ایده اصلی در پشت استفاده از ISO 27001 چیست؟

محیط پویای خطرات امنیتی مکانی برای تغییرات دائمی است. محیطی که در آن تهدیدهای جدید توسعه می یابند، آسیب پذیریهای جدیدی کشف می گردند و نتایج عظیمی از دل این حوادث امنیتی گوناگون گریبان بسیاری از افراد و شرکت ها را فرا می گیرد. اما باید بدانیم که شرکت ها نیز آنقدر صبور نیستند تا بتوانند برای همیشه این تهدیدات را تحمل نمایند.

به همین دلیل، مهم ترین چیز آن است که برای مقابله با این حواث آماده گردیم. اما آیا می توان بدون در نظر گرفتن اقدامات پیشگیرانه ایی که کمک به کاهش این تهدیدهای امنیتی می نمایند یا بدون توجه به اعمال اصلاحی برای حل مشکلات به وجود آماده به این آمادگی دست یافت ؟

بر اساس فرهنگ مریام وبستر، “مدیریت” به معنای رسیدن به هدفی از پیش تعیین شده می باشد. اگر ما این تعریف را به عنوان نقطه آغازی در نظر بگیریم، خواهیم دید که اساسی ترین جنبه ی مدیریت، محافظت از تمامی اطلاعاتی است که می تواند اهداف یک شرکت را به ثمر برساند. بنابر همین دلیل است که امروزه مدیریت امنیت اطلاعات به نیازی اساسی در حوزه ی تجارت تبدیل شده است.

حوادث امنیتی می توانند به دلیل کمبود دانش یا سهل انگاری مردم ناشی گردند. همچنین این حوادث می توانند به صورت اتفاقی یا عمدی ( که آن را حمله می نامیم ) رخ دهند. بنابراین این ایده کاربرد رویکردهای گوناگون را به منظور ارتقاء و افزایش امنیت اطلاعات در نظر می گیرد و یکی از راه های موفقیت که در این حوزه می توان به آن دست یافت، تلفیق استانداردها و روش های کاراتر با یکدیگر می باشد.

ISO 27001 (و دیگر استانداردها) این اصل را به عنوان مبنای خود در بر دارند. بنابراین در این نوشتار، نگاهی به دو رکن شکل دهنده ی این سند و اساسی ترین ایده هایی که این سند آن ها را بازگو می نماید می اندازیم.

 

استانداردهای امنیتی به عنوان ابزاری برای حفظ اطلاعات و کسب و کارهای یک شرکت به حساب می آیند.

یکی از استانداردهایی که به صورت بین المللی برای مدیریت امنیت اطلاعات مورد استفاده قرار می گیرد ISO 27001 است. این سند، بازگو کننده تجربه انباشته شده ی کارشناسان در این زمینه می باشد. اگرچه اجرای واقعی آن باید با توجه به ویژگی ها، نیازها و شرایط هر سازمان به عمل در آید. بنابراین آشنایی با این سند و اهداف آن یکی از نخستین گام ها در جهت بکارگیری آن به شمار می رود.

به همین دلیل، در این نوشتار، ما بر روی درک محتوای استاندارد، به عنوان گامی در جهت اجرای فرآیند متمرکز می گردیم. ساختار این سند به دو عنصر اصلی خلاصه می گردد : بندهای الزاماتی مورد نیاز برای یک سازمان در جهت اجرای آن ها به صورت هم ترازی با یک سیستم مدیریت، همراه با اهداف کنترل و کنترل های حفاظتی که رویکردهای گوناگونی را برای محافظت در بر می گیرند.

 

دستور العمل هایی در خصوص کار با یک سیستم مدیریت امنیت اطلاعات

نخستین عنصر اساسی که استاندارد به آن می پردازد عبارت از بندهایی هستند که تمامی فعالیت های لازم برای تعریف و راه اندازی، پیاده سازی و اجرا، و نظارت و بررسی را تعریف می نمایند. این بندها همچنین شامل حفظ و بهبود یک سیستم مدیریت امنیت اطلاعات ( ISMS ) می گردند.

اگرچه نسخه ی جدید این سند با صراحت مدلی را برای بهبود مستمر در نظر نمی گیرد ( در نسخه پیشین یا PDCA این مدل وجود داشت )، این مراحل را می توان در بخش پیوست SL- ساختار استفاده شده توسط استانداردهای ISO برای ایجاد بندها – مشاهده نمود.

به وسیله نظارت و به کارگیری این فعالیت ها که در ۱۰ بند تعریف شده اند ( صرف نظر از اینکه آیا شرکتی در تلاش برای دریافت گواهینامه ی استاندارد است یا خیر ) سازمان ها شروع به ایجاد چارچوبی می نمایند که به مدیریت امنیت اطلاعات کمک می نماید. برای هم تراز شدن با استاندارد نیز هر شرکتی مجبور است بندهای ۴ تا ۱۰ ( در نسخه ۲۰۱۳ ) را کاملا اجرا نماید.

در آن نسخه، الزامات شامل عناصر کلیدی زیر می گردند :

  • درک مفاد سازمان
  • فعالیت هایی که نشان دهنده ی مدیریت ارشد رهبری هستند.
  • برنامه ریزی (که همراه با عناصر دیگر، شامل ارزیابی ریسک می گردند.)
  • پشتیبانی، که منابع لازم، مهارت ها و آگاهی در میان مردم را در خود در بر می گیرد.
  • پیاده سازی عملیات ISMS
  • ارزیابی عملکرد آن از طریق ممیزی های داخلی و بررسی آن توسط مدیریت
  • و در پایان نیز، بهبود سیستم مدیریت با در نظر گرفتن اقدامات اصلاحی

 

تعریف اهداف کنترل و کنترل های حفاظتی

دومین عنصری که ساختار مرکزی استاندارد را شکل می دهد شامل اهداف کنترل و کنترل های حفاظتی شرح داده شده در پیوست A سند می گردد. این عناصر در نسخه ۲۰۱۳ سند در ۱۴ بخش گروه بندی می گردند.

این استاندارد یک هدف کنترل را به عنوان ” حکمی که به توصیف انتظارات برای رسیدن به کنترل های حفاظتی اطلاعات می پردازد ” تعریف می نماید، در حالی که یک کنترل به عنوان “روشی برای کاهش سطح خطر” توصیف می گردد. لازم به ذکر است که برای کاهش سطح خطر شما مجبور هستید تا دست کم یکی از دو متغیر آن را تحت تاثیر خود قرار دهید: احتمال (امکان) وقوع، یا تاثیری که می تواند داشته باشد. در بهترین حالت، یک کنترل هر دو متغیر را تعدیل می بخشد.

با این حال، یک کنترل همیشه نمی تواند به نتایج دلخواه ما منتهی شود، و، در چنین مواردی، لازم است که کنترل را تعدیل نماییم، آن را جایگزین کنیم یا کنترل های اضافی دیگری را بکار گیریم. این موارد ممکن است فرایندها، سیاست ها، دستگاه ها، شیوه ها و دیگر اقداماتی که می تواند سطح خطر را کاهش دهد در بر گیرد.

پیوست A این استاندارد لیستی از ۱۱۴ کنترل حفاظتی که در ۳۵ هدف کنترلی گروه بندی شده اند را تعریف می نماید. سپس این لیست ها در درون ۱۴ بخش قرار می گیرند. این بخش ها شامل سیاست های امنیت اطلاعاتی و تشکیلاتی، امنیت منابع انسانی، مدیریت دارایی، کنترل و دسترسی، رمزنگاری، امنیت فیزیکی، امنیت عملیاتی و امنیت ارتباطاتی می گردند.

این بخش ها رویکردهای متفاوتی را نسبت به حفاظت از اطلاعات در بر می گیرند، بنابراین اهداف کنترل و کنترل های خاص برای نگهداری، توسعه و دستیابی سیستم ها، اقدامات امنیتی در روابط با تامین کنندگان، مدیریت امنیت حادثه، تداوم کسب و کار و مطاوعت از دیگر بخش های این لیست به شمار می آیند.

 

گام های بعدی برای اجرای استاندارد

در مجموع، ساختار پایه ایی ISO 27001 را دو بخش تشکیل می دهد:

  • نخست بندهایی که الزامات مورد نیاز برای اجرا، عملیات سازی، بررسی و بهبود یک ISMS را تعریف می نمایند.
  • بخش دوم نیز به پیوست A اختصاص می یابد. پیوستی که کنترل هایی را برای حفاظت از اطلاعات تعریف می نماید.

هر دوی این عناصر، رویکردهای گوناگون را با هم ترکیب می نمایند:

اقدامات امنیتی و کنترل های کاربردی پیش از حوادث (همانند ارزیابی های خطرپذیری); عناصر پیشگیرانه همانند برنامه های احتمالی (برای تداوم کسب و کار); مدیریت حمله های امنیتی (همانند مدیریت آسیب پذیری ها) و رویکردهای واکنش گرایانه (مرتبط با مدیریت حادثه).

علاوه بر این، ما نباید از یک ایده استاندارد اصلی دیگر که مرتبط با یک فرایند بهبود دائمی است چشم پوشی نماییم. همانگونه که در پیشتر اشاره نمودیم، در واقعیت، دفع تمامی خطرات و تهدیدات دشوار است، بنابراین در مواردی که این خطرات روی می دهند، یکی از اهداف ما باید تصحیح اشتباهات گذشته و جلوگیری از تکرار آن ها به وسیله دروس آموخته شده و اقدام اصلاحی باشد.

در نهایت، تمامی محتوای این استاندارد به منظور مدیریت امنیت در نظر گرفته می شود. این محتواها باعث می گردند تا تصمیماتی که ما را به سوی رسیدن به هدفی اساسی سوق می دهد را اتخاذ نماییم: حفاظت از اطلاعات برای سازمان ها بسیار مهم می باشد، و این حفاظت هنگامی به دست می آید که همزمان به مزایای همسویی با استانداردها دست پیدا نماییم. این امر موجب آن می گردد تا هدفی با دامنه گسترده تری را بتوانیم تعریف نماییم: حفاظت از کسب و کار.

Top