سیستم مدیریت امنیت اطلاعات ISMS
سیستم مدیریت امنیت اطلاعات یا ISMS همان استاندارد ۲۷۰۰۱ iso میباشد. با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال ۱۹۹۵، نگرش سیستماتیک به مقوله ایمن*سازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی*باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن*سازی شامل مراحل طراحی، پیاده*سازی، ارزیابی و اصلاح، انجام گیرد.
ISMS چیست؟
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات میباشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمانها ارائه میدهد. این استانداردها شامل مجموعه ای از دستورالعملهاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات
۱- تهیه طرح*ها و برنامه*های امنیتی موردنیاز سازمان
۲- ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
۳- اجرای طرح*ها و برنامه*های امنیتی سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان*ها، عبارتند از:
۱. استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس
که شامل ۲ بخش است: BS7799:1 که ISO/IEC 27002 نامیده میشود که در قالب ۱۰ دسته بندی کلی زیر است:
۱. تدوین سیاست امنیتی سازمان
۲. ایجاد تشکیلات تامین امنیت سازمان
۳. دسته*بندی سرمایه*ها و تعیین کنترل*های لازم
۴. امنیت پرسنلی
۵. امنیت فیزیکی و پیرامونی
۶. مدیریت ارتباطات
۷. کنترل دسترسی
۸. نگهداری و توسعه سیستم*ها
۹. مدیریت تداوم فعالیت سازمان
۱۰. پاسخگوئی به نیازهای امنیتی
BS7799:2 که در سال ۲۰۰۵ به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل ۴ مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن)، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
۲. استاندارد مدیریتی ISO/IEC 17799 موسسه بین*المللی استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال ۲۰۰۰ به این اسم نامیده شد.
۳. گزارش فنی ISO/IEC TR 13335 موسسه بین*المللی استاندارد
این گزارش فنی در قالب ۵ بخش مستقل در فواصل سالهای ۱۹۹۶ تا ۲۰۰۱ توسط موسسه بین المللی استاندارد منتشر شده است. اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 میباشد و شامل مراحل زیر است:
۱) تعیین اهداف، راهبردها و سیاست*های امنیتی فضای تبادل اطلاعات سازمان
۲) تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
۳) انتخاب حفاظها و ارائه طرح امنیت
۴) پیاده*سازی طرح امنیت
۵) پشتیبانی امنیت فضای تبادل اطلاعات سازمان
مراحل ایمن سازی بر اساس گزارش فنی ISO/IEC 13335
مستندات ISMS
بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه(سازمان) باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:
• اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
• طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
• طرح امنیت فضای تبادل اطلاعات دستگاه
• طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه
• برنامه آگاهی رسانی امنیتی به پرسنل دستگاه
• برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
اجزاء و ساختار تشکیلات امنیت
اجزاء تشکیلات امنیت
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر میباشد:
• در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
• در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
• در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
نحوه ی پیاده سازی ISMS درسازمانها
سازمانها وقتی میخواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکتهایی که این خدمات را ارائه میدهند مراجعه میکنند.شرکتهای ارائه دهنده این خدمات با شرکتهای خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان میفرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش میدهد.
مشکلات موجود در زمینه پیاده سازی ISMS
۱. امنیت یکفرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه میگردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یکفرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانیبومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازماندیگر وارد نمود. این یکی از اصلیترین موانع در پیاده سازی استانداردهای مدیریتامنیت است.
۲. امنیت تداوم میخواهد. حتی اگر موفق شویم در یک سازمان سیستممدیریت امنیت را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
۳. مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خودندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیتندارند.
۴. ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشتهباشد.
۵. امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام میشود بعضاً مدیریت و کارشناسان احساس میکنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
- اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از دادهها
- قابل اطمینان کردن تصمیم گیریها و محک زدن سیستم مدیریت امنیت اطلاعات
- ایجاد اطمینان نزد مشتریان و شرکای تجاری
- امکان رقابت بهتر با سایر شرکتها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت دادهها و اطلاعات
- بخاطر مشکلات امنیتی اطلاعات و ایدههای خود را در خارج سازمان پنهان نسازید