ارائه چارچوبی برای اندازه گیریِ پیاده سازیِ سیستم مدیریت امنیت اطلاعات
مقدمه
از آنجا که امنیت شالوده ی هر نوع سیستمی می باشد و با حضور خود در سیستم ها فارغ از نوع و هدف آنها، می تواند برای مدیران و مسئولان زیربط، اطمینان خاطر در برابر انواع تهدیدات، آسیبها، ریسکها و حوادث را به دنبال داشته باشد.
و از دیگر سو هر سازمان، نهاد یا دستگاهی به موازات احساس نیاز به امنیت سیستم خود نسبت به تمامی تهدیدات، ریسکها و حوادث موجود، به امنیت اطلاعات درونی و محرمانه خود به شدت نیازمند می باشد و حتی شاید بتوان گفت امنیت اطلاعات می تواند پایه و اساسی برای حفظ امنیت در اکثریت جنبه های دیگر امنیتی سازمان باشد؛ لذا ضروری است تحت هرشرایطی امنیت در سازمان موجود و محفوظ باشد و بدلیل اینکه امنیت موضوعی به شدت ریسک پذیر است میبایست مورد مدیریت صحیح و سیستماتیک قرار گیرد.
بيان مسأله اساسي تحقيق به طور كلي:
بر همگان واضح است که در این راستا استانداردهای مدیریتی و امنیتی نقش بسزایی را ایفا مینمایند اما سؤال اینجاست به طور خاص کدام استاندارد امنیتی را میتوان نام برد که بتوان با قرار گرفتن در سایه آن سیستمی را برای مدیریت امنیت اطلاعات در یک سازمان پیاده سازی نمود؟ و کدام استاندارد امنیتی بطور اخص به تشریح چگونگی پیاده سازی امنیت اطلاعات دائمی در سازمان میپردازد؟ در واقع استاندارد خاصی که به تشریح و پیاده سازی چنین سیستمی بپردازد موجود نیست و در واقع هریک از استاندارد های امنیتی موجود که میتوان آنها را تحت خانواده استانداردهای ISO/IEC 27000 عنوان نمود، به یک جنبه خاص از این سیستم تأکید دارند و همگی با هم در ایجاد سیستم مدیریت امنیت اطلاعات نقش ایفا مینمایند.
طی سه دهه اخیر مدیران سازمانها به منظور استقرار امنیت اطلاعات از استانداردهای امنیتی یاری گرفته و سیستم مدیریت امنیت اطلاعات را در سازمانهای مربوطه پیاده سازی نموده اند و در این خصوص از متدهای گوناگونی نظیر چرخه مدیریتی دیمینگ استفاده نموده اند. این چرخه مدیریتی دارای 4 فاز: plan – do – check – act است که در هریک از فازهای این چرخه مشتمل بر فعالیتهای خاصی میشود. اما موضوع حائز اهمیتی که فقدان آن در این پیاده سازی ها به چشم میخورد نبود تعریف واضحی از فعالیتهای هر یک از گامهای چرخه دیمینگ میباشد. لذا در این تحقیق سعی بر آن است که این فعالیتها، هزینه و زمان لازم برای انجام هر یک در هر دور چرخه بطور کامل مشخص شوند. چرا که با تعیین و تشخیص فعالیتهای مربوط به هر گام و اینکه هر کدام در هر دور چرخه تا چه اندازه باید اعمال شوند میتوانیم پیاده سازی دقیق تر و درنتیجه کاهش هزینه بیشتر و افزایش امنیت بیشتری را فراهم آوریم.
د - اهمیت و ضرورت انجام تحقيق:
یکی از سرمایه های مهم و اصلی برای هر سازمانی اطلاعات آن میباشد که تحت هرشرایطی باید محفوظ بماند و تدابیر امنیتی خاصی برای آن لحاظ شود. این تدابیر شامل ایمن سازی فیزیکی و منطقی اطلاعات، جلوگیری از نفوذ بیگانگان، آسیبها و تهدیدات است که از سخت ترین وظایف هر سازمانی میباشد. از سوی دیگر بدلیل آنکه امروزه غالب نیازمندیها، کسب و کار، تجارت، امور مالی و بانکی توسط شبکه های کامپیوتری اعم از اینترنت و اینترانت مرتفع می شوند و روز به روز بر استفاده از این شبکه مهم افزوده می شود لذا اهمیت امنیت اطلاعات دوچندان می شود. چراکه بسیاری از سازمانها به منظور افزایش کیفیتِ خدمت رسانی، کاهش شدید روابط سنتی ناامن و سهولت در برقراری ارتباط بین بخشهای متفاوت سازمان، شبکه را بعنوان ساختار اصلی ارتباطی خود انتخاب مینمایند.
حفظ امنیت در سیستمی با خصوصیات فوق الذکر که کالای مبادله شده در آن اطلاعات است آنچنان اهمیت پیدا میکند که مدیران و مسئولان زیربط درصدد برقراری هرچه بیشتر امنیت اطلاعات از طریق سیستمها و مکانیزمهای امنیتی و مدیریتی هستند تا نه تنها امنیت را برای مبادله اطلاعات فراهم آورند بلکه میزان امنیت موجود را ارتقا بخشیده و در حفظ و نگهداری آن تلاش نمایند.
به همین منظور و در راستای تأمین امنیت پایدار باید سازمانها برای نیل به هدف والای کسب امنیت اطلاعات در سایه استانداردهای امنیتی شناخته شده بین المللی قرار گیرند و طبق این استانداردها گام بردارند. این استانداردها نه تنها سازمانها را در حفظ امنیت خود در تمامی جهات (فیزیکی، منطقی، تهدیدات، آسیبها، ریسکها و ...) توانمند میسازد بلکه آنها را مجاب میسازد تا تغییراتی اعم از داخلی و خارجی در سازمان خود اعمال نمایند. همچنین شیوه اعمال تغییرات و چگونگی قرار گرفتن در مسیر استانداردهای امنیتی را به مدیران سازمانها آموزش میدهند. استانداردهای امنیتی حتی پس از حصول امنیت در یک مرحله، نه تنها مدیران را در ادامه راه تنها نمی گذارند بلکه به صورت پایدار و چرخشی سیستم مدیریتی خود را برای تداوم امنیت در آن سازمان اجرا مینمایند. بر همین اساس و بدلیل وابستگیها و ارتباطات غیرقابل چشم پوشی سازمانها، نهادها و دستگاههای داخلی با سازمانها، نهادها و دستگاههای خارجی ضروری مینماید تا مدیران برای نیل به هدف بلند مدت و پایدار خود که همان امنیت اطلاعات است هرچه سریعتر تحت حمایت این نوع سازمانها قرار گیرند چرا که این استانداردها مدیران را در به حداقل رساندن تهدیدات و ریسکهای تجاری توانمند میسازد.
غالباً سازمانها وقتی با تهدیدات امنیتی روبرو میشوند اولین و مهمترین اقدامی که انجام می دهند خرید محصولات امنیتی و به کارگیری آنها در سیستمهای کامپیوتری شان است. اما لازم است بدانیم تنها استفاده از گران قیمتترین محصولات امنیتی بدون شناخت و تحلیل دقیق از نیازهای امنیتی، عدم استفاده از استانداردهای امنیتی در بکارگیری و کنترل سیستم های امنیتی و عدم به روز رسانی مداوم این سیستمها کارساز نخواهد بود.
دامنه چنین سیستمی بر مبنای ویژگی کسب و کار، سازمان، مکان، فناوریها و دارائیهای مالی و اطلاعاتی تعریف میشود. همچنین دامنه این سیستم جزئیات و توجیه لازم برای کنارگذاری هر چیزی از دامنه را شامل میشود.
نکته قابل توجه اینکه " یک سیستم مدیریت امنیت اطاعات با حفظ محرمانگی، یکپارچگی و قابلیت در دسترس بودن اطلاعات، از منابع اطلاعاتی یک سازمان به صورت پایدار محافظت مینماید. "
مرور ادبیات و سوابق مربوطه:
استانداردهای امنیتی در دنیا تحت عنوان ISO/IEC 27000 شناخته میشوند که این استانداردها اگرچه برای مدیران سازمانهای ایرانی امری جدید و نو به نظر می رسد ولی واقعیت این است که تا کنون قریب به 30 مورد از اعضای آن منتشر شده و یا در حال آماده سازی هستند و این امر مبین این نکته است که پیشینه ی طولانی توجه و پیاده سازی آنها به سالهای 1998 - 1995 میرسد. از جمله کارهای انجام گرفته در خصوص پیاده سازی استانداردهای امنیتی و یا به عبارت دیگر پیاده سازی سیستم مدیریت امنیت اطلاعات میتوان به موراد زیر اشاره نمود:
مرجع [1] علاوه بر مروری بر سیستم مدیریت امنیت اطلاعات و استانداردهای امنیتی مربوطه راهنمایی برای پیاده سازی این سیستم ارائه میدهد و مرجع [2] به تشریح سیستم مدیریت امنیت اطلاعات و پروسه امنیت اطلاعات در سازمانها می پردازد. مرجع [3] به بررسی نحوه دریافت ممیزی سیستم مدیریت امنیت اطلاعات میپردازد و در مرجع [4] مزایای پیاده سازی سیستم مدیریت امنیت اطلاعات برای سازمانها و سرمایه گذاران مورد بررسی قرار میگیرد. در مرجع [5] استانداردهای امنیتی و مستندات مفید برای پیاده سازی سیستم مدیریت امنیت اطلاعات بررسی میشود. در مرجع[6] علاوه بر معرفی سیستم مدیریت امنیت اطلاعات، نیازمندیها و فاکتورهای مهم در موفقیت آن نیز بررسی میشود. در مرجع [7] خط مشی امنیت اطلاعات تجزیه و تحلیل میشود. مرجع [8] به بررسی استاندارد ISO/IEC 27001 میپردازد. مرجع [9] به بررسی استانداردهای امنیتی و ارتباط آنها پرداخته و علاوه بر این کنترلهای امنیتی استاندارد 27001 را تشریح مینماید و مرجع [10] به بررسی استاندارد 27002 میپردازد.
[1] “ISMS Implementation Guide”, atsec information security corporation,2007
[2] “Information Security Management Systems”, 2003.
[3] http://isms-guide.blogspot.com/2008/07/isms-auditing-guideline-pdf-file.html, 2008
[4] http://www.nexcons.com/index.html
[5] http://www.aexis.de/index.php?site=news
[6] http://en.wikipedia.org/wiki/Information_security_management_system#Need_for_a_ISMS
[7] http://www.windowsecurity.com/
[8] http://www.27001-online.com/index.htm
[9] Dale Johnstone , “ international standars on information security management – current and future development “ ,19 May 2009
[10] http://www.aexis.de/index.php?site=news
جنبه جديد بودن و نوآوري در تحقيق:
سیستم مدیریت امنیت اطلاعات چرخه ای به نام " چرخه دیمینگ " را به عنوان مهمترین ابزار کاری خود مورد استفاده قرار میدهد. خصوصیت بارز این چرخه وجود 4 مرحله اساسی 1- PLAN 2- DO 3- CHECK 4- ACT درآن است و در هر یک از این مراحل انواع فعالیتها و کنترل های متناسب با سازمان مهم و مطرح است. امّا نکته قابل تأمل که جنبه جدید بودن این تحقیق را مبین میسازد این است که: چه نوع فعالیتهایی در هرفاز باید انجام شود؟ پس از تشخیص نوع فعالیتهای هر فاز، هرکدام در هر دور چرخه به چه میزان و درصدی باید انجام شوند؟ انجام هر یک از فعالیتهای مشخص شده در هر دور چرخه، چه میزان از فاکتورهای سه گانه امنیت: یکپارچگی، در دسترس بودن و قابلیت اطمینان را میبایست تأمین کنند؟
اهداف مشخص تحقيق:
شناخت اهمیت و ضرورت امنیت اطلاعات
بررسی استانداردهای امنیتی
شناسایی شیوه های مختلف موجود در پیاده سازی سیستم مدیریت امنیت اطلاعات و بررسی آنها
تعریف فرمت پیشنهادی برای تعیین فعالیتهای هر یک از مراحل چرخه دیمینگ
ارائه چارچوبی برای اندازه گیریِ مراحل پیاده سازی این سیستم
مطالعهی موردی چارچوب ارائه شده در یک سازمان خاص
سؤالات تحقیق:
امنيت اطلاعات و سیاست امنیت اطلاعات چیست ؟
استانداردهای ISO/IEC 9000 و ISO/IEC 14000 در پیاده سازی سیستم مدیریت امنیت اطلاعات چه جایگاهی دارند؟
چه استانداردهای امنیتی برای مدیریت امنیت اطلاعات وجود دارد؟
ارتباط بین استانداردهای امنیتی ISO/IEC 27000 و جایگاه هرکدام در راستای پیاده سازی سیستم مدیریت امنیت اطلاعات به چه صورتی است؟
سیستم مدیریت امنیت اطلاعات چیست؟
چه متدولوژی ها و روشهایی برای پیاده سازی یک سیستم مدیریت امنیت اطلاعات موجود است؟
چه فرآیندهایی برای اخذ گواهینامه آن وجود دارد؟
چرخه مدیریتی دیمینگ چیست و در پیاده سازی سیستم مدیریت امنیت اطلاعات چگونه نقش ایفا مینماید؟
چگونه میتوان از استانداردهای امنیتی در چرخه مدیریتی دیمینگ برای پیاده سازی سیستم مدیریت امنیت اطلاعات استفاده نمود؟
.............................
|