واضح آرشیو وب فارسی:پایگاه خبری ورزش ایران: مديريت امنيت اطلاعات
آنهايي كه به امنيت اطلاعات اهميت نميدهند بخوانند
نوشته : آرش كريم بيگي
[email protected]
ظهور تكنولوژي ارتباطات و اينترنت امكان" اشتراك اطلاعات" و "تبادل آسان اطلاعات" بين سيستمهاي كامپيوتري را به وجود آورده است. اين فناوريهاي نوين با غلبه بر فاصله ها و محدوديتهاي فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستمها را بشدت تحت تأثر قرار دادهاند. اين فناوريهاي نوين بستري مناسب را براي انجام مبادلات تجاري، ارائه خدمات آنلاين مانند بانكداري الكترونيكي و خدمات دولت الكترونيكي ايجاد كرده اند.
IT يك سكه دوروست: هم فرصت است و هم تهديد ! اگر به همان نسبتي كه به توسعه و همه گيري اش توجه و تكيه ميكنيم به "امنيت" آن توجه نكنيم ميتواند به سادگي و در كسري از ثانيه تبديل به يك تهديد و مصيبت بزرگ شود. اين مصائب را در ذهن خود مجسم كنيد:
- شبكه بانكي كشور هك شده و كليه اطلاعات بانكي, كلمات عبور كارتها دزديده شده و مبالغ كلاني جابجا شده...
- سيستم مديريت شبكه برق كشور توسط نفوذگران فلج شده...
- تمام اطلاعات و سوابق شخصيتان بواسطه نفوذ هكرها به بانك اطلاعاتي سازمان ثبت احوال سرقت شده...
- شبكه مخابراتي كشور فلج شده...هيچ تماس تلفني داخلي،بين شهري و بين المللي ممكن نيست...
- و دهها سناريوي وحشتناك ديگر...
فكر كنم حالا به باور من رسيديد : IT ميتواند به همان سرعتي كه باعث رفاه و بالارفتن توانايي ها ميشود ميتواند باعث خلق مصائبي اين چنيني شود و كشوري را فلج كند !
هميشه بايد نگران باشيد !
تا اوايل دهه هفتاد، فعاليتهاي مربوط به دسترسي و محافظت از اطلاعات در سازمانها و شركتها محدود به محلهاي نگهداري اين اطلاعات شامل آرشيو اسناد و شبكههاي محلي كامپيوتري بود. در چنين محيطهايي، روشهاي حفاظت فيزيكي امنيت سيستمها و اطلاعات را تا حد بسيار بالايي تأمين ميكرد. اگرچه مزاياي فضاي تبادل اطلاعات غير قابل انكار است، ولي اتصال سيستمهاي داخلي به شبكههاي خارجي و بين المللي و ارائه خدمات و مبادله اطلاعات از طريق اين شبكهها خطرات و تهديدات جديدي را ايجاد كردهاست. مهمترين نگرانيهاي امنيتي مرتبط با سيستم هاي اطلاعاتي شامل دستيابي نفوذگران به سيستمهاي اطلاعاتي و سرقت اطلاعات آنهاذ- ايجاد وقفه و اختلال در ارائه سرويسهاي حياتي و تغيير يا تخريب اطلاعات ميباشند. بديهي است كه در اين شرايط روشهاي حفاظت فيزيكي به تنهايي قادر به تامين امنيت نخواهند بود و شما ناچار از بكارگرفتن روشهاي جديد حفاظت اطلاعات و كنترل دسترسيها به منابع سازمان شدهاند.
تاريخچه استاندارد امنيت
براي پيشگيري از تهديدهاي امنيتي متدها و استاندارهاي مختلفي تا بحال ارائه شده است اما كاملترين و معروف ترين آنها استاندارد BS7799 است كه در اين مقاله قصد معرفي آن را دارم!
تاريخچه اين استاندارد نام كاملش British Standard 7799 است به زمان تاسيس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry در سال 1987 برميگردد.
اين مركز براي تعيين و تعريف معيارها و استانداردهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليد شده توسط توليد كنندگان تجهيزات امنيتي و اعطاي نشان ها و تاييده هاي بين المللي و همچنين كمك به كاربران اين گونه تجهيزات تاسيس شد.
CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت كرد كه به Users Code of Practice معروف شد. مدتي بعد كيفيت و كميت اين كدها از سوي مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران مورد بررسي قرار گرفت و درنهايت به صورت نخستين نسخه استاندارد امنيت با عنوان "مستندات راهبري PD 003 " در انگلستان منتشر شد. نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.
با توجه به تجارب گذشته اين گروه در گردآوري سناد و قوانين و مستندات امنيتي استاندارد امنيتي BS7799 توسط اين گروه منتشر گرديد و در فوريه 1998 قسمت دوم اين استاندارد با عنوان سيستم مديريت امنيت اطلاعات يا Information Security Management System كه حالا ديگر آن را به اختصار ISMS مينامند منتشر شد.
طي سالهاي 1999 تا 2002 بازنگري ها و تغييرات زيادي روي اين استاندارد صورت گرفته، در سال 2000 با افزودن الحاقيه هايي به استاندارد BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود اين استاندارد تحت عنوان استاندارد امنيتي ISO/IEC17799 به ثبت رسيد.
BS7799
BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.
Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.
Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.
استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلي عبارتند از :
1- سياستهاي امنيتي
2- امنيت سازمان
3- كنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيكي
6- مديريت ارتباط ها
7- كنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10- سازگاري با موارد قانوني
فوائد استاندارد BS7799 و لزوم پياده سازي
استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:
- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شركاي تجاري
- امكان رقابت بهتر با ساير شركت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد
ISMS ، سيستم مديريت امنيت اطلاعات
پاسخ اغلب سازمانها در مواجهه با تهديدات امنيتي، خريد محصولات امنيتي مانند فايروال و برنامههاي ضدويروس، و بكارگيري آنها در سيستمهاي كامپيوتري است. اما استفاده از گرانقيمتترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي ،استفاده از روالهاي استاندارد در بكارگيري و كنترل سيستم هاي امنيتي و بروز رساني مداوم اين سيستمها به تنهائي كارساز نخواهند بود.
ISMS به مديران اين امكان را ميدهد تا بتوانند امنيت سيستم هاي خود را با به حداقل رساندن ريسك هاي تجاري كنترل كنند.
سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات مذكور در سيستمهاي اطلاعاتي ميباشد يك سيستم جامع امنيتي بر سه پايه بنا ميشود:
سياستها و دستورالعملهاي امنيتي : طرحها و برنامههاي مرتبط براي نحوه محافظت از سيستمهاي اطلاعاتي و دادههاي آنها در اين قسمت مورد توجه قرار مي گيرد. استراتژي امنيتي در دو بخش غيرفني و فني ارائه ميگردد. بخش غيرفني شامل تعيين سطوح امنيتي مطلوب و انتخاب استانداردهاي امنيتي و بخش فني شامل تهيه دستورالعملهاي لازم براي بكارگيري و نظارت بر اجزاي سيستم امنيتي جهت نيل به اهداف استراتژيك ميباشد.
تكنولوژي و محصولات امنيتي: اين قسمت شامل تمام ابزارهاي مورد استفاده در بخشهاي مختلف امنيتي براي اعمال دستورالعملها، كنترل و نظارت ميباشد. ابزارهاي محافظتي و نظارت بر شبكه، سيستمهاي كنترل دسترسي و راهكارهاي ضدويروس در اين بخش مطرح ميگردند .
عوامل اجرايي: افراد مرتبط با مديريت و اجراي سيستم امنيتي شامل مديران سيستمها و شبكهها، پرسنل و كاربران عادي در اين قسمت جاي دارند. اين عوامل از تكنولوژي و ابزارها در جهت اجراي سياستها و دستورالعملهاي امنيتي استفاده ميكنند.
مشاور امنيتي بگيريد
با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟
مديران سازمانها و ادارات دولتي و خصوصي براي خود يك دو جين مشاور و معاون و پيمانكار ميتراشتند و دور خود جمع ميكنند اما چرا ميان آنها يك مشاور امنيتي و پيمانكار پياده سازي استانداردهاي امنيت اطلاعات نيست ؟! شايد به اين دليل باشد كه اول بايد "بلا" نازل شود و بعد به فكر "درمان"اش باشيم ! اما اگر مديران ايراني به اين نكته توجه كنند كه "ايران در صدر جدول جرايم رايانه اي خاورميانه قرار دارد" شايد حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنيت اطلاعات و حتي پياده سازي مباني مديريت امنيت اطلاعات را بدهند.
سازماندهي و مديريت اجزاي اطلاعاتي و امنيتي يك سازمان نياز به يك سيستم مديريت امنيت اطلاعات خواهد داشت كه كليه عوامل اجرايي، رويه ها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار ميدهد و با برقراري امكان نظارت و بهبود مستمر، امنيت كل مجموعه راتامين ميكند. امروزه يك سازمان يا شركتي كه از راه حل هاي مبتني بر فناوري اطلاعات و ارتباطات براي انجام امور و خدمات خود استفاده ميكند بايد همانطور كه يك مشاور و پيمان كار سخت افزار و شبكه و نرم افزار دارد مشاور و حتي پيمانكاري اختصاصي براي ارزيابي مداوم ضريب امنيتي مجموعه خود و اعمال راه حل هاي پيشنهادي از سوي مشاور امنيتي براي جلوگيري از ضرور و زيان احتمالي داشته باشد.
يك مشاور و پيمانكار امنيتي بايد خدمات مرتبط با تحليل، طراحي و اجراي سيستمهاي مديريت امنيت اطلاعات را به شرح زير ارائه دهد:
ارائه مشاوره در زمينه تهيه سياستها و استراتژيهاي امنيتي
طراحي و مستندسازي رويه ها و دستورالعملهاي امنيتي مطابق با استانداردهاي امنيت اطلاعات(BS7799/ISO17799)
ارائه مشاوره و خدمات فني جهت دريافت گواهينامه امنيت اطلاعات BS7799
ارائه خدمات آموزش امنيتي براي مديران و پرسنل پيرامون سيستمهاي امنيت اطلاعات
شناسائي و مستندسازي ضعفهاي امنيتي و تهديدات مرتبط براي سيستمهاي اطلاعاتي، شبكههاي رايانهاي و روالهاي سازماني
طراحي و پيادهسازي راهكارهاي حفاظتي و كنترلي براي سيستمهاي اطلاعاتي و شبكههاي كامپيوتري
ارائه خدمات سختافزاري و نرمافزاري جهت نظارت بر اجزاي سيستم مديريت اطلاعات:
خدمات بررسي آسيبپذيريهاي امنيتي
راهكارهاي مديريت آسيبپذيريهاي امنيتي
ISMS در ايران
متاسفانه تابحال هيچ سازمان ايراني اي موفق به كسب گواهينامه ISMS نشده است. (شايد حتي تلاشي هم صورت نگرفته باشد!) در حالي كه تاكنون يك هزار و سيصد و بيست و هفت سازمان از كشورهاي مختلف گواهي مديريت امنيت اطلاعات را كسب كرده اند، هيچ سازمان ايراني موفق به دريافت اين گواهينامه نشده است.
آخرين آمار منتشر شده در پايگاه اينترنتي http://www.xisec.com كه ارگان "گروه كاربران بينالمللي مديريت امنيت اطلاعات ICTيا " IUG است، تعداد سازمانهايي كه در جهان موفق به اخذ گواهي مديريت امنيت اطلاعات شدهاند به ۱۳۲۷سازمان رسيده است كه از اين ميان بيشترين تعداد سازمان داراي گواهي ISMSمتعلق به كشور ژاپن است. در واقع ۶۲۱سازمان از ۱۳۲۷سازمان داراي گواهي ISMSدر دنيا متعلق به كشور ژاپن است. بعد از كشور ژاپن كشور انگليس قرار دارد كه تعداد سازمانهاي داراي گواهي مزبور در اين كشور ۲۰۷سازمان است.
اين در حالي است كه در آخرين امار منتشر شده از پايگاه اينترنتي معتبر IUGنام كشورهايي مانند قطر، مصر عربستان نيز به چشم ميخورد، اما هنوز هيچ سازماني در ايران موفق به اخذ گواهي ISMSنشدهاست.
متاسفانه مقوله امنيت در ايران چندان جدي گرفته نشده و حداكثر محدود به فروش و نصب فايروال و آنتي ويروس است. اما در يكي دو سال اخير چند شركت خصوصي ادعاهايي را در زمينه مديريت امنيت اطلاعات و پياده سازي راه كارهاي امنيتي مطرح كرده اند كه از آن ميان ميتوان به شركتهايي نظير امن افزارگستر شريف, داده بان آريا و آشنا ايمن اشاره كرد.با اين حال اخيرا مناقصاتي در شركتهاي تابعه وزارت ارتباطات و فن آوري اطلاعات مانند شركت داده، شركت ارتياطات سيار و شركت مخابرات استان تهران در زمينه پيادهسازي ISMSدر حال اجراست كه اميدواريم استاندارد BS۷۷۹۹ نيز حداقل در بخشي از شركتهاي مرتبط با زيرساختهاي فنآوري اطلاعات كشور جهت برقراري سطح قابل قبولي از امنيت اطلاعات در انها طراحي و پيادهسازي شود.
* درنگارش اين مقاله از منابع و مستندات موجو�
لينك ثابت || اضافه شده توسط آرش كريم بيگي|| نسخه قابل چاپ || بازگشت به صفحه اصلي || آرش كريم بيگي
| More
براي عضويت در خبرنامه روزانه ايستنا؛ نشاني پست الكترونيكي خود را در فرم زير وارد نماييد. پس از آن به صورت خودكار ايميلي به نشاني شما ارسال ميشود، براي تكميل عضويت خود و تاييد صحت نشاني پست الكترونيك وارد شده، مي بايست بر روي لينكي كه در اين ايميل برايتان ارسال شده كليك نماييد. پس از آن پيامي مبني بر تكميل عضويت شما در خبرنامه روزانه ايستنا نمايش داده ميشود.
ictna/BHwZen_US
ثبت نام
سه|ا|شنبه|ا|20|ا|دي|ا|1390
این صفحه را در گوگل محبوب کنید
[ارسال شده از: پایگاه خبری ورزش ایران]
[تعداد بازديد از اين مطلب: 287]