در مقاله «اهمیت ارزیابی امنیتی» از دلایل و وظایف پیدایش موسسه NIST نوشتیم. اما بعد از مدتی مشخص شد که نیاز به قوانین بالاسری دارد تا چارچوبهایی برای این موسسه تعریف نماید. این قانون با عنوان فیسما تدوین شد که در ادامه به معرفی کامل آن در همند خواهیم پرداخت.
FISMA چیست؟
FISMA یا همان قانون مدیریت امنیت اطلاعات فدرال آمریکا، به اهمیت امنیت اطلاعات در اقتصاد و امنیت ملی ایالات متحده میپردازد. این قانون امنیت کامیپوترها و شبکههای دولت فدرال و احزاب وابسته به آن را تقویت میکند. بر طبق این قانون، تمامی آژانسهای فدرال موظف به توسعه، مستندسازی و پیادهسازی برنامهای سراسری، جهت تأمین امنیت اطلاعات و سیستمهای اطلاعاتی خود هستند.
متاسفانه این قانون دقیقاً چیزی است که کمبود آن در زیر ساخت مدیریتی و راهبردی کشور عزیزمان احساس میشود. اما برای رفع این مشکل ابتدا حکم میباید تمام موسسات دولتی و غیردولتی را مجبور به تامین امنیت فضای مجازی خود نمود. سپس به یک نهاد جهت تدوین استاندارد و ابزارهای اندازهگیری و ممیزی آن اختیار تام داد که خوشبختانه از طریق سازمان افتا کارهایی در این زمینه در حال صورتگیری است و البته تا پیادهسازی کامل و درست آن به زمان زیادی نیاز است.
FISMA وظایف و مسئولیتهای ویژهای برای آژانسهای فدرال، موسسه ملی استاندارد و تکنولوژی و اداره مدیریت بودجه، تعیین نموده تا امنیت سیستمهای اطلاعاتی را افزایش دهند. این قانون حکم به فراهم نمودن امنیت اطلاعات داده است.
بر اساس موافقت FISMA، مسئولیت توسعه استانداردها، تعیین خط مشیها و تکنیکها و روشهای مرتبط برای تأمین امنیت مطلوب اطلاعاتی برای تمامی عملیاتها و داراییهای آژانسها، به استثنای سیستمهای امنیت ملی، بر عهدهی NIST خواهد بود. موسسه NIST، در همین راستا راه حلهایی را جهت ارزیابی و پیاده سازی امنیت اطلاعات ارائه نموده است. این استانداردها را در قالب استانداردهای سری ۸۰۰ ارائه نموده است. (NIST 800)
چرا FISMA برای موسسات مهم است؟
روزانه تهدیدات زیادی متوجه سیستمهای فدرال و زیرساختهای حیاتی سایبری از جانب موارد زیر ایجاد میگردد:
- از طرف کشورهای مستقل
- تروریستها
- جنایتکاران
- هکرها و مهاجمان
- اشتباهات مرتکب شده از سوی کارکنان و پیمانکاران یک مجموعه
exploit که در فارسی بهرهجو یا بهرهبردار ترجمه شده، همان کدهای مخربیست که جهت سوءاستفاده در یک سیستم استفاده میشود. اکسپلویت میتواند فاجعه بار باشد اگر بتواند عملکردهای حیاتی دولت را متوقف کند و به زیرساختهای حیاتی صدمه وارد نماید (مانند حمله به زیرساختهای انرژی اتمی کشور در نطنز).
FISMAتوجه دولت فدرال را به امنیت فضای مجازی جلب نمود. همینطور به طور شفاف بر تأمین امنیت مقرون به صرفه با استفاده از سیاستهای مبتنی بر مدیریت و پیشگیری از ریسک تأکید دارد. در نهایت موسسه NIST با استفاده از این دادهها و قوانین، گزارشی به مجلس ارائه میدهد که میزان پایبندی آژانسها و سازمانها و نهادهای فدرال به قانون را مشخص میکند.
نکته مهم این است که ساز و کار قانونی، به شکلی مناسب چیده شده است که ضمانت اجرای دستورات و استانداردها تضمین میشود و ممیزیها در تولید گزارشات موثر میباشد تا نشان دهد که سازمان مذکور از استاندارد فاصله نگرفته باشد.
این موضوع مطابق با استانداردهای NIST و به صورت دورهای و دائمی همسانسازی میشود. به شکلی که حتی در استانداردها، فرمولهایی برای محاسبه فرکانس تکرار ارزیابی و ممیزی مشخص گردیده است و برای هر نهاد متناسب با داراییها و حساسیتهای آن متفاوت است.
در نهایت آنها دریافتهاند که نبود ابزارهای اندازهگیری دقیق در صنایع امنیت فناوری اطلاعات، می تواند به رکود آن صنعت منجر شود و امکان برگزاری رقابتهای سالم از شرکتهای فعال گرفته شود، چیزی که به وضوح در شرایط کنونی کشور ما قابل مشاهده است.
وقتی استاندارد نباشد، اندازهگیری سلیقهای صورت میگیرد و شرکتهای فاقد استاندارد، صرفا با قیمت کمتر و موارد دیگر، وارد پروژهها شده و براساس قوانین دلخواه خودشان عمل میکنند که این امر هزینه امنیت را بالا برده و از کیفیت آن میکاهد.
در فیسما همچنین اقدامات پیشگیرانهای در جهت افزایش امنیت در تمام مراحل استانداردسازی دیده شده است. از آموزش نیروهای فنی گرفته تا مدیریت بحران و حتی بازیابی سانحه.
این در حالیست که در کشور ما گزارشهای ارزیاب اول برای ارزیاب بعدی فاقد کاربرد و اعتبار است و تقریبا همیشه مبتنی بر سلیقه تیم فنی است. شرکت مجری مجبور به انجام همهی کارها از ابتداست تا طبق استاندارد مندرآوردی خودش ارزیابی نماید. اینجاست که FISMA به تامین امنیت مقرون به صرفه اشاره مینماید.