استاندارد جدیدی برای مدیریت ایمنی اطلاعات |
دکتر کامبیز فرقاندوست حقیقی |
سوابق تاریخی از سالهای 1970 به بعد اندیشه مدیریت ایمنی اطلاعات ایجاد گردید. ظرف ده پانزده سال بعد، این نیاز به همه جا تسری یافت تا آنجا که در حدود سالهای 1990 در انگلستان مجموعهای تحت عنوان «آیینرفتاری مدیریت ایمنی اطلاعات»1 منتشر شد. بهموازات انتشار این نشریه در انگلستان و همزمان با آن، در اروپا نیز مباحثاتی در مورد ایجاد یک دیدگاه مشترک مشخص در ارتباط با مشکلات ایمنی اطلاعات و راهحلهای احتمالی مرتبط با آنها در جریان بود. این مباحثات منجربه انتشار نشریهای به نام «کتاب سبز»2 گردید. متاسفانه نشریه کتاب سبز بسیار حجیم و غیرقابل استفاده بود. آیین رفتار حرفهای صنعت و بازرگانی انگلستان همواره فشاری بر دولت این کشور وارد کرده تا نسبت به تامین محیطی که موجب ایجاد اعتماد متقابل بین پایگاههای مختلف کامپیوتری و شرکای تجاری گردد، اقدام نماید. این فشارها بویژه در محیط ارتباطی و الکترونیکی بین سازمانها همواره بهشدت رو به افزایش بوده است. شاید باورکردنی نباشد که این تلاشها هنگامی صورت میگرفت که بسیاری ازمردم هنوز چیزی در مورد اینترنت نشنیده و تصوری از قابلیتهای کاربردی آن در محیط تجاری نداشتند. آیینرفتار حرفهای مورد بحث توسط گروهی از نهادهای ذینفع آماده شد. از جمله نهادهایی که در آمادهسازی آن دخالت داشتند، میتوان دولت، تولیدکنندگان صنعتی، صنعت راهآهن، بانکها، مشاوران فناوری اطلاعات، و صنعت ارتباطات را نام برد. بدینترتیب در تدوین این مجموعه جنبههای عملیاتی آن تا حد زیادی مورد نظر قرار گرفته بود. این بدان معنا بود که برای حسابرسان کامپیوتری نیز رویداد درخور ملاحظهای بهوقوع پیوسته و بالاخره مرجعی برای مقایسه و شناخت وضعیت کنترلهای مورد نیاز و مستقر در صنعت و تجارت بهوجود آمده بود. علاوه بر این، مرجع مزبور در مورد بسیاری از سازمانها بدون توجه به بزرگی آنها اعم از بزرگ، متوسط و کوچک قابل اعمال بود. این نشریه آیین رفتار حرفهای بود که در سال 1995 به استاندارد شماره 7799 انگلستان (British Standard) تبدیل شد.
کنترلهای اصلی و سایر کنترلها در محافل بازرگانی و تجاری همواره مقاومتهایی در قبول اینکه ایمنی بیشتر اطلاعات میتواند به بهبود اوضاع منجر گردد، وجود داشته است. البته استثنای چشمگیری هم وجود داشته است. این استثنا را همواره صنایع دفاعی تشکیل میداده است. با این حال باید یاداوری کرد که گزارشهای مربوط به تجاوز و سوءاستفاده از سیستمهای اطلاعاتی موید آن است که همواره میباید در راستای ایمنی بیشتر سیستمهای اطلاعاتی گام برداشته شود. در زمینهِ انگیزش مدیران ارشد و تسهیل شناخت آنها از موضوع ایمنی، در آیینرفتار حرفهای موصوف ده نکته کلیدی ذکرشده بود. این ایده برای معرفی و انتشار بسیار موثر واقع شد. بویژه آنکه در میان این ده نکته، دو نکته وجود دارد که بهطور مشخص همواره مشکلاتی را از نظر عملیاتی و حقوقی برای سازمانها ایجاد کرده است. این دو موضوع عبارت است از ویروسهای کامپیوتریوسرقت نرمافزارها. ده نکته یاد شده به شرح زیر بود: مستندسازی خطمشی و سیاستهای مربوط به ایمنی اطلاعات، فرایند و برنامه تداوم عملیات تجاری، تعیین مسئولیتهای مرتبط با ایمنی اطلاعات، اعمال کنترل بر نسخهبرداری از نرمافزارهای ویژه متعلق به هر سازمان، آموزش و اشاعه مفاهیم ایمنی اطلاعات، حفاظت از سوابق سازمان، گزارش رویدادهای مرتبط با ایمنی اطلاعات، حفاظت اطلاعات (در ارتباط با اطلاعات مرتبط با اشخاص)، کنترل ویروسها، رعایت خطمشیها و سیاستهای ایمنی و متابعت از آنها. در پشت این ده نکته کلیدی این فرض مستتر بوده که هر گاه سازمانی بهنحو رضایتبخشی بتواند قابلیت لازم برای رعایت آنها را نشان دهد، قابلیت آنرا که ضوابط مناسبی برای ایمنی اطلاعات به مورد اجراء بگذارد نیز خواهد داشت.
رویدادهای درخور ملاحظه بعدی اقدام بعدی، تقویت آثار آیینرفتار حرفهای مزبور بود. بهعبارت دیگر ایجاد یک ضمانت اجرایی برای این آیینرفتار حرفهای. بدینترتیب بخش دومی برای آن تهیه شد. این بخش دوم در سال 1998 انتشار یافت. بخش دوم بسیار بارزتر به نظر میرسید، زیرا که در آن مراتب لازم برای اعطای گواهینامه رسمی به سازمانها در ارتباط با رعایت استانداردهای ایمنی اطلاعات پیشبینی شده بود. اگرچه این موضوع ممکن است فرایندی طولانی به نظر آید، اما موضوع بخش دوم استانداردهای مدیریت ایمنی سیستمهای اطلاعاتی را ضوابطی تشکیل میداد که شرکتها میباید برای دریافت گواهینامه رسمی رعایت استانداردهای مدیریت ایمنی اطلاعات، آنها را در شرکت خود معرفی میکردند و زمینههای اجرای موفقیتآمیز آنها را کاملاً فراهم مینمودند. به نظر میرسد مهمترین جنبههای این فرایند، این واقعیت را منعکس میسازد که مدیریت ارشد سازمان باید موضعی کاملاً جدی در پشتیبانی از مدیریت ایمنی اطلاعات داشته باشد در حالی که قبل از این رویدادها، اغلب ایمنی، موضوعی حاشیهای و فرعی تلقی میشد و هرگز جزء یکی از اولویتهای مدیریت ارشد سازمانها به حساب نمیآمد.
قبل از پرداختن به فرایند درونی که هر سازمان باید آنرا در پیش گیرد، بد نیست نگاهی به عنوانهای تصریح شده در بخش دوم انداخته شود تا برداشتی از دامنه این استانداردها بهدست آید.
محتوای بخش دوم استاندارد شماره 7799 علاوه بر دامنه تسری استانداردها و تعاریف مرتبط با آن، دو موضوع دیگر وجود دارد که محتوای اصلی بخش دوم را تشکیل میدهد. این دو موضوع عبارتند از «ویژگیهای سیستم مدیریت ایمنی اطلاعات» و «عناصر کنترلهای تصریح شده در بخش دوم» عناصر مرتبط با کنترلها به شرح زیر است: 1- سیاستوخطمشیهایایمنی اطلاعات، 2- سازمان ایمنی، 3- طبقهبندی و کنترلهای داراییها، 4 - ایمنی کارکنان، 5 - ایمنی فیزیکی و محیطی، 6- مدیریت کامپیوتر و شبکهها، 7- کنترلهای دسترسی به سیستم، 8 - ایجاد و نگاهداری کنترلها، 9 - برنامه تداوم فعالیت، 10- رعایت. همانطور که مشاهده میشود این عنوانها کلیه مواردی را که میتواند در حسابرسی کامپیوتری مورد نظر قرار گیرد، یا باید مورد نظر باشد، شامل میگردد. همین قدر کافی است که گفته شود، رعایت نکردن هر کدام آنها، نیاز به توجیه کافی خواهد داشت. برای مثال، باید تصریح شود که بهجای کنترل مورد نظر، کنترل جبرانی دیگری استقرار دارد یا آنکه ممکن است کنترلی در شرایط یک شرکت اصلاً مورد نداشته باشد. به عبارت دیگر، فرایند تفکر نهتنها باید از تمامیت لازم برخوردار باشد، بلکه ضرورت دارد که مستند و قابل ارائه به دیگران نیز باشد. فرایند داخلی استقرار سیستم مدیریت ایمنی نشان دادن اینکه بنگاهی از شرایط لازم برای کسب گواهی سیستم مدیریت ایمنی3 برخوردار است، متضمن آن است که نشان داده شود سیستمی رسمی برای استقرار و مدیریت ایمنی مزبور در شرکت وجود دارد. استاندارد در این مورد کمک میکند تا گامهای لازم، مشخص گردد و برداشته شود. 1 - بهعنوان حسابرس، انتظار میرود که اولین گام در سطح مدیریت ارشد (بالاترین سطح مدیریتی بنگاه) برداشته شود. در واقع، اولین قدم تعریف یک سیاست مدیریت ایمنی در سطح سازمان است. بدیهی است که گستردگی این سیاستگذاری تابعی از اندازه و بزرگی سازمان و حساسیت عملیات کامپیوتری در محیط آن خواهد بود. 2 - در راستای ایجاد معیارهای لازم برای سنجش و نظارت در فرایند کسب گواهینامه ایمنی، سازمان باید تعریفی از داراییهای مرتبط با تکنولوژی اطلاعات و سیستم ایمنی اطلاعات را بهدست دهد. در این راستا باید توجه شود که داراییهای مرتبط با تکنولوژی اطلاعات منحصر به کامپیوترها و مدارک پشتیبان آنها نیست و داراییهای به مراتب بیشتری را دربر میگیرد. 3 - با توجه به آنچه در بند 2 بالا تشریح شد، ضرورت انجام اقدامات لازم برای ارزیابی مخاطرات، آسیبپذیریها و آثار آنها بر داراییهای مرتبط با تکنولوژی اطلاعات تصریح شده در مفاد بند بالا، آشکار به نظرمیرسد. در اینجاست که سازمان لازم است بهدقت تعیین کند که آمادگی پذیرش چه میزان مخاطره (ریسک) را دارد و یا برعکس به چه سطح اطمینانی میخواهد دست یابد. 4- به تناسب مخاطرات شناسایی شده، بنگاه باید در مورد تناسب اهداف کنترلی تعریف شده، برای رسیدن به هدفهای کنترلها و به حداقل رساندن مخاطرات، تصمیمگیری کند. مرحله بعدی، انتخاب کنترلهای مرتبط و مناسب از مجموعه استانداردهای شماره 7799 و هرنوع کنترل اضافی دیگری است که ممکن است از خارج از چارچوب استاندارد مزبور باید اجرا شود. 5 - پس از طی کلیه مراحل بالا، که در مورد برخی از مدیران میتواند نوعی شوک را تداعی کند (تجربیات گذشته این موضوع را تایید میکند)، لازم است یک تقاضای صدور گواهینامه4 تنظیم گردد. در این فرم تقاضا باید کلیه اهداف کنترلی و کنترلهای مرتبط با آنها، دلایل انتخاب آن کنترلها و موارد استثنا شده از مجموعه کنترلهای تصریح شده در استاندارد، همراه با مستندات مربوط ارائه شود. همین فرم بعداً در راستای ارزیابی نحوه پیادهسازی و کارایی مدیریت ایمنی اطلاعات در بنگاه، مورد استفاده واقع شده و مبنای ارزیابیهای بعدی را تشکیل خواهد داد. 6- بدینترتیب مشاهده میشود که لازم است کلیه فرایندها با مستندات رسمی برای کلیه اقدامات انجام شده و خطمشیهای مصوب، مستندسازی شده باشند. این وضعیت در مورد مستندات مرتبط با کنترلها و مستندات مرتبطبامراحلبعدی نگاهداری سیستم نیز تسری خواهدیافت.
و بالاخره نگاهی به آینده در کشور انگلستان، فرایند دریافت گواهینامه مزبور آغاز شده است. در کشور هلند فرایند دریافت گواهینامه استاندارد شماره 7799 از مدتها قبل به اجرا گذاشته شده اما باید در نظر داشت که مستندات و فرمهای این استاندارد بهگونهای تنظیم و تدوین شده است که کاربرد آنها میتواند کاملاً جنبه جهانی و بینالمللی داشته باشد و بههیچوجه منحصر به دو کشور پیشگفته و یا تنها قاره اروپا نباشد. بدینترتیب، در درازمدت، مستنداتی در اختیار حسابرسان کامپیوتری قرار خواهد گرفت که به عنوان معیاری در راستای قابلیت سنجش مدیریت ایمنی سیستمهای اطلاعاتی، در محیط صاحبکار یا در بخشهایی از محیط صاحبکار قابلیت کاربرد خواهد داشت.
|
منبع: فصلنامه حسابرس |