خبرگزاري فارس: مدير عامل شركت فناوري اطلاعات ايران گفت: طبق دستورالعمل پيادهسازي سامانه مديريت امنيت اطلاعات، دستگاههاي دولتي از اخذ گواهي مديريت امنيت اطلاعات (ISMS) از مرجع خارجي منع شدهاند كه البته الزامي در اين رابطه براي بخش خصوصي نيست.
سعيد مهديون در گفتوگو با خبرنگار فناوري اطلاعات خبرگزاري فارس با اشاره به پياده سازي سامانه مديريت امنيت اطلاعات در دستگاههاي اجرايي، اظهار داشت: پياده سازي اين سامانه در دستگاههاي اجرايي در سند افتا ( امنيت فضاي توليد و تبادل اطلاعات) به دستگاهها تكليف شده است و تصممي دستگاهها ملزوم به پيادهسازي اين سامانه شدهاند.
وي در پاسخ به اين سؤال كه آيا براي پياده سازي سامانه مهلت زماني براي دستگاهها تعيين شده گفت: يكي از اشكالات سند افتا اين است كه زمانبندي خاصي در آن تعيين نشده است.
* مهلت 3 و 5 ساله به دستگاهها براي پيادهسازي ISMS
وي گفت: در بخش راهبرد 2 اقدام از سند مشخص شده كه كساني كه مجري طرحها هستند بايد طرحهاي خود را تا آذر 87 براي تصويب در دولت ارائه دهند.
مهديون ادامه داد: اما با توجه به ابلاغ سند در تاريخ اسفند 87 و به دليل اينكه طرح زمان گذشته تصويب شد، زمانبنديها به هم خورد و به اين ترتيب در زمان ابلاغ سند، زمان تعيين شده براي اين منظور گذشته بود.
مدير عامل شركت فناوري اطلاعات ايران در پاسخ به اين سوال كه پس از آن ديگر زمانبندي جديدي براي اين منظور مشخص نشده، اظهار داشت: در حال حاضر كميته امنيتي كه در زير مجموعه كارگروه مديريت فناوري اطلاعات (فاوا) دولت تشكيل شده، در حال كار روي اين مسئله است و اجرايي شدن اين سند در دستگاهها را پيگيري ميكند.
وي خاطرنشان كرد: البته بايد توجه داشت كه پياده سازي ISMS (سامانه مديريت امنيت اطلاعات) مانند خريد يك شبكه يا نصب تجهيزات نيست و كار نسبتا سنگيني است.
مهديون تأكيد كرد: برخي از فرآيندها و كنترلها براي پيادهسازي ISMS به علت عجين بودن با عملكرد سازمان ممكن است تا 5 سال طول بكشد.
وي ادامه داد: در همين راستا براي پياده سازي سامانه مديريت امنيت اطلاعات دستورالعملي تهيه و به دستگاهها ابلاغ شده است كه در اين دستورالعمل برنامههاي زماني و بازههاي 3 ساله و 5 ساله ديده شده است و براساس اين دستورالعمل دستگاهها بايد حداقل يك بار مميزي را انجام دهند.
* گواهي ISMS دستگاهها دو ساله خواهد بود
مدير عامل شركت فناوري اطلاعات ايران خاطر نشان كرد: در مميزي زماني كه گواهي نامه اعطا ميشود، به خصوص در حوزه امنيت، اين گواهي مانند گواهي تحصيلي مدركي هميشه معتبر نيست و مهلت زماني دارد.
وي ادامه داد: براي مثال زماني كه دستگاهي يك گواهي ISMS (مديريت امنيت اطلاعات) اخذ كرد، به اين معني نيست كه تا آخر عمر مديريت امنيت در اين دستگاه برقرار باشد.
مهديون خاطر نشان كرد: بازبيني در بازههاي زماني يك ساله يا 2 ساله بايد دوباره انجام شود، ارزيابي و مميزي صورت گيرد و مجدداً گواهي اعطا شود.
مهديون با اشاره به اينكه گواهيها داراي طول عمر است، گفت: در دستورالعمل تهيه شده طول عمر گواهيها 2 سال ديده شده است؛ زيرا يك سال براي اين دستگاهها بسيار كوتاه است.
* دولت راهبري سند افتا را به كميته امنيت كارگروه فاوا سپرد
وي در پاسخ اين كه يكي از مشكلات سند افتا اين است كه در آن وظيفه راهبري سند مشخص نشده، آيا تكليف راهبري سند مشخص شده است، گفت: اخيراً هيئت دولت مصوبهاي با اين مضمون داشته است كه پيگيري اجرايي شدن اين سند را به كميته امنيت كارگروه فاوا محول كرده است.
وي با تأكيد بر اينكه پياده سازي ISMS نيز جزو وظايف راهبري است، اظهار داشت: پياده سازي ISMS به مكاني نياز دارد كه عمل اعتباردهي دستگاهها را انجام دهد.
مديرعامل شركت فناوري اطلاعات ايران توضيح داد: قرار نيست مركز خاصي در دولت گواهي ISMS را صادر كند، بلكه گواهي طي يك نظامي كه در دستورالعمل ابلاغ شده است، صادر ميشود.
مهديون ادامه داد: مؤسساتي كه عمل مميزي كردن صدور گواهي را انجام ميدهند؛ خود بايد ارزيابي و نظارت شوند؛ همچنين علاوه بر اين ميمزها، آموزش دهندگان، مشاوران پياده سازي نيز وجود دارند؛ زيرا دستگاهها براي پياده سازي يا شخصا و به صورت داخلي اقدام ميكنند، يا به كمك مشاور نياز خواهند داشت.
وي ادامه داد: علاوه بر اين به افرادي براي كمك در انجام عمل مميزي نياز است كه مميزهاي ارشد نيز وجود خواهند داشت.
مهديون تأكيد كرد: همچنين بنگاههايي وجود دارند كه بايد با انجام عمل مميزي نهايي گواهي را صادر كنند و در نهايت در بالا سر اين سطوح جايي بايد به تمامي اين سطوح اعتبار دهد.
* انتخاب سازمان فناوري اطلاعات به عنوان نهاد اعتباردهي گواهي ISMS
وي خاطر نشان كرد: مطابق مصوبه اسفندماه هيئت دولت، شركت فناوري اطلاعات ايران به عنوان نهاد اعتباردهي انتخاب شده است.
وي گفت: همچنانكه تاكنون دهها دستورالعمل توسط كميته امنيت فاوا دولت ابلاغ شده است، كميته امنيت راهبري اين موضوع را براي شركت فناوري اطلاعات ايران نيز انجام ميدهد و تشكيل ساختار اعتباردهي شركت فناوري اطلاعات را نيز پيگيري ميكند.
وي در پاسخ به اين سوال كه تشكيل نهاد اعتباري در سازمان فناوري اطلاعات در چه مرحلهاي است، گفت: نظام اصلي ابلاغ شده و در شركت فناوري اطلاعات نظام اعتباردهي در حال شكل گيري است؛ حتي روي چگونگي ارزيابي مميزها، شرايط ارزيابي شركتهايي كه ميخواهند گواهي بدهند، شركتهايي كه ميخواهند در حوزه آموزش وارد شوند، كار ميشود.
* بخشنامههاي امنيتي كارگروه امينت فاوا روانه دستگاههاي دولتي ميشود
وي ادامه داد: در كنار اين موارد، خلاصه دستورالعملهاي سادهاي كه دستگاهها قادر به انجام باشند در چارچوب بخش نامهها و ابلاغيهها براي دستگاهها ارسال ميشود، براي مثال بخشنامه اول در اين حد بود كه دستگاهها در سطح مديريت نخست به دنبال خط مشيها و سياستهاي امنيتي بروند و دوم مدير امنيت اطلاعات را در دستگاه منصوب كنند كه اين بخشنامه به دستگاه ابلاغ شد.
مهديون گفت: همين بخشنامه حركتي را در تمامي دستگاهها آغاز كرد و هماكنون برخي از دستگاهها مدير امنيت اطلاعات خود را منصوب كردهاند و كميته امنيت نيز طرف صحبت خود را در دستگاه اجرايي ميشناسند.
وي گفت: بخشنامه بعدي اين بود كه شروع كنيد به تشكيل كميته امنيت در دستگاه و به اين ترتيب قدم به قدم دستگاهها را براي پيادهسازي سامانه مديريت امنيت اطلاعات آماده ميكنيم.
مهديون ادامه داد: در نهايت از يك سو دستگاهها متقاضي پيادهسازي ISMS خواهند شد و از سوي ديگر نهادهاي مختلف مجوزهاي لازم را براي اجرا و انجام مراحل اين كار اخذ كردهاند كه اين دو طرف را به هم ارتباط ميدهيم.
مدير عامل شركت فناوري اطلاعات ايران اظهار اميدواري كرد: بتوانيم در سال برنامه نظام را آماده كرده باشيم تا دستگاهها مميزي شدن را آغاز كنند.
* دستگاههاي دولتي از اخذ گواهي مديريت امنيت اطلاعات (ISMS) از مرجع خارجي منع شدند
وي در خصوص اينكه در گذشته اگر كسي تمايل به اخذ ISMS داشت بايد اين گواهي را از يك شركت خارجي دريافت ميكرد، اظهار داشت: بله؛ در گذشته چنين بود؛ اما هماكنون اخذ گواهي مديريت امنيت اطلاعات (ISMS) از مرجع خارجي براي دستگاههاي دولتي ممنوع شده اما براي بخش خصوصي الزامي در اين رابطه نيست؛ در عين حال كه ترجيح اين است كه حتي بخش خصوصي نيز براي اين منظور سراغ خارجيها نرود.
مهديون در پاسخ به اين سوال كه آيا استفاده بخش خصوصي نيز از نظام ايجاد شده براي دستگاههاي دولتي ممكن است گفت: خصوصيها هم اگر بخواهند ميتوانند استفاده كنند اما براي آنها الزام ندارد.
مديرعامل شركت فناوري اطلاعات ايران در پاسخ به اين سوال كه آيا دبير كميته امنيت اطلاعات كارگروه فاوا از شركت فناوري اطلاعات ايران است، گفت: خير؛ دبير كميته امنيت را وزير ارتباطات منصوب كردهاند كه از سازمان فناوري اطلاعات نيست و اين كميته نيز مانند ساير كميتههاي كارگروه فاوا دولت (فناوري اطلاعات و ارتباطات) از چندين نهاد و حتي از دانشگاهها عضو دارد.
وي با تأكيد بر آغاز فعاليت كميته امنيت كارگروه فاوا تصريح كرد: كميته امنيت فعاليت خود را آغازكرده است و يك يا دو مصوبه نيز در كارگروه فاوا در حوزه امنيت داشتهايم كه همان مقررات و پشتيبانيهاي مربوط به پياده سازي سيستمهاي مديريت امنيت اطلاعات است.
مهديون ادامه داد: از ديگر مصوبات اين كميته زمان هايي است كه بايد موردي در سطح دولت و كارگروه به دستگاهها ابلاغ شود كه كميته امنيت مصوبات اين چنيني نيز داشته است.
به گزارش فارس، سامانه مديريت امنيت اطلاعات (ISMS) يكي از ابزارهاي مهم ساختاري و سيستماتيك كلان كشورها است كه در ايران بر اساس مصوبات گوناگون از جمله مصوبه هيأت وزيران و سند راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا) با هدف پياده سازي در دستگاههاي اجرايي كل كشور ابلاغ شده است.
بنابر اين گزارش، در اين راستا اسناد بالادستي فراواني در كشور تدوين و تصويب شده است كه از اين جمله ميتوان به مصوبات شوراي عالي امنيت ملي و هيئت وزيران و سند راهبردي افتا اشاره كرد؛ بر همين اساس براي اجراي اين مصوبهها در دستگاههاي اجرايي، لزوم ايجاد ساختاري براي سياستگذاري، مديريت، نظارت و راهبردي فرايند سامانه مديريت امنيت اطلاعات احساس ميشد.
به اين ترتيب سازمان فناوري اطلاعات، ايجاد ساختار اعتباردهي مديريت امنيت اطلاعات در سطح ملي را در قالب دستورالعمل به هيئت وزيران ارائه كرد كه در بيست و چهارم اسفندماه 88 به تصويب هيئت وزيران رسيد.
بنابر اين گزارش، از جمله اهداف پيادهسازي نظام ملي سامانه مديريت امنيت اطلاعات، ميتوان به مديريت كلان امنيت اطلاعات در سطح كشور، ايجاد و توسعه فرهنگ مديريت امنيت اطلاعات در دستگاههاي اجرايي و نيز ايجاد يك امنيت اطلاعات نسبي قابل پذيرش در دستگاههاي اجرايي اشاره كرد.
همچنين ابلاغ و استمرار الزامات ملي امنيت اطلاعات در دستگاههاي اجرايي و شناسايي، ارزيابي و اعتباردهي شركتهاي فعال در زمينه سامانه مديريت امنيت اطلاعات (ISMS) از ديگر اهداف نظام سامانه مديريت امنيت اطلاعات است.
بر اساس اين گزارش، با ايجاد سامانه مديريت امنيت اطلاعات در دستگاههاي اجرايي، امنيت اطلاعات راهبري و مديريت آن يكپارچه خواهد شد.