نقش استانداردISO27001 در اینترنت اشیاء (قسمت دوم)

  • نویسنده: سعید ترکمانی
  • تاریخ انتشار: شنبه ، ۱۵ شهریور ماه ۹۹
  • تعداد بازدید: 255
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

توسعه اینترنت اشیاء و ضرورت رعایت الزامات امنیت اطلاعات، نیاز به یک الگوی امنیتی را هر چه بیشتر آشکار می سازد. بنظر می رسد مهم ترین الگو در این حوزه، بهره گیری از استانداردهای مرجع و بین المللی نظیر مدل سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO 27001  است. در مقاله قبلی (بخش اول) با اینترنت اشیاء یا IOT آشنا شدیم و مدل لایه ای آن معرفی گردید و از طرفی الزامات و کنترل های امنیتی استاندارد ISO27001  را در IOT با مثال بررسی کردیم در این قسمت در ادامه بررسی الزامات استاندارد در این حوزه، سایر حوزه های کنترلی می گردد.

 

7-3 حوزه A11 امنیت فیزیکی و محیطی

در این بخش حوزه A11 بررسی خواهد شد که هدف آن امنیت فیزیکی و محیطی است که بیشتر در لایه حسی بررسی می شود. در لایه حسی یا  perception layer به دلیل اینکه سنسورها در این لایه قرار دارند، هنگامی که داده ها جمع آوری می­شوند، اساسا از طریق بستر بی سیم انتقال داده می شوند و باید محل قراردادن سنسورها مورد توجه قرار گیرد.

بیمارستان باید از محل استقرار سنسورها اطمینان کامل داشته باشد تا بتواند ریسک­های ناشی از تهدیدها و خطرات محیطی و فرصت­های دسترسی غیرمجاز را کاهش دهد. اگر این سیاست پیاده­سازی نشود، مهاجم به سادگی می تواند به سنسورها دسترسی داشته باشد. در واقع بیمارستان باید بتواند تجهیزاتی را برای محافظت از سنسورها در نظر بگیرند.

بیمارستان باید تاسیسات پشتیبانی را برای سنسورها در نظر بگیرد. برای مثال باید اطمینان حاصل کند که انرژی سنسورها با مشکل مواجه نشود و در روند جمع آوری اطلاعات مشکلی به وجود نیاید. باید اطمینان داشته باشند که تجهیزات پشتیبانی سنسورها ظرفیت کافی را داشته باشد و به صورت منظم تست شوند و در صورت بروز خطا آلارم دریافت کنند و نکته ای که در اینجا باید مطرح کرد این است که باید از وجود سنسورهای پشتیبان اطمینان حاصل نمود که در صورت خرابی سایر سنسورها بتوانند جایگزین شوند.

امنیت کابل­کشی در محیط IOT باید برای سنسورهای با سیم در نظر گرفته شود؛ چرا که در بعضی از محیط ها امکان استفاده از سنسورهای بی سیم وجود ندارد؛ در واقع باید از مسیر انتقال کابل­های شبکه و برق اطمینان حاصل کنند که به صورت استاندارد طراحی شده است و محافظت می­شود. باید دسترسی به کابل­ها و اتصلات مربوط به آن­ها را محدود کنند و لیبل­زنی استانداردی برای کابل­ها در نظر گرفته شود.

بیمارستان باید نگهداری تجهیزات IOT را درنظر بگیرد تا از تداوم یکپارچگی و در دسترس بودن آنها اطمینان حاصل کند و برنامه ریزی منظم برای نگهداری و تعمیرات آنها تدوین کند.

سازمان باید سیاستی را تدوین کند که تعمیرات تجهیزات IOT و یا جا به جایی آن­ها توسط افراد مجاز صورت بگیرد و باید سوابق تعمیرات که به صورت دوره ای انجام می­شود، ثبت و نگهداری شود. نکته ای که باید به آن اشاره کنیم این است که باید پوشش بیمه ای مناسب برای تجهیزات IOT در نظر گرفته شود و بعد از تعمیرات تست کارکرد صحیح از آن­ها گرفته شود.

در مورد امحاء و استفاده مجدد از تجهیزات، بیمارستان باید اطمینان حاصل کند که اطلاعات حساس از روی آن‌ها به صورت امن حذف شده است به عبارت دیگر باید سیاست مشخصی را برای امحاء فیزیکی تجهیزات هوشمند که دیگر امکان استفاده از آنها وجود ندارد، داشته باشند.

 درباره امنیت تجهیزات بی مراقبت، بیمارستان باید اطمینان داشته باشد که سنسورهایی که نصب کرده است از امنیت مناسبی برخوردار است.

8-3 حوزه A12 امنیت عملیات

در این بخش حوزه A12 بررسی خواهد شد که هدف آن امنیت اطلاعات است که بیمارستان باید از عملیات صحیح و امن تجهیزات پردازش اطلاعات اطمینان پیدا کند .

بیمارستان باید از سنسورها  و تجهیزات IOT در برابر حملات بد افزاری محافظت کند. برای مثال می توان به حملات باج افزاری بر روی تجهیزات IOT اشاره نمود که باعث می شود در فعالیت­های بیمارستان اختلال ایجاد شود. نمونه ای از این حملات Thermostat Hacking  است که دستگاه های ترموستات را هدف قرار می دهد و یا حمله باج افزار WannaCry  که سیستم­های بهداشت بیشتر کشورها را تحت تاثیر خود قرار داده بود و هدف آنها این بود که نشان دهند تجهیزات IOT هم می توانند هدف حملات باج افزاری قرار بگیرند. اما سوالی که در اینجا مطرح است این است که آیا سازمان سرویس­های ضد بد افزار را برای این شرایط در نظر گرفته است؟ آیا تمام تجهیزات و سنسورها دارای سامانه­های ضد بدافزار هستند؟و تنظیمات آن­ها به صورت هوشمند انجام شده است؟

بیمارستان باید سرویس های ضد بدافزارهای خود را که برای تجهیزات IOT و سنسورها در نظر گرفته شده است را به روز رسانی کند و مدیریت و راهبری آن را به شخصی واگذار کند که تخصص کافی در این زمینه داشته باشد این شخص باید تست­های ضد بدافزار بر روی سنسورها انجام دهد تا اطمینان حاصل کند که در برابر حملات بدافزارهای صنعتی آسیب­پذیر نباشند و بدافزارهای جدید صنعتی را شناسایی کند.

بیمارستان باید اطمینان حاصل کند که در خصوص فرآیند تهیه نسخه پشتیبان و تست بازیابی اطلاعات تجهیزات IOT سیاست مشخصی دارد و باید اطلاعات نسخه پشتیبان در جای امن نگه داری شود. راهبر باید تست بازیابی اطلاعات را انجام دهد تا اطمینان حاصل کند که اطلاعات قابل بازیابی هستند.

زمانی که دسترسی فیزیکی به سنسورها برای تغیر دادن تنظیمات آن و یا .. صورت گرفت، باید در سیستم ثبت شود. نکته ای که در این قسمت مطرح است این است که راهبر باید بداند که چه اطلاعاتی را ثبت می کند برای مثال می توانیم به مشخصات کاربری که خواسته است به سنسورها متصل شود و اینکه دسترسی موفق داشته است یا نه؟ اشاره کنیم. بیمارستان می تواند زمان و تاریخ دسترسی را مشخص کند و رخداد های آن به درستی نگهداری شود.

بیمارستان باید سیاستی را ایجاد کند که از تجهیزات ثبت رخداد برای شناسایی دسترسی­های غیرمجاز استفاده کند. برای مثال زمانی که مهاجم بخواهد به سنسورهای WSN دسترسی داشته و حمله مرد میانی یا
 Man in the middle را انجام دهد سعی می کند رخداد این نفوذ را پاک کند؛ در نتیجه سازمان باید سیاستی را طراحی کند تا از این عمل جلوگیری کند. و اگر تغییری در رخدادها ایجاد شد، به صورت یک رخداد جداگانه ثبت شود. همچنین باید فعالیتهای سطح بالا برای دسترسی به سنسورها به شیوه مناسب نگهداری و ثبت شود.

9-3 حوزه A13 امنیت ارتباطات

در این بخش حوزه A13 بررسی خواهد شد که هدف آن امنیت ارتباطات است که از محافظت اطلاعات در شبکه ها و تجهیزات پردازش آنها اطمینان حاصل می کند.  

این حوزه را می توان در لایه Transport and network که مربوط به نحوه انتقال اطلاعات از لایه حسی به لایه بالاتر است پیاده سازی کرد. همانطور که قبلا اشاره شد، سنسورها و تجهیزات در IOT بیشتر با ارتباطات بی سیم فعالیت می کنند که برای مثال می توانیم به  WSN اشاره کنیم. این سنسورها آسیب پذیری های مختلفی دارند که در مقاله ای جداگانه شرح داده خواهد شد.  اما در اینجا به عنوان مثال می توان به Eavesdropping اشاره نمود که به معنای استراق سمع است و زمانی این حمله در WSN رخ می دهد که کاربر غیر مجاز بخواهد اطلاعات بین سنسورها را جمع آوری کند. در نتیجه باید سیاستی را در این قسمت در نظر بگیرند که از حملات مربوط به لایه انتقال و شبکه مانند Eavesdropping جلوگیری کنند.

بیمارستان باید سیاستی داشته باشد تا شبکه IOT را به منظور محافظت از اطلاعات سیستم ها و برنامه های کاربردی مدیریت کند. باید سرویس های مدیریت و محدودسازی اتصال به شبکه را برای دسترسی های غیر مجاز پیاده سازی کنند. باید دسترسی به تجهیزات شبکه را محدود کرده و سرویس های امنیت شبکه را راه اندازی کنند. باید این اطمینان را داشته باشند که دسترسی از بیرون به شبکه IOT مدیریت می شود.

امنیت سرویس های شبکه بسیار مهم است که باید مکانیسم های امنیتی، سطوح سرویس ها الزامات کلیه سرویس های شبکه IOT شناسایی شوند. بیمارستان باید سیاست مشخصی برای سرویس های تحت شبکه داشته باشد و اگر ایجاد این سرویس ها را برون سپاری می کند باید سطح خدمات مدیریت شده و یا SLA آن موجود باشد. باید اطمینان حاصل کنند که در لایه انتقال و شبکه تنظیمات دستگاه های IOT به درستی تنظیم شده باشند.

به طور کلی بیمارستان باید گروه­های سرویس های اطلاعاتی، کاربران و سیستم های اطلاعاتی در شبکه را از یک دیگر جدا کند. اما با توجه به محیط ناهمگون در شبکه IOT آیا جدا سازی و تقسیم بندی شبکه داخلی امکان پذیر است؟ و بر چه اساسی باید این کار صورت بگیرد؟ سازمان باید ارتباط بین شبکه ها را مدیریت کند و برای ارتباط بخش های مختلف شبکه محدودیت ایجاد کند.

بیمارستان باید اطمینان حاصل کند که اطلاعات در شبکه IOT در بستر امن تبادل می شود هر چند که هنوز سیاست های امنیتی لازم برای IOT تعریف نشده است.

بیمارستان باید اطمینان داشته باشد که اطلاعات به صورت رمزگذاری شده منتقل می شوند و تجهیزات ارتباطی در لایه انتقال و شبکه در سلامتی کامل قرار دارند. همچنین باید سامانه های ضد بدافزار در محیط IOT برای تبادل اطلاعات ایجاد شود که برای مثال می توانیم به Avira Safe Things اشاره کرد.

بیمارستان باید از اطلاعات در ایمیل به صورت امن محافظت کند اما سوالی که شاید در ذهن شما ایجاد شده باشد این است که در IOT، ایمیل در چه قسمتی استفاده می شود؟

تجهیزات IOT و سنسورها می توانند پیام های هشدار را از طریق ایمیل به سمت کاربران ارسال کنند و بیمارستان موظف است که الزامات امنیتی را برای این سرویس رعایت کند. باید از صحت ارسال و دریافت اطلاعات بین تجهیزات IOT و کاربران اطمینان حاصل کنند و سرویس های جایگزین برای زمان عدم دسترسی به سرویس اصلی ایمیل تعریف کنند تا برای تداوم کسب و کار خود مشکلی ایجاد نکنند.

10-3 حوزه A14 اکتساب، تولید و نگهداری سیستم

در این بخش حوزه A14 خواهد شد که هدف آن اکتساب، تولید و نگهداری سیستم است و باید به این نکته هم اشاره نمود که برنامه های کاربردی IOT در لایه Application قرار دارد.

بیمارستان باید اطمینان حاصل کند که نرم افزارهای کاربردی مورد استفاده در IOT چگونه تولید می شوند آیا نیروهای داخلی آن را تولید می کنند یا برون سپاری می شود؟ همچنین باید تعیین حدود دسترسی کاربران، وضعیت محرمانگی اطلاعات را بررسی کنند و سیاست شناسایی کاربران مانند: کاربران عادی، مدیران، راهبران را مشخص کنند.

در نرم افزارهای هوشمند مانند نرم افزارهای حوزه سلامت باید نیازهای اصلی امنیت (محرمانگی، صحت اطلاعات و در دسترس بودن آنها) مورد بررسی قرار گیرد.

در محیط IOT سازمان باید اطمینان حاصل کند که الزامات احراز هویت برای نرم افزارها لحاظ شده است؛ در واقع از چه ابزارهایی استفاده می شود؟ (رمز عبور، Captcha، Tokenو...).

بیمارستان باید اطمینان حاصل کند اطلاعاتی که کاربر وارد نرم افزار می کند. برای مثال (ضربان قلب، فشار خون و...) در بستری امن نگه داری می شود و برای افراد غیر مجاز غیر قابل دسترس است. اگر نرم افزار هوشمند در محیط IOT دارای درگاه پرداخت باشد، باید الزامات امنیتی مربوط به پرداخت امن را پیاده سازی کنند.

بیمارستان باید از دردسترس بودن سرویس برای برنامه IOT اطمینان حاصل کند و در مواقع ضروری اگر سرویس قطع شد از سرویس دهنده مورد اطمینان استفاده کند و فرآیند تداوم کسب وکار را برای مواقع اضطراری طراحی کرده باشد.

باید الزامات امنیتی مربوط به تراکنش های سرویس نرم افزار IOT را رعایت کنند و اطمینان حاصل شود که مسیر تراکنش نرم افزار امن است و از پروتکل های ایمن در نرم افزار استفاده شده است. برای مثال اگر بیماری بخواهد هزینه بیمارستان را برای خدماتی که به آن ارائه شده است را به وسیله وب سایت یا برنامه بیمارستان پرداخت کند باید در بستری امن این تراکنش صورت بگیرد

بیمارستان اگر بخواهد نرم افزار مخصوص به خود را داشته باشد، باید الزامات امنیتی محیط طراحی نرم افزار را رعایت کرده باشد و سیاست امنی برای مراحل طراحی نرم افزار تهیه کرده باشد.

باید محیط نگهداری امن برای اطلاعات نرم افزار فراهم شده باشد و این نکته قابل ذکر است که نرم افزارهای IOT از ملاحظات امنیتی مخصوصی برخوردار هستند و اگر برای امنیت نرم افزارها سیاست مشخصی نداشته باشند ممکن است دچار خسارت بزرگی شوند.

باید بر روی نسخه های نرم افزارها فرآیندی داشته باشند تا بتواند مشکلات ناشی از ضعف های امنیتی را برطرف کنند.

باید در محیط IOT دستورالعمل مشخصی را برای تغییر در نرم افزار وجود داشته باشد و افراد واجد شرایط برای تغییر در نرم افزار انتخاب شوند و مجوز های لازم را به آنها بدهند.

این تغییرات باید در چند مرحله بررسی و تایید گردد به عبارت دیگر تغییر باید قبل از اعمال به صورت کامل بررسی شود تا برای نرم افزار ریسک امنیتی ایجاد نکند. بیمارستان باید ظرفیت منابع IOT را برای تغییر در نرم افزارها مد نظر قرار دهد. در این زمینه باید مستند سازی انجام گیرد و اطمینان حاصل شود که امکان بازگشت به قبل از تغیر وجود دارد و زمانی که بسترهای عملیاتی تغییر پیدا کرد، برنامه های IOT باید مورد آزمون قرار بگیرند تا این اطمینان حاصل شود که تاثیری بر روی امنیت و فعالیت سازمان نداشته است.

 باید نیازسنجی جامعی قبل از طراحی نرم افزار IOT صورت گیرد تا نیاز کمتری به تغییرات آن وجود داشته باشد و سیاست های امنیتی در لایه های مختلف طراحی و پیاده سازی سرویس نرم افزار مورد توجه قرار دهند که این استاندارد ها شامل سیاست های احراز هویت کاربر، ایمن سازی ارتباط با کاربر، اعتبار سنجی داده های ورودی، مدیریت خطاها و... می شود.

سازمان باید برای سیستم های تولید و فعالیت های یکپارچه ای که کل چرخه حیات تولید نرم افزار IOT را در برمی گیرد، محیط های تولید امنی را ایجاد کند. برای مثال الزامات امنیتی در خصوص کارکنان این واحد رعایت شود. دسترسی فیزیکی و مجازی به این واحد برای افرادی که مشغول فعالیت درآن نیستند باید محدود شود و باید فرآیند های این واحد ثبت شوند و دسترسی به فایل ها مدیریت شوند. همچنین در این مرحله لازم است فرآیند پشتیبان گیری اجرا شود.

زمانی که بیمارستان نرم افزار هوشمند خود را برون سپاری کرد باید اطمینان حاصل کند، نسخه کدهای نرم افزار به سازمان ارائه می شود و گواهی نامه های امنیتی مربوطه از پیمانکار اخذ شود همچنین پیمانکار باید عملیات تست نفوذ و ارزیابی امنیتی را بر روی نرم افزار انجام دهد و گزارش آن را بدهد.

پیمانکار باید نسبت به ارائه گواهی نامه های بین المللی به بیمارستان تضمین های لازم را بدهد و پشتیبانی های لازم را از نرم افزار انجام دهد که شامل نیروی انسانی و نسخه های مختلف نرم افزار می شود.

باید آزمون های امنیتی  بر روی نرم افزار IOT در طی چرخه تولید گرفته شود.

قبل از بهره برداری از نرم افزار باید آن را از لحاظ عملکرد تست کنند تا از هماهنگی آن با فرآیندها اطمینان حاصل کنند که برای مثال می توانیم به سازگاری با انواع سیستم ها، سیستم عامل ها و میزان کافی بودن منابع سخت افزاری اشاره کرد.

داده های آزمایشی باید با دقت انتخاب و محافظت شوند و سیاستی را در پیش بگیرند که هنگام تولید نرم افزار IOT از داده ها اصلی و حیاتی و محرمانه مراقبت کرده و نسخه پشتیبان از این اطلاعات قبل از تست تهیه کنند.

11-3 حوزهA15 روابط با تامین کننده ها  

 

 

در این بخش حوزه A15 را بررسی خواهد شد که روابط با تامین کننده ها را بیان می کند و از امنیت اطلاعات در روابط با تامین کنندها اطمینان حاصل می شود.

سازمان ها و شرکت های مجاز جهت امور حوزه های مختلف باید شناسایی شوند و فرآیند مشخصی برای تنظیم قرارداد، نظارت و تحویل کار وجود داشته باشد. باید محدودیت دسترسی به اطلاعات سایر تامین کننده های حوزه های مختلف پیاده سازی شده و قابل پیمایش باشد.

باید مسئولیت ارتباط با تامین کننده ها در حوزه های مختلف مشخص شود و وظایف آن ها تعیین و ابلاغ شود. نکته ای که در قسمت باید به آن اشاره کرد این است که برای تداوم کسب و کار و در صورت رخداد برای تامین کننده ها باید مسئولیت ها مشخص شود.

باید آموزش های لازم برای دسترسی به اطلاعات و طبقه بندی آنها برای تامین کننده ها فراهم شود و الزامات و قوانین بیمارستان برای آنها شفاف سازی شود که برای مثال می توانیم به چگونگی تبادل اطلاعات، رمزگذاری و حقوق معنوی اشاره کرد.

تامین کننده باید گزارش پیشرفت و وضعیت پروژه را برای بیمارستان ارسال کند برای مثال اگر تامین سنسورهای WSN را به یک تامین کننده داده شود باید تمام الزامات حوزه 15 را برای آن اجرا کرد و به صورت مرتب گزارش  پیشرفت پروژه راه اندازی سنسورها را به بیمارستان ارسال کند.

12-3 حوزه A16 مدیریت رخدادهای امنیت اطلاعات

در این بخش حوزه A16 بررسی خواهد شد که مربوط به مدیریت رخدادهای امنیت اطلاعات است که از یک رویکرد سازگار و موثر برای مدیریت رخدادهای امنیت اطلاعات اطمینان حاصل می کند.

بیمارستان باید رخداد های عمده را شناسایی کند و برای آن فرد مشخصی را به عنوان مسئول انتخاب کند. برای مثال اگر حمله باج افزار به تجهیزات هوشمند صورت بگیرد، باید فردی برای پاسخگویی به این حملات در سازمان وجود داشته باشد. همچنین باید سرویس هایی در سازمان وجود داشته باشد که این رخدادها را ثبت و نگه داری کند و فرآیند ارزش گذاری و اولویت بندی برخورد با رخداد ها وجود داشته باشد.

اگر رخدادی امنیتی در بیمارستان به وجود آمد، باید سیاستی در نظر گرفته شود تا در سریعترین زمان ممکن گزارش شود در واقع باید سیستم اعلام خطر در بیمارستان وجود داشته باشد تا اگر حمله ای به سنسورها رخ داد به موقع اعلام شود. در اینجا می توانیم به حمله سنسورهای ضربان قلب اشاره کنیم که اگر به موقع اطلاع رسانی نشود، ممکن است که جان بیمار به خطر افتد.

اگر کارکنان بیمارستان رخداد مشکوکی در تجهیزات IOT و یا سنسورها مشاهده کردند باید سریعا آن را گزارش کنند. باید در این زمان سیاستی وجود داشته باشد که بتوان رخداد را ارزیابی کرد و درباره آنها تصمیم گیری نمود و شدت آن و تعداد واحد های درگیر مشخص شود.

رفع رخداد باید مستند شده و به روز رسانی شود و علت به وقوع پیوستن آنها تحلیل و بررسی شود. از مستندات باید در جهت آموزش استفاده شود تا دیگر این رخداد های امنیتی به وجود نیاید. این رخداد ها باید تحت یک سیاست تعریف شده به عنوان مدرک ثبت و نگه داری شود.

13-3 حوزه A17 جنبه های امنیت اطلاعات در مدیریت تداوم کسب و کار

در این بخش حوزه A17 بررسی خواهد شد که مربوط جنبه های امنیت اطلاعات در مدیریت تداوم کسب و کار است.

در این قسمت بیمارستان باید تمام فرآیندها و سرویس هایی را که تجهیزات IOT در جهت کسب و کار ارائه می دهند را به همراه رخدادهایی که ممکن است در آنها اختلال ایجاد کنند را شناسایی کند. باید ساختار مناسبی جهت مدیریت و پیاده سازی طرح تداوم کسب و کار در بیمارستان وجود داشته باشد. برای مثال همانطور که قبلا اشاره کردیم اگر حمله باج افزار برای تجهیزات هوشمند رخ داد، آیا بیمارستان قادر است سرویس های لازم را برای بیماران ارائه دهد؟ و اگردر ارائه آنها اختلالی ایجاد شد وضعیت سلامتی بیمار چگونه خواهد بود؟

باید قبل از وقوع رخداد برای تجهیزات IOT مانورهای منظم برای بررسی و تست طرح تداوم کسب و کار  انجام شود و طرح های تداوم کسب و کار مورد بررسی و بهبود قرار بگیرند.

افزونگی یکی از موارد بسیار مهم است که باید در نظر گرفته شود. اگر باج افزار یا حمله DDOS به تجهیزات هوشمند و بیمارستان صورت گرفت، آیا بیمارستان از دسترس بودن تجهیزات IOT، سرویس ها و نرم افزارها اطمینان کامل دارد؟

14-3 حوزه A18 سازگاری

در این بخش  کنترل A18 بررسی خواهد شد که مربوط به انطباق با الزامات قانونی و قراردادی است و بازنگری های امنیت اطلاعات را بررسی می کند.

باید لیستی از الزامات بالادستی و وضعیت پیاده سازی آن به وجود آید و در صورت پیاده سازی به مرجع الزام کننده گزارش داده شود و مراجعی که باید به آنها پاسخ داده شود، باید مشخص شوند. اگر در بیمارستان از نرم افزار یا تجهیزات هوشمند خاصی استفاده شود باید حقوق مالکیت فکری آن در نظر گرفته شود و فرآیندهای انضباطی آن مورد توجه قرار گیرد.

باید اطمینان حاصل کنند که مجوزهای لازم برای استفاده از نرم افزار و یا تجهیزات IOT را دارا هستند و آنها را در شرایط استاندارد نگه داری کرده و به کارکنان اطلاع رسانی کنند.

سیاستی باید تدوین شود که از سوابق بیمارستان در برابر تخریب، دسترسی و انتشار غیر مجاز محافظت کند. حریم خصوصی و حفاظت از اطلاعات شخصی کارکنان باید طبق قوانین بیمارستان تضمین شود.

و در آخر به بررسی بازنگری امنیت اطلاعات می پردازیم که بیمارستان باید از اینکه امنیت اطلاعات مطابق با قوانین آن اجرا می شود اطمینان حاصل کند به این صورت که باید در خصوص رویه ها و دستور العمل های موجود بازنگری کند و نتایج آنها را مورد بررسی قرار دهد برای مثال آیا قوانین امنیتی تجهیزات IOT که در حال حاضر موجود است در برابر حملات جدید آسیب پذیر است یا خیر؟

4-نتیجه گیری

اینترنت اشیاء یا IOT در سراسر جهان گسترش پیدا کرده است و توانسته است طیف گسترده ای از صنایع مانند پزشکی را در برگیرد. امروزه سازمانها در حال پیاده سازی استانداردISO27001 هستند که الزامات پیاده سازی یک سیستم مدیریت امنیت اطلاعات را برای آنها فراهم می کند؛ اما باید این نکته را در نظر گرفت که سازمانها می توانند به IOT توجهی نداشته باشند و آن را پیاده سازی نکنند. برای مثال سازمانهایی که خدمات پزشکی ارائه می دهند می توانند از مزایای کنترل از راه دور بیماران غافل شوند؟ وقتی که سازمان ها به سمت IOT حرکت می کنند در نتیجه تهدیدات امنیتی مربوط به IOT هم برای آنها افزایش پیدا می کند برای مثال میتوانیم به حملات باج افزار اشاره کرد که تهدید جدی برای سازمان های پزشکی محسوب می شود و می تواند جان بیماران را به خطر اندازد. در این مقاله استاندارد ISO27001 در محیط IOT بررسی شد تا بتوان راهکار مناسبی را برای پیاده سازی اینترنت اشیاء بر اساس استاندارد ISO27001 به دست آورد.