چالشهای برقراری امنیت اطلاعات در ایران

در این آشفته بازار ایمن سازی سیستم های مبتی بر IT و آمادگی در برابر تهدیدات دشمنان در این حوزه لازم است بخشی بصورت متمرکز و تاثیر گذار و عامل در برقرای امنیت اطلاعات در سازمان ها شکل بگیرد که هم از دل حراست ها بوده و هم با بدنه سازمان ارتباط تنگاتنگی داشته باشد.
ماده ۱۲۳ برنامه چهارم توسعه : «به منظور بهینه کردن استفاده از فناوری‌ها در امور امنیتی و انتظامی، شورای امنیت کشور موظف است، با همکاری دستگاه‌های ذی‌ربط، نسبت به سیاست‌گزاری و استانداردسازی سامانه حفاظتی و امنیتی مورد نیاز سازمانها، حراست ادارات، نهادها و وزارتخانه‌ها، اقدام نماید.»
سه سال از شروع برنامه چهارم توسعه می گذرد و شاهد تلاش های جدی و منسجم در حفاظت از داده های ملی و منطقه ای نیستیم . در بخشنامه ها شاهد تکرار موضوعی با عنوان «لزوم راه اندازی سامانه مدیریت امنیت (حفاظت) اطلاعات ISMS و تکلیف برنامه توسعه چهارم» و یا مواردی از این دست در عدم استفاده از سخت افزاری خاص و یا محدود نمودن ترمینال ها و بکارگیری نرم افزارها و سخت افزار های اتصال به اینترنت هستیم که بعضا حتی انشاء ها نیز کاملا شبیه هم است!
البته همه این موارد خوب و انجام آن راه گشا است اما با بخشنامه و یا بیان مصداق ضعف امنیتی سیستم ها برطرف نشده و مخاطرات از بین نمی رود.
استاندارد «سیستم مدیریت امنیت (حفاظت) اطلاعات یا (ISMS(Information Security Management System) مجموعه ای از استاندارد های مصوب سازمان بین المللی استاندارد (ISO) و کمیسیون الکتروتکنیکال (IEC) با نام اختصاری ISO۲۷K است که در بر گیرنده هفت الی هشت (و در حال افزایش) استاندارد منتشرشده و یا در حال انتشار است که مجموعه ای از بهترین رهیافت های مدیریت امنیت اطلاعات و کنترل مخاطرات را در بر دارد. این سند بیان می دارد امنیت اطلاعات با بکارگیری مجموعه ای از کنترل های مناسب خط مشی ها ، فرایندها ، رویه ها ، ساختار سازمانی ، ابزار نرم افزاری و سخت افزاری مناسب دست یافتنی است.
در کشور ما فعالیت مدیران به نوشتن و کپی برداری از بخشنامه ها و نامه های ادارات مشابه و کارشناسان به نوشتن شرح خدمات مورد نیاز طبق توانمدی پیمانکاران محدود است . خوشبینانه ترین حالت اجرای ISMS در مجموعه های دولتی تولید چندین جلد الزامات و دستورات با هزینه های چند ده میلیونی که بایستی با توجه به نیاز سازمان طراحی و تدوین گردد اما بیشتر از متن هایی که بصورت عمومی و کلی می باشند ، شامل شده است.
در مجموعه های دولتی بخشی بنام فناوری اطلاعات وجود دارد که با توجه به درجه اهمیت موضوع بخشی را تشکیل داده که وظیفه به ثمر رساندن بخشنامه ها را به عهده دارد که عموماً با گسترش خصوصی سازی و برون سپاری فعالیت های سازمان امنیت نیز به پیمانکاران سپرده شده و از یکسری اصول ایمن سازی که دستاورد شرکت های خارجی است برای امن سازی استفاده می شود و ما فن آوری آنها را با دستورالعمل خودشان ایمن می سازیم و حتی بصورت کامل هم اینکار را انجام نمی دهیم .
از طرفی دیگر طبق ابلاغیه های دیگری حراست ها نیز موظف به راه اندازی بخشی بنام حراست IT شده اند که این تشکیلات هم به همان آفت قبل مبتلا است و صرفا وظیفه هندل کردن دستورالعمل ها را به عهده دارد و عملا تاثیر موثری در فرآیندهای امن سازی نمی گذارد و انگیزه نیروی های بکارگرفته شده از بین می رود.
در این آشفته بازار ایمن سازی سیستم های مبتی بر IT و آمادگی در برابر تهدیدات دشمنان در این حوزه لازم است بخشی بصورت متمرکز و تاثیر گذار و عامل در برقرای امنیت اطلاعات در سازمان ها شکل بگیرد که هم از دل حراست ها بوده و هم با بدنه سازمان ارتباط تنگاتنگی داشته باشد و به سیاستگذاری ، استاندارد سازی ، طراحی برنامه راهبردی و پیاده سازی و کنترل و نظارت با توجه به نیاز هر سازمان و محدوده عملکردی آن بپردازد.نکته مهم دیگری که مورد غفلت قرار می گیرد آموزش و ارتقاء سطح آگاهی کارکنان در مواجهه با فن آوری اطلاعات و حفظ نکات ایمنی است ، همه کارکنان سازمان را باید برای حفاظت از اطلاعات متعهد و پاسخگو نمود.

نویسنده: احسان کیانخواه