در مقاله «اهمیت ارزیابی امنیتی» از دلایل و وظایف پیدایش موسسه NIST نوشتیم. اما بعد از مدتی مشخص شد که نیاز به قوانین بالاسری دارد تا چارچوب‌هایی برای این موسسه تعریف نماید. این قانون با عنوان فیسما تدوین شد.  

FISMA چیست؟

FISMA یا همان قانون مدیریت امنیت اطلاعات فدرال آمریکا، به اهمیت امنیت اطلاعات در اقتصاد و امنیت ملی ایالات متحده می‌پردازد. این قانون امنیت کامیپوتر‌هاو شبکه‌های دولت فدرال و احزاب وابسته به آن را تقو‌یت می‌کند. بر طبق این قانون تمامی آژانش‌های فدرال موظف به توسعه، مستند سازی و پیاده سازی برنامه‌ای سراسری، جهت تأمین امنیت اطلاعات و سیستم‌های اطلاعاتی خود هستند. متاسفانه این قانون دقیقا چیزیست که کمبود آن در زیر ساخت مدیریتی و راهبردی کشور عزیزمان احساس می‌شود. اما برای رفع این مشکل ابتدا حکم می‌باید تمام موسسات دولتی و غیر‌دولتی را مجبور به تامین امنیت فضای مجازی خود نمود. سپس به یک نهاد جهت تدوین استاندارد و ابزارهای اندازه‌گیری و ممیزی آن اختیار تام داد که خوشبختانه از طریق سازمان افتا کارهایی در این زمینه در حال صورتگیریست و البته تا پیاده‌سازی کامل و درست آن به زمان زیادی نیاز است.

FISMA وظایف و مسئولیت‌های ویژه‌ای برای آژانس‌های فدرال، موسسه‌‌ی ملی استاندارد و تکنولوژی و اداره مدیریت بودجه، تعیین نموده تا امنیت سیستم‌های اطلاعاتی را افزایش دهند.  این‌ قانون حکم به فراهم نمودن امنیت اطلاعات داده است.

بر اساس موافقت FISMA، مسئولیت توسعه استانداردها، تعیین خط مشی‌ها و تکنیک‌ها و روش‌های مرتبط برای تأمین امنیت مطلوب اطلاعاتی برای تمامی عملیات‌ها و دارایی‌های آژانس‌ها، به استثنای سیستم‌های امنیت ملی، بر عهده‌ی NIST خواهد بود. موسسه NIST، در همین راستا راه حل‌هایی را جهت ارزیابی و پیاده سازی امنیت اطلاعات ارائه نموده است. این استانداردها را در قالب استانداردهای سری ۸۰۰ ارائه نموده است. (NIST 800)

چرا  FISMAبرای موسسات مهم است؟

روزانه تهدیدات زیادی متوجه سیستم‌های فدرال و زیرساخت‌های حیاتی سایبری از جانب موارد زیر ایجاد می‌گردد:

  • از طرف کشورهای مستقل
  • تروریست‌ها
  • جنایتکاران
  • هکرها و مهاجمان
  • اشتباهات مرتکب شده از سوی کارکنان و پیمانکاران یک مجموعه

exploit که در فارسی بهره‌جو یا بهره‌بردار ترجمه شده، همان کد‌های مخربی‌ست که جهت سوءاستفاده در یک سیستم استفاده می‌شود. اکسپلویت می‌تواند فاجعه بار باشد اگر بتواند عملکرد‌های حیاتی دولت را متوقف کند و به زیرساخت‌های حیاتی صدمه وارد نماید (مانند حمله به زیر‌ساخت‌های انرژی اتمی کشور در نطنز).

 FISMAتوجه دولت فدرال را به امنیت فضای مجازی جلب نمود. همینطور به طور شفاف بر تأمین امنیت مقرون به صرفه با استفاده از سیاست‌های مبتنی بر مدیریت و پیشگیری از ریسک تأکید دارد. در نهایت موسسه NIST با استفاده از این داده‌ها و قوانین، گزارشی به مجلس ارائه می‌دهد که میزان پایبندی آژانس‌ها و سازمان‌ها و نهادهای فدرال  به قانون را مشخص می‌کند.

نکته مهم این است که ساز و کار قانونی، به شکلی مناسب چیده شده است که ضمانت اجرای دستورات و استانداردها تضمین می‌شود و ممیزی‌ها در تولید گزارشات موثر می‌باشد تا نشان دهد که سازمان مذکور از استاندارد فاصله نگرفته باشد. این موضوع مطابق با استانداردهای NIST و به صورت دوره‌ای و دائمی همسان‌‌سازی می‌شود. به شکلی که حتی در استانداردها، فرمول‌هایی برای محاسبه فرکانس تکرار ارزیابی و ممیزی مشخص گردیده است و برای هر نهاد متناسب با دارایی‌ها و حساسیت‌های آن متفاوت است.

در نهایت آنها دریافته‌اند که نبود ابزارهای اندازه‌گیری دقیق در صنایع امنیت فناوری اطلاعات، می تواند به رکود آن صنعت منجر شود و امکان برگزاری رقابت‌های سالم از شرکت‌های فعال گرفته شود، چیزی که به وضوح در شرایط کنونی کشور ما قابل مشاهده است. وقتی استاندارد نباشد، اندازه‌گیری سلیقه‌ای صورت می‌گیرد و شرکت‌های فاقد استاندارد، صرفا با قیمت کمتر و موارد دیگر، وارد پروژه‌ها شده و براساس قوانین دلخواه خودشان عمل می‌کنند که این امر هزینه امنیت را بالا برده و از کیفیت آن می‌کاهد.

در فیسما همچنین اقدامات پیشگیرانه‌ای در جهت افزایش امنیت در تمام مراحل استانداردسازی دیده شده است. از آموزش نیروهای فنی گرفته تا مدیریت بحران و حتی بازیابی سانحه.

این در حالیست که در کشور ما گزارش‌های ارزیاب اول برای ارزیاب بعدی فاقد کاربرد و اعتبار است و تقریبا همیشه مبتنی بر سلیقه تیم فنی است. شرکت مجری مجبور به  انجام همه‌ی کارها از ابتداست تا طبق استاندارد من‌درآوردی خودش ارزیابی نماید. این‌جاست که FISMA به تامین امنیت مقرون به صرفه اشاره می‌نماید.

در مطلب بعد از دسته‌بندی‌ها و عناوین استاندارد‌های ارزیابی نام خواهیم برد.

دیدگاهتان را بنویسید

نظر خودتون در مورد این مقاله رو با ما به اشتراک بگذارید.