مدیریت امنیت اطلاعات
آرش کریم بیگی - ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستمهای کامپیوتری را به وجود آورده است. این فناوریهای نوین با غلبه بر فاصله ها و محدودیتهای فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستمها را به شدت تحت تأثر قرار دادهاند. این فناوریهای نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.
IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:
-شبکه بانکی کشور هک شده و تمام اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابه جا شده...
-سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...
-تمام اطلاعات و سوابق شخصیتان به واسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...
-شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...
-و دهها سناریوی وحشتناک دیگر...
IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها می شود، باعث خلق مصائبی این چنینی شود و کشوری را فلج کند
همیشه باید نگران باشید
تا اوایل دهه هفتاد، فعالیتهای مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکتها محدود به محلهای نگهداری این اطلاعات شامل آرشیو اسناد و شبکههای محلی کامپیوتری بود. در چنین محیطهایی، روشهای حفاظت فیزیکی، امنیت سیستمها و اطلاعات را تا حد بسیار بالایی تأمین میکرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستمهای داخلی به شبکههای خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکهها خطرات و تهدیدات جدیدی را ایجاد کردهاست. مهمترین نگرانیهای امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستمهای اطلاعاتی و سرقت اطلاعات آنها، ایجاد وقفه و اختلال در ارائه سرویسهای حیاتی و تغییر یا تخریب اطلاعات است و بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بکارگرفتن روشهای جدید حفاظت اطلاعات و کنترل دسترسیها به منابع سازمان خواهید شد.
تاریخچه استاندارد امنیت
برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم.
تاریخچه این استاندارد که نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry به سال 1987 برمیگردد.
این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.
CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.
با توجه به تجارب گذشته این گروه در گردآوری اسناد و قوانین و مستندات امنیتی، استاندارد امنیتی BS7799 توسط این گروه منتشر شد و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS می نامند، منتشر شد.
طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود و این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.
BS7799
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.
Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.
استاندارد BS7799 دارای 10 گروه کنترلی است که هرگروه شامل چندین کنترل زیرمجموعه است و بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این 10 گروه کنترلی عبارتند از :
1- سیاستهای امنیتی
2-امنیت سازمان
3-کنترل و طبقه بندی دارایی ها
4- امنیت فردی
5- امنیت فیزیکی
6- مدیریت ارتباط ها
7- کنترل دسترسی ها
8- روشها و روالهای نگهداری و بهبود اطلاعات
9- مدیریت تداوم کار سازمان
10- سازگاری با موارد قانونی
فوائد استاندارد BS7799 و لزوم پیاده سازی
استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی است. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
- قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
- ایجاد اطمینان نزد مشتریان و شرکای تجاری
- امکان رقابت بهتر با سایر شرکت ها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
- بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
ISMS ، سیستم مدیریت امنیت اطلاعات
پاسخ اغلب سازمانها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامههای ضدویروس، و بکارگیری آنها در سیستمهای کامپیوتری است. اما استفاده از گرانقیمتترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی، استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستمها به تنهائی کارساز نخواهند بود.
ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.
سیستم مدیریت امنیت اطلاعات ( ISMS ) راهکار حل مشکلات مذکور در سیستمهای اطلاعاتی است، یک سیستم جامع امنیتی بر سه پایه بنا میشود:
سیاستها و دستورالعملهای امنیتی: طرحها و برنامههای مرتبط برای نحوه محافظت از سیستمهای اطلاعاتی و دادههای آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیرفنی و فنی ارائه میشود. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک است.
تکنولوژی و محصولات امنیتی: این قسمت شامل تمام ابزارهای مورد استفاده در بخشهای مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت است. ابزارهای محافظتی و نظارت بر شبکه، سیستمهای کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح میگردند .
عوامل اجرایی: افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستمها و شبکهها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده میکنند.
مشاور امنیتی بگیرید
با پیشرفت علوم کامپیوتری و همچنین به وجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100 درصد داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار می تراشتند و دور خود جمع می کنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟ شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.
سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که تمام عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار میدهد و با برقراری امکان نظارت و بهبود مستمر، امنیت کل مجموعه را تامین میکند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده می کند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.
یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستمهای مدیریت امنیت اطلاعات را به شرح زیر ارائه دهد:
ارائه مشاوره در زمینه تهیه سیاستها و استراتژیهای امنیتی
طراحی و مستندسازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)
ارائه مشاوره و خدمات فنی جهت دریافت گواهینامه امنیت اطلاعات BS7799
ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستمهای امنیت اطلاعات
شناسائی و مستندسازی ضعفهای امنیتی و تهدیدات مرتبط برای سیستمهای اطلاعاتی، شبکههای رایانهای و روالهای سازمانی
طراحی و پیادهسازی راهکارهای حفاظتی و کنترلی برای سیستمهای اطلاعاتی و شبکههای کامپیوتری
ارائه خدمات سختافزاری و نرمافزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:
خدمات بررسی آسیبپذیریهای امنیتی
راهکارهای مدیریت آسیبپذیریهای امنیتی
ISMS در ایران
متاسفانه تابه حال هیچ سازمان ایرانی موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) و این در حالی است که تاکنون یک هزار و سیصد و بیست و هفت سازمان از کشورهای مختلف گواهی مدیریت امنیت اطلاعات را کسب کرده اند.
آخرین آمار منتشر شده در پایگاه اینترنتی http://www.xisec.com که ارگان "گروه کاربران بین امللی مدیریت امنیت اطلاعات ICT " یا IUG است، تعداد سازمانهایی که در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده اند به 1327 سازمان رسیده است که از این میان بیشترین تعداد سازمانهای دارای گواهی ISMS متعلق به کشور ژاپن است. در واقع 621سازمان دارای گواهی ISMS متعلق به کشور ژاپن هستند و کشور انگلستان با 207 سازمان در رتبه بعدی قرار دارد.
این در حالی است که در آخرین امار منتشر شده از پایگاه اینترنتی معتبر IUGنام کشورهایی مانند قطر، مصر و عربستان نیز به چشم میخورد، اما هنوز هیچ سازمانی در ایران موفق به اخذ این گواهی نشدهاست.
متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با این حال اخیرا مناقصاتی در شرکتهای تابعه وزارت ارتباطات و فن آوری اطلاعات مانند شرکت داده، شرکت ارتیاطات سیار و شرکت مخابرات استان تهران در زمینه پیادهسازی ISMSدر حال اجراست که امیدواریم استاندارد BS۷۷۹۹ نیز حداقل در بخشی از شرکتهای مرتبط با زیرساختهای فنآوری اطلاعات کشور جهت برقراری سطح قابل قبولی از امنیت اطلاعات در انها طراحی و پیادهسازی شود.
خبرگزاری سینا
- ۸۴/۰۵/۰۶