آنهايى که به امنيت اطلاعات اهميت نميدهند بخوانند:مديريت امنيت اطلاعات

نام نویسنده: آرش کريم بيگى ICTna.ir

هموطن- ظهور تکنولوژى ارتباطات و اينترنت امکان” اشترک اطلاعات” و “تبادل آسان اطلاعات” بين سيستم‌هاى کامپيوترى را به وجود آورده است. اين فناورى‌هاى نوين با غلبه بر فاصله ها و محدوديتهاى فيزيكى و كاهش محسوس زمان، معمارى و ساختار ارائه خدمات در سيستم‌ها را بشدت تحت تأثر قرار داده‌اند. اين فناورى‌هاى نوين بسترى مناسب را براى انجام مبادلات تجارى، ارائه خدمات آنلاين مانند بانکدارى الکترونيکى و خدمات دولت الکترونيکى ايجاد کرده اند.

IT يک سکه دوروست: هم فرصت است و هم تهديد ! اگر به همان نسبتى که به توسعه و همه گيرى اش توجه و تکيه ميکنيم به “امنيت” آن توجه نکنيم ميتواند به سادگى و در کسرى از ثانيه تبديل به يک تهديد و مصيبت بزرگ شود. اين مصائب را در ذهن خود مجسم کنيد:

– شبکه بانکى کشور هک شده و کليه اطلاعات بانکى, کلمات عبور کارتها دزديده شده و مبالغ کلانى جابجا شده…
– سيستم مديريت شبکه برق کشور توسط نفوذگران فلج شده…
– تمام اطلاعات و سوابق شخصيتان بواسطه نفوذ هکرها به بانک اطلاعاتى سازمان ثبت احوال سرقت شده…
– شبکه مخابراتى کشور فلج شده…هيچ تماس تلفنى داخلى،بين شهرى و بين المللى ممکن نيست…
– و دهها سناريوى وحشتناک ديگر…

فکر کنم حالا به باور من رسيديد : IT ميتواند به همان سرعتى که باعث رفاه و بالارفتن توانايى ها ميشود ميتواند باعث خلق مصائبى اين چنينى شود و کشورى را فلج کند !

هميشه بايد نگران باشيد !

تا اوايل دهه هفتاد، فعاليت‌هاى مربوط به دسترسى و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌هاى نگهدارى اين اطلاعات شامل آرشيو اسناد و شبکه‌هاى محلى کامپيوترى بود. در چنين محيط‌هايى، روشهاى حفاظت فيزيکى امنيت سيستم‌ها و اطلاعات را تا حد بسيار بالايى تأمين مى‌کرد. اگرچه مزاياى فضاى تبادل اطلاعات غير قابل انکار است، ولى اتصال سيستم‌هاى داخلى به شبکه‌هاى خارجى و بين المللى و ارائه خدمات و مبادله اطلاعات از طريق اين شبکه‌ها خطرات و تهديدات جديدى را ايجاد کرده‌است. مهمترين نگرانى‌هاى انيتى مرتبط با سيستم هاى اطلاعاتى شامل دستيابى نفوذگران به سيستم‌هاى اطلاعاتى و سرقت اطلاعات آنهاذ- ايجاد وقفه و اختلال در ارائه سرويس‌هاى حياتى و تغيير يا تخريب اطلاعات مى‌باشند. بديهى است که در اين شرايط روشهاى حفاظت فيزيکى به تنهايى قادر به تامين امنيت نخواهند بود و شما ناچار از بكارگرفتن روش‌هاى جديد حفاظت اطلاعات و كنترل دسترسى‌ها به منابع سازمان شده‌اند.

تاريخچه استاندارد امنيت
براى پيشگيرى از تهديدهاى امنيتى متدها و استاندارهاى مختلفى تا بحال ارائه شده است اما کاملترين و معروف ترين آنها استاندارد BS7799 است که در اين مقاله قصد معرفى آن را دارم!

تاريخچه اين استاندارد نام کاملش British Standard 7799 است به زمان تاسيس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry در سال 1987 برميگردد.
اين مرکز براى تعيين و تعريف معيارها و استانداردهايى بين المللى براى ارزيابى ميزان امنيت تجهيزات توليد شده توسط توليد کنندگان تجهيزات امنيتى و اعطاى نشان ها و تاييده هاى بين المللى و همچنين کمک به کاربران اين گونه تجهيزات تاسيس شد.

CCSC در سال 1989 اقدام به انتشار کدهايى براى سنجش ميزان امنيت کرد که به Users Code of Practice معروف شد. مدتى بعد کيفيت و کميت اين کدها از سوى مرکز محاسبات بين المللى NCC و يک کنسرسيوم از کاربران مورد بررسى قرار گرفت و درنهايت به صورت نخستين نسخه استاندارد امنيت با عنوان “مستندات راهبرى PD 003 ” در انگلستان منتشر شد. نسخه بازنگرى شده اين استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

با توجه به تجارب گذشته اين گروه در گردآورى سناد و قوانين و مستندات امنيتى استاندارد امنيتى BS7799 توسط اين گروه منتشر گرديد و در فوريه 1998 قسمت دوم اين استاندارد با عنوان سيستم مديريت امنيت اطلاعات يا Information Security Management System که حالا ديگر آن را به اختصار ISMS مينامند منتشر شد.

طى سالهاى 1999 تا 2002 بازنگرى ها و تغييرات زيادى روى اين استاندارد صورت گرفته، در سال 2000 با افزودن الحاقيه هيى به استاندارد BS7799 که به عنوان يک استاندارد ISO ثبت شده بود اين استاندارد تحت عنوان استاندارد امنيتى ISO/IEC17799 به ثبت رسيد.

BS7799

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعنى قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مى كند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسى خواهند يافت.
Integrity : كامل بودن و صحت اطلاعات و روشهاى پردازش اطلاعات مورد نظر هستند.
Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.

استاندارد BS7799 داراى 10 گروه كنترلى مى باشد كه هرگروه شامل چندين كنترل زيرمجموعه ست بنابراين در كل 127 كنترل براى داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلى عبارتند از :

1- سياستهاى امنيتى
2- امنيت سازمان
3- كنترل و طبقه بندى دارايى ها
4- امنيت فردى
5- امنيت فيزيكى
6- مديريت ارتباط ها
7- كنترل دسترسى ها
8- روشها و روالهاى نگهدارى و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10- سازگارى با موارد قانونى

فوائد استاندارد BS7799 و لزوم پياده سازى
استاندارد BS7799 قالبى مطمئن براى داشتن يك سيستم مورد اطمينان امنيتى مى باشد. در زير به تعدادى از فوائد پياده سازى اين استاندارد اشاره شده است:

– اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
– اطمينان از سازگارى با استاندارد امنيت اطلاعات و محافظت از داده ها
– قابل اطمينان كردن تصميم گيرى ها و محك زدن سيستم مديريت امنيت اطلاعات
– ايجاد اطمينان نزد مشتريان و شركاى تجارى
– امكان رقابت بهتر با ساير شركت ها
– ايجاد مديريت فعال و پويا در پياده سازى امنيت داده ها و اطلاعات
– بخاطر مشكلات امنيتى اطلاعات و ايده هاى خود را در خارج سازمان پنهان نسازيد

ISMS ، سيستم مديريت امنيت اطلاعات

پاسخ اغلب سازمان‌ها در مواجهه با تهديدات امنيتى، خريد مصولات امنيتى مانند فايروال و برنامه‌هاى ضد‌ويروس، و بکارگيرى آنها در سيستم‌هاى کامپيوترى است. اما استفاده از گرانقيمت‌ترين محصولات امنيتى بدون شناخت و تحليل دقيق نيازهاى امنيتى ،استفاده از روالهاى استاندارد در بکارگيرى و کنترل سيستم هاى امنيتى و بروز رسانى مداوم اين سيستم‌ها به تنهائى كارساز نخواهند بود.
ISMS به مديران اين امکان را ميدهد تا بتوانند امنيت سيستم هاى خود را با به حداقل رساندن ريسک هاى تجارى کنترل کنند.

سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات مذكور در سيستم‌هاى اطلاعاتى مى‌باشد يک سيستم جامع امنيتى بر سه پايه بنا مى‌شود:

سياستها و دستورالعملهاى امنيتى : طرحها و برنامه‌هاى مرتبط براى نحوه محافظت از سيستم‌هاى اطلاعاتى و داده‌هاى آنها در اين قسمت مورد توجه قرار مى گيرد. استراتژى امنيتى در دو بخش غير‌فنى و فنى ارائه مى‌گردد. بخش غيرفنى شامل تعيين سطوح امنيتى مطلوب و انتخاب استانداردهاى امنيتى و بخش فنى شامل تهيه دستورالعملهاى لازم براى بکارگيرى و نظارت بر اجزاى سيستم امنيتى جهت نيل به اهداف استراتژيک مى‌باشد.
تکنولوژى و محصولات امنيتى: اين قسمت شامل تمام ابزارهاى مورد استفاده در بخش‌هاى مختلف امنيتى براى اعمال دستورالعملها، کنترل و نظارت مى‌باشد. ابزارهاى محافظتى و نظرت بر شبکه، سيستم‌هاى کنترل دسترسى و راهکارهاى ضدويروس در اين بخش مطرح مى‌گردند .
عوامل اجرايى: افراد مرتبط با مديريت و اجراى سيستم امنيتى شامل مديران سيستم‌ها و شبکه‌ها، پرسنل و کاربران عادى در اين قسمت جاى دارند. اين عوامل از تکنولوژى و ابزارها در جهت اجراى سياستها و دستورالعملهاى امنيتى استفاده مى‌کنند.

مشاور امنيتى بگيريد

با پيشرفت علوم كامپيوترى و همچنين بوجود آمدن ابزارهاى جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحى نرم افزارهاى مختلف و روالهاى امنيتى سازمان ها ، هميشه خطر حمله و دسترسى افراد غيرمجاز وجود دارد. حتى قوى ترين سايتهاى موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولى آيا چون نمى توان امنيت 100% داشت بايد به نكات امنيتى و ايجاد سياستهاى مختلف امنيتى بى توجه بود؟

مديران سازمانها و ادارات دولتى و خصوصى براى خود يک دو جين مشاور و معاون و پيمانکار ميتراشتند و دور خود جمع ميکنند اما چرا ميان آنها يک مشاور امنيتى و پيمانکار پياده سازى استانداردهاى امنيت اطلاعات نيست ؟! شايد به اين دليل باشد که اول بايد “بلا” نازل شود و بعد به فکر “درمان”اش باشيم ! اما اگر مديران ايرانى به اين نکته توجه کنند که “ايران در صدر جدول جرايم رايانه اى خاورميانه قرار دارد” شايد حاضر شند به خود زحمت توجه به مسائل مرتبط با امنيت اطلاعات و حتى پياده سازى مبانى مديريت امنيت اطلاعات را بدهند.

سازماندهى و مديريت اجزاى اطلاعاتى و امنيتى يک سازمان نياز به يک سيستم مديريت امنيت اطلاعات خواهد داشت که کليه عوامل اجرايى، رويه ها، دستورالعملها و واحدهاى اطلاعاتى را تحت پوشش قرار مى‌دهد و با برقرارى امكان نظارت و بهبود مستمر، امنيت کل مجموعه راتامين مى‌کند. امروزه يک سازمان يا شرکتى که از راه حل هاى مبتنى بر فناورى اطلاعات و ارتباطات براى انجام امور و خدمات خود استفاده ميکند بايد همانطور که يک مشاور و پيمان کار سخت افزار و شبکه و نرم افزار دارد مشار و حتى پيمانکارى اختصاصى براى ارزيابى مداوم ضريب امنيتى مجموعه خود و اعمال راه حل هاى پيشنهادى از سوى مشاور امنيتى براى جلوگيرى از ضرور و زيان احتمالى داشته باشد.

يک مشاور و پيمانکار امنيتى بايد خدمات مرتبط با تحليل، طراحى و اجراى سيستم‌هاى مديريت امنيت اطلاعات را به شرح زير ارائه ‌دهد:
ارائه مشاوره در زمينه تهيه سياستها و استراتژى‌هاى امنيتى
طراحى و مستند‌سازى رويه ها و دستورالعملهاى امنيتى مطابق با استانداردهاى امنيت اطلاعات(BS7799/ISO17799)
ارائه مشاوره و خدمات فنى جهت دريافت گواهى‌نامه امنيت اطلاعات BS7799
ارائه خدمات آموزش امنيتى براى مديران و پرسنل پيرامون سيستم‌هاى امنيت اطلاعات
شناسائى و مستند‌سازى ضعف‌هاى امنيتى و تهديدات مرتبط براى سيستم‌هاى اطلاعاتى، شبکه‌هاى رايانه‌اى و روالهاى سازمانى
طراحى و پياده‌سازى راهکارهاى حفاظتى و کنترلى براى سيستم‌هاى اطلاعاتى و شبکه‌هاى کامپيوترى
ارائه خدمات سخت‌افزارى و نرم‌افزارى جهت نظارت بر اجزاى سيستم مديريت اطلاعات:
خدمات بررسى آسيب‌پذيرى‌هاى امنيتى
راهکارهاى مديريت آسيب‌پذيرى‌هاى امنيتى

ISMS در ايران

متاسفانه تابحال هيچ سازمان ايرانى اى موفق به کسب گواهينامه ISMS نشده است. (شايد حتى تلاشى هم صورت نگرفته باشد!) در الى كه تاكنون يك هزار و سيصد و بيست و هفت سازمان از كشورهاى مختلف گواهى مديريت امنيت اطلاعات را كسب كرده اند، هيچ سازمان ايرانى موفق به دريافت اين گواهينامه نشده است.

آخرين آمار منتشر شده در پايگاه اينترنتى ‪http://www.xisec.com‬ كه ارگان “گروه كاربران بين‌المللى مديريت امنيت اطلاعات ‪ ICT‬يا ‪” IUG‬ است، تعداد سازمانهايى كه در جهان موفق به اخذ گواهى مديريت امنيت اطلاعات شده‌اند به ‪۱۳۲۷‬سازمان رسيده است كه از اين ميان بيشترين تعداد سازمان داراى گواهى ‪ ISMS‬متعلق به كشور ژاپن است. در واقع ‪ ۶۲۱‬سازمان از ‪ ۱۳۲۷‬سازمان داراى گواهى ‪ ISMS‬در دنيا متعلق به كشور ژاپن است. بعد از كشور ژاپن كشور انگليس قرار دارد كه تعداد سازمانهاى داراى گواهى مزبور در اين كشور ‪ ۲۰۷‬سازمان است.
اين در حالى‌ است كه در آخرين امار منتشر شده از پايگاه اينترنتى معتبر ‪ IUG‬نام كشورهايى مانند قطر، مصر عربستان نيز به چشم مى‌خورد، اما هنوز هيچ سازمانى در ايران موفق به اخذ گواهى ‪ ISMS‬نشده‌است.

متاسفانه مقوله امنيت در ايران چندان جدى گرفته نشده و حداکثر محدود به فروش و نصب فايروال و آنتى ويروس است. اما در يکى دو سال اخير چند شرکت خصوصى ادعاهايى را در زمينه مديريت امنيت اطلاعات و پياده سازى راه کارهاى امنيتى مطرح کرده اد که از آن ميان ميتوان به شرکتهايى نظير امن افزارگستر شريف, داده بان آريا و آشنا ايمن اشاره کرد.با اين حال اخيرا مناقصاتى در شركتهاى تابعه وزارت ارتباطات و فن آورى اطلاعات مانند شركت داده، شركت ارتياطات سيار و شركت مخابرات استان تهران در زمينه پياده‌سازى ‪ISMS‬در حال اجراست كه اميدواريم استاندارد ‪BS۷۷۹۹‬ نيز حداقل در بخشى از شركتهاى مرتبط با زيرساختهاى فن‌آورى اطلاعات كشور جهت برقرارى سطح قابل قبولى از امنيت اطلاعات در انها طراحى و پياده‌سازى شود.

* درنگارش اين مقاله از منابع و مستندات موجود در وبسايت شركت هاى مهندسى شبکه و راهبرى تحقيقات همکاران سيستم و داده بان آريا استفاده شده است.