چالش‌های مقررات انضباطی حوزه امنیت اطلاعات در سازمان‌های دولتی و خصوصی

  • نویسنده: احمد فرجی
  • تاریخ انتشار: دوشنبه ، ۲۰ مرداد ماه ۹۹
  • تعداد بازدید: 422
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات
 مقدمه

امروزه موضوع فناوری اطلاعات و ارتباطات و البته امنیت آن، به یکی از مباحث اصلی کشور تبدیل گشته و با سایه افکندن این فناوری بر تمامی شئون زندگی مردم، مسائل و چالش‌های مختلف حقوقی را پدید آورده است. پ در این راستا با توجه به جدید بودن مباحث و تنوع قوانین و مقررات مرتبط، در برنامه­ های توسعه این نیاز به‌شدت احساس می­گردد که مجموعه­ ای مشتمل بر قوانین، مصوبات و آیین­ نامه­ های اجرایی مرتبط با مقررات انضباطی در حوزه امنیت اطلاعات تدوین گردد.

در حال حاضر در ساختار دولتی و ساختار خصوصی کشور، دستورالعمل­ ها و آئین­ نامه­ های برخورد انضباطی با کارکنان وجود دارد؛ اما علی­ رغم گذشت چندین سال از تصویب قانون جرائم رایانه­ ای، مکانیزم برخورد با تخلفات امنیت اطلاعات چندان شفاف نیست. در این مقاله تلاش شده است به این موضوع به‌عنوان یکی از دغدغه­ های حوزه امنیت اطلاعات توجه شود و به چالش­ های این مسئله پرداخته شود.

گسترش استقرار سیستم مدیریت امنیت اطلاعات در سازمان­ های مختلف در کشور این موضوع را به یک دغدغه جدی برای سازمان­ها تبدیل نموده است. زیرا مقررات انضباطی به‌عنوان یک الزام در حوزه امنیت منابع انسانی در استاندارد است. ابتدا الزامات استاندارد در این حوزه تشریح شده و در ادامه به چالش ­های حوزه دولتی و خصوصی پرداخته شده است. در پایان تلاش شده تا نتیجه ­گیری مناسب در این حوزه صورت پذیرد.

 

معرفی الزامات استاندارد ISO 27001 در حوزه رسیدگی به تخلفات امنیتی

یکی از مهم‌ترین وظایف مستمر رهبران و مدیر منابع انسانی هر کسب‌وکاری یافتن استعدادهای انسانی مناسب با سازمان و استخدام آن‌ها است. درواقع یکی از بزرگ‌ترین چالش‌های هر کسب‌وکاری پیدا کردن انسان‌های مستعد و حفظ آن‌ها در کار است تا هسته تیمی کسب‌وکار به بهترین شکل ممکن بسته شود. این امر ممکن است یک پروسه زمان‌بر باشد؛ اما اگر این زمان و انرژی در ابتدای کار صرف شود، بهتر از آن است که در میان مسیر متوجه شویم که انتخاب یک فرد برای یک موقعیت شغلی در کسب‌وکار مناسب نبوده است و درنتیجه این انتخاب اشتباه تبعات مالی و اعتباری زیادی به کسب‌وکار تعلق بگیرد.

ذکر این نکته ضروری است که منظور از منابع انسانی (Human Resource) افرادی هستند که کار می‌کنند و باعث تحرک و فعالیت سازمان می‌شوند.

اما مسئله‌ای که موردبحث ما بوده موضوع رعایت موارد امنیتی در خصوص استخدام منابع انسانی است که به نظر خلع این موضوع به‌شدت در رویه­ های استخدامی شرکت­ها و حتی ارگانهای بزرگ دولتی و خصوصی حس می­شود.

در حوزه کنترلی A7 استاندارد ISO 27001 که به‌عنوان استاندارد مرجع استقرار سیستم مدیریت امنیت اطلاعات است به موضوع امنیت منابع انسانی پرداخته‌شده است.

الزامات امنیتی در خصوص امنیت منابع انسانی در سه بخش کلی در استاندارد ارائه شده است:

  • پیش از استخدام
  • حین استخدام
  • و خاتمه یا تغییر در استخدام

یک از الزامات استاندارد در پروسه استخدام که جای خالی آن نیز در سازمان‌ها بسیار مشاهده می‌شود عدم وجود روند یا فرآیند انضباطی است؛ که محوریت اصلی این مقاله در این خصوص است.

در کنترل A.7.2.3 استاندارد اشاره شده است که "بايد براي كارمنداني كه مرتکب نقض تعهدات امنيتي مي‌شوند، فرآيندهاي انضباطي رسمي تدوين و اعلام گردد."

منظور از فرآیند انضباطی، وجود یک فرآیند رسمی و ابلاغی برای اقدام قانونی علیه کارمندانی است که مرتکب نقض امنیت اطلاعات شده‌اند و یا مرتکب تخلف در حوزه امنیت اطلاعات شده­ اند.

در بسیاری سازمان‌ها در خصوص تخلفات اداری روال و فرآیند مشخصی وجود دارد؛ اما در این فرآیند کمتر به موضوعات مرتبط با تخلفات امنیت اطلاعات پرداخته‌شده است. در ادامه به چالش­ های این موضوع در دو حوزه دولتی و خصوصی پرداخته خواهد شد.

ساختار دولتی و هیئت رسیدگی به تخلفات اداری

پاسخ­ دهی به تخلفات اداری مطابق با آیین نامه اجرایی قانون رسيدگي به تخلفات اداري مصوب سال 1372 مجلس شورای اسلامی است. این قانون مشتمل بر سی و دو ماده و هجده تبصره طبق اصل 85 قانون اساسی در جلسه 9 تیرماه 1371 کمیسیون امور اداری و استخدامی تصویب و در جلسه روز یک‌شنبه سوم خردادماه یک هزار و سیصد و هفتادویک مجلس شورای اسلامی با یک سال مدت اجرای آزمایشی آن موافقت گردیده و در تاریخ 28/04/1371به تأیید شورای نگهبان رسیده است.

در این بخش مختصراً به بررسی دستورالعمل رسیدگی به تخلفات اداری در ادارات دولتی پرداخته و نواقص و ایرادات آن در خصوص عدم پرداختن به تخلفات و موارد انضباطی مرتبط با امنیت اطلاعات موردبررسی قرار می‌گیرد.

دستورالعمل رسيدگي به تخلفات اداري مشتمل بر مجموعه ضوابط و مقرراتي است كه در مقام رسيدگي به تخلفات اداري كارمند و چگونگي رسيدگي و صدو‌ر رأي به کاررفته مي‌شود.

در ماده 2 این دستورالعمل و در تعریف عبارات منظور از تخلف اداري را به این شکل مطرح نموده است که تخلف اداري عبارت است از ارتكاب اعمال و رفتار نادرست توسط مستخدم و عدم رعايت نظم و انضباط اداري كه منحصر به موارد مذكور در قانون رسيدگي به تخلفات اداري است و به دودسته قصور و تقصير تقسيم مي‌شود:

  • قصور عبارت است از كوتاهي غیرعمدی در انجام و‌ظايف اداري محوله.
  • تقصير عبارت است از نقض عمدي قوانين و مقررات مربوط.

در این قانون می‌توان خلع وجود تخلفات امنیت اطلاعات را احساس نمود؛ چراکه در این دو بند فقط به تخلفات مربوط به وظایف اداری اشاره ‌شده است و هیچ اشاره‌ای به تخلفات مربوط به امنیت اطلاعات نشده است.‌ و‌ظايف اداري ازلحاظ اين دستورالعمل اموري است كه مستخدم ملزم به انجام يا رعايت آن‌ها به‌موجب قوانين و مقررات و دستورات و الزامات شغلي يا شرح و‌ظايف است.

که با توجه به مشاهدات در ادارات و سازمان‌های مختلف وجود موارد و وظایف امنیت اطلاعات در شرح وظایف کارکنان مشاهده نشده است. به طبع عدم وجود شرح وظایف امنیت اطلاعات در شرح شغل کارکنان، در آیین‌نامه‌های مربوط به تخلفات نیز در خصوص برخورد با این تخلفات قوانین خاصی وجود ندارد.

در قانون رسیدگی به تخلفات اداری موضوع امنیت اطلاعات و تخلفات امنیت اطلاعات به‌طور ویژه بررسی نشده است و تنها در یک‌بند(بند11) به صورت شفاف در مورد تخلفات امنیت صحبت شده است.

در بند 11 از ماده 8 قانون مذکور، افشای اسرار و اسناد محرمانه اداری، به‌عنوان یکی از تخلفات در نظر گرفته‌شده است که مطابق با ساختار این قانون امکان رسیدگی به آن وجود دارد.

اما در خصوص سایر تخلفات امنیت اطلاعات، بند مستقیمی وجود ندارد؛ اما می‌توان با بندهای مشابه تفسیر نمود و در خصوص این جرائم اقدامات لازم را اجرا نمود:

 

 

به‌عنوان نمونه به جرائم زیر توجه نمایید:

  • نقض آشکار سیاست‌های کلی امنیت اطلاعات
  • عدم التزام به الزامات قانونی بالادستی در حوزه امنیت اطلاعات
  • و یا عدم رعایت دستورالعمل ­های تدوین‌شده در سازمان

ازآنجایی‌که این تخلفات به‌صورت خیلی کلی دیده‌شده است؛ می‌توان این موارد را متناسب با بند 2 از ماده 8 تخلفات اداری دانست که در این بند به نقض قوانین و مقررات مربوط اشاره‌شده است.

 

یکسری از تخلفات جنس انجام امور قانونی محوله به کارکنان در باب امنیت اطلاعات دارند که به‌عنوان‌مثال به چند مورد آن در زیر اشاره‌شده است.

  • عدم اجرای عامدانه مصوبات جلسات و یا کارگروه ­های امنیت اطلاعات
  • و همچنین عدم اجرای عامدانه وظایف و مسئولیت‌های امنیتی
  • عدم سرویس‌دهی به مشتریان سازمان و واحدهای سازمانی متناسب با SLA سرویس

این تخلفات را می‌توان معادل بند 3 از ماده 8 تخلفات اداری دانست: "ایجاد نارضایتی در باب رجوع یا انجام ندادن یا تأخیر در انجام امور قانونی افراد بدون دلیل"

 

در رابطه با بند 8 از ماده 8 که در آن به ترک خدمت در خلال ساعات موظف اداری اشاره‌شده می‌توان موارد زیر را تفسیر نمود.

  • عدم رعایت SLA سرویس‌های فناوری اطلاعات
  • عدم پاسخگویی به نیازمندی­های فناوری اطلاعات
  • عدم رسیدگی به بروز رخدادهای امنیتی اتفاق افتاده در زمان توافق شده توسط راهبران سرویس

 

در بند 9 از ماده 8 به موضوع: "تکرار در تأخیر ورود به محل خدمت یا تکرار خروج از آن بدون کسب مجوز" صحبت شده است که موارد زیر نیز مصداق تخلفات امنیت اطلاعات مرتبط با این بند است.

  • عدم رسیدگی به بروز رخدادهای امنیتی در زمان غیبت
  • عدم پاسخگویی به نیازمندی­ های فناوری اطلاعات در زمان عدم حضور

 

در خصوص جرائم و تخلفات مرتبط با شبکه که به‌نوعی می‌توان از آن به‌عنوان یکی از دارایی­ های با ارزش سازمان نام برد باید موارد زیر را مد نظر قرار داد.

  • ویروسی شدن سیستم­ کاربر ناشی از عدم رعایت نکات امنیتی در خصوص آنتی‌ویروس
  • ورود آسیب عامدانه به تجهیزات در اختیار
  • کند نمودن شبکه به علت افزایش حجم دانلود
  • بارگذاری فایل‌های حجیم در فایل سرور که منجر به اختلال در عملکرد شبکه شود
  • استفاده از فیلترشکن در شبکه سازمان
  • ورود آسیب فیزیکی به اتاق سرور و مرکز داده سازمان ناشی از عدم بازدید مستمر اتاق سرور
  • عدم محافظت از لپ‌تاپ سازمانی و سرقت آن
  • و...

جرائم فوق متناسب با بند 10 از ماده 8 قانون مذکور "تسامح در حفظ اموال و اسناد و وجوه دولتی، ایراد خسارت به اموال دولتی" قابل تفسیر است.

 

در خصوص حفاظت از اطلاعات محرمانه تخلفات رایج به شرح زیر است.

  • افشای مستندات محرمانه
  • عدم محافظت از سوابق محرمانه
  • عدم محافظت از اسناد محرمانه و قرار دادن آن‌ها بر روی میز و در دسترس افراد غیرمجاز
  • ارسال اطلاعات محرمانه از بستر اینترنت یا اتوماسیون
  • افشای اطلاعاتی که مالکیت معنوی آن‌ها مربوط به سازمان است
  • عدم رمزنگاری اطلاعات حساس حین تبادل اطلاعات
  • ارسال اطلاعات سازمانی از طریق پست الکترونیک شخصی
  • در اختیار قرار دادن کلمه عبور یکی از حساب‌های کاربری سازمانی به دیگران
  • تخصیص کامپیوتر یا لپ‌تاپ به فرد جدید بدون امحاء الکترونیکی
  • ارسال رسانه‌های حاوی اطلاعات به خارج از سازمان جهت تعمیر یا سایر موارد بدون امحاء
  • عدم امضای تعمدی تعهدنامه عدم افشای اطلاعات
  • عدم اخذ تعهدنامه عدم افشای اطلاعات از پیمانکاران و نماینده پیمانکاران
  • عدم تحویل اطلاعات در خاتمه استخدام

می‌توان معادل این قبیل تخلفات را بند 11 از ماده 8 قانون تخلفات که صراحتاً با عنوان "افشای اسرار و اسناد محرمانه اداری" اشاره‌شده است، دانست.

 

یکسری تخلفات که از جنس کنترل دسترسی کاربران است که به‌عنوان‌مثال در زیر به آن‌ها اشاره‌شده است.

  • اعطای دسترسی خارج از کانال کنترل دسترسی
  • اعطای دسترسی از راه دور بدون مجوزهای لازم
  • اعطای دسترسی به پیمانکاران و سایر اشخاص ثالث خارج از فرآیند کنترل دسترسی
  • اجرای فعالیت تست نفوذپذیری بدون اخذ تأییدیه مدیریت

شاید بتوان این دسته از تخلفات امنیت اطلاعات را با بند 13 از ماده 8 تخلفات در یک دسته‌بندی قرارداد.
"سرپیچی از اجراي دستورهاي مقام‌های بالاتر در حدود وظایف اداري"

 

یکسری از تخلفات منشأ کوتاهی و کم‌کاری در خصوص وظایف محوله است.

  • عدم گزارش رخدادهای امنیتی
  • عدم نظارت بر سطح ارائه سرویس پیمانکاران
  • عدم اقدام مطابق با طرح تداوم کسب‌وکار سازمان
  • عدم اجرای اقدامات اصلاحی مطابق با برنامه زمان‌بندی
  • عدم اندازه‌گیری شاخص‌ها توسط مسئولین ارزیابی مطابق با بازه ارزیابی

این قبیل تخلفات را می‌توان با بند 14 ماده 8 با عنوان: "کم‌کاری یا سهل‌انگاری در انجام وظایف محول شده" در یک راستا دید.

 

موارد دیگر در خصوص تخلفات اداری که می‌توان بند متمایز آن را در قانون تخلفات اداری یافت موارد زیر است.

  • عدم رعایت SLA سرویس‌های فناوری اطلاعات
  • عدم پاسخگویی مناسب به درخواست­های فناوری اطلاعات

که این موارد مطابق و متمایز با بند 19 از ماده 8 که تحت عنوان: "تعطیل خدمت در اوقات مقرر اداری" است.

در قسمت سوم این مقاله سعی بر این بود که مصداق‌ها و بندهای متمایز تخلفات حوزه امنیت اطلاعات با قوانین تخلفات اداری مشخص شود؛ و همچنین شناخت و دید کلی نسبت به تخلفات حوزه امنیت ایجاد شود. با این‌که تفسیر این موارد، امکان­پذیر است؛ اما بهتر و اصولی‌تر این است که تخلفات حوزه امنیت اطلاعات به‌طور شفاف در قانون تعریف شود.

مهم‌ترین دغدغه در این حوزه این است که تغییر این قانون نیاز به مصوبه مجلس شورای اسلامی و شورای نگهبان دارد که این موضوع معمولاً جزو اولویت­ های نهادهای مذکور نبوده و در سال­های اخیر لایحه‌ای از سوی دولت در این خصوص ارائه نشده است.

در اینجا این سؤال مطرح می‌شود که با توجه به چالش‌های حوزه امنیت اطلاعات در کشور و تعدد رخدادهای امنیتی که بعضاً منشأ آن پرسنل سازمان­ها هستند، باید به این موضوع توجه ویژه شود.

 

ساختار رسیدگی به تخلفات امنیتی در شرکت­های خصوصی

ساختار رسیدگی به تخلفات در شرکت­های خصوصی (کارگاه­های زیرمجموعه قانون کار جمهوری اسلامی ایران) مطابق با آیین‌نامه انضباط کار است. در این خصوص بندهایی در قانون کار پیش بینی شده است. به‌عنوان نمونه:

ماده 27- هرگاه کارگر در انجام وظایف محوله قصور ورزد و یا آیین‌نامه‌های انضباطی کارگاه را پس از تذکرات کتبی، نقض نماید کارفرما حق دارد در صورت اعلام نظر مثبت شورای اسلامی کار علاوه بر مطالبات و حقوق معوقه به نسبت هرسال سابقه کار معادل یک ماه آخرین حقوق کارگر را به‌عنوان «حق سنوات» به وی پرداخته و قرارداد کار را فسخ نماید.

در واحدهایی که فاقد شورای اسلامی کار هستند نظر مثبت انجمن صنفی لازم است. در هر مورد از موارد یادشده اگر مسئله با توافق حل نشد به هیئت تشخیص ارجاع و در صورت عدم حل اختلاف از طریق هیئت حل اختلاف رسیدگی و اقدام خواهد شد. در مدت رسیدگی مراجع حل اختلاف، قرارداد کار به حالت تعلیق درمی‌آید.

تبصره 1- کارگاه‌هایی که مشمول قانون شورای اسلامی کار نبوده و یا شورای اسلامی کار و یا انجمن صنفی در آن تشکیل نگردیده باشد یا فاقد نماینده کارگر باشند اعلام نظر مثبت هیئت تشخیص (موضوع ماده (158) این قانون) در فسخ قرارداد کار الزامی است.

تبصره 2- موارد قصور و دستورالعمل‌ها و آیین‌نامه‌های انضباطی کارگاه‌ها به‌موجب مقرراتی است که با پیشنهاد شورای عالی کار به تصویب وزیر کار و امور اجتماعی خواهد رسید.

مطابق با قانون کار جمهوری اسلامی ایران، تمامی کارگاه ­ها باید داری آیین‌نامه انضباط کار بوده و این آیین‌نامه به تصویب اداره کار منطقه فعالیت کارگاه برسد.

در این آئین‌نامه باید مصادیق تخلفات و جرائم شناسایی‌شده و به تصویب برسد. در این آئین‌نامه باید مصادیق جرائم تعیین‌شده و مجازات ناشی از آن با توجه به دو عامل زیر تعیین شود:

  • سهوی یا عمدی بودن جرائم
  • تعداد دفعات تکرار

آنچه معمولاً در آیین‌نامه‌های انضباط کار مغفول باقی‌مانده است، تخلفات حوزه امنیت اطلاعات است. معمولاً در این آیین‌نامه‌ها در خصوص جرائمی نظیر تأخیر در ورود و تعجیل در خروج مواردی اشاره‌شده است، اما به موضوعات امنیت اطلاعات اشاره نشده است.

همین موضوع سبب خواهد شد که بعضاً در مجازات، سازمان‌ها و شرکت­های خصوصی دچار مشکل باشند.

نمونه­ هایی از جرائم حوزه امنیت اطلاعات عبارت‌اند از:

  • نقض آشکار سیاست‌های کلی امنیت اطلاعات
  • افشای عامدانه مستندات محرمانه
  • ورود آسیب عامدانه به تجهیزات اتاق سرور و شبکه شرکت
  • اقدام به ویروسی نمودن عمدی شبکه سازمان
  • بارگذاری فایل‌های حجیم در فایل سرور که منجر به اختلال در عملکرد شبکه شود.
  • عدم رمزنگاری اطلاعات حساس حین تبادل اطلاعات
  • عدم گزارش رخدادهای امنیتی
  • ایجاد قطعی تعمدی در یکی از سرویس‌های سازمان
  • در اختیار قرار دادن کلمه عبور یکی از حساب‌های کاربری سازمانی به دیگران
  • استفاده از نام کاربری دیگران برای ورود به سامانه‌های اطلاعاتی
  • استفاده از ابزارهای هک و نفوذ در شبکه سازمان بدون مجوز تست نفوذپذیری
  • عدم اخذ تعهدنامه عدم افشای اطلاعات از کارکنان، پیمانکاران و نماینده پیمانکاران
  • عدم نظارت بر سطح ارائه سرویس پیمانکاران
  • ارائه اطلاعات غیرواقعی در ارزیابی شاخص‌ها
  • ویروسی شدن از طریق درگاه USB
  • عدم محافظت از لپ‌تاپ سازمانی و سرقت آن
  • و ...

موارد فوق تنها نمونه‌هایی چند از تخلفات حوزه امنیت اطلاعات است که حتماً باید در سازمان‌های مختلف به‌صورت جامع به آن پرداخته و تخلفات و همچنین مجازات و نحوه برخورد با این تخلفات تدوین و به اطلاع کارکنان برسد.

همین‌طور که در بالا اشاره شد چالش بزرگ دیگری که در این حوزه وجود دارد، عدم اطلاع کارکنان از مسئولیت‌های خود در حوزه امنیت اطلاعات است. سازمان‌ها موظف‌اند در بدو ورود کارکنان، مسئولیت‌های امنیتی ایشان را اعلام نموده و در این خصوص تعهدات لازم اخذ نماید.

همچنین تعهدنامه عدم افشای اطلاعات باید در بدو خدمت از تمامی کارکنان اخذ شود و مسئولیت­ها و وظایف کارکنان در حوزه امنیت اطلاعات را شفاف نماید.

آنچه به‌عنوان چالش اصلی در بخش خصوصی مطرح است این است که مدیران بخش خصوصی باید حتماً سازوکار قانونی مناسب با تخلفات حوزه امنیت اطلاعات را تعریف نموده و در خصوص آن آگاهی‌رسانی لازم را ارائه نمایند.

 

نتیجه‌گیری

همان­گونه که در بخش مقدمه این مقاله عنوان شد، وجود قوانین و مقررات انضباطی در حوزه امنیت اطلاعات یک دغدغه است که باید هم در بخش دولتی و هم بخش خصوصی به آن توجه شود. در بخش دوم این مقاله به معرفی الزامات استاندارد در حوزه امنیت منابع انسانی و رسیدگی به تخلفات امنیتی پرداخته شد. به نظر می‌رسد که موضوع امنیت منابع انسانی و همچنین تخلفات این حوزه در خصوص امنیت اطلاعات جزء مواردی است که در سازمان‌ها و شرکت‌ها به‌اندازه کافی به آن پرداخته نشده است و نیازمند بررسی و رسیدگی به این موضوع وجود دارد.

با توجه به تجربه­ های حاصله در پروژه‌های مختلف در شرکت­های خصوصی یا نیمه‌خصوصی و همین‌طور سازمان‌های دولتی، خلع توجه به تخلفات حوزه امنیت به‌شدت حس می­شود که در این مقاله سعی بر این بود که اهمیت این موضوع بیشتر از پیش مورد تأکید قرار گیرد.

در ادامه و در بخش سوم به بررسی ساختار دولتی و هیئت رسیدگی به تخلفات اداری و همچنین ارتباط تخلفات اداری و قوانین وضع‌شده در این حوزه با تخلفات حوزه امنیت اطلاعات پرداخته شد و لزوم طی مراحل قانونی جهت اصلاح قانون رسیدگی به تخلفات اداری موردبررسی قرار گرفت.

و در انتها به بررسی ساختار رسیدگی به تخلفات امنیتی در شرکت ­های خصوصی و معرفی چند مورد از تخلفات حوزه امنیت اطلاعات پرداخته شد. در بخش خصوصی نیز ضرورت پیش‌بینی جرائم در آیین‌نامه‌های انضباط کار و ضرورت اخذ تعهدنامه ­های امنیت اطلاعات موردبررسی قرار گرفته است.