سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

خرید فایروال یکی از روش‌های مهم و اصلی حفظ امنیت شبکه است. با این حال ابزارهای مدیریتی نیز نقش به‌سزایی در این حوزه ایفا می‌کنند.. سیستم مدیریت امنیت اطلاعات (information security management system)  یکی از روش‌های حفظ امنیت در شبکه‌هاست که در این مقاله به صورت کامل با آن آشنا می‌شویم و به این پرسش‌ها پاسخ می‌دهیم که این سیستم چگونه عمل می‌کند؟ چه مزایایی دارد؟ بهترین الگوها و روش‌های پیاده سازی آن چیست؟ و اصولا پیاده سازی ISMS چگونه انجام می‌شود. در ادامه با فالنیک همراه باشید.

سیستم مدیریت امنیت اطلاعات (information security management system) چیست؟

سیستم مدیریت امنیت اطلاعات (information security management system) مجموعه‌ای از خط‌مشی‌ها و رویه‌های امنیتی و شبکه‌ای به منظور مدیریت سازمان‌‌دهند داده‌های حساس سازمانی است. سیستم مدیریت امنیت اطلاعات به دنبال به حداقل رساندن ریسک و تضمین تداوم فعالیت‌های تجاری با محدود کردن میزان ‌تاثیرگذاری نقض‌های امنیتی است.

معمولاً یک سامانه مدیریت امنیت اطلاعات، رفتار و فرآیندهای مورد استفاده توسط کارکنان و همچنین داده‌ها و فناوری‌هایی مورد استفاده را را زیر نظر می‌گیرد. کارشناسان شبکه و امنیت می‌توانند این سامانه را به منظور نظارت بر نوع خاصی از داده‌ها، مثل داده‌های مشتریان، داده‌های فروش، داده‌هایی که قرار است از شبکه سازمانی خارج شوند و… تنظیم کنند تا اطلاعات جامع و یکپارچه‌ای به دست آورند. داده‌هایی که امکان استفاده از آن‌ها در تدوین خط‌مشی‌های تجاری یا امنیتی وجود دارد.

سامانه مدیریت امنیت اطلاعات چگونه کار می‌کند؟

سامانه مدیریت امنیت اطلاعات یک رویکرد سازمان‌مند به منظور مدیریت بر امنیت اطلاعات یک سازمان ارائه می‌دهد. امنیت اطلاعات خط‌مشی‌های گسترده‌ای را شامل می‌شود که سطوح مختلف مخاطرات امنیتی پیرامون یک سازمان را کنترل و مدیریت می‌کند.

در همین ارتباط ISO/IEC 27001 استاندارد بین‌المللی و شناخته‌ شده‌ای در ارتباط با نحوه ساخت و پیکربندی سامانه‌‌های مدیریت امنیت اطلاعات است. این استاندارد که به طور مشترک توسط سازمان بین‌المللی استاندارد و کمیسیون بین‌المللی الکتروتکنیک تصویب شده، بر انجام اقدامات خاصی تاکید ندارد، بلکه پیشنهادهایی برای مستندسازی، ممیزی داخلی، بهبود مستمر و اقدامات اصلاحی و پیشگیرانه ارائه می‌کند. سازمان‌هایی که به دنبال دریافت گواهینامه  ISO 27001هستند، در اولین گام به سامانه مدیریت امنیت اطلاعات نیاز دارند که توانایی شناسایی دقیق دارایی‌های سازمانی را را داشته باشد و ارزیابی‌های زیر را ارائه دهد:

• شناسایی خطراتی که دارایی‌های اطلاعاتی سازمان با آن‌ها روبرو هستند.
• اقدامات انجام شده برای حفاظت از دارایی‌های اطلاعاتی.
• ارائه یک برنامه پاسخ‌گویی سریع در هنگام شناسایی یک نقض امنیتی.
• مشخص کردن افرادی که وظایف مشخصی در ارتباط با تامین امنیت اطلاعات بر عهده دارند.

هدف سامانه مدیریت امنیت اطلاعات  لزوما به حداکثر رساندن امنیت اطلاعات نیست، بلکه رسیدن به سطح مطلوبی از امنیت در یک سازمان است. بسته به نیازهای خاص صنعت، این سطوح کنترلی ممکن است متفاوت باشند. به عنوان مثال، از آن‌جایی که مراقبت‌های بهداشتی یک حوزه بسیار حساس هستند، یک سازمان مراقبت‌های بهداشتی ممکن است سیستمی ایجاد کند تا اطمینان حاصل کند که اطلاعات حساس بیماران به طور کامل محافظت می‌شود و هکرها قادر به نفوذ به بانک‌های اطلاعاتی، سرقت یا دستکاری اطلاعات نخواهند بود.

سامانه مدیریت امنیت چه مزایایی در اختیار سازمان‌ها قرار می‌دهد؟

یک سامانه مدیریت امنیت رویکرد جامعی در ارتباط با مدیریت سیستم‌های اطلاعاتی ارائه می‌دهد. همین مسئله باعث شده تا سازمان‌ها به ارزش افزوده و مزایای شاخصی در این زمینه دست پیدا کنند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

• محافظت از داده‌های حساس (Protects sensitive data): یک سامانه مدیریت امنیت از همه انواع دارایی‌های دیجیتالی و میزبانی شده در فضای ابری محافظت می‌کند. این دارایی‌ها می‌توانند شامل داده‌های شخصی، مالکیت معنوی، داده‌های مالی، داده‌های مشتریان و داده‌هایی باشد که از طریق اشخاص ثالث به شرکت‌ها سپرده شده است.
• هماهنگ با مقررات است (Meets regulatory compliance): یک سامانه مدیریت امنیت به سازمان‌ها کمک می‌کند تا به تمام الزامات پاسخ دهند و خط‌مشی‌های امنیتی سازمان را مطابق با قراردادها تنظیم کنند. به بیان دقیق‌تر، درک بهتری از قوانین مربوط به سیستم‌های اطلاعاتی در اختیار کاربران قرار می‌دهد. از آن‌جایی که نقض مقررات قانونی جریمه‌های سنگینی را به همراه دارد، داشتن یک سامانه مدیریت امنیت می‌تواند به سازمان‌های فعال در حوزه‌های زیرساختی، امور مالی یا مراقبت‌های بهداشتی کمک کند تا مشمول جریمه‌های سنگین نشوند.
• تداوم فعالیت‌های تجاری را تضمین می‌‌کند (Provides business continuity): هنگامی که سازمان‌ها روی یک سامانه مدیریت امنیت اطلاعات سرمایه‌گذاری می‌کنند، به طور خودکار سطح مکانیزم‌های دفاعی در برابر تهدیدات را افزایش می‌دهند. همین مسئله باعث می‌شود تا تعداد حوادث امنیتی مثل حملات سایبری کاهش پیدا کنند و در نتیجه اختلالات کمتر و خرابی تجهیزات و زیرساخت‌ها نیز کمتر شود. تمامی مواردی که به آن‌ها اشاره شد، نقش مهمی در حفظ تداوم فعالیت‌های تجاری دارند.
• هزینه‌ها را کاهش می‌دهد (Reduces costs): یک سامانه مدیریت امنیت اطلاعات ارزیابی کاملی در ارتباط با مخاطرات پیرامون همه دارایی‌ها ارائه می‌دهد و سازمان‌ها را قادر می‌سازد تا به اولویت‌بندی ریسک‌های پیرامون دارایی‌ها بپردازند و ابتدا روی برطرف کردن یا به حداقل رساندن ریسک‌هایی سرمایه‌گذاری کنند که باعث متوقف شدن فعالیت‌های تجاری می‌شوند یا اعتبار سازمان را مخدوش می‌کنند. به همین دلیل، رویکردی متمرکز برای ایمن‌سازی دارایی‌ها ارائه می‌دهند. این رویکرد ساختاریافته، همراه با خرابی کمتر به دلیل کاهش حوادث امنیتی، به طور قابل توجهی باعث صرفه‌جویی در هزینه‌ها می‌شود.
• تقویت فرهنگ سازمانی و شرکتی (Enhances company culture): یک سامانه مدیریت امنیت اطلاعات رویکرد فراگیری در ارتباط با امنیت و مدیریت دارایی‌ها به شکل یکپارچه در سازمان ارائه ‌می‌دهد، با این‌حال، خط‌مشی‌هایی که ارائه می‌کند محدود به امنیت فناوری اطلاعات نخواهند بود. این نگرش جامع کارمندان را تشویق می‌کند تا خطرات مرتبط با دارایی‌های اطلاعاتی را درک کنند و بهترین شیوه‌های امنیتی را به عنوان بخشی از کارهای روزمره خود اتخاذ کنند.
• توانایی سازگاری با تهدیدات نوظهور را دارد (Adapts to emerging threats): تهدیدات امنیتی به طور مداوم در حال تغییر هستند. یک سامانه مدیریت امنیت اطلاعات به سازمان‌ها کمک می‌کند تا با تهدیدات جدیدتر به شکل کارآمدتری مقابله کنند و همواره مکانیزم‌های امنیتی را برای مقابله با تهدیدات به‌روز نگه دارند.

بهترین الگوها و شیوه‌های پیاده‌سازی سامانه‌های مدیریت امنیت اطلاعات

ISO 27001، همراه با استانداردهای ISO 27002، دستورالعمل‌های روشن و خوبی در ارتباط با راه‌اندازی ISMS ارائه می‌دهند. در زیر چک‌لیستی از بهترین شیوه‌هایی را مشاهده می‌کنید که قبل از سرمایه‌گذاری روی ISMS باید به آن‌ها دقت کنید.

• نیازهای کسب و کار را درک کنید (Understand business needs): قبل از اجرای ISMS، مهم است که دید روشنی در ارتباط با  عملیات تجاری، ابزارها و سیستم‌های مدیریت امنیت اطلاعات برای درک نیازهای تجاری و امنیتی، داشته باشند. همچنین، به مطالعه این موضوع بپردازید که چگونه چارچوب ISO 27001 می‌تواند به حفاظت از داده‌ها و افرادی که مسئول اجرای ISMS هستند، کمک کند.
• یک خط‌مشی امنیت اطلاعات ایجاد کنید (Establish an information security policy): داشتن یک خط‌مشی امنیت اطلاعات قبل از پیاده‌سازی ISMS اهمیت زیادی دارد، زیرا می‌تواند به سازمان کمک کند تا نقاط ضعف خط‌مشی را کشف کند. به طور معمول، خط‌مشی امنیتی باید یک نمای کلی از کنترل‌های امنیتی فعلی در یک سازمان ارائه دهد.
• نظارت بر دسترسی به داده‌ها (Monitor data access): شرکت‌ها باید خط‌مشی‌های کنترل دسترسی خود را به دقت مورد بررسی قرار دهند تا مطمئن شوند که تنها افراد مجاز به اطلاعات حساس دسترسی پیدا می‌کنند. این نظارت باید نشان دهد چه کسی، چه زمانی و از کجا به داده‌ها دسترسی دارد. علاوه بر نظارت بر دسترسی به داده‌ها، شرکت‌ها باید ورود و احراز هویت را نیز مورد بررسی قرار دهند و همه اطلاعات را با جزییات ثبت کنند.
• برگزاری دوره آموزشی آگاهی از امنیت (Conduct security awareness training): همه کارکنان باید به طور منظم آموزش‌های مرتبط با مباحث امنیت را دریافت کنند. این آموزش باید کاربران را با چشم‌انداز تهدیدات در حال تکامل، آسیب‌پذیری‌های داده‌ای رایج پیرامون سیستم‌های اطلاعاتی و تکنیک‌های کاهش و پیشگیری برای محافظت از داده‌ها در برابر به خطر افتادن، آشنا کند.
• ایمن‌سازی سرویس‌ها (Secure devices): برای مقابله با تهدیدات هکری بهترین کاری که باید انجام دهید اتخاذ تدابیر امنیتی برای پیشگیری از هک دستگاه‌‌های حساس سازمانی به ویژه سرورها و استوریج‌ها است. این مسئله محدود به فضای مجازی نیست و محافظت از تجهیزات در برابر آسیب‌های فیزیکی و دستکاری را نیز شامل می‌شود. ابزارهایی مثل Google Workspace و Office 365 باید روی همه دستگاه‌ها نصب شوند، زیرا در مقایسه با نسخه‌های آفلاین امنیت بهتری را ارائه می‌دهند و اجازه می‌دهند اطلاعات را در فضای ابری ذخیره‌سازی کنید.
• داده‌ها را رمزگذاری کنید (Encrypt data): رمزگذاری مانع از دسترسی غیرمجاز به اطلاعات می‌شود و بهترین مکانیزم دفاعی در برابر تهدیدات امنیتی است. همه داده‌های سازمانی باید قبل از راه‌اندازی ISMS رمزگذاری شوند، زیرا به هکرها یا افراد فرصت‌طلب اجازه نمی‌دهند باعث خراب شدن داده‌های حساس شوند.
• از داده‌ها نسخه پشتیبان تهیه کنید (Back up data): پشتیبان‌گیری‌ها مانع از آن می‌شوند تا برای همیشه با اطلاعات حساس خداحافظی کنید، به همین دلیل قبل از پیاده‌سازی ISMS باید به این مسئله رسیدگی کنید. علاوه بر پشتیبان‌گیری‌های عادی، مکان و تعداد دفعات پشتیبان‌گیری نیز با مشخص شود. علاوه بر این، سازمان‌ها باید برنامه‌ای برای ایمن نگه‌داشتن نسخه‌های پشتیبان طراحی کنند  نسخه‌های پشتیبان را روی استوریج‌های سازمانی و ابری ذخیره‌سازی کنند تا همواره نسخه مطمئنی از اطلاعات در اختیار داشته باشند.
• انجام ممیزی امنیت داخلی (Conduct an internal security audit): قبل از پیاده‌سازی ISMS باید یک ممیزی امنیت داخلی انجام شود. ممیزی‌های داخلی راهکار قدرتمندی در اختیار سازمان‌ها قرار می‌دهند تا دید روشنی نسبت به سیستم‌ها، نرم‌افزارها و دستگاه‌های امنیتی داشته باشند. در این حالت، اطلاعات کافی در ارتباط با حفره‌های امنیتی قبل از پیاده‌سازی ISMS دارند و زمان کافی برای ترمیم آن‌ها در اختیار خواهند داشت.

پیاده‌سازی ISMS

روش‌های مختلفی برای پیاده‌سازی و راه‌اندازی ISMS وجود دارد. اکثر سازمان‌ها یا یک فرآیند برنامه‌ریزی انجام-بررسی-عملی را دنبال می‌کنند یا استاندارد بین‌المللی امنیت ISO 27001 را مطالعه می‌کنند و بر مبنای آن اقدام می‌کنند. به طور کلی، مراحل پیاده‌سازی ISMS به شرح زیر است:

• محدوده و اهداف را تعریف کنید (Define the scope and objectives):  مشخص کنید کدام دارایی‌ها نیاز به حفاظت دارند و دلایل محافظت از آن‌ها ر مشخص کنید. پیشنهاد می‌شود ابتدا روی دارای‌های مرتبط با مشتریان، ذینفعان و اطلاعات حساس سازمانی متمرکز شوید تا بتوانید ابتدا امنیت آن‌ها را تامین کنید. علاوه بر این، باید اهداف مشخصی را که ISMS قادر به محافظت از آن‌ها است را مشخص کنید و در ادامه محدودیت‌های پیرامون ISMS را به درستی درک کنید.
• دارایی‌ها را شناسایی کنید (Identify assets): دارایی‌هایی که قرار است محافظت شوند را شناسایی کنید. این کار را می‌توان با ساخت فهرستی از دارایی‌های حیاتی تجاری شامل سخت‌افزار، نرم‌افزار، خدمات، اطلاعات، پایگاه‌های داده و مکان‌های فیزیکی با استفاده از نقشه فرآیند کسب و کار به دست آورد.
• مخاطرات را بشناسید (Recognize the risks): پس از شناسایی دارایی‌ها، دارایی‌هایی که ریسک بالایی دارند باید مطابق با الزامات قانونی یا دستورالعمل‌های انطباق، تجزیه و تحلیل و امتیازدهی شوند. علاوه بر این، سازمان‌ها باید میزان تاثیرگذاری مخاطرات بر دارایی‌ها را شناسایی کرده و برآوردی در این زمینه ارائه دهند. به عنوان مثال، کارشناسان امنیتی می‌توانند میزان تاثیرگذاری ریسک‌ها بر نقص اصول محرمانگی، دسترس‌پذیری و یکپارچگی دارایی‌های اطلاعاتی را مشخص کنند یا برآوردی در ارتباط با احتمال وقوع آن نقض‌ها ارائه دهند. هدف نهایی باید رسیدن به نتیجه‌ای باشد که مشخص کند کدام مخاطرات باید ابتدا مورد بررسی قرار بگیرند و میزان اثرگذاری هر مخاطره بر دارایی‌های سازمانی چقدر است.
• اقدامات که باعث کاهشی مخاطرات می‌شوند را شناسایی کنید (Identify mitigation measures): یک ISMS کارآمد نه تنها قادر به شناسایی مخاطرات خطرناک است، بلکه باید اقدامات رضایت‌بخشی را برای کاهش موثر و مبارزه با مخاطرات ارائه می‌دهد. این اقدامات کاهنده باید یک برنامه محافظتی جامع در ارتباط با پیگشیری از بروز مخاطرات امنیتی ارائه دهند. به عنوان مثال، شرکتی که نگران است، اطلاعات حساس مشتریان روی لپ‌تاپ‌ها به سرقت برود، نباید اجازه ذخیره‌سازی اطلاعات روی لپ‌تاپ‌ها را به کارمندان بدهد. یک اقدام موثر کاهنده تنظیم خط‌مشی یا قانونی است که به کارمندان اجازه ندهد داده‌های مشتریان را روی لپ‌تاپ خود ذخیره کنند.
• بهبود سطح دفاع (Make improvements): تمام مراحلی که به آن‌ها اشاره کردیم باید به دقت ممیزی و بررسی شوند تا میزان اثربخشی آن‌ها افزایش پیدا کند. اگر پایش باعث آشکار شدن نقص‌ها یا عواملی شده که نشان می‌دهند، مشکلات اساسی در زیرساخت‌های سازمانی وجود دارد، مجبور هستید فرآیند پیاده‌سازی ISMS را از ابتدا بازبینی کنید تا اطمینان حاصل کنید، رخنه ترمیم نشده‌ای در زیرساخت سازمانی وجود نخواهد داشت. راهکار فوق یک رویکرد موثر برای کاهش خطرات امنیت اطلاعات است که هر سازمانی را تهدید می‌کند.