سيستم مديريت امنيت اطلاعات از طرح تا اصلاح

پيشرفت علوم كامپيوتري و درنتيجه شبكه هاي سخت افزاري و نرم افزاري، امكان دسترسي آسان و سريع را به منابع به اشتراك گذاشته شده سازمانها و شركتها را پديد آورده است. سيستم‌هاي خود پردازبانكي، كارت‌هاي اعتباري، امكانات كامپيوتري بر روي تلفن هاي همراه، همگي مثالهاي بارزي از تاثير امكانات كامپيوتري بر جامعه كنوني ايران هستند.

با نظر به اين تحولات نكاتي نظير خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستم‌ها، ازبين رفتن اطلاعات و تغيير اطلاعات توسط افراد غير مجاز، نفوذ آنها به شبكه ها و سيستم‌هاي كامپيوتري از اهميت بالايي برخوردار مي شوند. مديريت امنيت يكي از فعاليتهاي بسيار مهم در سازمان است. بنا به يك تصور رايج در بسياري از سازمانها، طراحي زير ساخت و متعاقبا پياده سازي راه حلهاي امنيتي (ازقبيل نصب فايروال، IDS و...) براي برقراري امنيت مناسب و كافي است. امنيت اطلاعات نيازمند يك "سيستم مديريت امنيت" يا به اصطلاح ISMS است. هدف اين سيستم به زبان ساده فراهم كردن امكان استفاده مناسب و سودمند از زير ساخت و اجزاي مختلف امنيتي سازمان است. يكي از قابليتهاي ارائه شده توسط ISMS، امكان مديريت تغييرات است. قابليت ديگر، امكان مديريت رخدادهاست. در اين مقاله به بررسي اين سيستم پرداخته شده است.

امنيت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسي غيرمجاز به آنها اشاره مي كند. (Dalton, King & Osmanoglu, 2001) همچنين علم مطالعه روشهاي حفاظت از داده ها در رايانه ها و نظامهاي ارتباطي در برابر دسترسي و تغييرات غيرمجاز است. (عبداللهي، 1375) امنيت به مجموعه اي از تدابير، روشها و ابزارها براي جلوگيري از دسترسي و تغييرات غيرمجاز در نظامهاي رايانه اي و ارتباطي اطلاق مي شود. در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات كشور با توجه به استفاده روز افزون از شبكه هاي كامپيوتري چه به صورت LAN (شبكه محلي) وچه به صورت WAN (شبكه گسترده)، بويژه در حوزه دستگاههاي دولتي و خصوصا سازمانهايي كه بخش اعظمي از اطلاعات مهم خود را به صورت ديجيتال ثبت مي كنند، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساختهاي فني و اجرايي امنيت و انجام ندادن اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات دردستگاهها و سازمانهاي دولتي اشاره نمود. بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات كشور، به خاطر فقدان زيرساختهايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرايم فضاي تبادل اطلاعات و ساير زيرساختهاي امنيت فضاي تبادل اطلاعات در كشور است.

بيش از يك سوم نقصهاي امنيتي نظامهاي رايانه اي در انگليس ناشي از كارمندان و يك سوم از بدترين حوادث ايمني ناشي از ويروس‌هاي رايانه اي است. ( Matt Lonney، 2002) صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات سازمانها و دستگاههاي دولتي، از يك‌سو موجب بروز اخلال در عملكرد صحيح دستگاهها مي‌شود و كاهش اعتبار اين دستگاهها را در پي خواهد داشت و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. بنابراين همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات كشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاههاي دولتي، ضروري به نظر مي‌رسد. به منظور پياده سازي يك ظرفيت امنيتي موثر، سازمانها نياز به تعيين ضعيفترين نقاط اتصال خود دارند و طراحي يك معماري وسيع امنيتي، جهت تحقق اهداف مديريت امنيت ضروري است. (Barnard, Von-Solms,، 2002) هدف از ايمن سازي اطلاعات، تضمين جامعيت، محرمانه بودن و دسترس پذير بودن اطلاعات است.

امنيت اطلاعات

امنيت از ديرباز يكي از اجزاي اصلي زيرساختهاي فناوري اطلاعات به شمار مي‌رفته است. تهديدات امنيتي را مي توان در دو مقوله دسته بندي كرد:

1. تهديدات فيزيكي: امنيت فيزيكي شامل كنترل ورود و خروج كاركنان به سايت‌هاي شبكه و همچنين روالهاي سازماني و يا بلاهاي طبيعي از قبيل آتش سوزي، زلزله، دزدي و از اين قبيل است.

2. تهديدات الكترونيك: خطرات الكترونيك غالبا شامل تهديدات هكرها و نفوذگران داخلي و خارجي در شبكه است.

هدف از امنيت اطلاعات، استفاده از مجموعه اي از سياستها، راهكارها، ابزارها‌، سخت افزارها و نرم افزار ها، براي فراهم آوردن محيطي عاري از تهديد در توليد، پالايش، انتقال و توزيع اطلاعات است. فراهم آوردن چنين محيطي مستلزم انجام مواردي است كه مي توان از آنها به عنوان نيازهاي امنيتي اطلاعات نا م برد. برخي از اين موارد در زير ذكر شده اند:

_ ارزش هر واحد اطلاعاتي براي مالك آن بايد مشخص باشد. بر اساس ارزش واحدهاي اطلاعاتي بايستي آنها را رده‌بندي و يك سقف هزينه را براي امنيت آنها تعيين و برچسب رده امنيتي را بر روي آنها نصب كرد.

_ تمهيدات لازم اعم از سخت افزاري و نرم افزاري براي حفاظت از اطلاعات با اولويت بالاتر فراهم شود.

_ سياستگذاري يكپارچه و سازگار در خصوص امنيت اطلاعات در بخشهاي مختلف مديريتي يك سازمان اعمال شود.

_ سازوكار و تشكيلات مناسب جهت تطبيق امنيت اطلاعات با پيشرفتهاي تكنولوژي توليد، توزيع و انتقال اطلاعات از يك طرف و تهديدات جديد از طرف ديگر فراهم شود.

_ امنيت اطلاعات مانع و محدوديتي براي دسترسي كاربران مجاز آن فراهم نكند.

_ امكان تعقيب عملكردهاي مشكوك روي اطلاعات فراهم شده باشد.

عوامل موثر در طراحي سيستم مديريت امنيت اطلاعات

1 - نيازمنديهاي امنيتي (اهداف كسب و كار): هر سازماني بايد بداند كه چه چيز را در برابر چه خطراتي و چرا بايد محافظت كند. سازمانها در سطوح حساسيت متفاوتي از يكديگر قرار دارند و هيچ راه حل ثابتي براي همه سازمانها وجود ندارد.

2 - رويكرد مورد نظر در سازمان: براي پياده سازي سيستم‌هاي مديريت امنيت، روشها و الگوهاي گوناگون فني و مديريتي پيشنهاد شده است، يكي از اين روشها رويكرد فرايند محور است. امنيت اطلاعات در يك سازمان به يكباره حاصل نمي شود و در واقع امنيت يك فرايند تكاملي و تدريجي است. اين مسئله گاهي با اين عنوان كه " امنيت يك فرايند است نه يك محصول " بيان مي شود.

3 - اندازه و ساختار سازمان: ISMS يك سيستم مديريتي و بخشي از ساختار مديريتي سازمان است. هرقدر سازمان بزرگتر باشد و واحدهاي سازماني بيشتري در بر داشته باشد، راه اندازي و راهبري ISMS در آن پيچيده تر خواهد بود. مطالعات نشان داده است كه هزينه، زمان و كاركنان بيشتري در يك سازمان بزرگ براي پياده سازي امنيت نياز است.

رويه هاي راه اندازي سيستم مديريت امنيت اطلاعات

با توجه به رويكرد فرايند محور، كليه راه حلهاي ارائه شده در ISMS بايد طي مراحل چهارگانه طراحي، پياده سازي (اجرا)، ارزيابي و اصلاح به صورت يك چرخه هميشگي و ادامه دار در كليه راه حلهاي امنيتي اعم از فني و مديريتي اعمال شود. الگوي فرايندي فوق با عنوان PLAN,DO,CHECK, ACT)= (PDCAدر استاندارد BS 7799 شناخته مي شود كه قابل اعمال روي تمام فرايندهاي پيشنهاد شده در ISMS بوده، وكل فرايند ISMS هم مبتني بر همين الگوست.

دو نوع ورودي براي فرايند كلي ISMS در نظر گرفته شده كه عبارت است از:

_ خواسته هاي امنيتي: براي مثال اينكه حوادث امنيتي تاحدامكان منجر به ضرر مالي قابل توجهي نشود.

_ انتظارات: براي مثال اگروب سايت سازمان توسط افراد غير مجاز مورد نفوذ واقع شود، بايد افرادي با مهارت كافي وجود داشته باشند كه بتوانند آثار منفي آن را به حداقل برسانند.

چرخه سيستم مديريت امنيت اطلاعات

الف) طراحي: استقرار ISMS شامل تعيين خط مشي ها، اهداف، فرايندها و روالها به منظور مديريت مخاطرات در راستاي اهداف كسب و كار است. در اين مرحله، بايد سرمايه اوليه راه اندازي ISMS، روشهاي مستند سازي، رويكرد مديريت مخاطرات و نيز روشهاي اختصاص منابع مشخص شود. در واقع بايد اطمينان حاصل شود كه محتوا و محدوده ISMS به طور دقيق و مناسب مشخص شده است. فعاليتهاي مورد نياز در اين مرحله عبارت‌اند از:

1 - تعريف قلمرو (محدوده)ISMS: اولين قدم تعيين محدوده و ميداني است كه نياز است تا امنيت در آن در نظر گرفته شود و هدف سيستم مديريت امنيت اطلاعات است. قلمرو ISMS بر اساس مشخصات كسب و كار، محل، داراييها و فناوريهاي سازمان مشخص مي شود.

2 - تعريف خط مشي ISMS: سياست يا خط مشي امنيت در تمام فرايندهاي ISMS نقش كليدي ايفا مي كند، به طوري كه در تمام تجربيات موفق مديريت امنيت، سند خط مشي به عنوان قلب، مبنا و نقطه آغاز يك طرح مديريت امنيت موفق برشمرده شده است. هدف هر خط مشي (خواه امنيتي و خواه غير امنيتي) تعريف و تأثيرگذاري بر تمامي رفتارها، عملكردها و تصميم گيريهاست، به گونه اي كه مشخص شود چه چيزي مجاز و چه چيزي غيرمجاز است. ( Dancho Danchev، 2003)

3 - تعيين مخاطرات: در اين مرحله بايد مخاطرات موجود را شناسايي كرد. بدين منظور ابتدا شناخت سرمايه ها و صاحبان آنها در قلمرو تعيين شده ISMS ضروري است. سپس بايد تهديدهاي متناظر با هر دارايي را مشخص كرد. تعيين آسيب پذيريها و عواقب تهديدها در مرحله پاياني اين فاز قرار دارد.

4 - ارزيابي مخاطرات: اساس كار ISMS، مديريت مخاطرات امنيتي است. يكي از مهمترين قابليتهاي ISMS كه در هر سازماني متناسب با محدوده و نيازش بايد انجام شود، مديريت ريسك است. مديريت مخاطرات مجموعه فعاليتهاي طرح ريزي، ارزيابي و كنترل مبتني بر نتايج تحليل مخاطرات است. ريسك يا مخاطره عبارت است از احتمال ضرر و زياني كه متوجه يك دارايي سازمان (دارايي شامل سخت افزار، نرم افزار، اطلاعات، ارتباطات، كاربران) است. عدم قطعيت در نتيجه مقياس ناپذيري يكي از مهمترين ويژگيهاي مفهوم ريسك است. ( Dancho Danchev، 2003) طبعا اين عدم قطعيت به معناي غير قابل محاسبه و مقياس بودن ريسكها نيست.

براي تحليل مخاطرات وارد بر سيستم اطلاعات، بايد ابتدا مخاطرات را تعيين كرد، سپس ارزش هر مخاطره را تخمين زد و سپس مخاطرات را برمبناي ارزش، احتمال رخداد و عواقب آن، به شكل عددي محاسبه كرد.

تحليل مخاطرات شامل سه فرايند زير است:

_ تعيين مخاطرات كه ليست مخاطرات موجود و ممكن را توليد مي كند.

_ تخمين مخاطرات كه به هر مخاطره ارزشي (عددي، كيفيتي و...) تخصيص مي‌دهد.

_ ارزيابي مخاطرات كه بر مبناي ارزش مخاطره، احتمال رخداد و عواقب آن، مخاطرات را به شكل عددي محاسبه مي‌كند.

در مجموع شناسايي مخاطرات، و ارزيابي مخاطرات به عنوان برآورد مخاطرات مطرح شده است. براي اين منظور بايد ارزشيابي روي امنيت دارايي‌هاي سازمان انجام گيرد كه با توجه به مرحله قبل، كليه داراييها و سرمايه هاي سازمان (سخت افزار، نرم افزار، اطلاعات، ارتباطات و كاربر) به همراه اولويت و ارزش آن دارايي براي سازمان و نرخ ريسك‌ها و خطراتي كه متوجه هر كدام است و آنها را تهديد مي كند، ليست شود. همچنين بايستي احتمال رخداد هر كدام از تهديدات كه در اثر ضعف در سيستم دفاعي آن دارايي است، تعيين شود و در نهايت ضريب تاثير هر كدام از ريسكها، مشخص شود. بنابراين با ارزيابي ريسك‌ها تاثير احتمال رخداد آن تهديدات در برابر ميزان ارزش آن دارايي تعيين مي شود و مي توان اولويت ريسك‌ها و تهديداتي كه براي داراييهاي سازمان وجود دارد را تعيين كرد. در اين حالت ماتريسي از احتمال رخداد ريسكها در سازمان و ميزان تاثير آنها با توجه به ارزش دارايي حاصل مي شود. نتيجه اين عمليات، تعيين ريسك‌هاي موجود در سازمان خواهد بود كه دارايي‌هاي سازمان را تهديد مي كنند.

5 - انتخاب كنترل‌هاي مناسب: بر اساس نتايج حاصله از ارزيابي مخاطرات، آن دسته از مخاطرات كه از سطح قابل قبول بالاتر و نيازمند اقدامات دفاعي هستند، انتخاب مي شوند و كنترل‌هاي مناسب براي آنها برگزيده مي شود. در بحث ISMS صرفنظر از رويكرد انتخابي در طرح ارزيابي مخاطرات، آنچه كه اهميت دارد، وجود اين طرح است. خروجي اصلي فرايند مديريت ريسك، سندي حاوي ليست كنترل‌هاي مورد نظر و اهداف هر كنترل است كه در استانداردهاي ISMS به نام «بيانيه كاربرد» شناخته مي شود. اين سند بايد به امضاي مديريت ارشد سازمان برسد.

ب) اجرا: در اين بخش بايد كليه كنترل‌ها‌، عملياتي شوند. در اين مرحله نيازبه رويه‌هايي جهت تشخيص سريع و پاسخگويي به حوادث، وجود دارد. همچنين نياز است، كليه كارمندان و افراد سازمان نسبت به امنيت در سازمان، آگاهي لازم را داشته باشند و آموزشهاي لازم جهت عملكرد مناسب براي برخورد با ريسك و تهديد، ارائه شود. خلاصه اي از فعاليتهاي اين مرحله عبارت است از:

_ فرموله كردن طرح برخورد با مخاطرات؛

_ اجراي طرح برخورد با مخاطرات؛

_ پياده سازي كنترل‌هاي امنيتي انتخاب شده؛

_ اجراي برنامه هاي آموزش و آگاهي‌رساني؛

_ مديريت منابع و فعاليتها.

همچنين سياستهاي امنيتي بايد تعيين و اعمال شوند. يك سياست امنيتي انجام اعمالي است كه بايد صورت گيرد تا بتواند از اطلاعات ذخيره شده در كامپيوتر محافظت كند. يك سياست امنيتي موثر باعث ايجاد امنيت نسبي براي كاربران مي شود كه در واقع يك استراتژي براي نگهداري اطلاعات و منابع شبكه است. (‌Nyanchama,2005)

ج) ارزيابي: هدف از اين مرحله، حصول اطمينان از اجراي بموقع كنترل‌هاي امنيتي و برآورده شدن اهدافي كه به دنبال دارند، است. ارزيابي ميزان كارايي و مؤثر بودن ISMS در اين مرحله انجام مي گيرد. اجراي روالهاي ارزيابي، مرور فرايندها و خط مشي ها، انجام بازرسيهاي دوره‌اي درون سازماني و برون سازماني از آن جمله است. فعاليتهاي كنترلي متنوعي وجود دارد‌، اما بازرسيهاي داخلي ISMS و مديريت بازبيني از مراحل اجباري براي پياده سازي امنيت در سازمان‌اند. پس از پياده سازي سياستهاي امنيتي، با استفاده از سيستم‌هاي تشخيص نفوذي، يا سيستم‌هاي واقعه نگاري، كليه دسترسيهاي غير مجاز به شبكه و عبور از سيستم‌هاي امنيتي مشخص و در فايل هاي ثبت وقايع خروجي، ذخيره مي شود. سپس با استفاده از ابزار امنيتي، كليه پورت‌ها و سرويس‌هاي شبكه و يا محلهاي رخنه به شبكه بازرسي مي شوند و اطلاعات مربوطه در فايل ثبت وقايع قرار مي گيرند. همچنين در اين قسمت با استفاده از يك‌سري ابزار، به تحليل فايل‌هاي ثبت وقايع و اطلاعات پرداخته مي شود و نتايج حاصل از آنها، جهت بهبود عملكرد سيستم امنيتي شبكه، استفاده و سپس در سياستهاي امنيتي شبكه اعمال مي شود.

د) اصلاح: بر اساس نتايج مرحله ارزيابي مي توان اقدامات اصلاحي را در جهت بهبود ISMS به انجام رساند. اين اقدامات را مي توان در دو مقوله طبقه بندي كرد:

1 - بر اساس مرحله خاصي از زمان انجام شود. بدين معنا كه در زمان تعامل فناوري با اطلاعات، عكس العمل لازم در برابر يك مشكل امنيتي مي تواند از نوع پيشگيرانه (كنشي) يا اصلاحي (واكنشي) باشد.

پس از تحليل مخاطرات، بايد براي آن دسته از مخاطرات كه از سطح قابل قبول بالاتر هستند، اقدامات دفاعي اتخاذ و كنترل‌هاي مناسب بر آنها اعمال شود.

2 - بر اساس سطوح پياده سازي نظامهاي امنيتي در يك محيط ديجيتال: فناوري امنيت اطلاعات، خواه از نوع واكنشي و خواه از نوع كنشي را مي توان در سه سطح‌، شبكه‌، ميزبان، برنامه هاي كاربردي‌، پياده‌سازي كرد.

نتيجه گيري

در اغلب موارد، تشكيلات اقتصادي همچون شبكه هاي كامپيوتري در برابر تغييرات فشرده و ناگهاني با ضعف و شكست مواجه مي شوند. يك پروژه ابتدايي امنيتي نيز از اين مقوله مستثنا نيست. قبل از پياده سازي هر چيزي، ابتدا بايد طرح و برنامه آن را تعيين و سپس ابزار لازم را مهيا كرد. دليل اينكه بيشتر تشكيلات اقتصادي با شكست مواجه مي‌شوند، به خاطر تعيين نكردن هدف اصلي از اين تشكيلات است تا بتوانند با تعيين آنها، در آينده نيز فعاليت خود را ادامه دهند. امنيت بالاتر شبكه در يك سازمان تنها به داشتن يك ديواره آتش ختم نمي شود. هر سازمان براي دستيابي به اين مقوله بسيار مهم بايد به طور دقيق مشخص كند كه «چه چيزي» را «چگونه» مي خواهد ايمن كند. قصد پياده سازي چه نوع فيلترينگ را دارد؟ چه مقدار دسترسي را براي كاربران خود در نظر دارد؟ آيا سازمان قصد دارد كه كاربران اينترنتي را تعيين هويت كند و فعاليتهاي آنها را ثبت كند؟ فقط با پاسخ دادن به اين سوالات و سوالهاي ديگر است كه سازمان قادر خواهد بود به طور دقيق مشخص كند كه چه لازم دارد و چه چيزي را بايد دنبال كند و به طور جزئي‌تر براي پياده سازي امنيت در سازمان چه سياستي را در پيش بگيرد تا آنچه را كه در نظر دارد پياده سازي كند.