تحلیل شکاف با رویکرد امنیت

تحلیل شکاف با رویکرد امنیت

یکی از مهمترین تکنیک ‏ها برای تعیین وضعیت سازمان و مشخص نمودن مسیر راه برای بهبود، تحلیل شکاف یا (Gap Analysis) است. تحلیل شکاف، یک فرآیند گزارش‌دهی است که در صنایع مختلف برای بهبود فرآیندها استفاده می‎شود. تحلیل شکاف ابزار مناسبی جهت ارزیابی سطح بلوغ امنیت سازمان‌ها می‌باشد که گاها ذیل پروژه سیستم مدیریت امنیت اطلاعات انجام می‌گردد. پروژه های سیستم مدیریت امنیت اطلاعات و بلوغ سایبری، در سال‌های اخیر مجددا مورد توجه سازمان‌ها قرار گرفته‌اند.

در واقع تحلیل شکاف، بررسی و ارزیابی عملکرد فعلی سازمان (وضعیت فعلی) و جایگاهی است که می‌خواهد به آن برسد (وضعیت مطلوب) این امر به منظور شناسایی تفاوت بین وضعیت فعلی (As is) و وضعیت مطلوب (To be) و ایجاد راه حل هایی جهت رسیدن به اهداف می‌باشد.

  • تحلیل شکاف را می توان در چند سوال خلاصه کرد:
  • سازمان اکنون در چه وضعیتی قرار دارد؟
  • سازمان می‌خواهد در چه وضعیتی قرار گیرد؟
  • چگونه می‌تواند فاصله این دو وضعیت را کاهش دهد؟

از تحلیل شکاف می‌توان برای یک فرآیند یا کل کسب و کار سازمان استفاده نمود، و در زمینه‌های مختلف مانند فروش، عملکرد مالی، رضایت کارمندان یا امنیت بکار برد. همچنین می‌توان به عنوان رویکردهای استراتژیک یا عملیاتی در نظر گرفته شود. رویکرد عملیاتی بر کار روزمره تمرکز دارد، در حالی که رویکرد استراتژیک بر برنامه‌ریزی و استراتژی‌های آینده متمرکز است.

  • چگونه یک تجزیه و تحلیل شکاف انجام دهیم؟

فرآیند استانداردی برای انجام تجزیه و تحلیل Gap وجود ندارد، زیرا معمولاً باید متناسب با نیازهای تجاری سازمان طراحی شود. اما در اینجا مراحلی وجود دارد که عموما در تحلیل شکاف انجام می‌گردد.

  • مراحل انجام کار
  • تعیین وضعیت کنونی
  • تعیین شرایط مطلوب یا ایده‏آل آینده
  • تعیین شکاف‏ها
  • مشخص نمودن اینکه چگونه این شکاف‏ها از رسیدن به هدف جلوگیری می‎کنند.
  • تعیین اهدافی روشن جهت اعمال درست تغییرات و نزدیک شدن به شرایط مطلوب
  • ابزارهای تجزیه و تحلیل شکاف

ابزارهای زیادی وجود دارند که به شما برای پل زدن روی شکاف‌ها کمک می‎کنند. چند مورد از مهم‌ترین آن‌ها در ادامه، شرح داده شده‎اند.

  • تحلیل SWOT

واژه SWOT مخفف چهار کلمه نقاط قوت، ضعف‌ها، فرصت‌ها و تهدیدها است. تحلیل SWOT می‌تواند به دو صورت کمی ‎و کیفی انجام گردد. این فرآیند، کمک می‎کند تا تهدیدات داخلی و خارجی برای سازمان تعیین گردد و همچنین رویکردهای رقابت و ایستادگی در بازار نیز مشخص گردد.

  • چارچوب هفت اس مکنزی (McKinsey 7S)

چارچوب مکنزی توسط شرکت مشاوره‎ای به همین نام توسعه یافته است. این ابزار در نهایت کمک می‎کند تا تعیین کنید که آیا یک شرکت انتظارات را برآورده می‎کند یا به طور کلی ارزش های مشترک یک سازمان را تأمین می‎کند یا خیر. این کار از طریق ۷ اس موجود در سازمان انجام می‎شود. علاوه بر این، این چارچوب به فاصله بین وضعیت فعلی و وضعیت مطلوب شرکت پل می‎زند.

  • هفت اس عبارتند از:
  • Structure: ساختار
  • Strategy: استراتژی
  • System: سیستم
  • Skills: مهارت
  • Style: سبک
  • Staff: کارکنان
  • نمودار استخوان ماهی  (Fishbone Diagram)

نمودار استخوان ماهی، ابزاری برای ترسیم گرافیکی انواع علت‌های کوچک و بزرگی است که دست به دست یکدیگر داده و یک مشکل یا مسئله را به‌وجود می‌آورند (یا آن را تشدید می‌کنند).

این نمودار معمولاً به صورت یک خط افقی با تعدادی خط شیب‌دار کوچک‌تر ترسیم می‌شود به خاطر شکلش، به نمودار استخوان ماهی یا Fishbone Diagram مشهور است.

  • مدل نادلر تاشمن (Nadler-Tushman)

شاید بتوان گفت پویاترین مدل، مدل نادلر تاشمن است. این مدل بررسی می‎کند که چگونه هر فرآیند کسب و کار بر فرآیندهای دیگر تاثیر می‎گذارد. همچنین مشخص می‎کند که شکاف‌ها چه تاثیری بر کارایی می‎گذارند. این مدل، یک دید کلی از روند عملیات سازمان شما، از ابتدا (ورودی) تا انتها (خروجی) ایجاد می‎کند.

  • مدل نادلر تاشمن، فرآیندهای موجود در سازمان را به سه دسته تقسیم می‎کند:
  • ورودی: کل فرهنگ و نیروی کار شرکت؛ تمام منابع مورد استفاده برای ایجاد محصول/ خدمات و محیط عملیاتی
  • تبدیل: سیستم‌ها، تیم‌ها و فرآیندهایی که ورودی‌ها را می‎گیرند و آن‌ها را به محصول خروجی تبدیل می‎کنند.
  • خروجی: محصول یا خدمات نهایی.
  • تحلیل شکاف بر مبنای استاندارد ISO 27001

یکی از مهم‌ترین نیازهای امروزی شرکت‌ها و سازمان‌ها در حوزه امنیت اطلاعات، استانداردسازی و میزان انطباق فرآیندها، مکانیزم‌ها و کنترل‌های امنیتی سازمانی با معیارهای معتبر جهانی است. در این خصوص معمولاً سازمان‌ها با بهره‌گیری از استانداردهای مرجع امنیت اطلاعات نظیر ISO 27001  اقدام به سنجش میزان تطابق فعالیت‌های خود با اصول و مفاهیم این استاندارد‌های بین‌المللی می‌نمایند.

همانطور که پیش‌تر گفته شد، استاندارد ISO 27001:2013 به استانداردی شناخته شده در سطح جهانی تبدیل شده است كه سازمان‌ها می‌توانند از آن برای ممیزی و تأیید سیستم مدیریت امنیت اطلاعات (ISMS) خود استفاده كنند.

تجزیه و تحلیل شکاف ISO 27001 یک نمای کلی در سطح بالایی از آنچه برای دستیابی به سطح مطلوب در حوزه امنیت، می‌بایست انجام گردد را فراهم می‌نماید و به سازمان امکان می‌دهد ترتیبات امنیت اطلاعات موجود سازمان را با الزامات ISO 27001 بررسی و مقایسه نماید. همچنین سنجش میزان آمادگی سازمان جهت پیاده‌سازی استانداردهای امنیت اطلاعات، را انجام می‌دهد.

تحلیل شکاف که ذیل پروژه سیستم مدیریت امنیت اطلاعات انجام می‌گردد، به بررسی وضعیت فعلی سازمان در حوزه امنیت می‌پردازد و با مقایسه آن با وضعیت مطلوب، اعلام می‌دارد که در چه حوزه‌هایی می بایست بیشتر سرمایه گذاری نمود تا سازمان در همه جهات به وضعیت مطلوب امنیتی خود برسد.

تحلیل شکاف به سازمان امکان می‌دهد تا فرآیندهای سازمان، سیاست‌ها و کنترل‌های فنی که ممکن است از دستیابی سازمان به ISO 27001 جلوگیری کند را شناسایی نماید، این امر سازمان را قادر می‌سازد تا اقدامات کنترلی لازم را پیش از ممیزی انجام دهد و کاملا آماده برای ممیزی نهایی باشد.

شرکت مهندسی اوژن تدبیر پارس با بهره‌گیری از مدل بومی طراحی شده توسط کارشناسان مجرب خود اقدام به ارائه سرویس تحلیل شکاف (Gap Analysis) بر اساس استانداردهای مرجع نظبر ISO 27001:2013 می‌نماید.

تدوین: مهندس بهنوش سعیدی

کنترل های امنیتی CIS نسخه ۸

CIS Controls version 8

CIS Controls (که پیش تر با نام Critical Security Controls شناخته می شد) مجموعه ایی از اقدامات و کنترل های پیشنهادی برای دفاع سایبری و امن سازی می باشد که روش های خاص و قابل اجرا به منظور جلوگیری از وقوع گسترده ترین و خطرناک ترین حملات ارائه می نماید.

نسخه ۸ از CIS Controls در ۱۸ مه ۲۰۲۱ (۲۸ اردیبهشت ۱۴۰۰) ارائه گردید که تغییرات آن نسبت به نسخه قبل در شکل زیر نشان داده شده است.

 در ادامه به تشریح ۴ کنترل نخست از نسخه ۸ کنترل های CIS پرداخته شده است:

  • کنترل شماره ۱ – فهرست موجودی و کنترل دارایی های سازمانی

کلیه دارایی های متصل به زیرساخت سازمان (شامل تجهیزات مورد استفاده توسط کاربر نهایی از جمله تجهیزات قابل حمل و سیار، تجهیزات شبکه، دستگاه های غیرمحاسباتی/اینترنت اشیا (IOT) و سرورها) و همچنین دارایی  های موجود در محیط ابری می بایست از سوی مدیران و افراد مربوطه، به منظور شناسایی کلیه دارایی های سازمانی که نیاز به پایش و محافظت دارند،  به صورت فعالانه مدیریت گردند. شایان ذکر است اتصال این دارایی ها به زیرساخت سازمان می تواند به صورت فیزیکی، مجازی، از راه دور و یا از طریق سرویس های ابری انجام پذیرد. همچنین سازمان ها می بایست از این موضوع مطلع باشند که کنترل بر روی دارایی ها با هدف نظارت بر امنیت دارایی ها، واکنش به رویدادها و رخدادهای امنیت سایبری، پشتیبان گیری و بازیابی سیستم ها صورت می پذیرد.

همچنین به منظور پیشگیری از نفوذ مهاجمین، لازم و ضروری است پیکربندی تجهیزات شبکه و سیستم های رایانه ای به درستی انجام گیرد. درهمین راستا بایستی سیستم مدیریت رخداد و حوادث و همچنین سامانه ثبت لاگ در سازمان فعال و به روز باشند.

یکی دیگر از تهدیدات و چالش هایی که اکثر سازمان ها با آن مواجه هستند، ورود تجهیزات غیرمجاز و همچنین دستگاه های قابل حمل کارکنان (از قبیل لپ تاپ، هارد اکسترنال و حافظه فلش) به سازمان می باشد که همین امر می تواند برای سازمان مخاطرات امنیتی جدی به همراه داشته باشد. از این رو می بایست تمهیداتی برای مقابله با این مخاطره در سازمان، از سوی مدیران اندیشیده شود. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فهرست اموال دقیق، کامل و به روزی از دارایی های سازمان ایجاد و از آن نگهداری گردد.
  2. فرآیند و روالی برای بررسی و رسیدگی به دارایی های غیر مجاز در سازمان به صورت دوره ای در نظر گرفته شود. بر اساس این روال ممکن است سازمان در مواجهه با دارایی غیرمجاز اقدام به حذف آن از شبکه سازمان، جلوگیری از اتصال راه دور آن به شبکه یا قرنطینه آن نماید.
  3. از ابزارهای پویشگر فعال (Active)  برای کشف و شناسایی دارایی های متصل به شبکه سازمانی استفاده گردد. این ابزارها باید به نوعی پیکربندی شود که به صورت روزانه یا در فاصله های زمانی کمتر اجرا گردد.
  4. برای به روز رسانی لیست دارایی های سازمان، از رویدادنگاری DHCP بر روی تمامی سرورهای DHCP یا ابزارهای مدیریت آدرس IP به صورت هفتگی یا به طور مکرر استفاده نمایید.
  5. از ابزارهای پویشگر غیرفعال (Passive) برای کشف و شناسایی دارایی های متصل به شبکه سازمان استفاده نمایید.

کنترل شماره ۲ – فهرست موجودی و کنترل دارایی های نرم افزاری

این دارایی ها شامل سیستم عامل ها و نرم افزارهای مورد استفاده در شبکه می باشند. مدیران و افراد مربوطه بایستی بر روی نصب و اجرای نرم افزارها نظارت کرده و از نصب و اجرای نرم افزارهای غیرمجاز و مخرب جلوگیری کنند.

فهرست موجودی دارایی های نرم افزاری با هدف پیشگیری از حملات تهیه می گردد. مهاجمین به طور مداوم سازمان های مختلف را مورد هدف قرار می دهند که یکی از راه های نفوذ، سوء استفاده از آسیب پذیری های موجود در نرم افزار مورد استفاده سازمان می باشد. به عنوان مثال، اگر یک کاربر وارد یک وب سایت شده و فایلی مخرب از آن دانلود کند و بر روی سیستم خود نصب و اجرا نماید، مهاجم می تواند با استفاده از آن فایل مخرب اقدام به ایجاد در پشتی (Backdoor) نموده و در ادامه پس از نفوذ به سیستم کاربر به تمامی سیستم ها، سرورها و تجهیزات سازمان نفوذ کند.

راه حل این موضوع کنترل و نظارت بر روی دارایی‌های نرم افزاری و به روزرسانی نرم افزارها و اعمال وصله های امنیتی مربوط به آنها می باشد. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فهرست اموال دقیق، کامل و به روزی از دارایی های نرم افزاری سازمان ایجاد و از آن نگهداری گردد.
  2. اطمینان حاصل گردد که نرم افزارهای مورد استفاده در سازمان، مجاز و قابل پشتیبانی هستند.
  3. به دارایی های نرم افزاری غیر مجاز که می توانند خطر ساز باشند، بررسی و رسیدگی شود. اطمینان حاصل گردد که نرم افزار غیرمجاز یا از دارایی های شرکت حذف شده یا در صورت نیاز به استفاده، یک مجوز استثنای مکتوب داشته باشد.
  4. در صورت امکان از ابزارهای خودکار برای کشف و مستندسازی نرم افزارهای نصب شده در سازمان استفاده شود.
  5. فهرستی از نرم افزارهای مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.
  6. فهرستی از کتابخانه ها و فایل های مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.
  7. فهرستی از script های مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.

کنترل شماره ۳ – حفاظت از داده های سازمان

حفاظت از داده ها شامل بخش هایی از قبیل شناسایی، طبقه بندی، کنترل و نگهداری ایمن داده ها می شود. امروزه حفاظت از داده ها به امری مهم تبدیل شده است، این داده ها می تواند اطلاعات ثبتی سازمان، اطلاعات مالی، اطلاعات پرسنل، اطلاعات مشتریان و غیره باشد که مهاجمین با نفوذ به شبکه ی سازمان، قصد تخریب یا استخراج این اطلاعات را دارند.

بایستی در سازمان تمامی عملیات انتقال و ذخیره سازی داده ها از سوی مدیران و افراد مربوطه مورد پایش قرار گیرد و داده ها در تمامی این موارد به صورت رمزنگاری شده و مبهم باشند. از دیگر وظایف مدیران سازمان، نظارت بر روی ترافیک داخلی شبکه می باشد تا در هنگام نفوذ و استخراج داده توسط مهاجمین، از آن مطلع و از انجام آن جلوگیری کنند. همچنین مدیران سازمان می بایست از این موضوع باید آگاه باشند که نشت اطلاعات در بعضی از مواقع، توسط خود پرسنل سازمان و با استفاده از تجهیزات قابل حمل از قبیل حافظه فلش صورت می پذیرد. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فرآیند و روالی برای مدیریت و حفاظت از داده ها در سازمان پیاده سازی و اجرا گردد.
  2. فهرست اموال دقیق، کامل و به روزی از داده های سازمان را ایجاد و از آن ها نگهداری کنید.
  3. پیکربندی کنترل دسترسی و لیست دسترسی افراد به داده ها براساس نیاز میزان نیاز هر کاربر به اطلاعات صورت پذیرد.
  4. مدیریت و حفاظت از داده ها می بایست براساس روال مدیریت داده های سازمان انجام پذیرد.
  5. استفاده از راهکار امن برای امحا داده ها و اطلاعات تا نشت اطلاعاتی صورت نگیرد.
  6. می بایست داده های حساس بر روی دستگاه کاربر نهایی رمزنگاری گردد.
  7. یک رویه و قالب طبقه بندی داده برای سازمان خود ایجاد و نگهداری کنید. سازمان ها ممکن است از برچسب هایی نظیر “حساس” ، “محرمانه” و “عمومی” برای طبقه بندی داده های خود استفاده کنند.
  8. جریان داده در سازمان را مستند نمایید. مستندات جریان داده شامل جریان های داده ارائه دهنده خدمات بوده و  می بایست مبتنی بر فرآیند مدیریت داده های سازمان باشد.
  9. کلیه اطلاعات موجود بر روی تجهیزات قابل حمل به مانند USB می بایست رمزگذاری گردد.
  10. در هنگام انتقال اطلاعات حساس می بایست کلیه اطلاعات با استفاده از پروتکل های امن به مانند SSL/TLS وSSH رمزگذاری گردد.
  11. داده ها بایستی در حالت بلا استفاده یا استراحت نیز بر روی سرورها، برنامه ها و پایگاه های داده به صورت رمزگذاری شده باشند.
  12. پردازش و ذخیره سازی داده ها را براساس حساسیت داده ها تقسیم بندی نموده و داده های حساس سازمان را بر روی دارایی های با حساسیت پایین تر سازمان پردازش و ذخیره سازی ننمایید.
  13. از راهکارهای خودکار پیشگیری از دست دادن داده ها (DLP) برای شناسایی کلیه داده های حساس ذخیره شده، پردازش شده یا منتقل شده از طرق دارایی های سازمان استفاده نمایید.
  14. لاگ های مربوط به دسترسی و تغییرات در داده های حساس سازمان را ثبت و پایش نمایید.

کنترل شماره۴ – پیکربندی امن دارایی های سازمانی و نرم افزار ها

 طبق توضیحات بیان شده در کنترل های پیشین، دارایی های سازمانی شامل دستگاه های مورد استفاده کاربر نظیر رایانه، موبایل و دارایی های دیگری به مانند سرورها و تجهیزات شبکه و همچنین تجهیزات اینترنت اشیا (IOT) می شوند و دارایی های نرم افزاری شامل سیستم عامل ها و نرم افزارهای مورد استفاده در شبکه می باشند. موضوع این کنترل پیکربندی امن و صحیح این دو نوع از دارایی سازمان می باشد.

طبق بررسی های انجام شده، تقریبا تمامی تولیدکنندگان و عرضه کنندگان محصولات و تجهیزات در حوزه ی فناوری اطلاعات محصولات و تجهیزات خود را در قالب تنظیمات پیش فرض به مشتریان ارائه می نمایند که این کار معمولا با هدف سهولت کاربران صورت می پذیرد. تنظیمات پیش فرض عموما شامل سرویس ها و پورت های باز، حساب های کاربری یا رمز های عبور پیش فرض، تنظیمات DNS از قبل پیکربندی شده، پروتکل های قدیمی و آسیب پذیر و نصب نرم افزار های غیر ضروری می باشد که همین امر موجب بروز آسیب پذیری متعدد بر روی محصولات شده و مهاجمین با بهره برداری و سوءاستفاده از این تنظیمات پیش فرض اقدام به نفوذ و دسترسی به سیستم ها و سرورهای سازمان می کنند.

از این قبیل مشکلات در سازمان ها و سازمان های خدمات دهنده سرویس نیز رخ می دهد برای مثال بسیاری از شرکت های ارائه دهنده خدمات ابری ممکن است در ارائه خدمات خود اشتباهاتی به مانند حساب یا گذر واژه پیش فرض، دسترسی نامحدود و سرویس هایی با پیکربندی پیش فرض در ارائه خدمات انجام دهند که مخاطراتی برای سازمان های دریافت کننده خدمات به همراه دارد.

برای جلوگیری از بروز این مخاطرات، مدیران و افراد مربوطه بایستی پیکربندی امن و صحیح دارایی های سازمانی و نرم افزاری و بروز رسانی آنها را به صورت مداوم و دوره ایی انجام دهند. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فرآیند و روالی برای پیکربندی امن و صحیح دارایی ها در سازمان پیاده سازی و اجرا گردد.
  2. فرآیند و روالی برای پیکربندی امن و صحیح برای زیرساخت شبکه در سازمان پیاده سازی و اجرا گردد.
  3. برای کلیه دارایی های سازمان خط مشی قفل خودکار و انقضای نشست کاربران در صورت عدم فعالیت آن ها در مدت زمانی مشخص به مانند بیش از ۱۰ الی ۱۵ دقیقه فعال گردد.
  4. فایروال را بر روی سرورها (در صورت پشتیبانی) پیاده سازی، پیکربندی و مدیریت نمایید.
  5. فایروال را بر روی تجهیزات کاربران نهایی پیاده سازی، پیکربندی و مدیریت نمایید.
  6. از پروتکل های امن شبکه به مانند HTTPS و SSH برای مدیریت از راه دور دارایی‌ها استفاده نمایید.
  7. کلیه حساب های کاربری پیش فرض مدیریت (برای مثال حذف و یا غیرفعال کردن حساب ها) گردد.
  8. سرویس ها و نرم افزارهای بلا استفاده در سازمان و شبکه را حذف و غیرفعال نمایید.
  9. سرورهای  DNSمورد اعتماد و معتبر را بر روی دارایی های سازمان پیکربندی نمایید.
  10. خط مشی قفل خودکار را بر روی تجهیزات قابل حمل کاربران نهایی (به مانند USB) اعمال نمایید.
  11. قابلیت حذف از راه دور اطلاعات را بر روی تجهیزات قابل حمل کاربران نهایی (به مانند گوشی های موبایل) را فعال نمایید تا در صورت سرقت این تجهیزات امکان امحا از راه دور اطلاعات سازمانی موجود بر روی این تجهیزات میسر باشد.
  12. فضای کاری و حساب کاربری مجزایی برای دسترسی به اطلاعات سازمانی بر روی تلفن همراه کاربران (در صورت پشتیبانی) ایجاد نمایید. برای این منظور می توان از Apple® Configuration Profile  یا  Android™ Work Profileبرای جداسازی برنامه ها و داده های سازمانی از برنامه ها و داده های شخصی استفاده کرد.

تدوین: مهندس امین اسفندیاری

در بخش های آتی موارد باقی مانده از کنترل های امنیتی CIS بررسی خواهد شد.

مجوز ISO27001

ایزو ۲۷۰۰۱

ISO 27001 یک استاندارد بین المللی شناخته شده است که الزامات سیستم مدیریت امنیت اطلاعات (ISMS)  را تعیین می‌کند. این الزامات دستورالعمل‌هایی را در مورد نحوه طراحی، مدیریت و بهبود ISMS ارائه می‌دهد. استاندارد در سال ۲۰۱۳ بازنگری شده و در حال حاضر با عنوان ISO/ IEC 27001: 2013 شناخته می‌شود و به سازمان‎ها در راستای محافظت از اطلاعات مالی، مالکیت معنوی و اطلاعات حساس مشتریان کمک می‌نماید.

گواهینامه ISO 27001 مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد، اجرا و تایید گردیده است. این گواهینامه که توسط یک مرجع ثبت و صدور گواهینامه شخص ثالث صادر می‌شود، بیانگر این است که سازمان پیش‌بینی‌های لازم جهت حفاظت از اطلاعات حساس در برابر دسترسی‌ها و تغییرات غیر مجاز را مبذول نموده است.

حوزه های استاندارد ISO/IEC 27001:2013

  • خط‌مشی‌ امنیت اطلاعات
  • ساختار امنیت اطلاعات
  • امنیت منابع انسانی
  • مدیریت دارایی
  • کنترل دسترسی
  • رمزنگاری
  • امنیت فیزیکی و پیرامونی
  • امنیت عملیات
  • امنیت ارتباطات
  • اکتساب، توسعه و نگهداشت سیستم
  • روابط با تامین‌کنندگان
  • مدیریت حوادث امنیت اطلاعات
  • جنبه‌های امنیت اطلاعات در مدیریت تداوم کسب و کار
  • انطباق

مزایای اصلی ISO27001

ISO27001 یک سیستم مدیریت امنیت اطلاعات و استاندارد حسابرسی است. هدف این استاندارد کمک به ایجاد و حفظ یک سیستم مدیریت امنیت اطلاعات موثر با تعهد به بهبود مستمر است. مزایای بالقوه دستیابی به انطباق با ISO27001 عبارتند از:

۱٫ امکان تبادل امن اطلاعات را فراهم می‌نماید.

  • این استاندارد به شما کمک می‌کند تهدیدهای امنیت اطلاعات خود را شناسایی کرده و برنامه‌هایی برای رفع آن‌ها ایجاد کنید.

۲٫ مسئولیت امنیت اطلاعات را بر عهده همه می‌گذارد

  • هنگامی که ISO 27001 را در شرکت خود پیاده‌سازی می‌کنید، در بین کارمندان آگاهی ایجاد می‌کنید و آموزش امنیت اطلاعات را ارائه می‌دهید تا به آن‌ها اجازه دهد بدون توجه به نقش آن‌ها در سازمان، در مورد امنیت اطلاعات پاسخگو باشند.
  • در نهایت، حفاظت از داده‌ها به فرهنگ سازمان راه پیدا می‌کند و به نوعی روند امنیت اطلاعات را به گونه‌ای ساده می‌کند که همه آن را درک می‌کنند و برای دستیابی به آن تلاش می‌کنند.

۳٫ یک مزیت رقابتی به ارمغان می‌آورد و باعث افزایش اعتبار و شهرت سازمان می‌شود

  • به راحتی می‌توان گفت که همه مشتریان یا شرکای سازمان، که داده‌های ارزشمند خود را با شما به اشتراک می‌گذارند، کاملاً از اهمیت امنیت اطلاعات آگاهی دارند و انتظار دارند این اهم مورد توجه سازمان نیز باشد.
  • داشتن گواهینامه برای یک استاندارد امنیت اطلاعات مانند ISO 27001 یک روش قوی برای اثبات این است که شما به دارایی شرکای خود و مشتری خود نیز اهمیت می‌دهید. که این گواهینامه این اعتماد را مابین شما و مشتریان  یا شرکا ایجاد می‌نماید، و شهرت مثبتی برای شما ایجاد و شما را از رقبای خود متمایز می‌کند.

۴- از تعهدات قانونی یا شخص ثالث برخوردار است

  • احتمالاً این چنین است که گاهی اوقات توسط مشتری، شخص ثالث یا قانون از شما خواسته می‌شود تا توانایی سازمان خود را در امنیت اطلاعات نشان دهید. در شرایطی از این دست، ISO 27001 می‌تواند یک انتخاب عالی باشد. این استاندارد توسط بسیاری از سازمان‌ها در سراسر جهان به رسمیت شناخته شده و مورد استفاده قرار گرفته است و شما می‌توانید با استفاده از دستورالعمل‌های واضح و عملی آن، وثاقت خود را در مورد امنیت اطلاعات و داده‌ها به اثبات برسانید.

۵٫ امکان دست پیدا کردن به بازده سرمایه‌گذاری را فراهم می‌نماید.

  • با اجرای این استاندارد، حداقل از دو طریق می‌توانید به بازده سرمایه رسید. یک راه از طریق ارزش بازاریابی است، زیرا این گواهینامه می‌تواند مشتریان بالقوه را به خود جلب کند
  • دوم، ISO 27001 به شما کمک می‌کند از اثرات نامطلوب خطراتی که در غیر این صورت می‌تواند به شدت بر اعتبار سازمان شما تأثیر بگذارد، جلوگیری کند، تا منجر به مجازات‌های مالی و مسائل حقوقی مرتبط نشوید.

برخی دیگر از مزایای ISO/IEC 27001:2013

  • سازگاری سازمان با الزامات قانونی، نظارتی و قانونی؛
  • افزایش کارایی کلی سازمانی و کارایی عملیاتی؛
  • به حداقل رساندن خطرات داخلی و خارجی برای تداوم کسب و کار؛
  • کاهش هزینه‌های سازمان در دراز مدت
  • محدود شدن نقض امنیت و حریم خصوصی به طور قابل توجه
  • ارائه فرآیندی برای امنیت اطلاعات و حاکمیت شرکتی.
  • افزایش اعتماد سهامداران به دلیل شهرت زیاد استاندارد و مزیت رقابتی

روش اخذ گواهی

گواهینامه ISO 27001 توسط نهادهای ذی صلاح صادر می‌گردد، متقاضیان جهت اخذ گواهینامه ISO 27001 می‌بایست اقدام به پیاده‌سازی الزامات استاندارد ISO 27001 نمایند. این امر می تواند با مشاوره گرفتن در زمینه پیاده‌سازی سیستم مدیریت امنیت اطلاعات امکان پذیر می‌باشد. پس از اجرا و پیاده‌سازی ISMS، سازمانی که کلیه الزامات استانداردهای ISO 27001 را برآورده نموده است، می تواند با مراجعه به یک نهاد صدور گواهینامه، برای صدور گواهی اقدام نماید.

پس از ارائه درخواست ممیزی، فرآیند ممیزی سازمان توسط نهاد ذی صلاح آغاز می گردد و در صورت موفقیت آمیز بودن ممیزی، این نهاد، گواهی ISO 27001 را صادر می نماید. مدت زمان اعتبار گواهینامه ISO 27001 سه ساله بوده که می‌بایست سالیانه ممیزی مراقبتی صورت پذیرد. سپس توسط مرجع صدور گواهینامه تمدید گردد.

تدوین: بهنوش سعیدی

سیستم مدیریت امنیت اطلاعات

فضای کسب و کار امروز بیش از هر دوره زمانی دیگری پیچیده و نامشخص است. ارتباط متقابل بین سازمان‌ها با سرعت نگران کننده‌ای در حال افزایش است. رویکرد واحدی برای سیستم‌های مدیریت وجود ندارد. به همین دلیل، در مورد نگرانی‌های امنیتی مربوط به تداوم کسب و کار، سیستم مدیریت امنیت اطلاعات (ISMS)  رویکردی مشاوره‌ای را در پیش گرفته است. تا مسائل پیچیده سازمان که معمولاً جریان کار، بهره‌وری و امنیت کلی را تحت تاثیر قرار می‌دهد، را مدیریت کند.

یک سیستم مدیریت امنیت اطلاعات (Information Security Management System) چارچوبی از سیاست‌ها و کنترل‌هایی است که امنیت و خطرات را به‌طور منظم و در کل سازمان شما، مدیریت می‌کند.

یک سیستم مدیریت امنیت اطلاعات سیاست‌ها، روش‌ها، فرآیندها و ابزارهایی را برای اطمینان از امنیت اطلاعات پایدار در شرکت‌ها و سازمان‌های دولتی و خصوصی تعریف می‌نماید، که شامل معرفی رویه‌های خاص و اجرای اقدامات سازمانی و فنی است که می‌بایست به طور مداوم کنترل، نظارت و بهبود یابد. در مورد مراحل مورد نیاز جهت بهبود وضعیت فعلی سازمان مشاوره می‌دهد. این نوع رویکردهای عملی معمولاً منجر به افزایش آگاهی از طرف سازمان هنگام اجرای پروتکل‌های جدید، کنترل‌های جدید و رویه‌های جدید می‌گردد.

هدف این است که فراتر از بخش فناوری اطلاعات، از سطح مناسب حفاظت از محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات در کل سازمان یا دامنه تعریف شده اطمینان حاصل کنیم.

بنابراین، ISMS زمینه را برای پیاده‌سازی سیستمی امنیت اطلاعات در یک شرکت و انطباق با استانداردهای امنیتی فراهم می‌نماید. تهدیدهای بالقوه مربوط به امنیت اطلاعات شناسایی، تجزیه و تحلیل و آن‌ها را قابل کنترل می‌کند.

سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستمی برای مدیریت ریسک مربوط به دارایی‌های اطلاعاتی سازمان شما فراهم می‌نماید. این اطمینان را می‌دهد که شما اقدامات (کنترل) های لازم را برای کاهش خطرات موجود در دارایی‌های خود در نظر گرفته‌اید تا تأثیر تهدیدات و حوادث خارجی / داخلی را کاهش دهید.

این کنترل‌های امنیتی می‌توانند از استانداردهای امنیتی مشترک پیروی کنند یا بیشتر و به‌صورت تخصصی‌تر، بر روی صنعت شما متمرکز شوند.  در این سیستم متناسب با نیاز از استانداردهای زیر بهره برداری می شود.

استانداردهاي ISO 27000 از برجسته ترين استانداردها و راهنماهاي فني در زمينه مديريت امنيت اطلاعات و ارتباطات محسوب مي گردند. خانواده استانداردهای مدیریت امنیت اطلاعات شامل استانداردهای بین المللی زیر می ‏شوند که با عنوان کلی فناوری اطلاعات – تکنیک ‏های امنیتی معرفی می ‏شوند:

  • ISO27000  : مقدمه و مروری بر استانداردهای خانواده ISMS به همراه تعریف واژگان رایج مورد استفاده.
  • ISO27001  : ارائه الزامات استاندارد به منظور احراز صلاحیت سازمان‏ ها جهت اخذ گواهینامه.
  • ISO27002 : مجموعه‏ ای از تجربیات موفق در زمینه ISMS و راهنمای تمرین اجرای  ISMS
  • ISO27003 : راهنمای پیاده‏سازی ISMS
  • ISO27004 :  استاندارد اندازه‏ گیری و تعیین سطح مدیریت امنیت اطلاعات.
  • ISO27005  : استاندارد مدیریت ریسک در امنیت اطلاعات.
  • ISO27006  : راهنمای مراحل دریافت گواهینامه.
  • ISO27007  : راهنمای بازرسی و نظارت بر ISMS
  • ISO27011 : راهنمایی پیاده سازی ISMS در صنعت مخابرات.
  • ISO27031 : خط مشی آماده‌ سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
  • ISO27035 :  مدیریت حوادث امنیتی
  • ISO27799 : راهنمای پیاده سازی ISMS در حوزه سلامت.

تدوین: بهنوش سعیدی

برنامه تداوم کسب و کار در امنیت اطلاعات

سازمان ها در برابر موارد اضطراری، بلایا و خطرات طبیعی یا ایجاد شده توسط انسان آسیب پذیر هستند. با درک اینکه نمی ‏توان از همه حوادث جلوگیری به عمل آورد و ممکن است برخی خطرات قابل پذیرش تشخیص داده شود، برنامه ‏ریزی مناسب جهت نگهداری یا بازیابی سرویس‏ ها هنگامی که یک اتفاق غیر منتظره یا غیر قابل اجتناب باعث اختلال در عملکرد عادی می شود، ضروری است.

برنامه ریزی تداوم کسب و کار شامل شناسایی آسیب‏ پذیری‏ها، اولویت‏ها، وابستگی‏ها و اقدامات برای توسعه برنامه‏ها جهت تسهیل تداوم و بهبودی قبل، حین و بعد از چنین اختلالی است.

برنامه‏های جامع تداوم کسب و کار برای اطمینان از تداوم عملیات در شرایط غیر عادی طراحی و اجرا می شوند. این برنامه‏ها آمادگی سازمان‏ها را برای بهبود سریع در مواجهه با حوادث یا شرایط ناگوار افزایش می دهد و تأثیر چنین شرایطی را به حداقل می رساند، همچنین  ابزاری را برای تسهیل عملکرد در حین و پس از موارد اضطراری فراهم می‏نماید.

روند توسعه معمولاً بر اساس یک چارچوب واحد انجام می شود و افراد کلیدی را در مناطق عملکردی درگیر می‏نماید. برنامه‎ها بر اساس ارزیابی ریسک و تجزیه و تحلیل تأثیرات کسب و کاری است و شامل فرایندی برای نگهداری منظم، از جمله آموزش، آزمایش/ تمرین و به روزرسانی است. علاوه بر این، امنیت اطلاعات و حریم خصوصی باید در برنامه‎ها ادغام شود. موارد زیر نمونه‏هایی از حوادثی که برنامه‏های تداوم تجارت را فعال می‎کند است:

  • سیل، آتش‏سوزی گسترده، کولاک، گردباد، طوفان، سونامی، زمین لرزه، بیماری‏های همه‏گیر، قطعی برق برای مدت زمان طولانی، طوفان‏های یخی یا گل و لای که منجر به تخلیه و غیرقابل دسترس بودن منابع مهم می شود.
  • فعالیت جنایی یا حادثه تروریستی ممکن است برای مدت زمان طولانی بر یک منطقه جغرافیایی گسترده تأثیر بگذارد.
  • یک حادثه همه‏گیر، هسته‏ای، شیمیایی یا بیولوژیکی ممکن است تحرک و دسترسی افراد را برای مدت زمان طولانی محدود کند.
  • حملات سایبری که می توانند منجر به ازبین رفتن اطلاعات، نشت اطلاعات، از دسترس خارج شدن سرویس و خدشه دارشدن اعتبار فرد و سازمان می‌شوند.
  • اتفاقات ناگزیر مربوط به فناوری اطلاعات مثل از بین رفتن تجهیزات ذخیره سازی که منجر به از دست رفتن اطلاعات سازمان می گردد.

برای شروع تدوین برنامه تداوم کسب و کار از مراحل زیر استفاده کنید.

۱٫ از رهبری سازمان تعهد و اقتدار بگیرید. پشتیبانی سطح بالا برای ساخت تیم‏های متقابل کاربردی که برای تهیه و استقرار برنامه مورد نیاز است، ضروری است.

۲٫ یک تیم برنامه‏ریزی برای هر واحد تجاری ایجاد کنید.

۳- ارزیابی ریسک را در هر واحد انجام دهید.

۴٫ منابع حیاتی را شناسایی کنید:

الف. افراد- کلیه کارکنان پشتیبانی را شناسایی کرده و یک زنجیره جانشینی را برای پرسنل اصلی ایجاد کنید.

ب. اماکن– ساختمان‏های کلیدی را شناسایی کرده و مکان‏های دیگری را برای کارگران و تجهیزات برنامه‏ریزی کنید.

ج. سیستم‏ها- برای اولویت‏بندی سیستم‏ها از نظر اهمیت، تجزیه و تحلیل تأثیر تجاری را انجام دهید.

د. سایر- سایر دارایی‏های مهم مورد نیاز برای فعالیت‏های عادی تجاری را شناسایی کنید.

۵- استراتژی‏های تداوم و بازیابی را در هر واحد تعیین کنید.

۶٫ به دانشجویان، اساتید و کارمندان آموزش دهید که در صورت بروز یک فاجعه چه کاری انجام دهند.

۷٫ تست، مانور، (آزمایش روش‏های بازیابی سیستم) انجام دهید و سناریوها را ایجاد کنید و آن‏ها را با تمرینات شبیه‏سازی کنید.

۸- یک برنامه ارتباطی ایجاد کنید.

۹٫ برنامه تداوم تجارت را سالانه مرور کنید.

یک سازمان کاملاً آماده باید طرحی تهیه کند که کلیه خدمات کلیدی و مدیریت، تحویل و پشتیبانی آن‏ها را مورد رسیدگی قرار دهد. سازمان باید در حال تدوین یا شروع طرح، شامل تعهدات، رویه‏ها ، فناوری‏ها، منابع، روش‏ها و ارتباطات ضروری برای برنامه‏ریزی توسعه، پشتیبانی و استقرار باشد.

تدوین: بهنوش سعیدی