ممیزی امنیت اطلاعات

این یادداشت در شماره ۶۷ (اسفند ۹۴) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

۱-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

۲-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

۳-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو ۲۷۰۰۰ (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو ۲۷۰۰۰ یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو ۲۷۰۰۱ یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو ۲۷۰۰۱، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند ۲۷۰۰۲ و ۲۷۰۰۵ قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو ۲۷۰۰۱

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو ۲۷۰۰۱ حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو ۲۷۰۰۱ را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو ۲۷۰۰۴ به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

۱-    درصد حملات مدیریت شده به کل حملات کشف شده

۲-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

۳-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.