مقدمه 

در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، می‌توان به فقدان زیرساخت‌های فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی اشاره نمود.  بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساخت‌هائی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساخت‌های امنیت فضای تبادل اطلاعات در کشور می‌باشد. از سوی دیگر، وجود زیرساخت‌های فوق، قطعا تاثیر بسزائی در ایمن‌سازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت.  صرفنظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاه‌های دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاه‌ها شده و کاهش اعتبار این دستگاه‌ها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایه‌های ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمن‌سازی فضای تبادل اطلاعات دستگاه‌های دولتی، ضروری به نظر می‌رسد. این امر علاوه بر کاهش صدمات و زیانهای ناشی از وضعیت فعلی امنیت دستگاه‌های دولتی، نقش موثری در فرآیند تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور خواهد داشت.  سیستم مدیریت امنیت اطلاعات ( ISMS )  با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمن‌سازی فضای تبادل اطلاعات شکل گرفت.



بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی‌باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن‌سازی شامل مراحل طراحی، پیاده‌سازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:

1-      تهیه طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

2-      ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان

3-      اجرای طرح‌ها و برنامه‌های امنیتی سازمان 

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند.  در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است: 

1-      تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان

2-      جرئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله

3-      لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

4-      ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان

5-      کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان 

 

 مروری بر استانداردهای مدیریت امنیت اطلاعات

 استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

 ·         استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس

·         استاندارد مدیریتی ISO/IEC17799 موسسه بین‌المللی استاندارد

 ·         گزارش فنی ISO/IEC TR13335 موسسه بین‌المللی استاندارد 

در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.   استاندارد BS 7799 موسسه استاندارد انگلیس  استاندراد BS7799 اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم این استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS7799:2002) نیز در سال 2002 و در دو بخش منتشر گردید.  

 

 بخش اول

 در این بخش از استاندارد، مجموعه کنترل‌های امنیتی موردنیاز سیستم‌های اطلاعاتی و ارتباطی هر سازمان، در قالب ده دسته‌بندی کلی شامل موارد زیر، ارائه شده است: 

1-      تدوین سیاست امنیتی سازمان در این قسمت، به ضرورت تدوین و انتشار سیاست‌های امنیتی اطلاعات و ارتباطات سازمان ، بنحوی که کلیه مخاطبین سیاست‌ها در جریان جزئیات آن قرار گیرند، تاکید شده است. همچنین جزئیات و نحوه نگارش سیاست‌های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است.

2-      ایجاد تشکیلات تامین امنیت سازمان  در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت‌های هر یک از سطوح، ارائه شده است.

3-      دسته‌بندی سرمایه‌ها و تعیین کنترل‌های لازم در این قسمت، ضمن تشریح ضرورت دسته‌بندی اطلاعات سازمان، به جزئیات تدوین راهنمای دسته‌بندی اطلاعات سازمان پرداخته و محورهای دسته‌بندی اطلاعات را ارائه نموده است.

4-      امنیت پرسنلی در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی از مسئولیت‌های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شده است.

5-      امنیت فیزیکی و پیرامونی در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.

6-      مدیریت ارتباطات در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هر یک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم‌ها، محافظت در مقابل نرم‌افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان‌گیری از اطلاعات، مدیریت شبکه، محافظت از رسانه‌ها و روالها و مسئولیت‌های مربوط به درخواست، تحویل، تست و سایر موارد ‌تغییر نرم‌افزارها ارائه شده است.

7-      کنترل دسترسی  در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل، مسئولیت‌های کاربران، ابزارها و مکانیزم‌های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم‌عاملها و نرم‌افزارهای کاربردی، استفاده از سیستم‌های مانیتورینگ و کنترل ‌دسترسی در ارتباط از راه دور به شبکه ارائه شده است.

8-      نگهداری و توسعه سیستم‌ها در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستم‌ها، امنیت در سیستم‌های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیاز در توسعه و پشتیبانی سیستم‌ها، ارائه شده است.

9-      مدیریت تداوم فعالیت سازمان در این قسمت، رویه‌های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدوین طرح‌های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح‌های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.

10-   پاسخگوئی به نیازهای امنیتی  در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست‌های امنیتی موردنیاز و ابزارها و مکانیزم‌های بازرسی امنیتی سیستم‌ها، ارائه شده است.

 

  بخش دوم

 در این بخش از استاندارد برای تامین امنیت اطلاعات و ارتباطات سازمان یک چرخة‌ ایمن سازی شامل 4 مرحلة طراحی، پیاده سازی،‌ تست و اصلاح ارائه شده و جزئیات هر یک از مراحل به همراه لیست و محتوای مستندات موردنیاز جهت ایجاد سیستم مدیریت امنیت اطلاعات سازمان، ارائه شده است. مراحل ایمن سازی بر اساس استاندارد BS7799:2002  استاندارد ISO/IEC 17799 موسسه بین‌المللی استاندارد  در سال 2000 ، بخش اول استاندارد BS7799:2 بدون هیچگونه تغییری توسط موسسة بین المللی استاندارد بعنوان استاندارد ISO/IEC17799 منتشر شد.   راهنمای فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد  این گزارش فنی در قالب 5 بخش مستقل در فواصل  سالهای 1996 تا 2001 توسط موسسة بین المللی استاندارد منتشر شده است . اگر چه این گزارش فنی به عنوان استاندارد ISO  منتشر نشد و عنوان TechnicalReportبر آن نهاده شد، لیکن تنها مستندات فنی معتبری است که جزئیات و تکنیکهای مورد نیاز مراحل ایمن سازی اطلاعات و ارتباطات را تشریح نموده و در واقع مکمل استانداردهای مدیریتی BS7799 و ISO/IEC17799 می باشد.     

طرح مقابله با حوادث امنیتی و ترمیم خرابیها

 طرح مقابله با حوادث امنیتی، با هدف پیشگیری، تشخیص و مقابله با حوادث امنیتی فضای تبادل اطلاعات، ارائه می‌گردد. محتوای این طرح، حداقل شامل موارد زیر می‌باشد:

 1-      دسته‌بندی حوادث

2-      سیاست‌های مربوط به هر یک از سرویس‌های مقابله با حوادث امنیتی

3-      ساختار و شرح وظایف مربوط به تیم مقابله با حوادث امنیتی دستگاه

4-      سرویس‌های پیشگیری و مقابله با حوادث که توسط تیم مقابله با حوادث امنیتی دستگاه ارائه می‌گردد

5-      روالهای اجرائی مربوط به هر یک از سرویس‌ها

6-      متدولوژی مقابله با حوادث امنیتی ·         آماده‌سازی تیم·         تشخیص و تحلیل حوادث·         محدودسازی،‌ ترمیم و ریشه‌کنی حوادث·         فعالیت‌های بعد از حوادث·         چک لیست مقابله با حوادث

7-      الگوی مقابله با حوادث امنیتی 

 

برنامه آگاهی‌رسانی امنیتی

 برنامه آگاهی‌رسانی امنیتی، با هدف برنامه‌ریزی نحوه آگاهی رسانی به کاربران شبکه دستگاه ارائه می‌گردد و باید حاوی موارد ذیل باشد: 

1-      اهداف آگاهی‌رسانی

2-      راهبردها

3-      برنامه اجرائی آگاهی‌رسانی

4-      مفاد دوره‌های آگاهی‌رسانی از قبیل:·         اعلام حیطه حریم خصوصی کاربران·     اعلام وظایف، مسئولیتها و مواردی که کاربران باید پاسخگو باشند ·         اعلام مواردی که کاربران باید نسبت به آن حساسیت داشته باشند ( از قبیل اعلام حوادث به تیم مقابله با حوادث )·         ارائه اطلاعات در زمینه آسیب‌پذیری سیستم‌ها و مواردی که کاربران باید دقت بیشتری لحاظ نمایند 

 برنامه آموزش پرسنل تشکیلات امنیت

  برنامه آموزش امنیتی، با هدف توانمند سازی پرسنل تشکیلات امنیت دستگاه ارائه می‌گردد و باید حاوی موارد ذیل باشد: 5-      اهداف آموزش6-      راهبردها7-      برنامه اجرائی آموزش 8-      مفاد دوره‌های آموزشی  تشکیلات تامین امنیت فضای    تبادل اطلاعات دستگاه  اجزاء و ساختار تشکیلات امنیت   بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه به منظور تامین امنیت اطلاعات و ارتباطات خود، لازم است تشکیلات تامین امنیت به شرح زیر، ایجاد نماید.  اجزاء تشکیلات امنیت :  تشکیلات امنیت شبکه، متشکل از سه جزء اصلی به شرح زیر می باشد: ·         در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه ·         در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه ·         در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه علاوه بر موارد فوق، واحدهای "مشاوره و طراحی" و "نظارت و بازرسی" نیز لازم است. لیکن این واحدها الزاما در داخل دستگاه و چارت سازمانی، ‌تشکیل نخواهند شد.   

 

ساختار تشکیلات امنیت :  

ساختار تشکیلات امنیت شبکه دستگاه، عبارتست از:   اعضاء تشکیلات امنیت فضای تبادل اطلاعات دستگاه:   اعضاء تشکیلات امنیت شبکه دستگاه، عبارتند از: 

1-          اعضاء کمیته راهبری امنیت:  o        مدیر دستگاه ( رئیس کمیته ) o        نماینده ویژه مدیر دستگاه o        مدیر حراست دستگاه o        مدیر فن آوری اطلاعات دستگاه o        مدیر امنیت شبکه دستگاه (‌دبیر کمیته )

2-          مدیر امنیت :  مدیریت واحد پشتیبانی امنیت شبکه را به عهده دارد و توسط مدیر فن‌آوری اطلاعات دستگاه تعیین می‌شود.

3-          تیم‌های پشتیبانی امنیت :          شامل تیم‌های زیر بوده و اعضاء آن مستقیما توسط مدیر امنیت شبکه دستگاه تعیین می‌شوند: ·         تیم پشتیبانی حوادث·         تیم نظارت و بازرسی·         تیم نگهداری امنیت·         تیم مدیریت تغییرات·         تیم بررسی پاسخگوئی به نیازهای امنیتی 

 

بخش اول در این بخش که در سال 1996 منتشر شد، ‌مفاهیم کلی امنیت اطلاعات از قبیل سرمایه، تهدید، آسیب پذیری، ریسک،‌ ضربه و ...  روابط بین این مفاهیم و مدل مدیریت مخاطرات امنیتی، ارائه شده است. بخش دوم این بخش که در سال 1997 منتشر شد ، مراحل ایمن سازی و ساختار تشکیلات تامین امنیت اطلاعات سازمان ارائه شده است . بر اساس این گزارش فنی ،‌ چرخة ایمن سازی مطابق شکل (2) به 5 مرحله شامل تدوین سیاست امنیتی سازمان، تحلیل مخاطرات امنیتی، تعیین حفاظها و ارائة‌ طرح امنیت، پیاده سازی طرح امنیت و پشتیبانی امنیت اطلاعات، تفکیک شده است.  شکل(2): مراحل ایمن سازی بر اساس گزارش فنی ISO/IEC13335         بخش سوم در این بخش که در سال 1998 منتشر شد، تکنیکهای طراحی، پیاده سازی و پشتیبانی امنیت اطلاعات از جمله محورها و جزئیات سیاستهای امنیتی سازمان، تکنیکهای تحلیل مخاطرات امنیتی، محتوای طرح امنیتی، جزئیات پیاده سازی طرح امنیتی و پشتیبانی امنیت اطلاعات، ارائه شده است. بخش چهارم در این بخش که در سال 2000 منتشر شد، ضمن تشریح حفاظهای فیزیکی، سازمانی و حفاظهای خاص سیستم‌های اطلاعاتی، نحوة انتخاب حفاظهای مورد نیاز برای تامین هریک از مولفه‌های امنیت اطلاعات، ارائه شده است. بخش پنجم در این بخش که در سال 2001 منتشر شد، ضمن افزودن مقولة ارتباطات و مروری بر بخشهای دوم تا چهارم این گزارش فنی، تکنیکهای تامین امنیت ارتباطات از قبیل شبکه‌های خصوصی مجازی، امنیت در گذرگاه‌ها، تشخیص تهاجم و کدهای مخرب، ارائه شده است. مستندات ISMS  بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات، هر دستگاه (سازمان) باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:·         اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه ·         طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه ·         طرح امنیت فضای تبادل اطلاعات دستگاه ·         طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه ·         برنامة آگاهی رسانی امنیتی به پرسنل دستگاه ·         برنامة آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاهدر این بخش، به بررسی مستندات فوق خواهیم پرداخت. اهداف،‌راهبردها و سیاست‌های امنیتی اولین بخش از مستندات ISMSدستکگاه، شامل اهداف، راهبردها و سیاست‌های امنیتی فضای تبادل اطلاعات دستگاه می‌باشد. در این مستندات، لازم است موارد زیر، گنجانیده شوند:اهداف امنیت فضای تبادل اطلاعات دستگاه در این بخش از مستندات، ابتدا سرمایه‌های فضای تبادل اطلاعات دستگاه، در قالب سخت‌افزارها، نرم‌افزارها، اطلاعات، ارتباطات، سرویسها و کاربران تفکیک و دسته‌بندی شده و سپس اهداف کوتاه‌مدت و میان‌مدت تامین امنیت هر یک از سرمایه‌ها، تعیین خواهد شد. نمونه‌ای از این اهداف، عبارتند از: نمونه‌هائی از اهداف کوتاه مدت امنیت:·         جلوگیری از حملات و دسترسی‌های غیرمجاز، علیه سرمایه‌های فضای تبادل اطلاعات دستگاه·         مهار خسارتهای ناشی از ناامنی موجود در فضای تبادل اطلاعات دستگاه ·         کاهش رخنه‌پذیریهای سرمایه‌های فضای تبادل اطلاعات دستگاه  نمونه‌هائی از اهداف میان مدت امنیت:·         تامین صحت عملکرد، قابلیت دسترسی و محافظت فیزیکی برای سخت‌افزارها، متناسب با حساسیت آنها.·         تامین صحت عملکرد و قابلیت دسترسی برای نرم‌افزارها، متناسب با حساسیت آنها.·         تامین محرمانگی، صحت و قابلیت دسترسی برای اطلاعات، متناسب با طبقه‌بندی اطلاعات از حیث محرمانگی.·         تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات، متناسب با طبقه‌بندی اطلاعات از حیث محرمانگی و حساسیت ارتباطات.·         تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئی، حریم خصوصی و آگاهی‌رسانی امنیتی برای کاربران شبکه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع کاربران. راهبردهای امنیت فضای تبادل اطلاعات دستگاه راهبردهای امنیت فضای تبادل اطلاعات دستگاه، بیانگر اقداماتی است که به منظور تامین اهداف امنیت دستگاه، باید انجام گیرد. نمونه‌ای از راهبردهای کوتاه‌مدت و میان‌مدت امنیت فضای تبادل اطلاعات دستگاه، عبارتند از:نمونه‌هائی از راهبردهای کوتاه مدت امنیت:·         شناسائی و رفع ضعفهای امنیتی فضای تبادل اطلاعات دستگاه