي منظم بر كارآيي و كارآمدي ISMS
  3. نظارت بر ريسك هاي مورد قبول
  4. هدايت منظم مميزي هاي ISMS

فاز اقدام  :

  1. پياده سازي موارد بهبود
  2. انتخاب اعمال اصلاحي مناسب
  3. اطمينان از رسيدن به اهداف بهبود و توسعه

استانداردهاي BS7799 و ISO 27001

BS 7799   و ISO 27001 جديدترين استانداردهاي بين‌المللي براي استقرار و بهبود سيستم مديريت امنيت اطلاعات در شركتها و سازمانهاي مرتبط با فناوري اطلاعات و تجارت الكترونيك به شمار مي‌آيند . براي مقابله با خطراتي كه در سيستمهاي اطلاعاتي اين سازمانها نهفته مي‌باشند ، وجود يك سيستم مديريت امنيت اطلاعات (ISMS) جهت اطمينان از مديريت مؤثر اين خطرات بسيار حياتي است .

مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001  :

  1. استاندارد مورد تأييد و اجباري از سوي شوراي ‌عالي امنيت فضاي تبادل اطلاعات كشور
  2. كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
  3. تأمين امنيت در همه سطوح شامل امنيت فيزيكي ، پرسنلي و ارتباطات
  4. ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
  5. کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
  6. جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
  7. كاهش هزينه‌ها
  8. سيستم مديريت امنيت پويا و مستمر با نگاه همه جانبه به امنيت
  9. آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت 

نویسنده : فرهمند آریاشکوه - کارشناس سرممیز و ممیز سیستم مدیریت امنیت اطلاعات ISMS ISO27001

فرهمند آریاشکوه