امنیت اطلاعات
اصلاح روش مدیریت امنیت اطلاعات در نظام اداری الکترونیکی
تحقیقات و آمارهای جهانی نشان می دهد که در تاریخ تجارت، کسب وکار موفق بر پایه درک ارزش به روز بودن، اطلاعات دقیق، ارتباطات خوب و محرمانه استوار است. به همین دلیل رعایت اصول امنیت اطلاعات جزء جداناپذیر از دنیای تجارت بوده و هست. ما برای دستیابی به یک سیستم تجارت امن و پایدار، روزانه با بهره گیری از یک نظام اداری مشخص، چرخه فعالیتهای اداری مربوط به تجارت سازمان خود را به گردش در می آوریم و در این راه از فناوری اطلاعات حداکثر استفاده را در جهت تسهیل امور می نماییم. اما باید به این نکته توجه داشته باشیم که فناوری اطلاعات يک سکه دو روست . هم فرصت است و هم تهديد ! اگر به همان نسبتي که به توسعه و همه گيري و بهره مندی از مزایای آن در نظام اداری سازمان توجه و تکيه مي کنيم به " امنيت " آن توجه نکنيم مي تواند به سادگي در کسري از ثانيه تبديل به يک تهديد و مصيبت بزرگ شود و چرخه اداری و در پی آن نظام عملیاتی سازمان را به خطر اندازد. خانواده استاندارد 27000 یکی از مهمترین استانداردهای وابسته به دنیای تجارت است. امنیت اطلاعات به همان اندازه که در مورد بهره برداری صحیح از فرصتهای موجود در جهان پر از ارتباطات صحبت می کند به همان اندازه نیز به مدیریت صحیح ریسکهای موجود اشاره دارد و این دقیقاً همان پاسخی است که ما را به سئوال همیشگی ((چرا سازمانها باید در زمینه امنیت اطلاعات، قوی عمل کنند؟)) می رساند. در این مقاله ضمن آشنایی با سیستم مدیریت امنیت اطلاعات (ISMS) به بررسی زوایای اصلاح مدیریت امنیت اطلاعات در نظام اداری الکترونیکی در سازمان می پردازیم.
مقدمه:
نظام اداری در ایران با توجه به نقش گسترده ای که در انجام امور دارد؛ یکی از زیرساخت های مهم توسعه به شمار می آید که بی توجهی به آن مسبب آسیب های جبران ناپذیری در مسیر تحقق آرمان های نظام جمهوری اسلامی ایران، تحقق برنامه ها و در نهایت کاهش رضایت مردم و ... می باشد.
باید در نظر داشت همواره دولت ها در سطوح مختلف و به شیوه های گوناگون به دنبال اصلاح نظام اداری بوده اند و در این راه یکی از مهمترین مسائل اصلاح روش مدیریت امنیت اطلاعات در نظام اداری بوده است که به عنوان یک دغدغه همیشگی برای مدیران ارشد سازمانها و ادارات از آن یاد می شود؛ لیکن به دلایلی از جمله عدم شناخت کامل ابعاد موضوع، عدم تعریف و تدقیق رویکردهای ناظر بر مدل پیاده سازی امنیت اطلاعات در سازمانها، عدم تدوین راهبردها و راهکارهای مربوط و نیز گرفتار شدن در مستندسازی و کاغذبازیهای غیرعملیاتی در اصلاحات و تحقق یک روش مدیریت امنیت اطلاعات صحیح در نظام اداری، موفقیت چشمگیری کسب نکرده اند و این در حالی است که عدم توجه به سطوح امنیتی در نظام اداری می تواند باعث شود که سارقان اطلاعاتی در کوتاه زمانی اطلاعات مهمی را از سازمان خارج نموده و تداوم چرخه کسب و کار و تجارت سازمان و در نهایت حیات سازمان را به خطر اندازند. باید به این موضوع توجه ویژه داشت که ساختار نظام اداری الکترونیکی ناامن در شرایط فعلی و در بسیاری از جهات به جای ایفای نقش محرک برای پیشرفت و توسعه کشور، می تواند مانعی برای توسعه به شمار آید. در این شرایط فارغ از آنکه انجام اصلاحات از یک سو، امری اجتناب ناپذیر و از سویی دیگر تکلیف تلقی می شود؛ عدم اصلاح آن علاوه بر کند نمودن مسیر پیشرفت کشور، بخش عظیمی از منابع لازم برای توسعه را نیز صرف نگهداشت خود می نماید و این نقصان موجب شکاف میان وضع موجود و تحقق چشم انداز می گردد. چراکه بهره گیری ازنظام اداری الکترونیکی به همان نسبتي که باعث رفاه و افزايش توانمندي های ما در سازمان می شود مي تواند خطرناک بوده و وجود ناامنی در آن می تواند سازمان، ارگان و يا کشور را فلج نمايد. لذا جهت حفظ اطلاعات و مديريت آنها و جلوگيري از هر گونه سوء استفاده مي بايست بر اساس آخرين دستاورد هاي روز دنيا و استاندارد هاي مربوطه اقدام نمود.
امروز زمانی است که با توجه به ابلاغ سیاست های نظام اداری از جانب مقام معظم رهبری و تأکید ریس جمهور محترم مبنی بر اولویت اصلاح نظام اداری در برنامه ها می توان به خلق ارزش های مشترک میان تمامی فعالان نظام اداری پرداخت و بواسطه ساز و کارهای پیوندی، زمینه انجام اصلاحات عمیق در نظام اداری و به عنوان بستر و زیرساخت توسعه کشور را فراهم آورد که در همین راستا در این مقاله به بررسی اصلاح روش مدیریت امنیت اطلاعات در نظام اداری الکترونیکی می پردازیم.
در اصل امنیت اطلاعات فرآیند حفاظت از اطلاعات و سیستمهای اطلاعاتی در برابر فعالیتهای غیرمجاز مانند : (( دسترسی ، استفاده ، افشاء ، خواندن ، نسخه برداری یا ضبط ، خرابکاری ، تغییر و دستکاری )) می باشد . اما امروزه هرگاه صحبت از امنیت اطلاعات می شود ، افراد آن را با امنیت کامپیوتری اشتباه می گیرند. توجه داشته باشیم که در نظام اداری الکترونیکی هدف ما ایجاد امنیت برای کلیه داراییهای اطلاعاتی و حفظ محرمانگی ، یکپارچگی و در دسترس بودن داده ها بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی یا چاپی یا اشکال دیگر می باشد.
حفاظت از اطلاعات در نظام اداری سازمان، یک نیاز محرمانه، یک نیاز تجاری و در بسیاری از موارد یک نیاز اخلاقی و قانونی است که وضعیت آن تأثیر معنی داری بر حریم خصوصی سازمان ما دارد. آنچه که باید به آن توجه داشت این موضوع است که بی توجهی به مقوله امنیت اطلاعات نه تنها می تواند برای سازمان خسارات مالی تا سر حد ورشکستگی را فراهم آورد بلکه از سوی دیگر می تواند شکست در فعالیتهای علمی و تحقیقاتی و پیگردهای قانونی را به همراه داشته باشد .
در این راه بهره مندی از یک سیستم مدیریت امنیت اطلاعات می تواند راهگشای مشکلات ما در این زمینه باید. استاندارد ISO/IEC27001:2013 در مورد الزامات طراحی، اجرا، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات (ISMS) در سازمانها صحبت می کند فارغ از اینکه به نوع و اندازه سازمان اشاره داشته باشد. این استاندارد در گام اول به این نکته اشاره دارد که هر سازمانی برای ایجاد و حفظ محرمانگی(Confidentiality)، صحت و یکپارچگی (Integrity) و دسترس پذیری (Availability) اطلاعات که سه رأس مثلث امنیت اطلاعات (CIA)، را تشکیل می دهند، باید در محل خود یک سیستم مدیریت امنیت اطلاعات را طراحی و پیاده سازی نماید. این اطلاعات می تواند شامل اطلاعات مربوط به سازمان یا مشتریان و یا طرفهای ثالث باشد و نکته ای که در این میان بسیار حائز اهمیت است این است که در دنیای امروز که لبریز شده است از ارتباطات انسانها با راههای مختلف ارتباطی که در هریک مجموعه ای از اطلاعات در حال ردوبدل است اینکه یک سازمان بتواند نیازهای کلیه ذینفعان را به طوری سامان دهد که امنیت اطلاعات آنها خدشه دار نشود می تواند رازبقا و ماندگاری یک سازمان در دنیای تجارت باشد.
در این مقاله سعی شده است که در مورد اثراتی که پیاده سازی سیستم مدیریت امنیت اطلاعات یا اصلاح آن در نظام اداری و بالتبع عملیاتی براساس ISO/IEC27001:2013 در سازمان شما خواهد داشت صحبت شود و اینکه اگر شما قبلاً سیستم ISMS براساس نسخه 2005 را پیاده سازی کرده-اید، اینک باید چه اقداماتی را انجام دهید. لذا شامل محتوای کامل استاندارد نمی باشد و شما درصورت نیاز به محتوای کامل استاندارد باید به مراجع موجود در این رابطه مراجعه نمایید.
چرا باید خودمان را با یک سیستم امنیت اطلاعات سازگار کنیم؟
دلایل زیادی باعث شده است که سازمانها به سمت اتخاذ یک سیستم مدیریت امنیت اطلاعات روی آورند. این دلایل را می توان در دو دسته اصلی طبقه بندی کرد:
- Reasons of Market Assurance
- Governance Reasons
- Market Assurance
در مورد ((نگرانی های مشتریان یا مراجعه کنندگان به اینکه آیا سازمانی که اطلاعاتی را از آنها دریافت نموده است، اینک می تواند محرمانگی، عدم افشاء و عدم دستکاری آنها توسط افراد غیرمجاز را تضمین نماید؟)) و Governance در مورد ((نگرانی های موجود در مورد نحوه مدیریت در سازمانها)) صحبت می کند. ISMS به عنوان یک روش پیشگیرانه در زمینه مدیریت امنیت اطلاعات شناخته شده است که در بطن نظام اداری سازمان شما قرار می گیرد و دلگرمی های مورد نیاز را برای مشتری یا مراجعه کننده ایجاد می نماید.
معمول ترین سناریویی که امروزه بسیار مورد توجه قرار گرفته است این است که سازمانها ضمن بررسی امنیت اطلاعات موجود در درون خود به امنیت اطلاعات طرفهای ثالث مرتبط نیز بسیار اهمیت می دهند و از آنها خواستار تضمین هایی در برابر عدم ردوبدل اطلاعات ناامن و یا استفاده از روشهای ارتباطی ناامن می شوند و این درحالی است که حتی اگر اطلاعاتی بین شما ردوبدل می شود که سازمان شما از آنها هیچ استفاده ای نمی کند باز باید بر روی امنیت آنها دقت شود. یعنی سازمان شما چون خود را در مقابل مشتریانش متعهد می بیند که از اطلاعات آنها بطور کامل نگهداری کند پس باید هر راه ناامنی را مسدود کند، خواه منشأ این ناامنی درون سازمان باشد خواه بیرون از سازمان. این مورد ناخواسته بصورت هرمی از سازمان شما به طرفهای مرتبط با شما و از آنها به طرفهای مرتبط در رده های بعدی انتقال می یابد و اگر همه به این مورد پایبند باشند، امنیت جهانی بصورت تار عنکبوتی ایجاد می شود و اگر حتی یک گروه بصورت خواسته یا ناخواسته کوتاهی کنند، این ناامنی بصورت فروپاشی بهمنی همه را تحت تأثیر خود قرار می دهد یکی را زیاد و دیگری را کمتر.
اما درهمین راستا باید به این مورد هم توجه داشت که هر سازمان تا چه حدی در لایه های امنیت اطلاعات باید پیش برود به طوری که عناصری مانند: کاربردی بودن (Functionality) و قابلیت استفاده آسان (Ease of use) در ارائه خدمات به خطر نیفتد، چرا که اگر تناسبی بین این اجزاء وجود نداشته باشد نظام اداری عملیاتی شما بسیار پیچیده و دست و پا گیر شده و ناخواسته مشتریان، سازمان را آرام آرام کنار گذاشته و به دنبال سرویس دهنده بهتری خواهند گشت و این دقیقاً به نوع اداره و مدیریت امنیت اطلاعات در سازمانها اشاره دارد که در این زمینه ISMS به کمک مدیران می آید. ISMS به این مورد اشاره دارد که "امنیت اطلاعات بستن و ممنوع الورود کردن همه چیز برای همه کس، در همه زمان نیست بلکه امنیت یعنی چه کسی در چه زمانی و به چه میزانی باید به اطلاعات دسترسی داشته باشد."
لذا سازمانها با بهره گیری از استاندارد 27001 سعی دارند که ISMS را در سازمان خود به بلوغ برسانند و با اتخاذ سیاستهای امنیتی صحیح و مدیریت همزمان می توانند به این مهم دست یابند و در نهایت با انجام ممیزی نهایی و کسب گواهینامه در این زمینه، خبر پیاده سازی ISMS بالغ را در سازمان خود به مشتریان بدهند که نه تنها باعث ایجاد حس اعتماد بیشتر بین مشتریان قدیمی شوند ضمناً می توانند سهم بیشتری از بازار را نیز به Business خود اختصاص دهند.
مدیران محترم و کارشناسان IT باید توجه داشته باشند که استاندارد در مورد پیاده سازی گام به گام سیستم مدیریت امنیت اطلاعات صحبت نمی-کند بلکه تنها در مورد الزامات استقرار یک سیستم مدیریت امنیت اطلاعات یا اصلاح آن صحبت می کند. لذا انتخاب متدولوژی صحیح در زمینه طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات بر عهده کارشناسان این زمینه کاری می باشد. اما خانواده 27000 برای ایجاد بستر آموزشی و افزایش سطح دانش افرادی که با این سیستم درگیر هستند یکسری مستندات را تولید و ارائه نموده است که می توانند راهگشا و همراه شما باشند. این مستندات به شرح زیر می باشند:
- ISO27001 : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمانها جهت اخذ گواهینامه.
- ISO27002 : مجموعه ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای ISMS.
- ISO27003 : راهنمای پیاده سازی ISMS.
- ISO27004 : استاندارد اندازه گیری و تعیین سطح مدیریت امنیت اطلاعات.
- ISO27005 : استاندارد مدیریت ریسک در امنیت اطلاعات.
- ISO27006 : راهنمای مراحل دریافت گواهینامه.
- ISO27007 : راهنمای بازرسی و نظارت بر ISMS.
اما از میان این استانداردها، تنها 27001 برای سازمانهای متقاضی، قابلیت دریافت گواهینامه را دارد و در اصطلاح Auditable می باشد.
خلاصه مطلب
اصلاح روش مدیریت امنیت اطلاعات در نظام اداری سازمان که با مواد اولیه ای به نام داراییهای اطلاعاتی (دریافتی از مشتریان یا تولید شده توسط سازمان) سروکار دارد براساس ISMS، به مديران اين امکان داده می شود تا بتوانند امنيت سيستم های خود را با به حداقل رساندن ريسک های امنيتي و تجاری کنترل کنند. سيستم مديريت امنيت اطلاعات نظام مند، راهکار حل مشکلات مذکور در سيستم های اطلاعاتي مي باشد. این سيستم جامع امنيتي بر سه پايه استوار است :
- سياست ها و دستورالعملهاي امنيتي
- تکنولوژي و محصولات امنيتي
- عوامل اجرايي
در پایان باید به این نکته اشاره داشت که با توجه به اهمیت داراییهای اطلاعاتی و امنیت اطلاعات، پیاده سازی سیستم مدیریت امنیت اطلاعات می بایست برای سازمانها به عنوان یک تصمیم استراتژیک تلقی گردد که در این راه بهره گیری از نسخه جدید استاندارد ISO/IEC 27001:2013 می تواند بر موفقیت و غنای کار ما بیفزاید.