الزامات سیستم مدیریت امنیت اطلاعات ( ISMS ) – بخش اول

الزامات سیستم مدیریت امنیت اطلاعات ( ISMS )

براساس استاندارد ISO/IEC 27001:2013

امروزه امنیت اطلاعات یکی از چالش های اصلی در عصر فناوری اطلاعات محسوب می شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب ناپذیر به شمار می رود. از اینرو، امنیت دارایی های اطلاعاتی،برای تمامی سازمان ها امری حیاتی بوده و مستلزم یک مدیریت تاثیر گذار می باشد .

این موضوع در سال های اخیر با بالا رفتن تهدیدات و حملات سایبری به سازمان ها و روند رو به گسترش آن مورد توجه جدی قرار گرفته است .

از سوی دیگر، در دو دهه اخیر با ایجاد نگرش استانداردی به امنیت اطلاعات، استانداردهای مفیدی در این حوزه تدوین شده است . استاندارد ISO/IEC 27001 که مهمترین و پرمراجعه ترین استاندارد در این خصوص است، زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات و ارزیابی آن در سازمان ها و همچنین بهره گیری از منافع این رویکرد فراهم آورده است.

ISO (سازمان بین المللی استاندارد سازی) و IEC (کمیسیون بین المللی الکتروتکنیک) درکنار هم سیستم تخصصی استاندارد سازی جهانی را تشکیل می دهند. از اینرو آن دسته از موسسات بین المللی که از اعضای ISO یا IEC به شمار می روند، از طریق کمیته های فنی که توسط سازمان های ذی ربط تشکیل شده اند در تدوین استانداردهای بین المللی مشارکت نموده و فیلدهای خاص فعالیت های فنی را مورد بررسی قرار می دهند. کمیته های فنی در فیلدهایی که مورد علاقه طرفین می باشد با یکدیگر همکاری می نمایند. در این میان سایر سازمان های بین المللی ، سازمان های دولتی و غیر دولتی در کنار ISO و IEC در این گونه فعالیت ها شرکت می نمایند . IEC و ISO در زمینه فناوری اطلاعات ، یک کمیته فنی مشترک را تأسیس نموده اند که اصطلاحًا ISO/IEC JTC1 گفته می شود.

تهیه استانداردهای بین المللی از مهمترین وظیفه کمیته فنی مشترک به شمار می آید.پیش نویس استانداردهای بین المللی که توسط کمیته فنی مشترک برگزیده شده است،جهت رأی گیری به هیأت ها و مجامع ملی بخشنامه می شود. انتشار استاندارد به صورت استاندارد بین المللی مستلزم تایید از سوی حداقل ۷۵ % از آراء هیأت ها و سازمان های ملی می باشد.

ISO/IEC 27001:2013 توسط کمیته فرعی SC 27 فنون امنیتی فناوری اطلاعات، زیرمجموعه کمیته فنی مشترک ISO/IEC JTC1 فناوری اطلاعات، تهیه شده است. این ویرایش دوم، جایگزین و باطل کننده ویرایش اول ISO/IEC 27001:2005 است که از نظر فنی مورد بازنگری قرار گرفته است .

در سال ۱۹۹۵ میلادی اولین استاندارد سیستم مدیریت امنیت اطلاعات توسط مؤسسه استاندارد انگلیس با عنوان BS7799:1 ارائه گردید .

از سال های ۱۹۹۶ تاکنون ISO نسخه های مختلف یک گزارش فنی را نه به عنوان استاندارد بلکه به عنوان Technical Report با نام ISO/IEC TR 13335 ارائه نموده است که تکنیک های مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات و کنترل های مورد نیاز برای حفاظت فیزیکی و لاجیکی را با دقت تشریح کرده است .

نسخه دوم استاندارد BS7799:1 با عنوان BS7799:2 در سال 1999 در دوبخش ارائه شد .

در سال 2002 نسخه به روز شده BS7799:2 با عنوان BS7799:2002 ذر دو بخش منتشز گردید ودر همین سال اول بخش اول استاندارد BS7799:2 بدون هیچگونه تغییری توسط موسسه بین المللی استاندارد با عنوان ISO/IEC 17799 منتشر شد.

در سال 2005 یکی از جامع ترین استانداردهای سیستم مدیریت اطلاعات با عنوان ISO/IEC 27001:2005توسط کمیته فنی مشترم ISO  و IEC به نام ISO/IEC JTC1 تدوین گردید .

در سال 2007 کامل ترین و جامع ترین استادندارد سیستم مدیریت اطلاعات با عنوان BS ISO/IEC 27002 ارائه شد که در فاصله سال های 2005 تا 2007 تکمیل شده بود .

آخرین نسخه این استاندار در سال 2013 با عنوان ISO/IEC 27001:2013 ارائه گردید .

هدف از تهیه این استاندارد بین المللی، ارائه مدلی است که بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات یا همان ISMS را ایجاد ، اجرا ، بهره برداری ، پایش ، بازنگری نگهداری و بهبود و ارتقا بخشید . بادر نظر گرفتن مفهوم ریسک های کلان کسب و کار سازمان است .

استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان، تحت تأثیر نیازها و اهداف سازمان، الزامات امنیتی، فرایندهای سازمانی به کار گرفته شده و اندازه و ساختار سازمان قرار دارد. انتظار می رود تمامی این عوامل اثرگذار، در طول زمان دچار تغییر شوند.

سیستم مدیریت امنیت اطلاعات، با به کارگیری یک فرایند مدیریت مخاطرات، از محرمانگی، صحت و دسترس پذیری اطلاعات محافظت می کند و به طرف های ذی نفع این اطمینان را می دهد که مخاطرات، به میزان کافی مدیریت می شوند.

توجه داشته باشید که سیستم مدیریت امنیت اطلاعات، با فرایندهای سازمان و ساختار مدیریتی کلان، یکپارچه بوده و بخشی از آنها است و همچنین امنیت اطلاعات در طراحی، فرایندها، سیستم های اطلاعاتی و کنترل ها لحاظ می شود. انتظار می رود که پیاده سازی یک سیستم مدیریت امنیت اطلاعات، منطبق با نیازهای سازمان باشد.

استاندارد ISO/IEC 27000 نمای کلی و واژگان سیستم های مدیریت امنیت اطلاعات را توصیف نموده و مرجع خانواده استاندارد سیستم مدیریت امنیت اطلاعات ( شامل ISO/IEC 27003 ، ISO/IEC 27004 ، ISO/IEC 27005 ) به همراه اصطلاحات و تعاریف مرتبط با آن است.

این استاندارد بین المللی، شامل الزاماتی برای ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات، متناسب با نیازهای سازمان است. الزامات تعیین شده در این استاندارد بین المللی، عمومی بوده و در تمام سازمان ها، صرف نظر از نوع، اندازه یا ماهیت آنها، قابل اعمال است.

در این استاندارد بین المللی به منظور ایجاد، پیاده سازی، بهره برداری، پایش، بازنگری،نگهداری و بهبود سیستم مدیریت امنیت اطلاعات یک سازمان از یک رویکرد فرآیندی استفاده شده است.

یک سازمان برای آن که بتواند فعالیت های خود را به طور مؤثر اجرا نماید ، لاجرم مجبور خواهد بود تا ضمن تعیین بسیاری از فعالیت ها ، بر آنها نیز مدیریت صحیح داشته باشد.

دراین بین هر گونه فعالیت که در آن از منابع و ذخایر استفاده می شود و تبدیل ورودی ها به خروجی ها را امکان پذیر می سازد و مورد مدیریت قرار می گیرد را می توان به عنوان یک فرآیند در نظر گرفت. در اغلب اوقات ، ورودی یک فرآیند مستقیمًا و بدون هیچ گونه واسطه ای ورودی فرآیند بعدی را تشکیل می دهد.

به کاربرد سیستم فرآیندها در یک سازمان و همچنین شناسایی و تعامل این فرآیندها و مدیریت آنها اصطلاحًا “رویکرد فرآیندی” گفته می شود.

رویکرد فرآیندی در مدیریت امنیت اطلاعات به نحوی که در این استاندارد بین المللی آورده شده است، کاربران آن را مورد تشویق قرار داده است تا بر اهمیت موارد گفته شده در ذیل تاکید قائل شوند:

الف) شناخت الزامات امنیت اطلاعات و نیاز به سیاستگذاری و هدف گذاری برای امنیت اطلاعات ؛

ب) پیاده سازی و بهره برداری از موارد کنترلی به منظور مدیریت ریسک های امنیت اطلاعات یک سازمان در چهارچوب مجموعه ریسک های تجاری سازمان ؛

پ) پایش و بازنگری اجرا و اثربخشی ISMS

ت) بهبود مستمر بر اساس اندازه گیری و سنجش هدف.

در استاندارد بین المللی حاضر از مدل PDCA ( برنامه ریزی کن، انجام بده، کنترل کن اقدام کن) استفاده شده است .

اصطلاحات و تعاریف :

• دارایی : هر چیزی که برای سازمان دارای ارزش باشد .
• دسترس پذیری : ویژگی در دسترس و قابل استفاده بودن ، به محض تقاضای یک موجودیت مجاز شده .
• محرمانگی : ویژگی که اطلاعات در دسترس افراد ، موجودیت ها یا فرآیند های غیر مجاز قرار نگرفته یا فاش نشود .
• امنیت اطلاعات : حفظ محرمانگی ، یکپارچگی و دسترس پذیری اطلاعات همچنین ، ویژگی هایی از قبیل سندیت پاسخگویی ، انکار ناپذیری و قابلیت اطمینان ، می تواند لحاظ شود .
• رویداد امنیت اطلاعات : رخداد شناسایی شده یک سیستم ، سرویس یا شبکه ، که دلالت بر نقض احتمالی خط مشی امنیت اطلاعات یا نقض حفاظتی ، یا وضعیتی که ممکن است با امنیت مرتبط بوده و قبلا شناخته نشده دارد .
• حادثه امنیت اطلاعات : یک یا مجموعه ای از رویدادهای امنیت اطلاعات نا خواسته یا پیش بینی نشده که به احتمال زیاد عملیات کسب و کار را به خطر انداخته و امنیت اطلاعات را تهدید کنند .
• سیستم مدیرت امنیت اطلاعات ( ISMS ): قسمتی از سیستم مدیریت کلان بنا شده بر دیدگاه ریسک های کسب و کار ، به منظور ایجاد ، پیاده سازی ، اجرا ، پایش  ، بازنگری و بهبود امنیت اطلاعات .

نکته : سیستم مدیرتی ، شامل ساختار سازمانی ، خط مشی ها ، طرح ریزی فعالیت ها ، مسوولیت تجارب روشهای اجرایی ، فرآیندها و منابع است .

• یکپارچگی : ویژگی حفظ صحت و تمامیت دارایی ها
• ریسک باقیمانده : ریسک باقیمانده پس از برطرف سازی ریسک
• پذیرش ریسک : تصمیم برای پذیرش یک مخاطره
• تحلیل ریسک : استفاده نظام مند از اطلاعات به منظور شناسایی منابع و تخمین ریسک
• برآورد ریسک : فرآیند کلی تحلیل و ارزیابی ریسک
• ارزیابی ریسک : فرآیند مقایسه ریسک تخمین زده شده ، با معیار ریسک ارایه شده ، به منظور تعیین اهمیت ریسک
• مدیریت ریسک : فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه به ریسک
• برطرف سازی ریسک : فرآیند انتخاب و پیاده سازی معیارهایی برای تعدیل ریسک

نکته : در این استاندارد ، واژه کنترل به عنوان مترادف تمهید ( Meaure ) بکار رفته است

بیانیه کاربست پذیری ( Statement of applicability ) : بیانیه مستند شده ای که اهداف کنترلی و کنترل های وابسته و بکار برده شده در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند .

نکته : اهداف کنترلی و کنترل ها ، برمبنای نتایج و استنتاج از فرآیند های برآورد و بر طرف سازی ریسک ، الزامات قانونی یا آیین نامه ای ، تعهدات قرار دادی و الزامات کسب و کار سازمان برای امنیت اطلاعات پایه ریزی می شود .

• تمامیت : منظور از آن تامین دقت و تمامیت دارایی ها می باشد.

ارائه دهنده: مجتبی حقیقی