مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق با ISO 27001:2013

در این مقاله بدون هیچ مقدمه‌ای، به تشریح مراحل پیاده‌سازی ISMS در سازمان‌هایی که تمایل به پیاده‌سازی این استاندارد توسط کارشناسان خود دارند، می‌پردازیم.

فاز صفر: فرهنگ‌­سازی و برگزاری آموزش­‌های مورد نیاز

یکی از مهم‌ترین مواردی که هم در ایجاد امنیت اطلاعات و هم در تداوم آن، نقش مؤثری را ایفا می­‌کند، آموزش و آگاهی­‌رسانی مناسب و مؤثر در راستای آشنا‌شدن پرسنل، پیمانکاران و اشخاص ثالث سازمان در قبال حقوق، وظایف، مسئولیت‌ها و پاسخ­گو­بودن آن‌ها در برنامه امنیت اطلاعات سازمان می­‌باشد. بخش قابل توجهی از اجرای موفق و بهینه سیاست‌­های امنیت اطلاعات سازمان، بستگی به اجرای درست و بهینه برنامه آموزشی و فرهنگ­سازی سازمان دارد.
هدف از انجام این مرحله، ارتقاء سطح دانش و مهارت­‌های مورد نیاز کارکنان سازمان در حوزه ISMS می­‌باشد. در برگزاری آموزش‌­ها علاوه بر رعایت سرفصل­‌های استاندارد، باید موردکاوی‌ها و مسائل و مشکلات روز سازمان نیز تجزیه و تحلیل گردد.
از فوايد اين آموزش­‌ها اين است که پرسنل سازمان و تيم امنيت شبکه و اطلاعات قادر خواهند بود تا کليه فعاليت­‌هاي مربوط به مديريت سيستم امنيت شبکه و اطلاعات را انجام دهد.

فاز اول: شناسایی وضعیت موجود و تحلیل کاستی­‌ها

در ابتدا يک شناخت اوليه توسط بررسی و بازبینی مستندات سازمان به عمل خواهد آمد. هم چنین در اين مرحله با استفاده از چك لیست‌ها، اطلاعاتي در سطوح كلی درباره وضعيت فناوري اطلاعات در سازمان و همچنين وضعيت شبكه فعلي كسب مي‌گردد. به طور كلي در مراحل مختلف اين فاز به توصيف وضع موجود سازمان در حوزه فناوري اطلاعات و فعاليت­‌هاي آن پرداخته می‌شود.

بازبینی ارزيابي اوليه از ميزان امنيت شبكه و اطلاعات جاري سازمان که شامل موارد ذيل می‌باشد:

• بازبینی ساختار كلي شبكه
• بازبینی ساختار سايت مركزي
• بازبینی ارتباط شبكه داخلي با شبكه­‌هاي خارجي
• بازبینی گروه­ بندي كاربران
• بازبینی ساختار IP در شبكه
• بازبینی وضعيت سرورها و وظايف آن‌ها در شبكه و ديگر تجهيزات موجود در شبكه

به طور كلي مي‌توان گفت كه اين بازبینی در حوزه‌هاي ذيل صورت مي‌گيرد:

1. سطح شبكه
2. سطح سيستم
3. سطح برنامه كاربردي
4. سطح بستر ارتباطي
5. سطح Connections
6. سطح رمزنگاري
    

1. بازبینی ساختار شبکه: در اين مرحله ساختار شبکه سازمان با توجه به نقشه شماتيک شبکه و با توجه به اطلاعات موجود در زمینه‌های زیر بازنگری مي­ گردد:

• تجهيزات شبکه، نوع و مدل آن‌ها
•  آدرس IP
• ارتباط شبکه شرکت با ساير شبکه‌ها درون سازماني و برون سازماني
• سرويس دهنده­ هاي شبکه
• جريان داده­اي دسترسي کاربران داخلي و خارجي
• سخت‌افزارها و نرم‌افزارهاي امنيت شبکه شرکت
• ساختار آدرس دهي و مسيريابي شبکه

2. بازبینی نحوه دسترسي فيزيکي به شبکه: در اين مرحله به منظور بررسي وضعيت دسترسي فيزيکي به شبکه سازمان موارد مهمي از جمله موارد ذيل بررسي خواهند شد:

• بررسي و بازبینی نحوه محافظت فيزيکي از تجهيزات و سرويس دهنده­ هاي مستقر در سايت شبکه و يا مستقر در طبقات مختلف شرکت و يا در ادارات مختلف ( شامل بررسي کنترل دسترسي به منظور دسترسي فيزيکي افراد مجاز، در دسترس بودن پورت­‌هاي تجهيزات و سرويس دهنده­‌ها، ....)
• بررسي و بازبینی نحوه محافظت فيزيکي از خطوط ارتباطي شبکه ( بررسي نحوه استفاده از کانال امن در ارتباط بين ساختمان­‌ها، بررسي نحوه استفاده از خطوط ارتباطي مناسب مانند فيبر نوري و ...)

3. بررسي و بازبینی نحوه دسترسي منطقی به شبکه: در اين مرحله به منظور بررسي وضعيت دسترسي منطقی به شبکه سازمان موارد مهمي از جمله موارد ذيل بررسي خواهند شد:

• بررسي امکان دسترسي غيرمجاز در سطح کاربران عادي و مديريتي به شبکه (مي‌تواند به صورت حضور در محل سازمان و در اختيار داشتن يک پورت از شبکه و يا حضور در محل شرکت و در اختيار داشتن Account معتبر و يا .... باشد.)
• بررسي امکان دسترسي غيرمجاز در سطح کاربران عادي يا مديريتي به شبکه در صورت:
• امکان داشتن دسترسي از طريق شبکه اينترنت و داشتن/نداشتن Account در شبکه دسترسي به اينترنت سازمان
• داشتن دسترسي مجاز به شبکه دولت و مجازبودن/نبودن به دسترسي به شبکه سازمان
• بررسي امکان دسترسي غيرمجاز از طريق remote access در سطح عادي/مديريتي به شبکه
• بررسي امکان انتقال ويروس، Worm، و يا ساير اطلاعات مخرب به داخل شبکه

4. بررسي وجود اتصالات غير ضروري شبکه شرکت به ساير شبکه‌ها

5. بررسي مکانيزم­‌هاي تشخيص هويت، کنترل دسترسي، ثبت وقايع، تشخيص نفوذ و تشخيص ويروس در محل اتصال به کاربران داخلي، کاربران شبکه اينترنت، کاربران راه دور

6. بررسي مکانيزم­‌هاي به‌ کار گرفته‌شده در خصوص تشخيص هويت، کنترل دسترسي، ثبت وقايع، تشخيص نفوذ و تشخيص ويروس و امکان غيرفعال نمودن و يا دورزدن سيستم مربوطه

7. بررسي استفاده از آخرين نسخه پايدار نرم‌افزارهاي به‌کارگرفته براي تجهيزات شبکه، مسيرياب‌­ها و سوئيچ­‌هاي شبکه

8. بررسي امکان مديريت از راه دور از طريق پروتکل­‌هاي SNMP,Telnet ,HTTP و ...

9. بررسي فعال‌بودن ساير سرويس­‌هاي غير ضرور

10. بررسي وجود اعمال فيلتر­هاي مناسب به منظور محافظت از ساير منابع شبکه در مقابل حملات

11. بررسي پيکره­‌بندي سيستم (شامل کليه تجهيزات شبکه، مسيرياب‌ها و سوئيچ‌هاي شبکه) با استفاده از پروتکل­‌هاي نا‌امن

12. بررسي فعال بودن/نبودن مکانيزم‌هاي تشخيص و مقابله با حملات ممانعت از سرويس

13. بررسي وجود/عدم وجود تشکيلات و تيم‌هاي منسجم مديريت و نگهداري شبکه

14. بررسي وجود/عدم وجود روال­‌هاي اجرایي مناسب در خصوص مديريت شبکه و نگهداري آن در زمينه‌هایي از قبيل:

• خريد، نصب، راه‌اندازي، تست و تحويل نرم‌افزارها و سخت‌افزارها
• اعلام و اعمال تغييرات در شبکه
• ترميم خرابي­‌ها
• پشتيباني حوادث
• نحوه نظارت بر وضعيت شبکه، ترافيک شبکه، عملکرد تجهيزات و سرويس‌دهنده

15. بررسي کافي بودن/نبودن آموزش پرسنل مديريت و نگهداري شبکه

16. بررسي استفاده يا عدم استفاده از سرويس‌دهنده‌هاي پشتيبان براي سرويس‌دهنده­‌هاي مديريتي شبکه مانند:

• ­سرويس‌دهنده DNS
• سرويس‌دهنده کنترل دامنه

17. بررسي استفاده از مکانيزم­ هاي امنيتي مناسب براي مديريت شبکه

18. بررسي نام و نسخه نرم‌افزارهاي ضد ويروس نصب‌شده

19. بررسي نام و نسخه سيستم‌عامل‌ها به همراه Service Pack ها و Patch هاي نصب‌شده

20. بررسي سرويس­‌هاي در حال اجرا بر روي سرويس‌دهنده­‌ها

فاز دوم: طراحی و تطبیق ISMS در قلمرو سیستم

در این فاز پس از شناسایی و ارزش‌گذاری دارایی‌ها بر اساس استاندارد، اقدام به تحلیل شکاف و حرکت به سمت وضعیت مطلوب تبیین خواهد شد. همچنین در این مرحله فرآیندهای سازمان، جهت‌گذار از وضع موجود به وضع مطلوب طراحی و اجرا خواهند شد. مراحل شناخت و ارزش‌گذاری دارایی ها به شرح ذیل می‌باشد:

• تعيين سرویس‌ها، فرآيند­ها و دارائي­‌هاي سازماني (در حوزه کاربرد – Scope): در اين بخش، ابتدا سرمايه‌هاي فضاي تبادل اطلاعات سازمان، در قالب سرویس، فرایند، سخت‌­افزارها، نرم‌افزارها، اطلاعات، ارتباطات، سرويس­‌ها و کاربران مشخص، تفکيک و دسته‌بندي‌شده و سپس فرآيند­هاي سازماني مرتبط با دارائي‌هاي سازماني نيز مشخص مي‌گردند.
• بازنگری نحوه ارزیابی ریسک دارایی‌ها: جهت انجام این مهم پس از بازنگری متدولوژی ارزیابی ریسک موجود، مبنای کار را استاندارد ISO 27005:2011 گذاشته و اطلاعات دارایی‌ها را وارد می‌نماییم.
• انتخاب کنترل­‌هاي مناسب استاندارد ISO 27001 براي سازمان: در اين مرحله با توجه به خروجي ارزیابی ریسک و تحلیل اولیه، آن دسته از کنترل‌­هاي استاندارد ISO 27001 که براي شرکت مناسب مي‌­باشند انتخاب مي‌گردد (Control customization).

سپس ارتباط اين کنترل‌ها و راه‌کار­هاي ارائه شده و روش‌های اجرایی در مراحل قبلي مشخص مي­‌گردد به اين معني که راهکار­­هاي لازم براي پياده‌سازي کنترل­‌هاي انتخابي ارائه مي­‌گردد.

فاز سوم: پیاده‌سازی و اجرای ISMS در قلمرو موضوع قرارداد

در این فاز بر اساس SOA تهیه شده در فاز قبل، دستورالعمل‌­ها، رویه‌ها و پروژه‌های امن‌سازی شبکه بر اساس اولویت ابلاغ و اجرایی می­‌گردد. در این مرحله در صورت نیاز به هرگونه خرید تجهیزات اعم از نرم‌افزار و سخت‌افزار، سیستم‌های پایش و مانیتورینگ و انجام پیکربندی‌های خاص بر روی تجهیزات، زیر نظر سازمان و معمولا توسط شخص ثالث انجام خواهد شد.

فاز چهارم : ممیزی، پایش و بهبود ISMS در قلمرو موضوع قرارداد

در اين فاز که پس از پیاده‌سازی سیستم صورت مي‌گيرد با توجه به چک­‌ليست­‌ها و مستندات مربوط به مميزي استاندارد ISO 27001:2013 که در اختيار مي‌باشد و همچنين با توجه به توانائي تيم امنيت سازمان، کليه فعاليت­‌هاي انجام‌گرفته در پروژه بازبيني و بررسي مي­‌گردند تا اگر احيانا انحرافي نسبت به اهداف استاندارد وجود دارد، سريعا برطرف گردد­. پس از پايان اين مرحله و بعد از برطرف‌کردن نقاط ضعف موجود، سازمان آماده دريافت گواهينامه بين‌المللي استاندارد ISO 27001 مي­‌باشد.

فاز پنجم : ممیزی توسط شرکت‌های CB

پس از پايان ممیزی داخلی سیستم و بعد از برطرف‌کردن نقاط ضعف موجود، سازمان آماده دريافت گواهينامه بين‌المللي استاندارد ISO 27001 مي‌باشد. در این فاز صورت تمايل مديريت سازمان، پس از مقایسه شرکت‌های صدور گواهینامه معتبر ( Certification Body- CB) از يک مرکز براي صدور گواهينامه دعوت به‌عمل مي‌آيد.

گردآورنده: محمدمظفر مهرعلی