حرکت سریع کشورها به سوی جامعه اطلاعاتی، موجب رشد وسیع سیستمها و سرویسهای اطلاعاتی شده است. در این شرایط بخش وسیعی از خدمات در همین بستر ارائه شده و ارائهدهندگان و دریافتکنندگان خدمات را ناگزیر از پیوستن به این جامعه نموده است. اطلاعات، گنجینهای است که تا چندی قبل در کمدها و پستوهای سازمان نگهداری میشد ولی از چند سال قبل و با توسعه شبکههای محلی دورنسازمانی، به شبکه داخلی سازمانها راه یافته است. در آن زمان، اطلاعات محدود کاربران شبکه، اعمال کنترلهای مدیریتی، محافظتهای فیزیکی و محدود نمودن تعداد افرادی که به سرویسها و به ويژه سرویسهای حساس دسترسی داشتند، موجب شد تا مشکل خاصی بروز نکند. اما اینکه با اتصال شبکههای سازمانی به شبکه جهانی، همان گنجینه حساس در معرض دید و استفاده طیف وسیعی از مخاطبین در سراسر جهان قرار گرفته است، مخاطبینی مجهز به انواع اطلاعات و ابزارهای اطلاعاتی میباشند. البته تهدید فقط از سوی مخاطبین خارج از سازمان نیست. بررسیهای انجام شده نشان میدهد که امروزه عمده تهدیدهای موجود علیه اطلاعات و سیستمهای اطلاعاتی سازمانها، منشاء داخلی داشته و خواسته یا ناخواسته توسط پرسنل سازمان ایجاد میشود. در این شرایط تامین امنیت اطلاعات، بدون شک یکی از ضروریات هر سازمان میباشد.
براي داشتن سازماني با برنامه و ايدهآل، هدفمند كردن اين تلاشها براي رسيدن به حداكثر امنیت امري است كه بايد مدنظر قرار گيرد.
حاصل تجربه و اقدامات انجامشده در طول سالهای گذشته در جهان، رویکردی تحت عنوان سیستم مديریت امنیت اطلاعات (ISMS) است. بر اساس این رویکرد، سازمانها به منظور تامین امنیت اطلاعات خود، باید مجموعهای از اقدامات پیشگیرانه و تدافعی را به صورت مداوم و در یک چرخه تحت عنوان چرخه امنیت انجام دهند.
استفاده از استانداردهای امنیت اطلاعات راهكاري است كه اطلاعات سازمان و شركت را دستهبندي و ارزشگذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پيادهسازي كنترلهای امنیتی مختلف، اطلاعات سازمان را ايمن ميسازد. اين اطلاعات نه تنها دادههاي كامپيوتري و اطلاعات سرورها بلكه كليه موارد حتي نگهبان سازمان يا شركت و امنیت منابع انسانی را در نظر خواهد گرفت. در حال حاضر مجموعهای از استانداردهای مدیریتی و فنی برای امنیت اطلاعات سازمانها ارائه شده است که از جمله آنها عبارت است از استاندارد ISO 27001.
اين استاندارد برای ارائه يک مدل جهت ايجاد، اجرا، بهرهبرداری، بازنگری و بررسی، نگهداری و بهبود يک سيستم مديريت امنيت اطلاعات (ISMS)، تدوين شده است. پذيرش يک سيستم مديريت امنيت اطلاعات بايستی يک تصميم استراتژيک برای سازمان تنظیم مقررات و ارتباطات رادیویی باشد. طراحی و اجرای يک سيستم مديريت امنيت اطلاعات متاثر از اهداف، نيازمنديهای امنيتی، فرآيندهای به کار گرفته شده و اندازه و ساختار سازمانی میباشد. انتظار ميرود که اين موارد و سيستمهای پشتيبان آنها در طول زمان تغيير يابند. همچنين انتظار میرود که اجرای يک سيستم مديريت امنيت اطلاعات مطابق با نيازهای سازمانی خواهد بود. به عنوان مثال برای موقعيتهای ساده راهحلهای ساده سيستم مديريت امنيت اطلاعات نياز می باشد. اين استاندارد بينالمللی ميتواند برای ارزيابی سازگاری به وسيله بخشهای داخلی و خارجی مورد استفاده قرار گيرد.
استاندارد بينالمللی ISO 27001 يک رويکرد فرايندگرا را برای ايجاد، اجرا، بهرهبرداری، بازرسی و بررسی، نگهداری و بهبود يک سيستم مديريت امنيت اطلاعات در سازمان را، اتخاذ کرده است. يک سازمان همواره نيازمند آن است که فعاليتهای بسياری را به منظور اثربخش نمودن انجام وظایف خود تعيين کرده و مديريت نمايد. هر فعاليت مديريتشده که با استفاده از منابع در جهت توانمند کردن تبديل وروديها به خروجیها عمل مینمايد را میتوان بعنوان يک فرايند در نظر گرفت. اغلب، خروجی يک فرآيند مستقيما ورودی فرآيند بعدی را تشکيل میدهد.
استفاده از يک سيستم فرآيندگرا در سازمان به همراه شناسائی تعاملات بين اين فرآيندها و مديريت آنها را میتوان يک "رويکرد فرآيندگرا" ناميد. يک رويکرد فرآيندگرا برای مديريت امنيت اطلاعات که در اين استاندارد ارائه شده است، كاربران خود را تشويق ميكند كه بر اهميت نكات زير تأکيد داشته باشند:
درك الزامات امنيت اطلاعات تجاري و نياز به پايهريزي خطمشي و اهداف عيني براي امنيت اطلاعات
پيادهسازي و اجراي کنترلها برای مديريت ريسکهای امنيت اطلاعات در بستر مديريت ريسک کلي تجارت يک سازمان
پايش و بازنگري عملكرد و ميزان اثربخشي سيستم مديريت امنيت اطلاعات (ISMS)
بهبود مستمر بر پايه سنجش اهداف عيني
مدل PDCA
مدلي که به نام PDCA (برنامه- اجرا- بررسي- اقدام) شناخته شده و ميتواند براي تمام فرآيندهاي سيستم مديريت امنيت اطلاعات (ISMS) به کار رود. شکل زیر نشان ميدهد که چگونه يک سيستم مديريت امنيت اطلاعات ISMS الزامات و انتظارات (خواستههاي) امنيت اطلاعات گروههاي ذينفع را به عنوان ورودي گرفته و از طريق يكسري فعاليتها و فرآيندها، امنيت اطلاعات حاصل ( به عنوان مثال امنيت اطلاعات مديريتشده ) را به عنوان خروجي توليد مينمايد که پاسخگوي الزامات و انتظارات مورد نظر ميباشد.
پذيرش مدل PDCA همچنين منعکس کننده اصولی است که در قالب يک مجموعه در راهنماهای OECD ارائه شده است (مديريت امنيت سيستمها و شبکههای اطلاعاتی) . همچنين اين استاندارد بينالمللی يک مدل محکم و استواری را برای اجرای اصولی که در آن راهنماها برای مديريت ارزيابی ريسک، طراحی و اجرای امنيت، مديريت امنيت و ارزيابی دوباره آن، ارائه میکند.
مثال 1: يک نياز ميتواند اين باشد که هرگونه رخنه در امنيت اطلاعات سبب خسارت مالي جدي به سازمان و يا باعث ايجاد آشفتگي در سازمان نگردد.
مثال 2: يک انتظار ميتواند آن باشد که در صورت رخداد يک حادثه وخيم مثلا نفوذ به وبسايت الکترونيکي تجاري سازمان بايستي افرادي با آموزش کافي وجود داشته باشند كه با استفاده از رويههاي مناسب مانند انجام تست نفوذ سازمانی، تأثير حادثه را به حداقل برسانند.
مدل PDCA به کار رفته در فرآيندهاي سيستم مديريت امنيت اطلاعات (ISMS)
| برنامه (پايهريزي سيستم مديريت امنيت اطلاعات- ISMS) | پايهگذاري خطمشي امنيت، اهداف عيني، مقاصد، فرآيندها و رويههاي مرتبط با مديريت ريسک و بهبود امنيت اطلاعات براي دستيابي به نتايجي مطابق با خطمشيها و اهداف عيني کلي سازمان. |
| اجرا (پيادهسازي و اجراي سيستم مديريت امنيت اطلاعاتISMS) | پيادهسازي و اجراي خطمشيها، کنترلها، فرآيندها و رويههاي امنيتي. |
| بررسي (پايش و بهبود سيستم مديريت امنيت اطلاعاتISMS) | برآورد، و در صورت امکان، سنجش عملكرد فرآيند در مقابل خطمشي امنيت، اهداف عيني و تجربه عملي و گزارش نتايج به مديريت براي بازنگري. |
| اقدام (حفظ و بهبود سيستم مديريت امنيت اطلاعاتISMS) | انجام اقدامات اصلاحي و پيشگيرانه، بر پايه نتايج حاصل از بازنگري مديريت، براي دستيابي به بهبود مستمر سيستم مديريت امنيت اطلاعات (ISMS) |
گردآورنده: محمدمظفر مهرعلی