مديريت امنيت اطلاعات

واضح آرشیو وب فارسی:پایگاه خبری ورزش ایران: مديريت امنيت اطلاعات
آنهايي كه به امنيت اطلاعات اهميت نميدهند بخوانند

نوشته : آرش كريم بيگي

[email protected]

ظهور تكنولوژي ارتباطات و اينترنت امكان" اشتراك اطلاعات" و "تبادل آسان اطلاعات" بين سيستم‌هاي كامپيوتري را به وجود آورده است. اين فناوري‌هاي نوين با غلبه بر فاصله ها و محدوديتهاي فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستم‌ها را بشدت تحت تأثر قرار داده‌اند. اين فناوري‌هاي نوين بستري مناسب را براي انجام مبادلات تجاري، ارائه خدمات آنلاين مانند بانكداري الكترونيكي و خدمات دولت الكترونيكي ايجاد كرده اند.

IT يك سكه دوروست: هم فرصت است و هم تهديد ! اگر به همان نسبتي كه به توسعه و همه گيري اش توجه و تكيه ميكنيم به "امنيت" آن توجه نكنيم ميتواند به سادگي و در كسري از ثانيه تبديل به يك تهديد و مصيبت بزرگ شود. اين مصائب را در ذهن خود مجسم كنيد:

- شبكه بانكي كشور هك شده و كليه اطلاعات بانكي, كلمات عبور كارتها دزديده شده و مبالغ كلاني جابجا شده...

- سيستم مديريت شبكه برق كشور توسط نفوذگران فلج شده...

- تمام اطلاعات و سوابق شخصيتان بواسطه نفوذ هكرها به بانك اطلاعاتي سازمان ثبت احوال سرقت شده...

- شبكه مخابراتي كشور فلج شده...هيچ تماس تلفني داخلي،بين شهري و بين المللي ممكن نيست...

- و دهها سناريوي وحشتناك ديگر...

فكر كنم حالا به باور من رسيديد : IT ميتواند به همان سرعتي كه باعث رفاه و بالارفتن توانايي ها ميشود ميتواند باعث خلق مصائبي اين چنيني شود و كشوري را فلج كند !

هميشه بايد نگران باشيد !

تا اوايل دهه هفتاد، فعاليت‌هاي مربوط به دسترسي و محافظت از اطلاعات در سازمانها و شركت‌ها محدود به محل‌هاي نگهداري اين اطلاعات شامل آرشيو اسناد و شبكه‌هاي محلي كامپيوتري بود. در چنين محيط‌هايي، روشهاي حفاظت فيزيكي امنيت سيستم‌ها و اطلاعات را تا حد بسيار بالايي تأمين مي‌كرد. اگرچه مزاياي فضاي تبادل اطلاعات غير قابل انكار است، ولي اتصال سيستم‌هاي داخلي به شبكه‌هاي خارجي و بين المللي و ارائه خدمات و مبادله اطلاعات از طريق اين شبكه‌ها خطرات و تهديدات جديدي را ايجاد كرده‌است. مهمترين نگراني‌هاي امنيتي مرتبط با سيستم هاي اطلاعاتي شامل دستيابي نفوذگران به سيستم‌هاي اطلاعاتي و سرقت اطلاعات آنهاذ- ايجاد وقفه و اختلال در ارائه سرويس‌هاي حياتي و تغيير يا تخريب اطلاعات مي‌باشند. بديهي است كه در اين شرايط روشهاي حفاظت فيزيكي به تنهايي قادر به تامين امنيت نخواهند بود و شما ناچار از بكارگرفتن روش‌هاي جديد حفاظت اطلاعات و كنترل دسترسي‌ها به منابع سازمان شده‌اند.

تاريخچه استاندارد امنيت

براي پيشگيري از تهديدهاي امنيتي متدها و استاندارهاي مختلفي تا بحال ارائه شده است اما كاملترين و معروف ترين آنها استاندارد BS7799 است كه در اين مقاله قصد معرفي آن را دارم!

تاريخچه اين استاندارد نام كاملش British Standard 7799 است به زمان تاسيس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry در سال 1987 برميگردد.

اين مركز براي تعيين و تعريف معيارها و استانداردهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليد شده توسط توليد كنندگان تجهيزات امنيتي و اعطاي نشان ها و تاييده هاي بين المللي و همچنين كمك به كاربران اين گونه تجهيزات تاسيس شد.

CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت كرد كه به Users Code of Practice معروف شد. مدتي بعد كيفيت و كميت اين كدها از سوي مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران مورد بررسي قرار گرفت و درنهايت به صورت نخستين نسخه استاندارد امنيت با عنوان "مستندات راهبري PD 003 " در انگلستان منتشر شد. نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

با توجه به تجارب گذشته اين گروه در گردآوري سناد و قوانين و مستندات امنيتي استاندارد امنيتي BS7799 توسط اين گروه منتشر گرديد و در فوريه 1998 قسمت دوم اين استاندارد با عنوان سيستم مديريت امنيت اطلاعات يا Information Security Management System كه حالا ديگر آن را به اختصار ISMS مينامند منتشر شد.

طي سالهاي 1999 تا 2002 بازنگري ها و تغييرات زيادي روي اين استاندارد صورت گرفته، در سال 2000 با افزودن الحاقيه هايي به استاندارد BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود اين استاندارد تحت عنوان استاندارد امنيتي ISO/IEC17799 به ثبت رسيد.

BS7799

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.

Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.

Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي

2- امنيت سازمان

3- كنترل و طبقه بندي دارايي ها

4- امنيت فردي

5- امنيت فيزيكي

6- مديريت ارتباط ها

7- كنترل دسترسي ها

8- روشها و روالهاي نگهداري و بهبود اطلاعات

9- مديريت تداوم كار سازمان

10- سازگاري با موارد قانوني

فوائد استاندارد BS7799 و لزوم پياده سازي

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

- ايجاد اطمينان نزد مشتريان و شركاي تجاري

- امكان رقابت بهتر با ساير شركت ها

- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد

ISMS ، سيستم مديريت امنيت اطلاعات

پاسخ اغلب سازمان‌ها در مواجهه با تهديدات امنيتي، خريد محصولات امنيتي مانند فايروال و برنامه‌هاي ضد‌ويروس، و بكارگيري آنها در سيستم‌هاي كامپيوتري است. اما استفاده از گرانقيمت‌ترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي ،استفاده از روالهاي استاندارد در بكارگيري و كنترل سيستم هاي امنيتي و بروز رساني مداوم اين سيستم‌ها به تنهائي كارساز نخواهند بود.

ISMS به مديران اين امكان را ميدهد تا بتوانند امنيت سيستم هاي خود را با به حداقل رساندن ريسك هاي تجاري كنترل كنند.

سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات مذكور در سيستم‌هاي اطلاعاتي مي‌باشد يك سيستم جامع امنيتي بر سه پايه بنا مي‌شود:

سياستها و دستورالعملهاي امنيتي : طرحها و برنامه‌هاي مرتبط براي نحوه محافظت از سيستم‌هاي اطلاعاتي و داده‌هاي آنها در اين قسمت مورد توجه قرار مي گيرد. استراتژي امنيتي در دو بخش غير‌فني و فني ارائه مي‌گردد. بخش غيرفني شامل تعيين سطوح امنيتي مطلوب و انتخاب استانداردهاي امنيتي و بخش فني شامل تهيه دستورالعملهاي لازم براي بكارگيري و نظارت بر اجزاي سيستم امنيتي جهت نيل به اهداف استراتژيك مي‌باشد.

تكنولوژي و محصولات امنيتي: اين قسمت شامل تمام ابزارهاي مورد استفاده در بخش‌هاي مختلف امنيتي براي اعمال دستورالعملها، كنترل و نظارت مي‌باشد. ابزارهاي محافظتي و نظارت بر شبكه، سيستم‌هاي كنترل دسترسي و راهكارهاي ضدويروس در اين بخش مطرح مي‌گردند .

عوامل اجرايي: افراد مرتبط با مديريت و اجراي سيستم امنيتي شامل مديران سيستم‌ها و شبكه‌ها، پرسنل و كاربران عادي در اين قسمت جاي دارند. اين عوامل از تكنولوژي و ابزارها در جهت اجراي سياستها و دستورالعملهاي امنيتي استفاده مي‌كنند.

مشاور امنيتي بگيريد

با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟

مديران سازمانها و ادارات دولتي و خصوصي براي خود يك دو جين مشاور و معاون و پيمانكار ميتراشتند و دور خود جمع ميكنند اما چرا ميان آنها يك مشاور امنيتي و پيمانكار پياده سازي استانداردهاي امنيت اطلاعات نيست ؟! شايد به اين دليل باشد كه اول بايد "بلا" نازل شود و بعد به فكر "درمان"اش باشيم ! اما اگر مديران ايراني به اين نكته توجه كنند كه "ايران در صدر جدول جرايم رايانه اي خاورميانه قرار دارد" شايد حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنيت اطلاعات و حتي پياده سازي مباني مديريت امنيت اطلاعات را بدهند.

سازماندهي و مديريت اجزاي اطلاعاتي و امنيتي يك سازمان نياز به يك سيستم مديريت امنيت اطلاعات خواهد داشت كه كليه عوامل اجرايي، رويه ها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار مي‌دهد و با برقراري امكان نظارت و بهبود مستمر، امنيت كل مجموعه راتامين مي‌كند. امروزه يك سازمان يا شركتي كه از راه حل هاي مبتني بر فناوري اطلاعات و ارتباطات براي انجام امور و خدمات خود استفاده ميكند بايد همانطور كه يك مشاور و پيمان كار سخت افزار و شبكه و نرم افزار دارد مشاور و حتي پيمانكاري اختصاصي براي ارزيابي مداوم ضريب امنيتي مجموعه خود و اعمال راه حل هاي پيشنهادي از سوي مشاور امنيتي براي جلوگيري از ضرور و زيان احتمالي داشته باشد.

يك مشاور و پيمانكار امنيتي بايد خدمات مرتبط با تحليل، طراحي و اجراي سيستم‌هاي مديريت امنيت اطلاعات را به شرح زير ارائه ‌دهد:

ارائه مشاوره در زمينه تهيه سياستها و استراتژي‌هاي امنيتي

طراحي و مستند‌سازي رويه ها و دستورالعملهاي امنيتي مطابق با استانداردهاي امنيت اطلاعات(BS7799/ISO17799)

ارائه مشاوره و خدمات فني جهت دريافت گواهي‌نامه امنيت اطلاعات BS7799

ارائه خدمات آموزش امنيتي براي مديران و پرسنل پيرامون سيستم‌هاي امنيت اطلاعات

شناسائي و مستند‌سازي ضعف‌هاي امنيتي و تهديدات مرتبط براي سيستم‌هاي اطلاعاتي، شبكه‌هاي رايانه‌اي و روالهاي سازماني

طراحي و پياده‌سازي راهكارهاي حفاظتي و كنترلي براي سيستم‌هاي اطلاعاتي و شبكه‌هاي كامپيوتري

ارائه خدمات سخت‌افزاري و نرم‌افزاري جهت نظارت بر اجزاي سيستم مديريت اطلاعات:

خدمات بررسي آسيب‌پذيري‌هاي امنيتي

راهكارهاي مديريت آسيب‌پذيري‌هاي امنيتي

ISMS در ايران

متاسفانه تابحال هيچ سازمان ايراني اي موفق به كسب گواهينامه ISMS نشده است. (شايد حتي تلاشي هم صورت نگرفته باشد!) در حالي كه تاكنون يك هزار و سيصد و بيست و هفت سازمان از كشورهاي مختلف گواهي مديريت امنيت اطلاعات را كسب كرده اند، هيچ سازمان ايراني موفق به دريافت اين گواهينامه نشده است.

آخرين آمار منتشر شده در پايگاه اينترنتي ‪http://www.xisec.com كه ارگان "گروه كاربران بين‌المللي مديريت امنيت اطلاعات ‪ ICTيا ‪" IUG است، تعداد سازمانهايي كه در جهان موفق به اخذ گواهي مديريت امنيت اطلاعات شده‌اند به ‪۱۳۲۷سازمان رسيده است كه از اين ميان بيشترين تعداد سازمان داراي گواهي ‪ ISMSمتعلق به كشور ژاپن است. در واقع ‪ ۶۲۱سازمان از ‪ ۱۳۲۷سازمان داراي گواهي ‪ ISMSدر دنيا متعلق به كشور ژاپن است. بعد از كشور ژاپن كشور انگليس قرار دارد كه تعداد سازمانهاي داراي گواهي مزبور در اين كشور ‪ ۲۰۷سازمان است.

اين در حالي‌ است كه در آخرين امار منتشر شده از پايگاه اينترنتي معتبر ‪ IUGنام كشورهايي مانند قطر، مصر عربستان نيز به چشم مي‌خورد، اما هنوز هيچ سازماني در ايران موفق به اخذ گواهي ‪ ISMSنشده‌است.

متاسفانه مقوله امنيت در ايران چندان جدي گرفته نشده و حداكثر محدود به فروش و نصب فايروال و آنتي ويروس است. اما در يكي دو سال اخير چند شركت خصوصي ادعاهايي را در زمينه مديريت امنيت اطلاعات و پياده سازي راه كارهاي امنيتي مطرح كرده اند كه از آن ميان ميتوان به شركتهايي نظير امن افزارگستر شريف, داده بان آريا و آشنا ايمن اشاره كرد.با اين حال اخيرا مناقصاتي در شركتهاي تابعه وزارت ارتباطات و فن آوري اطلاعات مانند شركت داده، شركت ارتياطات سيار و شركت مخابرات استان تهران در زمينه پياده‌سازي ‪ISMSدر حال اجراست كه اميدواريم استاندارد ‪BS۷۷۹۹ نيز حداقل در بخشي از شركتهاي مرتبط با زيرساختهاي فن‌آوري اطلاعات كشور جهت برقراري سطح قابل قبولي از امنيت اطلاعات در انها طراحي و پياده‌سازي شود.

* درنگارش اين مقاله از منابع و مستندات موجو�

لينك ثابت || اضافه شده توسط آرش كريم بيگي|| نسخه قابل چاپ || بازگشت به صفحه اصلي || آرش كريم بيگي

| More

براي عضويت در خبرنامه روزانه ايستنا؛ نشاني پست الكترونيكي خود را در فرم زير وارد نماييد. پس از آن به صورت خودكار ايميلي به نشاني شما ارسال ميشود، براي تكميل عضويت خود و تاييد صحت نشاني پست الكترونيك وارد شده، مي بايست بر روي لينكي كه در اين ايميل برايتان ارسال شده كليك نماييد. پس از آن پيامي مبني بر تكميل عضويت شما در خبرنامه روزانه ايستنا نمايش داده ميشود.

ictna/BHwZen_US

ثبت نام

سه|ا|شنبه|ا|20|ا|دي|ا|1390

این صفحه را در گوگل محبوب کنید

[ارسال شده از: پایگاه خبری ورزش ایران]

[مشاهده در: www.peonews.com]

[تعداد بازديد از اين مطلب: 288]