مدیریت امنیت اطلاعات

ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوری‌های نوین با غلبه بر فاصله ها و محدودیتهای فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را بشدت تحت تأثر قرار داده‌اند. این فناوری‌های نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.

 

ITیک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:

 

-          شبکه بانکی کشور هک شده و کلیه اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابجا شده...

-          سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...

-          تمام اطلاعات و سوابق شخصیتان بواسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...

-          شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...

-          و دهها سناریوی وحشتناک دیگر...

 

فکر کنم حالا به باور من رسیدید : ITمیتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها میشود میتواند باعث خلق مصائبی این چنینی شود و کشوری را فلج کند !

 

 

همیشه باید نگران باشید !

 

تا اوایل دهه هفتاد، فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و شبکه‌های محلی کامپیوتری بود. در چنین محیط‌هایی، روشهای حفاظت فیزیکی امنیت سیستم‌ها و اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستم‌های داخلی به شبکه‌های خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکه‌ها خطرات و تهدیدات جدیدی را ایجاد کرده‌است. مهمترین نگرانی‌های امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستم‌های اطلاعاتی و سرقت اطلاعات آنهاذ- ایجاد وقفه و اختلال در ارائه سرویس‌های حیاتی و تغییر یا تخریب اطلاعات می‌باشند. بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بکارگرفتن روش‌های جدید حفاظت اطلاعات و کنترل دسترسی‌ها به منابع سازمان شده‌اند.

 

تاریخچه استاندارد امنیت  

برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799است که در این مقاله قصد معرفی آن را دارم!

 

تاریخچه این استاندارد نام کاملش British Standard 7799است به زمان تاسیس موسسه Commercial Computer Security Centerو بخش UK Department of Trade and Industry   در سال 1987 برمیگردد.

این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.

 

CCSCدر سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practiceمعروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCCو یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003" در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISOثبت شد.

 

با توجه به تجارب گذشته این گروه در گردآوری سناد و قوانین و مستندات امنیتی استاندارد امنیتی BS7799توسط این گروه منتشر گردید و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا  Information Security Management Systemکه حالا دیگر آن را به اختصار ISMSمینامند منتشر شد.

 

طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799که به عنوان یک استاندارد ISOثبت شده بود این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799به ثبت رسید.

 

BS7799

 

BS7799حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability)  تعریف می کند.

 

Confidentiality: تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.

Integrity: کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.

Availability: اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.

 

استاندارد BS7799دارای 10 گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه کنترلی عبارتند از :

 

1-      سیاستهای امنیتی

2-      امنیت سازمان

3-      کنترل و طبقه بندی دارایی ها

4-      امنیت فردی

5-      امنیت فیزیکی

6-      مدیریت ارتباط ها

7-      کنترل دسترسی ها

8-      روشها و روالهای نگهداری و بهبود اطلاعات

9-      مدیریت تداوم کار سازمان

10-   سازگاری با موارد قانونی

 

 

فوائد استانداردBS7799 و لزوم پیاده سازی

استاندارد BS7799قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

 

- اطمینان از تداوم تجارتو کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها

- اطمینان از سازگاریبا استاندارد امنیت اطلاعات و محافظت از داده ها

- قابل اطمینان کردن تصمیم گیریها و محک زدن سیستم مدیریت امنیت اطلاعات

- ایجاد اطمینان نزد مشتریانو شرکای تجاری

- امکان رقابتبهتر با سایر شرکت ها

- ایجاد مدیریت فعالو پویا در پیاده سازی امنیت داده ها و اطلاعات

- بخاطر مشکلات امنیتیاطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

 

 

ISMS، سیستم مدیریت امنیت اطلاعات

 

پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد‌ویروس، و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی ،استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی کارساز نخواهند بود.

ISMSبه مدیران این امکان را میدهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

 

 

سیستم مدیریت امنیت اطلاعات ( ISMS)  راهکار حل مشکلات مذکور در سیستم‌های اطلاعاتی می‌باشد یک سیستم جامع امنیتی بر سه پایه بنا می‌شود:

 

سیاستها و دستورالعملهای امنیتی :طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.

تکنولوژی و محصولات امنیتی:این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت می‌باشد. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .

عوامل اجرایی:افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.

 

مشاور امنیتی بگیرید

 

با پیشرفت علوم کامپیوتری و همچنین بوجود آمدن ابزارهای جدید Hackو Crackو همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها ، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100% داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟

 

مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار میتراشتند و دور خود جمع میکنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟! شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.

 

سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که کلیه عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار می‌دهد و با برقراری امکان نظارت و بهبود مستمر، امنیت کل مجموعه راتامین می‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده میکند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.

 

یک مشاور و پیمانکار امنیتی بایدخدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

ارائه مشاوره در زمینه تهیه سیاستها و استراتژی‌های امنیتی

طراحی و مستند‌سازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)

ارائه مشاوره و خدمات فنی جهت دریافت گواهی‌نامه امنیت اطلاعات BS7799

ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات

شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی

طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری

ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:

خدمات بررسی آسیب‌پذیری‌های امنیتی

راهکارهای مدیریت آسیب‌پذیری‌های امنیتی

 

 

ISMSدر ایران

 

متاسفانه تابحال هیچ سازمان ایرانی ای موفق به کسب گواهینامه ISMSنشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) در حالی که تاکنون یک هزار و سیصد و بیست و هفت سازمان از کشورهای مختلف گواهی مدیریت امنیت اطلاعات را کسب کرده اند، هیچ سازمان ایرانی موفق به دریافت این گواهینامه نشده است.

 

آخرین آمار منتشر شده در پایگاه اینترنتی ‪http://www.xisec.comکه ارگان "گروه کاربران بین‌المللی مدیریت امنیت اطلاعات ‪ ICTیا ‪" IUGاست، تعداد سازمانهایی که در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده‌اند به ‪۱۳۲۷سازمان رسیده است که از این میان بیشترین تعداد سازمان دارای گواهی ‪ ISMSمتعلق به کشور ژاپن است. در واقع ‪ ۶۲۱سازمان از ‪ ۱۳۲۷سازمان دارای گواهی ‪ ISMSدر دنیا متعلق به کشور ژاپن است. بعد از کشور ژاپن کشور انگلیس قرار دارد که تعداد سازمانهای دارای گواهی مزبور در این کشور ‪ ۲۰۷سازمان است.

این در حالی‌ است که در آخرین امار منتشر شده از پایگاه اینترنتی معتبر ‪ IUGنام کشورهایی مانند قطر، مصر عربستان نیز به چشم می‌خورد، اما هنوز هیچ سازمانی در ایران موفق به اخذ گواهی ‪ ISMSنشده‌است.

 

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است.

نوشته : آرش کریم بیگی

http://www.ictna.ir