انتخاب چارچوب امنیت سایبری برای بهبود امنیت زیرساخت‌های حیاتی

مفاهیم امنیت شبکه
ارسال شده توسط
26 مارس 2021
269 بازدید

چارچوب امنیت سایبری

کشورهای پیشرفته از جمله آمریکا و کشورهای اروپایی، وابسته به عملکرد صحیح و قابل اعتماد زیرساخت‌های حیاتی خود می‌باشند. در حال حاضر تهدیدات امنیتی با بهره‌گیری از افزایش پیچیدگی‌ها و اتصالات سیستم‌های حیاتی، امنیت، اقتصاد و سلامت عمومی ملت‌ها را در معرض خطر قرار می‌دهند. مشابه مخاطرات مالی و اعتباری، مخاطرات سایبری نیز عملکرد شرکت‌ها را تحت تاثیر مستقیم خود قرار می‌دهند. مخاطرات امنیتی می‌تواند هزینه‌ها را به شدت افزایش داده و بر درآمد سازمان‌ها تاثیر منفی داشته باشد. این موضوع همچنین می‌تواند به توانایی سازمان‌ها برای داشتن ابتکار عمل و نوآوری و بدست آوردن و نگهداری مشتریانش تاثیر بگذارد. بنابراین داشتن چارچوبی برای امنیت سایبری می‌تواند یک مولفه مهم و تقویت کننده برای مدیریت ریسک کلی سازمان باشد.

دولت آمریکا برای تقویت انعطاف پذیری زیرساخت‌های امنیتی خود با الزام قانون “تقویت امنیت سایبری” در سال 2014 (CEA)، نقش موسسه ملی استاندارد و فناوری (NIST) را برای تسهیل و حمایت از “توسعه چارچوب‌های امنیت سایبری” مشخص کرد. به واسطه الزام قانون CEA، موسسه NIST ملزم به شناسایی یک رویکرد اولویت‌بندی شده، انعطاف پذیر، قابل تکرار، مبتنی بر عملکرد و مقرون به صرفه، شامل معیارها و کنترل‌های امنیتی شد که می‌تواند به طور داوطلبانه توسط صاحبان و مجریان زیرساخت‌های مهم و حیاتی برای کمک به شناسایی، ارزیابی و مدیریت ریسک‌های سایبری مورد استفاده قرار گیرد. این کار به اقدامات قبلی NIST برای توسعه Framework نسخه 1.0 تحت دستورالعمل اجرایی 13636 برای “بهبود امنیت سایبری زیرساخت‌های حیاتی” در فوریه 2013 رسمیت بخشید و راهنمایی لازم برای تکامل چارچوب امنیتی در آینده توسط موسسه NIST را فراهم کرد.

قانون پاتریوت

زیرساخت‌های حیاتی در قانون پاتریوت ایالات متحده در سال 2001، به عنوان سیستم‌ها و دارایی‌هایی تعریف شده‌اند که برای ایالات متحده آنچنان حیاتی هستند که ناتوانی یا نابودی این سیستم‌ها و دارایی‌ها تأثیرات سوء بر امنیت، اقتصاد ملی، بهداشت عمومی یا امنیت ملی خواهد گذاشت. با ارائه چارچوب امنیت سایبری توسط NIST و با توجه به فشارهای روز افزون تهدیدات خارجی و داخلی، سازمان‌هایی که مسئول زیرساخت‌های حیاتی هستند، متعهد شدند که رویکردی سازگار و تکرار شونده در شناسایی، ارزیابی و مدیریت ریسک‌های امنیت سایبری داشته باشند. این رویکرد بدون توجه به اندازه سازمان، قرار گرفتن یا نگرفتن در معرض تهدیدات امنیتی، یا میزان پیچیدگی امنیت سایبری امری ضروری است.

جامعه مربوط به زیرساخت‌های حیاتی نیز شامل مالکان و اپراتورهای دولتی و خصوصی و نهادهای دیگری می‌شوند که در تامین زیرساخت‌های ملی نقش دارند. اعضای هر بخش از زیرساخت حیاتی کارهایی را که توسط دسته وسیعی از فناوری از جمله فناوری اطلاعات (IT)، سیستم‌های کنترل صنعتی (ICS)، سیستم‌های فیزیکی سایبری (CPS) و دستگاه‌های متصل عمومی مانند اینترنت اشیا پشتیبانی می‌شوند را انجام می‌دهند. این اعتماد به فناوری، ارتباطات یک طرفه و متقابل، آسیب پذیری‌های بالقوه را تغییر و گسترش داده و باعث افزایش خطرات بالقوه عملیاتی شده است.

برای مدیریت ریسک امنیت سایبری، داشتن درک صحیح از عوامل تجاری سازمان و ملاحظات امنیتی ویژه استفاده سازمان از فناوری‌های مختلف، امری ضروری است. از آنجایی که خطرات، سیستم‌ها و الویت‌های سازمان‌ها منحصربه‌فرد است، بنابراین ابزارها و متدهای استفاده شده برای دستیابی به خروجی‌های توصیف شده در چارچوب امنیتی نیز متفاوت خواهد بود.

حریم خصوصی و آزادی‌های مدنی و اجتماعی

چارچوب‌های امنیت سایبری با آگاهی از نقش حفاظت از “حریم خصوصی و آزادی‌های اجتماعی افراد” در ایجاد اعتماد بیشتر مردم به فناوری‌های جدید، در صورت انجام فعالیت‌های امنیت سایبری در سازمان‌های زیرساخت حیاتی، روشی برای محافظت از حریم خصوصی افراد و آزادی‌های اجتماعی ارایه می‌دهد. بسیاری از سازمان‌ها در حال حاضر فرآیندهایی برای پرداختن به حریم خصوصی و آزادی‌های اجتماعی و مدنی افراد نیز دارند. یکپارچه سازی حریم خصوصی و امنیت سایبری می‌تواند با افزایش اعتماد مشتریان، ایجاد امکان اشتراک گذاری استاندارد اطلاعات و ساده‌سازی عملیات در بین رژیم‌های قانونی مختلف، منافع قابل توجهی برای سازمان‌ها داشته باشد.

با توجه به توضیحات بالا، چارچوب‌های امنیت سایبری همیشه برای کمک به کاهش ریسک‌های امنیتی کارآمد بوده و از نوآوری‌های فنی پشتیبانی می‌کنند. این چارچوب‌ها از نظر فناوری خنثی و در عین حال به انواع استانداردها، دستورالعمل‌ها و روش‌های موجود با پیشرفت تکنولوژی نیز توجه می‌کنند. ابزارها و روش‌های موجود برای دستیابی به نتایج مورد انتظار با تکیه بر استانداردهای جهانی، دستورالعمل‌ها و روش‌های توسعه یافته، مدیریت شده و به روز شده توسط صنعت، ماهیت جهانی ریسک‌های امنیت سایبری را تأیید و با پیشرفت‌های فناوری و الزامات تجاری تکامل می‌یابند. بنابراین با استفاده از استانداردهای موجود و در حال ظهور، کار پیشبرد توسعه محصولات، خدمات و روش‌های موثر که نیازهای بازار را برآورده می‌کند، امکان پذیر می‌شود. همچنین رقابت بازار باعث گسترش سریع این فناوری‌ها و روش‌ها و تحقق منافع بسیاری از ذینفعان در این بخش‌ها می‌شود.

چارچوب امنیت سایبری با استفاده از این استانداردها، دستورالعمل‌ها و روش‌ها، طبقه بندی و مکانیزم مشترکی را برای سازمان‌ها فراهم می کند تا:

  • وضعیت امنیت سایبری فعلی خود را توصیف کنند.
  • یک وضعیت امنیت سایبری برای آینده خود در نظر بگیرند.
  • سازمان‌ها را قادر به شناسایی و الویت بندی فرصت‌های بهبود محتوای یک فرآیند مستمر و قابل تکرار می‌کند.
  • امکان ارزیابی میزان پیشرفت به سمت وضعیت هدف را میسر می‌سازد.
  • در مورد موضوعات مربوط به ریسک‌های امنیت سایبری بین ذینفعان داخلی و خارجی ارتباط برقرار می‌کند.

4 مورد از چارچوب‌های امنیتی برتر

در حال حاضر بسیاری از سازمان‌ها موضوع امنیت سایبری را در اولویت کاری خود قرار داده‌اند. همچنین امروزه نیاز به اجرای استراتژی‌های موثر امنیت سایبری بیشتر احساس می‌شود. از آنجایی که مجرمان سایبری به طور مداوم از تکنیک‌های پیچیده‌تری برای انجام حملات خود استفاده می‌کنند. این موضوع منجر به توسعه چاچوب‌های امنیتی به منظور کمک به سازمان‌ها برای داشتن برنامه‌های امنیتی قوی برای مقابله با آنها شده است. علاوه براین کسب و کارها نیز برای بالا بردن و بهبود وضعیت امنیتی خود باید بر روی انواع چارچوب‌های امنیتی اشراف کامل داشته باشند. به طور کلی چارچوب‌های امنیت سایبری به ساختارهای تعریف شده‌ای شامل فرآیندها، روش‌ها و فناوری‌هایی گفته می‌شود که سازمان‌ها می‌توانند برای ایمن‌سازی سیستم‌های شبکه‌ای و کامپیوتری در برابر تهدیدات امنیتی از آنها استفاده کنند.

ISO IEC 27001/ISO 27002

چارچوب امنیت سایبری ISO 27001 متشکل از استانداردهای بین المللی است که الزامات لازم برای مدیریت سیستم‌های ISMS (سیستم‌های مدیریت امنیت اطلاعات) را مشخص می‌کند. ISO 27001 همچنین فرایندی ریسک محور ایجاد می‌کند که نیازمند اتخاذ تدابیری از طرف شرکت‌ها برای شناسایی تهدیدات امنیتی است که بر روی سیستم‌های اطلاعاتی آنها تأثیر می‌گذارد. برای رفع تهدیدات شناسایی شده، استانداردهای ISO 27001 کنترل‌های امنیتی مختلفی را توصیه می‌کند. بنابراین یک سازمان باید کنترل‌های مناسبی را انتخاب کند تا بتواند خطرات امنیتی را کاهش دهد و از امنیت خود در برابر تهدیدات مطمئن شود. به طور کلی چارچوب امنیتیISO 27001 از 114 کنترل امنیتی پشتیبانی می‌کند که در 14 گروه مختلف دسته بندی می‌شوند.

از طرف دیگر، چارچوب ISO 27002 از تعدادی استاندارد بین المللی تشکیل شده است که جزئیات مربوط به کنترل‌های امنیتی که سازمان‌ها باید برای مدیریت امنیت سیستم‌های اطلاعاتی خود استفاده کنند را بیان می‌کند. چارچوب امنیتی ISO 27002 برای استفاده در کنار ISO 27001 طراحی شده است. اکثر سازمان‌ها از هر دوی این چارچوب‌ها برای نشان دادن تعهد خود در رعایت الزامات مختلف قانونی استفاده می‌کنند. برخی از کنترل‌های امنیت اطلاعات توصیه شده در استاندارد ISO 27002 شامل سیاست‌هایی برای افزایش امنیت اطلاعات، کنترل‌هایی مانند مدیریت دارایی‌های IT، کنترل دسترسی برای نیازهای مختلف تجاری و مدیریت دسترسی کاربران و کنترل‌های امنیتی عملیاتی است.

NIST Cybersecurity Framework

چارچوب امنیت سایبری NIST برای پاسخ به دستورالعمل اجرایی 13636 ریاست جمهوری وقت آمریکا ارایه شد. هدف اصلی این دستورالعمل، ارتقا امنیت زیرساخت‌های حیاتی کشور در برابر حملات داخلی و خارجی است. با وجود این، بسیاری از سازمان‌های خصوصی نیز از این چارچوب برای تقویت دفاع سایبری خود استفاده می‌کنند. به طور خاص، NIST CSF پنج عملکرد اصلی را برای مدیریت ریسک‌های موجود در امنیت داده‌ها و اطلاعات توصیه می‌کند. این عملکردها عبارت‌اند از شناسایی، محافظت، تشخیص، پاسخگویی و بازیابی.

عملکرد شناسایی (Identify)، سازمان‌ها را در شناسایی خطرات امنیتی برای مدیریت دارایی‌ها، محیط کسب و کار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک راهنمایی می‌کند. عملکرد محافظت (Protect) نیز کنترل‌های امنیتی مورد نیاز برای حفاظت از سیستم‌های اطلاعاتی و داده‌ها تعریف می‌کند. این موارد شامل کنترل دسترسی، آموزش و آگاه سازی، امنیت داده‌ها، روش‌های حفاظت از اطلاعات و نگهداری از فناوری‌های محافظتی است. عملکرد تشخیص (Detect) نیز دستورالعمل‌هایی برای تشخیص ناهنجاری‌ها در سیستم های امنیتی، سیستم‌های نظارتی و شبکه‌ها برای کشف حوادث امنیتی از بین اتفاقات دیگر ارائه می‌دهد. عملکرد پاسخ (Reponse) شامل توصیه‌هایی برای برنامه‌ریزی جهت پاسخ به رویدادهای امنیتی، روش‌های کاهش ریسک، فرایندهای ارتباطی در جریان پاسخ به حوادث و فعالیت‌هایی برای بهبود انعطاف پذیری امنیت می‌باشد. در نهایت عملکرد بازیابی (Recovery) نیز دستورالعمل‌هایی را ارائه می‌دهد که سازمان‌ها می‌توانند از آنها برای بازگشت به حالت اولیه در حملات استفاده کند.

HIPAA

چارچوب امنیتی HIPAA شامل راهنمایی‌های مختلفی است که سازمان‌ها را قارد می‌سازد تا کنترل‌های امنیتی کافی برای امن کردن اطلاعات سلامتی کارمندان یا مشتریان خود پیاده سازی نمایند. استانداردهای HIPAA همچنین سازمان‌های حوزه سلامت که اطلاعات بیماران خود را ذخیره و نگهداری می‌کنند را ملزم به رعایت این استانداردها می‌کنند. این استانداردها از الزامات امنیتی مختلفی تشکیل شده‌اند که سازمان‌ها برای استفاده از آنها نیاز است به درک روشنی از نحوه پیاده‌سازی و استفاده از آنها برسند. این الزامات شامل آموزش کارمندان در تمام سطوح برای استفاده از بهترین روش‎‌ها برای جمع آوری و ذخیره سازی اطلاعات مربوط حوزه سلامت می‌شود. علاوه‌براین، HIPAA سازمان‌ها را ملزم به ایجاد و نگهداری از فرآیندهایی مناسب برای ارزیابی ریسک‌های امنیتی نیز می‌نماید. همچنین فرایند ایجاد شده باید شامل روش‌هایی برای مدیریت ریسک‌های شناسایی شده نیز باشد.

GDPR

چارچوب امنیتی GDPR یکی از آخرین چارچوب‌های امنیتی است که برای تأمین امنیت اطلاعات شخصی متعلق به شهروندان اروپایی وضع شده است. قواعد مربوط به این چارچوب شامل مجموعه‌ای از الزامات امنیتی است که همه سازمان‌ها در مناطق مختلف جهان ملزم به اجرا و رعایت آنها می‌باشند. با توجه به اینکه برای عدم رعایت موارد قانونی مجازات‌های سنگینی در نظر گرفته شده است به همین دلیل اکثر شرکت‌ها مجبور به رعایت این الزامات می‌باشند. به طور کلی الزامات GDPR شامل اجرای کنترل‌های امنیتی مناسب برای محدود کردن دسترسی‌ غیر مجاز به داده‌های ذخیره شده افراد می‌شود. کنترل‌های دسترسی شامل اقداماتی مانند کنترل دسترسی با امتیازات محدود، نقش محور و همراه با احراز هویت چند عاملی می‌شود. شرکت‌ها یا وب سایت‌ها نیز باید قبل از استفاده از داده‌های مربوط به شهروندان اروپایی برای مقاصدی مانند بازاریابی یا تبلیغات، باید رضایت مالک آن را کسب کنند.

اشتراک گذاری:

دیدگاهتان را بنویسید