|
امروزه در دنیای توانمند فناوری تکنولوژی، "اطلاعات" دارایی حياتي برای کسب و کار سازمانها محسوب می شود. بنابراین تامین امنیت آنها بسیار مهم خواهد بود. عبارت "امنیت اطلاعات"،
تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمی شود؛ مقررات و حریم خصوصی یا خط مشی های حفاظت از اطلاعات مختلف، یک تعهد پویا را برای سازمان ها به وجود مي آورد.
در عین حال ویروسها، تروجان ها، فیشرها و ... برای سازمان تهدید به حساب می آیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان می شوند، مانند دزدی اطلاعات
مشتریان، جاسوسی استراتژی های کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان خدمات شبکه که هر یک از آنها به تنهایی می تواند صدمات جبران ناپذیری را متوجه سازمان ها نماید.
از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS ) مناسب برای مدیریت موثر دارایی های اطلاعاتی سازمان الزامی به نظر می رسد.
ISMS شامل مجموعه ای از خط مشی ها به منظور فراهم نمودن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. این خط مشی ها به منزله راه های امنی هستند که از طریق آنها منابع اطلاعاتي می توانند مورد استفاده قرار بگیرند. استانداردهای مختلفی در زمینه فناوري اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات می شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS,COSO, SOA, ITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان ها قرار نگرفته. در اینجا به بررسی چهار استاندارد برتر دنیا می پردازیم که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوري اطلاعات مورد استفاده قرار می گیرند. این چهار استاندارد برتر شامل: ISO 27001, PCI DSS, ITIL و COBIT هستند.
در ادامه به بررسي و نگاهی اجمالی به کلیات هریک از این چهار استاندارد مي پردازيم:
ISO27001: استاندارد بین المللی ISO27001 الزامات ایجاد، پیاده سازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص می کند. این استاندارد برای ضمانت انتخاب کنترلهای امنیتی به جا و مناسب برای حفاظت از دارایی های اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 می گردد، به این معنی ست که
آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روش های ممکن مدیریت نماید. این استاندارد (بخصوص نسخه 2013 آن) برای پیاده سازی در انواع سازمان های دولتی،
خصوصی، بزرگ و یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمان هاي پسیو شبکه بالادستي در صنعت هاي مختلف، کلیه سازمان ها و نهادهای دولتی، ملزم به پیاده سازی
ISMS گرديده و اکثر این سازمان ها به پیاده سازی الزامات استاندارد ISO27001 رو آوردند.
علاوه بر این که استاندارد ISO27001 خود حاوی کنترل های امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین می تواند به عنوان یک بستر مدیریتی جهت پیاده سازی کنترل های امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.
PCI DSS: استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارت های اعتباری ایجاد شد. این استاندارد اختصاصاً برای سازمان هایی مفید است که در زمینه کارت های اعتباری، کیف الکترونیک، ATM، POS و... اطلاعات مشتریان را نگهداری، پردازش یا مبادله می کنند.
اعتبار این استاندارد به صورت سالیانه بررسی می شود. برای سازمان های بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام می شود اما سازمان های کوچکتر می توانند انطباق خود را توسط پرسشنامه خود ارزیابی بررسی نمایند.
ITIL ITIL یک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویس های IT در سازمان های دولتی و خصوص در سطح بین المللی به وجود آمده است. ITIL در اصل یک استاندارد نیست بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمانهای ارائه دهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف
اولیه این چارچوب این است که مطمئن شود سرویس های IT با نیازهای کسب و کار سازمان منطبق است و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.
ITIL به عنوان مجموعه ای از کتابها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه ی فعلی ITIL که مورد استفاده است، نسخه سوم می باشد که ۵ بخش اصلی را در بر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات، بهینه سازی پیوسته خدمات.
همانطور که بیان شد، ITIL بیشتر در شرکت هایی که کسب و کار IT دارند مورد توجه قرار گرفته است. COBIT: COBIT یک گواهینامه است که توسط ISACA و موسسه مدیریت IT (ITGI) در سال 1996 به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوري اطلاعات است. این استاندارد با رویکردی فرآیندگرا در 4 دامنه و 34 فرآیند و مجموعه ای از 318 هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه ای از سنجه ها، شاخص ها، فرآیندها و بهترين¬تجارب را برای کمک به مدیران، ممیزان و کاربران IT ارائه می-دهد.COBIT دارای پنج حوزه تمرکز بر مدیریت فناوري اطلاعات است: تنظیم استراتژیک، تحویل ارزش پشتیبانی شبکه مدیریت منابع، مدیریت ریسک، اندازه¬گیری کارایی . پیاده سازی و بکارگیری COBIT در سازمان¬ها، برای مدیران چارچوبی را فراهم می آورد تا به کمک آن بتوانند برنامه استراتژیک IT، معماری اطلاعاتی، نرم¬افزارها و سخت افزارهای مورد نیاز IT و کنترل عملکرد سیستم های IT سازمان خود را طراحی نمایند و با کمک این ابزارها به تصمیم¬گیری و سرمایه گذاری¬های مرتبط با فناوری اطلاعات بپردازند. |
|
|
همپوشاني حوزه هاي امنيتي :
در سال 2009، یازده حوزه کنترلي اساسی معرفی شد که به 11EC معروف گردید این کنترل ها می بایست توسط سازمان هایی که می خواهند امنیت اطلاعات را پیاده سازی نمایند پیاده سازی شوند، اگر این کنترل ها را به عنوان معیاری برای تحقق امنیت اطلاعات در نظر بگیریم حاصل مقایسه چهار استاندارد مذکور، با توجه به این معیارها به شکل زیر خواهد بود: |
|
 |
|
|
مقایسه چهار استاندارد برتر:
جهت مقايسه متناظر ويژگي هاي اين استانداردها، جدول زير برخي موضوعات قابل تأمل را مشخص مي نمايد. |
|
 |
|
|
انتخاب استاندارد جهت پياده سازي امنيت اطلاعات :
بسیار مهم است که استانداردی در سازمان پیاده سازی گردد که به عنوان یک معیار همگانی شناخته شده و مورد قبول اکثر سازمان ها و قوانين کشوري باشد، استاندارد ISO توسط 25 کشور راه اندازی شد، این درحالی است که سه استاندارد دیگر تنها در یک کشور شروع به کار کردند. در این خصوصISO به نسبت سه استاندارد میکروتیک دیگر بسیار شناخته شده تر است، ISO به طور گسترده در جهان توسط 163 کشور مورد استفاده قرار گرفته است، در مقایسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعيت کنترلهاي آن نسبت به سه استاندارد امنیتی دیگر، موجبات پذيرش آن توسط مشتریان، تامین کنندگان، خریداران و مدیران را فراهم مي سازد. |
|
|
