سیستم مدیریت امنیت اطلاعات (ISMS)

ISMS چیست؟
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.

اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات

1- تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3- اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان

استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات

استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

1- استاندارد مديريتي BS7799
که شامل 2 بخش است : BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب 10 دسته بندی کلی زیر است :
– تدوين سياست امنيتي سازمان
– ايجاد تشکيلات تامين امنيت سازمان
– دسته‌بندي سرمايه‌ها و تعيين کنترل‌هاي لازم
– امنيت پرسنلي
– امنيت فيزيکي و پيراموني
– مديريت ارتباطات
– کنترل دسترسي
– نگهداري و توسعه سيستم‌ها
– مديريت تداوم فعاليت سازمان
– پاسخگوئي به نيازهاي امنيتي
BS7799:2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل 4 مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.

2- استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد
که همان بخش اول استاندارد BS7799:2 است که در سال 2000 به این اسم نامیده شد.

3- گزارش فني ISO/IEC TR 13335 موسسه بين‌المللي استاندارد

اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسة بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زیر است :
1) تعيين اهداف، راهبردها و سياست‌هاي امنيتي فضاي تبادل اطلاعات سازمان
2) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنيت
4) پياده‌سازي طرح امنيت
5) پشتيباني امنيت فضاي تبادل اطلاعات سازمان

مراحل ايمن سازي بر اساس گزارش فني ISO/IEC 13335

مستندات ISMS
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان) بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد :

اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
طرح امنيت فضاي تبادل اطلاعات دستگاه
طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
برنامة آگاهي رساني امنيتي به پرسنل دستگاه
برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه

اجزاء و ساختار تشکيلات امنيت
اجزاء تشکيلات امنيت
تشکيلات امنيت شبکه، متشکل از سه جزء اصلی به شرح زير می باشد :

در سطح سياستگذاري : کميته راهبری امنيت فضاي تبادل اطلاعات دستگاه
در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
در سطح فني : واحد پشتيبانی امنيت فضاي تبادل اطلاعات دستگاه

نحوه ی پیاده سازی ISMS درسازمان ها

سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.

مشکلات موجود در زمینه پیاده سازی ISMS

1- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یکفرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانیبومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازماندیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریتامنیت است.
2- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستممدیریت امنیت را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
3- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خودندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیتندارند.
4- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشتهباشد.
5- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.

مزایای اسنفاده از ISMS

– اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها
– اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
– قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات
– ایجاد اطمینان نزد مشتریان و شركای تجاری
– امكان رقابت بهتر با سایر شركت ها
– ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
– بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

نتیجه گیری

در این بررسی قصد داشتیم تا ISMS را به عنوان استانداردی جهانی برای ایمن‌سازی شبكه‌ها معرفی نماییم و توجه خواننده را به این موضوع جلب کنیم كه برقراری امنیتدر سازمانها ، باید در همه ابعاد آن صورت گیرد. توجه به این استاندارد و شناخت و پیاده سازی آن ، باعث می‌شود كه بحث در رابطه با موضوعات پیشرفته‌تری نظیر برپایی مراكز امنیت شبكه (Security Operating Center :SOC) ملموس‌تر و دست یافتنی‌تر به نظر برسند.

Summary
Article Name
سیستم مدیریت امنیت اطلاعات
Description
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
Author