سیستم مدیریت امنیت اطلاعات یا ISMS چیست؟

این روز‌ها در ایران در حوزه امنیت اطلاعات و ارتباطات یک بحث بسیار داغ است و آن چیزی نیست جز سیستم مدیریت امنیت اطلاعات یا چیزی که ما به عنوان ISMS می‌شناسیم. این سیستم امروزه به شکل یک تب در بین سازمان‌های دولتی در آمده است و بسیاری از سازمان‌ها و شرکت‌ها حتی برای چشم و هم‌چشمی هم که شده بایستی به سراغ این سیستم بروند. این دقیقا‌‌ همان مشکلی است که در خصوص سیستم مدیریت کیفیت یا ISO ۹۰۰۰ نیز پیش آمد. یعنی تب بالا می‌گیرد و همه به سراغش می‌روند و هر کس و ناکسی ادعای امنیت اطلاعات می‌کند. از این‌ها که بگذریم برویم به سراغ اصل سیستم مدیریت امنیت اطلاعات و چیستی آن، در ابتدا واژه سیستم را تعریف می‌کنیم و کلیات موضوع سیستم مدیریت امنیت اطلاعات و اجزای آن را برای شما شرح خواهیم داد.

.

تعریف سیستم یا System و استاندارد

سیستم به معنی مجموعه‌ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده‌اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه‌ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می‌باشد در کنار هم جمع شده‌اند.

سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می‌باشد که ما به خودی خود نمی‌توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیار‌ها بر عهده یک سازمان بین‌المللی است که استاندارد‌ها در آن تهیه و تنظیم می‌شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization، این سازمان وظیفه تدوین استاندارد‌های یکپارچه در دنیا را بر عهده دارد، تا به حال هر استانداردی که شنیده‌اید در این سازمان تعریف و تدوین شده است، قطعا با ISO ۹۰۰۰ یا استاندارد کیفیت کالا آشنایی دارید، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO ۲۷۰۰۰ تعریف شده است که در ادامه با آن آشنا خواهید شد.

.

ساختار یک استاندارد به چه شکل است؟

همه استاندارد‌ها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین‌المللی ISO یک‌سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده‌سازی استاندارد‌ها مورد نیاز است، برای مثال یکی از کنترل‌های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب‌های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل‌ها معیار را برای ما تشریح می‌کنند اما چگونگی انجام شدن آن را تعریف نمی‌کنند و این یک اصل است.

هر استانداردی برای خود دارای یک‌سری کنترل است که در قالب سرفصل‌هایی ارائه می‌شوند. همیشه در تمامی سازمان‌ها لازم نیست تمامی این معیار‌ها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده‌سازی کنید، شما بر حسب سرویس و نیازی که دارید از بین این کنترل‌ها، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده‌سازی می‌کنید. اما بعد از اینکه شما از بین کنترل‌های موجود، آنهایی که مورد نیازتان هستند را انتخاب کردید، بایستی آن‌ها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه‌سازی و تدوین کنید. بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می‌آید که به آن خط مشی یا Policy گفته می‌شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می‌کنید.

خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می‌کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است، چگونگی انجام و پیاده‌سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می‌شود.

.

فواید استفاده از سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

طبیعی است که شما زمانی‌که به یک کشور خارجی سفر می‌کنید یکی از مهم‌ترین معیار‌ها برقرار بودن امنیت در آن کشور است، همین موضوع باعث ترقیب شدن توریست‌ها برای سفر کردن و سرمایه‌گذاری در آن کشور می‌شود. در خصوص سازمان‌ها هم به همین شکل است، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده‌سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت، تصور کنید شخصی قصد سرمایه‌گذاری در یک شرکت را دارد، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در ‌‌نهایت ممکن است بازار کار خود را از دست بدهد، بنابراین سیستم مدیریت امنیت اطلاعات (ISMS) بصورت کلی باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدید‌ها می‌شود.

پیاده‌سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می‌تواند باعث اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده‌ها، قابل اطمینان کردن تصمیم‌گیری‌ها و محک‌زدن سیستم مدیریت امنیت اطلاعات، ایجاد اطمینان نزد مشتریان و شرکای تجاری، امکان رقابت بهتر با سایر شرکت‌ها و ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده‌ها و اطلاعات شود.

.

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است؟

همانطور که اشاره کردیم، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان‌ها ساختار خود را پیاده‌سازی کنند. در ادامه گفتیم که از بین کنترل‌های موجود بایستی کنترل‌های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در ‌‌نهایت پیاده‌سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می‌شود که به نوع می‌توان گفت ISMS دارای کاغذبازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد؟ بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه یا سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:

• مستند اهداف، راهبرد‌ها و سیاست‌های امنیتی فضای تبادل اطلاعات دستگاه (Security Policy)

• مستند طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه (Risk Assessment)

• مستند طرح امنیت فضای تبادل اطلاعات دستگاه

• مستند طرح مقابله با حوادث امنیتی و ترمیم خرابی‌های فضای تبادل اطلاعات دستگاه (Disaster Recovery)

• مستند برنامة آگاهی‌رسانی امنیتی به پرسنل دستگاه (Awareness)

• مستند برنامة آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه

.

مراحل پیاده‌سازی و دریافت استاندارد ISO ۲۷۰۰۱ یا ISMS چیست؟

• سازمان قصد به دریافت استاندار ISO ۲۷۰۰۱ می‌گیرد (نیت می‌کنیم)

• این قصد را با یک شرکت مشاور در زمینه پیاده‌سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می‌گذارد

• شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می‌کند.

• بر اساس کنترل‌های امنیتی کلیه نیاز‌های امنیتی مربوط به سازمان مطابق با استاندارد ISO ۲۷۰۰۱ پیاده ‌سازی می‌شود

• قبل از اینکه سرممیز اصلی (Lead Auditor) از نماینده بین‌المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی، بازرسی‌های لازم را انجام می‌دهند.

• از یک سرممیز بین‌المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می‌شود برای انجام بازرسی‌های لازم

• در صورت تایید صلاحیت و کسب حداقل امتیازات لازم، گواهینامه صادر می‌شود

.

مشکلات معمول در پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS)

بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده‌سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می‌گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی‌توان فرهنگ‌سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی‌ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

امنیت تداوم می‌خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده‌سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده‌ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین‌المللی از چرخه‌ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی، انجام، آزمایش و اعمال مجدد طراحی استفاده می‌شود.

ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن‌سازی و تفکر امنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا‌امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی‌قیمتی را در معرض تهاجم نمی‌بینند. بر این اساس، حمایت جدی و همه‌جانبه از پیاده‌سازی و تداوم استانداردهای مدیریت امنیت ندارند.

امنیت نا‌محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت) انجام می‌شود بعضاً مدیریت و کار‌شناسان احساس می‌کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده‌اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی‌شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان و در هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.

محمد نصیری

منبع: انجمن تخصصی فناوری اطلاعات ایران