امروزه شاهد بکارگیری تجهیزات الکترونیک و روشهای مجازی در بخش عمدهای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاعرسانی هستیم . فضایی که چنین فعالیتهایی در آن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذکور همواره در معرض تهدیدهای الکترونیک یا آسیبهای فیزیکی از قبیل جرایم سازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانکهای اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی و نقض حقوق مالکیت معنوی است.
از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبکههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود . از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیح بکارگیری امکانات یادشده نیز در سطح جامعه ترویج شود .
بدیهی است که توجه نکردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذکور در میان آحاد جامعه و جلب اعتماد مدیران در بکارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد . ایجاد یک نظام منسجم در سطح ملی با لحاظ کردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یک ضرورت است. برخی از این ویژگیها بهقرار زیر است:
_ امنیت فضای تبادل اطلاعات مفهومی کلان و مبتنی بر حوزههای مختلف دانش است .
_ امنیت با توجه به هزینه و کارایی تعریف میشود و مقولهای نسبی است .
_ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاکم بر جامعه است .
_ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است .
خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی که ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور تا پایان سال اول برنامه الزام شده است . همچنین در پیشنویس این سند پیشنهاد شده است که دستگاههای مجری طرحهای خود در انطباق با سند مذکور ارائه کنند .
استاندارد BS7799/ISO17799
با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی میشود.
خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذکر(BS7799) مورد بازنگری قرار گرفته و در سال 2000 میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نیز یک بازنگری در بخش دوم استانداردBS7799 بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO9001-2000 و ISO14001-1996 صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینکنندگان و راحتی کاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد در حال انجام است که پیشبینی میشود در سال جاری میلادی ارائه شود.
پیش از توضیح راجعبه استاندارد مذکور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین میشود :
_ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات میتوانند تنها در دسترس کسانی باشند که مجوز دارند.
_ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از کنترلها که شامل سیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاری است، حاصل میشود. این کنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) یک نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندیها استوار است.
بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک سازمان بایستی بکار گیرد، در حالیکه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.
بخش اول شامل رهنمودها و توصیههایی است که هدف امنیتی و کنترل را در قالب حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نموده است :
-1 سیاست امنیتی: دربرگیرنده راهنماییها و توصیههای مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.
-2 امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
کمیته مدیریت امنیت اطلاعات
متصدی امنیت سیستم اطلاعاتی
صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
بازنگری مستقل تاثیرات سیستمهای امنیتی
هدایت دسترسی تامینکنندگان به اطلاعات درون سازمان را دربرمی گیرد.
-3 طبقهبندی و کنترل داراییها: طبقهبندی داراییها و سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم این بحث است.
-4 امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات که به بخشهای زیر قابل تقسیم است :
کنترل پرسنل توسط یک سیاست سازمانی که با توجه به قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود.
مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود.
شرایط استخدام که در آن پرسنل باید بهوضوح از مسئولیتهای امنیتی خویش آگاه شوند.
تعلیمات که شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه میشود.
-5 امنیت فیزیکی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط ، کنترل دسترسیها ، امنیت مکان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی میشود .
-6 مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روشهای اجرایی، کنترل تغییرات ، مدیریت وقایع و حوادث، تفکیک وظایف و برنامهریزی ظرفیتهای سازمانی میشود.
-7 کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات که در شامل مدیریت کاربران ، مسئولیتهای کاربران، کنترل دسترسی به شبکه، کنترل دسترسی از راه دور و نمایش دسترسیهاست.
-8 توسعه و نگهداری سیستمها: اطمینان از اینکه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت کاربردی، استانداردها و سیاستهای رمزنگاری، انسجام سیستمها و امنیت توسعه است.
-9 تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفههای کسب و کار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شکست.
-10 همراهی و التزام: اجتناب از هرگونه پیمانشکنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی
بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.
نظام مدیریت امنیت اطلاعات
نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظاممند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای گوناگون امنیتی را با راهبردی مشترک بهمنظور تدارک یک سطح بهینه از حفاظت همراستا کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستندسازی و بازنگری باشد ، که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO9001 دارد. )
برنامه ریزی Plan :
تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی سازمان.
تعیین و ارزیابی مخاطرات.
انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میکند.
آمادهسازی شرایط اجرایی.
انجام Do:
تدوین و اجرای یک طرح برای تقلیل مخاطرات.
اجرای طرحهای کنترلی انتخابی برای تحقق اهداف کنترلی.
ارزیابی Check :
استقرار روشهای نظارت و پایش.
هدایت بازنگریهای ادواری بهمنظور ارزیابی اثربخشی ISMS.
بازنگری درحد قابل قبول مخاطرات.
پیشبرد و هدایت ممیزیهای داخلی بهمنظور ارزیابی تحقق ISMS.
بازانجام Act:
اجرای توصیههای ارائه شده برای بهبود.
نظام مدیریتی مذکور.
انجام اقدامات اصلاحی و پیشگیرانه.
ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
همانند نظامهای مدیریت کیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان بهمنظور بکارگیری محصولات نرمافزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره میگیرد . چیزی که این دو بخش را به هم پیوند میدهد میزان انطباق با بخشهای استاندارد است که در یکی از چهار رده زیر قرار میگیرد :
* کلاس اول : حفاظت ناکافی
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافی
مراحل اجرای نظام مدیریت امنیت اطلاعات
پیادهسازی ISMS در یک سازمان این مراحل را شامل میشود:
– آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است .
– تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب میشود .
– ایجاد سند سیاست امنیت اطلاعات : که پیشتر به آن اشاره شد .
– ارزیابی مخاطرات : باید به بررسی سرمایههایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیبپذیری اطلاعات و سرمایههای فیزیکی مرتبط نیز مشخص شود .
– آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
– آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد.
– ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود .
– کنترل و بهبود مداوم : اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل بهرسمیت شناخته شده کنترل و ارتقا یابد.
در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی از اهمیت ویژهای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات میپردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در کل میتوان مستندات را به چهار دسته تقسیم کرد:
-1 سیاست ، چشمانداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع بهعنوان نظامنامه امنیتی شناخته میشود .
-2 توصیف فرایندها که پاسخ سؤالات چه کسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مکانی را می دهد و بهعنوان روشهای اجرایی شناخته میشوند .
-3 توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که شامل دستورالعملهای کاری ، چک لیستها ، فرمها و نظایر آن میشود .
-4 مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها بهعنوان سوابق یاد میشود .
نتیجه گیری
هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO17799 بتنهایی نشاندهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است:
– در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و کارکنان سازمان در این زمینه است.
– در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میکند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میکند.
– در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها میشود . علاوهبر این چنین نظامی استفاده مطمئنتر از سختافزار و نرمافزار را تضمین میکند .
– در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم میآورد.
– در سطح مالی این اقدام باعث کاهش هزینههای مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمههای مرتبط میشود .
– در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است.