شروع پیاده سازی سیستم مدیریت امنیت اطلاعات و تعیین محدوده آن

شروع سیستم مدیریت امنیت اطلاعات[1] و تعیین محدوده آن

آنچه به‌عنوان الزام بالادستی از طریق نهادهای قانونی به سازمان ­های دولتی و دستگاه ­های اجرایی الزام شده است، طراحی و استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO 27001 می ­باشد. برای کسب اطلاعات بیشتر در خصوص استانداردهای این حوزه به مقاله معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات رجوع شود. از این رو برخی از دستگاه­ های دولتی سراغ استقرار سیستم مدیریت امنیت اطلاعات رفته ­اند؛ اما هنوز بلوغ کافی در این خصوص وجود نداشته و نحوه شروع مسیر را نمی­ شناسند. در این مقاله سعی شده تا راهنمایی جهت شروع استقرار این سیستم مدیریتی تدوین شود.

گام اول در سیستم مدیریت امنیت اطلاعات شناخت فضای سازمان[2] است. این موضوعی بود که در نسخ قبلی استاندارد به آن توجه نشده بود؛ اما در نسخه 2013 به‌عنوان یک الزام به آن اشاره شده است. سؤال اینجاست که منظور از شناخت فضای سازمان چیست؟ در اولین گام می ­بایست مأموریت سازمان، ساختار سازمانی، شرح وظایف کلان و ... مستند شود. علت این امر این است که می ­بایست امنیت اطلاعات با توجه به مأموریت سازمان تعریف شود.

امنیت متشکل از مثلث محرمانگی[3]، یکپارچگی[4] و در دسترس بودن[5] است. این المان­ها می ­بایست با توجه به ماهیت کسب و کار ما تعریف شود. منظور از محرمانگی، محافظت از اطلاعات در برابر دسترسی غیرمجاز است. باید دید در کدام بخش از ساختار سازمانی ما این المان از اهمیت فوق ­العاده­ای برخوردار است. به‌عنوان مثال در یک شرکت صنعتی، نقشه­ های تولید عمدتاً از محرمانگی بالاتری برخوردار هستند. المان دوم یکپارچگی و صحت اطلاعات است که منظور از آن محافظت از اطلاعات در برابر تغییر یا پاک شدن غیرمجاز است. در این بخش می­ بایست به این موضوع دقت شود که اطلاعات کدام‌یک از واحدها و بخش ­های سازمان از این جنس حائز اهمیت می­باشند. المان سوم نیز در دسترس بودن اطلاعات بوده که در این خصوص دسترسی به اطلاعات و سیستم­ های اطلاعاتی برای کدام‌یک از واحدهای سازمان حیاتی است.

محدوده استقرار سیستم مدیریت امنیت اطلاعات در سندی تحت عنوان سند بیانیه محدوده[6] تعریف می­ گردد. پس از شناخت فضای سازمان و تعیین ضرورت محافظت از المان ­های امنیت اطلاعات در بخش­ های مختلف با توجه به مأموریت سازمان، می­ بایست محدوده استقرار سیستم مدیریت امنیت اطلاعات تعریف گردد:

این محدوده از چهار منظر تعریف می­شود:

• محدوده فرآیندی
• محدوده فیزیکی
• محدوده پرسنلی
• محدوده تکنولوژیکی

در ادامه ابعاد مختلف تعریف محدوده، تشریح خواهند شد.

محدوده فرآیندی:

با توجه به آنچه در بخش قبل ذکر کردیم، با توجه به اهمیت محرمانگی، یکپارچگی و در دسترس بودن در واحدهای مختلف سازمان، نسبت به انتخاب محدوده فرآیندی اقدام می‌نماییم. در این بخش تعیین می ­شود که فرآیندهای کدام واحدهای سازمانی در محدوده استقرار سیستم مدیریت امنیت اطلاعات قرار دارند.

شیوه دیگری که در آن محدوده فرآیندی انتخاب می­شود، با توجه به محوریت موضوع فناوری اطلاعات و واحد فناوری اطلاعات سازمان هست که در کشور ما نیز استفاده از این روش عرف شده است. علت این امر IT Based شدن فرآیندهای سازمان است. در این سبک انتخاب محدوده فرآیندی معمولاً محدوده به یکی از سه شکل زیر تعریف می ­شود:

• کلیه فرآیندهای سازمان
• فرآیندهای مبتنی بر IT سازمان
• فرآیندهای واحد فناوری اطلاعات

محدوده فیزیکی:

در این بخش مرز و محدوده استقرار فیزیکی سیستم مدیریت امنیت اطلاعات تعریف می­شود. در واقع در این بخش از سند بیانیه محدوده، ساختمان ­ها، طبقات و اتاق ­هایی از سازمان که در آن می ­بایست الزامات سیستم مدیریت امنیت اطلاعات به‌ویژه الزامات حوزه امنیت فیزیکی و محیطی سازمان می­ بایست تعریف شود را شناسایی می ­کنیم. این موضوع برای سازمان­ های بزرگ دغدغه بزرگی است. به‌عنوان مثال، برای بانک­هایی که دارای سرپرستی ­ها و شعب متعدد می­ باشند، این موضوع از اهمیت حیاتی برخوردار است. برای این دست سازمان­ ها پیشنهاد می ­شود که ساختمان ستاد و یک نمونه از سرپرستی ­ها و شعب به‌عنوان پایلوت در محدوده استقرار سیستم قرار گیرند. این امر سبب خواهد شد که در دورهای بعدی استقرار سیستم، از نتایج حاصل از استقرار در پایلوت استفاده نمود و محدوده را توسعه داد.

محدوده پرسنلی:

در این گام می­ بایست تعیین شود که کدام دسته از پرسنل سازمان، در محدوده استقرار سیستم قرار دارند. در خصوص کلیه پرسنل محدوده می ­بایست الزامات مربوط به امنیت منابع انسانی و همچنین ارزیابی ریسک پیاده‌سازی شود.

در کشور ما در حال حاضر معمولاً این محدوده، محدود به پرسنل و پیمانکاران واحد فناوری اطلاعات می­شود؛ اما هیچ الزامی در این خصوص وجود ندارد و باید در تعیین محدوده، به این موضوع دقت شود که کدام دسته از پرسنل بیشتر با اطلاعات حیاتی سازمان سر و کار داشته و باید آموزش ­های امنیتی را دیده و در خصوص استقرار سیستم مدیریت امنیت اطلاعات برای آن ­ها حساس بود.

محدوده تکنولوژیکی:

در این بخش از سند بیانیه محدوده، به این موضوع اشاره می­ شود که چه بخش از فناوری ­های سازمان شامل شبکه اینترنت و اینترانت، سرویس­ دهنده­ ها، تجهیزات شبکه، برنامه ­های کاربردی، کلاینت ­ها و ... در محدوده استقرار این سیستم قرار می­ گیرند. هدف از این بخش این است که الزامات فنی سیستم مدیریت امنیت اطلاعات برای کدام دسته از فناوری ­های سازمان می ­بایست پیاده شود. به‌عنوان مثال اگر در سازمانی شبکه اینترنت از شبکه اینترانت مستقل و دارای تجهیزات جداگانه باشد و سرویس ­های حیاتی سازمان بر روی شبکه اینترنت قرار ندارند، می ­توان شبکه اینترنت را از محدوده استقرار سیستم جدا نمود.

تصمیم­ گیری در خصوص محدوده استقرار سیستم مدیریت امنیت اطلاعات، تصمیمی بسیار حیاتی است و انتخاب محدوده نامناسب منجر به شکست استقرار سیستم خواهد شد. انتخاب محدوده بزرگ، ممکن است منجر به سنگ بزرگ شدن و شکست پروژه شود (این مقاله در خصوص اندازه محدوده بحث می کند) . انتخاب محدوده ­ای خارج از کسب و کار اصلی سازمان و یا کوچک نیز سبب خواهد شد که از اهداف امنیت اطلاعات دور شده و سیستمی با اثربخشی بسیار پایین داشته باشیم. لذا انتخاب مشاور مناسب به‌منظور تعیین محدوده مناسب، بسیار ضروری است.

در این خصوص مشاوره پیاده‌سازی و استقرار سیستم مدیریت امنیت اطلاعات از جمله خدمات کلیدی و قابل ارائه شرکت آشنا ایمن است که این شرکت مطابق با  متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات (Ashna Imen Security Consultancy Methodology – AISCM) در مراحل ابتدایی اقدام به تعیین محدوده سیستم می نماید. برای اطلاعات بیشتر می توانید  فرم اولیه تعیین محدوده ISMS Prescoping Form) ISMS) را مشاهده نمایید.

[1][1] Information Security Management System (ISMS)

[2] Context Of The Organization

[3] Confidentiality

[4] Integrity

[5] Availability

[6] Scope Statement