اولویت‌بندی پیاده سازی دامنه های کنترلی استاندارد ISO27001:2013 با استفاده از مدل وابستگی

یکی از اهداف سازمانها در عصر حاضر پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات ISMS در راستای محافظت از امنیت داده‌ها و اطلاعات آنها است. آنچه در دنیای امروز به‌عنوان الگوی حوزه امنیت اطلاعات مدنظر قرار گرفته است، استاندارد بین‌المللی ISO27001:2013 (برای کسب اطلاعات بیشتر در خصوص تاریخچه و آخرین تغییرات استاندارد ISO 27001 به این مقاله رجوع شود) است. این استاندارد راهکار جامعی را در حوزه امنیت اطلاعات مطرح مینماید. با وجود اینکه هیچ‌یک از الزامات مندرج در ISO27001:2013 دارای تقدم و تأخر نسبت به یکدیگر نمی‌باشند و پیاده سازی و اجرای کلیه بندها و کنترل ها (مطابق با بیانیه کاربردپذیری SOA) الزامی میباشد، اولویت پیاده سازی میان کنترل های 114 گانه مندرج در پیوست الف استاندارد بویژه در چرخه های بهبود ISMS، به عنوان یکی از چالشهای مهم در استقرار سیستم مدیریت امنیت اطلاعات، همواره مورد بحث بوده است. در این مقاله قصد داریم به‌منظور تعیین راهبرد پیاده سازی، بهبود و ارتقای سیستم مذکور در سازمانها، به بررسی نوع ارتباط میان دامنه‌های کنترلی اصلی استاندارد و ارائه یک مدل وابستگی با عنوان ( ISO 27001 Security Domains Dependecy Model) میان آنها بپردازیم.

همان طور که اشاره شد، از دیدگاه استاندارد، هیچ‌یک از الزامات و بندهای موجود در آن، دارای اولویت نسبت به یکدیگر نمی‌باشند، ولی از منظر سازمانی و پیاده سازی الزامات در سازمان ها و شرکت های مختلف با توجه به تفاوت ذاتی میان این موجودیت ها از لحاظ اندازه، اهداف، الزامات بالادستی، منابع، جایگاه کسب و کاری و غیره، وجود یک رویکرد اولویت بندی شده ضروری می باشد. لذا مدل ارائه شده ما را در جهت درک بهتر ارتباطات و وابستگی الزامات به یکدیگر و متعاقب آن، برنامه‌ریزی دقیق‌تر برای تخصیص منابع به این سیستم کمک می‌نماید.

حوزه (دامنه) های 14 گانه استاندارد به ترتیب نگارش شامل: خطمشی امنیتی، سازمان‌دهی امنیت اطلاعات، امنیت منابع انسانی، مدیریت دارایی‌ها، کنترل دسترسی، رمزنگاری، امنیت فیزیکی و محیطی، امنیت عملیات، امنیت ارتباطات، توسعه و نگهداری سامانه‌ها، امنیت ارتباطات با تأمین کنندگان، مدیریت رخدادهای امنیت اطلاعات، مدیریت تداوم کسب و کار و همچنین سازگاری با الزامات حقوقی و قانونی هستند.

در شکل زیر، مدل وابستگی و ارتباط میان دامنه‌های امنیتی استاندارد ISO 27001:2013 ارائه می‌گردد.

در توضیح مدل فوق، می توان آن را به دو بخش کلی تقسیم نمود:

• بخش اول – دامنه‌های مدیریتی (بخش بیرونی)
• بخش دوم – دامنه‌های فنی (بخش داخلی)

 در بخش اول مدل عمدتاً جنبه مدیریتی امنیت اطلاعات مورد تأکید قرارگرفته است. دامنه‌هایی نظیر خط‌مشی امنیت اطلاعات، سازمان‌دهی، منابع انسانی، ارتباط با تأمین‌کنندگان و همچنین انطباق با قوانین و استانداردهای کاربردپذیر، در این قسمت قرارگرفته‌اند. در بخش دوم نیز سایر حوزه‌های کنترلی شامل مدیریت دارایی‌های اطلاعاتی، کنترل دسترسی، عملیات، نرم‌افزار، شبکه، رمزنگاری، مدیریت حوادث، تداوم کسب‌وکار و همچنین امنیت فیزیکی و محیطی قرار می‌گیرند.

همان‌طور که ملاحظه می‌شود، در این مدل، وابستگی منطقی هر یک از حوزه‌ها به یکدیگر نشان داده‌شده است. با تحلیل این وابستگی‌ها، خواهیم دید که دو حوزه مدیریت دارایی‌های اطلاعاتی و کنترل دسترسی بیشترین نقاط اتکای مدل را به خود اختصاص داده‌اند. بدین ترتیب می‌توان نتیجه گرفت، تمرکز به ارتقای کنترل‌های پیاده‌سازی شده در این دو حوزه و همچنین بهبود مستمر در آن‌ها به عنوان اولویت بالاتر می‌تواند روند تکامل سیستم را بهتر شکل دهد. البته با بررسی دقیقتر این وابستگی ها می توان نتایج متعددی را مورد توجه قرار داد که هر کدام از آنها می توانند به عنوان گزاره های منطقی در تعیین اولویت پیاده سازی به ما کمک نمایند.

مدل ارائه شده به عنوان یک رویکرد کلان و با توجه به ماهیت و ذات دامنه های امنیتی، اقدام به ترسیم وابستگی میان آنها و بیان نوعی اولویت‌بندی از منظر پیاده سازی می نماید، که می بایست در کنار نتایج حاصل شده از فرآیند مدیریت و ارزیابی ریسک به صورت رویکرد اختصاصی سازمان به عنوان یک مدل کاربردی مدنظر قرار گیرد. به نظر می رسد این دو رویکرد می توانند به عنوان مکمل یکدیگر محسوب شوند و در صورتیکه هر یک از این دو رویکرد به نحوی مورد توجه قرار نگیرند عملا ممکن است با اتلاف منابع و یا حتی شکست در فرآیند استقرار و پیاده‌سازی کنترل های امنیتی روبرو شویم.