گام‌های پیاده‌سازی سیستم‌های امنیت اطلاعات (ISS)

باگسترش روابط انسانی وسهولت برقراری ارتباط با فن آوری های نوین، تهدیدهای امنیتی رنگ وبوی جدیدی به خود گرفته‌اند. شنود تلفن شاید از همان آغازین روزهای رواج این فناوری بصورت تفننی توسط اپراتورهای مراکز تلفن صورت می پذیرفت . اما به مرور زمان پای سرویس های جاسوسی گروههای تروریستی واخلال گران، به این حوزه نیز باز شد.امروزه بستره فن آوری اطلاعات محیط مناسبی جهت تبادل اطلاعات به ظاهر عادی است که همین اطلاعات آشکار و بی ارزش سهم عمده ای از اطلاعات مورد نیاز سرویس های جاسوسی را شامل می شود.
فناوری اطلاعات مطالعه، طراحی، توسعه، پیاده سازی و پشتیبانی یا مدیریت سیستم های اطلاعات مبتنی بر کامپیوتر خصوصا نرم افزارهای کاربردی وسخت افزار کامپیوتر است. از ماموریت های فناوری اطلاعات مدیریت داده، شبکه، مهندسی کامپیوتر، سخت افزار، پایگاه داده و طراحی نرم افزار می توان برشمرد. سیستم اطلاعاتی، سیستمی از افراد، داده های ذخیره شده وفعالیت های است که داده و اطلاعات را در یک سازمان پردازش می کند، فرآیندهای سازمان از نوع دستی وخودکار است. سیستم های اطلاعاتی توسعه و کاربرد و مدیریت سازمان با زیرساخت فناوری اطلاعات است. فن آوری اطلاعات و ارتباطات فرصت جدیدی برای حرفه ها در فضای اتوماسیون، همکاری و تجارت الکترونیکی، همچنین قادر ساختن به تولید و خدمات کاملا جدید ایجاد نموده است.
کاربرد این فن آوری حرفه ها را در معرض مخاطراتی از آتش و طوفان تا بزهکاری و تروریسم سایبری قرار داده، که نیاز به مدیریت و نظارت دارد. در دنیای جدید، مهمترین عامل توانایی وقدرت حفاظت از اطلاعات در مقابل تهدیدات دشمنان و تبادل و اشتراک گذاری امن اطلاعات درجهت افزایش توانمندی است.
● امنیت اطلاعات
اطلاعات دارای تنوع معنایی از کاربرد روزمره تا محیط های فنی است. عموما مفهوم اطلاعات وابسته به ادراک ( اندیشه)، ارتباط، کنترل، داده، فرم، آموزش، دانش، مفهوم، الگو، دورنما و نمایش است. اطلاعات مجموعه ای از آگاهی هاست، اطلاعات چی / کجا / چطور یک موضوع است وبه معنای جزئیاتی در موضوعی که به آن نیازداریم است. به تعبیر کامپیوتری اطلاعات، داده های پردازش شده است که دارای ارزش و اعتبار می باشد.
امنیت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سیستم های اطلاعاتی در مقابل هرگونه مخاطره وتهدید است. مخاطرات وتهدیدهای این حوزه شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیرمجاز اطلاعات است. امنیت اطلاعات طبق استاندارد ISO۲۷۰۰۱ حفظ محرمانگی، جامعیت و در دسترس بودن اطلاعات در مقابل مخاطرات، تهدیدها و آسیب پذیری ها تعریف شده است.
جامعیت اطلاعات به مفهوم تامین نمودن درستی و تمامیت اطلاعات و روشهای پردازش است به عبارت دیگر اطلاعت فقط توسط افراد مجاز قابل تغییر باشد.محرمانگی بیان می دارد اطلاعات فقط در دسترس افرادی است که مجاز به دسترسی به آنها هستند و در دسترس بودن به معنای دسترسی به اطلاعات توسط کاربر مجازاست ، زمانیکه نیازمند آن اطلاعات است .
● برنامه استراتژیک امنیت اطلاعات
هدف برنامه استراتژیک امنیت اطلاعات جهت دادن به پیاده سازی امنیت اطلاعات است، برنامه چارچوبی را برای اهداف در جهت الزام به محرمانگی، جامعیت ودر دسترس بودن فراهم می آورد.
□ گام های راهبردی برای پیاده سازی
برقراری مدیریت امنیت اطلاعات شش هدف متصور است:
▪ گام ١: توسعه، تصویب و ترویج خط مشی امنیت اطلاعات فراگیر
بایستی با نظر کارشناسان خبره بخش های مختلف دنباله ای از خط مشی های امنیت اطلاعات را مبنی بر استاندارد موجود توسعه، تصویب واجرا نمود. این دستورالعمل بصورت رسمی برنامه امنیت اطلاعات سازمان را بیان داشته وکارکنان در برابر آن پاسخگو هستند . فهرست زیر شامل مجموعه ای از خط مشی ها رسمی سازمانی را بیان می دارد والبته محدود به موارد زیر نیست.
بروزرسانی واجرا نمودن خط مشی قابل قبولی در کاربرد کامپیوتر و شبکه بصورت عمومی
ـ کنترل دسترسی اطلاعات وتعیین سطح دسترسی به داده ها و سیستم ها
ـ اعلام وصول، ذخیره سازی و پردازش وتوزیع اطلاعات حساس
ـ تست و بازبینی امنیتی سخت افزار و نرم افزار بکار گرفته شده
ـ ممارست در حفاظت از داده های عمومی بصورت گزارش گیری از تخلفات وتهدیدات امنیتی
ـ مجوزهای قانونی تخریب، پشتیبان سازی و وضعیت رسانه های دیجیتالی
ـ حذف دسترسی های کارکنان که فعالیتشان به هر دلیلی خاتمه یافته است.
ـ ارزیابی و مدیریت مخاطرات ( ریسک)
▪ گام ٢: کارکنان بایستی آگاه از پاسخگویی درباره امنیت اطلاعات باشند
همه کارکنان باید در دوره آشنایی و یادگیری امنیت اطلاعات وبکاربردن اصول حفاظت از اطلاعات شرکت نمایند. برنامه آموزشی باید دارای سطح بندی انعطاف پذیری برای مدیران ارشد، مدیران میانی، مدیران سیستم وشبکه و کارکنان بخش های مختلف باشد . برنامه آموزشی با توجه به نوع فعالیت هر فرد و پاسخگوبودن در مقابل سازمان تنظیم گردد. مراحل ساخت برنامه آموزشی شامل معیارهای زیر است:
ـ شناسایی وتحلیل فاصله بین وضعیت جاری ودانش مطلوب
ـ تعیین اولویت ها
ـ توسعه آگاهی ( با پست الکترونیکی و صفحات وب وخبرنامه ها)
ـ انتخاب موضوعات آموزشی ( خط مشی های قابل اجرا)
ـ توسعه آموزش و یادگیری براساس وظیفه و مسئولیت
ـ استفاده از فناوری برای آموزش ( کاربرد وب، آموزش الکترونیکی )
▪ گام ٣: ایجاد امور امنیت اطلاعات هربخش
در هربخش فردی که توانایی مناسبی برای پیاده سازی واجرای خط مشی های مورد نیاز امنیت اطلاعات دارد انتخاب گردد. امور امنیت اطلاعات دارای پاسخگویی های رسمی زیر است والبته نه محدود به موارد زیر:
ـ توسعه، انتشار، نگهداری رویه ها، خط مشی های برنامه امنیت سیستم های اطلاعاتی در بخش مربوطه
ـ متصدی رسیدگی به اعتراضات و شکایات وتخلفات حوزه تبادل اطلاعات و ممارست در به نتیجه رساندن
ـ متصدی کنترل نقاط اصلی در هنگام وقوع حوادث امنیتی و وخیم
ـ فراهم نمودن پیشنهادهایی برای مدیران استراتژیک که نیازمندیهای مدیریت مخاطرات ومباحث مربوط به فناوری سیستم های اطلاعاتی را پوشش دهد.
متصدی امور امنیت اطلاعات بخش باید فعالیتهای غیررسمی پیرامون امنیت اطلاعات نیز داشته باشد. موارد زیر پاسخگویی های غیررسمی متصدی امور امنیت اطلاعات است والبته نه محدود به این موارد:
ـ مطمئن ساختن کارکنان به مناسب بودن نسبی خط مشی ودستورالعمل های امنیت اطلاعات
ـ مطمئن شدن از انطباق امنیت پیاده شده بر راهبرها وخط مشی های امنیتی
ـ گزارش دادن به مدیر امنیت اطلاعات مینی بر سنجش و ارزیابی قوانین مصوب مسئولین اجرایی
▪ گام ٤: بنا نهادن فرآیندی برای گزارش گیری منظم از پیشرفت به مدیر اجرایی
دفتر پیاده سازی امنیت باید دارای زمانبندی مشخصی برای گزارش پیشرفت و توسعه امنیت اطلاعات به رئیس سازمان داشته باشد. این گزارشات در دو بعد قابل استفاده است (١) ارزیابی مسئول سازمان از توانمندی پیاده سازی امنیت اطلاعات توسط تیم اجرایی (٢) برطرف نمودن نواقص وایرادات خط مشی های امنیتی تصویب شده توسط مسئولین کلان سازمان.
▪ گام ٥: پیاده نمودن کنترلهای فعال وگسترده
تعیین سیستم هایی که حاوی اطلاعات حساس هستند و مطمئن بودن از استقرار کنترلهای دسترسی و سیستم های اطلاعاتی که هرشخص صرفا به اطلاعات مشخصی دسترسی دارد انواع کنترل دسترسی شامل کنترل دسترسی اجباری، احتیاطی، مبنی بر مسئولیت سازمانی وزمانی از روز است . اهم نظارتها در این بخش عبارتست از:
ـ ارزیابی بخش ها در راه اندازی خط مشی امنیتی
ـ شناسنامه دار نمودن دستگاهها
ـ تاکید بر پیچیدگی رمز
ـ تاکید بر تغییر رمز بصورت دوره ای
ـ ثبت عملکرد کاربران در سیستم های اطلاعاتی
▪ گام ٦: پیاده نمودن وارتقاء مداوم وبرنامه های ترسیم حوادث .
سازمان بایستی بصورت پیوسته به تحلیل و ارزیابی مخاطرات سازمانی بپردازد وبرنامه مشخص بخشی وسازمانی برای حفاظتی و ترمیم سیستم های حساس، سرویسهای شبکه وبرنامه های کاربردی وداده های داشته باشد. برنامه ارتقاء مداوم عبارت است از:
ـ کنترل وارزیابی مخاطرات
ـ تحلیل آسیب های حرفه وکسب کار
ـ توسعه مداوم راهبردها و استراتژی های حرفه
ـ طراحی دفتر واکنش و عملیات
ـ آگاهی، آموزش و یادگیری
ـ معاونت ونگهداری نمودن از برنامه ها سازمانی بصورت پیوسته
● پیاده سازی امنیت اطلاعات
در گذشته اکثر سازمان ها هزینه نسبتا کمی را برای امنیت منابع اطلاعات خود پرداخت می کردند. امنیت غالبا پس از رخداد حادثه ای مورد توجه قرار می گرفت. پیشنهاد طراحی و پیاده سازی برنامه امنیت IT با بی میلی تصویب می شد و پاسخگویی اغلب توسط کارمندان رده پایین فنی صورت می گرفت.
به تازگی – و هنوز توسط شرکت ها و سازمان های بزرگ – ارزشهای راهبردی حفاظت از اطلاعات و سیستم های اطلاعاتی در حال توسعه است . در اکثر موارد، این واقع بینی با تغییر نیازمندی های حقوقی و کنترل های تنظیمی پیگیری می شود. در این اواخر، راهبری هماهنگ توجه گسترده ای به امنیت IT و مدیریت مخاطرات می دهد. رییس اداره اجرایی و رییس اداره اطلاعات هر دو شخصا در مورد مخاطراتی نظیر دستبرد به داده های و سیستم های رایانه ای و دسترسی غیر مجاز مسوول و پاسخگو هستند.
زمانی برنامه راهبردی مفید است که پیاده، پشتیبانی و استفاده شود. مدیران حرفه ها در حال درک این مطلب هستند که امنیت IT و مدیریت مخاطرات صرفا مشکل فنی نیست که با بکارگیری کنترل های امنیتی مهار شود. مدیریت به مشی همه جانبه در برنامه ریزی امنیتی و مهیا نمودن منابع لازم برای برنامه امنیت فراگیر که فن آوری، مردم و فرآیندها در آن دخیل هستند، نیاز دارد. آنها نیازمند تضمین اعتقاد همه ارکان سازمان به چشم اندار امنیتی هستند.

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

تداوم کسب وکار و فناوری اطلاعات

موضوع تداوم دیرینه و حائر اهمیت می باشد. انسان هوشمند از بدو زندگی اجتماعی خود …