محمد جواد بابائی

سيستم مديريت امنيت اطلاعات یا ISMS  همان استاندارد 27001 iso میباشد . با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد.
ISMS چيست؟
ISMS مخفف عبارت Information Security Management System به معناي سيستم مديريت امنيت اطلاعات مي باشد و استانداردهايي را براي ايمن سازي فضاي تبادل اطلاعات در سازمان ها ارائه مي دهد. اين استانداردها شامل مجموعه اي از دستورالعمل هاست تا فضاي تبادل اطلاعات يک سازمان را با اجراي يک طرح مخصوص به آن سازمان ايمن نمايد.
 
اقدامات لازم جهت ايمن سازي فضاي تبادل اطلاعات
 
1-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
2-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان
 
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات
 
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:
 
1. استاندارد مديريتي BS7799 موسسه استاندارد انگليس
 
که شامل 2 بخش است : BS7799:1 که ISO/IEC 27002 ناميده مي شود که در قالب 10 دسته بندي کلي زير است :
1.        تدوين سياست امنيتي سازمان
2.        ايجاد تشکيلات تامين امنيت سازمان
3.        دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازم
4.        امنيت پرسنلي
5.        امنيت فيزيکي و پيراموني
6.        مديريت ارتباطات
7.        کنترل دسترسي
8.        نگهداري و توسعه سيستم‌ها
9.        مديريت تداوم فعاليت سازمان
10.  پاسخگوئي به نيازهاي امنيتي
BS7799:2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبديل شد که شامل 4 مرحله PDCA به معني Plan (مرحله تاسيس و طراحي)، Do (مرحله پياده سازي و عملي کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشيدن و اصلاح)است.
  

  
2. استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال 2000  به اين اسم ناميده شد.
 
 
3. گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد
 
اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001  توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زير است :
1) تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان
2) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنيت
4) پياده‌سازي طرح امنيت
5) پشتيباني امنيت فضاي تبادل اطلاعات سازمان
 

 مراحل ايمن سازي بر اساس گزارش فني ISO/IEC 13335
 
 
مستندات ISMS
 
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد :
•    اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
•    طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
•    طرح امنيت فضاي تبادل اطلاعات دستگاه
•    طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
•    برنامة آگاهي رساني امنيتي به پرسنل دستگاه
•    برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
 
اجزاء و ساختار تشکيلات امنيت
اجزاء تشکيلات امنيت
تشکيلات امنيت شبکه، متشکل از سه جزء اصلي به شرح زير مي باشد :
•    در سطح سياستگذاري : کميته راهبري امنيت فضاي تبادل اطلاعات دستگاه
•    در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
•    در سطح فني : واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه
 
نحوه ي پياده سازي  ISMS درسازمان ها
 
سازمان ها وقتي مي خواهند گواهينامه بگيرند، اقدام به دريافت آن کرده و به شرکت هايي که اين خدمات را ارائه مي دهند مراجعه مي کنند.شرکت هاي ارائه دهنده اين خدمات با شرکت هاي خارجي که درزمينه ISMS در ايران شعبه دارندمشاوره کرده و در نهايت مشاوري از سوي شرکت براي آن سازمان مي فرستند.مشاور در جلسه هيات مديره خط مشي امنيتي را مشخص و پياده سازي صورت ميگيرد. شکل زير مراحل اعطاي گواهينامه ISMS را نمايش مي دهد.
 
 

 
مشکلات موجود در زمينه پياده سازي ISMS
 
1. امنيت يکفرهنگ است قبل از آنکه يک فناوري باشد. براين اساس پياده سازي مديريت امنيت قبل ازخريد تجهيزات امنيتي توصيه مي گردد. وقتي امنيت فرهنگ باشد عمري لازم است تا يکفرهنگ ايجاد شود و جا بيفتد. وقتي امنيت فرهنگ باشد نمي توان فرهنگ سازي سازمانيبومي شده در يک کشور پيشرفته اروپايي را به سادگي در يک مرحله ضربتي به يک سازمانديگر وارد نمود. اين يکي از اصلي ترين موانع در پياده سازي استانداردهاي مديريتامنيت است.
2. امنيت تداوم مي خواهد. حتي اگر موفق شويم در يک سازمان سيستممديريت امنيت را پياده نموده و گواهي استاندارد مربوطه را هم در يک مرحله اخذنمائيم؛ عدم تداوم آن هيچ آورده اي را از نظر امنيتي براي سازمان نخواهدداشت.
3. مديران سازماني ما احساس ناامني مداوم از فضاي تبادل اطلاعات خودندارند و يا مايملک اطلاعاتي ذي قيمتي را در معرض تهاجم نمي بينند. بر اين اساس،حمايت جدي و همه جانبه از پياده سازي و تداوم استانداردهاي مديريت امنيتندارند.
4. ناامني تداوم دارد. چون ناامني تداوم دارد بايستي امن سازي و تفکرامنيت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و ساليانه داشتهباشد.
5. امنيت نا محسوس است. لذا وقتي يک پروژه امنيتي (از نوع مديريت امنيت)انجام مي شود بعضاً مديريت و کارشناسان احساس مي کنند که هيچ اتفاق جديدي نيفتادهاست و ممکن است گلايه کنند که چرا هزينه نموده اند. در پاسخ به اين گلايه بايد فکرکرد که اگر روي امنيت کار نمي شد چه اتفاقي ممکن بود بيفتد. پس بايد در هر زمان ودر هر مکان از فضاي تبادل اطلاعات سازماني به فکر امنيت بود.
 
مزاياي استفاده از ISMS
 
- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شركاي تجاري
- امكان رقابت بهتر با ساير شركت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد
 

در بخش های بعدی سعی در آموزش جزئیات بیشتری از این مبحث خواهم داشت.