آشنایی با سیستم مدیریت امنیت اطلاعات ( ISMS )

به نظر می رسد سازمانهای مختلف با توجه به میزان اهمیت نقش اطلاعات موجود در آنها نیازمند مدیریتی قوی در جهت حفظ امنیت این اطلاعات می باشند. امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره می کند . مفهوم سیستم مدیریت امنیت اطلاعات ( ISMS ) عبارت است از : (( امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است )). در این مقاله سعی شده تا ضمن معرفی سیستم مدیریت امنیت اطلاعات ، انواع خطرهای تهدید کننده سیستم های اطلاعاتی را معرفی و راهکار مناسب جهت حفظ امنیت اطلاعات هر سازمان را ارائه نمود .

● مقدمه
هر سیستم برای ادامه ی حیات و زندگی خود نیازمند کسب اطلاعات گوناگون و همچنین حفاظت از اطلاعات و اسرار خود می باشد و مبحث کسب اخبار و اطلاعات از زمانهای قدیم مرسوم بوده و بعضا دستیابی یا نشر اطلاعات یک سیستم باعث نابودی آن سیستم گشته . امروزه با توجه به اینکه اطلاعات به عنوان یک ابزار تجاری و رقابتی و سرمایه ای سودآور مطرح گردیده بسیار ی از سازمانها به دنبال ایجاد سیستمهای امنیتی برای جلوگیری از درز اطلاعاتشان به بیرون می باشند تا بتوانند کل مجموعه خود را حفظ کنند در این راستا ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد سیستمی که بر اساس نیازهای سازمان و میزان اهمیت اطلاعات در آن طراحی شده باشد و حفاظی باشد جهت تامین سرمایه های اطلاعاتی . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات.
● امنیت اطلاعات
امنیت اطلاعات عبارت است از حفاظت اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها (جعفری ، ۱:۱۳۸۷ ) همچنین علم مطالعه روشهای حفاظت از داده ها در رایانه ها و نظام های ارتباطی در برابر تغییرات غیر مجاز است (عبداللهی ،۱۳۷۵)امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیری اطلاعات است. علاوه بر این ها سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز می توانند مشمول این حفاظت باشند.
● مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف ، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. (اسعدی شالی،۱:۱۳۸۴)
● سیستم مدیریت امنیت اطلاعات ((ISMS
مفهوم سیستم مدیریت اطلاعات عبارت است از :
بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم. (پورمند ،۴:۱۳۸۷ )
● خطرهای تهدید کننده ی سیستم اطلاعاتی
خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و... جزء تهدیدات غیر عمدی به حساب می آید .
برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنیم قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشیم این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد.مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد :
۱) تعیین سیاست امنیتی
۲) اعمال سیاست های مناسب
۳) بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
۴) بازرسی و تست امنیت شبکه ی اطلاعاتی
۵) بهبود روش های امنیت اطلاعاتی سازمان (دشتی ، ۱۵۹ :۱۳۸۴ )
● مراحل اجرای سیستم مدیریت امنیت و اطلاعات (ISMS)
اجرای (( ISMS در یک سازمان طبق مراحل ذیل صورت میپذیرد:
۱) آماده سازی
۲) تعریف نظم مدیریت امنیت اطلاعات
۳) ایجاد سند سیاست امنیت اطلاعات
۴) ارزیابی مخاطرات
۵) آموزش و آگاهی بخشی
۶)آمادگی برای ممیزی
۷) کنترل و بهبود مداوم
● شرایط لازم جهت طراحی سیستم امنیت اطلاعات
۱) اطمینان : از سلامت اطلاعات چه در زمان ذخیره و چه به هنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند.
۲)دقت : اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشند و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت.
۳) قابلیت دسترسی : اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشند (اسعدی شالی ،۱۳۸۴)
● سیستم مدیریت امنیت اطلاعات در ایران
متأسفانه تا کنون توجه چندانی به ISMS در ایران نشده است و هیچ سازمان و ارگانی از ایران موفق به کسب گواهینامه ی لازم جهت استاندارد امنیت اطلاعات نگردیده است حال اینکه کشور ما به لحاظ موقعیت خاص خود همیشه مورد هجوم و دستبردهای اطلاعاتی از طرق مختلف بوده که بعضا ضرباتی جبران ناپذیر را نیز متحمل گردیده . با توجه به این مسأله به نظر می آید لزوم استاندارد سازی در مبحث امنیت اطلاعات در کشور ما یک نیاز اساسی جهت حفظ محرمانگی و امنیت اطلاعات است.
● نتیجه گیری
شاید استفاده از سیستم امنیت اطلاعات به نظر سخت آید اما به کارگیری آن لازم و ضروری است و هزینه هایی نیز دارد که در نگاه اول ممکن است این هزینه ها زیاد به نظر آید اما هزینه هایی هستند که فواید بیشتری دارند.استقرار این نظام باعث ایجاد حساسیت و کنترل بهتر جهت حفظ محرمانگی اسرار یک سیستم است و در آن نقش آموزش و برنامه ریزی کلان جهت نیروهای انسانی و جلوگیری از حوادث اطلاعاتی نقشی بسیار موثر است که به جز با حمایت مدیران یک مجموعه امکان پذیر نمی باشد. برای اینکه بتوانیم حمایت مدیران را جهت برقراری امنیت اطلاعات جلب کنیم بهتر است سیستمی مناسب را ارایه نماییم تا حمایت آنان را برای تقویت امنیت اطلاعات به دست آوریم و در این راستا ( ISMS ) یک سیستم مناسب و استاندارد برای این امر می باشد .

نویسنده: حمید نخعی

منابع :
۱- اسعدی شالی ، عادله ، مدیریت سیستمهای امنیت اطلاعات ، مجله الکترونیکی مرکز اطلاعات و مدارک علمی ایران ، شماره چهارم ، دوره چهارم ، مرداد ۱۳۸۴
۲- پورمند ، علی ، استانداردی برای امنیت اطلاعات www.imi.ir/tadbir
۳- جعفری ، نیما ، سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح ، ماهنامه تدبیر ، شماره ۱۸۹
۴- عبد اللهی ، محمد ، طراحی و پیاده سازی سرویسهای امن برای شبکه های کامپیوتری ، پایان نامه کارشناسی ارشد ، دانشگاه صنعتی شریف
۵- کورنگی ، حیدر علی ، پنجمین سمینار آموزشی شبکه علمی غرب آسیا ، دانشکده مهندسی برق و کامپیوتر دانشگاه شهید بهشتی ، تیرماه ۱۳۸۷

منبع

۲۴ اسفند ۱۳۹۳


محصولات مشابه