امنیت

دومین سخنرانی ماهیانه انجمن رمز ایران

 دومین سخنرانی ماهیانه انجمن رمز ایران، با عنوان سیستم مدیریت امنیت اطلاعات (ISMS) برگزارش شد.
به گزارش خبرنگار ایلنا، با ارایه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیك به مقوله امنیت اطلاعات شكل گرفت.
براساس این نگرش امنیت اطلاعات سازمان‌‏ها دفعتا مقدور نبوده و لازم است این امر به صورت مداوم در یك چرخه امن سازی شامل مراحل طراحی، پیاده‌‏سازی ارزیابی و اصلاح انجام گیرد.
گفتنی است؛ برای این منظور لازم است هر سازمان براساس یك متدولوژی مشخص، ضمن تهیه طرح‌‏ها و برنامه‌‏های مورد نیاز، تشكیلات لازم برای ایجاد و تداوم امنیت فضای اطلاعات خود را ایجاد نماید.
طبق این گزارش، درحال حاضر مجموعه‌‏ای از استانداردهای مدیریتی وقتی امنیت اطلاعات ارایه شده‌‏اند كه استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 و گزارش فنی ISO/IECTR 13335 موسسه بین‌‏المللی استاندارد از برجسته‌‏ترین استانداردها و راهنماهای فنی محسوب می‌ گردند.
شایان ذكر است؛ در این استانداردها تعیین مراحل تامین امنیت اطلاعات و نحوه شكل‌‏گیری چرخه امنیت جزییات مراحل تامین امنیت اطلاعات و تكنیك‌‏های فنی مورد استفاده در هر مرحله لیست و محتوای طرح‌‏ها و برنامه‌‏های امنیتی مورد نیاز سازمان ضرورت و جزئیات ایجاد تشكیلات سیاست‌‏گذاری، اجرایی و فنی تامین امنیت و كنترل‌‏های امنیتی مورد نیاز برای هر یك از سیستم‌‏های اطلاعات و ارتباطی مورد توجه قرار گرفته است.
طبق این گزارش، مهندس محمود خاتمی، معاون گروه مدیریت امنیت ICT مركز تحقیقات مخابرات ایران، در سخنرانی خود، ضمن مروری گذرا بر استانداردهای مدیریت امنیت اطلاعات، به جزییات دو ركن از اركان اساسی تامین امنیت اطلاعات بر اساس رویكرد سیستماتیك یعنی تشكیلات امنیت اطلاعات سازمان‌‏ها و طرح‌‏ها و برنامه‌‏های امنیت اطلاعات سازمان‌‏ها پرداخت.
مهندس خالقی با بیان این مطلب كه آمارهایی كه در رابطه با چالش‌‏های امنیت اطلاعات است به طور عمده از طرف موسسه CSI آمریكا و وزارت تجارت و صنعت انگلیس ارایه می‌‏شود اظهار داشت: مطابق آمارهای ارایه شده تنها 41 درصد از سازمان‌‏ها به حملات داخلی روی سیستم‌‏های خود توجه می‌‏كنند؛ هم‌‏چنین فقط 40 درصد از سازمان‌‏ها مطمئن هستند كه می‌‏توانند حملات كامپیوتری را تشخیص دهند.
وی افزود: 40 درصد سازمان‌‏ها حوادث امنیتی را مورد بررسی قرار نمی‌‏دهند و بیش از 75 درصد سازمان‌‏ها گرفتار از كار افتادن ناگهانی سیستم‌‏های حیاتی شده‌‏اند.
معاون گروه مدیریت امنیت ICT مركز تحقیقات مخابرات ایران خاطرنشان كرد: تنها 53 درصد سازمان‌‏ها طرح استمرار فعالیت‌‏ سازمانی داشته و كمتر از 50 درصد سازمان‌‏ها دارای برنامه آموزش و آگاهی رسانی امنیتی هستند.
وی با بیان این مطلب كه دانش مورد نیاز برای حملات موثر روز به روز در حال كاهش و مهارت‌‏های مورد استفاده در حملات در حال كاهش است، گفت: عمده مخاطرات امنیتی سازمان ناشی از تهدیدات خارجی سازمان بوده و استفاده از آخرین راه‌‏حل های تكنولوژیك، امنیت را به میزان كافی تامین می‌‏كند.
وی افزود: اعتماد و اتكای صرف به فایر وال‌‏ها، اختصاص افراد آموزش ندیده برای انجام كارهای ایمن سازی، مشخص و مدون نبودن مسوولیت افراد، عدم مستند سازی حوادث و راه‌‏حل های اتخاذ شده وانمود به عدم وجود مشكلات، به كارگیری راه‌‏حل‌‏های مقطعی، عدم شناخت ارتباط امنیت اطلاعات با مشكلات سازمانی، عدم توانایی پیاده‌‏سازی علمی جنبه‌‏های مختلف امنیت و از همه مهم‌‏تر عدم وجود تخمین واقعی از زیان‌‏های مالی ناشی از فقدان امنیت اطلاعات در سازمان از مشكلات اصلی در این حوزه محسوب می‌‏شوند.
مهندس خالقی در ادامه بیان كرد: آمارهای موجود نشان می‌‏دهد كه 80 هزار موسسه در دنیا ISMS را پیاده سازی كرده، ولی هنوز گواهی نامه آن را دریافت نكرده‌‏اند.
در پایان لازم به ذكر است؛ سومین كنفرانس انجمن رمز ایران در پانزدهم و شانزدهم شهریور ماه جاری در دانشگاه صنعتی اصفهان برگزار خواهد شد.


​​