1- مقدمه

در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي و خصوصي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، مي‌توان به فقدان زيرساخت‌هاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمن‌سازي فضاي تبادل اطلاعات اين دستگاه‌ها اشاره نمود.

بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساخت‌هائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساخت‌هاي امنيت فضاي تبادل اطلاعات در کشور مي‌باشد. از سوي ديگر، وجود زيرساخت‌هاي فوق، قطعا تاثير بسزائي در ايمن‌سازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت.

صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاه‌هاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاه‌ها شده و کاهش اعتبار اين دستگاه‌ها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايه‌هاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات (افتا) کشور، توجه به مقوله ايمن‌سازي فضاي تبادل اطلاعات دستگاه‌هاي دولتي، ضروري به نظر مي‌رسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاه‌هاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.

با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله امنيت اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت اطلاعات در يک مجموعه سازماني، دفعتا مقدور نمي باشد و لازم است اين امر بصورت مداوم و در يک چرخه ايمن سازي شامل مراحل طراحي[1]، پياده سازي[2]، ارزيابي[3] و اصلاح[4] انجام گيرد. براي اين منظور لازم است هر سازمان براساس يک متدولوژي مشخص، ضمن تهيه طرح ها و برنامه هاي امنيتي مورد نياز، تشکيلات لازم جهت ايجاد و تداوم امنيت اطلاعات خود را نيز ايجاد نمايد.

اين مقاله در 2 بخش تهيه گرديده است که بخش اول آن درباره آشنائي با مراحل طي شده در زمينه امنيت اطلاعات از ابتدا و بخش دوم آشنائي با چگونگي روند رو به رشد استاندارد BS7799 مي باشد.

 2- آشنائي با مراحل طي شده در زمينه امنيت اطلاعات

امنيت اطلاعات داراي مراحل مختلفي بوده که در بازه هاي زماني متفاوت اين مراحل با ديدگاههاي خاص خودشان طي گرديده است. اولين مرحله که تا اوايل دهه 80 ميلادي بطول انجاميد، امنيت را فقط با ديدگاه فني مشاهده مي نمود وبرقراري آن را منوط به امنيت کامپيوتر و دستگاههاي جانبي مي دانستند اما با گذشت زمان متوجه شدند که بيشتر تجاوزات امنيتي از طريق مسائلي همچون ضعف هاي مديريتي (از لحاظ امنيتي) و عوامل انساني (بدليل نديدن آموزش هاي امنيتي پرسنل سازمان مربوطه) مي باشد لذا از اواسط دهه 80 ميلادي که تا اواسط دهه 90 ميلادي هم بطول انجاميد، بحث مديريت امنيت اطلاعات مطرح شد که در آن امنيت اطلاعات را منوط به خطي مشي امنيت اطلاعات و ساختارهاي سازماني مي دانستند اما در اواسط دهه 90 ميلادي اين مرحله تکميل تر گرديد که آميزه اي از دو مرحله قبلي و پارامترهاي ديگري همچون تعريف استراتژيهاي امنيتي و خطي مشي هاي امنيتي بر اساس نيازهاي اصلي سازمان و مديريت آن مي باشد. اين مرحله شامل مولفه هائي نظير استانداردسازي امنيت اطلاعات، گواهينامه هاي بين المللي، فرهنگ سازي امنيت اطلاعات در سازمان و پياده سازي معيارهاي ارزيابي دائمي و پوياي امنيت اطلاعات مي باشد. لازم به ذکر مي باشد که اين مرحله هنوز ادامه دارد و در حال تکميل شدن مي‌باشد.

 2- چگونگي روند رو به رشد استاندارد BS7799

استانداردهاي امنيت قابل تقسيم به دو گروه اصلي مي باشند که گروه اول در رابطه با امنيت از لحاظ فني، و گروه دوم در رابطه با امنيت از لحظ مديريتي است. استانداردهاي امنيتي فني در زمينه هائي نظير امضاء ديجيتال، رمزنگاري کليد عمومي، رمزنگاري متقارن، توابع درهم ساز، توابع رمزنگاري احراز اصالت پيام و غيره کاربرد دارند. گروه دوم که استانداردهاي امنيتي مديريتي مي باشند، قسمت هاي مختلف مديريت سازمان را در بر مي گيرند. در حال حاضر مجموعه اي از استانداردهاي مديريتي و فني امنيت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 (نسخه جديد آن ISO/IEC 27001 مي باشد) و گزارش فني ISO/IEC TR 13335 موسسه بين المللي استاندارد، از برجسته ترين استانداردها و راهنماهاي فني محسوب مي گردند. در اين استانداردها، نکات زير مورد توجه قرار گرفته است:

•   تعيين مراحل ايمن سازي و نحوه شکل گيري چرخه امنيت

•   جزئيات مراحل ايمن سازي و تکنيکهاي فني مورد استفاده در هر مرحله

•   ليست و محتواي طرحها و برنامه هاي امنيت اطلاعات مورد نياز سازمان

•   ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت

•   کنترل هاي امنيتي موردنياز براي هر يک از سيستم هاي اطلاعاتي و ارتباطي

 2-1- استاندارد BS7799

استاندارد BS7799 اولين استاندارد مديريت امنيت است که توسط موسسه استاندارد انگليس ارائه شده است. نسخه اول اين استاندارد (BS7799-1) در سال 1995 و در يک بخش و با عنوان                BS7799-1: Code of Practice for Information Security Management منتشر گرديد. و نسخه دوم آن (BS7799-2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گرديد. هدف از تدوين اين استاندارد ارائه پيشنهاداتي در زمينه مديريت امنيت اطلاعات براي کساني است که مسئول طراحي، پياده سازي يا پشتيباني مسائل امنيتي در يک سازمان مي باشند. اين استاندارد متشکل از 35 هدف امنيتي و 127 اقدام بازدارنده براي تامين اهداف تعيين شده مي‌باشد که جزئيات و چگونگي‌ها را مطرح نمي کند بلکه سرفصل‌ها و موضوعات کلي را بيان مي کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوين اين استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد ويا نياز به کنترلهاي بيشتري باشد که اين استاندارد، آنها را پوشش نداده است. در سال 2000 ميلادي بخش اول استاندارد BS7799-2 بدون هيچگونه تغييري توسط موسسه بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گرديد. وشامل سر فصل هاي ذيل است:

•   تدوين سياست امنيتي سازمان

•   تشکيلات امنيتي

•   طبقه بندي سرمايه ها و تعيين کنترلهاي لازم

•   امنيت پرسنلي

•   امنيت فيزيکي و پيراموني

•   مديريت ارتباطات و بهره برداري

•   کنترل دسترسي

•   توسعه و پشتيباني سيستم ها

•   مديريت تداوم فعاليت

•   سازگاري

 اين استاندارد مجددا در سال 2002 ميلادي بازنويسي و منتشر گرديد. در سال 2005 دوباره اين استاندارد بازنويسي و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در يک سند انتشاريافت. اين نسخه متشکل از 39 هدف امنيتي و 134 اقدام بازدارنده است. تغييراتي که اين استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از:

الف- افزايش يافتن يک فصل جديد و تغييير نمودن بعضي از فصول گذشته

ب- تغيير وحذف شدن بعضي از کنترلهاي قديمي و اضافه شدن 17 کنترل جديد

ج- افزايش تعداد کنترل‌ها به 134عدد

 2-2- گزارش فني ISO/IEC TR 13335

ISO و IEC داراي يک کميته فني مشترک مي باشند که کار اصلي آن تهيه استانداردهاي بين المللي است. اين کميته در مواردي بجاي تهيه و تدوين يک استاندارد، يک گزارش فني انتشار مي دهند. گزارش فني ISO/IEC TR 13335 در قالب 5 بخش مستقل توسط اين کميته تهيه گرديده و شامل مستندات فني معتبر مي باشد. اين گزارش در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 محسوب شده و در پياده سازي سيستم مديريت امنيت اطلاعات، کاربرد زيادي دارد.

هم اکنون تعداد گواهينامه هاي صادر شده در کل دنيا در زمينه امنيت اطلاعات (بر اساس BS7799) 2546 عدد (تا تاريخ May 2006) مي باشد که به علت اهميت اين مقوله به سرعت در حال افزايش است. _____________________________________________________________________________

[1] Plan

[3] Check

[4] Act