ISMSچیست؟
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات
1- تهیه طرحها و برنامههای امنیتی موردنیاز سازمان
2- ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
3- اجرای طرحها و برنامههای امنیتی سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمانها، عبارتند از:
1- استاندارد مدیریتی BS7799
که شامل 2 بخش است : BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب 10 دسته بندی کلی زیر است :
– تدوین سیاست امنیتی سازمان
– ایجاد تشکیلات تامین امنیت سازمان
– دستهبندی سرمایهها و تعیین کنترلهای لازم
– امنیت پرسنلی
– امنیت فیزیکی و پیرامونی
– مدیریت ارتباطات
– کنترل دسترسی
– نگهداری و توسعه سیستمها
– مدیریت تداوم فعالیت سازمان
– پاسخگوئی به نیازهای امنیتی
BS7799:2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل 4 مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
2- استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال 2000 به این اسم نامیده شد.
3- گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد
این گزارش فنی در قالب 5 بخش مستقل در فواصل سالهای 1996 تا 2001 توسط موسسه بین المللی استاندارد منتشر شده است . اگر چه این گزارش فنی به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC 17799 می باشد و شامل مراحل زیر است :
1) تعیین اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
2) تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنیت
4) پیادهسازی طرح امنیت
5) پشتیبانی امنیت فضای تبادل اطلاعات سازمان
مراحل ایمن سازی بر اساس گزارش فنی ISO/IEC 13335
مستندات ISMS
بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه(سازمان) باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید :
اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه
طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه
طرح امنیت فضای تبادل اطلاعات دستگاه
طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه
برنامه آگاهی رسانی امنیتی به پرسنل دستگاه
برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
اجزاء و ساختار تشکیلات امنیت
اجزاء تشکیلات امنیت
تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد :
در سطح سیاستگذاری : کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
در سطح مدیریت اجرائی : مدیر امنیت فضای تبادل اطلاعات دستگاه
در سطح فنی : واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
نحوه ی پیاده سازی ISMS درسازمان ها
سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.
مشکلات موجود در زمینه پیاده سازی ISMS
1- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یکفرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانیبومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازماندیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریتامنیت است.
2- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستممدیریت امنیت را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
3- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خودندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیتندارند.
4- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشتهباشد.
5- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
– اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
– اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
– قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
– ایجاد اطمینان نزد مشتریان و شرکای تجاری
– امکان رقابت بهتر با سایر شرکت ها
– ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
– بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
نتیجه گیری
در این بررسی قصد داشتیم تا ISMS را به عنوان استانداردی جهانی برای ایمنسازی شبکهها معرفی نماییم و توجه خواننده را به این موضوع جلب کنیم که برقراری امنیتدر سازمانها ، باید در همه ابعاد آن صورت گیرد. توجه به این استاندارد و شناخت و پیاده سازی آن ، باعث میشود که بحث در رابطه با موضوعات پیشرفتهتری نظیر برپایی مراکز امنیت شبکه (Security Operating Center :SOC) ملموستر و دست یافتنیتر به نظر برسند