مقدمه

رشد سریع و روزافزون تغییرات در علوم و فناوری در عصر حاضر را باید مدیون دسترسی گسترده و فراگیر به اطلاعات دانست. حرکت رو به گسترش جوامع در راستای جامعه اطلاعاتی موجب رشد وسیع خدمات اطلاعاتی شده و با این نگرش، اطلاعات برای سازمان سرمایه ای فوق العاده با ارزش محسوب می شود.

با وجود شبکه گسترده جهانی اطلاعات می بایست به صورت کنترل شده در معرض استفاده مخاطبین قرارگرفته و در برابر تهدیدهای موجود به نحو مطلوب حفاظت شود.

پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی ، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد ‌ویروس و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی ، استفاده از رویه های استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی کارساز نخواهند بود.

بدین منظور رویکردی تحت عنوان سیستم مدیریت امنیت اطلاعات – که حاصل تجارب و فعالیتهای گوناگون در دهه گذشته در زمینه امنیت اطلاعات می باشد – در خصوص حفاظت از این مزیت رقابتی سازمان پدید آمده که این نوشتار شرح مختصر خدمات مشاوره ای در راستای طراحی و پیاده سازی این سیستم می باشد.

 

سیستم مدیریت امنیت اطلاعات

این سیستم در واقع قسمتی از سیستم مدیریت کلان سازمان است که برمبنای دیدگاه مخاطرات کسب و کاربنا شده است. در واقع اساس این سیستم مدیریت مخاطرات می باشد و به منظور ایجاد، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات در سازمان به کار می رود.

سیستم مدیریت امنیت اطلاعات به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های امنیتی و تجاری کنترل کنند.

یک سیستم جامع مدیریت اطلاعات بر سه پایه استوار است:

  • سیاست ها و دستورالعملهای امنیتی
  • تکنولوژی و محصولات امنیتی
  • عوامل اجرایی

 

سیاستها و دستورالعملهای امنیتی : طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.

 

تکنولوژی و محصولات امنیتی : این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها ، کنترل و نظارت می‌باشد. ابزارهای محافظتی و نظارت بر شبکه ، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .

 

عوامل اجرایی : افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها ، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.

 

 

استاندارد ISO27001 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان و محرمانه بودن بودن اطلاعات (Confidentiality) ، صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می نماید.

در زیر جهت نحوه عملکرد و مدیریت سیستم امنیت اطلاعات توضیحاتی بیان گردیده است. برخی از تعاریف موجود در این استاندارد بیان گردیده که جهت درک بهتر به آن می پردازیم :

اطلاعات (information) : دانشی که ممکن است از هر منبعی برگرفته شود و یا بعبارتی داده های پردازش شده ای که جزء داراییها محسوب می شوند. معمولاٌ 36% اطلاعات برروی کاغذ ، 20% در اسناد الکترونیکی و 44% دیگر در ذهن افراد ذخیره می گردد.

دارایی(asset) : هر چیزی که برای سازمان دارای ارزش می باشد.

قابلیت دسترسی (availability): ویژگی در دسترس و قابل استفاده بودن , به محض تقاضای یک موجودیت مجاز. (اطلاعات در صورت نیاز باید بطور صحیح در دسترس باشد)

محرمانه بودن (confidentiality) : ویژگی که اطلاعات در دسترس افراد , موجودیت ها یا فرآیند های غیر مجاز قرار نگرفته یا فاش نشود.( تنها افراد مجاز به اطلاعات دسترسی خواهند یافت)

یکپارچگی (Integrity) : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.

امنیت اطلاعات : حفظ محرمانه بودن , یکپارچگی و قابلیت دسترسی اطلاعات , همچنین ویژگی هایی از قبیل سندیت , پاسخگویی , انکار ناپذیری و قابلیت اطمینان , می توانند لحاظ شوند.

رخداد امنیت اطلاعات : رخداد شناسایی شده یک سیستم , خدمت یا شبکه , که دلالت بر نقص احتمالی خط مشی امنیت اطلاعات یا نقص حفاظتی , یا وضعیتی که ممکن است با امنیت مرتبط بوده و قبلاٌ شناخته نشده باشد.

رویداد امنیت اطلاعات : یک یا مجموعه ای از رویداد های امنیت اطلاعات ناخواسته یا پیش بینی نشده که به احتمال زیاد , عملیات کسب و کار را به خطر انداخته و امنیت اطلاعات را تهدید کنند.

این استاندارد بین المللی دارا ی 8 بند است که از بند 4 تا 8 بند های اصلی استاندارد شروع می شود. همچنین این استاندارد دارای 11 هدف کنترلی است و هر گروه شامل چندین زیر مجموعه می باشد که به پیوست استاندارد ارائه شده است.(بند 5 تا 15 استاندارد)

هیچ یک از بندهای استاندارد بجز اهداف کنترلی و با ذکر دلیل قابل استثناء کردن نمی باشد. این گروه های کنترلی عبارتند از :

  • خط مشی امنیت (سیاستهای امنیتی)
  • امنیت سازمان
  • کنترل و طبقه بندی دارایی ها(مدیریت دارایی ها)
  • امنیت منابع انسانی(امنیت فردی)
  • امنیت فیزیکی و محیطی
  • مدیریت ارتباطات و عملیاتها
  • کنترل دسترسی ها
  • نگهداری سیستم های اطلاعاتی و اکتساب توسعه
  • مدیریت رویداد امنیت اطلاعات
  • مدیریت پیوسته کسب و کار
  • سازگاری با موارد قانونی

این استاندارد بین المللی سازگار با سری استاندارد های مدیریت کیفیت (ISO9001:2008) و مدیریت زیست محیطی(ISO14001:2004) می باشد. همچنین این استاندارد بین المللی , قابل استقرار در تمامی سازمان ها بوده و الزاماتی را برای ایجاد, اجرا, پایش, بازنگری, نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات مستند نموده و با در نظر گرفتن مفهوم ریسک کلان, کسب و کار سازمان را مشخص می کند.

فناوری اطلاعات و ارتباطات