آشنایی با چهار استاندارد برتر در حوزه امنیت اطلاعات
عبارت «امنیت اطلاعات»، تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمیشود؛ مقررات و حریم خصوصی یا خط مشیهای حفاظت از اطلاعات مختلف، یک تعهد پویا برای سازمانها به وجود میآورد. در عین حال ویروسها، تروژانها، فیشرها و… برای سازمان تهدید به حساب میآیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان میشوند، مانند دزدی اطلاعات مشتریان، جاسوسی استراتژیهای کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان که هر یک از آنها به تنهایی میتواند صدمات جبرانناپذیری را متوجه سازمانها کند. از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS ) مناسب برای مدیریت موثر داراییهای اطلاعاتی سازمان الزامی به نظر میرسد.
ISMS شامل مجموعهای از خط مشیها به منظور فراهم کردن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتی از جمله داراییهای نرمافزاری و سختافزاری است. این خط مشیها به منزله راههای امنی هستند که از طریق آنها منابع اطلاعاتی میتوانند مورد استفاده قرار گیرند.
استانداردهای مختلفی در زمینه فناوری اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات میشوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS, COSO, SOA, ITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمانها قرار نگرفته است. در اینجا به بررسی چهار استاندارد برتر دنیا میپردازیم که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوری اطلاعات مورد استفاده قرار میگیرند. این چهار استاندارد برتر شامل ISO27001,PCI DSS, ITIL و COBIT هستند. در ادامه به بررسی اجمالی کلیات هر یک از این چهار استاندارد میپردازیم:
استاندارد بینالمللی ISO27001 الزامات ایجاد، پیادهسازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص میکند. این استاندارد برای ضمانت انتخاب کنترلهای امنیتی بجا و مناسب برای حفاظت از داراییهای اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 میشود، به این معنی است که آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روشهای ممکن مدیریت کند. این استاندارد (به خصوص نسخه ۲۰۱۳ آن) برای پیادهسازی در انواع سازمانهای دولتی، خصوصی، بزرگ یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمانهای بالادستی در صنعتهای مختلف، کلیه سازمانها و نهادهای دولتی، ملزم به پیادهسازی ISMS شدند و اکثر این سازمانها به پیادهسازی الزامات استاندارد ISO27001 رو آوردند.علاوه بر اینکه استاندارد ISO27001 خود حاوی کنترلهای امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین میتواند به عنوان یک بستر مدیریتی جهت پیادهسازی کنترلهای امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.
PCI DSSاستاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارتهای اعتباری ایجاد شد. این استاندارد به طور اختصاصی برای سازمانهایی مفید است که در زمینه کارتهای اعتباری، کیف الکترونیکی، ATM، POS و… اطلاعات مشتریان را نگهداری، پردازش یا مبادله میکنند.
اعتبار این استاندارد به صورت سالیانه بررسی میشود. برای سازمانهای بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام میشود اما سازمانهای کوچکتر میتوانند انطباق خود را توسط پرسشنامه خود ارزیابی و بررسی کنند.
ITILیک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویسهای آیتی در سازمانهای دولتی و خصوصی در سطح بینالمللی به وجود آمده است. ITIL در اصل یک استاندارد نیست بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمانهای ارائهدهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف اولیه این چارچوب این است که مطمئن شود سرویسهای آیتی با نیازهای کسب و کار سازمان منطبق، و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.
ITIL به عنوان مجموعهای از کتابها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه فعلی ITIL که مورد استفاده قرار میگیرد، نسخه سوم است که پنج بخش اصلی را دربر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات و بهینهسازی پیوسته خدمات.
همانطور که بیان شد، ITIL بیشتر در شرکتهایی که کسب و کار آیتی دارند، مورد توجه قرار گرفته است.
COBITیک گواهینامه است که توسط ISACA و موسسه مدیریت آی تی (ITGI) در سال ۱۹۹۶ به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوری اطلاعات است. این استاندارد با رویکردی فرآیندگرا در چهار دامنه و ۳۴ فرآیند و مجموعهای از ۳۱۸ هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعهای از سنجهها، شاخصها، فرآیندها و بهترین تجارب را برای کمک به مدیران، ممیزان و کاربران آیتی ارائه میدهد. COBIT دارای پنج حوزه تمرکز بر مدیریت فناوری اطلاعات است: تنظیم استراتژیک، تحویل ارزش، مدیریت منابع، مدیریت ریسک و اندازهگیری کارایی. پیادهسازی و بهکارگیری COBIT در سازمانها، برای مدیران چارچوبی را فراهم میآورد تا به کمک آن بتوانند برنامه استراتژیک آیتی، معماری اطلاعاتی، نرمافزارها و سختافزارهای مورد نیاز آیتی و کنترل عملکرد سیستمهای آیتی سازمان خود را طراحی کنند و با کمک این ابزارها به تصمیمگیری و سرمایهگذاریهای مرتبط با فناوری اطلاعات بپردازند.
همپوشانی حوزههای امنیتیدر سال ۲۰۰۹، یازده حوزه کنترلی اساسی شکل گرفت که به ۱۱EC معروف شد. این کنترلها میبایست توسط سازمانهایی که میخواهند امنیت اطلاعات را پیادهسازی کنند، پیادهسازی شوند، اگر این کنترلها را به عنوان معیاری برای تحقق امنیت اطلاعات در نظر بگیریم حاصل مقایسه چهار استاندارد مذکور، با توجه به این معیارها به شکل جدول روبه رو خواهد بود.
مقایسه چهار استاندارد برترجهت مقایسه متناظر ویژگیهای این استانداردها، جدول زیر برخی موضوعات قابل تامل را مشخص میکند.
بسیار مهم است استانداردی در سازمان پیادهسازی شود که به عنوان یک معیار همگانی شناخته شده و مورد قبول اکثر سازمانها و قوانین کشوری باشد، استاندارد ISO توسط ۲۵ کشور راهاندازی شد، این در حالی است که سه استاندارد دیگر تنها در یک کشور شروع به کار کردند. در این خصوصISO به نسبت سه استاندارد دیگر بسیار شناختهشدهتر است، ISO به طور گسترده در جهان توسط ۱۶۳ کشور مورد استفاده قرار گرفته است؛ در مقایسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعیت کنترلهایش نسبت به سه استاندارد امنیتی دیگر، موجبات پذیرش آن توسط مشتریان، تامینکنندگان، خریداران و مدیران را فراهم میسازد.
همانطور که در شکل نیز مشاهده میکنید، امنیت اطلاعات که به عنوان جزیی از حاکمیت فناوری اطلاعات در نظر گرفته میشود، بیشتر توسط ISO27001 پوشش داده شده، در صورتی که ITIL و COBIT سهم بیشتری در خصوص حاکمیت فناوری اطلاعات دارا هستند، گستردگی این استانداردها در شکل مشخص شده، نواحی مشترک، نشاندهنده کنترلهای امنیتی و حوزههایی هستند که استانداردها با یکدیگر همپوشانی دارند، همچنین همانطور که مشاهده میشود PCI DSS همپوشانی زیادی با ISO27001 دارد با این تفاوت که PCI DSS در حوزه امنیت کارت فعالیت میکند، این شکل بیانگر این موضوع است که پیادهسازی ISO27001 علاوه بر اینکه به تنهایی امنیت اطلاعات را در سازمان به صورت عمومی تضمین میکند، میتواند به عنوان بستری مناسب جهت پیادهسازی استانداردهای امنیتی دیگر متناسب با حوزه کاری هر سازمانی مورد استفاده قرار گیرد.
هر استاندارد به نوعی نقش خود را در پیادهسازی امنیت اطلاعات ایفا میکند، به عنوان مثال ISO27001 بر سیستم مدیریت امنیت اطلاعات، PCIDSS بر امنیت اطلاعات مرتبط با تراکنش کسب و کار و کارت هوشمند، ITIL و COBIT بر امنیت اطلاعات و ارتباطشان با مدیریت پروژه و حاکمیت فناوری اطلاعات تمرکز دارند. به طور کلی استقبال عمومی در استفاده جهانی از استانداردها، نشان میدهد ISO27001 برتر از سه استاندارد دیگر در سطح جهانی ظاهر شده است. به خصوص برای ایجاد سیستم مدیریتی امنیت اطلاعات، این استاندارد نسبت به دیگر استانداردها راحتتر پیادهسازی میشود و توسط ذینفعان (مدیران ارشد، کارکنان، تامینکنندگان، مشتریان و قانونگذاران) به خوبی قابل درک است. از این رو با در نظر گرفتن سطح بالای قابلیت استفاده و اعتماد به ISO27001 در جهان، میتوان این استاندارد را همچون زبان انگلیسی به عنوان زبان بینالمللی و جهانی در استانداردها و معیارهای ISMS دانست
