بانک مقالات جهان اسلام

کشورهای اسلامی

نویسنده : محمد مصلحی ; ساعت ۱٠:۱٢ ‎ق.ظ روز چهارشنبه ٢۱ اسفند ۱۳۸٧

خبرگزاری فارس

نویسنده: رحمت ‌اله امیرصوفی


چکیده:
باتوجه به رشد چشمگیرفناوری اطلاعات وارتباطات (ICT) دراواخرقرن بیستم وظهورعصر دانایی و اطلاعات درقرن حاضر، لزوم توسعه و بکارگیری فناوری اطلاعات وارتباطات (تکفا) درسطح کشور و نیز در حوزه دفاعی(تکفاد) میهن اسلامی باعنایت به نقش و تاثیرگذاری آن برسامانه های C4I بنحو بارزی احساس می شود .لیکن یکی ازموانع عمده، تهدیدات امنیتی شایع ناشی ازفناوری اطلاعات وارتباطات میباشدکه درصورت وقوع جدی این تهدیدات بشکل حملات اطلاعاتی وجنگ اطلاعات میتوان گفت مرزهای جغرافیایی وخط مقدم جبهه مفهوم خودرا ازدست داده وسامانه هاوشبکه های حیاتی کشور نظیر شبکه‌های نظامی ،مخابراتی ، آب ، برق ، گاز و شبکه‌های بانکی و تجاری کشوردچارخدشه وآسیب های شدید میگردند [1] . بنابراین لازم
است علاوه برتوسعه وکاربری به تسلط بر فناوری اطلاعات وارتباطات بویژه درحوزه دفاعی پرداخته شود. لذا دراین نوشتار ضمن بررسی اجمالی و مروری بر استانداردهای امنیتی، اهمیت و نقش سیستم مدیریت امنیت اطلاعات (ISMS) در سازمان‏های دفاعی مورد بررسی وتحلیل قرار می گیرد.

واژه های کلیدی : سیستم مدیریت امنیت اطلاعات (ISMS ) - تتفاد-BS7799 -ICT و C4 I




1. مقدمه
فواید استفاده از فناوریهای نوین مرتبط با پردازش اطلاعات از جمله کامپیوتر و شبکه‌های کامپیوتری امری بدیهی است. یکی از لوازم و پیش نیازهای اعتماد و اتکال به این فناوریها اطمینان از برآورده شدن نیازهای امنیتی سازمانها (خصوصا سازمانهای نظامی با اطلاعات محرمانه) در بستر این فناوریها است. اینکه منظور از امنیت چیست و چه مکانیزمهایی برای رسیدن به امنیت مورد نظر وجود دارد وابسته به نوع سازمان و نیازهای سازمان است و هیچ دستورالعمل مشخصی و دقیقی از آن وجود ندارد ، البته استانداردهای بین المللی همانند BS7799 وجود دارد که سعی در ارایه مفهوم و هدف امنیت و راهکارها و مکانیزم های برقراری امنیت دارد [8] این استانداردها بر اساس تجربه عملی چند ده ساله بسیاری از سازمانها که سعی در تأمین امنیت معقول و مناسب سازمان خود داشته‌اند تدوین شده است. لذا می‌تواند به عنوان مرجع مقدمه و چارچوبی برای برقراری امنیت اطلاعات در سازمان باشد. بنابر ادعای این استانداردها برقراری امنیت اطلاعات در یک سازمان نیاز به انجام یک فرایند تحلیل مخاطره ( شامل شناسایی تهدیدها، نقاط آسیب پذیری و منابع اطلاعاتی با ارزش سازمان ) دارد. بر اساس نتایج این تحلیل و با استفاده از موارد مذکور در استاندارد می‌توان طرح عملی امن‌سازی سیستم اطلاعاتی یک سازمان را ارایه کرد. ، اهمیت این تحلیل ریسک تا حدی است که ممیزان سازمان استاندارد جهانی BS7799 برای اعطای گواهینامه استاندارد، انجام یک فرایند تحلیل مخاطره را اجباری می‌دانند و جزء بندهای اصلی ممیزی آنها می‌باشد. [1] ، .بر خلاف دید قالب در مورد امنیت سیستم‌های اطلاعاتی مبتنی بر کامپیوتر، امنیت اطلاعات فقط اتخاذ روشهای قوی رمزنگاری، نصب دیواره آتش و کلمه رمز عبور قوی نیست. این موارد تنها بعد فنی امنیت اطلاعات است. حتی در صورتی که شما حداکثر کنترل‌های فنی امنیتی را در سازمان خود پیاده‌سازی کرده باشید.
• یک کاربر ناآگاه می‌تواند با دیدن یک فایل تصویریgif. تمام معادلات امنیتی شما را بهم بزند.
• ضعف در قوانین اداری در کنترل دسترسی فیزیکی افراد به ماشین سرویس دهنده نامه الکترونیکی می‌تواند باعث لو رفتن
• تمام نامه‌های افراد سازمان شود.
• عدم وجود یک سیستم که به صورت مستمر هنگام تغییر در سیستم کامپیوتری یک تحلیل روی نقاط آسیب پذیری شبکه انجام می‌دهد، امنیت را پس از هر تغییر زیر سوال می‌برد.
• عدم وجود یک تشکیلات مدیریتی برای تصمیم گیری‌های کلان در امنیت هنگام بروز بحران یا هنگام تغییرات اساسی در خط مشی تشکیلات سازمان باعث بروز مشکلات جدی در سازمان خواهد شد [2] .
2. ارزیابی فضای امنیتی موجود
موارد ذکرشده درمقدمه ، مثالهایی هستند که نشان می‌دهند که امنیت فقط در بعد فنی آن خلاصه نمی‌شود و نیاز به روالهای اداری و تشکیلات سازمانی و مدیریتی دارد. ، امنیت یک فرایند مستمر است و برقراری امنیت در یک برهه‌ی زمان ( حتی به صورت کامل) به معنای امنیت برای همیشه نیست. لازم بذکراست که در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه سازمانهای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات سازمان‌های دولتی اشاره نمود. ، بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت‌هائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد. از سوی دیگر، وجود زیرساخت‌های فوق، قطعا تاثیر بسزائی در ایمن‌سازی فضای تبادل اطلاعات سازمانهای دولتی خواهد داشت. [3] .
صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات سازمان‌های دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح سازمان‌ها شده و کاهش اعتبار این سازمان‌ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات سازمان‌های دولتی بویژه درحوزه دفاعی ، لازم و ضروری به نظر می‌رسد. . این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت سازمان‌های دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت. [3] .
3. استاندارد امنیتی BS7799
BS7799 استانداردی در جهت بالابردن امنیت اطلاعات در سازمان و شرکت ها می باشد. با کمک این استاندارد کلیه دارایی ها لیست و طبقه بندی شده ، تهدیدها و نقاط ضعف امنیتی مشخص می شوند و درنهایت کنترل های مختلف برای هریک از این موارد لحاظ می شوند. در واقع BS7799 نیاز سازمان ها را در پیاده سازی یک قالب موفق امنیتی برآورده می سازد [1]. استاندارد BS7799 حفاظت از اطلاعات را در سه مفهوم خاص یعنی قابل اطمینان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعریف می کند [9].
4. سیستم مدیریت امنیت اطلاعات
4.1. الزامات عمومی
سازمان‌ها مایل به توسعه، پیاده‌سازی، نگهداری و استمرار سیستم مدیریت امنیت اطلاعات (ISMS) در متن و درون فعالیت‌های کاری خود می‌باشد، لذا جهت برآورده شدن مقاصد این استاندارد بین المللی از فرایندی مبتنی بر مدل PDCA استفاده می‌نماید[4] .
4.2. ایجاد و مدیریت سیستم مدیریت امنیت اطلاعات (ISMS)
سیستم مدیریت امنیت اطلاعات یا Information security Management system، سیستمی برای پیاده‌سازی کنترل‌های امنیتی استاندارد BS7799 می‌باشد که با برقراری زیرساخت‌های مورد نیاز، ایمنی اطلاعات را تضمین می‌نماید. و همانطور که در بالا اشاره شده مدل PDCA ساختاری است که در پیاده‌سازی ISMS بکار برده می‌شود.
مراحل شش‌گانه ایجاد سیستم مدیریت امنیت اطلاعات (ISMS) عبارتند از:
الف- تعیین و تعریف محدوده عملیاتی ( ISMS (scope
این محدوده می‌تواند شامل مشخصات فعالیت‌های تجاری و کاری، سازمان، محل‌های مورد نظر از آن، داراییها و فناوری‌ها باشد.
ب- تعریف و تدوین سیاست ISMS که با توجه به تعیین محدوده عملیاتی در برگیرنده موارد ذیل می‌باشد.
1. شامل یک چارچوب برای تنظیم اهداف سازی و پی‌ریزی و استخراج یک سری قواعد کلی و دستورالعمل‌های امنیتی جهت حفاظت از اطلاعات سازمان
2. مد نظر قرار دادن نیازمندی‌های کاری و قانونی یا انظباطی و الزامات امنیتی مندرج در قرارداد.
3. بنیان نهادن مدیریت مخاطره و تشکیلات امنیت سازمانی جهت استقرار سیستم ISMS و نگهداری آن
4. ایجاد معیاری جهت مقابله با مخاطرات ارزیابی شده و ساختمان برآورد میزان مخاطره
5. و بعد از تدوین و گردآوری سند سیاست ISMS ، بایستی توسط مدیر ارشد سازمان مورد تایید و تصویب قرار گیرد.
ج- تعریف یک رویکرد سیستماتیک برای برآورد میزان ریسک و مخاطره تعیین یک روش برآورد و ارزیابی میزان مخاطره مناسب و مرتبط با ISMS و تعیین امنیت اطلاعات کاری و تجاری،‌ الزامات انظباطی و قانونی، تنظیم اهداف و سیاست‌های ISMS در راستای کاهش میزان مخاطرات به سطوح قابل قبول.
تعیین معیاری برای پذیرش مخاطرات و استخراج سطوح قابل قبول مخاطرات (شکل 1-5)
د- تعیین مخاطرات
• تعیین داراییها داخل محدوده عملیاتی و مالکین مربوطه
• تعیین تهدیدات موجود بر علیه داراییها
• تعیین نقاط آسیب‌پذیری که ممکن است توسط تهدیدات امنیت مورد سوء استفاده و رخنه قرار گیرند.
• تعیین صدماتی که باعث خدشه یا از دست رفتن پارامترهای مهم امنیتی نظیر محرمانگی اطلاعات، صحت و یکپارچگی آن و در دسترس بودن می‌گردد.
هـ ) برآورد میزان مخاطرات
[1] برآورد زیان‌های کاری ناشی از یک اشکال و خطای امنیتی. در این امر بایستی پیامدهای احتمالی ناشی از دست رفتن محرمانگی، یکپارچگی و در دسترس بودن دارایی‌ها را مد نظر قرار داد.
[2] برآورد واقع گرایانه احتمال یک چنین اشکال امنیتی که تحت تهدیدات و آسیب‌پذیری‌های متداول رخ می‌دهد و همچنین برآورد تاثیراتی که بر این داراییها اعمال می‌شود وکنترل هایی که در حال حاضر اعمال می‌شود.
[3] تخمین سطوح مخاطرات
[4] تعیین مخاطرات قابل قبول یا نحوه مقابله و برخورد با آنها با استفاده از معیار بدست آمده در بخش ج1-2-4
و- شناسایی و ارزیابی حالت‌های مختلف، مقابله با مخاطرات:
فعالیت‌های ممکنه عبارتند از:
? اعمال کنترل‌های مناسب
? قبول هدفمند و عمدی مخاطرات به شرط آنکه، این مخاطرات بوضوح سیاست‌ها و معیارهای سازمان در زمینه پذیرش مخاطره، برآورده نماید.
? اجتناب و پرهیز از مخاطرات
? انتقال مخاطرات کسب و کاری اجتناب‌ناپذیر به طرف‌های دیگر مانند شرکت‌های بیمه و عرضه کننده
ز- گزینش اهداف کنترلی و کنترل‌های مربوط به مقابله با مخاطرات
اهداف کنترلی و کنترل‌ها، بایستی از ضمیمه A ، این استاندارد انتخاب شوند و این گزینش بایستی بر اساس نتیجه‌گیری‌های حاصله از فرایند تشخیص و نحوه مقابله با مخاطره توجیه شود.
نکته: اهداف کنترلی و کنترل‌های فهرست شده در ضمیمه A جامع و کامل نیستند و می توان اهداف کنترلی و کنترل‌های اضافی دیگر برگزید.
ح- تهیه بیانیه کاربردی و عملی
اهداف کنترلی و کنترل‌های ذکر شده و دلایل انتخاب آنها بایستی در بیانیه مذکور ذکر شود، همچنین هرگونه استثنای اهداف کنترلی و کنترل‌های فهرست در ضمیمه A بایستی ثبت شود.
ط- موافقت مدیریت نسبت به مخاطرات پیشنهادی اضافی و مجوز پیاده‌سازی و اجرای ISMS را کسب نمود[7] .
4.3. پیاده ‌سازی و اجرای سیستم مدیریت امنیت اطلاعات ISMS در سازمان
الف- بایستی یک طرح و برنامه مقابله با مخاطره که قادر باشد، فعالیت، مسئولیت‌ها و اولویت‌های مناسب مدیریت را در راستای مدیریت نمودن بر مخاطرات امنیتی اطلاعات را شناسایی نماید،فرموله و ارائه نماید.
ب- به منظور نیل به اهداف کنترلی شناسایی شده، که بایستی طرح مقابله با مخاطره و ریسک را پیاده‌سازی نماید که در این راستا،‌ ملحوظ داشتن هزینه‌ها، و اختصاص مسئولیت‌ها و نقش‌ها نیز مطرح می‌باشد.
ج- کنترل‌های انتخاب شده را پیاده‌سازی نماید تا اهداف کنترلی را برآورده سازد.
د- برنامه‌های آموزشی و آگاه‌سازی را اجرا نماید
هـ ) عملیات را مدیریت نماید.
و- منابع را بایستی مدیریت نماید
ز- روندها و دیگر کنترل‌هایی را که ظرفیت آشکارسازی و عکس‌العمل نشان دادن سریع نسبت به حوادث امنیتی را داشته باشند،‌ بمرحله اجرا بگذارد[5] .
4.4. نظارت و مرور بر سیستم مدیریت امنیت اطلاعات (ISMS)
سازمان بایستی در رابطه با نظارت موارد ذیل را انجام دهد.
الف- لازم است بمنظور کسب نتایج ذیل،‌ روندهای نظارتی و سایر کنترل‌ها را اجرا نماید.
• آشکارسازی خطاها در پردازش بطور آنی
• تخلفات و رخدادهای امنیتی موفق یا ناموفق را بطور آنی شناسایی نماید.
• مدیریت را قادر بسازد که مشخص نماید آیا فعالیت‌های امنیتی محوله به افراد یا انجام شده بوسیله فناوری اطلاعات (IT) بنحو مورد انتظار صورت گرفته است یا خیر.
• فعالیت‌های انجام شده برای رفع یک تخلف امنیتی را مشخص نماید که معرف اولویت‌های کاری می‌باشند.
ب) مرور منظم میزان اثربخشی سیستم مدیریت امنیت اطلاعات ISMS را (از جمله میزان برآورده سازی سیاست و اهداف امنیتی و مرور کنترل‌های امنیتی)،‌ نتایج بازرسی‌ها و حوادث،‌ پیشنهادات و بازخوردهای امنیتی برگرفته از تمام طرف‌های ذیربط بر عهده بگیرد.
ج) سطح مخاطره باقیمانده و مخاطره قابل قبول را با در نظر گرفتن تحولات بخش‌های ذیل مورد تجدید نظر و مرور قرار دهد.
• سازمان
• فناوری
• اهداف و فرایندهای کاری
• تهدیدات شناسایی شده
• رخدادهای بیرونی نظیر تحول در محیط قانونی و انضباطی و تحولات اجتماعی
د- بازرسی‌های ISMS داخلی را در فواصل زمانی از پیش تعیین اجرا نماید.
هـ ) بطور منظم (حداقل سالی یکبار) تجدید نظر مدیریتی بر روی ISMS را اجرا نموده تا مطمئن شود که محدوده، گستره کار مناسب بوده و بهسازی‌های داخل فرایند ISMS شناسایی گردند
وـ فعالیت‌ها و رخدادهایی که می‌تواند به میزان اثربخشی یا عملکرد ISMS تاثیر گذارند را ثبت نماید [8] .


4.5. حفظ و بهسازی ISMS
سازمان بایستی بطور منظم کارهای ذیل را انجام دهد.
الف- بهسازی‌های شناسایی شده از برای ISMS را پیاده‌سازی نماید.
ب- اقدامات اصلاحی و پیشگیرانه مناسب را مبذول نماید. درس‌های امنیت فرا گرفته شده از تجارب امنیتی دیگر سازمان‌ها و خود سازمان را بکار بگیرد.
ج- نتایج و فعالیت‌های مزبور را با کلیه طرف‌های ذیربط و ذینفع در تعامل بگذارد.
د- اطمینان حاصل نماید که بهسازی‌های اعمال شده، مثمر ثمر بوده باشند[10] .
4.6. الزامات مستندسازی
کلیات
مستندات و مدارک ISMS بایستی شامل موارد ذیل باشد:‌
الف- بیانیه‌های مستند شده مربوط به سیاست امنیتی و اهداف کنترلی
ب- محدوده و گستره ISMS وروندها و کنترل‌های پشتیبان ISMS
ج- گزارش تشخیص و برآورد مخاطره
د- طرح ونقشه مقابله با مخاطره و ریسک
هـ - مراحل کاری مستند شده لازم برای سازمان که اطمینان حاصل شود برنامه‌ریزی و عملیات و کنترل فرایندهای امنیت اطلاعاتی آن ثمر بخش می‌باشد.
و- سوابق لازم که توسط استاندارد BS7799 اعلام گردیده است.
زـ بیانیه کاربردی
کلیه مستندات بایستی همچنانکه سیاست ISMS ملزم می‌نماید، در دسترس باشند.
نکته 1: در جاییکه عبارت روند مستندسازی شده (مراحل کاری مستند شده) در این استاندارد مورد اشاره قرار می‌گیرد منظور این است که روند مورد نظر، مستند، اجرا و حفظ و ابقا گردیده است.
نکته 2: گستره مستندات ISMS از سازمانی به سازمان دیگر، بسته به موارد ذیل می‌تواند متفاوت باشد.
• اندازه سازمان و نوع فعالیت‌هایش
• گستره و پیچیدگی الزامات امنیتی و سیستم مورد اداره
نکته 3: مستندات و سوابق می‌توانند به هر شکل از رسانه‌ها بطور مثال مکتوب یا نشر الکترونیکی باشند.


4.6.1. کنترل مستندات
مستندات لازمه ISMS بایستی حفظ و کنترل شود. برای تعریف اقدامات مدیریت بایستی یک روند مستند شده پایه‌ریزی گردد تا :‌
الف- مستندات به لحاظ کفایت و عدم نقض قبل از انتشار تصویب گردند.
ب- مستندات به میزان ضروری مورد تجدید نظر و به روز گردیده و مجدداً تصویب شوند.
ج- این اطمینان حاصل شود که تغییرات انجام شده و وضعیت فعلی نیاز یا عدم نیاز به تجدید نظر مشخص گردد.
د- این اطمینان حاصل شود که در محل‌هایی که لازم باشد آخرین نگارش‌های اسناد مربوط در دسترس باشد.
هـ - این اطمینان حاصل شود که مستندات خوانا و به سهولت قابل شناسایی باشند.
و- اسناد با ریشه خارج از سازمان (بیرونی) قابل شناسایی باشند.
ز- این اطمینان حاصل شود که توزیع مستندات کنترل شده باشد.
ح- از اسناد منسوخ، استفاده سهوی نشود.
ط- اگر قرار است به هر دلیلی اسناد منسوخ نگهداری شوند، به آنها برچسب شناسایی مناسب، زده شود[6] .
4.6.2. کنترل سوابق
لازم است به منظور تهیه شواهد انطباق با الزامات و همچنین عملکرد ثمر بخش ISMS سوابقی تهیه و نگهداری شود. این سوابق بایستی کنترل گردند. ISMS با هرگونه الزامات قانونی مرتبط را بایستی هماهنگ شده باشد. سوابق بایستی خوانا، سهل الوصول و به راحتی قابل شناسایی باشند. کنترل‌های لازم برای شناسایی، انباشت، حفاظت، بازیابی، طول مدت نگهداری و نحوه چیدمان سوابق بایستی مستند گردند. یک فرایند مدیریت بایستی نیاز به سوابق و گستره آنها را مشخص کند.
سوابق عملکرد فرایند، و نیز کلیه رخدادهای حوادث امنیتی مرتبط با ISMS نگهداری شوند.
مثال:‌
مثال‌های سوابق نظیر دفترچه ثبت ملاقات کنندگان، سوابق بازرسی و مجوز دسترسی
5. مسئولیت مدیریت
5.1. تعهد مدیریت
مدیریت بایستی شواهد تعهدش را نسبت به پایه‌ریزی، پیاده‌سازی، اجرا، نظارت ، مرور، نگهداری و بهسازی ISMS بطرق ذیل ارائه نماید.
الف- با پایه‌ریزی یک خط مشی و سیاست امنیت اطلاعات
ب- تضمین آنکه اهداف و طرح‌های امنیت اطلاعات پایه‌ریزی شده‌اند.
ج- پایه‌ریزی نقش‌ها و مسئولیت‌ها از برای امنیت اطلاعات
د- انتقال اهمیت برآورده سازی اهداف امنیتی اطلاعات و تطابق با سیاست امنیتی اطلاعات، مسئولیت‌های سازمان بر اساس قانون و نیاز به بهبود مستمر به کلیه قسمت‌های سازمان
هـ ـ مهیا نمودن منابع کافی به منظور توسعه، پیاده‌سازی، عملیات و نگهداری ISMS
و- تعیین سطح قابل قبول مخاطره
ز- اعمال تجدید نظرهای مدیریت ISMS
5.2. مدیریت منابع
سازمان بایستی منابع مورد نیاز را مشخص و فراهم نماید تا :‌
الف- یک ISMS را پایه‌ریزی، پیاده‌سازی، عملیاتی و حفظ نماید.
ب- تضمین نماید که مراحل کاری یا روندهای امنیتی اطلاعات، الزامات کاری را حمایت و پشتیبانی نماید.
ج- الزامات قانونی و انضباطی و وظایف امنیتی ناشی از قرارداد را شناسایی و مورد بررسی قرار دهد.
د- امنیت کافی را بوسیله کاربری صحیح کلیه کنترل‌های پیاده‌سازی شده برقرار سازد.
هـ ) هنگام ضرورت تجدید نظرهای لازم را اجرا نموده و بطور مناسب در برابر نتایج این تجدید نظر، عکس‌العمل نشان دهد.
و- جاییکه مورد نیاز باشد، میزان ثمر بخش بودن ISMS را بهبود بخشد[5] .
5.3. آموزش، آگاهی و شایستگی
سازمان بایستی مطمئن شود که تمام افراد دارای مسئولیت تعریف شده در سیستم مدیریت امنیت اطلاعات (ISMS) سازمان دارای صلاحیت و شایستگی لازم برای انجام وظایف محوله طبق پارامترهای ذیل می‌باشند.
الف- تعیین صلاحیت‌های لازم برای افراد کلیدی و موثر در ISMS.
ب- فراهم نمودن آموزش شایستگی و احراز صلاحیت و در صورت لزوم، استخدام افراد مجرب و خبره برای ارضا و برآورده نمودن این نیازها.
ج- ارزیابی و سنجش اثربخشی آموزش تدارک دیده شده و فعالیت‌های صورت گرفته.
د- حفظ و نگهداری سوابق آموزشی، مهارت‌ها، تجارب و گواهینامه‌های افراد
سازمان بایستی مطمئن شود که تمام افراد ذیربط از اهمیت و لزوم تعامل در فعالیت‌های امنیتی اطلاعاتی‌شان آگاه بوده و برای نیل به اهداف ISMS دارای قابلیت‌های مشارکتی و تعامل خوب با یکدیگر باشند[8] .
5.4. تجدید نظر و بازنگری مدیریتی از سیستم مدیریت امنیت اطلاعات (ISMS)
مدیریت ارشد سازمان بایستی سیستم مدیریت امنیت اطلاعات (ISMS) را در فواصل طرح‌ریزی شده به منظور اطمینان از تداوم تناسب، کفایت و اثربخشی آن، مورد بازنگری قرار دهد. این بازنگری باید شامل ارزیابی فرصت‌ها برای بهبود و نیاز به اعمال تغییرات در ISMS شامل خط مشی و سیاست امنیتی و اهداف امنیتی باشند. نتایج بازنگری‌ها بایستی بطور شفاف مدون و سوابق آن حفظ و نگهداری شوند.
5.4.1. ورودی‌های بازنگری
ورودی‌های بازنگری مدیریت باید حاوی اطلاعات ذیل باشند.
الف- نتایج ممیزی‌های ISMS و بازنگری‌ها
ب- فیدبک و بازخورد از بخش‌های مورد نظر و مرتبط با ISMS
ج- تکنیک‌ها، تولیدات با روش‌هایی که بایستی توسط سازمان در راستای بهینه‌سازی عملکرد ISMS و اثربخشی آن، مورد استفاده قرار بگیرد.
د- وضعیت اقدامات پیشگیرانه و اصلاحی
هـ - آسیب‌پذیری‌ها یا تهدیداتی که در تحلیل و برآورد مخاطره قبلی بدرستی و بطور مناسب در نظر گرفته نشده‌اند.
و- پیگیری اقدامات تعیین شده در بازنگری قبلی مدیریت
ز- اعمال هر گونه تغییرات که می‌تواند بر ISMS تاثیر گذارد.
ح- پیشنهادات و توصیه‌هایی برای بهبود ISMS
5.4.2. خروجی‌های بازنگری
خروجی‌های بازنگری مدیریت بایستی تمامی تصمیم‌گیری‌ها و اقدامات مربوط به موارد ذیل را شامل شوند:‌
الف- بهبود اثربخشی ISMS
ب- تغییر و اصلاح روش‌های اجرایی که بر امنیت اطلاعات اثر می‌گذارد.
• الزامات کاری
• الزامات امنیتی
• فرایندهای کاری برالزامات کاری موجود تاثیر می گذارد
• محیط قانونی یا انضباطی
• سطوح مخاطرات یا سطوح پذیرش مخاطره
• منابع مورد نیاز
6. ممیزی‌های داخلی ISMS
سازمان بایستی ممیزهای داخلی ISMS را در فواصل زمانی مشخص و تعیین شده جهت سنجش اهداف کنترلی،‌ کنترل‌ها، فرایندها و روش‌های سیستم مدیریت امنیت اطلاعات (ISMS) مستقر در سازمان انجام دهد:‌
الف- انطباق با الزامات استاندارد BS7799 و مرتبط با قوانین و قواعد
ب- انطباق با الزامات امنیت اطلاعات شناسایی شده‌
ج- تاثیر آن در پیاده‌سازی و حفظ و نگهداری
د- عملکرد مورد انتظار
یک برنامه ممیزی با لحاظ نمودن ملاحظاتی نظیر وضعیت و اهمیت فرایندها و نواحی که بایستی ممیزی شوند، لازم است طراحی گردد یعنی نتایج بازبینی‌های قبلی. معیار ممیزی‌ها، محدوده ممیزی، تاثیر و روش‌های ممیزی بایستی تعریف شوند. گزینش و انتخاب ممیزان و انجام ممیزها بایستی تضمین کننده اهداف و بی‌طرفی فرایند ممیزی باشد. ممیزان نبایست کارهای خودشان را ممیزی نمایند. در یک روش اجرایی مدون، بایستی مسئولیت‌ها و الزامات برنامه‌ریزی و هدایت ممیزی‌ها و گزارش نتایج و نگهداری سوابق تعریف شوند. مدیریت مسئول ناحیه تحت ممیزی باید اطمینان یابد که اقدامات لازم برای حذف عدم انطباق‌های کشف شده و علل آنها، بدون تاخیرهای بی‌مورد صورت گرفته‌اند. فعالیت‌های پیگیری شده جهت بهبود بایستی شامل تصدیق فعالیت‌های انجام گرفته و گزارش تصدیق نتایج باشند .
7. بهبود سیستم مدیریت امنیت اطلاعات ( ISMS)
7.1. بهبود مستمر
سازمان بایستی از طریق بکارگیری سیاست و خط مشی امنیتی اطلاعات، اهداف امنیتی، نتایج ممیزی، تجزیه و تحلیل رخدادهای مشاهده شده، اقدامات اصلاحی پیشگیرانه و بازنگری مدیریت. اثربخشی سیستم مدیریت امنیت (ISMS) را به طور مستمر بهبود بخشد.
7.2. اقدامات اصلاحی
سازمان بایستی اقداماتی را برای حذف علل عدم انطباق‌های مرتبط با پیاده‌سازی و عملکرد ISMS انجام دهد تا از وقوع مجدد آنها جلوگیری شود. اقدامات اصلاحی بایستی با اثرات عدم انطباق‌های ایجاد شده، متناسب باشند. باید یک روش اجرایی مدون پایه‌گذاری نمود تا الزامات مربوطه به موارد زیر را تعریف نماید.
الف- شناسایی عدم انطباق‌های پیاده‌سازی یا عملکرد ISMS.
ب- تعیین علل بروز عدم انطباق‌ها
ج- ارزیابی اقدامات لازم برای حصول اطمینان از تکرار نشدن عدم انطباق‌ها.
د- تعیین و پیاده‌سازی اقدامات اصلاحی مورد نیاز.
هـ - ثبت سوابق مربوطه به نتایج اقدامات صورت گرفته
و- بازنگری اقدامات اصلاحی انجام شده.
7.3. اقدامات پیشگیرانه
سازمان بایستی اقداماتی را برای حذف علل عدم انطباق‌های بالقوه و آتی انجام دهد تا از وقوع آنها جلوگیری شود. اقدامات پیشگیرانه بایستی متناسب با اثرات مشکلات بالقوه باشد. باید یک روش اجرایی مدون پایه‌گذاری گردد تا الزامات مربوطه به موارد ذیل را تعریف نماید.
الف- شناسایی عدم انطباق‌های بالقوه و علل آنها
ب- تعیین و پیاده‌سازی اقدامات پیشگیرانه مورد نیاز
ج- ثبت سوابق مربوطه به نتایج اقدامات صورت گرفته
د- بازنگری اقدامات پیشگیرانه انجام شده
ه ـ شناسایی مخاطرات تغییر یافته و اطمینان از اینکه روی مخاطرات تغییر یافته با اهمیت توجه و تمرکز باشد.
اولویت‌ اقدامات پیشگیرانه بایستی مبتنی بر نتایج ارزیابی و برآورد مخاطره باشد[7] .


8. جمع بندی
• امنیت فقط در بعد فنی آن خلاصه نمی‌شود و نیاز به روالهای اداری و تشکیلات سازمانی و مدیریتی دارد.
• راهبردهای کوتاه مدت امنیت عبارتند از : شناسائی و رفع ضعفهای امنیتی ، آگاهی‌رسانی به کاربران و کنترل و اعمال محدودیت در ارتباطات شبکه داخلی سازمان
• جلوگیری از حملات و دسترسی‌های غیرمجاز، علیه سرمایه‌های فضای تبادل اطلاعات سازمان
• مهار خسارتهای ناشی از ناامنی موجود در فضای تبادل اطلاعات سازمان
• کاهش رخنه‌پذیریهای سرمایه‌های فضای تبادل اطلاعات سازمان
• نمونه‌هائی از اهداف میان مدت امنیت :
• تامین صحت عملکرد، قابلیت دسترسی و محافظت فیزیکی برای سخت‌افزارها، متناسب با حساسیت آنها.
• تامین صحت عملکرد و قابلیت دسترسی برای نرم‌افزارها، متناسب با حساسیت آنها.
• تامین محرمانگی، صحت و قابلیت دسترسی برای اطلاعات، متناسب با طبقه‌بندی اطلاعات از حیث محرمانگی.
• تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات، متناسب با طبقه‌بندی اطلاعات از حیث محرمانگی و حساسیت ارتباطات.
• تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئی، حریم خصوصی و آگاهی‌رسانی امنیتی برای کاربران شبکه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع کاربران .
• اقدامات پیشگیرانه اغلب از اقدامات اصلاحی ارجح تر وباصرفه تر می‌باشند.

9. منابع و مراجع
1. http://www.sgnec.net/Articledet-f.asp?number=39
2. http://www.sgnec.net/Articledet-f.asp?number=41
3. http://www.sgnec.net/Articledet-f.asp?number=43
4. http://www.sgnec.net/Articledet-f.asp?number=46
5. http://www.iwar.org.uk/comsec/resources/bs7799/works.htm
6. http://www.gammassl.co.uk/bs7799/works.html
7. http://www.sgnec.net/Articledet-f.asp?number=47
8. http://www.sgnec.net/bs7799.asp
9. http://www.sgnec.net/Articledet-f.asp?number=48
10. http://www.sgnec.net/Articledet-f.asp?number=54




واژه کلیدی :امنیت و واژه کلیدی :نظامی و واژه کلیدی :اطلاعات