سید اسماعیل هاشمی
کارشناس فناوری اطلاعات

ضرورت سیستم مدیریت امنیت اطلاعات (ISMS) در دستگاه های دولتی

وجود نهادهای متفاوت و متعدد نظارتی من جمله سازمان پدافند غیر عامل، سازمان حراست، سازمان فناوری اطلاعات، شورای عالی افتا و … سبب شده است که بخش نامه ها و دستورالعمل های متفاوت و متعددی در حوزه امنیت اطلاعات به ادارات ابلاغ گردد. بدین منظور لازم است تا سامانه ای به منظور مدیریت این ابلاغیه ها و یکپارچه سازی آن ها در سازمان جاری گردد. به عنوان مثال ابلاغ بخش نامه هایی در خصوص جداسازی اینترنت از اینترانت، بسته شدن درگاه های USB، الزام بسته بودن درگاهی خاص و … همگی نیازمند برنامه ریزی سیستمی می باشد.(در خصوص تعریف ISMS می توانید به مقاله آقای نصیری مراجعه کنید.)

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تهدیدات جدید

بنا به مستندات سازمان ماهر (به پیوست) از 5 سال پیش موجی از حملات به نام "تهدید مداوم پیشرفته (ADT ) " ایران را هدف گرفته و طبق مستندات مرکز مدیریت راهبردی افتای ریاست جمهوری طرح های قدیمی مثل استفاده از فایروال و آنتی ویروس جلوی این نوع حملات را نخواهد گرفت. برای رفع این مسئله مرکز افتا طرح امن سازی زیرساخت های حیاتی (به پیوست) در قبال حملات سایبری را ارائه و به دستگاه های اجرایی ابلاغ نمود.

الزام پیاده سازی ISMS

در طرح جدید ، دفاع به صورت چندلایه ای و متمرکز خواهد بود  و از سیستم مدیریت امنیت اطلاعات (ISMS) استفاده خواهد شد که طبق  بند 7 بخشنامه شماره ۱۳۷۱۱-۸۶/م/۳۸۵۰۵ مورخ ۱۰/۸/۱۳۸۶ معاون اول محترم رئیس جمهور، "کلیه دستگاههایی که از شبکه های رایانه ای استفاده می نمایند بخصوص دستگاههایی که شبکه داخلی آنها به شبکه عمومی نظیر شبکه اینترنت متصلند، موظفند حداکثر تا پایان سال جاری (سال 86) طرح مدیریت امنیت اطلاعات (ISMS ) دستگاه خود را تهیه و جهت تصویب به دبیرخانه شورای عالی یاد شده ارائه دهند".همچنین در بند 8 همان بخشنامه آمده است که "کلیه دستگاهها موظفند با همکاری واحد حراست ، حداکثر ظرف دو ماه نسبت به ایجاد حراست فناوری اطلاعات دستگاه خود اقدام نمایند." و نیز در ماده 231 قانون برنامه پنجساله پنجم توسعه جمهوری اسلامی ایران (1394-1390) ذکر شده است که در طول 2 سال نخست برنامه پنجم توسعه، دستگاه های حیاتی حساس و مالی کشور ملزم به اخذ گواهینامه ISMS شدند.

اثربخشی ISMS

فعاليت هاي امنيت اطلاعات، بايد توسط نمايندگاني از بخش هاي مختلف سازمان با نقش ها و کارکردهاي شغلي  مرتبط، هماهنگ شوند و پياده سازي سيستم مديريت امنيت اطلاعات، يک پروژه IT نيست.

آن چه مسلم است سیستم مدیریت امنیت اطلاعات فقط بحثی فنی نیست بلکه بخشی از استراتژی سازمان خواهد شد و با فرآیند های سازمانی آمیخته می گردد.این طرح نیاز به سرمایه گذاری ، حمایت مدیران ارشد سازمانی ، بلوغ IT ، آموزش نیروی متخصص و آموزش کارکنان داشته و پیاده سازی این طرح به تنهایی سازمان را مقاوم نمی کند بلکه بعد از پیاده سازی نیاز به بهبود مستمر برای رسیدن به فرعنگ و بلوغ امنیت می باشد.

بلوغ IT

بلوغ IT فقط بحث فنی نیست و بیشتر روی برنامه ریزی و سیاست های امنیتی است.برای مثال برنامه ریزی برای ذخیره لاگ ها و سیاست آن وظایفی مثل تاریخ لاگ گرفتن یا بررسی لاگ ها می شود.


نظرات