ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

مدیریت امنیت اطلاعات

| پنجشنبه, ۶ مرداد ۱۳۸۴، ۰۱:۳۴ ب.ظ | ۰ نظر

آرش کریم بیگی - ظهور تکنولوژی ارتباطات و اینترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوری‌های نوین با غلبه بر فاصله ها و محدودیتهای فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را به شدت تحت تأثر قرار داده‌اند. این فناوری‌های نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده اند.

IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:
-شبکه بانکی کشور هک شده و تمام اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابه جا شده...

-سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...

-تمام اطلاعات و سوابق شخصیتان به واسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...

-شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...

-و دهها سناریوی وحشتناک دیگر...

IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها می شود، باعث خلق مصائبی این چنینی شود و کشوری را فلج کند
همیشه باید نگران باشید

تا اوایل دهه هفتاد، فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌های نگهداری این اطلاعات شامل آرشیو اسناد و شبکه‌های محلی کامپیوتری بود. در چنین محیط‌هایی، روشهای حفاظت فیزیکی، امنیت سیستم‌ها و اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. اگرچه مزایای فضای تبادل اطلاعات غیر قابل انکار است، ولی اتصال سیستم‌های داخلی به شبکه‌های خارجی و بین المللی و ارائه خدمات و مبادله اطلاعات از طریق این شبکه‌ها خطرات و تهدیدات جدیدی را ایجاد کرده‌است. مهمترین نگرانی‌های امنیتی مرتبط با سیستم های اطلاعاتی شامل دستیابی نفوذگران به سیستم‌های اطلاعاتی و سرقت اطلاعات آنها، ایجاد وقفه و اختلال در ارائه سرویس‌های حیاتی و تغییر یا تخریب اطلاعات است و بدیهی است که در این شرایط روشهای حفاظت فیزیکی به تنهایی قادر به تامین امنیت نخواهند بود و شما ناچار از بکارگرفتن روش‌های جدید حفاظت اطلاعات و کنترل دسترسی‌ها به منابع سازمان خواهید شد.

تاریخچه استاندارد امنیت

برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم.

تاریخچه این استاندارد که نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry به سال 1987 برمیگردد.

این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.

CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

با توجه به تجارب گذشته این گروه در گردآوری اسناد و قوانین و مستندات امنیتی، استاندارد امنیتی BS7799 توسط این گروه منتشر شد و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS می نامند، منتشر شد.

طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود و این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.

BS7799
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسی خواهند یافت.
Integrity : کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نیاز بطور صحیح در دسترس باید باشد.
استاندارد BS7799 دارای 10 گروه کنترلی است که هرگروه شامل چندین کنترل زیرمجموعه است و بنابراین در کل 127 کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این 10 گروه کنترلی عبارتند از :
1- سیاستهای امنیتی

2-امنیت سازمان

3-کنترل و طبقه بندی دارایی ها

4- امنیت فردی

5- امنیت فیزیکی

6- مدیریت ارتباط ها

7- کنترل دسترسی ها

8- روشها و روالهای نگهداری و بهبود اطلاعات

9- مدیریت تداوم کار سازمان

10- سازگاری با موارد قانونی
فوائد استاندارد BS7799 و لزوم پیاده سازی
استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی است. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها

- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها

- قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات

- ایجاد اطمینان نزد مشتریان و شرکای تجاری

- امکان رقابت بهتر با سایر شرکت ها

- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات

- بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید


ISMS ، سیستم مدیریت امنیت اطلاعات

پاسخ اغلب سازمان‌ها در مواجهه با تهدیدات امنیتی، خرید محصولات امنیتی مانند فایروال و برنامه‌های ضد‌ویروس، و بکارگیری آنها در سیستم‌های کامپیوتری است. اما استفاده از گرانقیمت‌ترین محصولات امنیتی بدون شناخت و تحلیل دقیق نیازهای امنیتی، استفاده از روالهای استاندارد در بکارگیری و کنترل سیستم های امنیتی و بروز رسانی مداوم این سیستم‌ها به تنهائی کارساز نخواهند بود.

ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

سیستم مدیریت امنیت اطلاعات ( ISMS ) راهکار حل مشکلات مذکور در سیستم‌های اطلاعاتی است، یک سیستم جامع امنیتی بر سه پایه بنا می‌شود:

سیاستها و دستورالعملهای امنیتی: طرحها و برنامه‌های مرتبط برای نحوه محافظت از سیستم‌های اطلاعاتی و داده‌های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌شود. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک است.

تکنولوژی و محصولات امنیتی: این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال دستورالعملها، کنترل و نظارت است. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند .

عوامل اجرایی: افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.
مشاور امنیتی بگیرید
با پیشرفت علوم کامپیوتری و همچنین به وجود آمدن ابزارهای جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحی نرم افزارهای مختلف و روالهای امنیتی سازمان ها، همیشه خطر حمله و دسترسی افراد غیرمجاز وجود دارد. حتی قوی ترین سایتهای موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولی آیا چون نمی توان امنیت 100 درصد داشت باید به نکات امنیتی و ایجاد سیاستهای مختلف امنیتی بی توجه بود؟
مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار می تراشتند و دور خود جمع می کنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟ شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.
سازماندهی و مدیریت اجزای اطلاعاتی و امنیتی یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که تمام عوامل اجرایی، رویه ها، دستورالعملها و واحدهای اطلاعاتی را تحت پوشش قرار می‌دهد و با برقراری امکان نظارت و بهبود مستمر، امنیت کل مجموعه را تامین می‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده می کند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.
یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

ارائه مشاوره در زمینه تهیه سیاستها و استراتژی‌های امنیتی

طراحی و مستند‌سازی رویه ها و دستورالعملهای امنیتی مطابق با استانداردهای امنیت اطلاعات(BS7799/ISO17799)

ارائه مشاوره و خدمات فنی جهت دریافت گواهی‌نامه امنیت اطلاعات BS7799

ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات
شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی

طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری

ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات:

خدمات بررسی آسیب‌پذیری‌های امنیتی

راهکارهای مدیریت آسیب‌پذیری‌های امنیتی
ISMS در ایران
متاسفانه تابه حال هیچ سازمان ایرانی موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) و این در حالی است که تاکنون یک هزار و سیصد و بیست و هفت سازمان از کشورهای مختلف گواهی مدیریت امنیت اطلاعات را کسب کرده اند.

آخرین آمار منتشر شده در پایگاه اینترنتی http://www.xisec.com که ارگان "گروه کاربران بین امللی مدیریت امنیت اطلاعات ICT " یا IUG است، تعداد سازمانهایی که در جهان موفق به اخذ گواهی مدیریت امنیت اطلاعات شده اند به 1327 سازمان رسیده است که از این میان بیشترین تعداد سازمانهای دارای گواهی ISMS متعلق به کشور ژاپن است. در واقع 621سازمان دارای گواهی ISMS متعلق به کشور ژاپن هستند و کشور انگلستان با 207 سازمان در رتبه بعدی قرار دارد.

این در حالی‌ است که در آخرین امار منتشر شده از پایگاه اینترنتی معتبر ‪ IUGنام کشورهایی مانند قطر، مصر و عربستان نیز به چشم می‌خورد، اما هنوز هیچ سازمانی در ایران موفق به اخذ این گواهی نشده‌است.

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با این حال اخیرا مناقصاتی در شرکتهای تابعه وزارت ارتباطات و فن آوری اطلاعات مانند شرکت داده، شرکت ارتیاطات سیار و شرکت مخابرات استان تهران در زمینه پیاده‌سازی ‪ISMSدر حال اجراست که امیدواریم استاندارد ‪BS۷۷۹۹ نیز حداقل در بخشی از شرکتهای مرتبط با زیرساختهای فن‌آوری اطلاعات کشور جهت برقراری سطح قابل قبولی از امنیت اطلاعات در انها طراحی و پیاده‌سازی شود.
خبرگزاری سینا

  • ۸۴/۰۵/۰۶

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">