طراحی و استقرار ISMS
طراحی و استقرار ISMS
یکی از زیرساختهای لازم برای بهبود امنیت فضای اطلاعات و ارتباطات، سیستم مدیریت امنیت اطلاعات (ISMS) میباشد. این سیستم در واقع مجموعه ای از نیروی انسانی، مستندات سیاستها و روشهای امنیتی، مستندات شناسایی و ارزیابی مخاطرات و کنترلهای امنیت شبکه و اطلاعات (اعم از سخت افزار، نرم افزار و …) میباشد که وظیفه ایجاد و تداوم امنیت اطلاعات و ارتباطات در سازمان را بعهده دارد. در حال حاضر بیشتر سازمانهای دولتی و غیر دولتی در کشور ما فاقد چنین سیستمی میباشند. ولی به دلیل وابسته شدن روز افزون سازمانها به تکنولوژی اطلاعات و ارتباطات، افزایش حجم اطلاعات و گسترده شدن ارتباطات و شبکه های رایانه ای، نیاز به سیستم مدیریت امنیت اطلاعات در همه سازمانها جدیت بیشتری پیدا کرده است.
استاندارد مدیریت امنیت اطلاعات
اولین استاندارد در زمینه مدیریت امنیت اطلاعات توسط موسسه استاندارد بریتانیا تحت عنوان BS7799 در سال 1995 ارائه شد و پس از آن سازمان جهانی استاندارد، ISO 17799 را بر مبنای استاندارد BS در سال 2000 ارائه کرد. در حال حاضر آخرین ویرایش این استاندارد ISO 27001 میباشد که در سال 2005 منتشر شده است. با ارائه این استانداردها، نگرش سیستماتیک به مقوله امنیت فضای اطلاعات و ارتباطات شکل گرفت. بر اساس این نگرش، تامین امنیت اطلاعات سازمانها، بصورت مداوم در یک چرخه امنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام میگیرد (چرخه PDCA ) .برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
o تهیه طرحها و برنامههای امنیتی موردنیاز
o ایجاد تشکیلات سازمانی امنیت فضای اطلاعات و ارتباطات
o اجرای طرحها و برنامههای امنیتی
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی امنیت فضای اطلاعات و ارتباطات سازمانها ارائه شدهاند که استاندارد مدیریتی ISO/IEC 27001، استاندارد مدیریتی ISO/IEC 17799 و گزارش فنی ISO/IEC TR 13335 از برجستهترین استانداردها و راهنماهای فنی در این زمینه محسوب میگردند. در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
o تعیین مراحل امنسازی و نحوه شکلگیری چرخه امنیت اطلاعات و ارتباطات سازمان
o جرئیات مراحل امنسازی و تکنیکهای فنی مورد استفاده در هر مرحله
o لیست و محتوای طرحها و برنامههای امنیتی موردنیاز سازمان
o جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی امنیت اطلاعات و ارتباطات سازمان
o کنترلهای امنیتی موردنیاز برای هر یک از سیستمهای اطلاعاتی و ارتباطی سازمان
هدف و محدوده پروژه
هدف این پروژه طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارتباطات در سازمان میباشد که شركت سعی میكند با استفاده از روشهای منطبق با استاندارد ISO 27001 و با مشاركت فعال پرسنل سازمان آن را تحقق بخشد.
محدوده اولیه پروژه بر اساس اطلاعات پرسشنامه شناخت سازمان که پیش از یا همزمان با این پیشنهاد فنی، در اختیار سازمان گذاشته شده است، مشخص میشود. چنانچه این پروژه در اختیار شركت قرار گیرد قطعاً یكی از مراحل اجرایی، شناخت كامل از سیستمهای اطلاعاتی سازمان و تعیین دقیق محدوده پروژه خواهد بود.
مراحل اجرایی پروژه
شركت با توجه به شناختی که از سیستمهای اطلاعاتی سازمان پیدا میکند، برای رسیدن به هدف نهایی خدماتی را طی مراحل زیر ارائه خواهد کرد:
1. تدوین و تصویب سیاستهای کلی امنیت اطلاعات و ارتباطات : با توجه به اینكه تعریف امنیت در هرجا و برای افراد و سازمانهای مختلف، متفاوت میباشد، جهت امنسازی فضای اطلاعات و ارتباطات سازمان، بایستی سیاستها، استراتژیها و اهداف سازمان از ایجاد امنیت مشخص شود. این سند خطوط کلی کار برای انجام مراحل بعد را ترسیم میکند. بنابراین این سند بایستی به تصویب مدیریت ارشد سازمان (مدیر عامل یا مدیر کل) برسد. در این مرحله، همچنین، تعیین محدوده پروژه از لحاظ فیزیکی(ساختمانها، شعبه ها، شبکه های ارتباطات رایانه ای و …) و از لحاظ سازمانی (بخشها و واحدهایی از سازمان که مشمول این پروژه میشوند)، انجام خواهد شد.خروجی این مرحله مستندات ذیل خواهد بود:
o مستند محدوده فیزیکی و سازمانی ISMS
o سند راهبردی امنیت اطلاعات (سیاستهای کلی)
2. شناسایی و طبقهبندی داراییهای اطلاعاتی: اولین سوالی که در هر پروژه امنیت شبکه و اطلاعات مطرح میشود، این است که امنیت چه چیزی باید ایجاد شده یا بهبود داده شود. بنابراین مرحله اول در پروژه های امنیت شبکه بطور عام و پروژه های استاندارد امنیت بطور خاص، شناخت دقیق و کامل از تمام اطلاعات و سیستمهای اطلاعاتی موجود در سازمان و نیازهای آینده و سپس دستهبندی و طبقه بندی آنها میباشد. شناسایی و طبقه بندی داراییها و سیستمهای اطلاعاتی و ارتباطی سازمان بصورت دقیق و کامل، بر مبنای استاندارد مدیریت امنیت اطلاعات ISO 27001، انجام خواهد شد.خروجی این مرحله مستندات ذیل خواهد بود:
o فهرست داراییهای اطلاعاتی سازمان
o گزارش طبقه بندی داراییهای اطلاعاتی
3. شناسایی و ارزیابی مخاطرات (Risk Assessment):راه حل استاندارد برای ایجاد یا بهبود امنیت، شناسایی عوامل تضعیف امنیت و مقابله با آنها میباشد. پس از شناخت داراییهای اطلاعاتی سازمان و طبقهبندی آنها، شركت در این مرحله با توجه به مفاد استاندارد مدیریت امنیت اطلاعات ISO 27001 آسیبپذیریهای امنیتی موجود در داراییهای اطلاعاتی سازمان و همچنین تهدیدات داخلی و بیرونی متوجه آنها را استخراج، دستهبندی و مستند خواهد کرد. بطور مثال در این مرحله آسیبپذیریهای موجود در توپولوژی شبکه، تجهیزات سخت افزاری و نرم افزاری، پیكربندی ها، نیروی انسانی، روشها و مجاری انتقال اطلاعات و … ونیز تهدیدات متوجه هر یک از این موارد، شناسایی و ارزیابی میشوند. خروجی این مرحله مستندات ذیل خواهد بود:
o مستند روش ارزیابی مخاطرات
o فهرست مخاطرات شناسایی شده
o گزارش تحلیل و ارزیابی مخاطرات
4. ارائه طرح مقابله با مخاطرات : در این مرحله شركت با توجه به آسیبپذیریها و تهدیدات امنیتی که در مرحله قبل شناخته شده اند، راه حل (کنترل) های امنیتی مورد نیاز برای رفع آسیبپذیریها و کنترل تهدیدات را بر مبنای استاندرد مدیریت امنیت اطلاعات ISO 27001 ارائه خواهد کرد. این راه حلها میتوانند شامل پذیرش مخاطرات، اجتناب از مخاطرات، انتقال مخاطرات به سایر طرفها و در نهایت پیاده سازی کنترلهای لازم باشند. خروجی این مرحله مستندات ذیل خواهد بود:
o گزارش کنترلهای مورد نیاز برای مقابله با تهدیدات
o مستندات روشهای بررسی کارایی کنترلهای پیشنهادی
5. طراحی تشکیلات سازمانی مدیریت امنیت اطلاعات : یكی از مراحل اصلی در پیادهسازی نظام جامع امنیت اطلاعات در سازمانها تشكیل یك تیم امنیت اطلاعات در سازمان میباشد. در این مرحله، شركت با توجه به فعالیتهای انجام شده و مستندات تولید شده در مراحل قبل، ساختار یك تیم مدیریت امنیت اطلاعات را برمبنای استاندرد مدیریت امنیت اطلاعات ISO 27001 طراحی کرده و پیشنهاد خواهد داد. همچنین بایستی یک ساز و کار مدیریتی در سطح سازمان برای استمرار امنیت تعریف و اجرا شود. یکی از این ساز و کارهای امنیتی تشکیل کمیتهی امنیت اطلاعات در سازمان است. برای تشكیل كمیته با در نظر گرفتن شرایط موجود در سازمان افراد لازم و تاثیرگذار بر امنیت اطلاعات دعوت شده و وظایف كاری لازم به آنها ارائه میگردد. خروجی این مرحله مستندات ذیل خواهد بود:
o مستند تشکیلات سازمانی مدیریت امنیت اطلاعات
6. تدوین دستورالعملها و رویه های امنیت اطلاعات : در حلقه عوامل و اجزاء تاثیر گذار در امنیت شبکه و اطلاعات، معمولاَ عوامل انسانی به عنوان یکی از نقاط ضعف اصلی در نظر گرفته میشوند. دلیل اصلی این موضوع در صد پایین قابلیت کنترل عوامل انسانی برخلاف سایر عوامل نظیر کامپیوترها یا دیگر تجهیزات ماشینی میباشد. راه حلی که برای تقویت این نقطه ضعف استفاده میشود، آگاه سازی کامل نیروی انسانی از وظایف و مسئولیتهایشان در قبال امنیت اطلاعات و همچنین اطلاع رسانی مناسب به ایشان در زمینه عواقب ناشی از وقوع تهدیدات امنیتی میباشد. برای انجام آگاه سازی و اطلاع رسانی فوق، لازم است که مجموعه ای از دستورالعملها و رویه های سازمانی تولید شده و پس از تایید مدیریت ارشد سازمان، در اختیار پرسنل قرار گیرد.خروجی این مرحله مستندات ذیل خواهد بود:
o مستندات روشهای مقابله با حوادث امنیتی
o فهرست انطباق با کنترلهای استاندارد ISO 27001
o فهرست عدم انطباق با کنترلهای استاندارد ISO 27001
o مستند مدیریت تغییرات
7. تعیین آموزشهای لازم برای پرسنل :برای تکمیل کار آگاه سازی و اطلاع رسانی به پرسنل در جهت افزایش دانش و مهارت آنان در برخورد با تهدیدات امنیت اطلاعات و ارتباطات، علاوه بر دستورالعملها و رویه های تدوین شده در مرحله قبل لازم است که دوره های آموزشی مناسب نیز برای کارکنان سازمان تعیین و اجرا شود. در این مرحله از پروژه آموزشهای لازم برای پرسنل سازمان در سطوح مختلف طراحی و مستند میگردد. اصولاَ اقلام آموزشی در زمینه امنیت اطلاعات و ارتباطات باید برای سه رده از کارکنان سازمان طراحی شوند. رده اول مدیران ارشد سازمان، رده دوم مدیران فنی، مسئولین شبكهها و سیستمهای اطلاعاتی و کارکنان بخش IT و رده سوم، سایر پرسنل میباشند. با توجه به تفاوت دسترسیهای این سه رده از کارکنان به اطلاعات موجود در سازمان، برای هر یک از این رده ها، باید آموزشهای متناسب طراحی و اجرا گردد.خروجی این مرحله مستندات ذیل خواهد بود:
o مستند آموزشهای مورد نیاز سازمان در زمینه امنیت اطلاعات
