راهکارها و ابزارهای نرم‌افزاری در پیاده‌ سازی سیستم مدیریت امنیت اطلاعات ISMS

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: یک‌شنبه ، ۰۴ تیر ماه ۹۶
  • تعداد بازدید: 4055
  • تعداد نظرها: 5
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

بسیاری از سازمان‌ها و شرکت‌ها دولتی و خصوصی اطلاعات (Information) را مهم‌ترین دارایی خود می‌دانند. پیشرفت تکنولوژی‌های فناوری اطلاعات و افزایش تهدیدات و حملات سایبری در چندین سال اخیر موجب شده است پیاده‌سازی سیستم مدیریت امنیت اطلاعات(Information Security Management System) به‌عنوان یکی مهم‌ترین راهکارهای اساسی در جهت افزایش امنیت اطلاعات موردتوجه قرار گیرد. برای کسب اطلاعات بیشتر در مورد استانداردهای سیستم مدیریت امنیت اطلاعات در خانواده 27000 به این مقاله رجوع شود.

پیاده‌ سازی سیستم مدیریت امنیت اطلاعات (ISMS) و دریافت گواهینامه استاندارد ISO 27001 در ایران نیز با رشد چشمگیری افزایش‌یافته است و سازمان‌ها و شرکت‌ها نیز با توجه به نیازشان به دنبال استفاده از ابزارهای نرم‌افزاری در پیاده‌ سازی این سیستم می‌باشند.

نکته مهم در استفاده از نرم‌افزارهای سیستم مدیریت امنیت اطلاعات این است که یک نرم‌افزار ISMS می‌بایست دارای چه قابلیت‌هایی باشد؟

قبل از هر چیز باید به این نکته توجه شود که سیستم مدیریت امنیت اطلاعات مشابه هر سیستم مدیریتی دیگر منطبق بر مجموعه‌ای از الزامات استاندارد می‌باشد. بنابراین یک نرم‌افزار ISMS که به‌منظور پیاده‌ سازی سیستم مدیریت امنیت اطلاعات مورداستفاده قرار می‌گیرد می‌بایست منطبق بر استاندارد ISO/IEC 27001 بوده و در صورت امکان از سایر الزامات امنیتی دیگر در خانواده 27000  نظیر ISO/IEC 27002؛ ISO/IEC 27003؛ ISO/IEC 27004؛ ISO/IEC 27005؛ISO/IEC 22301؛ISO/IEC 22302  و .... نیز استفاده نماید.

 

هدف استفاده از نرم‌افزارISMSچیست؟

«اصلی‌ترین هدف نرم‌افزار ISMS استفاده از آن به‌عنوان یک ابزار در جهت پیاده‌ سازی و اجرای سیستم مدیریت امنیت اطلاعات می‌باشد. اما این نکته بسیار حائز اهمیت است که نرم‌افزار صرفاً یک ابزار بوده و به‌تنهایی تضمین‌کننده اجرای مناسب سیستم مدیریت امنیت اطلاعات نمی‌باشد. اما استفاده از این ابزار می‌تواند تأثیر بسزایی در پیاده‌سازی مؤثر سیستم مدیریت امنیت اطلاعات داشته باشد.»

لذا شرکت‌ها و سازمان‌ها می‌بایست در کنار نرم‌افزار ISMS به‌عنوان یک ابزار نسبت به این سیستم و الزامات آن نیز شناخت کافی داشته باشند و در صورت نیاز اقدام به مطالعه و کسب دانش روز و موردنیاز سازمان خود نمایند. در این خصوص استفاده از مشاورین متخصص در حوزه‌های مختلف امنیت اطلاعات، برگزاری دوره‌های آموزشی برای کارکنان و فرهنگ‌سازی امنیت اطلاعات برای کلیه پرسنل و غیره می‌تواند سازمان‌ها را در دستیابی به یک سیستم مدیریت امنیت اطلاعات اثربخش و کارا رهنمون سازند.

یک نرم‌افزار ISMS می‌بایست دارای چه ویژگی‌هایی باشد؟

  • جامعیت و یکپارچگی

یک نرم‌افزارISMS می‌بایست به‌صورت جامع، قابلیت مدیریت کلیه جوانب یک سیستم مدیریت امنیت اطلاعات را داشته باشد و در کلیه چرخه اجرای سیستم مدیریت امنیت اطلاعات که به‌طور عام منطبق بر چرخه دمینگ (P-D-C-A) می‌باشد سازمان را در مراحل، برنامه‌ریزی، پیاده‌سازی ، بازنگری و بهبود مستمر همراهی نماید.

در حال حاضر نرم‌افزارهایی که به‌عنوان ابزار ISMS مورداستفاده قرار می‌گیرند عمدتاً جهت انجام فرآیند ارزیابی مخاطراتRisk Assessment  می‌باشند، درصورتی‌که اجرای یک سیستم ISMS صرفاً شامل ارزیابی ریسک نمی‌شود. سیستم مدیریت امنیت اطلاعات نیز مشابه سایر سیستم‌های مدیریتی نیاز به مستند‌سازی، تدوین و اجرای فرآیندهای امنیت اطلاعات، بازنگری، سنجش و ممیزی امنیت اطلاعات در کلیه بخش‌های سیستم مدیریت امنیت اطلاعات دارد.

 

 

 

  • مطابق با نیازمندی‌ها و اولویت‌های سازمان‌ها و شرکت‌ها

با توجه به اینکه هر سازمان دارای Business  و ماهیت کاری منحصربه‌فردی می‌باشد. لذا ممکن است اولویت‌ها و نیازمندهای یک سازمان در نحوه ارزش‌گذاری و ارزیابی ریسک دارایی‌های اطلاعاتی متفاوت با سایر سازمان‌های دیگر باشد. به‌طور مثال اگر ارزش‌گذاری دارایی‌های اطلاعاتی را از 3 منظر محرمانگی، صحت و در دسترس‌بودن (Availability، Confidentiality و Integrity) در نظر بگیریم. ممکن است برای برخی از سازمان‌ها نظیر بانک‌ها و شرکت‌های سرویس‌دهنده (نظیرISPها) جنبه در‌دسترس‌بودن اطلاعات از اولویت بالاتری نسبت به محرمانگی اطلاعات برخوردار باشد یا اینکه برای سازمان‌های نظامی و امنیتی جنبه محرمانه بودن اطلاعات از اولویت بالاتری برخوردار باشد و یا اینکه سازمان‌ها و شرکت‌های مالی و سرمایه‌گذاری به صحت اطلاعات اهمیت بیشتری قائل شوند. لذا این تفاوت در ارزش‌گذاری منجر به تفاوت در انجام رویکرد ارزیابی مخاطرات می‌گردد. ازاین‌رو یک نرم‌افزار ISMS کارآمد باید به نحوی طراحی‌شده باشد که بتواند نیازمندهای و اولویت‌های سازمان‌ها و شرکت‌های مختلف را چه در حوزه ارزیابی مخاطرات و چه در حوزه‌های دیگر نظیر انطباق‌سنجی برآورده نماید و مطابق با نیازمندی‌ها و الزامات سازمان‌ها یا شرکت‌ها باشد.

 

 

 

  • دارای انعطاف‌پذیری مناسب و قابلیت اطمینان بالا

هدف اصلی در استفاده از نرم‌افزار ISMS آسان نمودن و تسریع در پیاده‌سازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات می‌باشد. در یک سیستم مدیریت امنیت اطلاعات با مجموعه‌ای از فعالیت‌های سیستمی (فرآیندی)، ‌ فنی مواجه خواهیم که به علت پیچیدگی و حجم زیاد فعالیت‌ها باعث خواهد شد  مقدار زیادی از زمان و نیروی انسانی سازمان‌ها و شرکت‌ها را به خود مشغول ‌نماید، ضمن اینکه حجم زیاد تعداد دارایی‌های اطلاعاتی در برخی از سازمان‌ها و شرکت‌های بزرگ و همچنین انجام برخی از فرآیندها نظیر محاسبات ارزیابی مخاطرات به‌صورت دستی و توسط کارشناسان ممکن است به علت حجم بالا و دقتی که مورد انتظار است با اشتباهات و خطاهای انسانی مواجه گردد، که درنتیجه آن نتایج به‌دست‌آمده غیرقابل اطمینان بوده و منجر به تصمیم‌گیری و سیاست‌های گذاری‌های اشتباه می‌گردد.

 

 

 

 

  • شناسایی و تحت پوشش قرار دادن کلیه سرویس‌های فناوری اطلاعات

هر سازمان دارای مجموعه‌ای از دارایی‌ها و فرآیندهای اطلاعاتی می‌باشد که در کنار یکدیگر می‌توانند به‌عنوان یک یا چند سرویس فناوری اطلاعات خدمت‌دهی نمایند. با توجه به اینکه رویکردهای مختلفی در ارزیابی ریسک‌های سازمان و همچنین پیاده‌سازی سیستم مدیریت امنیت اطلاعات وجود دارد، یک نرم‌افزارISMS  می‌بایست درنهایت بتواند نتایج خود را در قالب این سرویس‌های فناوری اطلاعات  Information Security Services منعکس نماید. ضمن اینکه نتایج حاصل از دیدگاه مبتنی بر Service می‌تواند در رویکرد‌های رایج در سازمان‌ها نظیر ITIL نیز مورداستفاده قرار گیرد.

 

 

 

  • متناسب با دیگر سیاست‌ها و فرآیندهای سازمانی

از الزاماتی که در پیاده‌سازی استاندارد‌ها می‌بایست موردتوجه قرار گیرد انطباق و سازگاری آن با سایر الزامات و سیاست‌های داخلی سازمان‌ها و شرکت‌ها می‌باشد. این نکته بسیار حائز اهمیت است که پیاده‌سازی یک استاندارد و سیستم مدیریتی در تضاد با سایر فرآیندها و الزامات و سیاست‌گذاری کلان شرکت‌ها نباشد. به همین علت رویکرد مورداستفاده در نرم‌افزار نیز می‌بایست در راستای همین فرآیندها و سیاست‌ها بوده و از موازی کاری‌های احتمالی جلوگیری نماید. آنچه به‌عنوان یک مزیت برای نرم‌افزار ISMS می‌توان در نظر گرفت قابلیت نرم‌افزار در پیاده‌سازی سایر سیستم‌های مدیریتی دیگر و همچنین الزامات داخلی سازمان می‌باشد. نظیر قابلیت بررسی با الزامات انطباقی نظیر
 ISO 9000 و سایر الزامات داخلی

 

 

نتایج و خروجی‌های مورد انتظار از یک نرم‌افزار ISMS

همان‌طور که قبلاً اشاره شد یک نرم‌افزار ISMS ‌می‌تواند به‌عنوان یک ابزار مناسب در جهت تسهیل در پیاده‌سازی و اجرای سیستم مدیریت امنیت اطلاعات مورداستفاده قرار گیرد. پیاده‌سازی و اجرای مناسب یک سیستم مدیریت امنیت اطلاعات وابسته به قابلیت‌ها و فرآیندهایی است که از یک نرم‌افزار ISMS انتظار می‌رود این موارد را تحت پوشش قرار دهد. نظیر:

  • فرآیند شناسایی و دسته‌بندی دارایی‌های اطلاعاتی مطابق با ویژگی‌ها و نوع دارایی‌های مورداستفاده در هر سازمان یا شرکت
  • انجام فرآیند ارزیابی مخاطرات مطابق با متدولوژی‌های پذیرفته‌شده و بومی و قابل‌تغییر و انتخاب توسط شرکت یا سازمان
  • انجام فرآیند مقابله با مخاطرات که شامل ارائه کنترل‌ها و راهکارهای پیشنهادی در جهت کاهش ریسک‌های مشاهده‌شده
  • مدیریت وظایف، فعالیت‌ها و پروژ‌ه‌های تعریف‌شده در جهت کاهش ریسک‌های سازمان‌ها و شرکت‌ها
  • مدیریت جامع کلیه مستندات سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان‌ها و شرکت‌ها
  • تعریف و مدیریت ساختار سازماندهی امنیت اطلاعات در سازمان
  • مدیریت جامع کلیه فرآیندهای تدوین‌شده در سیستم مدیریت امنیت اطلاعات و ایجاد گردش‌کار برای فرآیندها مطابق با روال‌ها و رویه‌های تائید شده در سازمان‌ها و شرکت‌ها
  • انجام فرآیند سنجش میزان انطباق سازمان یا شرکت با معیارها و استاندارد‌های امنیت اطلاعات
  • ارائه وضعیت اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات در هر لحظه
  • و غیره

در همین راستا شرکت آشنا ایمن نرم افزار جامع ایمن یار را مختص پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) در قالب پنج ماژول مدیریت ریسک امنیت اطلاعات، مدیریت انطباق، مدیریت گردش کار، مدیریت مستندات و گزارشات ارائه نموده است.

نظرات کاربران

فلاح

شنبه ، ۱۶ آذر ماه ۹۸

با عرض سلام واحترام

بنده دانشجوی ارشد مدیریت صنعتی هستم

سوالی داشتم در مورد اینکه آیا شما با مدل TIPA آشنایی دارید و آیا اینکه از این مدل استفاده کرده اید؟

امیر خوانی

دوشنبه ، ۱۲ تیر ماه ۹۶

ضمن تشکر. یکی از موضوعات اساسی در نرم افزار استقرار سیستم مدیریت امنیت اطلاعات، تعیین رویکرد ارزیابی ریسک است. آیا نرم افزارهای سیستم مدیریت امنیت اطلاعات قابلیت تعیین رویکرد ارزیابی ریسک و معیار پذیرش ریسک را با توجه به معیارهایی نظیر ارزش دارایی، شدت آسیب پذیری و احتمال وقوع تهدید را دارند؟

میثم ارجمندفر

یک‌شنبه ، ۲۵ تیر ماه ۹۶

به نکته بسیار خوبی اشاره کردید. معمولاً نرم افزارهایی که در حال حاضر در بازار وجود دارند بر پایه یک متدولوژی خاص طراحی شده اند که معمولاً قابلیت تغییرات اساسی در رویکرد ارزیابی ریسک را ندارند اما در برخی از نرم افزارها قابلیت تغییر معیار پذیرش ریسک وجود دارد. لذا همانطور که در مقاله نیز اشاره نمودم با توجه به اینکه هر شرکت یا سازمان در یک حوزه و صنعت خاص ممکن است فعالیت داشته باشد، درنتیجه می توان رویکردهای متنوعی برای هر یک از این سازمان ها و شرکت ها متصور شد. لذا نرم افزاری که بتوانند از انعطاف پذیری مناسب جهت تغییرات اساسی در رویکرد ارزیابی ریسک برخوردار باشد، یک نرم افزار متمایز، برتر و جامع خواهد بود

فرزانه عابدی

یک‌شنبه ، ۰۴ تیر ماه ۹۶

سپاس از مقاله ارائه شده امکان معرفی چند نرم افزار جامع و کاربردی در این زمینه وجود دارد؟

میثم ارجمندفر

یک‌شنبه ، ۰۴ تیر ماه ۹۶

خیلی ممنون از توجهتون. باید عرض کنم که تا سالیان اخیر نرم افزاری که بتواند به صورت جامع کلیه جوانب سیستم مدیریت امنیت اطلاعات را تحت پوشش قرار دهد چه در نرم افزارهای داخلی و چه در نرم افزارهای خارجی مشاهده نشده بود.اما با تلاش مجموعه شرکت آشنا ایمن اولین نرم افزار جامع سیستم مدیریت امنیت اطلاعات به نام ایمن یار طراحی و بازار عرضه شده است که از قابلیت های بسیار مناسبی برخوردار است.