در طی سال‌های اخیر حملات سایبری متعددی در فضای مجازی کشور اتفاق افتاده و خیلی از این حملات، منجر به افشای اطلاعات مهم و حساس شده است. در نتیجه بسیاری از این مشکلات ریشه در عدم وجود استانداردهای امنیتی در فضای تبادل اطلاعات یا همان فناوری‌ اطلاعات و ارتباطات دارد

و تا زمانی که اقدامی در این باره صورت نگیرد هر روز و هر روز شاهد این گونه وقایع خواهیم بود و این موضوع تمام اقدامات فنی و تخصصی کارشناسان توانمندی ایرانی را بی اثر نموده است!

سوال این است که کشوری که سالانه هزاران نفر مهندس کامپیوتر و فناوری اطلاعات در مقاطع مختلف فارغ التحصیل می کند و به گفته بسیاری از منابع، توانمندی نیروهای فنی آن جز چند کشور برتر جهان است، چگونه تا این حد در مقابل حملات سایبری آسیب پذیر است و دلیل این سوء مدیریت در بهره‌برداری از منابع انسانی چیست؟

در این راستا موراد ذیل باید مورد بحث و بررسی قرار گیرد:

  • اهمیت وجود استانداردهای امنیتی در آموزش، نصب و راه اندازی، مدیریت و ….
  • معرفی استانداردهای متناسب با هر نیاز
  • امنیت در فضای مجازی

در ابتدا باید به اهمیت وجود استاندارد امنیتی پرداخت:

دلایل استفاده از استاندارد در حوزه امنیت IT

با این که امروزه امنیت اطلاعات نقش مهمی در راستای حراست از داده‌ها و دارائی‌ سازمان‌ها ایفا می‌کند، اغلب خبرهایی از رویدادهای امنیتی از گوشه و کنار جهان به گوش ما می‌رسد؛ کارهایی از قبیل تغییر صفحه‌ی وب‌سایت‌ها (Deface Website)، نفوذ در سرویس دهنده‌ها و… می باشد.

در این شرایط، امنیت اطلاعات باید در راس توجه سازمان‌ها و دولت‌مردان باشد.

علت تایین سطح امنیت یک نرم‌افزار، یک شبکه و حتی فرایند‌های یک سازمان این است که آیا منابع از مسیر درست استفاده می شوند؟‌ آیا سازمان‌ها در راستای سنجش صلاحیت امنیتی یک سیستم، استانداردهایی را تعریف کرده اند؟

سیاست‌های امنیتی صحیح، بدون سخت افزار و نرم افزار می تواند تا حد زیادی به کاهش ریسک کمک کند. نداشتن یک استاندارد و سیاست نامه امنیتی می تواند سازمان‌های بزرگی را با هزاران نیرو و تجهیزات پیشرفته و … آسیب پذیر نماید‌.

به عنوان مثال مشکل اخیر در نشت و انتشار اطلاعات سازمان بنادر کشور، تنها به دلیل رعایت نکردن استانداردهای امنیتی رویداده است .

در این مقاله سعی کردیم تا شما را با مفاهیم اولیه استانداردهای امنیتی موجود آشنا کنیم.

معرفی موسسه NIST

موسسه ملی فناوری و استانداردها (National Institute of Standards and Technology) مشهور به NIST، نام یک موسسه دولتی علمی در آمریکاست. این موسسه زیر نظر وزارت بازرگانی ایالات متحده آمریکا فعالیت می‌کند. هدف از آن تشویق نوآوری و رقابت صنعتی توسط پیشبرد علوم سنجشی و فناوری است، به گونه‌ای که امنیت اقتصادی را ارتقا بخشیده، و سطح کیفیت زندگی را افزایش دهد. در حقیقت این موسسه با تدوین استاندارد‌ها باعث بهبود خدمات و ارتقاء کیفی سرویس‌ها می‌شود و رقابت صنعتی تنها در سایه وجود استانداردها و معیارهای اندازه گیری امکان‌پذیر است .

معرفی استانداردهای موسسه NIST

موسسه NIST مجموعه استانداردهایی در حوزه امنیت در فناوری اطلاعات و ارتباطات ارائه نموده است. این استانداردها به عنوان مرجع برای کنترل‌های امنیتی، ارزیابی مخاطرات و تحلیل ریسک، مورد استفاده قرار می‌گیرد.

از دیگر موارد استفاده این استانداردها می توان به مدیریت در طراحی، راه‌اندازی و نگهداری در حوزه فناوری اطلاعات و ارتباطات اشاره نمود. این سری از استانداردها، تقریبا مشابه استاندارهای سری ISO 27001 می باشد. البته موسسه NIST فقط به استاندارد سازی روال‌های مدیریتی بسنده نکرده است و برای تمام زیر مجموعه‌های امنیت در حوزه فناوری اطلاعات و ارتباطات، استانداردهای ویژه ای تدوین نموده است، تا در مراحل مختلف مورد استفاده قرار گیرد:

  1. تدوین اساسنامه‌های امنیتی
  2. آموزش و اطلاع‌رسانی
  3. نظارت و مواجهه با تهدید و پاسخگویی به حوادث
  4. مدیریت بحران
  5. مدیریت ریسک
  6. ارزیابی امنیتی و ممیزی

این سری از استانداردها به بخش‌های زیر تقسیم می شوند :

  1. Audit & Accountability & Authentication
  2. Awareness & Training
  3. Biometrics
  4. Certification & Accreditation (C&A)
  5. Communications & Wireless
  6. Contingency Planning
  7. Cryptography
  8. Digital Signatures
  9. Forensics
  10. General IT Security
  11. Historical Archives
  12. Incident Response
  13. Maintenance
  14. Personal Identity Verification (PIV)
  15. PKI
  16. Planning
  17. Research
  18. Risk Assessment
  19. Services & Acquisitions
  20. Smart Cards
  21. Viruses & Malware

در حقیقت دسته بندی امنیت در حوزه فناوری اطلاعات، توسط این استانداردها تقسیم گردیده است و هر سند به صورت خاص (Special Publications) به تدوین استانداردهای امنیتی مشخصی(SP) می‌پردازد.

سوالی که پیش می‌آید اینست که دلیل اصلی تاکید بر پیروی از استانداردهای امنیتی چیست؟

پاسخ به این سوال با دقت در رسالت موسسه NIST، کاملا مشخص می‌باشد:

۱- ترویج نوآوری و رقابت صنعتی

            با رواج و رعایت استانداردهای امنیتی، امکان ظهور نوآوری در بخش‌های مختلف صنعت به راحتی فراهم خواهد آمد. نبود قانون و رگولاتوری (قانونگذاری) و همینطور استاندارد، قطعا از بروز خلاقیت و نوآوری در صنایع جلوگیری می‌کند.

۲- امکان اندازه‌گیری، مقایسه و ممیزی

ساده بگوییم، درصورت نبود استاندارد امنیتی، خط‌کشی برای پذیرش و سنجش یک نوآوری وجود نخواهد داشت. نمونه‌اش ایران خودمان که به جای استفاده از این استاندارد‌ها هر روز یک مجوز از اداره و سازمانی سبز می‌شود و جلوی بروز خلاقیت را می‌گیرد.

۳- جلوگیری از برخوردهای سلیقه‌ای

            یکی از مشکلات در پذیرش پدیده‌های صنعتی، برخورد‌های سلیقه‌ای مراجع تصمیم‌گیر است که از طریق استاندارد‌های مشخص، می‌توان جلوی بروز این امر را گرفت.

در مطالب بعدی به جزییات این استانداردها‌ بیشتر خواهیم پرداخت.

با نظرات خود حتما ما را در ادامه‌ی این راه یاری نمایید.

دیدگاهتان را بنویسید

نظر خودتون در مورد این مقاله رو با ما به اشتراک بگذارید.