انتخاب چارچوب امنیت سایبری برای بهبود امنیت زیرساختهای حیاتی
چارچوب امنیت سایبری
کشورهای پیشرفته از جمله آمریکا و کشورهای اروپایی، وابسته به عملکرد صحیح و قابل اعتماد زیرساختهای حیاتی خود میباشند. در حال حاضر تهدیدات امنیتی با بهرهگیری از افزایش پیچیدگیها و اتصالات سیستمهای حیاتی، امنیت، اقتصاد و سلامت عمومی ملتها را در معرض خطر قرار میدهند. مشابه مخاطرات مالی و اعتباری، مخاطرات سایبری نیز عملکرد شرکتها را تحت تاثیر مستقیم خود قرار میدهند. مخاطرات امنیتی میتواند هزینهها را به شدت افزایش داده و بر درآمد سازمانها تاثیر منفی داشته باشد. این موضوع همچنین میتواند به توانایی سازمانها برای داشتن ابتکار عمل و نوآوری و بدست آوردن و نگهداری مشتریانش تاثیر بگذارد. بنابراین داشتن چارچوبی برای امنیت سایبری میتواند یک مولفه مهم و تقویت کننده برای مدیریت ریسک کلی سازمان باشد.
دولت آمریکا برای تقویت انعطاف پذیری زیرساختهای امنیتی خود با الزام قانون “تقویت امنیت سایبری” در سال 2014 (CEA)، نقش موسسه ملی استاندارد و فناوری (NIST) را برای تسهیل و حمایت از “توسعه چارچوبهای امنیت سایبری” مشخص کرد. به واسطه الزام قانون CEA، موسسه NIST ملزم به شناسایی یک رویکرد اولویتبندی شده، انعطاف پذیر، قابل تکرار، مبتنی بر عملکرد و مقرون به صرفه، شامل معیارها و کنترلهای امنیتی شد که میتواند به طور داوطلبانه توسط صاحبان و مجریان زیرساختهای مهم و حیاتی برای کمک به شناسایی، ارزیابی و مدیریت ریسکهای سایبری مورد استفاده قرار گیرد. این کار به اقدامات قبلی NIST برای توسعه Framework نسخه 1.0 تحت دستورالعمل اجرایی 13636 برای “بهبود امنیت سایبری زیرساختهای حیاتی” در فوریه 2013 رسمیت بخشید و راهنمایی لازم برای تکامل چارچوب امنیتی در آینده توسط موسسه NIST را فراهم کرد.
قانون پاتریوت
زیرساختهای حیاتی در قانون پاتریوت ایالات متحده در سال 2001، به عنوان سیستمها و داراییهایی تعریف شدهاند که برای ایالات متحده آنچنان حیاتی هستند که ناتوانی یا نابودی این سیستمها و داراییها تأثیرات سوء بر امنیت، اقتصاد ملی، بهداشت عمومی یا امنیت ملی خواهد گذاشت. با ارائه چارچوب امنیت سایبری توسط NIST و با توجه به فشارهای روز افزون تهدیدات خارجی و داخلی، سازمانهایی که مسئول زیرساختهای حیاتی هستند، متعهد شدند که رویکردی سازگار و تکرار شونده در شناسایی، ارزیابی و مدیریت ریسکهای امنیت سایبری داشته باشند. این رویکرد بدون توجه به اندازه سازمان، قرار گرفتن یا نگرفتن در معرض تهدیدات امنیتی، یا میزان پیچیدگی امنیت سایبری امری ضروری است.
جامعه مربوط به زیرساختهای حیاتی نیز شامل مالکان و اپراتورهای دولتی و خصوصی و نهادهای دیگری میشوند که در تامین زیرساختهای ملی نقش دارند. اعضای هر بخش از زیرساخت حیاتی کارهایی را که توسط دسته وسیعی از فناوری از جمله فناوری اطلاعات (IT)، سیستمهای کنترل صنعتی (ICS)، سیستمهای فیزیکی سایبری (CPS) و دستگاههای متصل عمومی مانند اینترنت اشیا پشتیبانی میشوند را انجام میدهند. این اعتماد به فناوری، ارتباطات یک طرفه و متقابل، آسیب پذیریهای بالقوه را تغییر و گسترش داده و باعث افزایش خطرات بالقوه عملیاتی شده است.
برای مدیریت ریسک امنیت سایبری، داشتن درک صحیح از عوامل تجاری سازمان و ملاحظات امنیتی ویژه استفاده سازمان از فناوریهای مختلف، امری ضروری است. از آنجایی که خطرات، سیستمها و الویتهای سازمانها منحصربهفرد است، بنابراین ابزارها و متدهای استفاده شده برای دستیابی به خروجیهای توصیف شده در چارچوب امنیتی نیز متفاوت خواهد بود.
حریم خصوصی و آزادیهای مدنی و اجتماعی
چارچوبهای امنیت سایبری با آگاهی از نقش حفاظت از “حریم خصوصی و آزادیهای اجتماعی افراد” در ایجاد اعتماد بیشتر مردم به فناوریهای جدید، در صورت انجام فعالیتهای امنیت سایبری در سازمانهای زیرساخت حیاتی، روشی برای محافظت از حریم خصوصی افراد و آزادیهای اجتماعی ارایه میدهد. بسیاری از سازمانها در حال حاضر فرآیندهایی برای پرداختن به حریم خصوصی و آزادیهای اجتماعی و مدنی افراد نیز دارند. یکپارچه سازی حریم خصوصی و امنیت سایبری میتواند با افزایش اعتماد مشتریان، ایجاد امکان اشتراک گذاری استاندارد اطلاعات و سادهسازی عملیات در بین رژیمهای قانونی مختلف، منافع قابل توجهی برای سازمانها داشته باشد.
با توجه به توضیحات بالا، چارچوبهای امنیت سایبری همیشه برای کمک به کاهش ریسکهای امنیتی کارآمد بوده و از نوآوریهای فنی پشتیبانی میکنند. این چارچوبها از نظر فناوری خنثی و در عین حال به انواع استانداردها، دستورالعملها و روشهای موجود با پیشرفت تکنولوژی نیز توجه میکنند. ابزارها و روشهای موجود برای دستیابی به نتایج مورد انتظار با تکیه بر استانداردهای جهانی، دستورالعملها و روشهای توسعه یافته، مدیریت شده و به روز شده توسط صنعت، ماهیت جهانی ریسکهای امنیت سایبری را تأیید و با پیشرفتهای فناوری و الزامات تجاری تکامل مییابند. بنابراین با استفاده از استانداردهای موجود و در حال ظهور، کار پیشبرد توسعه محصولات، خدمات و روشهای موثر که نیازهای بازار را برآورده میکند، امکان پذیر میشود. همچنین رقابت بازار باعث گسترش سریع این فناوریها و روشها و تحقق منافع بسیاری از ذینفعان در این بخشها میشود.
چارچوب امنیت سایبری با استفاده از این استانداردها، دستورالعملها و روشها، طبقه بندی و مکانیزم مشترکی را برای سازمانها فراهم می کند تا:
- وضعیت امنیت سایبری فعلی خود را توصیف کنند.
- یک وضعیت امنیت سایبری برای آینده خود در نظر بگیرند.
- سازمانها را قادر به شناسایی و الویت بندی فرصتهای بهبود محتوای یک فرآیند مستمر و قابل تکرار میکند.
- امکان ارزیابی میزان پیشرفت به سمت وضعیت هدف را میسر میسازد.
- در مورد موضوعات مربوط به ریسکهای امنیت سایبری بین ذینفعان داخلی و خارجی ارتباط برقرار میکند.
4 مورد از چارچوبهای امنیتی برتر
در حال حاضر بسیاری از سازمانها موضوع امنیت سایبری را در اولویت کاری خود قرار دادهاند. همچنین امروزه نیاز به اجرای استراتژیهای موثر امنیت سایبری بیشتر احساس میشود. از آنجایی که مجرمان سایبری به طور مداوم از تکنیکهای پیچیدهتری برای انجام حملات خود استفاده میکنند. این موضوع منجر به توسعه چاچوبهای امنیتی به منظور کمک به سازمانها برای داشتن برنامههای امنیتی قوی برای مقابله با آنها شده است. علاوه براین کسب و کارها نیز برای بالا بردن و بهبود وضعیت امنیتی خود باید بر روی انواع چارچوبهای امنیتی اشراف کامل داشته باشند. به طور کلی چارچوبهای امنیت سایبری به ساختارهای تعریف شدهای شامل فرآیندها، روشها و فناوریهایی گفته میشود که سازمانها میتوانند برای ایمنسازی سیستمهای شبکهای و کامپیوتری در برابر تهدیدات امنیتی از آنها استفاده کنند.
ISO IEC 27001/ISO 27002
چارچوب امنیت سایبری ISO 27001 متشکل از استانداردهای بین المللی است که الزامات لازم برای مدیریت سیستمهای ISMS (سیستمهای مدیریت امنیت اطلاعات) را مشخص میکند. ISO 27001 همچنین فرایندی ریسک محور ایجاد میکند که نیازمند اتخاذ تدابیری از طرف شرکتها برای شناسایی تهدیدات امنیتی است که بر روی سیستمهای اطلاعاتی آنها تأثیر میگذارد. برای رفع تهدیدات شناسایی شده، استانداردهای ISO 27001 کنترلهای امنیتی مختلفی را توصیه میکند. بنابراین یک سازمان باید کنترلهای مناسبی را انتخاب کند تا بتواند خطرات امنیتی را کاهش دهد و از امنیت خود در برابر تهدیدات مطمئن شود. به طور کلی چارچوب امنیتیISO 27001 از 114 کنترل امنیتی پشتیبانی میکند که در 14 گروه مختلف دسته بندی میشوند.
از طرف دیگر، چارچوب ISO 27002 از تعدادی استاندارد بین المللی تشکیل شده است که جزئیات مربوط به کنترلهای امنیتی که سازمانها باید برای مدیریت امنیت سیستمهای اطلاعاتی خود استفاده کنند را بیان میکند. چارچوب امنیتی ISO 27002 برای استفاده در کنار ISO 27001 طراحی شده است. اکثر سازمانها از هر دوی این چارچوبها برای نشان دادن تعهد خود در رعایت الزامات مختلف قانونی استفاده میکنند. برخی از کنترلهای امنیت اطلاعات توصیه شده در استاندارد ISO 27002 شامل سیاستهایی برای افزایش امنیت اطلاعات، کنترلهایی مانند مدیریت داراییهای IT، کنترل دسترسی برای نیازهای مختلف تجاری و مدیریت دسترسی کاربران و کنترلهای امنیتی عملیاتی است.
NIST Cybersecurity Framework
چارچوب امنیت سایبری NIST برای پاسخ به دستورالعمل اجرایی 13636 ریاست جمهوری وقت آمریکا ارایه شد. هدف اصلی این دستورالعمل، ارتقا امنیت زیرساختهای حیاتی کشور در برابر حملات داخلی و خارجی است. با وجود این، بسیاری از سازمانهای خصوصی نیز از این چارچوب برای تقویت دفاع سایبری خود استفاده میکنند. به طور خاص، NIST CSF پنج عملکرد اصلی را برای مدیریت ریسکهای موجود در امنیت دادهها و اطلاعات توصیه میکند. این عملکردها عبارتاند از شناسایی، محافظت، تشخیص، پاسخگویی و بازیابی.
عملکرد شناسایی (Identify)، سازمانها را در شناسایی خطرات امنیتی برای مدیریت داراییها، محیط کسب و کار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک راهنمایی میکند. عملکرد محافظت (Protect) نیز کنترلهای امنیتی مورد نیاز برای حفاظت از سیستمهای اطلاعاتی و دادهها تعریف میکند. این موارد شامل کنترل دسترسی، آموزش و آگاه سازی، امنیت دادهها، روشهای حفاظت از اطلاعات و نگهداری از فناوریهای محافظتی است. عملکرد تشخیص (Detect) نیز دستورالعملهایی برای تشخیص ناهنجاریها در سیستم های امنیتی، سیستمهای نظارتی و شبکهها برای کشف حوادث امنیتی از بین اتفاقات دیگر ارائه میدهد. عملکرد پاسخ (Reponse) شامل توصیههایی برای برنامهریزی جهت پاسخ به رویدادهای امنیتی، روشهای کاهش ریسک، فرایندهای ارتباطی در جریان پاسخ به حوادث و فعالیتهایی برای بهبود انعطاف پذیری امنیت میباشد. در نهایت عملکرد بازیابی (Recovery) نیز دستورالعملهایی را ارائه میدهد که سازمانها میتوانند از آنها برای بازگشت به حالت اولیه در حملات استفاده کند.
HIPAA
چارچوب امنیتی HIPAA شامل راهنماییهای مختلفی است که سازمانها را قارد میسازد تا کنترلهای امنیتی کافی برای امن کردن اطلاعات سلامتی کارمندان یا مشتریان خود پیاده سازی نمایند. استانداردهای HIPAA همچنین سازمانهای حوزه سلامت که اطلاعات بیماران خود را ذخیره و نگهداری میکنند را ملزم به رعایت این استانداردها میکنند. این استانداردها از الزامات امنیتی مختلفی تشکیل شدهاند که سازمانها برای استفاده از آنها نیاز است به درک روشنی از نحوه پیادهسازی و استفاده از آنها برسند. این الزامات شامل آموزش کارمندان در تمام سطوح برای استفاده از بهترین روشها برای جمع آوری و ذخیره سازی اطلاعات مربوط حوزه سلامت میشود. علاوهبراین، HIPAA سازمانها را ملزم به ایجاد و نگهداری از فرآیندهایی مناسب برای ارزیابی ریسکهای امنیتی نیز مینماید. همچنین فرایند ایجاد شده باید شامل روشهایی برای مدیریت ریسکهای شناسایی شده نیز باشد.
GDPR
چارچوب امنیتی GDPR یکی از آخرین چارچوبهای امنیتی است که برای تأمین امنیت اطلاعات شخصی متعلق به شهروندان اروپایی وضع شده است. قواعد مربوط به این چارچوب شامل مجموعهای از الزامات امنیتی است که همه سازمانها در مناطق مختلف جهان ملزم به اجرا و رعایت آنها میباشند. با توجه به اینکه برای عدم رعایت موارد قانونی مجازاتهای سنگینی در نظر گرفته شده است به همین دلیل اکثر شرکتها مجبور به رعایت این الزامات میباشند. به طور کلی الزامات GDPR شامل اجرای کنترلهای امنیتی مناسب برای محدود کردن دسترسی غیر مجاز به دادههای ذخیره شده افراد میشود. کنترلهای دسترسی شامل اقداماتی مانند کنترل دسترسی با امتیازات محدود، نقش محور و همراه با احراز هویت چند عاملی میشود. شرکتها یا وب سایتها نیز باید قبل از استفاده از دادههای مربوط به شهروندان اروپایی برای مقاصدی مانند بازاریابی یا تبلیغات، باید رضایت مالک آن را کسب کنند.
دیدگاهتان را بنویسید