آرش کریم بیگی - ظهور تکنولوژي ارتباطات و اينترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بين سيستمهاي کامپيوتری را به وجود آورده است. اين فناوريهاي نوين با غلبه بر فاصله ها و محدوديتهای فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستمها را به شدت تحت تأثر قرار دادهاند. اين فناوريهاي نوين بستري مناسب را براي انجام مبادلات تجاري، ارائه خدمات آنلاين مانند بانکداري الکترونيکي و خدمات دولت الکترونيکي ايجاد کرده اند.
IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:
-شبکه بانکی کشور هک شده و تمام اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابه جا شده...
-سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...
-تمام اطلاعات و سوابق شخصیتان به واسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...
-شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...
-و دهها سناریوی وحشتناک دیگر...
IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها می شود، باعث خلق مصائبی این چنینی شود و کشوری را فلج کند
همیشه باید نگران باشید
تا اوايل دهه هفتاد، فعاليتهاي مربوط به دسترسي و محافظت از اطلاعات در سازمانها و شرکتها محدود به محلهاي نگهداري اين اطلاعات شامل آرشيو اسناد و شبکههاي محلي کامپيوتری بود. در چنين محيطهايي، روشهاي حفاظت فيزيکي، امنيت سيستمها و اطلاعات را تا حد بسيار بالايي تأمين ميکرد. اگرچه مزاياي فضاي تبادل اطلاعات غير قابل انکار است، ولي اتصال سيستمهاي داخلي به شبکههاي خارجي و بین المللی و ارائه خدمات و مبادله اطلاعات از طريق اين شبکهها خطرات و تهديدات جديدي را ايجاد کردهاست. مهمترين نگرانيهاي امنيتي مرتبط با سيستم هاي اطلاعاتي شامل دستيابي نفوذگران به سيستمهاي اطلاعاتي و سرقت اطلاعات آنها، ايجاد وقفه و اختلال در ارائه سرويسهاي حياتي و تغيير يا تخريب اطلاعات است و بديهي است که در اين شرايط روشهاي حفاظت فيزيکي به تنهايي قادر به تامين امنيت نخواهند بود و شما ناچار از بكارگرفتن روشهاي جديد حفاظت اطلاعات و كنترل دسترسيها به منابع سازمان خواهید شد.
تاریخچه استاندارد امنیت
برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم.
تاریخچه این استاندارد که نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry به سال 1987 برمیگردد.
این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.
CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.
با توجه به تجارب گذشته این گروه در گردآوری اسناد و قوانین و مستندات امنیتی، استاندارد امنیتی BS7799 توسط این گروه منتشر شد و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS می نامند، منتشر شد.
طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود و این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.
BS7799
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.
Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.
استاندارد BS7799 داراي 10 گروه كنترلي است كه هرگروه شامل چندين كنترل زيرمجموعه است و بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين 10 گروه كنترلي عبارتند از :
1- سياستهاي امنيتي
2-امنيت سازمان
3-كنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيكي
6- مديريت ارتباط ها
7- كنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10- سازگاري با موارد قانوني
فوائد استاندارد BS7799 و لزوم پياده سازي
استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي است. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:
- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان كردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شركاي تجاري
- امكان رقابت بهتر با ساير شركت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد
ISMS ، سیستم مدیریت امنیت اطلاعات
پاسخ اغلب سازمانها در مواجهه با تهديدات امنیتی، خريد محصولات امنيتي مانند فايروال و برنامههاي ضدويروس، و بکارگيري آنها در سيستمهاي کامپيوتری است. اما استفاده از گرانقيمتترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي، استفاده از روالهاي استاندارد در بکارگيري و کنترل سيستم هاي امنيتي و بروز رساني مداوم اين سيستمها به تنهائي كارساز نخواهند بود.
ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.
سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات مذكور در سيستمهاي اطلاعاتي است، يک سيستم جامع امنيتي بر سه پايه بنا ميشود:
سياستها و دستورالعملهاي امنيتي: طرحها و برنامههاي مرتبط براي نحوه محافظت از سيستمهاي اطلاعاتي و دادههاي آنها در اين قسمت مورد توجه قرار مي گيرد. استراتژي امنيتي در دو بخش غيرفني و فني ارائه ميشود. بخش غيرفني شامل تعيين سطوح امنيتي مطلوب و انتخاب استانداردهاي امنيتي و بخش فني شامل تهيه دستورالعملهاي لازم براي بکارگيري و نظارت بر اجزاي سيستم امنيتي جهت نيل به اهداف استراتژيک است.
تکنولوژي و محصولات امنيتي: اين قسمت شامل تمام ابزارهاي مورد استفاده در بخشهاي مختلف امنيتي براي اعمال دستورالعملها، کنترل و نظارت است. ابزارهاي محافظتي و نظارت بر شبکه، سيستمهاي کنترل دسترسي و راهکارهاي ضدويروس در اين بخش مطرح ميگردند .
عوامل اجرايي: افراد مرتبط با مديريت و اجراي سيستم امنيتي شامل مديران سيستمها و شبکهها، پرسنل و کاربران عادي در اين قسمت جای دارند. اين عوامل از تکنولوژي و ابزارها در جهت اجراي سياستها و دستورالعملهاي امنيتي استفاده ميکنند.
مشاور امنیتی بگیرید
با پيشرفت علوم كامپيوتري و همچنين به وجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100 درصد داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟
مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار می تراشتند و دور خود جمع می کنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟ شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.
سازماندهي و مديريت اجزاي اطلاعاتی و امنیتی یک سازمان نياز به يک سيستم مديريت امنيت اطلاعات خواهد داشت که تمام عوامل اجرايي، رويه ها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار ميدهد و با برقراري امكان نظارت و بهبود مستمر، امنيت کل مجموعه را تامين ميکند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده می کند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.
یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحليل، طراحي و اجراي سيستمهاي مديريت امنيت اطلاعات را به شرح زير ارائه دهد:
ارائه مشاوره در زمينه تهيه سياستها و استراتژيهاي امنيتي
طراحي و مستندسازي رويه ها و دستورالعملهاي امنيتي مطابق با استانداردهاي امنيت اطلاعات(BS7799/ISO17799)
ارائه مشاوره و خدمات فني جهت دريافت گواهينامه امنيت اطلاعات BS7799
ارائه خدمات آموزش امنيتي براي مديران و پرسنل پيرامون سيستمهاي امنيت اطلاعات
شناسائي و مستندسازي ضعفهاي امنيتي و تهديدات مرتبط براي سيستمهاي اطلاعاتي، شبکههاي رايانهاي و روالهاي سازماني
طراحي و پيادهسازي راهکارهاي حفاظتي و کنترلي براي سيستمهاي اطلاعاتي و شبکههاي کامپيوتری
ارائه خدمات سختافزاري و نرمافزاري جهت نظارت بر اجزاي سيستم مديريت اطلاعات:
خدمات بررسي آسيبپذيريهاي امنيتي
راهکارهاي مديريت آسيبپذيريهاي امنيتي
ISMS در ایران
متاسفانه تابه حال هیچ سازمان ایرانی موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) و این در حالي است كه تاكنون يك هزار و سيصد و بيست و هفت سازمان از كشورهاي مختلف گواهي مديريت امنيت اطلاعات را كسب كرده اند.
آخرین آمار منتشر شده در پایگاه اینترنتی http://www.xisec.com که ارگان "گروه کاربران بین امللی مدیریت امنیت اطلاعات ICT " یا IUG است، تعداد سازمانهایی که در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده اند به 1327 سازمان رسیده است که از این میان بیشترین تعداد سازمانهای دارای گواهی ISMS متعلق به کشور ژاپن است. در واقع 621سازمان دارای گواهی ISMS متعلق به کشور ژاپن هستند و کشور انگلستان با 207 سازمان در رتبه بعدی قرار دارد.
این در حالي است كه در آخرين امار منتشر شده از پايگاه اينترنتي معتبر IUGنام كشورهايي مانند قطر، مصر و عربستان نيز به چشم ميخورد، اما هنوز هيچ سازماني در ايران موفق به اخذ این گواهي نشدهاست.
متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با اين حال اخيرا مناقصاتي در شركتهاي تابعه وزارت ارتباطات و فن آوري اطلاعات مانند شركت داده، شركت ارتياطات سيار و شركت مخابرات استان تهران در زمينه پيادهسازي ISMSدر حال اجراست كه اميدواريم استاندارد BS۷۷۹۹ نيز حداقل در بخشي از شركتهاي مرتبط با زيرساختهاي فنآوري اطلاعات كشور جهت برقراري سطح قابل قبولي از امنيت اطلاعات در انها طراحي و پيادهسازي شود.
خبرگزاری سینا
