تشریح الزامات مرکز مدیریت راهبردی افتای ریاست جمهوری در حوزه استقرار ISMS

  • نویسنده: محسن دهقان
  • تاریخ انتشار: یک‌شنبه ، ۲۸ دی ماه ۹۹
  • تعداد بازدید: 806
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

مرکز مدیریت راهبردی افتای ریاست جمهوری به عنوان متولی امن‌سازی زیرساخت‌های دستگاه‌های حیاتی کشور، مجری بررسی و ارزیابی وضعیت پیاده‌سازی استاندارد سیستم مدیریت امنیت اطلاعات (ISO/IEC 27001:2013) در سازمان‌ها و تعیین صلاحیت آن‌ها جهت اخذ گواهینامه معتبر ملی است. این مرکز، الزاماتی را در خصوص چگونگی پیاده‌سازی این سیستم در سازمان تدوین و ابلاغ نموده است که این الزامات، حداقل انتظارات مدنظر از پیاده‌سازی این سیستم است. در این مقاله، به بررسی این الزامات و چگونگی استقرار این سیستم در سازمان خواهیم پرداخت. استاندارد جهانی ISO/IEC 27001:2013 در حوزه مدیریت امنیت اطلاعات، شامل الزاماتی در خصوص استقرار سیستم مدیریت امنیت اطلاعات در سازمان است. الزامات عمومی استاندارد در 7 فصل (فصل 4 الی 10) و به صورت تخصصی در 14 حوزه مختلف (ضمیمه A استاندارد) آورده شده است. (برای کسب اطلاعات بیشتر در خصوص خانواده استانداردهای ISO27001 به ابن مقاله رجوع گردد.)

مبنای اصلی پیاده‌سازی این استاندارد، چهار مرحله چرخه PDCA (طراحی، پیاده سازی، بازنگری، اصلاح) است. در این راستا، الزاماتی توسط مرکز مدیریت راهبردی افتا تعیین و تحت عنوان «الزامات استقرار سیستم مدیریت امنیت اطلاعات» به تمامی دستگاه‌های اجرایی در کشور ابلاغ گردیده است.

گام اول در پیاده‌سازی یک استاندارد در هر سازمان، شناخت سازمان و تشخیص علت نیاز آن به استاندارد است. در این راستا، ابتدا شناسایی ذی‌نفعان امنیت اطلاعات و تعریف و تعیین محدوده استقرار سیستم است. چگونگی انجام این فرآیند در سندی تحت عنوان «راهنمای تعیین دامنه استقرار سیستم مدیریت امنیت اطلاعات» توسط مرکز افتا تشریح شده است.

در گام دوم و پس از تعیین دامنه استقرار سیستم، سازمان باید شخص یا واحد مشخصی را جهت پیگیری فرآیند و متولی استقرار این سیستم در سازمان انتخاب نماید. همچنین، نیاز است تا کمیته‌ای در سازمان جهت همراهی با شخص متولی جهت پیاده‌سازی این سیستم تشکیل گردد.

در گام بعدی، باید مناقصه‌ای بین شرکت‌های دارای مجوز از افتا برگزار گردد که در نتیجه آن، مشاور متعهد و توانا جهت همراهی تیم استقرار انتخاب می‌گردد.

پس از انجام مراحل فوق، و در گام چهارم، در جهت تعهد به الزامات استاندارد، باید الزامات بالادستی در حوزه پیاده‌سازی این طرح مورد توجه قرار گیرد. در این راستا و در خصوص دستگاه‌های حیاتی کشور، «طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات الکترونیکی» توسط مرکز راهبردی افتا منتشر شده است.

پس از طی مراحل قبل از شروع پروژه و تعیین دقیق دامنه استقرار سیستم، ابتدا این دامنه باید به تأیید مرکز راهبردی افتا برسد. سپس خدمات فنی مورد انتظار در 23 بخش تشریح گردیده است. در هر بخش، ابتدا توضیح عمومی نوع فعالیت ذکر شده و سپس گستره و پوشش آن شرح گردیده است.

ضمن انجام هر بخش، خروجی مورد انتظار و سطح کیفی آن تعیین گردیده است. در انتها، مسئولیت‌های به عهده کارفرما در خصوص انجام هر بخش ارائه شده است.

در ادامه مقاله، ضمن معرفی 23 بخش مورد انتظار مرکز افتا، شرح مختصر و نکات قابل توجه در هر بخش ذکر خواهد شد:

  1. بخش اول: بازبینی زمینه (بافتار) و ذی‌نفعان:

در بخش اول، ضمن بازبینی بافتار داخلی و خارجی سازمان، باید ذی‌نفعان امنیت اطلاعات شناسایی شده و انتظارات آن‌ها از سیستم مدیریت امنیت اطلاعات مورد بررسی و تحلیل قرار گیرد.

نکته قابل توجه در این بخش، شناسایی دقیق ذی‌نفعان (از منظر علاقه و قدرت) و تصمیم‌گیری در خصوص چگونگی همکاری آن‌ها با فرآیند استقرار سیستم در سازمان است.

  1. بخش دوم: نهایی‌سازی دامنه

پس از شناسایی دقیق ذی‌نفعان، باید محدوده استقرار سیستم با توجه به شناخت انجام شده در پنج بُعد سازمانی، فرآیندی، فیزیکی، کارکنان و تکنولوژی تعریف گردد. در این بخش همچنین باید موارد خارج از محدوده نیز به صورت شفاف و دقیق ذکر گردد.

  1. بخش سوم: طرح مدیریت پروژه

در این بخش و به جهت مدیریت بهینه طرح و همچنین تسهیل در ارتباط بین کارفرما و مجری، طرح مدیریت پروژه تدوین خواهد شد که در آن به مواردی نظیر مدیریت زمان، مدیریت ارتباطات، چگونگی انجام و شرایط تحویل کار و ... اشاره می‌گردد.

  1. برگزاری جلسه افتتاحیه رسمی

پس از تدوین اسناد اولیه، جلسه افتتاحیه پروژه برگزار می‌گردد. در این جلسه، کلیات و بخش‌های فرآیند پروژه توسط مجری به صورت اجمالی تشریح شده و دغدغه‌های سازمان و همچنین شرایط خاص یا موانع و مشکلات موجود در سازمان مورد بررسی قرار خواهد گرفت. ضمن اینکه در این جلسه، مواردی نظیر چگونگی ارتباط طرفین، چگونگی ارسال و دریافت فایل، زمان‌بندی برگزاری جلسات و ... نیز مورد توافق قرار خواهد گرفت.

  1. تهیه روش مستندسازی

در این بخش، ساختار و قالب مشخصی جهت فرآیند مستندسازی در سازمان تعیین می‌گردد. این ساختار شامل قالب کلی سند، چگونگی کدگذاری، چگونگی تنظیم، تأیید و تصویب سند، چگونگی اطلاع‌رسانی و نگهداری اسناد و سوابق و ... است.

نکته قابل توجه در این بخش این است که چنانچه در سازمان، سایر سیستم‌های مدیریتی، نظیر ISO 9000 وجود دارد، این ساختار باید با ساختار موجود در سیستم مذکور تطبیق داشته باشد و در صورت لزوم، ساختار موجود به‌روزرسانی گردد.

  1. تهیه بیانیه سیستم مدیریت امنیت اطلاعات (سند خط‌مشی)

سند بیانیه سیستم مدیریت امنیت اطلاعات، اصلی‌ترین و مهم‌ترین بیانیه در سیستم مدیریت امنیت اطلاعات است که در آن علت و اهداف استقرار سیستم در سازمان ذکر می‌گردد. در این مرحله، باید این سند با توجه به ماهیت سازمان تدوین شده و اهداف و رسالت‌های اصلی در جهت استقرار سیستم در آن ذکر شود.

  1. تعیین ساختار سازمانی امنیت

یکی از الزامات اصلی استاندارد، تعیین یک ساختار معین جهت فرآیند مدیریت امنیت و تفکیک وظایف و تشریح مسئولیت‌های افراد در حوزه‌های مختلف است. در این بخش ضمن تعیین این ساختار، باید شرح وظایف هر حوزه در شرح شغل افراد منعکس گردد.

  1. شناسایی ریسک‌ها

در این بخش، فرآیندهای مختلف جهت شناسایی ریسک‌های مرتبط با امنیت اطلاعات پیاده‌سازی شده در نتیجه آن، نقاط ضعف و فرصت‌های بهبود فرآیندها شناسایی می‌گردد. این بخش می‌تواند بر مبنای دارایی‌های اطلاعاتی، سرویس‌ها یا سناریوهای تهدیدات امنیت اطلاعات طراحی و پیاده‌سازی گردد. ریسک‌های امنیت اطلاعات بر اثر آموزش ناکافی کارکنان، عدم پیاده‌سازی صحیح استانداردهای امنیت اطلاعات و عدم وجود فرآیند مشخص جهت پیاده‌سازی استانداردها به وجود می‌آیند.

  1. تدوین متدولوژی مقابله با ریسک

پس از شناسایی ریسک‌ها، نیاز است که برنامه مقابله با آن‌ها ابتدا به صورت کلی تدوین شود. ریسک‌های امنیت اطلاعات به چهار حالت کلی مورد رفع و کاهش قرار می‌گیرند. در این بخش معیار پذیرش یا عدم پذیرش ریسک نیز باید تعیین گردد.

10. ارزیابی ریسک‌های امنیت اطلاعات

در این بخش، با توجه به شناخت عمومی که از ریسک‌های امنیت اطلاعات و متد شناسایی آن‌ها به وجود آمده است، ریسک‌ها مورد بررسی قرار می‌گیرند. به صورت کلی، میزان ریسک از تلفیقی از ارزش اطلاعات، میزان اثرگذاری ریسک بر اطلاعات و احتمال رخداد ریسک محاسبه می‌گردد.

11. مقابله با ریسک

پس از شناسایی و محاسبه ریسک‌های امنیت اطلاعات باید به شیوه مناسب با آن‌ها مقابله گردد. مقابله با ریسک به صورت کلی از سه روش آموزش کارکنان، تدوین رویه‌های استاندارد و پیاده‌سازی طرح‌های فنی انجام می‌گیرد. در این بخش همچنین سند بیانیه کاربردپذیری تنظیم شده که در آن، علت کاربردپذیر بودن هر یک از 114 کنترل موجود در ضمیمه A استاندارد مورد بررسی قرار گرفته است.

12. تعیین اهداف امنیت و برنامه نیل به اهداف

در این بخش، با توجه به اهداف کلان سازمان از استقرار سیستم مدیریت امنیت اطلاعات (مندرج در سند خط‌مشی)، اهداف خرد سازمان مشخص شده و برنامه‌های نیل به این اهداف خرد نیز تدوین می‌گردد. در این بخش همچنین شاخص‌های اثربخشی استقرار سیستم در سازمان و رویه محاسبه آن‌ها تعیین می‌شود.

13. تدوین سیاست‌ها، روش‌های اجرایی و دستورالعمل‌ها

در این بخش، سیاست‌ها، روش‌های اجرایی و رویه‌ها و دستورالعمل‌ها تدوین می‌گردد. این اسناد در راستای استقرار الزامات استاندارد تدوین شده و پیاده‌سازی صحیح آن‌ها، بخش عمده‌ای از ریسک‌های شناسایی شده را نیز کاهش می‌دهد.

این اسناد در حوزه‌های مختلف استاندارد نظیر امنیت عملیات، امنیت ارتباطات، امنیت فیزیکی و محیطی، خط‌مشی‌های رمزنگاری، خط‌مشی‌های تبادل اطلاعات، خط‌مشی‌های مربوط به طراحی سیستم‌های اطلاعاتی، رویه‌های مدیریت امنیت کارکنان و تأمین‌کنندگان و ... تدوین می‌گردد.

14. تعیین ارتباطات مورد نیاز

در این بخش، با توجه به روش‌های اجرایی تدوین شده، باید مسئولیت‌ها و فرآیند انجام کار به درستی تعیین و ابلاغ گردد. در این زمینه می‌توان از روش جدول RACI استفاده کرد. این فرآیند می‌تواند به‌صورت عمومی یا به‌صورت مجزا در هر سند پیاده‌سازی گردد.

15. مشاوره و نظارت بر طرح و کنترل‌های مقابله با ریسک

در این بخش، اقدامات تعریف‌شده برای مقابله با ریسک‌های (آموزش‌ها، روش‌های اجرایی و طرح‌های فنی) مورد بررسی و کنترل قرار می‌گیرد تا وضعیت و میزان اثربخشی آن سنجیده شود.

16. مدیریت عملیات ISMS و همکاری در پیاده‌سازی آن

پس از انجام گام‌های فوق، نیاز است که رویه‌های طراحی شده، پیاده‌سازی گردد. در این بخش ضمن پیاده‌سازی این رویه‌ها، لیست‌ها و فرم‌های مربوط به آن‌ها تکمیل شده و سوابق استقرار سیستم در سازمان شکل می‌گیرد.

17. تعریف معیارهای سنجش اثربخشی

در این بخش، جهت سنجش اثربخشی فرآیند، معیارهایی تعریف می‌شود. این معیارها باید در راستای دستیابی به اهداف اصلی استقرار سیستم باشد. معیارها در حوزه‌های مختلف نظیر آموزش، تفکیک وظایف و شناخت مسئولیت‌ها، شناسایی الزامات بالادستی، مقابله با ریسک‌های امنیت اطلاعات، پاسخگویی مناسب به رخدادهای امنیت اطلاعات و ... تعریف می‌گردد.

لازم به ذکر است، این معیارها باید به گونه‌ای طراحی شود که قابل محاسبه بوده و مقادیر محاسبه شده و مقادیر مورد انتظار، تفاوت غیرقابل پذیرش نداشته باشد.

18. سنجش اثربخشی

در این بخش، معیارهای تعیین شده در مرحله قبل، مورد سنجش و محاسبه قرار گرفته و مقدار عددی آن تعیین می‌گردد. بهینه است که در این مرحله، تمامی مراحل سنجش و مستندات کافی گردآوری شود تا ادله‌ای بر صحت محاسبات باشد.

19. ممیزی داخلی

پس از انجام تمامی بخش‌ها، مرحله طراحی و پیاده‌سازی پروژه به اتمام می‌رسد. در این بخش مرحله کنترل (فاز Check در چرخه PDCA) انجام می‌گردد. طی این بخش، تمام یا بخشی از فرآیند انجام شده مورد ممیزی و بررسی قرار گرفته و میزان انطباق با استاندارد مرجع سنجیده می‌شود.

20. شناسایی بهبودها

پس از انجام ممیزی و بررسی وضعیت انطباق، در برخی حوزه‌ها انطباق مورد نیاز تا سطح انتظار محقق نشده و باید بهبود پیدا نماید. در این بخش، موارد عدم انطباق شناسایی شده در ممیزی مورد بررسی و رفع قرار خواهد گرفت.

21. بازنگری مدیریت

پس از رفع عدم انطباق‌ها، زمان بازنگری کلی فرآیند است. در این بخش، پروژه پیاده‌سازی شده، از بخش شناسایی سازمان تا رفع عدم انطباق‌ها مورد بررسی قرار می‌گیرد و مشخص می‌گردد که اهداف تعیین شده در سند خط‌مشی، تا چه میزان محقق شده است. ضمن این بررسی، اهداف آتی در حوزه امنیت اطلاعات نیز تعیین می‌گردد.

22. ممیزی خارجی

پس از اتمام بازنگری فرآیند و در راستای دریافت گواهینامه معتبر در خصوص استقرار سیستم مدیریت امنیت اطلاعات، باید پروژه تعریف شده، مورد ممیزی اصلی و تعیین صلاحیت جهت دریافت گواهینامه قرار گیرد.

23. آموزش و آگاهی‌رسانی

با توجه به اینکه یکی از اصلی‌ترین موضوعات در پیاده‌سازی این پروژه، ارتقاء سطح دانش سیستمی و فنی راهبران و کاربران سازمان است، نیاز است دوره‌های عمومی و تخصصی در زمینه امنیت اطلاعات، برنامه‌ریزی شده و انجام پذیرد.

 

در پایان، ذکر این نکته ضروری است که پیاده‌سازی صحیح الزامات استاندارد و سیستم مدیریت امنیت اطلاعات در یک سازمان، نیازمند پشتیبانی کامل از سوی مدیریت ارشد و همچنین کارکنان مستقیم و غیرمستقیم فرآیند است. فرآیند استانداردسازی به علت ماهیتی که دارد، تا حدی باعث افت سرعت فرآیندها می‌گردد اما در نتیجه آن، تمام فرآیند به شیوه صحیح مستند شده و کنترل‌های لازم در هر مرحله صورت می‌پذیرد. ضمن آنکه ریسک‌های عمومی در سازمان‌های مختلف نظیر وابسته بودن یک سرویس و شخص خاص، ضعف‌های فرآیندی، ضعف‌های آموزش عمومی و عدم آمادگی جهت برخورد با رخدادها و بحران‌های امنیت اطلاعات نیز مورد توجه بیشتر قرار گرفته و برای رفع آن برنامه‌ریزی خواهد شد.