با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستمهاي آسيبپذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوهبرآن بايد قادر به طرحريزي برنامههاي بازيابي و جبران خسارت هم باشند. ايجاد يك نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بكارگيري دستاوردهاي نوين فناوري اطلاعات و برخورداري از مزاياي انكارناپذير آن در چنين سازمانهايي ميشود.
خوشبختانه قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس ميگذرد. در اين مدت استاندارد فوقالذكر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بينالمللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نيز يك بازنگري در بخش دوم استانداردBS7799 بهمنظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامينكنندگان و راحتي كاربري و مفاهيم مرتبط با امنيت برنامههاي موبايل بر روي اين استاندارد در حال انجام است كه پيشبيني ميشود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجعبه استاندارد مذكور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين ميشود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينكه اطلاعات ميتوانند تنها در دسترس كساني باشند كه مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينكه كاربران مجاز در هر زمان كه نياز داشته باشند، امكان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعهاي از كنترلها كه شامل سياستها ، عمليات ، رويهها ، ساختارهاي سازماني و فعاليتهاي نرمافزاري است، حاصل ميشود. اين كنترلها بايد بهمنظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظامنامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساختهاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حاليكه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيههايي است كه ?? هدف امنيتي و ??? كنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي بهقرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيههاي مديريتي بهمنظور افزايش امنيت اطلاعات است. اين بخش در قالب يك سند سياست امنيتي شامل مجموعهاي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم ميشود.
-2 امنيت سازماني: اين بعد اجرايي كردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
– كميته مديريت امنيت اطلاعات
– متصدي امنيت سيستم اطلاعاتي
– صدور مجوزهاي لازم براي سيستمهاي پردازش اطلاعات
– بازنگري مستقل تاثيرات سيستمهاي امنيتي
– هدايت دسترسي تامينكنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقهبندي و كنترل داراييها: طبقهبندي داراييها و سرمايههاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايههاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات كه به بخشهاي زير قابل تقسيم است :
– كنترل پرسنل توسط يك سياست سازماني كه با توجه به قوانين و فرهنگ حاكم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ ميشود.
– مسئوليت پرسنل كه بايد براي ايشان بخوبي تشريح شود.
– شرايط استخدام كه در آن پرسنل بايد بهوضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
– تعليمات كه شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه ميشود.
-5 امنيت فيزيكي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي دادهها و تسهيلات مربوط كه شامل بخشهاي امنيت فيزيكي محيط ، كنترل دسترسيها ، امنيت مكان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي ميشود .
-6 مديريت ارتباطات و عمليات: كسب اطمينان از عملكرد مناسب و معتبر تجهيزات پردازش اطلاعات كه شامل روشهاي اجرايي، كنترل تغييرات ، مديريت وقايع و حوادث، تفكيك وظايف و برنامهريزي ظرفيتهاي سازماني ميشود.
-7 كنترل دسترسي: كنترل نحوه و سطوح دسترسي به اطلاعات كه در شامل مديريت كاربران ، مسئوليتهاي كاربران، كنترل دسترسي به شبكه، كنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستمها: اطمينان از اينكه امنيت جزء جدانشدني سيستمهاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستمها و امنيت كاربردي، استانداردها و سياستهاي رمزنگاري، انسجام سيستمها و امنيت توسعه است.
-9 تداوم و انسجام كسب و كار: تقليل تاثيرات وقفههاي كسب و كار و محافظت فرايندهاي اساسي سازمان از حوادث عمده و شكست.
-10 همراهي و التزام: اجتناب از هرگونه پيمانشكني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم كننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات ميپردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام ميپذيرد.
http://pasakgroup.com