خرید فایروال یکی از روشهای مهم و اصلی حفظ امنیت شبکه است. با این حال ابزارهای مدیریتی نیز نقش بهسزایی در این حوزه ایفا میکنند.. سیستم مدیریت امنیت اطلاعات (information security management system) یکی از روشهای حفظ امنیت در شبکههاست که در این مقاله به صورت کامل با آن آشنا میشویم و به این پرسشها پاسخ میدهیم که این سیستم چگونه عمل میکند؟ چه مزایایی دارد؟ بهترین الگوها و روشهای پیاده سازی آن چیست؟ و اصولا پیاده سازی ISMS چگونه انجام میشود. در ادامه با فالنیک همراه باشید.
سیستم مدیریت امنیت اطلاعات (information security management system) چیست؟
سیستم مدیریت امنیت اطلاعات (information security management system) مجموعهای از خطمشیها و رویههای امنیتی و شبکهای به منظور مدیریت سازماندهند دادههای حساس سازمانی است. سیستم مدیریت امنیت اطلاعات به دنبال به حداقل رساندن ریسک و تضمین تداوم فعالیتهای تجاری با محدود کردن میزان تاثیرگذاری نقضهای امنیتی است.
معمولاً یک سامانه مدیریت امنیت اطلاعات، رفتار و فرآیندهای مورد استفاده توسط کارکنان و همچنین دادهها و فناوریهایی مورد استفاده را را زیر نظر میگیرد. کارشناسان شبکه و امنیت میتوانند این سامانه را به منظور نظارت بر نوع خاصی از دادهها، مثل دادههای مشتریان، دادههای فروش، دادههایی که قرار است از شبکه سازمانی خارج شوند و… تنظیم کنند تا اطلاعات جامع و یکپارچهای به دست آورند. دادههایی که امکان استفاده از آنها در تدوین خطمشیهای تجاری یا امنیتی وجود دارد.
سامانه مدیریت امنیت اطلاعات چگونه کار میکند؟
سامانه مدیریت امنیت اطلاعات یک رویکرد سازمانمند به منظور مدیریت بر امنیت اطلاعات یک سازمان ارائه میدهد. امنیت اطلاعات خطمشیهای گستردهای را شامل میشود که سطوح مختلف مخاطرات امنیتی پیرامون یک سازمان را کنترل و مدیریت میکند.
در همین ارتباط ISO/IEC 27001 استاندارد بینالمللی و شناخته شدهای در ارتباط با نحوه ساخت و پیکربندی سامانههای مدیریت امنیت اطلاعات است. این استاندارد که به طور مشترک توسط سازمان بینالمللی استاندارد و کمیسیون بینالمللی الکتروتکنیک تصویب شده، بر انجام اقدامات خاصی تاکید ندارد، بلکه پیشنهادهایی برای مستندسازی، ممیزی داخلی، بهبود مستمر و اقدامات اصلاحی و پیشگیرانه ارائه میکند. سازمانهایی که به دنبال دریافت گواهینامه ISO 27001هستند، در اولین گام به سامانه مدیریت امنیت اطلاعات نیاز دارند که توانایی شناسایی دقیق داراییهای سازمانی را را داشته باشد و ارزیابیهای زیر را ارائه دهد:
- شناسایی خطراتی که داراییهای اطلاعاتی سازمان با آنها روبرو هستند.
- اقدامات انجام شده برای حفاظت از داراییهای اطلاعاتی.
- ارائه یک برنامه پاسخگویی سریع در هنگام شناسایی یک نقض امنیتی.
- مشخص کردن افرادی که وظایف مشخصی در ارتباط با تامین امنیت اطلاعات بر عهده دارند.
هدف سامانه مدیریت امنیت اطلاعات لزوما به حداکثر رساندن امنیت اطلاعات نیست، بلکه رسیدن به سطح مطلوبی از امنیت در یک سازمان است. بسته به نیازهای خاص صنعت، این سطوح کنترلی ممکن است متفاوت باشند. به عنوان مثال، از آنجایی که مراقبتهای بهداشتی یک حوزه بسیار حساس هستند، یک سازمان مراقبتهای بهداشتی ممکن است سیستمی ایجاد کند تا اطمینان حاصل کند که اطلاعات حساس بیماران به طور کامل محافظت میشود و هکرها قادر به نفوذ به بانکهای اطلاعاتی، سرقت یا دستکاری اطلاعات نخواهند بود.
سامانه مدیریت امنیت چه مزایایی در اختیار سازمانها قرار میدهد؟
یک سامانه مدیریت امنیت رویکرد جامعی در ارتباط با مدیریت سیستمهای اطلاعاتی ارائه میدهد. همین مسئله باعث شده تا سازمانها به ارزش افزوده و مزایای شاخصی در این زمینه دست پیدا کنند که از مهمترین آنها به موارد زیر باید اشاره کرد:
- محافظت از دادههای حساس (Protects sensitive data): یک سامانه مدیریت امنیت از همه انواع داراییهای دیجیتالی و میزبانی شده در فضای ابری محافظت میکند. این داراییها میتوانند شامل دادههای شخصی، مالکیت معنوی، دادههای مالی، دادههای مشتریان و دادههایی باشد که از طریق اشخاص ثالث به شرکتها سپرده شده است.
- هماهنگ با مقررات است (Meets regulatory compliance): یک سامانه مدیریت امنیت به سازمانها کمک میکند تا به تمام الزامات پاسخ دهند و خطمشیهای امنیتی سازمان را مطابق با قراردادها تنظیم کنند. به بیان دقیقتر، درک بهتری از قوانین مربوط به سیستمهای اطلاعاتی در اختیار کاربران قرار میدهد. از آنجایی که نقض مقررات قانونی جریمههای سنگینی را به همراه دارد، داشتن یک سامانه مدیریت امنیت میتواند به سازمانهای فعال در حوزههای زیرساختی، امور مالی یا مراقبتهای بهداشتی کمک کند تا مشمول جریمههای سنگین نشوند.
- تداوم فعالیتهای تجاری را تضمین میکند (Provides business continuity): هنگامی که سازمانها روی یک سامانه مدیریت امنیت اطلاعات سرمایهگذاری میکنند، به طور خودکار سطح مکانیزمهای دفاعی در برابر تهدیدات را افزایش میدهند. همین مسئله باعث میشود تا تعداد حوادث امنیتی مثل حملات سایبری کاهش پیدا کنند و در نتیجه اختلالات کمتر و خرابی تجهیزات و زیرساختها نیز کمتر شود. تمامی مواردی که به آنها اشاره شد، نقش مهمی در حفظ تداوم فعالیتهای تجاری دارند.
- هزینهها را کاهش میدهد (Reduces costs): یک سامانه مدیریت امنیت اطلاعات ارزیابی کاملی در ارتباط با مخاطرات پیرامون همه داراییها ارائه میدهد و سازمانها را قادر میسازد تا به اولویتبندی ریسکهای پیرامون داراییها بپردازند و ابتدا روی برطرف کردن یا به حداقل رساندن ریسکهایی سرمایهگذاری کنند که باعث متوقف شدن فعالیتهای تجاری میشوند یا اعتبار سازمان را مخدوش میکنند. به همین دلیل، رویکردی متمرکز برای ایمنسازی داراییها ارائه میدهند. این رویکرد ساختاریافته، همراه با خرابی کمتر به دلیل کاهش حوادث امنیتی، به طور قابل توجهی باعث صرفهجویی در هزینهها میشود.
- تقویت فرهنگ سازمانی و شرکتی (Enhances company culture): یک سامانه مدیریت امنیت اطلاعات رویکرد فراگیری در ارتباط با امنیت و مدیریت داراییها به شکل یکپارچه در سازمان ارائه میدهد، با اینحال، خطمشیهایی که ارائه میکند محدود به امنیت فناوری اطلاعات نخواهند بود. این نگرش جامع کارمندان را تشویق میکند تا خطرات مرتبط با داراییهای اطلاعاتی را درک کنند و بهترین شیوههای امنیتی را به عنوان بخشی از کارهای روزمره خود اتخاذ کنند.
- توانایی سازگاری با تهدیدات نوظهور را دارد (Adapts to emerging threats): تهدیدات امنیتی به طور مداوم در حال تغییر هستند. یک سامانه مدیریت امنیت اطلاعات به سازمانها کمک میکند تا با تهدیدات جدیدتر به شکل کارآمدتری مقابله کنند و همواره مکانیزمهای امنیتی را برای مقابله با تهدیدات بهروز نگه دارند.
بهترین الگوها و شیوههای پیادهسازی سامانههای مدیریت امنیت اطلاعات
ISO 27001، همراه با استانداردهای ISO 27002، دستورالعملهای روشن و خوبی در ارتباط با راهاندازی ISMS ارائه میدهند. در زیر چکلیستی از بهترین شیوههایی را مشاهده میکنید که قبل از سرمایهگذاری روی ISMS باید به آنها دقت کنید.
- نیازهای کسب و کار را درک کنید (Understand business needs): قبل از اجرای ISMS، مهم است که دید روشنی در ارتباط با عملیات تجاری، ابزارها و سیستمهای مدیریت امنیت اطلاعات برای درک نیازهای تجاری و امنیتی، داشته باشند. همچنین، به مطالعه این موضوع بپردازید که چگونه چارچوب ISO 27001 میتواند به حفاظت از دادهها و افرادی که مسئول اجرای ISMS هستند، کمک کند.
- یک خطمشی امنیت اطلاعات ایجاد کنید (Establish an information security policy): داشتن یک خطمشی امنیت اطلاعات قبل از پیادهسازی ISMS اهمیت زیادی دارد، زیرا میتواند به سازمان کمک کند تا نقاط ضعف خطمشی را کشف کند. به طور معمول، خطمشی امنیتی باید یک نمای کلی از کنترلهای امنیتی فعلی در یک سازمان ارائه دهد.
- نظارت بر دسترسی به دادهها (Monitor data access): شرکتها باید خطمشیهای کنترل دسترسی خود را به دقت مورد بررسی قرار دهند تا مطمئن شوند که تنها افراد مجاز به اطلاعات حساس دسترسی پیدا میکنند. این نظارت باید نشان دهد چه کسی، چه زمانی و از کجا به دادهها دسترسی دارد. علاوه بر نظارت بر دسترسی به دادهها، شرکتها باید ورود و احراز هویت را نیز مورد بررسی قرار دهند و همه اطلاعات را با جزییات ثبت کنند.
- برگزاری دوره آموزشی آگاهی از امنیت (Conduct security awareness training): همه کارکنان باید به طور منظم آموزشهای مرتبط با مباحث امنیت را دریافت کنند. این آموزش باید کاربران را با چشمانداز تهدیدات در حال تکامل، آسیبپذیریهای دادهای رایج پیرامون سیستمهای اطلاعاتی و تکنیکهای کاهش و پیشگیری برای محافظت از دادهها در برابر به خطر افتادن، آشنا کند.
- ایمنسازی سرویسها (Secure devices): برای مقابله با تهدیدات هکری بهترین کاری که باید انجام دهید اتخاذ تدابیر امنیتی برای پیشگیری از هک دستگاههای حساس سازمانی به ویژه سرورها و استوریجها است. این مسئله محدود به فضای مجازی نیست و محافظت از تجهیزات در برابر آسیبهای فیزیکی و دستکاری را نیز شامل میشود. ابزارهایی مثل Google Workspace و Office 365 باید روی همه دستگاهها نصب شوند، زیرا در مقایسه با نسخههای آفلاین امنیت بهتری را ارائه میدهند و اجازه میدهند اطلاعات را در فضای ابری ذخیرهسازی کنید.
- دادهها را رمزگذاری کنید (Encrypt data): رمزگذاری مانع از دسترسی غیرمجاز به اطلاعات میشود و بهترین مکانیزم دفاعی در برابر تهدیدات امنیتی است. همه دادههای سازمانی باید قبل از راهاندازی ISMS رمزگذاری شوند، زیرا به هکرها یا افراد فرصتطلب اجازه نمیدهند باعث خراب شدن دادههای حساس شوند.
- از دادهها نسخه پشتیبان تهیه کنید (Back up data): پشتیبانگیریها مانع از آن میشوند تا برای همیشه با اطلاعات حساس خداحافظی کنید، به همین دلیل قبل از پیادهسازی ISMS باید به این مسئله رسیدگی کنید. علاوه بر پشتیبانگیریهای عادی، مکان و تعداد دفعات پشتیبانگیری نیز با مشخص شود. علاوه بر این، سازمانها باید برنامهای برای ایمن نگهداشتن نسخههای پشتیبان طراحی کنند نسخههای پشتیبان را روی استوریجهای سازمانی و ابری ذخیرهسازی کنند تا همواره نسخه مطمئنی از اطلاعات در اختیار داشته باشند.
- انجام ممیزی امنیت داخلی (Conduct an internal security audit): قبل از پیادهسازی ISMS باید یک ممیزی امنیت داخلی انجام شود. ممیزیهای داخلی راهکار قدرتمندی در اختیار سازمانها قرار میدهند تا دید روشنی نسبت به سیستمها، نرمافزارها و دستگاههای امنیتی داشته باشند. در این حالت، اطلاعات کافی در ارتباط با حفرههای امنیتی قبل از پیادهسازی ISMS دارند و زمان کافی برای ترمیم آنها در اختیار خواهند داشت.
پیادهسازی ISMS
روشهای مختلفی برای پیادهسازی و راهاندازی ISMS وجود دارد. اکثر سازمانها یا یک فرآیند برنامهریزی انجام-بررسی-عملی را دنبال میکنند یا استاندارد بینالمللی امنیت ISO 27001 را مطالعه میکنند و بر مبنای آن اقدام میکنند. به طور کلی، مراحل پیادهسازی ISMS به شرح زیر است:
- محدوده و اهداف را تعریف کنید (Define the scope and objectives): مشخص کنید کدام داراییها نیاز به حفاظت دارند و دلایل محافظت از آنها ر مشخص کنید. پیشنهاد میشود ابتدا روی دارایهای مرتبط با مشتریان، ذینفعان و اطلاعات حساس سازمانی متمرکز شوید تا بتوانید ابتدا امنیت آنها را تامین کنید. علاوه بر این، باید اهداف مشخصی را که ISMS قادر به محافظت از آنها است را مشخص کنید و در ادامه محدودیتهای پیرامون ISMS را به درستی درک کنید.
- داراییها را شناسایی کنید (Identify assets): داراییهایی که قرار است محافظت شوند را شناسایی کنید. این کار را میتوان با ساخت فهرستی از داراییهای حیاتی تجاری شامل سختافزار، نرمافزار، خدمات، اطلاعات، پایگاههای داده و مکانهای فیزیکی با استفاده از نقشه فرآیند کسب و کار به دست آورد.
- مخاطرات را بشناسید (Recognize the risks): پس از شناسایی داراییها، داراییهایی که ریسک بالایی دارند باید مطابق با الزامات قانونی یا دستورالعملهای انطباق، تجزیه و تحلیل و امتیازدهی شوند. علاوه بر این، سازمانها باید میزان تاثیرگذاری مخاطرات بر داراییها را شناسایی کرده و برآوردی در این زمینه ارائه دهند. به عنوان مثال، کارشناسان امنیتی میتوانند میزان تاثیرگذاری ریسکها بر نقص اصول محرمانگی، دسترسپذیری و یکپارچگی داراییهای اطلاعاتی را مشخص کنند یا برآوردی در ارتباط با احتمال وقوع آن نقضها ارائه دهند. هدف نهایی باید رسیدن به نتیجهای باشد که مشخص کند کدام مخاطرات باید ابتدا مورد بررسی قرار بگیرند و میزان اثرگذاری هر مخاطره بر داراییهای سازمانی چقدر است.
- اقدامات که باعث کاهشی مخاطرات میشوند را شناسایی کنید (Identify mitigation measures): یک ISMS کارآمد نه تنها قادر به شناسایی مخاطرات خطرناک است، بلکه باید اقدامات رضایتبخشی را برای کاهش موثر و مبارزه با مخاطرات ارائه میدهد. این اقدامات کاهنده باید یک برنامه محافظتی جامع در ارتباط با پیگشیری از بروز مخاطرات امنیتی ارائه دهند. به عنوان مثال، شرکتی که نگران است، اطلاعات حساس مشتریان روی لپتاپها به سرقت برود، نباید اجازه ذخیرهسازی اطلاعات روی لپتاپها را به کارمندان بدهد. یک اقدام موثر کاهنده تنظیم خطمشی یا قانونی است که به کارمندان اجازه ندهد دادههای مشتریان را روی لپتاپ خود ذخیره کنند.
- بهبود سطح دفاع (Make improvements): تمام مراحلی که به آنها اشاره کردیم باید به دقت ممیزی و بررسی شوند تا میزان اثربخشی آنها افزایش پیدا کند. اگر پایش باعث آشکار شدن نقصها یا عواملی شده که نشان میدهند، مشکلات اساسی در زیرساختهای سازمانی وجود دارد، مجبور هستید فرآیند پیادهسازی ISMS را از ابتدا بازبینی کنید تا اطمینان حاصل کنید، رخنه ترمیم نشدهای در زیرساخت سازمانی وجود نخواهد داشت. راهکار فوق یک رویکرد موثر برای کاهش خطرات امنیت اطلاعات است که هر سازمانی را تهدید میکند.