سيستم مديريت امنيت اطلاعات
از طرح تا اصلاح

نيما جعفري
مرجان صادقي مجرد

چكيده

پيشرفت علوم كامپيوتري و درنتيجه شبكه هاي سخت افزاري و نرم افزاري، امكان دسترسي آسان و سريع را به منابع به اشتراك گذاشته شده سازمانها و شركتها را پديد آورده است. سيستم‌هاي خود پردازبانكي ، كارت‌هاي اعتباري، امكانات كامپيوتري بر روي تلفن هاي همراه ، همگي مثالهاي بارزي از تاثير امكانات كامپيوتري بر جامعه كنوني ايران هستند. با نظر به اين تحولات نكاتي نظير خطر آشكار شدن رمز عبور، خطر ويروسي شدن سيستم‌ها، ازبين رفتن اطلاعات و تغيير اطلاعات توسط افراد غير مجاز، نفوذ آنها به شبکه ها و سيستم‌هاي کامپيوتري از اهميت بالايي برخوردار مي شوند. مديريت امنيت يکي از فعاليتهاي بسيار مهم در سازمان است. بنا به يک تصور رايج در بسياري از سازمانها، طراحي زير ساخت و متعاقبا پياده سازي راه حلهاي امنيتي (ازقبيل نصب فايروال، IDS و ...) براي برقراري امنيت مناسب و کافي است. امنيت اطلاعات نيازمند يک "سيستم مديريت امنيت" يا به اصطلاح ISMS است. هدف اين سيستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زير ساخت و اجزاي مختلف امنيتي سازمان است. يکي از قابليتهاي ارائه شده توسط ISMS ، امکان مديريت تغييرات است. قابليت ديگر، امکان مديريت رخدادهاست. در اين مقاله به بررسي اين سيستم پرداخته شده است.

مقدمه
امنيت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسي غيرمجاز به آنها اشاره مي کند.(Dalton, King & Osmanoglu, 2001) همچنين علم مطالعه روشهاي حفاظت از داده ها در رايانه ها و نظامهاي ارتباطي در برابر دسترسي و تغييرات غيرمجاز است. (عبداللهي ،1375) امنيت به مجموعه اي از تدابير، روشها و ابزارها براي جلوگيري از دسترسي و تغييرات غيرمجاز در نظامهاي رايانه اي و ارتباطي اطلاق مي شود. در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور با توجه به استفاده روز افزون از شبکه هاي کامپيوتري چه به صورت LAN (شبكه محلي) وچه به صورت WAN (شبكه گسترده)، بويژه در حوزه دستگاههاي دولتي و خصوصا سازمانهايي که بخش اعظمي از اطلاعات مهم خود را به صورت ديجيتال ثبت مي کنند، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساختهاي فني و اجرايي امنيت و انجام ندادن اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات دردستگاهها و سازمانهاي دولتي اشاره نمود. بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، به خاطر فقدان زيرساختهايي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرايم فضاي تبادل اطلاعات و ساير زيرساختهاي امنيت فضاي تبادل اطلاعات در کشور است.
بيش از يک سوم نقصهاي امنيتي نظامهاي رايانه اي در انگليس ناشي از کارمندان و يک سوم از بدترين حوادث ايمني ناشي از ويروس‌هاي رايانه اي است.( Matt Lonney، 2002) صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات سازمانها و دستگاههاي دولتي، از يک‌سو موجب بروز اخلال در عملکرد صحيح دستگاهها مي‌شود و کاهش اعتبار اين دستگاهها را در پي خواهد داشت و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. بنابراين همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاههاي دولتي، ضروري به نظر مي‌رسد. به منظور پياده سازي يک ظرفيت امنيتي موثر ، سازمانها نياز به تعيين ضعيفترين نقاط اتصال خود دارند و طراحي يک معماري وسيع امنيتي ، جهت تحقق اهداف مديريت امنيت ضروري است. (Barnard, Von-Solms, ،2002) هدف از ايمن سازي اطلاعات، تضمين جامعيت ، محرمانه بودن و دسترس پذير بودن اطلاعات است.

امنيت اطلاعات
امنيت از ديرباز يکي از اجزاي اصلي زيرساختهاي فناوري اطلاعات به شمار مي‌رفته است .تهديدات امنيتي را مي توان در دو مقوله دسته بندي کرد:
1. تهديدات فيزيکي: امنيت فيزيکي شامل کنترل ورود و خروج كاركنان به سايت‌هاي شبکه و همچنين روالهاي سازماني و يا بلاهاي طبيعي از قبيل آتش سوزي، زلزله ، دزدي و از اين قبيل است.
2. تهديدات الکترونيک: خطرات الکترونيک غالبا شامل تهديدات هکرها و نفوذگران داخلي و خارجي در شبکه است.
هدف از امنيت اطلاعات، استفاده از مجموعه اي از سياستها ، راهکارها ، ابزارها‌، سخت افزارها و نرم افزار ها، براي فراهم آوردن محيطي عاري از تهديد در توليد ، پالايش، انتقال و توزيع اطلاعات است . فراهم آوردن چنين محيطي مستلزم انجام مواردي است که مي توان از آنها به عنوان نيازهاي امنيتي اطلاعات نا م برد. برخي از اين موارد در زير ذکر شده اند:
_ ارزش هر واحد اطلاعاتي براي مالک آن بايد مشخص باشد.بر اساس ارزش واحدهاي اطلاعاتي بايستي آنها را رده‌بندي و يک سقف هزينه را براي امنيت آنها تعيين و برچسب رده امنيتي را بر روي آنها نصب کرد.
_ تمهيدات لازم اعم از سخت افزاري و نرم افزاري براي حفاظت از اطلاعات با اولويت بالاتر فراهم شود.
_ سياستگذاري يکپارچه و سازگار در خصوص امنيت اطلاعات در بخشهاي مختلف مديريتي يک سازمان اعمال شود.
_ سازوکار و تشکيلات مناسب جهت تطبيق امنيت اطلاعات با پيشرفتهاي تکنولوژي توليد ، توزيع و انتقال اطلاعات از يک طرف و تهديدات جديد از طرف ديگر فراهم شود.
_ امنيت اطلاعات مانع و محدوديتي براي دسترسي کاربران مجاز آن فراهم نکند.
_ امکان تعقيب عملکردهاي مشکوک روي اطلاعات فراهم شده باشد.

عوامل موثر در طراحي سيستم مديريت امنيت اطلاعات
1 - نيازمنديهاي امنيتي (اهداف کسب و کار): هر سازماني بايد بداند که چه چيز را در برابر چه خطراتي و چرا بايد محافظت کند . سازمانها در سطوح حساسيت متفاوتي از يکديگر قرار دارند و هيچ راه حل ثابتي براي همه سازمانها وجود ندارد.
2 - رويکرد مورد نظر در سازمان: براي پياده سازي سيستم‌هاي مديريت امنيت، روشها و الگوهاي گوناگون فني و مديريتي پيشنهاد شده است  ، يکي از اين روشها رويکرد فرايند محور است . امنيت اطلاعات در يک سازمان به يکباره حاصل نمي شود و در واقع امنيت يک فرايند تکاملي و تدريجي است . اين مسئله گاهي با اين عنوان که " امنيت يک فرايند است نه يک محصول " بيان مي شود.
3 - اندازه و ساختار سازمان: ISMS يک سيستم مديريتي و بخشي از ساختار مديريتي سازمان است. هرقدر سازمان بزرگتر باشد و واحدهاي سازماني بيشتري در بر داشته باشد، راه اندازي و راهبري ISMS در آن پيچيده تر خواهد بود. مطالعات نشان داده است که هزينه، زمان و كاركنان بيشتري در يک سازمان بزرگ براي پياده سازي امنيت نياز است .

رويه هاي راه اندازي سيستم مديريت امنيت اطلاعات
با توجه به رويکرد فرايند محور، کليه راه حلهاي ارائه شده در ISMS بايد طي مراحل چهارگانه طراحي، پياده سازي (اجرا)، ارزيابي و اصلاح به صورت يک چرخه هميشگي و ادامه دار در کليه راه حلهاي امنيتي اعم از فني و مديريتي اعمال شود. الگوي فرايندي فوق با عنوان PLAN,DO,CHECK, ACT)= (PDCAدر استاندارد BS 7799 شناخته مي شود که قابل اعمال روي تمام فرايندهاي پيشنهاد شده در ISMS بوده، وکل فرايند ISMS هم مبتني بر همين الگوست.
دو نوع ورودي براي فرايند کلي ISMS در نظر گرفته شده که عبارت است از:
_ خواسته هاي امنيتي: براي مثال اينکه حوادث امنيتي تاحدامكان منجر به ضرر مالي قابل توجهي نشود.
_ انتظارات : براي مثال اگروب سايت سازمان توسط افراد غير مجاز مورد نفوذ واقع شود، بايد افرادي با مهارت کافي وجود داشته باشند که بتوانند آثار منفي آن را به حداقل برسانند.

چرخه سيستم مديريت امنيت اطلاعات

الف ) طراحي: استقرار ISMS شامل تعيين خط مشي ها، اهداف، فرايندها و روالها به منظور مديريت مخاطرات در راستاي اهداف کسب و کار است. در اين مرحله، بايد سرمايه اوليه راه اندازي ISMS ، روشهاي مستند سازي، رويکرد مديريت مخاطرات و نيز روشهاي اختصاص منابع مشخص شود. در واقع بايد اطمينان حاصل شود که محتوا و محدوده ISMS به طور دقيق و مناسب مشخص شده است. فعاليتهاي مورد نياز در اين مرحله عبارت‌اند از:

1 - تعريف قلمرو (محدوده)ISMS : اولين قدم تعيين محدوده و ميداني است که نياز است تا امنيت در آن در نظر گرفته شود و هدف سيستم مديريت امنيت اطلاعات است. قلمرو ISMS بر اساس مشخصات کسب و کار، محل، داراييها و فناوريهاي سازمان مشخص مي شود.

2 - تعريف خط مشي ISMS : سياست يا خط مشي امنيت در تمام فرايندهاي ISMS نقش کليدي ايفا مي کند، به طوري که در تمام تجربيات موفق مديريت امنيت، سند خط مشي به عنوان قلب، مبنا و نقطه آغاز يک طرح مديريت امنيت موفق برشمرده شده است. هدف هر خط مشي (خواه امنيتي و خواه غير امنيتي) تعريف و تأثيرگذاري بر تمامي رفتارها، عملکردها و تصميم گيريهاست، به گونه اي که مشخص شود چه چيزي مجاز و چه چيزي غيرمجاز است.( Dancho Danchev ، 2003)

3 - تعيين مخاطرات: در اين مرحله بايد مخاطرات موجود را شناسايي كرد. بدين منظور ابتدا شناخت سرمايه ها و صاحبان آنها در قلمرو تعيين شده ISMS ضروري است. سپس بايد تهديدهاي متناظر با هر دارايي را مشخص كرد. تعيين آسيب پذيريها و عواقب تهديدها در مرحله پاياني اين فاز قرار دارد .

4 - ارزيابي مخاطرات : اساس کار ISMS ، مديريت مخاطرات امنيتي است. يکي از مهمترين قابليتهاي ISMS که در هر سازماني متناسب با محدوده و نيازش بايد انجام شود ، مديريت ريسک است. مديريت مخاطرات مجموعه فعاليتهاي طرح ريزي، ارزيابي و کنترل مبتني بر نتايج تحليل مخاطرات است. ريسک يا مخاطره عبارت است از احتمال ضرر و زياني که متوجه يک دارايي سازمان (دارايي شامل سخت افزار ، نرم افزار، اطلاعات ، ارتباطات ، کاربران) است. عدم قطعيت در نتيجه مقياس ناپذيري يکي از مهمترين ويژگيهاي مفهوم ريسک است. ( Dancho Danchev، 2003 ) طبعا اين عدم قطعيت به معناي غير قابل محاسبه و مقياس بودن ريسکها نيست.

براي تحليل مخاطرات وارد بر سيستم اطلاعات، بايد ابتدا مخاطرات را تعيين كرد، سپس ارزش هر مخاطره را تخمين زد و سپس مخاطرات را برمبناي ارزش، احتمال رخداد و عواقب آن، به شكل عددي محاسبه كرد.

تحليل مخاطرات شامل سه فرايند زير است:
_ تعيين مخاطرات که ليست مخاطرات موجود و ممکن را توليد مي کند.
_ تخمين مخاطرات که به هر مخاطره ارزشي (عددي، کيفيتي و...) تخصيص مي‌دهد.
_ ارزيابي مخاطرات که بر مبناي ارزش مخاطره، احتمال رخداد و عواقب آن، مخاطرات را به شکل عددي محاسبه مي‌کند.
  در مجموع شناسايي مخاطرات، و ارزيابي مخاطرات به عنوان برآورد مخاطرات مطرح شده است. براي اين منظور بايد ارزشيابي روي امنيت داراييهاي سازمان انجام گيرد که با توجه به مرحله قبل، کليه داراييها و سرمايه هاي سازمان (سخت افزار، نرم افزار ، اطلاعات ، ارتباطات و کاربر) به همراه اولويت و ارزش آن دارايي براي سازمان و نرخ ريسک‌ها و خطراتي که متوجه هر کدام است و آنها را تهديد مي کند، ليست شود. همچنين بايستي احتمال رخداد هر کدام از تهديدات که در اثر ضعف در سيستم دفاعي آن دارايي است، تعيين شود و در نهايت ضريب تاثير هر کدام از ريسکها ، مشخص شود. بنابراين با ارزيابي ريسک‌ها تاثير احتمال رخداد آن تهديدات در برابر ميزان ارزش آن دارايي تعيين مي شود و مي توان اولويت ريسک‌ها و تهديداتي که براي داراييهاي سازمان وجود دارد را تعيين کرد. در اين حالت ماتريسي از احتمال رخداد ريسکها در سازمان و ميزان تاثير آنها با توجه به ارزش دارايي حاصل مي شود. نتيجه اين عمليات ، تعيين ريسک‌هاي موجود در سازمان خواهد بود که داراييهاي سازمان را تهديد مي کنند .

5 - انتخاب کنترل‌هاي مناسب: بر اساس نتايج حاصله از ارزيابي مخاطرات، آن دسته از مخاطرات که از سطح قابل قبول بالاتر و نيازمند اقدامات دفاعي هستند، انتخاب مي شوند و کنترل‌هاي مناسب براي آنها برگزيده مي شود. در بحث ISMS صرفنظر از رويکرد انتخابي در طرح ارزيابي مخاطرات، آنچه که اهميت دارد، وجود اين طرح است. خروجي اصلي فرايند مديريت ريسک، سندي حاوي ليست کنترل‌هاي مورد نظر و اهداف هر کنترل است که در استانداردهاي ISMS به نام «بيانيه کاربرد» شناخته مي شود. اين سند بايد به امضاي مديريت ارشد سازمان برسد .

ب) اجرا: در اين بخش بايد کليه کنترل‌ها‌، عملياتي شوند. در اين مرحله نيازبه رويه‌هايي جهت تشخيص سريع و پاسخگويي به حوادث، وجود دارد. همچنين نياز است، کليه کارمندان و افراد سازمان نسبت به امنيت در سازمان، آگاهي لازم را داشته باشند و آموزشهاي لازم جهت عملکرد مناسب براي برخورد با ريسک و تهديد، ارائه شود. خلاصه اي از فعاليتهاي اين مرحله عبارت است از :
_ فرموله کردن طرح برخورد با مخاطرات؛
_ اجراي طرح برخورد با مخاطرات؛
_ پياده سازي کنترل‌هاي امنيتي انتخاب شده؛
_ اجراي برنامه هاي آموزش و آگاهي‌رساني؛
_ مديريت منابع و فعاليتها.
همچنين سياستهاي امنيتي بايد تعيين و اعمال شوند. يک سياست امنيتي انجام اعمالي است که بايد صورت گيرد تا بتواند از اطلاعات ذخيره شده در کامپيوتر محافظت کند. يک سياست امنيتي موثر باعث ايجاد امنيت نسبي براي کاربران مي شود که در واقع يک استراتژي براي نگهداري اطلاعات و منابع شبکه است. (‌Nyanchama,2005)

ج) ارزيابي: هدف از اين مرحله، حصول اطمينان از اجراي بموقع کنترل‌هاي امنيتي و برآورده شدن اهدافي که به دنبال دارند، است. ارزيابي ميزان کارايي و مؤثر بودن ISMS در اين مرحله انجام مي گيرد. اجراي روالهاي ارزيابي، مرور فرايندها و خط مشي ها، انجام بازرسيهاي دوره‌اي درون سازماني و برون سازماني از آن جمله است. فعاليتهاي کنترلي متنوعي وجود دارد‌، اما بازرسيهاي داخلي ISMS و مديريت بازبيني از مراحل اجباري براي پياده سازي امنيت در سازمان‌اند. پس از پياده سازي سياستهاي امنيتي ، با استفاده از سيستم‌هاي تشخيص نفوذي، يا سيستم‌هاي واقعه نگاري ، کليه دسترسيهاي غير مجاز به شبکه و عبور از سيستم‌هاي امنيتي مشخص و در فايل هاي ثبت وقايع خروجي ، ذخيره مي شود. سپس با استفاده از ابزار امنيتي، کليه پورت‌ها و سرويس‌هاي شبکه و يا محلهاي رخنه به شبکه بازرسي مي شوند و اطلاعات مربوطه در فايل ثبت وقايع قرار مي گيرند. همچنين در اين قسمت با استفاده از يک‌سري ابزار، به تحليل فايل‌هاي ثبت وقايع و اطلاعات پرداخته مي شود و نتايج حاصل از آنها ، جهت بهبود عملکرد سيستم امنيتي شبکه ، استفاده و سپس در سياستهاي امنيتي شبکه اعمال مي شود.

د) اصلاح: بر اساس نتايج مرحله ارزيابي مي توان اقدامات اصلاحي را در جهت بهبود ISMS به انجام رساند. اين اقدامات را مي توان در دو مقوله طبقه بندي کرد:

1 - بر اساس مرحله خاصي از زمان انجام شود. بدين معنا که در زمان تعامل فناوري با اطلاعات ، عکس العمل لازم در برابر يک مشکل امنيتي مي تواند از نوع پيشگيرانه (کنشي) يا اصلاحي (واکنشي) باشد.

پس از تحليل مخاطرات، بايد براي آن دسته از مخاطرات كه از سطح قابل قبول بالاتر هستند، اقدامات دفاعي اتخاذ و كنترل‌هاي مناسب بر آنها اعمال شود.

2 - بر اساس سطوح پياده سازي نظامهاي امنيتي در يک محيط ديجيتال: فناوري امنيت اطلاعات، خواه از نوع واکنشي و خواه از نوع کنشي را مي توان در سه سطح‌، شبکه‌، ميزبان ، برنامه هاي کاربردي‌، پياده‌سازي کرد.

نتيجه گيري
در اغلب موارد ، تشكيلات اقتصادي همچون شبكه هاي كامپيوتري در برابر تغييرات فشرده و ناگهاني با ضعف و شكست مواجه مي شوند. يك پروژه ابتدايي امنيتي نيز از اين مقوله مستثنا نيست. قبل از پياده سازي هر چيزي، ابتدا بايد طرح و برنامه آن را تعيين و سپس ابزار لازم را مهيا کرد. دليل اينكه بيشتر تشكيلات اقتصادي با شكست مواجه مي‌شوند، به خاطر تعيين نكردن هدف اصلي از اين تشكيلات است تا بتوانند با تعيين آنها، در آينده نيز فعاليت خود را ادامه دهند. امنيت بالاتر شبكه در يک سازمان تنها به داشتن يك ديواره آتش ختم نمي شود. هر سازمان براي دستيابي به اين مقوله بسيار مهم بايد به طور دقيق مشخص كند كه «چه چيزي» را «چگونه» مي خواهد ايمن كند. قصد پياده سازي چه نوع فيلترينگ را دارد؟ چه مقدار دسترسي را براي كاربران خود در نظر دارد؟ آيا سازمان قصد دارد كه كاربران اينترنتي را تعيين هويت كند و فعاليتهاي آنها را ثبت كند؟ فقط با پاسخ دادن به اين سوالات و سوالهاي ديگر است كه سازمان قادر خواهد بود به طور دقيق مشخص كند كه چه لازم دارد و چه چيزي را بايد دنبال كند و به طور جزئي‌تر براي پياده سازي امنيت در سازمان چه سياستي را در پيش بگيرد تا آنچه را كه در نظر دارد پياده سازي كند.

منابع
-1 عبداللهي ازگمي، محمد.(1375). "طراحي و پياده سازي سرويسهاي امن براي شبکه هاي کامپيوتري". پايان نامه کارشناسي ارشد . دانشگاه صنعتي شريف.
2 - مجتهدين يزدي،ايمان."معرفي سيستم مديريت امنيت اطلاعات ISO 17799/BS 7799:2". ماهنامه آموزشي- پژوهشي و اطلاع رساني. سال هفتم-شماره 77 .آبان 1385.
3 - Barnard, Lynette. Von-Solms, Rossouw .”The Evaluation and Certification of information security against BS7799 ”.information management and computer Security .Vol. 6, No.2-3, P. 72-77. LISANet. [on line] Available:http://www.lisanet.co.uk . 16 June 2002.
4 - Dancho , Danchev . ”Building and Implementing a Successful Information Security Policy” . 2003.
5 - King, C. M.,Dalton, C. E., & Osmanolgu, T. E. (2001). Security Architecture :Design, Deployment and Operations. London:McGraw-Hill.
6 - Marianne, Swanson. “Security Self-Assessment Guide for Information Technology Systems” . November 2001

بقيه منابع در دفتر مجله محفوظ است.
_ نيماجعفري و مرجان صادقي مجرد: دانشجويان كارشناسي ارشد مهندسي فناوري اطلاعات در دانشگاه شيراز