يك قدم به سمت امنيت اطلاعات

به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوط Leased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواع FireWall ،IDS و همچنين HoneyPot ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.
براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد.

استاندارد BS7799 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127 كنترل مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.



آيا امنيت 100% امكانپذير است؟

با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟



فوائد استاندارد BS7799 و لزوم پياده سازي

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:



اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

ايجاد اطمينان نزد مشتريان و شركاي تجاري

امكان رقابت بهتر با ساير شركت ها

ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد





مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS)

ايجاد و تعريف سياست ها:
در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت.



تعيين محدوده عملياتي :
يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد. Scope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيين Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي كنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد.



برآورد دارايي ها و طبقه بندي آنها:
براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد.



ارزيابي خطرات:
با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد.


مديريت خطرات :
مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.



انتخاب كنترل مناسب :
استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.

اين ده گروه كنترلي عبارتند از :

1- سياستهاي امنيتي
2- امنيت سازمان
3- كنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيكي
6- مديريت ارتباط ها
7- كنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10- سازگاري با موارد قانوني


تعيين قابليت اجرا:
جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خودرا براي اخذ استاندارد BS7799 آماده خواهيد ساخت.


نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000 انتخابي درست براي رسيدن به اين منظور مي باشد.