ICTNA :: Information and Communication Technology News Agency

آنهایی که به امنیت اطلاعات اهمیت نمیدهند بخوانند

نوشته : آرش کریم بیگی

ظهور تکنولوژي ارتباطات و اينترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بين سيستم‌هاي کامپيوتری را به وجود آورده است. اين فناوري‌هاي نوين با غلبه بر فاصله ها و محدوديتهای فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستم‌ها را بشدت تحت تأثر قرار داده‌اند. اين فناوري‌هاي نوين بستري مناسب را براي انجام مبادلات تجاري، ارائه خدمات آنلاين مانند بانکداري الکترونيکي و خدمات دولت الکترونيکي ايجاد کرده اند.

IT یک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتی که به توسعه و همه گیری اش توجه و تکیه میکنیم به "امنیت" آن توجه نکنیم میتواند به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:

- شبکه بانکی کشور هک شده و کلیه اطلاعات بانکی, کلمات عبور کارتها دزدیده شده و مبالغ کلانی جابجا شده...

- سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده...

- تمام اطلاعات و سوابق شخصیتان بواسطه نفوذ هکرها به بانک اطلاعاتی سازمان ثبت احوال سرقت شده...

- شبکه مخابراتی کشور فلج شده...هیچ تماس تلفنی داخلی،بین شهری و بین المللی ممکن نیست...

- و دهها سناریوی وحشتناک دیگر...

فکر کنم حالا به باور من رسیدید : IT میتواند به همان سرعتی که باعث رفاه و بالارفتن توانایی ها میشود میتواند باعث خلق مصائبی این چنینی شود و کشوری را فلج کند !

همیشه باید نگران باشید !

تا اوايل دهه هفتاد، فعاليت‌هاي مربوط به دسترسي و محافظت از اطلاعات در سازمانها و شرکت‌ها محدود به محل‌هاي نگهداري اين اطلاعات شامل آرشيو اسناد و شبکه‌هاي محلي کامپيوتری بود. در چنين محيط‌هايي، روشهاي حفاظت فيزيکي امنيت سيستم‌ها و اطلاعات را تا حد بسيار بالايي تأمين مي‌کرد. اگرچه مزاياي فضاي تبادل اطلاعات غير قابل انکار است، ولي اتصال سيستم‌هاي داخلي به شبکه‌هاي خارجي و بین المللی و ارائه خدمات و مبادله اطلاعات از طريق اين شبکه‌ها خطرات و تهديدات جديدي را ايجاد کرده‌است. مهمترين نگراني‌هاي امنيتي مرتبط با سيستم هاي اطلاعاتي شامل دستيابي نفوذگران به سيستم‌هاي اطلاعاتي و سرقت اطلاعات آنهاذ- ايجاد وقفه و اختلال در ارائه سرويس‌هاي حياتي و تغيير يا تخريب اطلاعات مي‌باشند. بديهي است که در اين شرايط روشهاي حفاظت فيزيکي به تنهايي قادر به تامين امنيت نخواهند بود و شما ناچار از بكارگرفتن روش‌هاي جديد حفاظت اطلاعات و كنترل دسترسي‌ها به منابع سازمان شده‌اند.

تاریخچه استاندارد امنیت

برای پیشگیری از تهدیدهای امنیتی متدها و استاندارهای مختلفی تا بحال ارائه شده است اما کاملترین و معروف ترین آنها استاندارد BS7799 است که در این مقاله قصد معرفی آن را دارم!

تاریخچه این استاندارد نام کاملش British Standard 7799 است به زمان تاسیس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry در سال 1987 برمیگردد.

این مرکز برای تعیین و تعریف معیارها و استانداردهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولید شده توسط تولید کنندگان تجهیزات امنیتی و اعطای نشان ها و تاییده های بین المللی و همچنین کمک به کاربران این گونه تجهیزات تاسیس شد.

CCSC در سال 1989 اقدام به انتشار کدهایی برای سنجش میزان امنیت کرد که به Users Code of Practice معروف شد. مدتی بعد کیفیت و کمیت این کدها از سوی مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران مورد بررسی قرار گرفت و درنهایت به صورت نخستین نسخه استاندارد امنیت با عنوان "مستندات راهبری PD 003 " در انگلستان منتشر شد. نسخه بازنگری شده این استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد.

با توجه به تجارب گذشته این گروه در گردآوری سناد و قوانین و مستندات امنیتی استاندارد امنیتی BS7799 توسط این گروه منتشر گردید و در فوریه 1998 قسمت دوم این استاندارد با عنوان سیستم مدیریت امنیت اطلاعات یا Information Security Management System که حالا دیگر آن را به اختصار ISMS مینامند منتشر شد.

طی سالهای 1999 تا 2002 بازنگری ها و تغییرات زیادی روی این استاندارد صورت گرفته، در سال 2000 با افزودن الحاقیه هایی به استاندارد BS7799 که به عنوان یک استاندارد ISO ثبت شده بود این استاندارد تحت عنوان استاندارد امنیتی ISO/IEC17799 به ثبت رسید.

BS7799

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.

Confidentiality : تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.

Integrity : كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.

Availability : اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي

2- امنيت سازمان

3- كنترل و طبقه بندي دارايي ها

4- امنيت فردي

5- امنيت فيزيكي

6- مديريت ارتباط ها

7- كنترل دسترسي ها

8- روشها و روالهاي نگهداري و بهبود اطلاعات

9- مديريت تداوم كار سازمان

10- سازگاري با موارد قانوني

فوائد استاندارد BS7799 و لزوم پياده سازي

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

- اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

- قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

- ايجاد اطمينان نزد مشتريان و شركاي تجاري

- امكان رقابت بهتر با ساير شركت ها

- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

- بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد

ISMS ، سیستم مدیریت امنیت اطلاعات

پاسخ اغلب سازمان‌ها در مواجهه با تهديدات امنیتی، خريد محصولات امنيتي مانند فايروال و برنامه‌هاي ضد‌ويروس، و بکارگيري آنها در سيستم‌هاي کامپيوتری است. اما استفاده از گرانقيمت‌ترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي ،استفاده از روالهاي استاندارد در بکارگيري و کنترل سيستم هاي امنيتي و بروز رساني مداوم اين سيستم‌ها به تنهائي كارساز نخواهند بود.

ISMS به مدیران این امکان را میدهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن ریسک های تجاری کنترل کنند.

سيستم مديريت امنيت اطلاعات ( ISMS ) راهكار حل مشكلات مذكور در سيستم‌هاي اطلاعاتي مي‌باشد يک سيستم جامع امنيتي بر سه پايه بنا مي‌شود:

سياستها و دستورالعملهاي امنيتي : طرحها و برنامه‌هاي مرتبط براي نحوه محافظت از سيستم‌هاي اطلاعاتي و داده‌هاي آنها در اين قسمت مورد توجه قرار مي گيرد. استراتژي امنيتي در دو بخش غير‌فني و فني ارائه مي‌گردد. بخش غيرفني شامل تعيين سطوح امنيتي مطلوب و انتخاب استانداردهاي امنيتي و بخش فني شامل تهيه دستورالعملهاي لازم براي بکارگيري و نظارت بر اجزاي سيستم امنيتي جهت نيل به اهداف استراتژيک مي‌باشد.

تکنولوژي و محصولات امنيتي: اين قسمت شامل تمام ابزارهاي مورد استفاده در بخش‌هاي مختلف امنيتي براي اعمال دستورالعملها، کنترل و نظارت مي‌باشد. ابزارهاي محافظتي و نظارت بر شبکه، سيستم‌هاي کنترل دسترسي و راهکارهاي ضدويروس در اين بخش مطرح مي‌گردند .

عوامل اجرايي: افراد مرتبط با مديريت و اجراي سيستم امنيتي شامل مديران سيستم‌ها و شبکه‌ها، پرسنل و کاربران عادي در اين قسمت جای دارند. اين عوامل از تکنولوژي و ابزارها در جهت اجراي سياستها و دستورالعملهاي امنيتي استفاده مي‌کنند.

مشاور امنیتی بگیرید

با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟

مدیران سازمانها و ادارات دولتی و خصوصی برای خود یک دو جین مشاور و معاون و پیمانکار میتراشتند و دور خود جمع میکنند اما چرا میان آنها یک مشاور امنیتی و پیمانکار پیاده سازی استانداردهای امنیت اطلاعات نیست ؟! شاید به این دلیل باشد که اول باید "بلا" نازل شود و بعد به فکر "درمان"اش باشیم ! اما اگر مدیران ایرانی به این نکته توجه کنند که "ایران در صدر جدول جرایم رایانه ای خاورمیانه قرار دارد" شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتی پیاده سازی مبانی مدیریت امنیت اطلاعات را بدهند.

سازماندهي و مديريت اجزاي اطلاعاتی و امنیتی یک سازمان نياز به يک سيستم مديريت امنيت اطلاعات خواهد داشت که کليه عوامل اجرايي، رويه ها، دستورالعملها و واحدهاي اطلاعاتي را تحت پوشش قرار مي‌دهد و با برقراري امكان نظارت و بهبود مستمر، امنيت کل مجموعه راتامين مي‌کند. امروزه یک سازمان یا شرکتی که از راه حل های مبتنی بر فناوری اطلاعات و ارتباطات برای انجام امور و خدمات خود استفاده میکند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتی پیمانکاری اختصاصی برای ارزیابی مداوم ضریب امنیتی مجموعه خود و اعمال راه حل های پیشنهادی از سوی مشاور امنیتی برای جلوگیری از ضرور و زیان احتمالی داشته باشد.

یک مشاور و پیمانکار امنیتی باید خدمات مرتبط با تحليل، طراحي و اجراي سيستم‌هاي مديريت امنيت اطلاعات را به شرح زير ارائه ‌دهد:

ارائه مشاوره در زمينه تهيه سياستها و استراتژي‌هاي امنيتي

طراحي و مستند‌سازي رويه ها و دستورالعملهاي امنيتي مطابق با استانداردهاي امنيت اطلاعات(BS7799/ISO17799)

ارائه مشاوره و خدمات فني جهت دريافت گواهي‌نامه امنيت اطلاعات BS7799

ارائه خدمات آموزش امنيتي براي مديران و پرسنل پيرامون سيستم‌هاي امنيت اطلاعات

شناسائي و مستند‌سازي ضعف‌هاي امنيتي و تهديدات مرتبط براي سيستم‌هاي اطلاعاتي، شبکه‌هاي رايانه‌اي و روالهاي سازماني

طراحي و پياده‌سازي راهکارهاي حفاظتي و کنترلي براي سيستم‌هاي اطلاعاتي و شبکه‌هاي کامپيوتری

ارائه خدمات سخت‌افزاري و نرم‌افزاري جهت نظارت بر اجزاي سيستم مديريت اطلاعات:

خدمات بررسي آسيب‌پذيري‌هاي امنيتي

راهکارهاي مديريت آسيب‌پذيري‌هاي امنيتي

ISMS در ایران

متاسفانه تابحال هیچ سازمان ایرانی ای موفق به کسب گواهینامه ISMS نشده است. (شاید حتی تلاشی هم صورت نگرفته باشد!) در حالي كه تاكنون يك هزار و سيصد و بيست و هفت سازمان از كشورهاي مختلف گواهي مديريت امنيت اطلاعات را كسب كرده اند، هيچ سازمان ايراني موفق به دريافت اين گواهينامه نشده است.

آخرين آمار منتشر شده در پايگاه اينترنتي ‪http://www.xisec.com كه ارگان "گروه كاربران بين‌المللي مديريت امنيت اطلاعات ‪ ICTيا ‪" IUG است، تعداد سازمانهايي كه در جهان موفق به اخذ گواهي مديريت امنيت اطلاعات شده‌اند به ‪۱۳۲۷سازمان رسيده است كه از اين ميان بيشترين تعداد سازمان داراي گواهي ‪ ISMSمتعلق به كشور ژاپن است. در واقع ‪ ۶۲۱سازمان از ‪ ۱۳۲۷سازمان داراي گواهي ‪ ISMSدر دنيا متعلق به كشور ژاپن است. بعد از كشور ژاپن كشور انگليس قرار دارد كه تعداد سازمانهاي داراي گواهي مزبور در اين كشور ‪ ۲۰۷سازمان است.

این در حالي‌ است كه در آخرين امار منتشر شده از پايگاه اينترنتي معتبر ‪ IUGنام كشورهايي مانند قطر، مصر عربستان نيز به چشم مي‌خورد، اما هنوز هيچ سازماني در ايران موفق به اخذ گواهي ‪ ISMSنشده‌است.

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر چند شرکت خصوصی ادعاهایی را در زمینه مدیریت امنیت اطلاعات و پیاده سازی راه کارهای امنیتی مطرح کرده اند که از آن میان میتوان به شرکتهایی نظیر امن افزارگستر شریف, داده بان آریا و آشنا ایمن اشاره کرد.با اين حال اخيرا مناقصاتي در شركتهاي تابعه وزارت ارتباطات و فن آوري اطلاعات مانند شركت داده، شركت ارتياطات سيار و شركت مخابرات استان تهران در زمينه پياده‌سازي ‪ISMSدر حال اجراست كه اميدواريم استاندارد ‪BS۷۷۹۹ نيز حداقل در بخشي از شركتهاي مرتبط با زيرساختهاي فن‌آوري اطلاعات كشور جهت برقراري سطح قابل قبولي از امنيت اطلاعات در انها طراحي و پياده‌سازي شود.

* درنگارش اين مقاله از منابع و مستندات موجو�

لینک ثابت || نوشته شده توسط آرش کریم بیگی|| نسخه قابل چاپ