پورتال سامانپایگاه مقالات فناوری اطلاعاتپورتال امنیت و فضای مجازی
طبقه بندی: پورتال امنیت و فضای مجازی
چچ
استانداردهای مدیریت امنیت اطلاعات و ISMS

استانداردهای مدیریت امنیت اطلاعات و ISMS

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، یک سری استانداردهای امنیتی هستند که به سازمان ها توانایی اجرای سیاست ها و تکنیک هایی را می دهند که تعداد حملات موفق فضای تبادل اطلاعات را به حداقل می رسانند. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیک های تخصصی تر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم می سازند

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، یک سری استانداردهای امنیتی هستند که به سازمان ها توانایی اجرای سیاست ها و تکنیک هایی را می دهند که تعداد حملات موفق فضای تبادل اطلاعات را به حداقل می رسانند. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیک های تخصصی تر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم می سازند. برای برخی استانداردهای خاص، گواهینامه امنیت فضای تبادل اطلاعات صادر می شود که از مزیت های آن توانایی گرفتن بیمه امنیت فضای تبادل اطلاعات است. لازم به ذکر است در حال حاضر، در ایران خدمات بیمه امنیت فضای تبادل اطلاعات ارائه نمی شود.
امنیت فضای تبادل اطلاعات برای انواع کاربران اینترنت حائز اهمیت است. برای مثال افراد عادی به منظور محافظت در برابر سرقت هویت و شرکت های تجاری نیز برای حفاظت از اسرار تجاری، مالکیت اطلاعات و اطلاعات مربوط به مشتریان، نیازمند بستری امن برای تبادل اطلاعات هستند. از طرف دیگر امنیت فضای تبادل اطلاعات برای دولت ها نیز به منظور اطمینان از اطلاعاتی که در اختیار آنها قرار دارد، بسیار مهم تلقی می شود.
اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ارائه شد و در نتیجه نوعی نگرش سیستماتیک به موضوع امنیت اطلاعات را ایجاد کرد. بر طبق این نگرش جدید، شرکت ها و سازمان ها لازم است برای حفظ امنیت اطلاعات خود، از یک چرخه امنیتی استفاده کنند. مجموعه ای از اقدامات پیشگیرانه و تدافعی که لازم است به صورت مداوم توسط شرکت ها و سازمان های مختلف به منظور حفظ امنیت اطلاعات انجام پذیرد، به عنوان چرخه امنیت شناخته می شود. این چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و ترمیم بوده که لازم است طبق یک متدولوژی مشخص اجرا شوند.
اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نام BS 7799 ارائه شده است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به صورت جداگانه منتشر شده اند.
بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 منتشر شد. این استاندارد در سال 1998 بازنویسی شده و در سال 2000 تحت نظر موسسه بین المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور Information Technology - Code of practice for information security management می باشد که در سال 2005 بازنگری شده و بالاخره در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 بر اساس آن در جولای 2007 عرضه شد.
بخش دوم BS 7799 برای اولین بار در سال 1999 توسط BSI با عنوان " Information Security Management Systems - Specification with guidance for use" ارائه شد و تمرکز آن بر روی پیاده سازی سیستم های مدیریت امنیت اطلاعات ( ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال 2002 ارائه شد یک مدل جدید به نام Plan-Do-Check-Act(PDCA) را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. بر اساس سیاست ها و ساختارهای مدیریت امنیت اطلاعات ارائه شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد.
بخش سوم BS 7799 در سال 2005، با موضوع تحلیل و مدیریت مخاطرات منتشر شد. این استاندارد نیز در ردیف ISO/IEC 27001 قرار می گیرد.

خانواده استانداردهای مدیریت امنیت اطلاعات شامل استانداردهای بین المللی زیر می شوند که با عنوان کلی فناوری اطلاعات – تکنیک های امنیتی معرفی می شوند:

ISO/IEC 27000:2009 Information security management systems — Overview and vocabulary

سیستم های مدیریت امنیت اطلاعات – مرور و لغت نامه
ISO/IEC 27001:2005, Information security management systems — Requirements

سیستم های مدیریت امنیت اطلاعات – نیازمندی ها
ISO/IEC 27002:2005, Code of practice for information security management

آئین نامه کاری مدیریت امنیت اطلاعات
ISO/IEC 27003, Information security management system implementation guidance

راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات
ISO/IEC 27004, Information security management — Measurement

مدیریت امنیت اطلاعات - سنجش
ISO/IEC 27005:2008, Information security risk management

مدیریت مخاطرات امنیت اطلاعات
ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems

نیازمندی های ممیزان و ارائه دهندگان گواهینامه های سیستم های مدیریت امنیت اطلاعات
ISO/IEC 27007, Guidelines for information security management systems auditing

راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات
ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی بر مبنای ISO/IEC 27002

در ادامه در مورد بخش های مهم استانداردهای مذکور به ترتیب زمان انتشار توضیح خواهیم داد.

استاندارد ISO/IEC 27002 - بخش اول استاندارد BS 7799:

این بخش همان طور که گفته شد با عنوان "آیین نامه کاری مدیریت امنیت اطلاعات" یا Information Technology - Code of practice for information security management ارائه شد و بدون هیچگونه تغییری در سال 2000 توسط موسسه بین المللی استاندارد با عنوان ISO/IEC 17799 منتشر گشت. استاندارد مذکور بالاخره در زیرگروه استانداردهای امنیتی با عنوان ISO/IEC 27002 عرضه شد. در این استاندارد موضوعاتی در قالب سیاست ها و آیین نامه های کاری عمومی در زمینه امنیت ارائه شده است. این استاندارد خود را به عنوان "نقطه شروعی برای توسعه راهکار امنیتی مخصوص هر سازمان" معرفی می کند. در واقع ممکن است تمام راهنمایی ها و کنترل هایی که در آن وجود دارد، برای یک سازمان مورد نیاز نباشد و از طرف دیگر سیاست های امنیتی دیگری مورد نیاز باشد که در استاندارد به آن اشاره نشده است. در این استاندارد به جزئیات دقیق و یا چگونگی پیاده سازی اشاره ای نشده است. به طور خلاصه استاندارد مذکور موضوعات زیر را بررسی می کند:

  • تدوین سیاست امنیتی سازمان
  • زیرساخت امنیتی سازمان
  • کنترل و طبقه بندی سرمایه ها
  • امنیت کارمندان
  • امنیت فیزیکی و محیطی
  • مدیریت ارتباطات و عملکرد
  • کنترل دسترسی
  • توسعه و نگهداری سیستم
  • مدیریت تداوم فعالیت
  • سازگاری

همان طور که اشاره شد این استاندارد در هیچ کدام از موضوعات فوق وارد جزئیات دقیق و یا پیاده سازی آن نمی شود و تنها یک راهنمایی کلی را در حوزه موضوعات مطرح شده، فراهم می آورد. این استاندارد اطلاعات کافی را برای بررسی دقیق وضعیت مدیریت امنیت اطلاعات سازمان ها در اختیار نمی گذارد. همچنین برنامه ای برای ارائه گواهینامه ای مانند گواهینامه ISO 9000 را شامل نمی شود. بلکه این استاندارد برای مرور کلی موضوعات امنیت اطلاعات مفید واقع می شود و می تواند توسط مدیران ارشد برای فهمیدن مشکلات امنیتی که در هر یک از موضوعات مذکور با آن روبرو می شوند، مورد استفاده قرار بگیرد. در صورتی که استاندارد ISO/IEC 17799 همراه با راهنمایی های فنی تکمیلی به کار گرفته شود، می تواند به عنوان یک ابزار بازنگری امنیتی بسیار مؤثر واقع شود.

استاندارد ISO/IEC 27001 - بخش دوم BS 7799:

این بخش از استاندارد مدیریت امنیت اطلاعات همان طور که در بالا اشاره شد با عنوان " Information Security Management Systems - Specification with guidance for use" یا "ویژگی های سیستم مدیریت امنیت اطلاعات همراه با راهنمای استفاده" ارائه شد و تمرکز آن بر روی ایجاد سیستم های مدیریت امنیت اطلاعات و یا ISMS ها است. این استاندارد تحت نظر موسسه بین المللی استاندارد با عنوان ISO/IEC 27001 و در اکتبر سال 2005 منتشر شده است.
اصلی که در ورای ISMS وجود دارد، توانایی بخشیدن به یک سازمان برای طراحی، پیاده سازی، نگهداری و پشتیبانی یک مجموعه پیوسته از فرآیندها و سیستم ها جهت مدیریت مخاطرات دارایی های اطلاعاتی است. فرآیندها و سیستم های مذکور باید به گونه ای باشند که سطح قابل قبولی از امنیت اطلاعات شامل محرمانگی، تمامیت و در دسترس بودن را فراهم کنند.
یک ISMS همزمان با همه فرآیندهای مدیریتی، لازم است اثرگذاری و کارایی خود را در طول زمان حفظ کرده و توانایی هماهنگی با تغییرات داخل سازمان و تغییرات محیطی را داشته باشد. به همین منظور ISO/IEC 27001 چرخه مدیریتی PDCA یا Plan-Do-Check-Act را معرفی کرده است:

Plan یا طراحی. این مرحله در مورد طراحی ISMS، ارزیابی مخاطرات و انتخاب روش های کنترلی مناسب است.
Do یا اجرا. این مرحله در مورد پیاده سازی و اجرای کنترل ها است.
Check یا مرور. هدف از این مرحله بازنگری و ارزیابی بهره وری (کارایی، اثرگذاری) یک ISMS است.
Act یا اقدام. در این مرحله تغییرات مورد نیاز اعمال شده و سعی می شود ISMS به بالاترین حد کارایی برسد.
شکل دیگری از استاندارد ISMS نیز با عنوان مدل به کمال رسیده مدیریت امنیت اطلاعات (Information Security Management Maturity Model ) یا ISMS3 ارائه شده است. سیستم مدیریت امنیت اطلاعات ISMS3 بر اساس استانداردهای ISO 20000، ISO 9001، CMM، ISO/IEC 27001 و مفاهیم عمومی کنترل و امنیت اطلاعات تهیه شده است. در واقع ISMS3 می تواند به عنوان قالبی برای ISO 9001 منطبق با ISMS در نظر گرفته شود. استاندارد ISO/IEC 27001 مبتنی بر کنترل است در حالی که ISMS3 مبتنی بر پروسه است. مدل ISMS3 در استاندارد ISO/IEC 21827 توضیح داده شده است.

استاندارد ISO/IEC 27006
این استاندارد در سال 2007 و برای سازمان های ارائه دهنده گواهینامه های امنیتی (ممیزان امنیت اطلاعات) مبتنی بر ISO/IEC 27001 منتشر شده است. در این استاندارد طرح نیازمندی های سازمان های مذکور ترسیم شده و به نوعی معنادار و قابل اطمینان بودن گواهینامه های ISO/IEC 27001 را تضمین می کند.

استاندارد ISO/IEC 27005
این استاندارد راهنمایی را برای مدیریت مخاطرات امنیت اطلاعات فراهم می آورد و در ژوئن 2008 منتشر شده است. این استاندارد مفاهیمی را که در استاندارد ISO/IEC 27001 معرفی شده اند، پشتیبانی می کند و برای کمک به پیاده سازی مؤثر امنیت اطلاعات مبتنی بر روش مدیریت مخاطرات طراحی شده است. در این استاندارد از هیچ روش خاصی برای تحلیل مخاطرات اسم برده نشده و همچنین هیچ روشی نیز پیشنهاد نشده است ولی یک پروسه ساخت یافته، سیستماتیک و صریح از تحلیل مخاطرات گرفته تا ایجاد برنامه رفع مخاطرات مشخص شده است.

استاندارد ISO/IEC 27011
استاندارد ISO/IEC 27011 در دسامبر سال 2008 بر پایه ISO/IEC 27002 منتشر گشته است. این استاندارد راهنمایی را برای پیاده سازی مدیریت امنیت اطلاعات در سازمانهای مخابراتی فراهم می آورد. در واقع استاندارد مذکور ویژگی های مخصوص به این بخش صنعت را در نظر گرفته و تغییرات لازم را در نیازمندی های ISO/IEC 27001 و همچنین ISO/IEC 27002 متناسب با نیازمندی های شرکت ها و سازمان های مخابراتی به وجود آورده است.

استاندارد ISO/IEC 27004
هدف از این استاندارد که در دسامبر سال 2009 منتشر شده است کمک به سازمان ها برای اندازه گیری، گزارش و بهبود سیستماتیک اثرگذاری سیستم مدیریت امنیت اطلاعات ( ISMS) است. این استاندارد دارای بخش های اصلی زیر است:

  • بررسی کلی سنجش یا اندازه گیری امنیت اطلاعات
  • مسئولیت های مدیریت
  • توسعه سنجش و معیارهای آن
  • عملیات سنجش
  • گزارش گیری از نتایج سنجش و تحلیل داده ها
  • توسعه و ارزیابی برنامه سنجش امنیت اطلاعات
  • استاندارد ISO/IEC 27003


هدف از این استاندارد کمک و راهنمایی برای پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS) است و در سوم فوریه 2010 منتشر شده است.موضوعات مطرح شده در استاندارد مذکور عبارتند از:

  • به دست آوردن تصویب مدیریت برای شروع پیاده سازی پروژه ISMS
  • تعریف حوزه ISMS و سیاست ISMS
  • هدایت تحلیل سازمان
  • هدایت ارزیابی مخاطرات و رفع مخاطرات
  • طراحی ISMS

استاندارد ISO/IEC 27007
این استاندارد راهنمایی را برای ممیزی ISMS جهت ارائه گواهینامه های امنیتی به جز ISO/IEC 27001 فراهم می کند. استاندارد مربوط به ممیزی ISO/IEC 27001 همان طور که گفته شد در ISO/IEC 27006 پوشش داده شده است. حوزه های مربوط به این استاندارد عبارتند از:
ممیزی داخلی، برای مثال به ممیزان فناوری اطلاعات کمک می کند تا از کاهش مکفی مخاطرات امنیتی توسط کنترل های امنیت اطلاعات سازمان، اطمینان حاصل کنند.
ممیزی خارجی که شامل ممیزی فناوری اطلاعات نیز می شود، به عنوان بخشی از ممیزی مالی انجام می شود. برای مثال ممیزان باید از داده ها و اطلاعات موجود در قسمت های مختلف مثلاً سیستم های تدارکات اطمینان حاصل کنند . همچنین برای ممیزی شرکت های پیمانکار ISMS به کار می رود (برای مثال شرایط قرارداد متصدیان سرویس های فناوری اطلاعات در قسمت هایی که مربوط به امنیت اطلاعات می شود).
بازنگری مدیریتی. از طرفی شامل فعالیت های روتین به عنوان بخشی از عملیات ISMS می شود تا صحت همه چیز را بررسی کند و از طرف دیگر با بررسی موردی رخدادهای امنیتی به دنبال علت ریشه ای مخاطرات گشته و سعی در ایجاد واکنش های اصلاح کننده دارد.
این استاندارد در دست بررسی است و احتمالاً در سال 2010 منتشر خواهد شد.
در زیر نموداری که ارتباط استانداردهای مذکور به یکدیگر را نشان می دهد مشاهده می کنید.

اجازه انتشار: قید نشده
نوع: ترجمه
منبع درج : مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای - ماهر