در طي سالهای اخیر حملات سایبری متعددی در فضای مجازی کشور اتفاق افتاده و خیلی از این حملات، منجر به افشای اطلاعات مهم و حساس شده است. در نتیجه بسیاری از این مشکلات ریشه در عدم وجود استاندارد امنیت اطلاعات در فضای تبادل اطلاعات یا همان فناوری اطلاعات و ارتباطات دارد.
تا زمانی که اقدامی در این باره صورت نگیرد هر روز و هر روز شاهد این گونه وقایع خواهیم بود و این موضوع تمام اقدامات فنی و تخصصی کارشناسان توانمندی ایرانی را بی اثر نموده است!
سوال این است که کشوری که سالانه هزاران نفر مهندس کامپیوتر و فناوری اطلاعات در مقاطع مختلف فارغ التحصیل می کند و به گفته بسیاری از منابع، توانمندی نیروهای فنی آن جز چند کشور برتر جهان است، چگونه تا این حد در مقابل حملات سایبری آسیب پذیر است و دلیل این سوء مدیریت در بهرهبرداری از منابع انسانی چیست؟
در این راستا موراد ذیل باید مورد بحث و بررسی قرار گیرد:
- اهمیت وجود استانداردهای امنیتی در آموزش، نصب و راه اندازی، مدیریت و ….
- معرفی استانداردهای متناسب با هر نیاز
- امنیت در فضای مجازی
اهمیت وجود استاندارد امنیتی پرداخت | استاندارد امنیت اطلاعات
در ابتدا باید به موضوع وجود استاندارد امنیتی پرداخت بپردازیم :
دلایل استفاده از استاندارد در حوزه امنیت IT
با این که امروزه استاندارد امنیت اطلاعات، نقش مهمی در راستای حراست از دادهها و دارائی سازمانها ایفا میکند، اغلب خبرهایی از رویدادهای امنیتی از گوشه و کنار جهان به گوش ما میرسد؛ کارهایی از قبیل تغییر صفحهی وبسایتها (Deface Website)، نفوذ در سرویس دهندهها و… می باشد.
در این شرایط، امنیت اطلاعات باید در راس توجه سازمانها و دولت مردان باشد.
علت تایین سطح امنیت یک نرمافزار، یک شبکه و حتی فرایندهای یک سازمان این است که آیا منابع از مسیر درست استفاده می شوند؟ آیا سازمانها در راستای سنجش صلاحیت امنیتی یک سیستم، استانداردهایی را تعریف کرده اند؟
سیاستهای امنیتی صحیح، بدون سخت افزار و نرم افزار می تواند تا حد زیادی به کاهش ریسک کمک کند. نداشتن یک استاندارد و سیاست نامه امنیتی می تواند سازمانهای بزرگی را با هزاران نیرو و تجهیزات پیشرفته و … آسیب پذیر نماید.
به عنوان مثال مشکل اخیر در نشت و انتشار اطلاعات سازمان بنادر کشور، تنها به دلیل رعایت نکردن استانداردهای امنیتی رویداده است.
در این مقاله سعی کردیم تا شما را با مفاهیم اولیه استانداردهای امنیتی موجود آشنا کنیم.
معرفی موسسه NIST
موسسه ملی فناوری و استانداردها (National Institute of Standards and Technology) مشهور به NIST، نام یک موسسه دولتی علمی در آمریکاست. این موسسه زیر نظر وزارت بازرگانی ایالات متحده آمریکا فعالیت میکند. هدف از آن تشویق نوآوری و رقابت صنعتی توسط پیشبرد علوم سنجشی و فناوری است، به گونهای که امنیت اقتصادی را ارتقا بخشیده و سطح کیفیت زندگی را افزایش دهد. در حقیقت این موسسه با تدوین استانداردها باعث بهبود خدمات و ارتقاء کیفی سرویسها میشود و رقابت صنعتی تنها در سایه وجود استانداردها و معیارهای اندازه گیری امکانپذیر است.
معرفی استانداردهای موسسه NIST | استاندارد امنیت اطلاعات
موسسه NIST مجموعه استانداردهایی در حوزه امنیت در فناوری اطلاعات و ارتباطات ارائه نموده است. این استانداردها به عنوان مرجع برای کنترلهای امنیتی، ارزیابی مخاطرات و تحلیل ریسک، مورد استفاده قرار میگیرد.
از دیگر موارد استفاده این استانداردها می توان به مدیریت در طراحی، راهاندازی و نگهداری در حوزه فناوری اطلاعات و ارتباطات اشاره نمود. این سری از استانداردها، تقریبا مشابه استاندارهای سری ISO 27001 میباشد. البته موسسه NIST فقط به استاندارد سازی روالهای مدیریتی بسنده نکرده است و برای تمام زیر مجموعههای امنیت در حوزه فناوری اطلاعات و ارتباطات، استانداردهای ویژه ای تدوین نموده است، تا در مراحل مختلف مورد استفاده قرار گیرد:
- تدوین اساسنامههای امنیتی
- آموزش و اطلاعرسانی
- نظارت و مواجهه با تهدید و پاسخگویی به حوادث
- مدیریت بحران
- مدیریت ریسک
- ارزیابی امنیتی و ممیزی
این سری از استانداردها به بخشهای زیر تقسیم میشوند :
- Audit & Accountability & Authentication
- Awareness & Training
- Biometrics
- Certification & Accreditation (C&A)
- Communications & Wireless
- Contingency Planning
- Cryptography
- Digital Signatures
- Forensics
- General IT Security
- Historical Archives
- Incident Response
- Maintenance
- Personal Identity Verification (PIV)
- PKI
- Planning
- Research
- Risk Assessment
- Services & Acquisitions
- Smart Cards
- Viruses & Malware
در حقیقت دسته بندی امنیت در حوزه فناوری اطلاعات، توسط این استانداردها تقسیم گردیده است و هر سند به صورت خاص (Special Publications) به تدوین استانداردهای امنیتی مشخصی(SP) میپردازد.
سوالی که پیش میآید اینست که دلیل اصلی تاکید بر پیروی از استانداردهای امنیتی چیست؟
پاسخ به این سوال با دقت در رسالت موسسه NIST، کاملا مشخص میباشد:
1- ترویج نوآوری و رقابت صنعتی
با رواج و رعایت استانداردهای امنیتی، امکان ظهور نوآوری در بخشهای مختلف صنعت به راحتی فراهم خواهد آمد. نبود قانون و رگولاتوری (قانونگذاری) و همینطور استاندارد، قطعا از بروز خلاقیت و نوآوری در صنایع جلوگیری میکند.
2- امکان اندازهگیری، مقایسه و ممیزی
ساده بگوییم، درصورت نبود استاندارد امنیتی، خطکشی برای پذیرش و سنجش یک نوآوری وجود نخواهد داشت. نمونهاش ایران خودمان که به جای استفاده از این استانداردها هر روز یک مجوز از اداره و سازمانی سبز میشود و جلوی بروز خلاقیت را میگیرد.
3- جلوگیری از برخوردهای سلیقهای
یکی از مشکلات در پذیرش پدیدههای صنعتی، برخوردهای سلیقهای مراجع تصمیمگیر است که از طریق استانداردهای مشخص، میتوان جلوی بروز این امر را گرفت.
در مطالب بعدی به جزییات این استانداردها بیشتر خواهیم پرداخت.
با نظرات خود حتما ما را در ادامهی این راه یاری نمایید.