LOADING CLOSE

طراحی و استقرار ISMS

طراحی و استقرار ISMS

طراحی و استقرار ISMS

یکی از زیرساختهای لازم برای بهبود امنیت فضای اطلاعات و ارتباطات، سیستم مدیریت امنیت اطلاعات (ISMS) میباشد. این سیستم در واقع مجموعه ای از نیروی انسانی، مستندات سیاستها و روشهای امنیتی، مستندات شناسایی و ارزیابی مخاطرات و کنترلهای امنیت شبکه و اطلاعات (اعم از سخت افزار، نرم افزار و …) میباشد که وظیفه ایجاد و تداوم امنیت اطلاعات و ارتباطات در سازمان را بعهده دارد. در حال حاضر بیشتر سازمانهای دولتی و غیر دولتی در کشور ما فاقد چنین سیستمی میباشند. ولی به دلیل وابسته شدن روز افزون سازمانها به تکنولوژی اطلاعات و ارتباطات، افزایش حجم اطلاعات و گسترده شدن ارتباطات و شبکه های رایانه ای، نیاز به سیستم مدیریت امنیت اطلاعات در همه سازمانها جدیت بیشتری پیدا کرده است.

 

استاندارد مدیریت امنیت اطلاعات

اولین استاندارد در زمینه مدیریت امنیت اطلاعات توسط موسسه استاندارد بریتانیا تحت عنوان BS7799 در سال 1995 ارائه شد و پس از آن سازمان جهانی استاندارد، ISO 17799 را بر مبنای استاندارد BS در سال 2000 ارائه کرد. در حال حاضر آخرین ویرایش این استاندارد ISO 27001 میباشد که در سال 2005 منتشر شده است. با ارائه این استانداردها، نگرش سیستماتیک به مقوله امنیت فضای اطلاعات و ارتباطات شکل گرفت. بر اساس این نگرش، تامین امنیت اطلاعات سازمان‌ها، بصورت مداوم در یک چرخه امن‌سازی شامل مراحل طراحی، پیاده‌سازی، ارزیابی و اصلاح، انجام میگیرد (چرخه PDCA ) .برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:

o       تهیه طرح‌ها و برنامه‌های امنیتی موردنیاز

o       ایجاد تشکیلات سازمانی امنیت فضای اطلاعات و ارتباطات

o       اجرای طرح‌ها و برنامه‌های امنیتی

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی امنیت فضای اطلاعات و ارتباطات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی ISO/IEC 27001، استاندارد مدیریتی ISO/IEC 17799 و گزارش فنی ISO/IEC TR 13335 از برجسته‌ترین استانداردها و راهنماهای فنی در این زمینه محسوب می‌گردند. در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:

 

o       تعیین مراحل امن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان

o       جرئیات مراحل امن‌سازی و تکنیک‌های فنی مورد استفاده در هر مرحله

o       لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

o       جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی امنیت اطلاعات و ارتباطات سازمان

o       کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان

 

هدف و محدوده پروژه

هدف این پروژه طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارتباطات در سازمان میباشد که شركت سعی می‌كند با استفاده از روشهای منطبق با استاندارد ISO 27001 و با مشاركت فعال پرسنل سازمان آن را تحقق بخشد.
محدوده اولیه پروژه بر اساس اطلاعات پرسشنامه شناخت سازمان که پیش از یا همزمان با این پیشنهاد فنی، در اختیار سازمان گذاشته شده است، مشخص میشود. چنانچه این پروژه در اختیار شركت قرار گیرد قطعاً یكی از مراحل اجرایی، شناخت كامل از سیستم‌های اطلاعاتی سازمان و تعیین دقیق محدوده پروژه خواهد بود.

 

مراحل اجرایی پروژه

شركت با توجه به شناختی که از سیستم‌های اطلاعاتی سازمان پیدا میکند، برای رسیدن به هدف نهایی خدماتی را طی مراحل زیر ارائه خواهد کرد:

 

1.       تدوین و تصویب سیاستهای کلی امنیت اطلاعات و ارتباطات : با توجه به اینكه تعریف امنیت در هرجا و برای افراد و سازمانهای مختلف، متفاوت می‌باشد، جهت امن‌سازی فضای اطلاعات و ارتباطات سازمان، بایستی سیاست‌ها، استراتژی‌ها و اهداف سازمان از ایجاد امنیت مشخص شود. این سند خطوط کلی کار برای انجام مراحل بعد را ترسیم می‌کند. بنابراین این سند بایستی به تصویب مدیریت ارشد سازمان (مدیر عامل یا مدیر کل) برسد. در این مرحله، همچنین، تعیین محدوده پروژه از لحاظ فیزیکی(ساختمانها، شعبه ها، شبکه های ارتباطات رایانه ای و …) و از لحاظ سازمانی (بخشها و واحدهایی از سازمان که مشمول این پروژه میشوند)، انجام خواهد شد.خروجی این مرحله مستندات ذیل خواهد بود:

 o       مستند محدوده فیزیکی و سازمانی ISMS

 o       سند راهبردی امنیت اطلاعات (سیاستهای کلی)

 2.       شناسایی و طبقه‌بندی دارایی‌های اطلاعاتی: اولین سوالی که در هر پروژه امنیت شبکه و اطلاعات مطرح میشود، این است که امنیت چه چیزی باید ایجاد شده یا بهبود داده شود. بنابراین مرحله اول در پروژه های امنیت شبکه بطور عام و پروژه های استاندارد امنیت بطور خاص، شناخت دقیق و کامل از تمام اطلاعات و سیستم‌های اطلاعاتی موجود در سازمان و نیازهای آینده و سپس دسته‌بندی و طبقه بندی آنها میباشد. شناسایی و طبقه بندی داراییها و سیستم‌های اطلاعاتی و ارتباطی سازمان بصورت دقیق و کامل، بر مبنای استاندارد مدیریت امنیت اطلاعات ISO 27001، انجام خواهد شد.خروجی این مرحله مستندات ذیل خواهد بود:

 o       فهرست دارایی‌های اطلاعاتی سازمان

 o       گزارش طبقه ‌بندی دارایی‌های اطلاعاتی

 3.       شناسایی و ارزیابی مخاطرات (Risk Assessment):راه حل استاندارد برای ایجاد یا بهبود امنیت، شناسایی عوامل تضعیف امنیت و مقابله با آنها میباشد. پس از شناخت دارایی‌های اطلاعاتی سازمان و طبقه‌بندی آنها، شركت در این مرحله با توجه به مفاد استاندارد مدیریت امنیت اطلاعات ISO 27001 آسیب‌پذیری‌های امنیتی موجود در دارایی‌های اطلاعاتی سازمان و همچنین تهدیدات داخلی و بیرونی متوجه آنها را استخراج، دسته‌بندی و مستند خواهد کرد. بطور مثال در این مرحله آسیب‌پذیری‌های موجود در توپولوژی شبکه‌، تجهیزات سخت افزاری و نرم افزاری، پیكربندی ‌ها، نیروی انسانی، روشها و مجاری انتقال اطلاعات و … ونیز تهدیدات متوجه هر یک از این موارد، شناسایی و ارزیابی می‌شوند. خروجی این مرحله مستندات ذیل خواهد بود:

o       مستند روش ارزیابی مخاطرات

o       فهرست مخاطرات شناسایی شده

o       گزارش تحلیل و ارزیابی مخاطرات

 4.       ارائه طرح مقابله با مخاطرات : در این مرحله شركت با توجه به آسیب‌پذیری‌ها و تهدیدات امنیتی که در مرحله قبل شناخته شده اند، راه ‌حل (کنترل) ‌های امنیتی مورد نیاز برای رفع آسیب‌پذیری‌ها و کنترل تهدیدات را بر مبنای استاندرد مدیریت امنیت اطلاعات ISO 27001 ارائه خواهد کرد. این راه حلها میتوانند شامل پذیرش مخاطرات، اجتناب از مخاطرات، انتقال مخاطرات به سایر طرفها و در نهایت پیاده سازی کنترلهای لازم باشند. خروجی این مرحله مستندات ذیل خواهد بود:

o       گزارش کنترلهای مورد نیاز برای مقابله با تهدیدات

o       مستندات روشهای بررسی کارایی کنترلهای پیشنهادی

5.       طراحی تشکیلات سازمانی مدیریت امنیت اطلاعات : یكی از مراحل اصلی در پیاده‌سازی نظام جامع امنیت اطلاعات در سازمان‌ها تشكیل یك تیم امنیت اطلاعات در سازمان می‌باشد. در این مرحله، شركت با توجه به فعالیتهای انجام شده و مستندات تولید شده در مراحل قبل، ساختار یك تیم مدیریت امنیت اطلاعات را برمبنای استاندرد مدیریت امنیت اطلاعات ISO 27001 طراحی کرده و پیشنهاد خواهد داد. همچنین بایستی یک ساز و کار مدیریتی در سطح سازمان برای استمرار امنیت تعریف و اجرا شود. یکی از این ساز و کارهای امنیتی تشکیل کمیته‌ی امنیت اطلاعات در سازمان است. برای تشكیل كمیته با در نظر گرفتن شرایط موجود در سازمان افراد لازم و تاثیرگذار بر امنیت اطلاعات دعوت شده و وظایف كاری لازم به آنها ارائه می‌گردد. خروجی این مرحله مستندات ذیل خواهد بود:

o       مستند تشکیلات سازمانی مدیریت امنیت اطلاعات

6.       تدوین دستورالعملها و رویه های امنیت اطلاعات : در حلقه عوامل و اجزاء تاثیر گذار در امنیت شبکه و اطلاعات، معمولاَ عوامل انسانی به عنوان یکی از نقاط ضعف اصلی در نظر گرفته میشوند. دلیل اصلی این موضوع در صد پایین قابلیت کنترل عوامل انسانی برخلاف سایر عوامل نظیر کامپیوترها یا دیگر تجهیزات ماشینی میباشد. راه حلی که برای تقویت این نقطه ضعف استفاده میشود، آگاه سازی کامل نیروی انسانی از وظایف و مسئولیتهایشان در قبال امنیت اطلاعات و همچنین اطلاع رسانی مناسب به ایشان در زمینه عواقب ناشی از وقوع تهدیدات امنیتی میباشد. برای انجام آگاه سازی و اطلاع رسانی فوق، لازم است که مجموعه ای از دستورالعملها و رویه های سازمانی تولید شده و پس از تایید مدیریت ارشد سازمان، در اختیار پرسنل قرار گیرد.خروجی این مرحله مستندات ذیل خواهد بود:

o       مستندات روشهای مقابله با حوادث امنیتی

o       فهرست انطباق با کنترلهای استاندارد ISO 27001

o       فهرست عدم انطباق با کنترلهای استاندارد ISO 27001

o       مستند مدیریت تغییرات

7.       تعیین آموزشهای لازم برای پرسنل :برای تکمیل کار آگاه سازی و اطلاع رسانی به پرسنل در جهت افزایش دانش و مهارت آنان در برخورد با تهدیدات امنیت اطلاعات و ارتباطات، علاوه بر دستورالعملها و رویه های تدوین شده در مرحله قبل لازم است که دوره های آموزشی مناسب نیز برای کارکنان سازمان تعیین و اجرا شود. در این مرحله از پروژه آموز‌ش‌های لازم برای پرسنل سازمان در سطوح مختلف طراحی و مستند میگردد. اصولاَ اقلام آموزشی در زمینه امنیت اطلاعات و ارتباطات باید برای سه رده از کارکنان سازمان طراحی شوند. رده اول مدیران ارشد سازمان، رده دوم مدیران فنی، مسئولین شبكه‌ها و سیستم‌های اطلاعاتی و کارکنان بخش IT و رده سوم، سایر پرسنل میباشند. با توجه به تفاوت دسترسیهای این سه رده از کارکنان به اطلاعات موجود در سازمان، برای هر یک از این رده ها، باید آموزشهای متناسب طراحی و اجرا گردد.خروجی این مرحله مستندات ذیل خواهد بود:

o       مستند آموزش‌های مورد نیاز سازمان در زمینه امنیت اطلاعات

دیدگاهتان را بنویسید