استانداردهای امنیتی

براساس پیش بینی های موسسه CyberSecurity Venture جرایم سایبری مبلغ نجومی ای بالغ بر شش تریلیون دلار را در سال ۲۰۲۱ به جهان تحمیل خواهد کرد که این مبلغ رشدی سه تریلیون دلاری نسبت به سال ۲۰۱۵ را خواهد داشت. این پیش بینی ها رشد وسعت و پیچیدگی های جرایم سایبری در آینده و نیاز به بهره گیری از استانداردهای ایمن سازی و استراتژی های دقیق دفاع سایبری را بر فعالان و تصمیم گیران این صنعت بیش از پیش آشکار میسازد.

در این زمینه استانداردهای متفاوتی برای طراحی و تبیین سیاست های ایمن سازی و دفاعی سازمانها و موسسات طراحی گردیده که یکی از شناخته شده ترین آنها استاندارد ISO 27001 است. برای درک بهتر ابعاد این استاندارد شناخت سیستم مدیریت امنیت اطلاعات یا Information Security Management Systems ضروری است.

به زبان ساده ISMS روشی سیستماتیک برای مدیریت و حفاظت از اطلاعات و داده های حساس با استفاده از استانداردهای مختلف برای سازمانها و موسسات است. سیستم مدیریت امنیت اطلاعات نیازهای سازمانهایی با ابعاد مختلف را پوشش میدهد. ایمن سازی و مدیریت و کنترل ریسک سازمانها گستره وسیعی  شامل افراد، سیستم های سخت افزاری و نرم افزاری و پردازش ها در بخشهای مختلف سازمانها را در برمیگیرد. سیستم ISMS  با طراحی ای دقیق توانایی مواجه با تهدیدات جدید و تغییرات لازم با توجه به رشد نیازهای سازمان مربوطه و حفظ محرمانگی (Confidentiality) یکپارچگی (Integrity) و دسترسی(Availability)  اطلاعات را دارا است.

در این میان استاندارد بین المللی  ISO/IEC 27001 (ISO 27001) که مشترکا توسط موسسات ISO  و IEC توسعه داده شده  بهترین و شناخته شده ترین روش برای پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات یا  ISMS برای یکپارچه سازی و حفاظت از اطلاعات حیاتی و حساس در سازمانها و موسسات و به تبع آن برنامه ریزی برای جلب اطمینان و اعتماد مشتریان است. نسخه های مختلف استانداردهایISO  توسط اعضای موسسات ISO  و IEC از سراسر دنیا توسعه و بهینه سازی میشود که شرکتها و سازمانهای مختلف میتوانند بعد از اعمال و ممیزی این استاندارد گواهینامه آن را دریافت نمایند.

استاندارد ISO 27001 برای پیاده سازی و اجرایی کردن سیاستهای ایمن سازی چک لیست یا سیستم مرحله به مرحله ای را ارائه نمیکند، در عوض با ارائه راهکارها و چهارچوب های مدون تصحیحی (Corrective Actions) و جلوگیری کننده (Preventive Actions ) تقویت سیستمهای امنیت اطلاعات سازمانها را ممکن میسازد. شایان ذکر است پیاده سازی صحیح این استاندارد مستلزم همکاری و هماهنگی در تمام بخشهای سازمان است. استاندارد ISO 27001 بخشهای مختلفی را پوشش میدهد که در ذیل به مهمترین آنها اشاره میکنیم:

• ایمن سازی نرم افزاری و سخت افزاری زیرساختهای مهم سازمان
• ارائه راهکارهایی برای امنیت منابع انسانی و دارایی ها
• ارائه راهکار برای پیشگیری از انواع جرایم سایبری
• پیشگیری از خراب کاری در اطلاعات حساس و حیاتی سازمان
• ایمن سازی اطلاعات و پیشگیری از سرقت درون سازمانی
• ایمن سازی در مقابل از دست دادن اطلاعات
• پیشگیری از سو استفاده از اطلاعات حساس و حیاتی
• پیشگیری از نفوذ در شبکه
• پیشگیری از درز اطلاعات شخصی کارکنان و مشتریان

در پایان ذکر این نکته ضروری است که گرچه کسب گواهینامه های استاندارد ISO 27001 نشان دهنده اهمیت حفظ امنیت اطلاعات برای سازمان کسب کننده گواهی است، ولی این به معنای امنیت صد در صدی آن سازمان نخواهد بود و بهره گیری از دیگر راهکارهای ایمن سازی در کنار این استاندارد کاملا ضروری و حیاتی خواهد بود.

تنظیمات اولیه یا پیش فرض اکثریت سیستم عاملها، نرم افزارها و سخت افزار ها با اولویت قرار دادن راحتی استفاده و کاربر پسند بودن به شکلی تنظیم گردیده است که نیازهای ابتدایی بخش وسیعی از کاربران را فراهم نموده و از پیچیدگی های فراوان خودداری کنند. این رویه باعث بوجود آمدن مشکلات امنیتی فراوانی برای سیستمهایی میشود که در تعامل با دیگر سیستمها یا کاربران نیازمند برخورداری از بالاترین سطح امنیت هستند خواهد شد. در این مطلب به صورت مختصر با شناخته شده ترین استانداردهای امنیتی بین المللی آشنا میشویم.

سیاستهای امنیتی یا استانداردهای ایمن سازی (Hardening Standards and Security Policy) از اصول اولیه ای است که هر مهندس سیستم یا شبکه باید به آنها اشراف کامل و دقیق داشته و با نحوه پیاده سازی و بکارگیری آنها آشنایی کامل داشته باشد.  این استانداردها توصیه های مهمی برای تنظیم بخشهای مختلف سیستم های مورد نظر از قبیل نحوه صحیح انتخاب رمزهای عبور (Passwords Length and Age)، تنظیمات کنترل (Access Right Assignment)، سیاستهای بازرسی  و ممیزی (Audit Policy) و تنظیمات لاگ های مختلف سیستم را در برمیگیرد.

در این میان شرکتهای فراوانی استانداردها و ابزارهای مختلفی را برای مقاوم سازی سیستم های مختلف معرفی کرده که  سازمان ها و موسسات مختلف برای بهبود سطح امنیتی سامانه های خود و در امان بودن از مشکلات امنیتی باید با مطالعه دقیق و اعمال این تنظیمات و استانداردها از رخ دادن مشکلات امنیتی جلوگیری نمایند.

مرکز امنیت اینترنت یا CIS Security یکی از پیشگامان توسعه این استانداردها است که با توجه به نیازهای امنیتی رو به افزایش در سیستم عاملها و سامانه های مختلف اقدام به طراحی سیاستهای ایمن سازی گسترده ای برای بخشهای مختلف صنعت آی تی کرده است. گستره استانداردهای تحت پوشش این مرکز طیف وسیعی از سیستم عاملها از قبیل نسخه های مختلف ویندوز، لینوکس، مک، آی آو اس، اندروید و برنامه های کاربردی مانند مرورگرهای کروم، فایر فاکس و غیره را شامل میشود.

سرویسهای ارائه شده CIS در دو نسخه رایگان که به صورت فایلهای پی دی اف و نسخه پولی که به همراه اسکریپتهای مورد نیاز برای اعمال اتوماتیک تنظیمات مورد نیاز و نرم افزارهای بنچ مارک در اختیار مشتریان قرار میگیرند. سی آی اس کت (CIS Configuration Assessment Tool) نرم افزار بنچمارک این شرکت است که با بررسی سیستم و مقایسه تنظیمات فعلی سیستم با استاندارد های طراحی شده توسط CIS توصیه هایی را در جهت بهبود و ارتقای امنیت سیستم ارائه میکند. پکیجها و نسخه های پولی که CIS CAT را شامل میشود معمولا شرکتها و موسسات بزرگ را هدف قرار میدهند، که حق عضویت سالانه ای بیش از یک هزار دلار را برای مشتری در بر خواهند داشت.

موسسه ملی استاندارد و تکنولوژی یا NIST یکی دیگر از موسساتی است که شهرت جهانی دارد و شرکتهای فراوانی از استانداردهای این شرکت بهره گیری میکنند. گرچه استانداردهای ایمن سازی ارائه شده توسط NIST به صورت رایگان در اختیار مشتریان قرار میگیرد ولی گستردگی این استانداردها به وسعت استانداردهای ارائه شده توسط CIS نیست و تنها بخشی از سیستم عاملهای مایکروسافت و لینوکس ردهت را تحت پوشش قرار میدهد.

دیگر موسسه فعال در این زمینه  موسسه IASE است که استانداردهای ایمن سازی مختلفی را برای سیستم عاملها دسکتاپ و موبایل ارائه میکند. استانداردهای موسسه IASE با فرمت XML در اختیار مشتریان قرار میگیرد که با استفاده از نرم افزار STIG Viewer ارائه شده توسط این شرکت امکان مطالعه و بهره گیری از استانداردهای این موسسه فراهم است.

در زمینه مقاوم سازی سیستم عاملها، شرکت مایکروسافت نیز سالها پیش ابزار رایگان مایکروسافت بیسلاین (Microsoft Baseline) را ارائه داده است که با اسکن سیستم عامل و بررسی تنظیمات انجام گرفته توصیه هایی را به کاربر برای بهبود سطح امنیتی سیستم عامل انجام میدهد. از جمله توصیه های ابزار مایکروسافت بیسلاین میتوان به تنظیمات آپدیت سیستم عامل و برنامه های اجرایی متعلق به این شرکت همچون آفیس و مایکروسافت اس کیو ال  سرور و تنظیمات رمزهای عبور مختلف سیستم اشاره کرد. با توجه به عدم پشتیبانی این ابزار بعد از سال ۲۰۱۳ توسط مایکروسافت و عدم پوشش وسیع تنظیمات بخشهای مختلف سیستم عامل، تنها مزیت استفاده از این ابزار نسبت به دیگر رقبا راحتی استفاده و رایگان بودن این ابزار است.

نکته مهم در استفاده و بکارگیری استانداردهای مختلف ارائه شده توسط شرکتهای مختلف انطباق نیازهای موسسه هدف با نحوه بکارگیری و بهره مندی از این سیاست های ایمن سازی است. مسلما شرکتهای مختلف با توجه به نیازهای خاص خود باید به بومی سازی این استانداردها برای حصول بهترین نتایج اقدام کنند.