نويسنده: احسان كيانخواه چالشهاي برقراري امنيت اطلاعات درايران

واضح آرشیو وب فارسی:فارس: نويسنده: احسان كيانخواه چالشهاي برقراري امنيت اطلاعات درايران
خبرگزاري فارس:در اين آشفته بازار ايمن سازي سيستم هاي مبتي بر IT و آمادگي در برابر تهديدات دشمنان در اين حوزه لازم است بخشي بصورت متمركز و تاثير گذار و عامل در برقراي امنيت اطلاعات در سازمان ها شكل بگيرد كه هم از دل حراست ها بوده و هم با بدنه سازمان ارتباط تنگاتنگي داشته باشد.

ماده 123 برنامه چهارم توسعه : «به منظور بهينه كردن استفاده از فناوري‌ها در امور امنيتي و انتظامي، شوراي امنيت كشور موظف است، با همكاري دستگاه‌هاي ذي‌ربط، نسبت به سياست‌گزاري و استانداردسازي سامانه حفاظتي و امنيتي مورد نياز سازمانها، حراست ادارات، نهادها و وزارتخانه‌ها، اقدام نمايد.»

سه سال از شروع برنامه چهارم توسعه مي گذرد و شاهد تلاش هاي جدي و منسجم در حفاظت از داده هاي ملي و منطقه اي نيستيم . در بخشنامه ها شاهد تكرار موضوعي با عنوان «لزوم راه اندازي سامانه مديريت امنيت (حفاظت) اطلاعات ISMS و تكليف برنامه توسعه چهارم» و يا مواردي از اين دست در عدم استفاده از سخت افزاري خاص و يا محدود نمودن ترمينال ها و بكارگيري نرم افزارها و سخت افزار هاي اتصال به اينترنت هستيم كه بعضا حتي انشاء ها نيز كاملا شبيه هم است!

البته همه اين موارد خوب و انجام آن راه گشا است اما با بخشنامه و يا بيان مصداق ضعف امنيتي سيستم ها برطرف نشده و مخاطرات از بين نمي رود.

استاندارد «سيستم مديريت امنيت (حفاظت) اطلاعات يا (ISMS(Information Security Management System) مجموعه اي از استاندارد هاي مصوب سازمان بين المللي استاندارد (ISO) و كميسيون الكتروتكنيكال (IEC) با نام اختصاري ISO27K است كه در بر گيرنده هفت الي هشت (و در حال افزايش) استاندارد منتشرشده و يا در حال انتشار است كه مجموعه اي از بهترين رهيافت هاي مديريت امنيت اطلاعات و كنترل مخاطرات را در بر دارد. اين سند بيان مي دارد امنيت اطلاعات با بكارگيري مجموعه اي از كنترل هاي مناسب خط مشي ها ، فرايندها ، رويه ها ، ساختار سازماني ، ابزار نرم افزاري و سخت افزاري مناسب دست يافتني است.

در كشور ما فعاليت مديران به نوشتن و كپي برداري از بخشنامه ها و نامه هاي ادارات مشابه و كارشناسان به نوشتن شرح خدمات مورد نياز طبق توانمدي پيمانكاران محدود است . خوشبينانه ترين حالت اجراي ISMS در مجموعه هاي دولتي توليد چندين جلد الزامات و دستورات با هزينه هاي چند ده ميليوني كه بايستي با توجه به نياز سازمان طراحي و تدوين گردد اما بيشتر از متن هايي كه بصورت عمومي و كلي مي باشند ، شامل شده است.

در مجموعه هاي دولتي بخشي بنام فناوري اطلاعات وجود دارد كه با توجه به درجه اهميت موضوع بخشي را تشكيل داده كه وظيفه به ثمر رساندن بخشنامه ها را به عهده دارد كه عموماً با گسترش خصوصي سازي و برون سپاري فعاليت هاي سازمان امنيت نيز به پيمانكاران سپرده شده و از يكسري اصول ايمن سازي كه دستاورد شركت هاي خارجي است براي امن سازي استفاده مي شود و ما فن آوري آنها را با دستورالعمل خودشان ايمن مي سازيم و حتي بصورت كامل هم اينكار را انجام نمي دهيم .

از طرفي ديگر طبق ابلاغيه هاي ديگري حراست ها نيز موظف به راه اندازي بخشي بنام حراست IT شده اند كه اين تشكيلات هم به همان آفت قبل مبتلا است و صرفا وظيفه هندل كردن دستورالعمل ها را به عهده دارد و عملا تاثير موثري در فرآيندهاي امن سازي نمي گذارد و انگيزه نيروي هاي بكارگرفته شده از بين مي رود.

در اين آشفته بازار ايمن سازي سيستم هاي مبتي بر IT و آمادگي در برابر تهديدات دشمنان در اين حوزه لازم است بخشي بصورت متمركز و تاثير گذار و عامل در برقراي امنيت اطلاعات در سازمان ها شكل بگيرد كه هم از دل حراست ها بوده و هم با بدنه سازمان ارتباط تنگاتنگي داشته باشد و به سياستگذاري ، استاندارد سازي ، طراحي برنامه راهبردي و پياده سازي و كنترل و نظارت با توجه به نياز هر سازمان و محدوده عملكردي آن بپردازد.نكته مهم ديگري كه مورد غفلت قرار مي گيرد آموزش و ارتقاء سطح آگاهي كاركنان در مواجهه با فن آوري اطلاعات و حفظ نكات ايمني است ، همه كاركنان سازمان را بايد براي حفاظت از اطلاعات متعهد و پاسخگو نمود.
........................................................................................
انتهاي پيام/
سه شنبه 12 آذر 1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فارس]

[مشاهده در: www.farsnews.com]

[تعداد بازديد از اين مطلب: 102]