طرح مديريت امنيت اطلاعات چیست؟

طرح مديريت امنيت اطلاعات كه به تازگي گروه‌هايي را در حوزه‌هاي آموزش و مشاوره به خود اختصاص داده، برگرفته از استانداردهاي بين‌المللي است كه شرح كاملي از آن ارائه شده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،محمدرضا ميراسكندري ، با اشاره به افزايش تعداد شركت‌هاي مشاور در حوزه ISMS اظهار كرد: بيش از سه هزار و ۵۰۰ دستگاه در كشور موجود است كه نيازمند پياده‌سازي ISMS در خود هستند.

مدير كل خدمات ارزش افزوده سازمان فن‌آوري اطلاعات ايران گفت: مشكل ما در حال حاضر فقدان شناخت دقيق سه مدل مديريت امنيت اطلاعات است و در خيلي از موارد استنباطي كه از اين موضوع داريم اشتباه است.

وي در اين باره توضيح داد: سيستم مديريت امنيت اطلاعات يك نظام مديريتي است و در سازمان‌ها پياده مي‌شود تا امنيت را برروي اطلاعات محقق سازد بنابراين شركت‌هايي كه در اين زمينه فعال هستند يك سيستم مديريتي را پياده‌سازي مي‌كنند.

او تصريح كرد: يكي از ابزارهاي نظام مديريتي، نظام مديريت امنيت اطلاعات است و مجموعه‌اي از موارد وجود دارد و اين نظام نيز برحسب استاندارد ۲۷۰۰۱ است و در كشور ما توسط سازمان استاندارد، ملي شده است.

وي خاطرنشان كرد: اين استاندارد دو بخش دارد كه بخش اول اصل خود نظام است و از عبارت ۴ تا ۸ استفاده مي‌كند تا سيستم مديريتي را به دست آورد؛ در جايي بايد به سراغ كنترل‌هاي امنيتي رفت تا در اين فرآيند چهار تا هشت كنترل‌ها انتخاب شوند و در اين زمينه پيوست الف استاندارد، ۱۳۳ كنترل را قيد كرده است و متناسب با نياز هر سازمان و بر حسب دارايي‌هاي اطلاعاتي سازمان پياده‌سازي مي‌شود.

ميراسكندري در ادامه خاطرنشان كرد: استاندارد ۲۷۰۰۱ خانواده‌اي دارد و اين خانواده مجموعه‌اي از استانداردهاي راهنما هستند؛ خود استاندارد ۲۷۰۰۰ مربوط به مفاهيم اوليه‌اي است و ۲۷۰۰۱ استانداردي است كه اگر مجموعه‌اي بخواهد سامانه مديريت امنيت اطلاعات داشته باشد بايد يكسري پيش نيازها را احصاء كرده باشد تا گواهي‌نامه به آن‌ها تعلق بگيرد.

او افزود: ۲۷۰۰۶ هم جزو نيازمندي‌هايي است كه CBها (Certification Bodies) كساني كه مديريت امنيت اطلاعات را پياده‌سازي مي‌كنند و صحت وجود سيستم مديريت امنيت اطلاعات را تاييد مي‌كنند،بايد رعايت كرده باشند.

مدير كل خدمات ارزش افزوده سازمان فن‌آوري اطلاعات ايران گفت: از ۲۷۰۰۲ تا ۲۷۰۰۸ به غير از ۲۷۰۰۶ راهنماي پياده سازي خود ISMS است و آنجا نحوه پياده سازي را مشخص مي‌كند؛ به چرخه قيد شده نيز چرخه دنينگ مي‌گويند.

ميراسكندري تصريح كرد: از استاندارد ۲۷۰۱۰ تا ۲۷۰۲۰ استاندارد ISMSهايي

است كه براي ساختارهاي خاص در نظر گرفته شده است؛ براي نمونه ۲۷۰۱۱ استاندارد مديريت امنيت اطلاعات براي سازمان‌هاي مخابراتي است. يكي از همين استانداردها بحث مديريت امنيت اطلاعات براي سيستم‌هاي بانكي را مطرح مي‌كند.

وي گفت: بعد از اين مراحل وارد بخش ۲۷۰۳۰ تا ۲۷۰۴۰ مي‌شويم كه راهنماي پياده‌سازي كنترل‌ها است و بنابراين اگر كسي بخواهد ISMS را به صورت كامل پياده سازي كند نيازمند اين است كه استانداردها را مطالعه كند.

ميراسكندري درباره نحوه اتخاذ اين استانداردها، اظهار كرد: خانواده‌هاي استانداردها توسط سازمان بين‌المللي استاندارد (ISO) كه با مشاركت IEC (international electrical commission) و تحت يك كميته مشترك كه به آن JTC گفته مي‌شود، تدوين مي‌شود كه هنوز برخي از آن‌ها منتشر نشده است.

او اضافه كرد:‌ ولي پيش‌نويس‌هاي آن‌ها موجود است و برروي آن‌ها كار مي‌شود البته هر بخشي از خانواده‌هاي يك استاندارد در زير مجموعه‌هاي ISO كه JTCها و به دنبال آن كميته‌هاي زيرمجموعه و در مرحله آخر گروه‌هاي كاري حضور دارند بررسي مي‌شود كه هر كدام روي استانداردهاي خاص كار مي‌كنند.

وي با بيان مثالي گفت: مثلا SC۲۷ از JTC۱ بحث مديريت امنيت اطلاعات است و حال پنج گروه كاري وجود دارد كه روي اين موضوعات كار مي‌كنند.

ميراسكندري درباره فعاليت‌هاي نما با توجه به تمامي مواردي مطرح شده گفت:‌ كاري كه اين مركز مي‌خواهد انجام بدهد صرفا دادن اين گواهي‌ها نيست و به موازي اين قضيه روي استانداردها كار مي‌شود و همكاري خوبي با سازمان استاندارد داريم تا اين استانداردها را هرچه زودتر ملي كرده و در اختيار مخاطبان قرار دهيم و از طرف ديگر غير از معرفي چند شركت درحال حاضر براي بحث مشاوره برروي سازمان‌هاي مخاطب دستگاه‌هاي اجرايي دولتي هم تعاملاتي داريم و سعي مي‌كنيم ISMS را خيلي خوب به آن‌ها بشناسانيم تا با اشراف كامل به سراغ اين سيستم بيايند.

او در پاسخ به اين سوال كه آيا CBها به موازات پشتيباني و رصد وضعيت سازمان‌ها پيش مي‌روند و يا كميته‌هايي در داخل هر سازمان جهت پيگيري اهداف تشكيل خواهد شد، گفت: يكسري CBها را در آينده نزديك معرفي مي‌كنيم و اگر شركتي به سطح دريافت گواهي‌نامه رسيده باشد با معرفي CBها مي‌تواند به آن‌ها مراجعه كند و آن ها براساس استاندارد ۲۷۰۰۱ مميزي نهايي را انجام مي‌دهند و اگر در مميزي نهايي به عدم تطابقي با نيازمندي‌هاي مطرح شده توسط خود استاندارد برنخورند، اعلام مي‌كنند كه اين سازمان توان دريافت گواهي‌نامه را دارد و ما هم گواهي نامه را از آن‌ها دريافت مي‌كنيم.

وي در جواب اين سوال كه با اين حساب تعهدات مالي چندان مهم براي متقاضيان نخواهد بود؟‌ گفت:‌ اصلا تعهد مالي براي اين شركت‌ها نداشتيم چراكه فعاليت‌هايي از اين دست همكاري است و درواقع با همكاري مشترك يك نظام را پايه‌گذاري مي‌كنيم و در ابتداي كار يكسري از فعاليت‌ها بايد انجام شود كه ما درصدد آنيم ولي با توجه به اين كه طبق برنامه پنجم مكلف به پياده‌سازي هستيم ما حركت را شروع كرديم.