اهميت و نقش سيستم مديريت امنيت اطلاعات در سازمان‏هاي دفاعي

واضح آرشیو وب فارسی:فارس: اهميت و نقش سيستم مديريت امنيت اطلاعات در سازمان‏هاي دفاعي
خبرگزاري فارس:باتوجه به رشد چشمگيرفناوري اطلاعات وارتباطات (ICT) دراواخرقرن بيستم وظهورعصر دانايي و اطلاعات درقرن حاضر، لزوم توسعه و بكارگيري فناوري اطلاعات وارتباطات (تكفا) درسطح كشور و نيز در حوزه دفاعي(تكفاد) ميهن اسلامي باعنايت به نقش و تاثيرگذاري آن برسامانه هاي C4I بنحو بارزي احساس مي شود .

چكيده:
باتوجه به رشد چشمگيرفناوري اطلاعات وارتباطات (ICT) دراواخرقرن بيستم وظهورعصر دانايي و اطلاعات درقرن حاضر، لزوم توسعه و بكارگيري فناوري اطلاعات وارتباطات (تكفا) درسطح كشور و نيز در حوزه دفاعي(تكفاد) ميهن اسلامي باعنايت به نقش و تاثيرگذاري آن برسامانه هاي C4I بنحو بارزي احساس مي شود .ليكن يكي ازموانع عمده، تهديدات امنيتي شايع ناشي ازفناوري اطلاعات وارتباطات ميباشدكه درصورت وقوع جدي اين تهديدات بشكل حملات اطلاعاتي وجنگ اطلاعات ميتوان گفت مرزهاي جغرافيايي وخط مقدم جبهه مفهوم خودرا ازدست داده وسامانه هاوشبكه هاي حياتي كشور نظير شبكه‌هاي نظامي ،مخابراتي ، آب ، برق ، گاز و شبكه‌هاي بانكي و تجاري كشوردچارخدشه وآسيب هاي شديد ميگردند [1] . بنابراين لازم
است علاوه برتوسعه وكاربري به تسلط بر فناوري اطلاعات وارتباطات بويژه درحوزه دفاعي پرداخته شود. لذا دراين نوشتار ضمن بررسي اجمالي و مروري بر استانداردهاي امنيتي، اهميت و نقش سيستم مديريت امنيت اطلاعات (ISMS) در سازمان‏هاي دفاعي مورد بررسي وتحليل قرار مي گيرد.

واژه هاي كليدي : سيستم مديريت امنيت اطلاعات (ISMS ) - تتفاد-BS7799 -ICT و C4 I

1. مقدمه
فوايد استفاده از فناوريهاي نوين مرتبط با پردازش اطلاعات از جمله كامپيوتر و شبكه‌هاي كامپيوتري امري بديهي است. يكي از لوازم و پيش نيازهاي اعتماد و اتكال به اين فناوريها اطمينان از برآورده شدن نيازهاي امنيتي سازمانها (خصوصا سازمانهاي نظامي با اطلاعات محرمانه) در بستر اين فناوريها است. اينكه منظور از امنيت چيست و چه مكانيزمهايي براي رسيدن به امنيت مورد نظر وجود دارد وابسته به نوع سازمان و نيازهاي سازمان است و هيچ دستورالعمل مشخصي و دقيقي از آن وجود ندارد ، البته استانداردهاي بين المللي همانند BS7799 وجود دارد كه سعي در ارايه مفهوم و هدف امنيت و راهكارها و مكانيزم هاي برقراري امنيت دارد [8] اين استانداردها بر اساس تجربه عملي چند ده ساله بسياري از سازمانها كه سعي در تأمين امنيت معقول و مناسب سازمان خود داشته‌اند تدوين شده است. لذا مي‌تواند به عنوان مرجع مقدمه و چارچوبي براي برقراري امنيت اطلاعات در سازمان باشد. بنابر ادعاي اين استانداردها برقراري امنيت اطلاعات در يك سازمان نياز به انجام يك فرايند تحليل مخاطره ( شامل شناسايي تهديدها، نقاط آسيب پذيري و منابع اطلاعاتي با ارزش سازمان ) دارد. بر اساس نتايج اين تحليل و با استفاده از موارد مذكور در استاندارد مي‌توان طرح عملي امن‌سازي سيستم اطلاعاتي يك سازمان را ارايه كرد. ، اهميت اين تحليل ريسك تا حدي است كه مميزان سازمان استاندارد جهاني BS7799 براي اعطاي گواهينامه استاندارد، انجام يك فرايند تحليل مخاطره را اجباري مي‌دانند و جزء بندهاي اصلي مميزي آنها مي‌باشد. [1] ، .بر خلاف ديد قالب در مورد امنيت سيستم‌هاي اطلاعاتي مبتني بر كامپيوتر، امنيت اطلاعات فقط اتخاذ روشهاي قوي رمزنگاري، نصب ديواره آتش و كلمه رمز عبور قوي نيست. اين موارد تنها بعد فني امنيت اطلاعات است. حتي در صورتي كه شما حداكثر كنترل‌هاي فني امنيتي را در سازمان خود پياده‌سازي كرده باشيد.
• يك كاربر ناآگاه مي‌تواند با ديدن يك فايل تصويريgif. تمام معادلات امنيتي شما را بهم بزند.
• ضعف در قوانين اداري در كنترل دسترسي فيزيكي افراد به ماشين سرويس دهنده نامه الكترونيكي مي‌تواند باعث لو رفتن
• تمام نامه‌هاي افراد سازمان شود.
• عدم وجود يك سيستم كه به صورت مستمر هنگام تغيير در سيستم كامپيوتري يك تحليل روي نقاط آسيب پذيري شبكه انجام مي‌دهد، امنيت را پس از هر تغيير زير سوال مي‌برد.
• عدم وجود يك تشكيلات مديريتي براي تصميم گيري‌هاي كلان در امنيت هنگام بروز بحران يا هنگام تغييرات اساسي در خط مشي تشكيلات سازمان باعث بروز مشكلات جدي در سازمان خواهد شد [2] .
2. ارزيابي فضاي امنيتي موجود
موارد ذكرشده درمقدمه ، مثالهايي هستند كه نشان مي‌دهند كه امنيت فقط در بعد فني آن خلاصه نمي‌شود و نياز به روالهاي اداري و تشكيلات سازماني و مديريتي دارد. ، امنيت يك فرايند مستمر است و برقراري امنيت در يك برهه‌ي زمان ( حتي به صورت كامل) به معناي امنيت براي هميشه نيست. لازم بذكراست كه در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات كشور، بويژه در حوزه سازمانهاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساخت‌هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات سازمان‌هاي دولتي اشاره نمود. ، بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات كشور، بواسطه فقدان زيرساخت‌هائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار كليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت‌هاي امنيت فضاي تبادل اطلاعات در كشور مي‌باشد. از سوي ديگر، وجود زيرساخت‌هاي فوق، قطعا تاثير بسزائي در ايمن‌سازي فضاي تبادل اطلاعات سازمانهاي دولتي خواهد داشت. [3] .
صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات سازمان‌هاي دولتي، از يكسو موجب بروز اخلال در عملكرد صحيح سازمان‌ها شده و كاهش اعتبار اين سازمان‌ها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات كشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات سازمان‌هاي دولتي بويژه درحوزه دفاعي ، لازم و ضروري به نظر مي‌رسد. . اين امر علاوه بر كاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت سازمان‌هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات كشور خواهد داشت. [3] .
3. استاندارد امنيتي BS7799
BS7799 استانداردي در جهت بالابردن امنيت اطلاعات در سازمان و شركت ها مي باشد. با كمك اين استاندارد كليه دارايي ها ليست و طبقه بندي شده ، تهديدها و نقاط ضعف امنيتي مشخص مي شوند و درنهايت كنترل هاي مختلف براي هريك از اين موارد لحاظ مي شوند. در واقع BS7799 نياز سازمان ها را در پياده سازي يك قالب موفق امنيتي برآورده مي سازد [1]. استاندارد BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند [9].
4. سيستم مديريت امنيت اطلاعات
4.1. الزامات عمومي
سازمان‌ها مايل به توسعه، پياده‌سازي، نگهداري و استمرار سيستم مديريت امنيت اطلاعات (ISMS) در متن و درون فعاليت‌هاي كاري خود مي‌باشد، لذا جهت برآورده شدن مقاصد اين استاندارد بين المللي از فرايندي مبتني بر مدل PDCA استفاده مي‌نمايد[4] .
4.2. ايجاد و مديريت سيستم مديريت امنيت اطلاعات (ISMS)
سيستم مديريت امنيت اطلاعات يا Information security Management system، سيستمي براي پياده‌سازي كنترل‌هاي امنيتي استاندارد BS7799 مي‌باشد كه با برقراري زيرساخت‌هاي مورد نياز، ايمني اطلاعات را تضمين مي‌نمايد. و همانطور كه در بالا اشاره شده مدل PDCA ساختاري است كه در پياده‌سازي ISMS بكار برده مي‌شود.
مراحل شش‌گانه ايجاد سيستم مديريت امنيت اطلاعات (ISMS) عبارتند از:
الف- تعيين و تعريف محدوده عملياتي ( ISMS (scope
اين محدوده مي‌تواند شامل مشخصات فعاليت‌هاي تجاري و كاري، سازمان، محل‌هاي مورد نظر از آن، داراييها و فناوري‌ها باشد.
ب- تعريف و تدوين سياست ISMS كه با توجه به تعيين محدوده عملياتي در برگيرنده موارد ذيل مي‌باشد.
1. شامل يك چارچوب براي تنظيم اهداف سازي و پي‌ريزي و استخراج يك سري قواعد كلي و دستورالعمل‌هاي امنيتي جهت حفاظت از اطلاعات سازمان
2. مد نظر قرار دادن نيازمندي‌هاي كاري و قانوني يا انظباطي و الزامات امنيتي مندرج در قرارداد.
3. بنيان نهادن مديريت مخاطره و تشكيلات امنيت سازماني جهت استقرار سيستم ISMS و نگهداري آن
4. ايجاد معياري جهت مقابله با مخاطرات ارزيابي شده و ساختمان برآورد ميزان مخاطره
5. و بعد از تدوين و گردآوري سند سياست ISMS ، بايستي توسط مدير ارشد سازمان مورد تاييد و تصويب قرار گيرد.
ج- تعريف يك رويكرد سيستماتيك براي برآورد ميزان ريسك و مخاطره تعيين يك روش برآورد و ارزيابي ميزان مخاطره مناسب و مرتبط با ISMS و تعيين امنيت اطلاعات كاري و تجاري،‌ الزامات انظباطي و قانوني، تنظيم اهداف و سياست‌هاي ISMS در راستاي كاهش ميزان مخاطرات به سطوح قابل قبول.
تعيين معياري براي پذيرش مخاطرات و استخراج سطوح قابل قبول مخاطرات (شكل 1-5)
د- تعيين مخاطرات
• تعيين داراييها داخل محدوده عملياتي و مالكين مربوطه
• تعيين تهديدات موجود بر عليه داراييها
• تعيين نقاط آسيب‌پذيري كه ممكن است توسط تهديدات امنيت مورد سوء استفاده و رخنه قرار گيرند.
• تعيين صدماتي كه باعث خدشه يا از دست رفتن پارامترهاي مهم امنيتي نظير محرمانگي اطلاعات، صحت و يكپارچگي آن و در دسترس بودن مي‌گردد.
هـ ) برآورد ميزان مخاطرات
[1] برآورد زيان‌هاي كاري ناشي از يك اشكال و خطاي امنيتي. در اين امر بايستي پيامدهاي احتمالي ناشي از دست رفتن محرمانگي، يكپارچگي و در دسترس بودن دارايي‌ها را مد نظر قرار داد.
[2] برآورد واقع گرايانه احتمال يك چنين اشكال امنيتي كه تحت تهديدات و آسيب‌پذيري‌هاي متداول رخ مي‌دهد و همچنين برآورد تاثيراتي كه بر اين داراييها اعمال مي‌شود وكنترل هايي كه در حال حاضر اعمال مي‌شود.
[3] تخمين سطوح مخاطرات
[4] تعيين مخاطرات قابل قبول يا نحوه مقابله و برخورد با آنها با استفاده از معيار بدست آمده در بخش ج1-2-4
و- شناسايي و ارزيابي حالت‌هاي مختلف، مقابله با مخاطرات:
فعاليت‌هاي ممكنه عبارتند از:
? اعمال كنترل‌هاي مناسب
? قبول هدفمند و عمدي مخاطرات به شرط آنكه، اين مخاطرات بوضوح سياست‌ها و معيارهاي سازمان در زمينه پذيرش مخاطره، برآورده نمايد.
? اجتناب و پرهيز از مخاطرات
? انتقال مخاطرات كسب و كاري اجتناب‌ناپذير به طرف‌هاي ديگر مانند شركت‌هاي بيمه و عرضه كننده
ز- گزينش اهداف كنترلي و كنترل‌هاي مربوط به مقابله با مخاطرات
اهداف كنترلي و كنترل‌ها، بايستي از ضميمه A ، اين استاندارد انتخاب شوند و اين گزينش بايستي بر اساس نتيجه‌گيري‌هاي حاصله از فرايند تشخيص و نحوه مقابله با مخاطره توجيه شود.
نكته: اهداف كنترلي و كنترل‌هاي فهرست شده در ضميمه A جامع و كامل نيستند و مي توان اهداف كنترلي و كنترل‌هاي اضافي ديگر برگزيد.
ح- تهيه بيانيه كاربردي و عملي
اهداف كنترلي و كنترل‌هاي ذكر شده و دلايل انتخاب آنها بايستي در بيانيه مذكور ذكر شود، همچنين هرگونه استثناي اهداف كنترلي و كنترل‌هاي فهرست در ضميمه A بايستي ثبت شود.
ط- موافقت مديريت نسبت به مخاطرات پيشنهادي اضافي و مجوز پياده‌سازي و اجراي ISMS را كسب نمود[7] .
4.3. پياده ‌سازي و اجراي سيستم مديريت امنيت اطلاعات ISMS در سازمان
الف- بايستي يك طرح و برنامه مقابله با مخاطره كه قادر باشد، فعاليت، مسئوليت‌ها و اولويت‌هاي مناسب مديريت را در راستاي مديريت نمودن بر مخاطرات امنيتي اطلاعات را شناسايي نمايد،فرموله و ارائه نمايد.
ب- به منظور نيل به اهداف كنترلي شناسايي شده، كه بايستي طرح مقابله با مخاطره و ريسك را پياده‌سازي نمايد كه در اين راستا،‌ ملحوظ داشتن هزينه‌ها، و اختصاص مسئوليت‌ها و نقش‌ها نيز مطرح مي‌باشد.
ج- كنترل‌هاي انتخاب شده را پياده‌سازي نمايد تا اهداف كنترلي را برآورده سازد.
د- برنامه‌هاي آموزشي و آگاه‌سازي را اجرا نمايد
هـ ) عمليات را مديريت نمايد.
و- منابع را بايستي مديريت نمايد
ز- روندها و ديگر كنترل‌هايي را كه ظرفيت آشكارسازي و عكس‌العمل نشان دادن سريع نسبت به حوادث امنيتي را داشته باشند،‌ بمرحله اجرا بگذارد[5] .
4.4. نظارت و مرور بر سيستم مديريت امنيت اطلاعات (ISMS)
سازمان بايستي در رابطه با نظارت موارد ذيل را انجام دهد.
الف- لازم است بمنظور كسب نتايج ذيل،‌ روندهاي نظارتي و ساير كنترل‌ها را اجرا نمايد.
• آشكارسازي خطاها در پردازش بطور آني
• تخلفات و رخدادهاي امنيتي موفق يا ناموفق را بطور آني شناسايي نمايد.
• مديريت را قادر بسازد كه مشخص نمايد آيا فعاليت‌هاي امنيتي محوله به افراد يا انجام شده بوسيله فناوري اطلاعات (IT) بنحو مورد انتظار صورت گرفته است يا خير.
• فعاليت‌هاي انجام شده براي رفع يك تخلف امنيتي را مشخص نمايد كه معرف اولويت‌هاي كاري مي‌باشند.
ب) مرور منظم ميزان اثربخشي سيستم مديريت امنيت اطلاعات ISMS را (از جمله ميزان برآورده سازي سياست و اهداف امنيتي و مرور كنترل‌هاي امنيتي)،‌ نتايج بازرسي‌ها و حوادث،‌ پيشنهادات و بازخوردهاي امنيتي برگرفته از تمام طرف‌هاي ذيربط بر عهده بگيرد.
ج) سطح مخاطره باقيمانده و مخاطره قابل قبول را با در نظر گرفتن تحولات بخش‌هاي ذيل مورد تجديد نظر و مرور قرار دهد.
• سازمان
• فناوري
• اهداف و فرايندهاي كاري
• تهديدات شناسايي شده
• رخدادهاي بيروني نظير تحول در محيط قانوني و انضباطي و تحولات اجتماعي
د- بازرسي‌هاي ISMS داخلي را در فواصل زماني از پيش تعيين اجرا نمايد.
هـ ) بطور منظم (حداقل سالي يكبار) تجديد نظر مديريتي بر روي ISMS را اجرا نموده تا مطمئن شود كه محدوده، گستره كار مناسب بوده و بهسازي‌هاي داخل فرايند ISMS شناسايي گردند
وـ فعاليت‌ها و رخدادهايي كه مي‌تواند به ميزان اثربخشي يا عملكرد ISMS تاثير گذارند را ثبت نمايد [8] .

4.5. حفظ و بهسازي ISMS
سازمان بايستي بطور منظم كارهاي ذيل را انجام دهد.
الف- بهسازي‌هاي شناسايي شده از براي ISMS را پياده‌سازي نمايد.
ب- اقدامات اصلاحي و پيشگيرانه مناسب را مبذول نمايد. درس‌هاي امنيت فرا گرفته شده از تجارب امنيتي ديگر سازمان‌ها و خود سازمان را بكار بگيرد.
ج- نتايج و فعاليت‌هاي مزبور را با كليه طرف‌هاي ذيربط و ذينفع در تعامل بگذارد.
د- اطمينان حاصل نمايد كه بهسازي‌هاي اعمال شده، مثمر ثمر بوده باشند[10] .
4.6. الزامات مستندسازي
كليات
مستندات و مدارك ISMS بايستي شامل موارد ذيل باشد:‌
الف- بيانيه‌هاي مستند شده مربوط به سياست امنيتي و اهداف كنترلي
ب- محدوده و گستره ISMS وروندها و كنترل‌هاي پشتيبان ISMS
ج- گزارش تشخيص و برآورد مخاطره
د- طرح ونقشه مقابله با مخاطره و ريسك
هـ - مراحل كاري مستند شده لازم براي سازمان كه اطمينان حاصل شود برنامه‌ريزي و عمليات و كنترل فرايندهاي امنيت اطلاعاتي آن ثمر بخش مي‌باشد.
و- سوابق لازم كه توسط استاندارد BS7799 اعلام گرديده است.
زـ بيانيه كاربردي
كليه مستندات بايستي همچنانكه سياست ISMS ملزم مي‌نمايد، در دسترس باشند.
نكته 1: در جاييكه عبارت روند مستندسازي شده (مراحل كاري مستند شده) در اين استاندارد مورد اشاره قرار مي‌گيرد منظور اين است كه روند مورد نظر، مستند، اجرا و حفظ و ابقا گرديده است.
نكته 2: گستره مستندات ISMS از سازماني به سازمان ديگر، بسته به موارد ذيل مي‌تواند متفاوت باشد.
• اندازه سازمان و نوع فعاليت‌هايش
• گستره و پيچيدگي الزامات امنيتي و سيستم مورد اداره
نكته 3: مستندات و سوابق مي‌توانند به هر شكل از رسانه‌ها بطور مثال مكتوب يا نشر الكترونيكي باشند.

4.6.1. كنترل مستندات
مستندات لازمه ISMS بايستي حفظ و كنترل شود. براي تعريف اقدامات مديريت بايستي يك روند مستند شده پايه‌ريزي گردد تا :‌
الف- مستندات به لحاظ كفايت و عدم نقض قبل از انتشار تصويب گردند.
ب- مستندات به ميزان ضروري مورد تجديد نظر و به روز گرديده و مجدداً تصويب شوند.
ج- اين اطمينان حاصل شود كه تغييرات انجام شده و وضعيت فعلي نياز يا عدم نياز به تجديد نظر مشخص گردد.
د- اين اطمينان حاصل شود كه در محل‌هايي كه لازم باشد آخرين نگارش‌هاي اسناد مربوط در دسترس باشد.
هـ - اين اطمينان حاصل شود كه مستندات خوانا و به سهولت قابل شناسايي باشند.
و- اسناد با ريشه خارج از سازمان (بيروني) قابل شناسايي باشند.
ز- اين اطمينان حاصل شود كه توزيع مستندات كنترل شده باشد.
ح- از اسناد منسوخ، استفاده سهوي نشود.
ط- اگر قرار است به هر دليلي اسناد منسوخ نگهداري شوند، به آنها برچسب شناسايي مناسب، زده شود[6] .
4.6.2. كنترل سوابق
لازم است به منظور تهيه شواهد انطباق با الزامات و همچنين عملكرد ثمر بخش ISMS سوابقي تهيه و نگهداري شود. اين سوابق بايستي كنترل گردند. ISMS با هرگونه الزامات قانوني مرتبط را بايستي هماهنگ شده باشد. سوابق بايستي خوانا، سهل الوصول و به راحتي قابل شناسايي باشند. كنترل‌هاي لازم براي شناسايي، انباشت، حفاظت، بازيابي، طول مدت نگهداري و نحوه چيدمان سوابق بايستي مستند گردند. يك فرايند مديريت بايستي نياز به سوابق و گستره آنها را مشخص كند.
سوابق عملكرد فرايند، و نيز كليه رخدادهاي حوادث امنيتي مرتبط با ISMS نگهداري شوند.
مثال:‌
مثال‌هاي سوابق نظير دفترچه ثبت ملاقات كنندگان، سوابق بازرسي و مجوز دسترسي
5. مسئوليت مديريت
5.1. تعهد مديريت
مديريت بايستي شواهد تعهدش را نسبت به پايه‌ريزي، پياده‌سازي، اجرا، نظارت ، مرور، نگهداري و بهسازي ISMS بطرق ذيل ارائه نمايد.
الف- با پايه‌ريزي يك خط مشي و سياست امنيت اطلاعات
ب- تضمين آنكه اهداف و طرح‌هاي امنيت اطلاعات پايه‌ريزي شده‌اند.
ج- پايه‌ريزي نقش‌ها و مسئوليت‌ها از براي امنيت اطلاعات
د- انتقال اهميت برآورده سازي اهداف امنيتي اطلاعات و تطابق با سياست امنيتي اطلاعات، مسئوليت‌هاي سازمان بر اساس قانون و نياز به بهبود مستمر به كليه قسمت‌هاي سازمان
هـ ـ مهيا نمودن منابع كافي به منظور توسعه، پياده‌سازي، عمليات و نگهداري ISMS
و- تعيين سطح قابل قبول مخاطره
ز- اعمال تجديد نظرهاي مديريت ISMS
5.2. مديريت منابع
سازمان بايستي منابع مورد نياز را مشخص و فراهم نمايد تا :‌
الف- يك ISMS را پايه‌ريزي، پياده‌سازي، عملياتي و حفظ نمايد.
ب- تضمين نمايد كه مراحل كاري يا روندهاي امنيتي اطلاعات، الزامات كاري را حمايت و پشتيباني نمايد.
ج- الزامات قانوني و انضباطي و وظايف امنيتي ناشي از قرارداد را شناسايي و مورد بررسي قرار دهد.
د- امنيت كافي را بوسيله كاربري صحيح كليه كنترل‌هاي پياده‌سازي شده برقرار سازد.
هـ ) هنگام ضرورت تجديد نظرهاي لازم را اجرا نموده و بطور مناسب در برابر نتايج اين تجديد نظر، عكس‌العمل نشان دهد.
و- جاييكه مورد نياز باشد، ميزان ثمر بخش بودن ISMS را بهبود بخشد[5] .
5.3. آموزش، آگاهي و شايستگي
سازمان بايستي مطمئن شود كه تمام افراد داراي مسئوليت تعريف شده در سيستم مديريت امنيت اطلاعات (ISMS) سازمان داراي صلاحيت و شايستگي لازم براي انجام وظايف محوله طبق پارامترهاي ذيل مي‌باشند.
الف- تعيين صلاحيت‌هاي لازم براي افراد كليدي و موثر در ISMS.
ب- فراهم نمودن آموزش شايستگي و احراز صلاحيت و در صورت لزوم، استخدام افراد مجرب و خبره براي ارضا و برآورده نمودن اين نيازها.
ج- ارزيابي و سنجش اثربخشي آموزش تدارك ديده شده و فعاليت‌هاي صورت گرفته.
د- حفظ و نگهداري سوابق آموزشي، مهارت‌ها، تجارب و گواهينامه‌هاي افراد
سازمان بايستي مطمئن شود كه تمام افراد ذيربط از اهميت و لزوم تعامل در فعاليت‌هاي امنيتي اطلاعاتي‌شان آگاه بوده و براي نيل به اهداف ISMS داراي قابليت‌هاي مشاركتي و تعامل خوب با يكديگر باشند[8] .
5.4. تجديد نظر و بازنگري مديريتي از سيستم مديريت امنيت اطلاعات (ISMS)
مديريت ارشد سازمان بايستي سيستم مديريت امنيت اطلاعات (ISMS) را در فواصل طرح‌ريزي شده به منظور اطمينان از تداوم تناسب، كفايت و اثربخشي آن، مورد بازنگري قرار دهد. اين بازنگري بايد شامل ارزيابي فرصت‌ها براي بهبود و نياز به اعمال تغييرات در ISMS شامل خط مشي و سياست امنيتي و اهداف امنيتي باشند. نتايج بازنگري‌ها بايستي بطور شفاف مدون و سوابق آن حفظ و نگهداري شوند.
5.4.1. ورودي‌هاي بازنگري
ورودي‌هاي بازنگري مديريت بايد حاوي اطلاعات ذيل باشند.
الف- نتايج مميزي‌هاي ISMS و بازنگري‌ها
ب- فيدبك و بازخورد از بخش‌هاي مورد نظر و مرتبط با ISMS
ج- تكنيك‌ها، توليدات با روش‌هايي كه بايستي توسط سازمان در راستاي بهينه‌سازي عملكرد ISMS و اثربخشي آن، مورد استفاده قرار بگيرد.
د- وضعيت اقدامات پيشگيرانه و اصلاحي
هـ - آسيب‌پذيري‌ها يا تهديداتي كه در تحليل و برآورد مخاطره قبلي بدرستي و بطور مناسب در نظر گرفته نشده‌اند.
و- پيگيري اقدامات تعيين شده در بازنگري قبلي مديريت
ز- اعمال هر گونه تغييرات كه مي‌تواند بر ISMS تاثير گذارد.
ح- پيشنهادات و توصيه‌هايي براي بهبود ISMS
5.4.2. خروجي‌هاي بازنگري
خروجي‌هاي بازنگري مديريت بايستي تمامي تصميم‌گيري‌ها و اقدامات مربوط به موارد ذيل را شامل شوند:‌
الف- بهبود اثربخشي ISMS
ب- تغيير و اصلاح روش‌هاي اجرايي كه بر امنيت اطلاعات اثر مي‌گذارد.
• الزامات كاري
• الزامات امنيتي
• فرايندهاي كاري برالزامات كاري موجود تاثير مي گذارد
• محيط قانوني يا انضباطي
• سطوح مخاطرات يا سطوح پذيرش مخاطره
• منابع مورد نياز
6. مميزي‌هاي داخلي ISMS
سازمان بايستي مميزهاي داخلي ISMS را در فواصل زماني مشخص و تعيين شده جهت سنجش اهداف كنترلي،‌ كنترل‌ها، فرايندها و روش‌هاي سيستم مديريت امنيت اطلاعات (ISMS) مستقر در سازمان انجام دهد:‌
الف- انطباق با الزامات استاندارد BS7799 و مرتبط با قوانين و قواعد
ب- انطباق با الزامات امنيت اطلاعات شناسايي شده‌
ج- تاثير آن در پياده‌سازي و حفظ و نگهداري
د- عملكرد مورد انتظار
يك برنامه مميزي با لحاظ نمودن ملاحظاتي نظير وضعيت و اهميت فرايندها و نواحي كه بايستي مميزي شوند، لازم است طراحي گردد يعني نتايج بازبيني‌هاي قبلي. معيار مميزي‌ها، محدوده مميزي، تاثير و روش‌هاي مميزي بايستي تعريف شوند. گزينش و انتخاب مميزان و انجام مميزها بايستي تضمين كننده اهداف و بي‌طرفي فرايند مميزي باشد. مميزان نبايست كارهاي خودشان را مميزي نمايند. در يك روش اجرايي مدون، بايستي مسئوليت‌ها و الزامات برنامه‌ريزي و هدايت مميزي‌ها و گزارش نتايج و نگهداري سوابق تعريف شوند. مديريت مسئول ناحيه تحت مميزي بايد اطمينان يابد كه اقدامات لازم براي حذف عدم انطباق‌هاي كشف شده و علل آنها، بدون تاخيرهاي بي‌مورد صورت گرفته‌اند. فعاليت‌هاي پيگيري شده جهت بهبود بايستي شامل تصديق فعاليت‌هاي انجام گرفته و گزارش تصديق نتايج باشند .
7. بهبود سيستم مديريت امنيت اطلاعات ( ISMS)
7.1. بهبود مستمر
سازمان بايستي از طريق بكارگيري سياست و خط مشي امنيتي اطلاعات، اهداف امنيتي، نتايج مميزي، تجزيه و تحليل رخدادهاي مشاهده شده، اقدامات اصلاحي پيشگيرانه و بازنگري مديريت. اثربخشي سيستم مديريت امنيت (ISMS) را به طور مستمر بهبود بخشد.
7.2. اقدامات اصلاحي
سازمان بايستي اقداماتي را براي حذف علل عدم انطباق‌هاي مرتبط با پياده‌سازي و عملكرد ISMS انجام دهد تا از وقوع مجدد آنها جلوگيري شود. اقدامات اصلاحي بايستي با اثرات عدم انطباق‌هاي ايجاد شده، متناسب باشند. بايد يك روش اجرايي مدون پايه‌گذاري نمود تا الزامات مربوطه به موارد زير را تعريف نمايد.
الف- شناسايي عدم انطباق‌هاي پياده‌سازي يا عملكرد ISMS.
ب- تعيين علل بروز عدم انطباق‌ها
ج- ارزيابي اقدامات لازم براي حصول اطمينان از تكرار نشدن عدم انطباق‌ها.
د- تعيين و پياده‌سازي اقدامات اصلاحي مورد نياز.
هـ - ثبت سوابق مربوطه به نتايج اقدامات صورت گرفته
و- بازنگري اقدامات اصلاحي انجام شده.
7.3. اقدامات پيشگيرانه
سازمان بايستي اقداماتي را براي حذف علل عدم انطباق‌هاي بالقوه و آتي انجام دهد تا از وقوع آنها جلوگيري شود. اقدامات پيشگيرانه بايستي متناسب با اثرات مشكلات بالقوه باشد. بايد يك روش اجرايي مدون پايه‌گذاري گردد تا الزامات مربوطه به موارد ذيل را تعريف نمايد.
الف- شناسايي عدم انطباق‌هاي بالقوه و علل آنها
ب- تعيين و پياده‌سازي اقدامات پيشگيرانه مورد نياز
ج- ثبت سوابق مربوطه به نتايج اقدامات صورت گرفته
د- بازنگري اقدامات پيشگيرانه انجام شده
ه ـ شناسايي مخاطرات تغيير يافته و اطمينان از اينكه روي مخاطرات تغيير يافته با اهميت توجه و تمركز باشد.
اولويت‌ اقدامات پيشگيرانه بايستي مبتني بر نتايج ارزيابي و برآورد مخاطره باشد[7] .

8. جمع بندي
• امنيت فقط در بعد فني آن خلاصه نمي‌شود و نياز به روالهاي اداري و تشكيلات سازماني و مديريتي دارد.
• راهبردهاي كوتاه مدت امنيت عبارتند از : شناسائي و رفع ضعفهاي امنيتي ، آگاهي‌رساني به كاربران و كنترل و اعمال محدوديت در ارتباطات شبكه داخلي سازمان
• جلوگيري از حملات و دسترسي‌هاي غيرمجاز، عليه سرمايه‌هاي فضاي تبادل اطلاعات سازمان
• مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطلاعات سازمان
• كاهش رخنه‌پذيريهاي سرمايه‌هاي فضاي تبادل اطلاعات سازمان
• نمونه‌هائي از اهداف ميان مدت امنيت :
• تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت‌افزارها، متناسب با حساسيت آنها.
• تامين صحت عملكرد و قابليت دسترسي براي نرم‌افزارها، متناسب با حساسيت آنها.
• تامين محرمانگي، صحت و قابليت دسترسي براي اطلاعات، متناسب با طبقه‌بندي اطلاعات از حيث محرمانگي.
• تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات، متناسب با طبقه‌بندي اطلاعات از حيث محرمانگي و حساسيت ارتباطات.
• تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگوئي، حريم خصوصي و آگاهي‌رساني امنيتي براي كاربران شبكه، متناسب با طبقه‌بندي اطلاعات قابل دسترس و نوع كاربران .
• اقدامات پيشگيرانه اغلب از اقدامات اصلاحي ارجح تر وباصرفه تر مي‌باشند.

9. منابع و مراجع
1. http://www.sgnec.net/Articledet-f.asp?number=39
2. http://www.sgnec.net/Articledet-f.asp?number=41
3. http://www.sgnec.net/Articledet-f.asp?number=43
4. http://www.sgnec.net/Articledet-f.asp?number=46
5. http://www.iwar.org.uk/comsec/resources/bs7799/works.htm
6. http://www.gammassl.co.uk/bs7799/works.html
7. http://www.sgnec.net/Articledet-f.asp?number=47
8. http://www.sgnec.net/bs7799.asp
9. http://www.sgnec.net/Articledet-f.asp?number=48
10. http://www.sgnec.net/Articledet-f.asp?number=54

نويسنده: رحمت ‌اله اميرصوفي
............................................................................................................
انتهاي پيام/

سه|ا|شنبه|ا|20|ا|اسفند|ا|1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فارس]

[مشاهده در: www.farsnews.com]

[تعداد بازديد از اين مطلب: 641]