راهکارها و ابزارهای نرم‌افزاری در پیاده‌ سازی سیستم مدیریت امنیت اطلاعات ISMS

بسیاری از سازمان‌ها و شرکت‌ها دولتی و خصوصی اطلاعات (Information) را مهم‌ترین دارایی خود می‌دانند. پیشرفت تکنولوژی‌های فناوری اطلاعات و افزایش تهدیدات و حملات سایبری در چندین سال اخیر موجب شده است پیاده‌سازی سیستم مدیریت امنیت اطلاعات(Information Security Management System) به‌عنوان یکی مهم‌ترین راهکارهای اساسی در جهت افزایش امنیت اطلاعات موردتوجه قرار گیرد. برای کسب اطلاعات بیشتر در مورد استانداردهای سیستم مدیریت امنیت اطلاعات در خانواده 27000 به این مقاله رجوع شود.

پیاده‌ سازی سیستم مدیریت امنیت اطلاعات (ISMS) و دریافت گواهینامه استاندارد ISO 27001 در ایران نیز با رشد چشمگیری افزایش‌یافته است و سازمان‌ها و شرکت‌ها نیز با توجه به نیازشان به دنبال استفاده از ابزارهای نرم‌افزاری در پیاده‌ سازی این سیستم می‌باشند.

نکته مهم در استفاده از نرم‌افزارهای سیستم مدیریت امنیت اطلاعات این است که یک نرم‌افزار ISMS می‌بایست دارای چه قابلیت‌هایی باشد؟

قبل از هر چیز باید به این نکته توجه شود که سیستم مدیریت امنیت اطلاعات مشابه هر سیستم مدیریتی دیگر منطبق بر مجموعه‌ای از الزامات استاندارد می‌باشد. بنابراین یک نرم‌افزار ISMS که به‌منظور پیاده‌ سازی سیستم مدیریت امنیت اطلاعات مورداستفاده قرار می‌گیرد می‌بایست منطبق بر استاندارد ISO/IEC 27001 بوده و در صورت امکان از سایر الزامات امنیتی دیگر در خانواده 27000  نظیر ISO/IEC 27002؛ ISO/IEC 27003؛ ISO/IEC 27004؛ ISO/IEC 27005؛ISO/IEC 22301؛ISO/IEC 22302  و .... نیز استفاده نماید.

هدف استفاده از نرم‌افزارISMSچیست؟

«اصلی‌ترین هدف نرم‌افزار ISMS استفاده از آن به‌عنوان یک ابزار در جهت پیاده‌ سازی و اجرای سیستم مدیریت امنیت اطلاعات می‌باشد. اما این نکته بسیار حائز اهمیت است که نرم‌افزار صرفاً یک ابزار بوده و به‌تنهایی تضمین‌کننده اجرای مناسب سیستم مدیریت امنیت اطلاعات نمی‌باشد. اما استفاده از این ابزار می‌تواند تأثیر بسزایی در پیاده‌سازی مؤثر سیستم مدیریت امنیت اطلاعات داشته باشد.»

لذا شرکت‌ها و سازمان‌ها می‌بایست در کنار نرم‌افزار ISMS به‌عنوان یک ابزار نسبت به این سیستم و الزامات آن نیز شناخت کافی داشته باشند و در صورت نیاز اقدام به مطالعه و کسب دانش روز و موردنیاز سازمان خود نمایند. در این خصوص استفاده از مشاورین متخصص در حوزه‌های مختلف امنیت اطلاعات، برگزاری دوره‌های آموزشی برای کارکنان و فرهنگ‌سازی امنیت اطلاعات برای کلیه پرسنل و غیره می‌تواند سازمان‌ها را در دستیابی به یک سیستم مدیریت امنیت اطلاعات اثربخش و کارا رهنمون سازند.

یک نرم‌افزار ISMS می‌بایست دارای چه ویژگی‌هایی باشد؟

• جامعیت و یکپارچگی

یک نرم‌افزارISMS می‌بایست به‌صورت جامع، قابلیت مدیریت کلیه جوانب یک سیستم مدیریت امنیت اطلاعات را داشته باشد و در کلیه چرخه اجرای سیستم مدیریت امنیت اطلاعات که به‌طور عام منطبق بر چرخه دمینگ (P-D-C-A) می‌باشد سازمان را در مراحل، برنامه‌ریزی، پیاده‌سازی ، بازنگری و بهبود مستمر همراهی نماید.

در حال حاضر نرم‌افزارهایی که به‌عنوان ابزار ISMS مورداستفاده قرار می‌گیرند عمدتاً جهت انجام فرآیند ارزیابی مخاطراتRisk Assessment  می‌باشند، درصورتی‌که اجرای یک سیستم ISMS صرفاً شامل ارزیابی ریسک نمی‌شود. سیستم مدیریت امنیت اطلاعات نیز مشابه سایر سیستم‌های مدیریتی نیاز به مستند‌سازی، تدوین و اجرای فرآیندهای امنیت اطلاعات، بازنگری، سنجش و ممیزی امنیت اطلاعات در کلیه بخش‌های سیستم مدیریت امنیت اطلاعات دارد.

• مطابق با نیازمندی‌ها و اولویت‌های سازمان‌ها و شرکت‌ها

با توجه به اینکه هر سازمان دارای Business  و ماهیت کاری منحصربه‌فردی می‌باشد. لذا ممکن است اولویت‌ها و نیازمندهای یک سازمان در نحوه ارزش‌گذاری و ارزیابی ریسک دارایی‌های اطلاعاتی متفاوت با سایر سازمان‌های دیگر باشد. به‌طور مثال اگر ارزش‌گذاری دارایی‌های اطلاعاتی را از 3 منظر محرمانگی، صحت و در دسترس‌بودن (Availability، Confidentiality و Integrity) در نظر بگیریم. ممکن است برای برخی از سازمان‌ها نظیر بانک‌ها و شرکت‌های سرویس‌دهنده (نظیرISPها) جنبه در‌دسترس‌بودن اطلاعات از اولویت بالاتری نسبت به محرمانگی اطلاعات برخوردار باشد یا اینکه برای سازمان‌های نظامی و امنیتی جنبه محرمانه بودن اطلاعات از اولویت بالاتری برخوردار باشد و یا اینکه سازمان‌ها و شرکت‌های مالی و سرمایه‌گذاری به صحت اطلاعات اهمیت بیشتری قائل شوند. لذا این تفاوت در ارزش‌گذاری منجر به تفاوت در انجام رویکرد ارزیابی مخاطرات می‌گردد. ازاین‌رو یک نرم‌افزار ISMS کارآمد باید به نحوی طراحی‌شده باشد که بتواند نیازمندهای و اولویت‌های سازمان‌ها و شرکت‌های مختلف را چه در حوزه ارزیابی مخاطرات و چه در حوزه‌های دیگر نظیر انطباق‌سنجی برآورده نماید و مطابق با نیازمندی‌ها و الزامات سازمان‌ها یا شرکت‌ها باشد.

• دارای انعطاف‌پذیری مناسب و قابلیت اطمینان بالا

هدف اصلی در استفاده از نرم‌افزار ISMS آسان نمودن و تسریع در پیاده‌سازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات می‌باشد. در یک سیستم مدیریت امنیت اطلاعات با مجموعه‌ای از فعالیت‌های سیستمی (فرآیندی)، ‌ فنی مواجه خواهیم که به علت پیچیدگی و حجم زیاد فعالیت‌ها باعث خواهد شد  مقدار زیادی از زمان و نیروی انسانی سازمان‌ها و شرکت‌ها را به خود مشغول ‌نماید، ضمن اینکه حجم زیاد تعداد دارایی‌های اطلاعاتی در برخی از سازمان‌ها و شرکت‌های بزرگ و همچنین انجام برخی از فرآیندها نظیر محاسبات ارزیابی مخاطرات به‌صورت دستی و توسط کارشناسان ممکن است به علت حجم بالا و دقتی که مورد انتظار است با اشتباهات و خطاهای انسانی مواجه گردد، که درنتیجه آن نتایج به‌دست‌آمده غیرقابل اطمینان بوده و منجر به تصمیم‌گیری و سیاست‌های گذاری‌های اشتباه می‌گردد.

• شناسایی و تحت پوشش قرار دادن کلیه سرویس‌های فناوری اطلاعات

هر سازمان دارای مجموعه‌ای از دارایی‌ها و فرآیندهای اطلاعاتی می‌باشد که در کنار یکدیگر می‌توانند به‌عنوان یک یا چند سرویس فناوری اطلاعات خدمت‌دهی نمایند. با توجه به اینکه رویکردهای مختلفی در ارزیابی ریسک‌های سازمان و همچنین پیاده‌سازی سیستم مدیریت امنیت اطلاعات وجود دارد، یک نرم‌افزارISMS  می‌بایست درنهایت بتواند نتایج خود را در قالب این سرویس‌های فناوری اطلاعات  Information Security Services منعکس نماید. ضمن اینکه نتایج حاصل از دیدگاه مبتنی بر Service می‌تواند در رویکرد‌های رایج در سازمان‌ها نظیر ITIL نیز مورداستفاده قرار گیرد.

• متناسب با دیگر سیاست‌ها و فرآیندهای سازمانی

از الزاماتی که در پیاده‌سازی استاندارد‌ها می‌بایست موردتوجه قرار گیرد انطباق و سازگاری آن با سایر الزامات و سیاست‌های داخلی سازمان‌ها و شرکت‌ها می‌باشد. این نکته بسیار حائز اهمیت است که پیاده‌سازی یک استاندارد و سیستم مدیریتی در تضاد با سایر فرآیندها و الزامات و سیاست‌گذاری کلان شرکت‌ها نباشد. به همین علت رویکرد مورداستفاده در نرم‌افزار نیز می‌بایست در راستای همین فرآیندها و سیاست‌ها بوده و از موازی کاری‌های احتمالی جلوگیری نماید. آنچه به‌عنوان یک مزیت برای نرم‌افزار ISMS می‌توان در نظر گرفت قابلیت نرم‌افزار در پیاده‌سازی سایر سیستم‌های مدیریتی دیگر و همچنین الزامات داخلی سازمان می‌باشد. نظیر قابلیت بررسی با الزامات انطباقی نظیر
 ISO 9000 و سایر الزامات داخلی

نتایج و خروجی‌های مورد انتظار از یک نرم‌افزار ISMS

همان‌طور که قبلاً اشاره شد یک نرم‌افزار ISMS ‌می‌تواند به‌عنوان یک ابزار مناسب در جهت تسهیل در پیاده‌سازی و اجرای سیستم مدیریت امنیت اطلاعات مورداستفاده قرار گیرد. پیاده‌سازی و اجرای مناسب یک سیستم مدیریت امنیت اطلاعات وابسته به قابلیت‌ها و فرآیندهایی است که از یک نرم‌افزار ISMS انتظار می‌رود این موارد را تحت پوشش قرار دهد. نظیر:

• فرآیند شناسایی و دسته‌بندی دارایی‌های اطلاعاتی مطابق با ویژگی‌ها و نوع دارایی‌های مورداستفاده در هر سازمان یا شرکت
• انجام فرآیند ارزیابی مخاطرات مطابق با متدولوژی‌های پذیرفته‌شده و بومی و قابل‌تغییر و انتخاب توسط شرکت یا سازمان
• انجام فرآیند مقابله با مخاطرات که شامل ارائه کنترل‌ها و راهکارهای پیشنهادی در جهت کاهش ریسک‌های مشاهده‌شده
• مدیریت وظایف، فعالیت‌ها و پروژ‌ه‌های تعریف‌شده در جهت کاهش ریسک‌های سازمان‌ها و شرکت‌ها
• مدیریت جامع کلیه مستندات سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان‌ها و شرکت‌ها
• تعریف و مدیریت ساختار سازماندهی امنیت اطلاعات در سازمان
• مدیریت جامع کلیه فرآیندهای تدوین‌شده در سیستم مدیریت امنیت اطلاعات و ایجاد گردش‌کار برای فرآیندها مطابق با روال‌ها و رویه‌های تائید شده در سازمان‌ها و شرکت‌ها
• انجام فرآیند سنجش میزان انطباق سازمان یا شرکت با معیارها و استاندارد‌های امنیت اطلاعات
• ارائه وضعیت اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات در هر لحظه
• و غیره

در همین راستا شرکت آشنا ایمن نرم افزار جامع ایمن یار را مختص پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) در قالب پنج ماژول مدیریت ریسک امنیت اطلاعات، مدیریت انطباق، مدیریت گردش کار، مدیریت مستندات و گزارشات ارائه نموده است.