شناسایی مخاطرات در ISMS
برای پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان باید دارایی ها را شناسایی وسپس آن ها را طبقه بندی نمایید. طبقه بندی های مختلفی برای دسته بندی دارایی ها وجود دارد، که با توجه به صلاحدید هر سازمان این طبقه بندی می تواند متفاوت باشد. پس از طبقه بندی، دارایی ها باید ارزش گذاری شوند و این امر زمانی میسر می شود که آسیب پذیری ها و مخاطرات آن دارایی به درستی شناخته شده باشد. در ادامه به شناسایی و ارزیابی مخاطراتی که ممکن است یک سازمان را تهدید کند می پردازیم.
مخاطره چیست؟
عامل بالقوه ای که از یک تهدید معین از آسیب پذیری ها، بگونه ای استفاده کند که باعث از بین رفتن یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیرمستقیم به سازمان آسیب برساند.
مخاطرات و تهدیدات احتمالی در یک شبکه را در شش محور زیر می توان مورد بررسی و ارزیابی قرار داد که عبارتند از:
مخاطرات امنیتی معماری شبکه
مخاطرات امنیتی تجهیزات شبکه
ریسک های مربوط به سرویس دهنده های شبکه
مخاطرات ایستگاه های کاری
مخاطرات پشتیبانی و نگه داری شبکه
ریسک های تشکیلاتی و مدیریتی شبکه
مخاطرات امنیتی معماری شبکه
یکی از موارد مهمی که در بحث مخاطرات در ISMS باید به آن توجه نمود، مخاطرات امنیتی معماری شبکه است. در بحث مخاطرات امنیتی معماری شبکه، سه امر مهم وجود دارد که بروز نقص در آنها امکان آسیب پذیری در شبکه زیاد می کند. بنابراین برای مدیریت مخاطرات در ISMS به این سه مورد باید توجه داشت که عبارتند از:
ساختار شبکه: در این زمینه برای آنکه به دقت کافی بتوان مخاطرات ساختار شبکه را بررسی کرد، باید از قبل توسط واحد شبکه سازمان یک نقشه شماتیک از شبکه سازمان که شامل نوع، مدل و آدرس IP هریک از اجزای شبکه، خطوط ارتباطی و پهنای باند هریک و.. باشد، تهیه شود و در اختیار مسئول پروژه ISMS قرار داده شود. با توجه به نقشه ارائه شده از شبکه، مخاطرات مربوط به ساختار شبکه سازمان می تواند یکی از موارد زیر باشد:
عدم استفاده از سیستم های امنیت شبکه در محل اتصالات با شبکه های دیگر
پراکندگی غیرقابل کنترل محل اتصالات
پراکندگی سرویس دهنده های شبکه
کابل کشی نامنظم شبکه که ارتباطات غیرمجاز را آسان نماید
عدم وجود نقشه مناسب برای توپولوژی شبکه
روش های دسترسی فیزیکی و منطقی به شبکه: این مورد در بحث امنیت اطلاعات اهمیت فراوانی دارد. در این زمینه باید به موارد زیر توجه نمود:
محافظت فیزیکی از تجهیزات و سرویس دهنده های مستقر در سایت شبکه
محافظت از تجهیزات و سرورهای مستقر در سایت یا طبقات ساختمان با استفاده از رک مناسب
محافظت از خطوط ارتباطی شبکه با استفاده از کانالهای ارتباطی امن و جلوگیری از اتصال غیرمجاز
محافظت منطقی شبکه از دسترسی های غیرمجاز
امکان دسترسی غیرمجاز از طریق دسترسی از راه دور به شبکه سازمان
امکان وارد کردن اطلاعات مخرب مثل ویروس، کرم، هرزنامه و … به داخل شبکه سازمان
روش های آدرس دهی و مسیریابی در شبکه: مخاطرات احتمالی در این بحث عبارتند از:
ضعف در تشکیل زیر شبکه ها و استفاده از آن ها
احتمال تصادم و تضاد در آدرس های تخصیص یافته به دلیل عدم استفاده از DNSسرور و DHCPسرور
فعال بودن سرویس های اضافی بر روی سرورها و سایر نودها
عدم وجود نظارت بر ساختار آدرس دهی
مخاطرات امنیتی تجهیزات شبکه
با توجه به اینکه تجهیزات شبکه اغلب دارای آدرس IP و امکان دسترسی مستقل هستند، به عنوان یک موجودیت با ارزش مورد تهدید جدی قرار دارند. بنابراین پس از تهیه نقشه شماتیک از شبکه، باید مخاطرات فراروی هر یک از تجهیزات را بررسی کنیم. در اینجا به دلیل اهمیت فراوان مسیریاب ها و سوییچ ها، به بررسی مخاطرات مرتبط با آن ها می پردازیم. که عبارتند از:
عدم استفاده از نسخه های معتبر و بروز نرم افزارها در تجهیزات شبکه مخصوصا مسیریاب ها و سوییچ ها
امکان دسترسی و تغییرات در پیکربندی تجهیزات از راه دور به وسیله پروتکل های مختلف
فعال بودن پورت کنسول و پورت کمکی و امکان مدیریت تجهیزات از راه دور
وجود سرویس های غیر لازم در تجهیزات همچون سرویس Finger که از طریق پورت 79 فعال شده و اجازه دسترسی به تجهیزات را از راه دور می دهد
بی توجهی به تنظیم کلمه عبور مناسب و عوض نکردنانن در زمان مناسب
عدم بهره گیری از تجهیزات با برندهای معروف و دارای پشتیبان
اتصال و پیکربندی نامناسب سوییچ ها
ریسک های مربوط به سرویس دهنده های شبکه
برای بررسی مخاطرات در این حوزه لازم است اطلاعات دقیقی در مواردی همچون نام، آدرس IP، مدل و وظیفه اصلی سرویس دهنده، نام و نسخه سیستم عامل و نرم افزارهای سرویس همراه با وصله های امنیتی نصب شده بر روی آن ها، ارائه سوابقی از مشکلاتی که برای سرویس دهنده بروز کرده است، و … در اختیار تیم ارزیاب قرار داده شود. بر این اساس مخاطرات احتمالی عبارتند از:
ریسک های مربوط به سیستم عامل و نرم افزار سرویس دهنده مثل وصله های امنیتی
مخاطرات ناشی از عدماستفاده از ابزارهای امنیتی روی سرور مثل فایروال
مخاطرات ناشی از هر گونه انباشتگی اطلاعات بر روی سرور و عدم استفاده از ماژول های افزونه
مخاطرات ایستگاه های کاری
در این راستا از جمله مخاطرات در ISMS که می توان بررسی کرد عبارتند از:
لزوم ثبت رویدادها روی ایستگاه های کاری
تنظیمات مرتبط با تنظیم قواعد پیکربندی ایستگاه های کاری شبکه، امن سازی آن ها
نحوه ادرس دهی، تعیین گذرگاه ورودی و پوشش زیرشبکه برای ایستگاه های کاری و تجهیزات شبکه
عدم توجه به دستورالعمل استفاده از وصله های امنیتی
مخاطرات پشتیبانی و نگه داری شبکه
برای اداره هر شبکه و نگهداری از پایداری آن، اعم از شبکه های کوچک یا بزرگ نیاز به تشکیلات مدیریتی وجود دارد تا از طریق اعمال روال ها و روش های مدیریتی به این امر مبادرت نماید. در این راستا مخاطرات امنیتی عبارتند از:
فراهم نبودن ساختار و تشکیلات سازمانیمناسب و پرسنل آموزش دیده کافی برای نگهداری و مدیریت شبکه
مشخص نبودن شرح شغل و وظایف کارکنان و نحوه گزارش عملکرد کارکنان به مدیریت
مشخص نبودن مکانیزم های تنبیه و تشویق کارکنان
عدم انجام مستندسازی مناسب در همه بخش های اجرایی، نظارتی و مدیریتی
عدم دسته بندی صحیح و تعیین دقیق حدود اختیارات کاربران در سیستم مدیریت شبکه
اعمال نکردن کنترل های دسترسی روی کاربران و اطلاعات مدیریتی در سیستم مدیریت شبکه
بی توجهی به پیکربندی صحیح سرویس ها و نرم افزارها در شبکه
ریسک های تشکیلاتی و مدیریتی شبکه
در این بحث تنها طرح ها، برنامه ها، روال های اجرایی و دستورالعمل های فنی تامین امنیت، مورد بررسی قرار می گیرند و کیفیت عملکرد آن ها موردنظر نمی باشد. در این راستا برای بررسی مخاطرات در ISMS باید سوالات زیر و پاسخ های آن ها را تهیه نمود:
آیا تشکیلات امنیت شبکه در سازمان وجود دارد و آیا مسئول مشخصی برای این کار تعیین شده است؟
ساختار سازمان و شرح وظایف تشکیلات مزبور تعیین شده است؟
فهرست آیین نامه ها و دستورالعمل های اجرایی مناسب و کافی برای اجرا و پشتیبانی از سیاست های امنیتی وجود دارد؟ آیا در طول اجرا، اصلاح و بروزرسانی انجام می شود؟
با توجه به موارد ذکر شده حالا می توان یک فهرست از تهدیدات و آسیب پذیریهای احتمالی، میزان وقوع آن ها و برآورد تخریب ارائه نمود. اما تنها تهیه این فهرست کافی نیست و باید تهدیدات آینده نیز پیش بینی گردد. برای این منظور چهار اقدام قابل انجام است:
بررسی سوابق تهدیداتی که تاکنون به وقع پیوسته اندو مذاکره باکارکنان دارای سابقه در این خصوص
بررسی منابع جهانی و اینترنتی ارائه کننده نحوه عمل تهدیدات و روش های مقابله با آنها
ایجاد ارتباط با سازمان های مشابه و استفاده از تجارب آن ها
انجام کارهای پژوهشی و تحقیقاتی در این حوزه.
پس از تکمیل و اجرای طرح ارزیابی مخاطرات، نوبت به طراحی و اجرای طرح تامین امنیت می رسد که باید بطور جداگانه پیشنهاد شود و مورد تصویب مدیریت ارشد سازمان قرار گیرد.