استاندارد ISO 27001 چیست؟
استاندارد ISO 27001 یک استاندارد بینالمللی است که زمینه مناسبی را برای طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) و ارزیابی آن در سازمانها و بهره گیری از منافع این رویکرد فراهم میآورد. در حقیقت این استاندارد به منظور جلوگیری از نقض امنیت اطلاعات و اتلاف مالی و پیشگیری از تنشهای حاصل از این موضوع در درون سازمانها به وجود آورده است.
مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات
روش کلی که استاندارد جهت طراحی و استقرار نظام مدیریت امنیت اطلاعات پیشنهاد میدهد شامل مراحل زیر است:
1- تعریف قلمرو
2- تعریف خط مشی
3- تعیین مخاطرات
4- ارزیابی مخاطرات
5- انتخاب کنترل های مناسب
در حقیقت در قدم اول باید مشخص شود که سازمان ما در چه قلمروی میخواهد امنیت را به وجود آورد؟ آیا فقط برای دیتا سنتر است یا برای کل سازمان یا برای ساختمان خاص. این قلمرو در ابتدا توسط مدیران ارشد تعیین میگردد. در قدم بعدی اهداف باید مشخص شود و تعیین کنیم که به کجا میخواهیم برسیم پس از آن داراییهای سازمان شناسایی میشود این داراییها هر چیزی است که سازمان بر آن مالکیت دارد. ساختمان، سرور، سوئیچ، منابع انسانی، اطلاعات و به طور کلی هر آنچه برای سازمان اهمیت دارد و میخواهد امنیت آن را حفظ کند.
در گام بعدی مخاطراتی که این داراییها را تهدید میکنند شناسایی و آنالیز میشوند مثلاً تعیین میشود مخاطرات دیتا سنتر میتواند بروز آتش سوزی، حمله نفوذ گران، از دست رفتن سخت افزار و مواردی از این قبیل باشد و در آنالیز انجام گرفته تعیین میشود بروز هریک از این مخاطرات میتواند چه مقدار خسارت به وجود آورد و موارد در پایان اولویتبندی میگردد.
در گام آخر از کنترلهای مناسب جهت حفظ امنیت داراییها در مقابل تهدیدات استفاده میشود. شرح کامل کنترلهای لازم در پیوست الف استاندارد آمده است. این کنترلها به سه دسته اصلی تقسیم میشوند:
کنترلهای اجباری در استاندارد ISO 27001
الف) کنترلهای اجرایی:
یکی از کنترلهای اجباری در استاندارد ISO 27001، کنترلهای اجرایی هستند که چهار چوبی برای اجرای کار و مدیریت افراد ایجاد میکند و به افراد نحوه اجرای کارها و عملیات روزانه که با امنیت اطلاعات رابطه دارد را اطلاعرسانی میکند. در حقیقت تدوین خط مشی و روشهای اجرایی، استانداردها و راهنماها برای سازمان در اینجا انجام میپذیرد.
ب) کنترلهای منطقی:
این کنترلها همان کنترلهای فنی هستند و ابزارها و نرم افزارهایی که وظیفه کنترل و پایش و دسترسی به اطلاعات و سیستمها را بر عهده دارند. برخی نمونه های آن NAC، فایروال، IPS و مواردی از این قبیل است.
ج) کنترلهای فیزیکی:
کنترلهای فیزیکی به عنوان یکی از کنترلهای اجباری در استاندارد ISO 27001، حفظ امنیت فیزیکی را برقرار میسازند. پایش و کنترل محیط کاری،کنترل دسترسی فیزیکی، تهویه و کنترل دما و رطوبت با استفاده از این کنترلها انجام میپذیرد. در استاندارد ذکر نشده که برای انجام کار از چه نرمافزار و یا وسیلهای باید استفاده شود و فقط هدفی که باید محقق شود ذکر گردیده است.
در ادامه برخی از کنترلهای پیوست الف استاندارد را مورد بررسی قرار می دهیم.
– کنترلهای شبکه: شبکه ها باید به منظور حفاظت در برابر تهدیدها و برای نگهداری امنیت سیستمها و برنامههای کاربردی که از شبکه استفاده میکنند به میزان نیاز مدیریت و کنترل شود.
– پایش: به منظور تشخیص فعالیتهای غیرمجاز پردازش اطلاعات شبکه باید پایش گردد.
– واقعه نگاری ممیزی: سوابق وقایع مبنی بر فعالیتهای کاربر، استثناها و وقایع امنیت اطلاعات باید برای یک بازه زمانی توافق شده، ایجاد و نگهداری شوند تا در رسیدگیها و پایشهای آتی مورد استفاده قرارگیرد.
– پایش کاربرد سیستم: روشهای اجرایی برای پایش کاربرد امکانات پردازش اطلاعات باید ایجاد بشود و نتایج فعالیتهای پایش به طور منظم بازنگری گردد.
– انطباق با الزامات قانونی: الزامات قانونی میتواند از طرف نهادهای کشوری و یا آییننامههای داخلی سازمان آمده باشد و به گونهای باید گارانتی شود که الزامات قانونی حتماً انجام میگیرد. به طور مثال در آییننامه سازمان ذکر گردیده که فقط سیستمهایی حق اتصال به شبکه را دارند که آنتیویروس آنها به روز است بنابراین باید کنترل مناسب وجود داشته باشد که در صورتی که آنتیویروس به روزرسانی نشده امکان اتصال به شبکه را به سیستم ندهد.
– پیشگیری از استفاده نا به جا از امکانات پردازش اطلاعات: کاربران باید از به کارگیری امکانات پردازش اطلاعات برای مقاصد غیر مجاز باز داشته شوند. مثلاً کاربر مهمان در سازمان که نیاز به استفاده از اینترنت دارد نباید بتواند به شبکه داخلی سازمان دسترسی داشته باشد.
– کنترل دسترسی به شبکه: پیشگیری از دسترسی غیر مجاز به خدماتی که تحت شبکه ارائه میشود باید انجام پذیرد.
– خط مشی استفاده از خدمات شبکه: کاربران باید تنها به خدماتی که مشخصاً استفاده از آنها برایشان مجاز تعیین شده است دسترسی داشته باشند.
– شناسایی تجهیزات در شبکه: شناسایی خودکار تجهیزات باید به عنوان وسیله ای برای تصدیق هویت اتصالات از مکانها و تجهیزات مشخص در نظر گرفته شود. به طور واضح تر یعنی وقتی که یک لپتاپ به شبکه متصل می شود به صورت خودکار شناسائی شود که آیا این تجهیز مربوط به خود سازمان است و یا خیر.
– تفکیک در شبکهها: گروههای خدمات اطلاعاتی، کاربران و سیستمهای اطلاعاتی باید در شبکهها تفکیک شوند.
– کنترل اتصال به شبکه: برای شبکههای اشتراکی به ویژه آنهایی که در محدودههای سازمان گسترش مییابند قابلیت کاربران برای اتصال به شبکه باید در راستای خط مشی کنترل دسترسی و الزامات برنامههای کاربردی سازمان محدود شوند.
کنترلهای اجباری در استاندارد ISO 27001 ذکر شده تنها گوشهای از کنترلها در این استاندارد است که بیان گردید. علاقمندان میتوانند جهت اطلاعات بیشتر به متن آن در پیوست الف استاندارد مراجعه نمایند.