شرح استاندارد امنیت اطلاعات از زبان دير عامل شركت فناوري اطلاعات

سعيد مهديون در گفت‌وگو با خبرنگار فناوري اطلاعات خبرگزاري فارس با اشاره به پياده سازي سامانه مديريت امنيت اطلاعات در دستگاه‌هاي اجرايي، اظهار داشت: پياده سازي اين سامانه در دستگاه‌هاي اجرايي در سند افتا ( امنيت فضاي توليد و تبادل اطلاعات) به دستگاه‌ها تكليف شده است و تصممي دستگاه‌ها ملزوم به پياده‌سازي اين سامانه شده‌اند.
وي در پاسخ به اين سؤال كه آيا براي پياده سازي سامانه مهلت زماني براي دستگاه‌ها تعيين شده گفت: يكي از اشكالات سند افتا اين است كه زمان‌بندي خاصي در آن تعيين نشده است.

* مهلت‌ 3 و 5 ساله به دستگاه‌ها براي پياده‌سازي ISMS

وي گفت: در بخش راهبرد 2 اقدام از سند مشخص شده كه كساني كه مجري طرح‌ها هستند بايد طرح‌هاي خود را تا آذر 87 براي تصويب در دولت ارائه دهند.
مهديون ادامه داد: اما با توجه به ابلاغ سند در تاريخ اسفند 87 و به دليل اينكه طرح زمان گذشته تصويب شد، زمان‌بندي‌ها به هم خورد و به اين ترتيب در زمان ابلاغ سند، زمان تعيين شده براي اين منظور گذشته بود.
مدير عامل شركت فناوري اطلاعات ايران در پاسخ به اين سوال كه پس از آن ديگر زمان‌بندي جديدي براي اين منظور مشخص نشده،‌ اظهار داشت: در حال حاضر كميته امنيتي كه در زير مجموعه كارگروه مديريت فناوري اطلاعات (فاوا) دولت تشكيل شده، در حال كار روي اين مسئله است و اجرايي شدن اين سند در دستگاه‌ها را پيگيري مي‌كند.
وي خاطرنشان كرد: البته بايد توجه داشت كه پياده سازي ISMS (سامانه مديريت امنيت اطلاعات) مانند خريد يك شبكه يا نصب تجهيزات نيست و كار نسبتا سنگيني است.
مهديون تأكيد كرد: برخي از فرآيندها و كنترل‌ها براي پياده‌سازي ISMS به علت عجين بودن با عملكرد سازمان ممكن است تا 5 سال طول بكشد.
وي ادامه داد: در همين راستا براي پياده سازي سامانه مديريت امنيت اطلاعات دستورالعملي تهيه و به دستگاه‌ها ابلاغ شده است كه در اين دستورالعمل برنامه‌هاي زماني و بازه‌هاي 3 ساله و 5 ساله ديده شده است و براساس اين دستورالعمل دستگاه‌ها بايد حداقل يك بار مميزي را انجام دهند.

* گواهي ISMS دستگاه‌ها دو ساله خواهد بود

مدير عامل شركت فناوري اطلاعات ايران خاطر نشان كرد: در مميزي زماني كه گواهي نامه اعطا مي‌شود، به خصوص در حوزه امنيت، اين گواهي مانند گواهي تحصيلي مدركي هميشه معتبر نيست و مهلت زماني دارد.
وي ادامه داد: براي مثال زماني كه دستگاهي يك گواهي ISMS (مديريت امنيت اطلاعات) اخذ كرد، به اين معني نيست كه تا آخر عمر مديريت امنيت در اين دستگاه برقرار باشد.
مهديون خاطر نشان كرد: بازبيني در بازه‌هاي زماني يك ساله يا 2 ساله بايد دوباره انجام شود، ارزيابي و مميزي صورت گيرد و مجدداً گواهي اعطا شود.
مهديون با اشاره به اينكه گواهي‌ها داراي طول عمر است، گفت: در دستورالعمل تهيه شده طول عمر گواهي‌ها 2 سال ديده شده است؛ زيرا يك سال براي اين دستگاه‌ها بسيار كوتاه است.

* دولت راهبري سند افتا را به كميته امنيت كارگروه فاوا سپرد

وي در پاسخ اين كه يكي از مشكلات سند افتا اين است كه در آن وظيفه راهبري سند مشخص نشده،‌ آيا تكليف راهبري سند مشخص شده است، ‌گفت: اخيراً هيئت دولت مصوبه‌اي با اين مضمون داشته است كه پيگيري اجرايي شدن اين سند را به كميته امنيت كارگروه فاوا محول كرده است.
وي با تأكيد بر اينكه پياده سازي ISMS نيز جزو وظايف راهبري است، اظهار داشت: پياده سازي ISMS به مكاني نياز دارد كه عمل اعتباردهي دستگاه‌ها را انجام دهد.
مديرعامل شركت فناوري اطلاعات ايران توضيح داد: قرار نيست مركز خاصي در دولت گواهي ISMS را صادر كند، بلكه گواهي طي يك نظامي كه در دستورالعمل ابلاغ شده است، صادر مي‌شود.
مهديون ادامه داد: مؤسساتي كه عمل مميزي كردن صدور گواهي را انجام مي‌دهند؛ خود بايد ارزيابي و نظارت شوند؛ همچنين علاوه بر اين ميمزها،‌ آموزش دهندگان، مشاوران پياده سازي نيز وجود دارند؛ زيرا دستگاه‌ها براي پياده سازي يا شخصا و به صورت داخلي اقدام مي‌كنند، يا به كمك مشاور نياز خواهند داشت.
وي ادامه داد: علاوه بر اين به افرادي براي كمك در انجام عمل مميزي نياز است كه مميزهاي ارشد نيز وجود خواهند داشت.
مهديون تأكيد كرد: همچنين بنگاه‌هايي وجود دارند كه بايد با انجام عمل مميزي نهايي گواهي را صادر كنند و در نهايت در بالا سر اين سطوح جايي بايد به تمامي اين سطوح اعتبار دهد.

* انتخاب سازمان فناوري اطلاعات به عنوان نهاد اعتباردهي گواهي ISMS

وي خاطر نشان كرد: مطابق مصوبه اسفندماه هيئت دولت، شركت فناوري اطلاعات ايران به عنوان نهاد اعتباردهي انتخاب شده است.
وي گفت: همچنانكه تاكنون ده‌ها دستورالعمل توسط كميته امنيت فاوا دولت ابلاغ شده است، كميته امنيت راهبري اين موضوع را براي شركت فناوري اطلاعات ايران نيز انجام مي‌دهد و تشكيل ساختار اعتباردهي شركت فناوري اطلاعات را نيز پيگيري مي‌كند.
وي در پاسخ به اين سوال كه تشكيل نهاد اعتباري در سازمان فناوري اطلاعات در چه مرحله‌اي است، گفت: نظام اصلي ابلاغ شده و در شركت فناوري اطلاعات نظام اعتباردهي در حال شكل گيري است؛ حتي روي چگونگي ارزيابي مميزها، شرايط ارزيابي شركت‌هايي كه مي‌خواهند گواهي بدهند، شركت‌هايي كه مي‌خواهند در حوزه آموزش وارد شوند، كار مي‌شود.

* بخش‌نامه‌هاي امنيتي كارگروه امينت فاوا روانه دستگاه‌هاي دولتي مي‌شود

وي ادامه داد: در كنار اين موارد، خلاصه دستورالعمل‌هاي ساده‌اي كه دستگاه‌ها قادر به انجام باشند در چارچوب بخش نامه‌ها و ابلاغيه‌ها براي دستگاه‌ها ارسال مي‌شود، براي مثال بخش‌نامه اول در اين حد بود كه دستگاه‌ها در سطح مديريت نخست به دنبال خط مشي‌ها و سياست‌هاي امنيتي بروند و دوم مدير امنيت اطلاعات را در دستگاه منصوب كنند كه اين بخشنامه به دستگاه ابلاغ شد.
مهديون گفت: ‌همين بخشنامه حركتي را در تمامي دستگاه‌ها آغاز كرد و هم‌اكنون برخي از دستگاه‌ها مدير امنيت اطلاعات خود را منصوب كرده‌اند و كميته امنيت نيز طرف صحبت خود را در دستگاه اجرايي مي‌شناسند.
وي گفت: بخشنامه بعدي اين بود كه شروع كنيد به تشكيل كميته امنيت در دستگاه و به اين ترتيب قدم به قدم دستگاه‌ها را براي پياده‌سازي سامانه مديريت امنيت اطلاعات آماده مي‌كنيم.
مهديون ادامه داد: در نهايت از يك سو دستگاه‌ها متقاضي پياده‌سازي ISMS خواهند شد و از سوي ديگر نهادهاي مختلف مجوزهاي لازم را براي اجرا و انجام مراحل اين كار اخذ كرده‌اند كه اين دو طرف را به هم ارتباط مي‌دهيم.
مدير عامل شركت فناوري اطلاعات ايران اظهار اميدواري كرد: بتوانيم در سال برنامه نظام را آماده كرده باشيم تا دستگاه‌ها مميزي شدن را آغاز كنند.

* دستگا‌ه‌هاي دولتي از اخذ گواهي مديريت امنيت اطلاعات (ISMS) از مرجع خارجي منع شدند

وي در خصوص اينكه در گذشته اگر كسي تمايل به اخذ ISMS داشت بايد اين گواهي را از يك شركت خارجي دريافت مي‌كرد، اظهار داشت: بله؛ در گذشته چنين بود؛ اما هم‌اكنون اخذ گواهي مديريت امنيت اطلاعات (ISMS) از مرجع خارجي براي دستگاه‌هاي دولتي ممنوع شده اما براي بخش خصوصي الزامي در اين رابطه نيست؛ در عين حال كه ترجيح اين است كه حتي بخش خصوصي نيز براي اين منظور سراغ خارجي‌ها نرود.
مهديون در پاسخ به اين سوال كه آيا استفاده بخش خصوصي نيز از نظام ايجاد شده براي دستگاه‌هاي دولتي ممكن است گفت: خصوصي‌ها هم اگر بخواهند مي‌توانند استفاده كنند اما براي آنها الزام ندارد.
مديرعامل شركت فناوري اطلاعات ايران در پاسخ به اين سوال كه آيا دبير كميته امنيت اطلاعات كارگروه فاوا از شركت فناوري اطلاعات ايران است، گفت: خير؛ دبير كميته امنيت را وزير ارتباطات منصوب كرده‌اند كه از سازمان فناوري اطلاعات نيست و اين كميته نيز مانند ساير كميته‌هاي كارگروه فاوا دولت (فناوري اطلاعات و ارتباطات) از چندين نهاد و حتي از دانشگاه‌ها عضو دارد.
وي با تأكيد بر آغاز فعاليت كميته امنيت كارگروه فاوا تصريح كرد: كميته امنيت فعاليت خود را آغازكرده است و يك يا دو مصوبه نيز در كارگروه فاوا در حوزه امنيت داشته‌ايم كه همان مقررات و پشتيباني‌هاي مربوط به پياده سازي سيستم‌هاي مديريت امنيت اطلاعات است.
مهديون ادامه داد: از ديگر مصوبات اين كميته زمان هايي است كه بايد موردي در سطح دولت و كارگروه به دستگاه‌ها ابلاغ شود كه كميته امنيت مصوبات اين چنيني نيز داشته است.

به گزارش فارس، سامانه مديريت امنيت اطلاعات (ISMS) يكي از ابزارهاي مهم ساختاري و سيستماتيك كلان كشورها است كه در ايران بر اساس مصوبات گوناگون از جمله مصوبه هيأت وزيران و سند راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا) با هدف پياده ‌سازي در دستگاه‌هاي اجرايي كل كشور ابلاغ شده است.
بنابر اين گزارش، در اين راستا اسناد بالادستي فراواني در كشور تدوين و تصويب شده است كه از اين جمله مي‌توان به مصوبات شوراي عالي امنيت ملي و هيئت وزيران و سند راهبردي افتا اشاره كرد؛ بر همين اساس براي اجراي اين مصوبه‌ها در دستگاه‌هاي اجرايي، لزوم ايجاد ساختاري براي سياست‌گذاري، مديريت، نظارت و راهبردي فرايند سامانه مديريت امنيت اطلاعات احساس مي‌شد.
به اين ترتيب سازمان فناوري اطلاعات، ايجاد ساختار اعتباردهي مديريت امنيت اطلاعات در سطح ملي را در قالب دستورالعمل به هيئت وزيران ارائه كرد كه در بيست و چهارم اسفندماه 88 به تصويب هيئت وزيران رسيد.
بنابر اين گزارش، از جمله اهداف پياده‌سازي نظام ملي سامانه مديريت امنيت اطلاعات، مي‌توان به مديريت كلان امنيت اطلاعات در سطح كشور، ايجاد و توسعه فرهنگ مديريت امنيت اطلاعات در دستگاه‌هاي اجرايي و نيز ايجاد يك امنيت اطلاعات نسبي قابل پذيرش در دستگاه‌هاي اجرايي اشاره كرد.
همچنين ابلاغ و استمرار الزامات ملي امنيت اطلاعات در دستگاه‌هاي اجرايي و شناسايي، ارزيابي و اعتباردهي شركت‌هاي فعال در زمينه سامانه مديريت امنيت اطلاعات (ISMS) از ديگر اهداف نظام سامانه مديريت امنيت اطلاعات است.
بر اساس اين گزارش، با ايجاد سامانه مديريت امنيت اطلاعات در دستگاه‌هاي اجرايي، امنيت اطلاعات راهبري و مديريت آن يكپارچه خواهد شد.