موضوع:

لزوم استقرار سیستم مدیریت امنیت اطلاعات در صنعت نفت

(ISO 27001:2005) در امنیت کسب و کار الکترونیک

Applicable Model for using ISO20071:2005 (ISMS Standard)i

in e-business Security

نویسنده:

امیر خوانی- مدیرعامل شرکت آشناایمن a.khani@ashnasecure.com

ارائه شده در:

نشریه نوآوران صنعت نفت- 1391

مقدمه
صنعت نفت به عنوان محوری ترین صنعت داخلی کشور، همواره مورد حمله های سایبری از سوی هکرها قرار گرفته و با تهدیدات امنیتی مواجه بوده است. با وجود انجام تست های نفوذپذیری و اعمال کنترل های امنیتی مناسب در بسیاری از شرکت های نفتی، نمی توان با قاطعیت گفت که شرایط امنیتی مناسبی حاکم است. این امر بخاطر ضعف تکنولوژی های امنیتی نیست. بلکه فقدان یک نظام امنیتی که بتواند به صورت یک چتر کلیه ابعاد امنیتی من جمله امنیت منابع انسانی، امنیت فیزیکی و محیطی، امنیت شبکه، امنیت برنامه های کاربردی، امنیت مین فریم و … را در برگیرد.
امروزه با به کارگیری گسترده از خدمات فن آوری اطلاعات در سازمان های مختلف من جمله سازمان های نفتی، می توان گفت که اغلب سازمان ها با یکی از حوادث و یا مشکلات امنیت اطلاعات نظیر آلودگی به ویروس ها و نرم افزارهای مخرب، دسترسی غیرمجاز افراد بدون صلاحیت به داده‏ های حساس سازمان، قطعی و یا کندی شبکه های اطلاعاتی، عدم تطابق و صحت اطلاعات در برنامه های کاربردی و غیره مواجه بوده اند. سازمان ها و شبکه ها و سیستم های اطلاعاتی آن‌ها به صورت فزاینده ای با تهدیدهای امنیتی با منشاهای متنوع شامل کلاه‌برداری از طریق کامپیوتر، جاسوسی، کارشکنی، خرابکاری، آتش سوزی و سایر بلایای طبیعی رودررو هستند. امنیت اطلاعات فراتر از نصب یک نرم افزار ضد ویروس و یا پیکره بندی یک دیواره آتش یا حتی نصب سیستم های تشخیص و پیشگیری از نفوذ می باشد. معمولاً در پروژه های توسعه سیستم ها تمایل زیادی برای نادیده گرفتن و صرف نظر کردن از نیاز به مدل سازی نیازهای امنیتی دیده می شود که شامل خط مشی امنیتی نیز می شود (فریمن 1994). بسیار مقرون به صرفه و کارآمدتر است که نیازهای امنیتی، در مرحله طراحی و برنامه ریزی چرخه عمر تولید سیستم های مرسوم جهت دهی شوند. پیاده سازی و حفظ امنیتی که بعد از اجرای طرح اعمال شود ناکارآمدتر و هزینه برتر از نمونه از پیش طراحی شده آن است. (بروک و دمسی، 1997)

واژگان کلیدی
اطلاعات ، امنیت اطلاعات ، سیستم مدیریت امنیت اطلاعات، محرمانگی، یکپارچگی، در دسترس بودن

معرفی سیستم مدیریت امنیت اطلاعات
استاندارد ISO 27001، استانداردی منحصر به فرد در زمینه امنیت اطلاعات می باشد و تمامی جنبه‏ های مرتبط با امنیت اطلاعات را با اعمال کنترل های مختلف پوشش می دهد.
این استاندارد دیدی فرایندی به امنیت اطلاعات داشته و استقرار سیستم مدیریت امنیت اطلاعات را از طریق چرخه PDCA که در شکل 1 نشان داده شده است، پیشنهاد می‏ نماید.

2

شکل 1 چرخه PDCS برای استقرار ISMS در ISO 27001

لزوم استقرار سیستم مدیریت امنیت اطلاعات در صنعت نفت
وجود نهادهای متفاوت و متعدد نظارتی به دلیل حساس بودن صنعت نفت من جمله سازمان پدافند غیر عامل، سازمان حراست، سازمان فناوری اطلاعات، شورای عالی افتا و … سبب شده است که دستورالعمل ها و بخش نامه های متفاوت و متعددی در حوزه امنیت اطلاعات به سازمان ها و شرکت های حوزه صنعت نفت ابلاغ گردد. بدین منظور لازم است تا سامانه ای به منظور مدیریت این ابلاغیه ها و یکپارچه سازی آن ها در سازمان جاری گردد. به عنوان مثال ابلاغ بخش نامه هایی در خصوص جداسازی اینترنت از اینترانت، بسته شدن درگاه های USB، الزام بسته بودن درگاهی خاص و … همگی نیازمند برنامه ریزی سیستمی می باشد. یکی از اهداف سیستم مدیریت امنیت اطلاعات برنامه ریزی به منظور برآورده سازی این الزامات قانونی است.
استقرار سیستم مدیریت امنیت اطلاعات (ISMS) بر اساس استاندارد مرجع ISO 27001:2005 به عنوان یک الگوی مناسب و پذیرفته در امنیت اطلاعات، کمک شایانی به مدیریت، کنترل، هدایت، پشتیبانی، اجرا، بهبود و نظارت بر کلیه فعالیت‌های صورت گرفته در زمینه فناوری اطلاعات می‌نماید. این نظام با بهره گیری از دیدگاهی جامع و کل نگر، تمامی ابعاد امنیت اطلاعات در نظر گرفته و سعی در کنترل و کمینه کردن مخاطرات پیش روی سازمان از طریق طرح‌های مقابله با مخاطرات، می‌نماید.(اگر تاکنون با استاندارد ISO 27001 آشنا نشده اید، در ابتدا توصیه می‌کنم مقالات معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید.)
با توجه به وجود دارایی‌های اطلاعاتی ارزشمند در صنعت نفت و همچنین لزوم حفظ و حراست از این دارایی‌ها با یک رویکرد مناسب و پذیرفته شده، استقرار سیستم مدیریت امنیت اطلاعات به عنوانی چتری بر روی فعالیت‌های امنیت اطلاعات ضروری می‌باشد. (در این مقاله با رویکردهای مختلف پیش روی سازمان برای پیاده سازی ISMS آشنا شوید.)
در سیستم مدیریت امنیت اطلاعات با بهره گیری از رویه‌ها، دستورالعمل‌ها و روش‌های اجرایی امنیتی تدوین‌شده، برنامه ریزی و برگزاری دوره‌های آموزشی و سمینارهای آگاهی رسانی و همچنین به کارگیری طرح‌ها و راه حل‌های فنی و تکنیکی فناوری اطلاعات، بلوغ امنیتی سازمان را به حد قابل قبول رسانید.

عوامل موثر در اثربخشی سیستم مدیریت امنیت اطلاعات در صنعت نفت
استقرار ISMS اما با چالش هایی نیز روبروست. دلایل شکست پروژه های ISMS در سازمان که در برخی تحقیقات شناسایی شده اند عبارتند از: عدم انتخاب مناسب پیمانکاران، عدم وجود یک متولی خاص برای ISMS در سازمان (ترک لادانی و دیگران، 2004)
با توجه به ساختار وظیفه ای حاکم بر اکثر شرکت های نفتی، استقرار سیستم مدیریت امنیت اطلاعات کار پیچیده ای است؛ لذا بسیاری از فعالیت ها و تصمیم گیری‌ها در سیستم مدیریت امنیت اطلاعات نیازمند درگیر شدن افراد واحدهای مختلف می باشد. این امر نیاز به فرهنگ سازی داشته تا ذهنیت پرسنل شرکت‌های نفتی که عمدتاً با ساختار عملیاتی یا وظیفه ای صرف شکل گرفته است، تغییر یافته و این سیستم در سازمان شکل گیرد. با آنکه در اکثر شرکت های نفتی، سیستم مدیریت کیفیت یا سایر سیستم‌های مدیریتی استقرار یافته و گواهی نامه های لازم در این خصوص اخذ شده است، اما به واقع در اکثر سازمان ها بسیار روال ها، رویه ها و فرم ها به شیوه ای اثربخش اجرایی نشده اند. از این رو استقرار اثربخش سیستم از اهمیت بالایی برخوردار است. یکی از راهکارهایی که در این خصوص می توان پیشنهاد داد، طراحی و تدوین یک سامانه اطلاعاتی به منظور استقرار فرآیندهای سیستم مدیریت امنیت اطلاعات است. در صنعت نفت وجود سامانه ای جامع که بتواند مجموعه فرآیند استاندارد ISO 27001 را انجام دهد موضوعی حیاتی است. این فرآیندها در سطح کلان عبارتند از: تعریف محدوده و تدوین بیانیه محدوده، تدوین بیانیه سیستم مدیریت امنیت اطلاعات، تدوین رویکرد ارزیابی مخاطرات، شناسایی دارایی های اطلاعاتی، ارزیابی مخاطرات، تدوین برنامه مقابله با مخاطرات و انجام پیگیری های لازم در خصوص آن، سنجش خودکار شاخص های اثربخشی سیستم مدیریت امنیت اطلاعات، ممیزی داخلی سیستم مدیریت امنیت اطلاعات، تعریف و پیگیری اقدامات اصلاحی و پیشگیرانه، تعریف فرم های روال های سیستم مدیریت امنیت اطلاعات نظیر فرم های کنترل دسترسی، نسخه پشتیبان و …، تدوین گردش کار فرآیندها. لازم به ذکر است در صورتی که سامانه اتوماسیون اداری شرکت های نفتی مجهز به سیستم فرم ساز باشد، بسیاری از این فرآیندها را می توان از طریق فرم در آن انجام داد.
علاوه بر موضوع بالا وجود یک سامانه مدیریت مستندات در سازمان، می تواند به استقرار مناسب روش اجرایی کنترل مستندات و سوابق کمک نماید.
مدل اثربخشی سیستم مدیریت امنیت اطلاعات
به منظور استقرار اثربخش سیستم مدیریت امنیت اطلاعات در مجموعه صنعت نفت می بایست عوامل زیر را در نظر گرفت:
1
عامل 1- تعهد مدیران به سازمان امنیت شامل شاخص های: میزان اعتقاد مدیران ارشد به اهمیت سازمان امنیت، میزان تعهد اعضای سازمان امنیت به وظایفشان در سازمان امنیت، تشکیل منظم جلسات شورای راهبری امنیت، تشکیل منظم جلسات کار گروه‌های تشکیلات سازمان امنیت
طبیعتاً در هر سیستم مدیریتی تعهد مدیریتی از اهمیت بالایی برخوردار است. درگیر شدن مستقیم مدیران ارشد در فرآیند استقرار سیستم مدیریت امنیت اطلاعات، کمک خواهد نمود که الزامات استاندارد در حوزه مدیریت منابع سیستم مدیریت امنیت اطلاعات برآورده شود.
عامل 2- وجود یک متولی خاص برای ISMS شامل شاخص های: مشخص بودن متولی ISMS در سازمان، ارتباط مناسب واحد متولی ISMS با سایر واحدها، مقبولیت واحد متولی از سوی سایر واحدها، مقبولیت واحد متولی از سوی مدیریت
یکی از مسائلی که همواره در صنعت نفت مطرح است، طرح این موضوع است که استقرار سیستم مدیریت امنیت اطلاعات از وظایف واحد حراست است یا مدیریت فناوری اطلاعات. واقعیت امر این است که سیستم باید با هماهنگی واحدهای مختلف در سازمان شکل گیرد. اما واحد متولی اصلی می بایست مقبولیت عام داشته باشد.
عامل 3- تعریف مناسب قلمروی پروژه ISMS در سازمان شامل شاخص های اندازه قلمرو (Scope) پروژه ISMS، شفاف نمودن قلمرو فیزیکی پروژه ISMS، شفاف نمودن قلمرو فرایندی پروژه ISMS، شفاف نمودن قلمرو تکنولوژیکی پروژه ISMS، بلوغ واحدهای موجود در قلمرو ISMS
تعریف مناسب قلمرو به ویژه در حوزه فناوری اطلاعات از اهمیت بالایی برخوردار است. با توجه به اینکه بسیاری از سرویس های فناوری اطلاعات به ویژه در شرکت های تابعه شرکت ملی نفت ایران، از مدیریت فناوری اطلاعات شرکت ملی نفت ایران گرفته می شود، تعریف شفاف و مناسب قلمرو و تعیین موارد خارج از محدوده در حوزه های قید شده در بالا بسیار حیاتی است.
عامل 4- پیاده سازی صحیح و کامل سیاست های امنیتی شامل شاخص های تایید به موقع سیاست های امنیتی توسط مدیریت، نشر و اطلاع رسانی به موقع و مناسب سیاست های امنیتی بین پرسنل مشمول، اجرایی شدن سیاست های امنیتی تدوین شده در پایان پروژه ISMS، نظارت کار گروه ممیزی امنیت اطلاعات بر اجرای سیاست ها، تغییر به روز سیاست های امنیتی با تغییر تجهیزات پردازشی یا فرایندهای سازمان، آموزش سیاست های امنیتی به پرسنل مشمول و پرسنل جدیدالاستخدام
عامل 5- تعامل با رویه های مدیریت خدمات فناوری اطلاعات (ITSM) شامل شاخص های وجود و پیاده سازی مناسب فرایند مدیریت پیکره بندی در سازمان، وجود و پیاده سازی مناسب فرایند مدیریت تغییر در سازمان، وجود و پیاده سازی مناسب فرایند مدیریت بحران در سازمان، وجود و پیاده سازی مناسب فرایند مدیریت مشکل در سازمان، وجود و پیاده سازی مناسب فرایند مدیریت ترخیص در سازمان، وجود و پیاده سازی مناسب فرایند مدیریت درخواست سرویس در سازمان استقرار هم زمان سیستم مدیریت امنیت اطلاعات و سیستم مدیریت خدمات فناوری اطلاعات، سبب خواهد شد مجموعه فرآیندهای مشترک نظیر مدیریت حوادث امنیت اطلاعات، مدیریت تغییرات، مدیریت مشکلات و … با استفاده از بستر فناوری اطلاعات به شیوه ای اثربخش صورت پذیرد.
عامل 6- بلوغ IT در سازمان شامل شاخص های وجود یک مرکز داده مناسب و استاندارد در سازمان، ساختار یافته بودن شبکه سازمان، ساختار Active Directory سازمان، سیستم و سیاست پشتیبان گیری مناسب سازمان، و وجود سایت پشتیبان مناسب بدیهی است استقرار فنی مناسب بسیاری از کنترل ها، به بلوغ فناوری اطلاعات سازمان برمی گردد. متأسفانه در اکثر شرکت های نفتی سایت پشتیبان مناسب وجود نداشته و همین امر سبب خواهد شد که در صورت بروز بحران، تداوم کسب و کار با مخاطره مواجه خواهد شد. ساختار مناسب Vlanning شبکه و اعمال سیاست های کنترل دسترسی مناسب، سبب خواهد الزامات حوزه A10 و A11 استاندارد برآورده شود.
عامل 7- رعایت ملاحظات مربوط به نیروی انسانی شامل شاخص های فرهنگ سازی امنیت در سازمان، قرار دادن نکات امنیتی در تعاریف شغلی پرسنل، برگزاری دوره های آموزشی امنیتی برای پرسنل، رعایت ملاحظات امنیتی در خروج پرسنل از سازمان در اکثر شرکت های نفتی، مشابه سایر سازمان ها ملاحظات امنیتی در خروج و تغییر شغل پرسنل رعایت نمی‌گردد. نکته جالب در این حوزه اینجاست که هنگام خروج افراد تمامی اموال فرد تحویل می گردد، ولی در خصوص اخذ دسترسی ها اقدامی صورت نمی پذیرد. از دیگر مشکلات در حوزه امنیت نیروی انسانی در صنعت نفت این موضوع است که سرانه آموزش امنیت بسیار پایین است. متأسفانه در این حوزه به ویژه برای پرسنل عمومی، هیچ سمینار فرهنگ سازی در برخی از شرکت ها برگزار نشده است.
عامل 8- ممیزی دوره ای شامل شاخص های: مشخص بودن بازه های زمانی ممیزی داخلی، ممیزی دوره ای در بازه های زمانی مشخص، تغییر ممیزان در دوره های مختلف، برگزاری ممیزی خارجی در بازه های زمانی مشخص کنترل استقرار اثربخش سیستم مدیریت امنیت اطلاعات جز با ممیزی دوره ای امنیتی و ممیزی داخلی امکان پذیر نیست.
عامل 9- پیاده سازی به موقع و مناسب طرح ها و مناقصات در پایان فاز طراحی شامل شاخص‌های: اعطای بودجه لازم برای برگزاری مناقصات و اجرای طرح ها، عدم تغییر مدیریت در بازه زمانی قبل از شروع پروژه تا زمان اجرا و برگزاری مناقصات، اجرای طرح ها طبق فازبندی و ترتیب مشخص شده در خروجی پروژه ISMS، عدم تأخیر در اجرای طرح ها و مناقصات خروجی پروژه ISMS، و استفاده از شرکت یا تیم طراح ISMS، به عنوان ناظر یا پیاده‌سازی طرح ها
عامل 10- ارتباط با سازمان ها و نهادهای امنیتی شامل شاخص های ارتباط با نهادهای ذیصلاح امنیتی، ارتباط با مجامع امنیتی متخصص و مؤسسات حرفه ای، رعایت ملاحظات امنیتی سازمان های بالاتر در تدوین سیاست های امنیتی، دریافت جدیدترین ابزارها و نرم افزارهای امنیتی از سایت های شرکت های مرتبط ارتباط با مراکز امنیتی، به ویژه مرکز ماهر سازمان فناوری اطلاعات به منظور کسب آگاهی در خصوص آخرین آسیب‌پذیری ها و بحران های امنیتی امر حیاتی است.
عامل 11- امنیت شخص ثالث شامل شاخص های: رعایت نکات امنیتی در تفاهم نامه عدم افشا با پیمانکاران، مشاوران و سایر اشخاص ثالث؛ کنترل دسترسی اشخاص ثالث، بررسی عملکرد اشخاص ثالث از ابعاد امنیتی، درگیر نمودن پیمانکاران سازمان در پروژه ISMS با توجه به سیاست برون سپاری در برخی حوزه ها در صنعت نفت می بایست ملاحظات امنیتی در تبادل اطلاعات با پیمانکاران در نظر گرفته شود. تا حد امکان از اعطای دسترسی راه دور جلوگیری شود و در توافق نامه سطوح خدمات کنترل های امنیتی رعایت گردد.
عامل 12- مدیریت صحیح ریسک باقی‌مانده شامل شاخص های: کیفیت چهارچوب ارزیابی ریسک، ارزیابی ریسک دقیق، وجود معیاری مشخص برای تعیین سطح ریسک مورد پذیرش، پذیرش ریسک های باقی‌مانده از سوی مدیریت، انتقال مناسب ریسک هایی که باید انتقال داده شوند به سازمان های پیمانکار یا بیمه
عامل 13- طراحی سیستم مواجهه با بحران مناسب شامل شاخص های: آموزش رویه های مواجهه با بحران به مدیران و کارکنان، آموزش رویه های مواجهه با بحران به پیمانکاران، مشاوران و اشخاص ثالث، پیاده سازی یک سیستم Service Desk مناسب، کیفیت پایگاه اطلاعاتی تجربیات حاصل از بحران ها (Lesson Learned) اا
بسیاری از بحران های امنیتی چندین و چند بار در یک سازمان رخ می دهد. ولی درس های لازم از آن گرفته نمی شود. وجود یک سیستم Service Desk مناسب و پیگیری مناسب وقایع امنیتی، کمک خواهد نمود که هم میزان در دسترس نبودن سامانه ها کاهش یافته و هم پایگاه داده مناسبی به منظور بررسی وقایع و یادگیری از آن ها شکل می گیرد. (خوانی، 1388)

نتیجه گیری
با توجه به موارد مطرح شده، استقرار سیستم مدیریت امنیت اطلاعات بعنوان سامانه ای جامع که همه ابعاد امنیت از جمله خط مشی امنیتی، سازمان دهی امنیت اطلاعات، مدیریت دارایی ها، امنیت منابع انسانی، امنیت فیزیکی و محیطی، مدیریت ارتباطات و عملیات، کنترل دسترسی، استفاده، توسعه و نگهداری سامانه های اطلاعاتی، پشتیبانی حوادث، مدیریت تداوم کسب و کار، سازگاری با الزامات قانونی، حقوقی و قراردادی را در برگیرد، در صنعت نفت امری ضروری است. لازم است فرهنگ سازی مناسب با آموزش صورت پذیرفته و عوامل موثر در اثربخشی که در متن به آن ها اشاره شد تا حد امکان و با توجه به محدوده رعایت گردد تا سامانه ای اثربخش در سازمان های مجموعه صنعت نفت جاری گردد.
منابع:
1. خوانی، امیر، ارائه مدلی جهت شناسایی عوامل موثر بر اثربخشی سیستم مدیریت امنیت اطلاعات در سازمان‌های دولتی ایران، 1388
2. شهیدی، سید عماد، ارائه مدلی جهت سنجش میزان آمادگی سازمان برای پیاده سازی سیستم مدیریت امنیت اطلاعات، دانشگاه علامه طباطبایی، پایان نامه کارشناسی ارشد رشته مدیریت فن آوری اطلاعات، 1386
3. ترک لادانی، مورزایی، میرعلایی، شیخ زین‌الدین، تأملی بر چالش های استقرار ISMS در سازمان های دولتی ایران، ماهنامه توسعه کاربری فناوری اطلاعات و ارتباطات، شماره هفتم و هشتم، 1385

4. [1] Freeman, J.W., Neely, R.B., & Heckard, M.A. “A Validated Security Policy Modeling Approach.” Proceedings of the 10th Annual Computer Security Applications Conference, Orlando, FL, 189-200., (1994).
5. [2] Bruce, Glen, & Dempsey, Rob. “Security in Distributed Computing: Did You Lock the Door?” Upper Saddle, River, NJ: Prentice Hall PTR, Prentice-Hall, Inc., (1997)
6. ISO 27001:2005