مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS

مقدمه
از آنجا که امروزه تمامی اطلاعات و ارتباطات سازمان‏ها به صورت دیجیتالی درآمده و از طریق شبکه‏های کامپیوتری ذخیره ‏سازی و منتقل می‏گردد، دسترس ‏پذیری، صحت و امنیت این دارایی‏ های دیجیتالی، دغدغه اصلی مدیران سازمان‏ها گردیده است. دغدغه‏ هایی مانند خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستمها، ازبين رفتن اطلاعات، تغيير اطلاعات توسط افراد غير مجاز، نفوذ کاربران داخلی یا نفوذگران اینترنتی به سيستمهاي کامپيوتري، و نداشتن رویه‏ های مشخص برای اطمینان از صحت عملکرد سیستم‏های سخت‏ افزاری و نرم‏ افزاری، دلایل ایجاد سیستم مدیریت امنیت اطلاعات (ISMS) می‏باشد،هدف اين سيستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زير ساخت و اجزاي مختلف امنيتي سازمان مي‏باشد.
با توجه به الزامات هیات محترم دولت برای پیاده ‏سازی ISMS در کلیه زیرمجموعه ‏ها و سازمان‏ها ونهادهای دولتی، این شرکت با توجه به تجربیات موفق خود در زمینه امنیت شبکه و اطلاعات و ISMS، مستندات مورد نياز را به گونه‏ای تهیه نموده است که پس از اجرای این طرح سازمان می‏تواند گواهینامه ISO27000 را دریافت نماید.
سيستم مديريت امنيت اطلاعات(ISMS) با استفاده از مدل PDCA که شامل چهار فاز طرح، اجرا، بررسی و اقدام می‏باشد در جهت بهبود امنيت در سازمان گام برمي‏دارد

امنیت اطلاعات
در سیستم مدیریت امنیت اطلاعات، امنیت اطلاعات در صورت حفاظت از پارامترهاي محرمانگي‏، دسترس‏پذيري و یکپارچگی كه به اصطلاح مثلث امنیتی نامیده می‏شوند، تامین می‏شود.
در این راستا امنیت اطلاعات از طریق اجرای مجموعه‏ای از کنترل‏ها که شامل خط‏ مشی‏ ها، فرایندها، روش‏ها ی‏ا چرایی، ساختارهای سازمانی و دستورالعمل‏هاست، حاصل می‏شود. این کنترل‏ها باید به منظور اطمینان از تحقق اهداف کنترلی سیستم مدیریت امنیت اطلاعات، ایجاد شوند.

اهداف امنیتی سیستم مدیریت امنیت اطلاعات
مجموعه کنترل‏های امنیتی مورد نیاز سیستم‏های اطلاعاتی و ارتباطی سازمان، شامل موارد زیر است:
1-تدوین خط‏ مشی امنیت سازمان
ایجاد خط‏ مشی امنیت سازمان، شامل راهنمايي‏ها و دستورالعمل‏های مديريتي به منظور افزايش امنيت اطلاعات است. اين بخش در قالب يک سند سياست امنيتي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود. این خط ‏مشی در اختیار کارکنانی قرار خواهد گرفت که مسئولیت امنیتی برای آن‏ها تعریف شده است.

2-سازمان امنیت اطلاعات
تشکیل شوراء امنیت اطلاعات در سازمان برای مدیریت امنیت و تعریف نقش و مسئولیت‏های هر یک از بخش‏های سازمان در زمینه امنیت اطلاعات.

3-مدیریت دارایی
محافظت از دارایی‏های سازمان به کمک شناسایی دارایی‏ها و تخصیص مسئول مناسب برای هر دارایی.

4-امنیت منابع انساني
کمینه کردن ریسک‏های ناشی از خطای انسانی یا سوء استفاده از تجهیزات، به کمک شناسایی پرسنل، نحوه ایمن سازی آن‏ها، آموزش پرسنل و امضای تعهدنامه حفظ محرمانگی.

5-امنیت فیزیکی و محیطی
جلوگیری از دسترسی افراد غیر مجاز، پیشگیری از تداخل یا خرابی اطلاعات، سازماندهی تجهیزات پردازش اطلاعات در مکان‏های امن و ایجاد کنترل‏های لازم به منظور امنيت فيزيکي محيط، کنترل دسترسي‏ها، امنيت مکان، تجهيزات و نقل و انتقال دارايي‏هاي اطلاعاتي ميشود.

6-مدیریت عملیات و ارتباطات
حصول اطمینان از امنیت و عملکرد صحیح تجهیزات پردازش اطلاعات، شناخت مسئولیت‏ها و رویه‏ های عملیاتی و مدیریتی در رابطه با تجهیزات پردازش اطلاعات.

7-کنترل دسترسی
ایجاد قوانین و کنترل‏های لازم و مدیریت آن‏ها جهت دسترسی کاربران به منابع و سرمایه‏ های سازمان شامل سیستم‏های اطلاعاتی، شبکه و کامپیوترها.

8-توسعه و نگهداری سیستم های اطلاعاتی
اطمینان از تثبیت امنیت در سیستم‏های اطلاعاتی به کمک کنترل‏های امنیتی، کنترل برنامه های کاربردی و خدمات ارائه شده که تاثیر زیادی بر امنیت اطلاعات خواهد داشت.

9-مدیریت حوادث امنیت اطلاعات
تدوین مقررات مورد نیاز در خصوص پاسخگویی به نیازهای امنیتی، خط‏ مشی‏ های امنیتی مورد نیاز، ابزارها و مکانیزم‏های بازرسی امنیتی سیستم‏ها.

10-مدیریت تداوم کسب و کار سازمان
کاهش و پیشگیری از وقفه در فعالیت‏های سازمان و حفاظت از فرایندهای عملیاتی اصلی سازمان، در مقابل خطاها و خرابی‏های عمده یا حوادث طبیعی.

11-انطباق
انطباق با شرایط قانونی به منظور پیشگیری از هر گونه تجاوز از قوانین جزائی، حقوقی و رعایت کلیه حقوق معنوی و حق تالیف و تکثیر در سیستم‏های سازمان.

معرفی فازهای طراحی، اجرا، بررسي، اقدام و بخش آموزش

مراحل پیاده ‏سازی سیستم مدیریت امنیت اطلاعات شامل فازهاي طراحي، اجرا، بررسي و اقدام مي‏باشد.
1-فاز طراحی سیستم مدیریت امنیت اطلاعات
فاز طراحی شامل 10 مرحله زیر می باشد:
تهیه سند دامنه و مرز سیستم مدیریت امنیت اطلاعات.
تهیه بیانیه خط مشی امنیت اطلاعات.
تشریح متدلوژی برآورد مخاطرات.
شناسایی مخاطرات.
تحلیل و ارزیابی مخاطرات.
شناسایی و ارزیابی گزینه‏ های برطرف‏سازی مخاطرات.
گزینش اهداف کنترلی و کنترل‏ها برای برطرف‏ سازی مخاطرات.
دریافت مصوبه مدیریت برای مخاطرات باقیمانده.
تعهد مدیریت برای پیاده‏ سازی و اجرای سیتم مدیریت امنیت اطلاعات.
تهیه بیانیه کاربست ‏پذیری.

2-فاز اجرا سیستم مدیریت امنیت اطلاعات
در فاز اجرای سیستم مدیریت امنیت اطلاعات، با توجه به سند بیانیه کاربست‏ پذیری تهیه شده در فاز طراحی، طرحی برای برطرف ‏سازی مخاطرات تنظیم می‏شود و این طرح برای دستیابی به اهداف کنترلی شناسایی شده، پیاده ‏سازی خواهد شد.

3-بخش آموزش
بخش آموزش به موازات فاز طراحی و اجرا انجام می شود. این بخش شامل:
آموزش در زمینه آشنایی با استاندارد ISO 27001 تا ممیزی داخلی.
آشنایی با فرم‏های شناسایی و ارزش‏گذاری دارایی‏ها و چگونگی تکمیل آن‏ها.
آموزش نحوه انجام کار با نرم‏ افزار تحلیل ریسک شامل مراحل ارزیابی تهدیدها، ارزیابی آسیب‏ پذیری ها و شناسائی کنترل‏های امنیتی.
آشنایی با مستندات استاندارد (روش‏های اجرایی، آئین نامه‏ ها، خط‏ مشی‏ ها و فرم‏ها).
آشنایی با چک لیست‏های ممیزی و آموزش چگونگی تکمیل آن‏ها.
راهنمایی جهت تنظیم طرح برطرف‏ سازی مخاطرات به منظور مدیریت مخاطرات.
راهنمایی جهت پیاده ‏سازی طرح برطرف‏ سازی مخاطرات.
مشاوره جهت پیاده ‏سازی کنترل‏های انتخاب شده.

4-فاز بررسي
در فاز بررسي روش‏هاي اجرايي و كنترل‏ها اجرا خواهند شد. به كمك روش‏هاي اجرايي ارائه شده، مي‏توان ميزان اثربخشي كنترل‏ها، بازنگري برآورد مخاطرات و بازنگري مديريت را انجام داد. مميزي داخلي سيستم نيز در اين فاز انجام مي‏شود.

5-فاز اقدام
در اين فاز بر مبنای نتایج ممیزی داخلی سیستم مدیریت امنیت اطلاعات و بازنگری مدیریت، اقدامات اصلاحي و پيشگيرانه پياده‏ سازي مي‏شوند.

مستندات و سوابق سیستم مدیریت امنیت اطلاعات

1-مستندات سیستم مدیریت امنیت اطلاعات
سیستم مدیریت امنیت اطلاعات به مستندات و سوابق بسیار وابسته است. مستندات از الزامات استاندارد ISO/IEC 27001 میباشد و سوابق، به عنوان شواهد پیاده‏سازی و انطباق با الزامات ISMS محسوب می‏شود.

نمونه مستندات سیستم مدیریت امنیت اطلاعات :
بیانیه مستند شده خط‏ مشی و اهداف ISMS
دامنه ISMS
بیانیه کاربست ‏پذیری
توضیحات متدولوژی برآورد مخاطرات
گزارش ارزیابی ریسک
روش‏های اجرایی، آئین‏ نامه‏‏ ها، خط‏ مشی ‏ها مانند:
روش‏ اجرایی مدیریت دارایی‏ها
روش ‏‏اجرایی کنترل اسناد و رکورد‏ها
روش‏ اجرایی ممیزی داخلی و …
آئین‏ نامه مدیریت دارایی‏ ها
آئین‏ نامه مدیریت امحا دارایی
آئین‏ نامه کنترل دسترسی و …
خط‏ مشی امنیت سازمان
خط‏ مشی مدیریت دسترسی کاربر
خط‏ مشی امنیت پرسنل و …

2-سوابق سیستم مدیریت امنیت اطلاعات
سوابق مورد نیاز سیستم مدیریت امنیت، به الزامات سازمان وابسته است. این سوابق شاهد تطابق با الزامات و میزان موثر بودن پیاده‏ سازی سیستم مدیریت امنیت اطلاعات است.
نمونه سوابق سیستم مدیریت امنیت اطلاعات:
سوابق ممیزی داخلی
سوابق آموزشی کارکنان
جزئیات بازنگری مدیریت
سوابق اقدامات اصلاحی، پیشگیرانه
گزارش حوادث

سوابق و اطلاعات فوق از اجرا شدن روش ها ی‏ا چرایی تنظیم شده برای سازمان، بدست خواهد آمد.

3-فعالیت‏ها و فرایند‏های سیستم مدیریت امنیت اطلاعات
برای اثربخش بودن عملکرد سازمان، باید فعالیت‏های متعددی را شناسایی و مدیریت کرد. فعالیت‏ها و فرایندهای موجود در سیستم مدیریت امنیت به کمک روش‏های ‏اجرایی کنترل می‏شوند. در روش‏های اجرایی، نقش‏ها و مسئولیت‏ها به روشنی تعریف خواهند شد. نمونه‏ای از فرایندها و فعالیت‏های سیستم مدیریت امنیت اطلاعات شامل موارد زير می‏باشد:
شناسایی نقش‏ها و مسئولیت‏ها در سازمان
مشخص کردن کنترل‏ها برای کاهش مخاطرات
مدیریت دارایی
مدیریت مخاطرات
مدیریت تغییرات
آموزش و آگاه‏ سازی امنیتی
مدیریت حوادث
ممیزی داخلی و …