راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

جاده مدیریت امنیت اطلاعات به کجا ختم می‌شود؟

سامانه مدیریت امنیت اطلاعات الزامی برای دستگاه‌های دولتی در جهت پیاده‌سازی بسترهای امنیتی است که گواهی‌هایی را به مشاوران و مجریان این طرح ارائه می‌دهد.

ایسنا نوشت: امنیتی که این روزها در بستر وب حائز رتبه‌ای بی‌بدیل است، در ابعاد بیرونی نیز دارای استانداردهای وضع‌شده‌ای است که حرکت در چارچوب آن از ایمنی و خارج از آن فقدان اطمینان به امنیت کامل نشان دارد.

سامانه مدیریت امنیت اطلاعات که به عنوان الزامی برای دستگاه‌های دولتی در جهت پیاده‌سازی مطرح شده، یکی از همین استانداردهای حوزه امنیت در راستای سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) است که دستگاه‌های اجرایی را ملزم به دریافت گواهی مدیریت امنیت اطلاعات می‌کند و علاوه بر آن در تمامی کشورهای پیشرفته و در حال توسعه گواهی و الزاماتی برای پیاده‌سازی دارد.

سند بالادستی افتا که از کارگروه فاوا دولت برگرفته شده است، تمامی دستگاه‌های کشور را به پیاده‌سازی واحد مدیریت امنیت اطلاعات ملزم کرده و بخش‌نامه‌های امنیتی این کارگروه را به دستگاه‌های دولتی ارسال کرد تا مدیران بتوانند با سیاست‌های این کار و راه و روش‌های پیاده‌سازی آشنا شوند و در مرحله بعد واحدی برای این مدیریت به وجود آورند.

گواهی‌هایی که برای فعالان مشاوره‌ای و پیاده‌سازی این فرآیند در نظر گرفته شده تنها با تأیید سازمان فن‌آوری اطلاعات ایران دارای اعتبار خواهد بود چرا که طبق مصوبه هیات دولت، این سازمان متولی اعتباربخشی به گواهی‌های ISMS است.

بر همین اساس فراخوان‌هایی برای احراز صلاحیت مشاوران و ارزیابی فعالان این حوزه برگزار شد و در سال جاری نیز در جهت نهادینه کردن ارزیابی‌های مذکور، مدت زمان فراخوان‌های ارزیابی صلاحیت برداشته شد و متقاضیان می‌توانند در هر زمان اطلاعات و شرایط مذکور را دریافت کرده و درخواست خود را در صف ارزیابی‌ها قرار دهند.

به گزارش ایسنا، از اقدامات مؤثری که در راستای گواهی‌های ISMS صورت گرفته منع دستگاه‌های دولتی از اخذ گواهی مدیریت امنیت اطلاعات از مراجع خارجی بوده است؛ این روند از ایجاد قوانین و مفادی حکایت دارد که استانداردهای ویژه‌ای برای کشور را می‌طلبد و وابستگی ما را به استانداردهای کلی و دیگر کشورها کم می‌کند.

معاون گسترش IT سازمان فن‌آوری اطلاعات درباره نحوه فعالیت‌ شرکت‌های دارای صلاحیت گفته است: به منظور اعمال نظارت بر نحوه پیاده‌سازی این سامانه در دستگاه‌های اجرایی، برخی از شرکت‌های خصوص فعال و توانمند در این بخش پس از اخذ تاییدیه‌های لازم از مراجع ذی صلاح، به عنوان ممیز از طرف سازمان فن‌آوری اطلاعات انتخاب خواهند شد.

اسماعیل رادکانی با اشاره به تکلیف قانون برنامه پنجم توسعه مبنی بر پیاده‌سازی سامانه مدیریت امنیت اطلاعات از سوی تمامی دستگاه‌های اجرایی تا پایان سال دوم برنامه تصریح کرد: سازمان فن‌آوری اطلاعات بر اساس وظایف حاکمیتی خود وظیفه پیگیری چگونگی پیاده‌سازی این سامانه و نحوه نظارت بر آن را برعهده دارد.

وی گفت: بخشنامه‌ای در اردیبهشت‌ماه به کلیه دستگاه‌های دولتی ابلاغ شد تا خرید کلیه محصولات امنیتی به واسطه آن ممنوع شود، مگر آن‌که در موارد خاصی باشد و در آن شرایط باید از سازمان فن‌آوری اطلاعات تاییدیه بگیرند.

او ادامه داد: البته باید گفت سازمان به راحتی مجوز خرید محصول خارجی صادر نمی‌کند مگر آن‌که به این نتیجه برسد که مشابه آن تولید داخلی نشده است و آن وقت با ملاحظات اتخاذ شده برای نمونه خارجی اجازه خرید می‌دهد.

در این راستا شهروز اسماعیل‌پور – کارشناس امنیت شبکه – نیز معتقد است که این استاندارد‌ها نشان می‌دهد که سازمان‌ها و مراکز مختلف به چه‌صورتی می‌توانند اطلاعاتی که دارند را به‌صورت امن نگهداری کنند، هرچند که متاسفانه هنوز آن‌طور که باید و شاید نیاز به رعایت استاندارد مدیریت امنیت اطلاعات و سرمایه‌گذاری و توجه بیش از پیش به موضوع امنیت شبکه احساس نشده و دررابطه با استاندارد‌ها و تکنیک‌هایی که باید رعایت شود، فرهنگ‌سازی مناسبی نشده است.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.