با سلام
عصر جدید عصر اطلاعات و فن آوری است و سرعت رشد فن آوری و تکنولوژی در این عصر بسیار سریع گشته . رسانه ها و
وسایل ارتباط جمعی نیز به این امر کمک زیادی نموده اند .
تفاوت اين عصر با ساير اعصار را بايستي در سرعت تغييرات فن آوري و رشد سريع و چشمگيرعلوم محسوب کرد که
همه اين ها را بايد مديون دسترسي وسيع همگاني به اطلاعات دانست.
همچنين برخي از انديشمندان ، دنياي امروز را دنيای اطلاعات ، سرعت وشتاب دانسته اند. به قول بيل گيتس اگر ويژگي
دهه 1980 رويکرد به کيفيت و دهه 1990 دوران مهندسي مجدد فرآيندها بوده است , دهه2000 را بايد دوران شتاب دانست.
یکی از همین فن آوریها و تکنولوژیها ، دنیای زیبا و جالب شبکه و در وسعت وسیع تری اینترنت است که باعث دسترسی سریع و
همگانی به اطلاعات شده و از این طریق میتوان به راحتی اطلاعات را به اشتراک گذاشت و یا اطلاعاتی را کسب نمود !
به اشتراک گذاری اطلاعات باعث رشد و شکوفایی بسیار شده و این امر موجب گردیده که اکثر کشورها سریعتر رشد و ارتقاء
پیدا کنند .
از سوی دیگر تولید ، ارائه و نقل و انتقال اطلاعات یا به نحوی میتوان گفت داد و ستد اطلاعات باعث رشد اقتصادی
میشود ولی در عین حال نگهداری و امنیت آن ، برای سازمان تولید کننده بسیار حیاتی است .
این اطلاعات هر روز وهر سال بیشتر و مهم تر میگردند ، این اطلاعات با ارزش ترین سرمایه سازمان ها می باشند و باعث
رقابت ما بین سازمانها می شوند .
از بین رفتن یا صدمه دیدن این اطلاعات حتی در حد شخصی باعث متضرر شدن شخص یا سازمان میشود چه از لحاظ زمانی
ویا مالی و حتی مهم تر اینکه باعث از دست دادن بازار رقابت و صنعت میگردد .
اطلاعات در دنیای انفورماتیک یا آی تی دو حالت را شامل میشود ، یا یک فرصت است یا یک تهدید ! به همان راحتی که
میتواند باعث پیشرفت و سازندگی شود در عین حال میتواند باعث از بین رفتن و سرنگونی نیزگردد . البته اگر به امنیت
آن توجه نکنیم .
چند مثال بابت درک بهتراین موضوع ارائه میکنم :
اطلاعات سازمان ثبت اسناد و املاک را اگر کسی تغییر دهد و یا از بین ببرد !!
یک کارخانه تولید مواد شیمیائی و یا همین نیروگاه های هسته ای را در نظر بگیرید اگر اطلاعات و اسناد محرمانه ی فرمولهای
ساخت مواد مربوطه به دست دیگران بیفتد !!!!
و کوچکترین قسمت آن همین رمز و پسورد کارتهای اعتباری و حسابهای بانکی شخصی !!!
لذا جهت حفظ اطلاعات و مديريت آنها و جلوگيري از هر گونه سوء استفاده مي بايست بر اساس آخرين دستاورد هاي روز دنيا و
استاندارد هاي مربوطه اقدام کرد و به روز بود .
در این راستا سازمانهای خاصی بوجود آمدند که استانداردهایی را در این زمینه معرفی کرده اند که مورد استفاده قرارمیگیرد.
تاريخچه ورود اين استانداردها با
BS 7799 شروع شده است كه در
دوره خود كاملترين و معروفترين استاندارد در اين زمينه بود.
اين استاندارد در سال 1987 توسط موسسه Commercial Computer Security Center(CCSC) بخش UK Department of
trade and industry تدوين گرديده سپس با توجه به گذشت زمان و تجارب مختلف از سنجش ميزان امنيت اطلاعات توسط CSC
و مرکز محاسبات بين المللي NCC ويک کنسرسيوم از کاربران يک نسخه استاندارد امنيت با عنوان مستندات راهبري PD003 در
انگلستان منتشر شد و نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد
ISO International Organization for Standardization ثبت گرديد .
در فوريه سال 1998 نسخه دوم اين استاندارد (BS 7799) تحت عنوان سيستم مديريت امنيت اطلاعات ISMS)) منتشر شد.
در سال 2000 با افزودن الحاقيه اي به استاندارد BS7799 که به عنوان ISO ثبت شده بود اين استاندارد تحت عنوان راهنماي
اجراي استاندارد امنيت اطلاعاتISO/IEC 17799 به ثبت رسيد.
استاندارد BS7799 در سال 2002 مجدداٌ مورد بازنگري قرار گرفت و نها يتاٌ آخرين ويرايش استاندارد ISMS در28 ژوئن
سال 2005 تحت عنوان ISO/IEC FDIS 27001:2005 (Draft BS7799-2:2005) توسط کميته IST/33 سازمان ISO چاپ
و منتشر شد.
البته بعد از چند مدت این سازمان به این نتیجه رسید که یک استاندارد جوابگوی نیازهای جامعه جهانی در مورد برقراری امنیت نمی باشد لذا
اقدام به تهیه یک استاندارد کلی و سر فصلی نمود که شامل مجموعه ای از استاندارد ها می باشد به نام ISO27000 که چند مورد از آنها
را در ذیل نام میبرم و مختصری در مورد هر یک از آنها و خصوصیات مربوطه توضیح میدهم :
ISO27000 : مقدمه و مروری بر استانداردهای خانواده
ISMS به همراه تعریف واژگان رایج مورد استفاده.
Information Security Management System (ISMS)
سيستم مديريت امنيت اطلاعات( ISO 27001 )
ISO27001 : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمانها جهت اخذ گواهینامه.
ISO27002 : مجموعه ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای ISMS.
ISO27003 : راهنمای پیاده سازی ISMS.
ISO27004 : استاندارد اندازه گیری و تعیین سطح مدیریت امنیت اطلاعات.
ISO27005 : استاندارد مدیریت ریسک در امنیت اطلاعات.
ISO27006 : راهنمای مراحل دریافت گواهینامه.
ISO27007 : راهنمای بازرسی و نظارت بر ISMS.
ISO27011 : راهنمایی پیاده سازی ISMS در صنعت مخابرات.
ISO27799 : راهنمای پیاده سازی ISMS در حوزه سلامت.
مهم ترین موارد ارائه شده در اين استاندارد ها به شرح زير مي باشد :
1- تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيت
2- تکنيک هاي مورد استفاده در هر مرحله از ايمن سازي و جزئيات آن
3- خط مشي امنيتي و طرح ها و برنامه هاي تدوين شده و مورد نياز سازمان در اين زمينه
4- شناسايي ، ارزيابي و تدوين راه کارهاي برخورد با مخاطرات ( Risks ) در سازمان
5- نياز و نحوه ايجاد تشکيلات سياست گذاري ، اجرائي و فني در زمينه امنيت فضاي تبادل اطلاعات ( افتا )
6- کنترل هاي امنيتي مورد نياز براي حفاظت از سيستم هاي اطلاعاتي و ارتباطي
در ادامه باید عرض کنم که اکثر نهادها و سازمانها اولین راهکار برای امنیت را، استفاده از دیواره های آتشین یا فایروالها و آنتی ویروسهای
گرانقیمت درسیستم های رایانه ای خویش در نظر میگیرند ولی آیا به نظر شما استفاده از این امکانات بدون محاسبه دقیق و در نظر گرفتن
نیازهای یک سازمان تحت یک استاندارد خاص چاره ساز است ؟
ISMS به مديران اين امکان را مي دهد تا بتوانند امنيت سيستم های خود را با به حداقل رساندن ريسک های امنيتي و تجاری کنترل کنند.
یک مدیر با تجربه و تحصیل کرده همواره به فکر مدون سازی یک برنامه و سیستم منظم مخصوص سازمان خویش بر اساس استاندارد
و برنامه جامع امنیتی است .
یک سیستم جامع امنیتی بر چند اصل پایدار می باشد که به شرح ذیل است :
1- سياست ها و دستورالعملهاي امنيتي
2- تکنولوژي و محصولات امنيتي
3- عوامل اجرايي
سياست ها و دستورالعملهاي امنيتي : در این مرحله برنامه های مربوط به شیوه نگهداری از سیستم های اطلاعاتی و دیتا های آنها مورد توجه قرار
میگیرد . قوانین امنیتی در این مرحله شامل دو بخش است که در قسمت اول مشخص نمودن لایه های امنیتی مطلوب و ارائه استاندارد امنیتی مربوط
ودر قسمت بعدی ارائه راهکارهای امنیتی و به کارگرفتن آنها برای رسیدن به هدف می باشد .
تکنولوژي و محصولات امنيتي : در این مرحله کلیه راهکارهای امنیتی اعم از آنتی ویروسها و فایروالها و نظارت دقیق بر شبکه و سیستم های
کنترل کننده اعمال میشود .
عوامل اجرائی : در این مرحله مدیران و پرسنل و افراد مربوطه قرار میگیرند .
ادامه دارد .
کیوان دارابخانی