نظام مدیریت امنیت اطلاعات (ISMS)

اطلاعات چيست و چرا حائز اهميت است؟

بدون شک گسترش و توسعه روز افزون فن آوري ارتباطات و اطلاعات و همگرا شدن آنها , ظهور اينترنت و رسانه ها دليل توفيقاتي است که بشر امروزه , شاهد آن است و موجب نامگذاري عصرحاضر به عصر اطلاعات گرديده است.

تفاوت اين عصر با ساير اعصار را بايستي در سرعت تغييرات فن آوري ها , رشد سريع و چشمگيري علوم و همه اين ها را بايد مديون دسترسي وسيع همگاني به اطلاعات دانست.

همچنين برخي از انديشمندان , دنياي امروز را دنيای اطلاعات ، سرعت وشتاب دانسته اند. به قول بيل گيتس اگر ويژگي دهه 1980 رويکرد به کيفيت و دهه 1990 دوران مهندسي مجدد فرآيندها بوده است , دهه2000 را بايد دوران شتاب دانست.

دسترسي گسترده همگاني به اطلاعات , موجب شکوفايي استعداد هاي نهفته گرديده و در سايه شکوفايي استعداد هاست که موفقيت های بشري شکل مي گيريد و هر روز محصول جديدي معرفي مي شود. هيچ کشوري جزدر سايه بلوغ فکري مردم خود , به توسعه پايدار و همه جانبه دست نخواهد يافت و بلوغ فکري تنها از طريق افزايش اطلاعات حاصل مي گردد.

از طرفي توليد اطلاعات , دانش و علم در سازمان ها بسيار حياتي و حفظ و نگهداري از آنها در هزاره سوم که عصر دانايي نام گرفته است و اقتصاد آن از طريق داد و ستد دانش و اطلاعات شکل مي گيرد جهت حفظ و تعالي سازمان ها بسيار سرنوشت ساز مي باشد.

دانايي , سرمايه را فراهم آورده و پايه هاي قدرت فردي و سازماني را تشکيل مي دهد. اطلاعات موجود هر سه يا چهار سال دو برابر مي شود. قدرت تفکر , عنوان با ارزش ترين دارايي سازمان تلقي مي شود. اين دانش تعيين کننده وضعيت رقابتي در جهان است.

اطلاعات در حال حاضر مهمترين گنجينه به حساب مي آيد. در بعضي سازمان ها و حتي در موارد شخصي از بين رفتن اطلاعات و حتي آسيب ديدن اطلاعات منجر به صرف زمان و نيروي کار غير قابل تصور جهت دسترسي به آنها مي شود و حتي در برخي موارد اصول کاري يک سازمان را مورد تهديد قرار مي دهد.

تكنولوژي اطلاعات(IT) يک سکه دو روست . هم فرصت است و هم تهديد ! اگر به همان نسبتي که به توسعه و همه گيري اش توجه و تکيه مي کنيم به " امنيت " آن توجه نکنيم مي تواند به سادگي در کسري از ثانيه تبديل به يک تهديد و مصيبت بزرگ شود. مسائل زير را در ذهن خود مجسم نمائيد:

– اطلاعات حساب های بانکي , کلمات عبور کارت هاي بانکي و… هک شده و مبالغ حساب ها جا به جا شود.

– اطلاعات سازمان ثبت اسناد و املاک کشور جا به جا شده , تغيير يابد ويا حذف شود.

– دانش فني يک کارخانه مواد شيميايي که با يک فرمولاسيون خاص داراي برند خوبي است , دزديده شود.

– كليه اطلاعات دانشجويان يك دانشگاه دستكاري شده و يا تغيير يابد و يا امكان دستيابي در نتايج آزمونهاي ورودي به دانشگاهها فراهم شود.

– …

بنابراينIT به همان نسبتي که باعث رفاه و افزايش توانمندي های ما مي شود مي تواند خطرناک بوده و سازمان ، ارگان و يا کشور را فلج نمايد. لذا جهت حفظ اطلاعات و مديريت آنها و جلوگيري از هر گونه سوء استفاده مي بايست بر اساس آخرين دستاورد هاي روز دنيا و استاندارد هاي مربوطه اقدام نمود.

براي پيشگيري از تهديد هاي امنيتي ، متد ها و استاندارد هاي مختلفي تا به حال ارائه شده است تاريخچه ورود اين استانداردها با BS 7799 شروع شده است كه در دوره خود كاملترين و معروفترين استاندارد در اين زمينه بوده است . اين استاندارد در سال 1987 توسط موسسه Commercial Computer Security Center(CCSC) بخش UK Department of trade and industry تدوين گرديده سپس با توجه به گذشت زمان و تجارب مختلف از سنجش ميزان امنيت اطلاعات توسط CCSC و مرکز محاسبات بين المللي NCC ويک کنسرسيوم از کاربران يک نسخه استاندارد امنيت با عنوان مستندات راهبري PD003 در انگلستان منتشر شد و نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد ISO ثبت گرديد .

در فوريه سال 1998 نسخه دوم اين استاندارد (BS 7799) تحت عنوان سيستم مديريت امنيت اطلاعات ISMS)) منتشر شد. در سال 2000 با افزودن الحاقيه اي به استاندارد BS7799 که به عنوان ISO ثبت شده بود اين استاندارد تحت عنوان راهنماي اجراي استاندارد امنيت اطلاعاتISO/IEC 17799 به ثبت رسيد. استاندارد BS7799 در سال 2002 مجدداٌ مورد بازنگري قرار گرفت و نها يتاٌ آخرين ويرايش استاندارد ISMS در28 ژوئن سال 2005 تحت عنوانISO/IEC FDIS 27001:2005 (Draft BS7799-2:2005) توسط کميته IST/33 سازمانISO چاپ و منتشر شد.

سيستم مديريت امنيت اطلاعات ، ISMS

پاسخ اغلب سازمان‌ها در مواجهه با تهديدات امنيتی ، خريد محصولات امنيتی مانند فايروال و برنامه‌های ضد ‌ويروس و بکارگيری آنها در سيستم‌های کامپيوتری است. اما استفاده از گرانقيمت‌ترين محصولات امنيتی بدون شناخت و تحليل دقيق نيازهای امنيتی ، استفاده از رويه های استاندارد در بکارگيری و کنترل سيستم های امنيتی و بروز رسانی مداوم اين سيستم‌ها به تنهائی كارساز نخواهند بود.

ISMS به مديران اين امکان را مي دهد تا بتوانند امنيت سيستم های خود را با به حداقل رساندن ريسک های امنيتي و تجاری کنترل کنند.

سيستم مديريت امنيت اطلاعات راهکار حل مشکلات مذکور در سيستم های اطلاعاتي مي باشد. يک سيستم جامع امنيتي بر سه پايه استوار است:

1) سياست ها و دستورالعملهاي امنيتي

2) تکنولوژي و محصولات امنيتي

3) عوامل اجرايي

سياستها و دستورالعملهای امنيتی : طرحها و برنامه‌های مرتبط برای نحوه محافظت از سيستم‌های اطلاعاتی و داده‌های آنها در اين قسمت مورد توجه قرار می گيرد. استراتژی امنيتی در دو بخش غير‌فنی و فنی ارائه می‌گردد. بخش غيرفنی شامل تعيين سطوح امنيتی مطلوب و انتخاب استانداردهای امنيتی و بخش فنی شامل تهيه دستورالعملهای لازم برای بکارگيری و نظارت بر اجزای سيستم امنيتی جهت نيل به اهداف استراتژيک می‌باشد.

تکنولوژی و محصولات امنيتی : اين قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنيتی برای اعمال دستورالعملها ، کنترل و نظارت می‌باشد. ابزارهای محافظتی و نظارت بر شبکه ، سيستم‌های کنترل دسترسی و راهکارهای ضدويروس در اين بخش مطرح می‌گردند .

عوامل اجرايي : افراد مرتبط با مديريت و اجرای سيستم امنيتی شامل مديران سيستم‌ها و شبکه‌ها ، پرسنل و کاربران عادی در اين قسمت جای دارند. اين عوامل از تکنولوژی و ابزارها در جهت اجرای سياستها و دستورالعملهای امنيتی استفاده می‌کنند.

استاندارد ISO27001 حفاظت از اطلاعات را در سه مفهوم خاص يعنی قابل اطمينان و محرمانه بودن بودن اطلاعات (Confidentiality) ، صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف می نمايد.

در زير جهت نحوه عملكرد و مديريت سيستم امنيت اطلاعات توضيحاتي بيان گرديده است. برخي از تعاريف موجود در اين استاندارد بيان گرديده كه جهت درك بهتر به آن مي پردازيم :

اطلاعات (information) : دانشي كه ممكن است از هر منبعي برگرفته شود و يا بعبارتي داده هاي پردازش شده اي كه جزء داراييها محسوب مي شوند. معمولاٌ 36% اطلاعات برروي كاغذ ، 20% در اسناد الكترونيكي و 44% ديگر در ذهن افراد ذخيره مي گردد.

داراي(asset) : هر چيزي که برای سازمان دارای ارزش مي باشد.

قابليت دسترسي (availability): ويژگي در دسترس و قابل استفاده بودن , به محض تقاضاي يک موجوديت مجاز. (اطلاعات در صورت نياز بايد بطور صحيح در دسترس باشد.)

محرمانه بودن (confidentiality) : ويژگي که اطلاعات در دسترس افراد , موجوديت ها يا فرآيند هاي غير مجاز قرار نگرفته يا فاش نشود.( تنها افراد مجاز به اطلاعات دسترسی خواهند يافت.)

يكپارچگي (Integrity) : كامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.

امنيت اطلاعات : حفظ محرمانه بودن , يکپارچگي و قابليت دسترسي اطلاعات , همچنين ويژگي هايي از قبيل سنديت , پاسخگويي , انکار ناپذيري و قابليت اطمينان , مي توانند لحاظ شوند.

رخداد امنيت اطلاعات : رخداد شناسايي شده يک سيستم , خدمت يا شبکه , که دلالت بر نقص احتمالي خط مشي امنيت اطلاعات يا نقص حفاظتي , يا وضعيتي که ممکن است با امنيت مرتبط بوده و قبلاٌ شناخته نشده باشد.

رويداد امنيت اطلاعات : يک يا مجموعه اي از رويداد هاي امنيت اطلاعات ناخواسته يا پيش بيني نشده که به احتمال زياد , عمليات کسب و کار را به خطر انداخته و امنيت اطلاعات را تهديد کنند.

اين استاندارد بين المللي دارا ی 8 بند است که از بند 4 تا 8 بند هاي اصلي استاندارد شروع مي شود. همچنين اين استاندارد داراي 11 هدف کنترلي است و هر گروه شامل چندين زير مجموعه مي باشد که به پيوست استاندارد ارائه شده است.(بند 5 تا 15 استانداردISO/IEC17799:2005 ) هيچ يک از بندهاي استاندارد بجز اهداف کنترلي و با ذکر دليل قابل استثناء کردن نمي باشد. اين گروه هاي كنترلی عبارتند از :

1- خط مشي امنيت (سياستهای امنيتی)

2- امنيت سازمان

3-كنترل و طبقه بندی دارايی ها(مديريت دارايي ها)

4- امنيت منابع انساني(امنيت فردي)

5- امنيت فيزيكی و محيطي

6- مديريت ارتباطات و عملياتها

7- كنترل دسترسی ها

8- نگهداری سيستم هاي اطلاعاتي و اكتساب توسعه

9- مديريت رويداد امنيت اطلاعات

10- مديريت پيوسته كسب و كار

11- سازگاری با موارد قانونی

اين استاندارد بين المللي سازگار با سري استاندارد هاي مديريت کيفيت (ISO9001:2000) و مديريت زيست محيطي (ISO14001:2004) مي باشد. همچنين اين استاندارد بين المللي , قابل استقرار در تمامي سازمان ها بوده و الزاماتي را براي ايجاد , اجرا , پايش , بازنگري , نگهداري و بهبود يک سيستم مديريت امنيت اطلاعات مستند نموده و با در نظر گرفتن مفهوم ريسک کلان , کسب و کار سازمان را مشخص مي کند.

جهت استقرار سيستم مديريت امنيت اطلاعات موارد زير مي بايست صورت پذيرد:

1) ايجاد سيستم امنيت اطلاعات

الف) تعريف دامنه کاربرد و مرزهاي ISMS بر مبناي ويژگي هاي کسب کار سازمان , مکان ، دارايي ها و فناوري.

ب) تعرف خط مشي ISMS بر مبناي ويژگي هاي کسب و کار , سازمان ، مكان , دارائي ها و فن آوري .

ج) تعريف رويکرد ارزيابي ريسک سازمان (ISO/IEC TR13335-3)

د) شناسايي ريسک ( شناسايي دارائي ها , تهديد هاي اموال , آسيب پذيري هاي ناشي از تهديد ها , آسيب هاي ناشي از دسترس بودن , محرمانه بودن , يکپارچگي و قابليت دسترسي به دارائي ها.)

ه) تحليل و ارزيابي ريسک (نقص هاي امنيتي و احتمال بروز نقص هاي امنيتي).

و) شناسائي و ارزيابي گزينه هايي براي اصلاح ريسک.

ز) انتخاب اهداف کنترلي و کنترل ها براي اصلاح ريسک.

ح) دريافت مصوبه مديريت براي ريسک باقيمانده پيشنهادي.

ط) دريافت مجوز مديريت براي اجرا و عمل نمودن ISMS .

ی) تهيه بيانيه قابليت کاربرد.

2 ) اجرا و عمليات سيستم ISMS

الف) فرموله کردن يک طرح اصلاح ريسک به منظور مديريت ريسکISMS جهت تعيين منابع , مسئوليتها

و الويت ها.

ب) اجراي طرح اصلاح ريسک به منظور دستيابي به اهداف کنترلي شناسايي شده که در بر گيرنده ملاحظات

مالي اجراي کنترل هاي انتخاب شده به منظور تحقق اهداف کنترلي.

ج) اجراي كنترلهاي انتخاب شده به منظور تحقق اهداف كنترلي.

د) تعريف چگونگي اندازه گيري اثر بخشي کنترل ها يا گروهي از کنترل هاي انتخاب شده به منظور ارائه نتايج

قابل قياس و قابل تجديد.

ه) اجرا برنامه هاي آموزشي و آگاهي.

و) مديريت عمليات ISMS. .

ز) مديريت منابع ISMS .

ح) اجرا روش هاي اجرايي و ديگر کنترل ها.

3) پايش و بازنگري ISMS

الف) اجراي روش هاي اجرائي پايش و ديگر کنترل ها

ب) تعهد بازنگري منظم اثر بخشي

ج) اندازه گيري اثر بخشي کنترل ها به منظور تصديق اينکه الزامات امنيتي برآورده شده است يا خير.

د) بازنگري ارزيابي ريسک.

ه) انجام مميزي داخلي.

و) تعهد به بازنگري مديريت ISMS

ز) به روز نمودن طرحهاي امنيتي با در نظر گرفتن يافته هاي فعاليت هاي پايش بازنگري.

ح) ثبت اقدامات و وقايعي که مي توانند بر اثر بخشي يا عملکرد ISMS تاثير بگذارد.

4) نگهداري و بهبود سيستم امنيت اطلاعات

الف) اجرا بهبود هاي شناسايي شده

ب) انجام اقدامات اصلاحي و پيشگيرانه بر اساس تجارب و دروس آموخته شده .

ج) انتقال اطلاعات مربوط به اقدامات و بهبود ها به تمامي طرف هاي ذينفع با سطحي از جزئيات متناسب با شرايط

<font class="Apple-style-span" face="tahoma, sans-ser

Advertisements
  1. بیان دیدگاه

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: