استاندارد جدیدی برای مدیریت ایمنی اطلاعات

دکتر کامبیز فرقاندوست حقیقی

سوابق تاریخی‌

از سالهای 1970 به بعد اندیشه مدیریت ایمنی اطلاعات ایجاد گردید. ظرف ده پانزده سال بعد، این نیاز به همه جا تسری یافت تا آنجا که در حدود سالهای 1990 در انگلستان مجموعه‌ای تحت عنوان «آیین‌رفتاری مدیریت ایمنی اطلاعات»1 منتشر شد. به‌موازات انتشار این نشریه در انگلستان و همزمان با آن، در اروپا نیز مباحثاتی در مورد ایجاد یک دیدگاه مشترک مشخص در ارتباط با مشکلات ایمنی اطلاعات و راه‌حل‌های احتمالی مرتبط با آنها در جریان بود. این مباحثات منجربه انتشار نشریه‌ای به نام «کتاب سبز»2 گردید. متاسفانه نشریه کتاب سبز بسیار حجیم و غیرقابل استفاده بود.

آیین ‌رفتار حرفه‌ای‌

صنعت و بازرگانی انگلستان همواره فشاری بر دولت این کشور وارد کرده تا نسبت به تامین محیطی که موجب ایجاد اعتماد متقابل بین پایگاههای مختلف کامپیوتری و شرکای تجاری گردد، اقدام نماید. این فشارها بویژه در محیط ارتباطی و الکترونیکی بین سازمانها همواره به‌شدت رو به افزایش بوده است.

شاید باورکردنی نباشد که این تلاشها هنگامی صورت می‌گرفت که بسیاری ازمردم هنوز چیزی در مورد اینترنت نشنیده و تصوری از قابلیتهای کاربردی آن در محیط تجاری نداشتند.

آیین‌رفتار حرفه‌ای مورد بحث توسط گروهی از نهادهای ذینفع آماده شد. از جمله نهادهایی که در آماده‌سازی آن دخالت داشتند، می‌توان دولت، تولیدکنندگان صنعتی، صنعت راه‌آهن، بانکها، مشاوران فناوری اطلاعات، و صنعت ارتباطات را نام برد. بدین‌ترتیب در تدوین این مجموعه جنبه‌های عملیاتی آن تا حد زیادی مورد نظر قرار گرفته بود. این بدان معنا بود که برای حسابرسان کامپیوتری نیز رویداد درخور ملاحظه‌ای به‌‌وقوع پیوسته و بالاخره مرجعی برای مقایسه و شناخت وضعیت کنترلهای مورد نیاز و مستقر در صنعت و تجارت به‌وجود آمده بود. علاوه بر این، مرجع مزبور در مورد بسیاری از سازمانها بدون توجه به بزرگی آنها اعم از بزرگ، متوسط و کوچک قابل اعمال بود.

این نشریه آیین رفتار حرفه‌ای بود که در سال 1995 به استاندارد شماره 7799 انگلستان (British Standard) تبدیل شد.

کنترلهای اصلی و سایر کنترلها

در محافل بازرگانی و تجاری همواره مقاومتهایی در قبول این‌که ایمنی بیشتر اطلاعات می‌تواند به بهبود اوضاع منجر گردد، وجود داشته است. البته استثنای چشمگیری هم وجود داشته است. این استثنا را همواره صنایع دفاعی تشکیل می‌داده است. با این حال باید یاداوری کرد که گزارشهای مربوط به تجاوز و سوءاستفاده از سیستمهای اطلاعاتی موید آن است که همواره می‌باید در راستای ایمنی بیشتر سیستمهای اطلاعاتی گام برداشته شود.

در زمینهِ انگیزش مدیران ارشد و تسهیل شناخت آنها از موضوع ایمنی، در آیین‌رفتار حرفه‌ای موصوف ده نکته کلیدی ذکرشده بود.

این ایده برای معرفی و انتشار بسیار موثر واقع شد. بویژه آنکه در میان این ده نکته، دو نکته وجود دارد که به‌طور مشخص همواره مشکلاتی را از نظر عملیاتی و حقوقی برای سازمانها ایجاد کرده است. این دو موضوع عبارت است از ویروسهای کامپیوتری‌وسرقت نرم‌افزارها.

ده نکته یاد شده به شرح زیر بود:

مستندسازی خط‌مشی و سیاستهای مربوط به ایمنی اطلاعات،

فرایند و برنامه تداوم عملیات تجاری،

تعیین مسئولیتهای مرتبط با ایمنی اطلاعات،

اعمال کنترل بر نسخه‌برداری از نرم‌افزارهای ویژه متعلق به هر سازمان،

آموزش و اشاعه مفاهیم ایمنی اطلاعات،

حفاظت از سوابق سازمان،

گزارش رویدادهای مرتبط با ایمنی اطلاعات،

حفاظت اطلاعات (در ارتباط با اطلاعات مرتبط با اشخاص)،

کنترل ویروسها،

رعایت خط‌مشی‌ها و سیاستهای ایمنی و متابعت از آنها.

در پشت این ده نکته کلیدی این فرض مستتر بوده که هر گاه سازمانی به‌نحو رضایت‌بخشی بتواند قابلیت لازم برای رعایت آنها را نشان دهد، قابلیت آن‌را که ضوابط مناسبی برای ایمنی اطلاعات به مورد اجراء بگذارد نیز خواهد داشت.

رویدادهای درخور ملاحظه بعدی‌

اقدام بعدی، تقویت آثار آیین‌رفتار حرفه‌ای مزبور بود. به‌عبارت دیگر ایجاد یک ضمانت اجرایی برای این آیین‌رفتار حرفه‌ای. بدین‌ترتیب بخش دومی برای آن تهیه شد. این بخش دوم در سال 1998 انتشار یافت. بخش دوم بسیار بارزتر به نظر می‌رسید، زیرا که در آن مراتب لازم برای اعطای گواهینامه رسمی به سازمانها در ارتباط با رعایت استانداردهای ایمنی اطلاعات پیشبینی شده بود.

اگرچه این موضوع ممکن است فرایندی طولانی‌ به نظر آید، اما موضوع بخش دوم استانداردهای مدیریت ایمنی سیستمهای اطلاعاتی را ضوابطی تشکیل می‌داد که شرکتها می‌باید برای دریافت گواهینامه رسمی رعایت استانداردهای مدیریت ایمنی اطلاعات، آنها را در شرکت خود معرفی می‌کردند و زمینه‌های اجرای موفقیت‌آمیز آنها را کاملاً فراهم می‌نمودند. به نظر می‌رسد مهمترین جنبه‌های این فرایند، این واقعیت را منعکس می‌سازد که مدیریت ارشد سازمان باید موضعی کاملاً جدی در پشتیبانی از مدیریت ایمنی اطلاعات داشته باشد در حالی‌ که قبل از این رویدادها، اغلب ایمنی، موضوعی حاشیه‌ای و فرعی تلقی می‌شد و هرگز جزء یکی از اولویتهای مدیریت ارشد سازمانها به حساب نمی‌آمد.

قبل از پرداختن به فرایند درونی که هر سازمان باید آن‌را در پیش گیرد، بد نیست نگاهی به عنوانهای تصریح شده در بخش دوم انداخته شود تا برداشتی از دامنه این استانداردها به‌دست آید.

محتوای بخش دوم استاندارد شماره 7799

علاوه بر دامنه تسری استانداردها و تعاریف مرتبط با آن، دو موضوع دیگر وجود دارد که محتوای اصلی بخش دوم را تشکیل می‌دهد. این دو موضوع عبارتند از «ویژگیهای سیستم مدیریت ایمنی اطلاعات» و «عناصر کنترلهای تصریح شده در بخش دوم» عناصر مرتبط با کنترلها به شرح زیر است:

1- سیاست‌وخط‌مشی‌های‌ایمنی اطلاعات،

2- سازمان ایمنی،

3- طبقه‌بندی و کنترلهای داراییها،

4 - ایمنی کارکنان،

5 - ایمنی فیزیکی و محیطی،

6- مدیریت کامپیوتر و شبکه‌ها،

7- کنترلهای دسترسی به سیستم،

8 - ایجاد و نگاهداری کنترلها،

9 - برنامه تداوم فعالیت،

10- رعایت.

همانطور که مشاهده می‌شود این عنوانها کلیه مواردی را که می‌تواند در حسابرسی کامپیوتری مورد نظر قرار گیرد، یا باید مورد نظر باشد، شامل می‌گردد. همین قدر کافی است که گفته شود، رعایت نکردن هر کدام آنها، نیاز به توجیه کافی خواهد داشت. برای مثال، باید تصریح شود که به‌جای کنترل مورد نظر، کنترل جبرانی دیگری استقرار دارد یا آنکه ممکن است کنترلی در شرایط یک شرکت اصلاً مورد نداشته باشد. به عبارت دیگر، فرایند تفکر نه‌تنها باید از تمامیت لازم برخوردار باشد، بلکه ضرورت دارد که مستند و قابل ارائه به دیگران نیز باشد.

فرایند داخلی استقرار

سیستم مدیریت ایمنی‌

نشان دادن این‌که بنگاهی از شرایط لازم برای کسب گواهی سیستم مدیریت ایمنی3 برخوردار است، متضمن آن است که نشان داده شود سیستمی رسمی برای استقرار و مدیریت ایمنی مزبور در شرکت وجود دارد. استاندارد در این مورد کمک می‌کند تا گامهای لازم، مشخص گردد و برداشته شود.

1 - به‌عنوان حسابرس، انتظار می‌رود که اولین گام در سطح مدیریت ارشد (بالاترین سطح مدیریتی بنگاه) برداشته شود. در واقع، اولین قدم تعریف یک سیاست مدیریت ایمنی در سطح سازمان است. بدیهی است که گستردگی این سیاستگذاری تابعی از اندازه و بزرگی سازمان و حساسیت عملیات کامپیوتری در محیط آن خواهد بود.

2 - در راستای ایجاد معیارهای لازم برای سنجش و نظارت در فرایند کسب گواهینامه ایمنی، سازمان باید تعریفی از داراییهای مرتبط با تکنولوژی اطلاعات و سیستم ایمنی اطلاعات را به‌دست دهد. در این راستا باید توجه شود که داراییهای مرتبط با تکنولوژی اطلاعات منحصر به کامپیوترها و مدارک پشتیبان آنها نیست و داراییهای به مراتب بیشتری را دربر می‌گیرد.

3 - با توجه به آنچه در بند 2 بالا تشریح شد، ضرورت انجام اقدامات لازم برای ارزیابی مخاطرات، آسیب‌پذیریها و آثار آنها بر داراییهای مرتبط با تکنولوژی اطلاعات تصریح شده در مفاد بند بالا، آشکار به‌ نظرمی‌رسد. در اینجاست که سازمان لازم است به‌دقت تعیین کند که آمادگی پذیرش چه میزان مخاطره (ریسک) را دارد و یا برعکس به چه سطح اطمینانی می‌خواهد دست یابد.

4- به تناسب مخاطرات شناسایی شده، بنگاه باید در مورد تناسب اهداف کنترلی تعریف شده، برای رسیدن به هدفهای کنترلها و به حداقل رساندن مخاطرات، تصمیمگیری کند. مرحله بعدی، انتخاب کنترلهای مرتبط و مناسب از مجموعه استانداردهای شماره 7799 و هرنوع کنترل اضافی دیگری است که ممکن است از خارج از چارچوب استاندارد مزبور باید اجرا شود.

5 - پس از طی کلیه مراحل بالا، که در مورد برخی از مدیران می‌تواند نوعی شوک را تداعی کند (تجربیات گذشته این موضوع را تایید می‌کند)، لازم است یک تقاضای صدور گواهینامه4 تنظیم گردد. در این فرم تقاضا باید کلیه اهداف کنترلی و کنترلهای مرتبط با آنها، دلایل انتخاب آن کنترلها و موارد استثنا شده از مجموعه کنترلهای تصریح شده در استاندارد، همراه با مستندات مربوط ارائه شود. همین فرم بعداً در راستای ارزیابی نحوه پیاده‌سازی و کارایی مدیریت ایمنی اطلاعات در بنگاه، مورد استفاده واقع شده و مبنای ارزیابیهای بعدی را تشکیل خواهد داد.

6- بدین‌ترتیب مشاهده می‌شود که لازم است کلیه فرایندها با مستندات رسمی برای کلیه اقدامات انجام شده و خط‌مشی‌های مصوب، مستندسازی شده باشند. این وضعیت در مورد مستندات مرتبط با کنترلها و مستندات مرتبط‌بامراحل‌بعدی نگاهداری سیستم نیز تسری خواهدیافت.

و بالا‌خره نگاهی به آینده

در کشور انگلستان، فرایند دریافت گواهینامه مزبور آغاز شده است. در کشور هلند فرایند دریافت گواهینامه استاندارد شماره 7799 از مدتها قبل به اجرا گذاشته شده اما باید در نظر داشت که مستندات و فرمهای این استاندارد به‌گونه‌ای تنظیم و تدوین شده ‌است که کاربرد آنها می‌تواند کاملاً جنبه جهانی و بین‌المللی داشته باشد و به‌هیچ‌وجه منحصر به دو کشور پیشگفته و یا تنها قاره اروپا نباشد.

بدین‌ترتیب، در درازمدت، مستنداتی در اختیار حسابرسان کامپیوتری قرار خواهد گرفت که به عنوان معیاری در راستای قابلیت سنجش مدیریت ایمنی سیستمهای اطلاعاتی، در محیط صاحبکار یا در بخشهایی از محیط صاحبکار قابلیت کاربرد خواهد داشت.

منبع: فصلنامه حسابرس