سيستم مديريت امنيت اطلاعات (ISMS)
چکيده
با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد.
ISMS چيست؟
ISMS مخفف عبارت Information Security Management System به معناي سيستم مديريت امنيت اطلاعات مي باشد و استانداردهايي را براي ايمن سازي فضاي تبادل اطلاعات در سازمان ها ارائه مي دهد. اين استانداردها شامل مجموعه اي از دستورالعمل هاست تا فضاي تبادل اطلاعات يک سازمان را با اجراي يک طرح مخصوص به آن سازمان ايمن نمايد.
اقدامات لازم جهت ايمن سازي فضاي تبادل اطلاعات:
1- تهيه طرحها و برنامههاي امنيتي موردنياز سازمان
2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3- اجراي طرحها و برنامههاي امنيتي سازمان
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
1- استاندارد مديريتي BS7799 موسسه استاندارد انگليس
که شامل 2 بخش است:
BS7799 -1 که ISO/IEC 27002 ناميده مي شود که در قالب 10 دسته بندي کلي زير است:
1- تدوين سياست امنيتي سازمان
2- ايجاد تشکيلات تامين امنيت سازمان
3- دستهبندي سرمايهها و تعيين کنترلهاي لازم
4- امنيت پرسنلي
5- امنيت فيزيکي و پيراموني
6- مديريت ارتباطات
7.- کنترل دسترسي
8- نگهداري و توسعه سيستمها
9-مديريت تداوم فعاليت سازمان
10- پاسخگوئي به نيازهاي امنيتي
BS779 -2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبديل شد که شامل 4 مرحله PDCA به معني Plan (مرحله تاسيس و طراحي)، Do (مرحله پياده سازي و عملي کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشيدن و اصلاح)است.
2- استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال 2000 به اين اسم ناميده شد.
3- گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد
اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زير است:
1) تعيين اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان
2) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنيت
4) پيادهسازي طرح امنيت
5) پشتيباني امنيت فضاي تبادل اطلاعات سازمان
مراحل ايمن سازی بر اساس گزارش فنی ISO/IEC 13335
مستندات ISMS
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
- اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
- طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
- طرح امنيت فضاي تبادل اطلاعات دستگاه
- طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
- برنامة آگاهي رساني امنيتي به پرسنل دستگاه
- برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
اجزاء و ساختار تشکيلات امنيت
تشکيلات امنيت شبکه، متشکل از سه جزء اصلي به شرح زير مي باشد:
- در سطح سياستگذاري : کميته راهبري امنيت فضاي تبادل اطلاعات دستگاه
- در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
- در سطح فني : واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه
نحوه ی پياده سازی ISMS درسازمان ها
سازمان ها وقتي مي خواهند گواهينامه بگيرند، اقدام به دريافت آن کرده و به شرکت هايي که اين خدمات را ارائه مي دهند مراجعه مي کنند.شرکت هاي ارائه دهنده اين خدمات با شرکت هاي خارجي که درزمينه ISMS در ايران شعبه دارندمشاوره کرده و در نهايت مشاوري از سوي شرکت براي آن سازمان مي فرستند.مشاور در جلسه هيات مديره خط مشي امنيتي را مشخص و پياده سازي صورت ميگيرد. شکل زير مراحل اعطاي گواهينامه ISMS را نمايش مي دهد.
مشکلات موجود در زمينه پياده سازی ISMS
1- امنيت يکفرهنگ است قبل از آنکه يک فناوري باشد. براين اساس پياده سازي مديريت امنيت قبل ازخريد تجهيزات امنيتي توصيه مي گردد. وقتي امنيت فرهنگ باشد عمري لازم است تا يکفرهنگ ايجاد شود و جا بيفتد. وقتي امنيت فرهنگ باشد نمي توان فرهنگ سازي سازمانيبومي شده در يک کشور پيشرفته اروپايي را به سادگي در يک مرحله ضربتي به يک سازمانديگر وارد نمود. اين يکي از اصلي ترين موانع در پياده سازي استانداردهاي مديريتامنيت است.
2- امنيت تداوم مي خواهد. حتي اگر موفق شويم در يک سازمان سيستممديريت امنيت را پياده نموده و گواهي استاندارد مربوطه را هم در يک مرحله اخذنمائيم؛ عدم تداوم آن هيچ آورده اي را از نظر امنيتي براي سازمان نخواهدداشت.
3- مديران سازماني ما احساس ناامني مداوم از فضاي تبادل اطلاعات خودندارند و يا مايملک اطلاعاتي ذي قيمتي را در معرض تهاجم نمي بينند. بر اين اساس،حمايت جدي و همه جانبه از پياده سازي و تداوم استانداردهاي مديريت امنيتندارند.
4- ناامني تداوم دارد. چون ناامني تداوم دارد بايستي امن سازي و تفکرامنيت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و ساليانه داشتهباشد.
5- امنيت نا محسوس است. لذا وقتي يک پروژه امنيتي (از نوع مديريت امنيت)انجام مي شود بعضاً مديريت و کارشناسان احساس مي کنند که هيچ اتفاق جديدي نيفتادهاست و ممکن است گلايه کنند که چرا هزينه نموده اند. در پاسخ به اين گلايه بايد فکرکرد که اگر روي امنيت کار نمي شد چه اتفاقي ممکن بود بيفتد. پس بايد در هر زمان ودر هر مکان از فضاي تبادل اطلاعات سازماني به فکر امنيت بود.
مزايای استفاده از ISMS
- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شركاي تجاري
- امكان رقابت بهتر با ساير شركت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد
نتيجه گيری
در اين بررسي قصد داشتيم تا ISMS را به عنوان استانداردي جهاني براي ايمنسازي شبكهها معرفي نماييم و توجه خواننده را به اين موضوع جلب کنيم كه برقراري امنيتدر سازمانها ، بايد در همه ابعاد آن صورت گيرد. توجه به اين استاندارد و شناخت و پياده سازي آن ، باعث ميشود كه بحث در رابطه با موضوعات پيشرفتهتري نظير برپايي مراكز امنيت شبكه (Security Operating Center :SOC) ملموستر و دست يافتنيتر به نظر برسند.
منبع: itsociety.ir
تاریخ بروزرسانی: 1401/6/6
تعداد بازدید: 9858
