در رسانه ها

گفتگو عصر ارتباط با حسین علی محمدی مدیر عامل شرکت طلایه داران شبکه آذربایجان در رابطه با ISMS

گفتگو عصر ارتباط با حسین علی محمدی مدیر عامل شرکت طلایه داران شبکه آذربایجان در رابطه با ISMS
گفتگو عصر ارتباط با حسین علی محمدی مدیر عامل شرکت طلایه داران شبکه آذربایجان در رابطه با ISMS

لزوم استفاده از گواهینامهISMS توسط دستگاه‌ها و شرکت‌ها چیست و دستورالعمل اداری در این خصوص چیست؟

ISMS مخفف عبارتInformation Security Management System به معنای سیستم مدیریت امنیت است و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان‌ها ارائه می‌دهد. این استانداردها شامل مجموعه ای از دستورالعمل‌ها است تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن کند.

آیا امنیت گواهی شدن صددرصد است و چرا باید به پیاده سازی سیستم های امنیتی توجه داشت ؟

متاسفانه خیر. با پیشرفت علوم کامپیوتر و همچنین به وجود آمدن ابزار جدیدHack Crack و همچنین به وجود آمدن صدها مشکل ناخواسته در طراحی نرم افزار ها همیشه خطر حمله و دسترسی افراد غیر مجاز وجود دارد. در حال حاضر با تکنولوژی هایی که در دست داریم می‌توانیم ضریب امنیتی سازمان‌ها را افزایش و چالش‌های پیش رو را کاهش دهیم. دلیلی که برای این تهدیدات امنیتی در نظر گرفته می‌شود، این است که سازمانها بتوانند از خطراتی که توسط هکرهای سیار یا ارگان های متخاصم امکان بروز دارد، ایمن شده و در اصطلاح دسترسی ها و تخریب ها را سخت تر کنند.

 با توجه به اینکه شرکت شما در ارایه گواهی و پیاده سازی سیستم مدیریت امنیت اطلاعات(ISMS) در استان آذربایجان شرقی فعالیت دارد، تا کنون موفق به اجرای چند مورد شدید و استقبال چگونه است؟

البته با توجه به محدودیت‌های موجود در بحث گواهینامه ISMS و نحوه اجرای آن در قالب دستورالعمل ها و استانداردهای مطرح شده در آن حد کشور، خوشبختانه شرکت ما نحوه اجرای این گواهینامه را در قالب قراردادهای تست نفوذپذیری، بهینه سازی و اجرای پروژه های امنیتی و مانیتورینگ در شمال غرب کشور با سازمان‌های دولتی و غیردولتی بزرگ به اجرا درآورده است و ما موفق شده ایم که امنیت داشتن یک فضای امن ارتباطی در سازمان ها را در منطقه نشان دهیم و از طریق برگزاری سمینارها و جلساتPresent حضوری و ارائه پاسخ به پرسشهای مطرح شده از طرف رابطان انفورماتیک و در نهایت با عقد قراردادهای مربوطه، با موفقیت پروژه ها را به پایان برسانیم. از نمونه پروژه های اجرا شده می‌توان به اداره کل انتقال خون آذربایجان شرقی، سازمان جهاد کشاورزی، دانشگاه هنر اسلامی، اداره کل بهزیستی، شرکت موتورسازان تراکتورسازی تبریز، شرکت آهنگری تراکتورسازی، اداره کل بیمه سلامت اردبیل، شرکت توزیع برق استان، اداره کل اوقاف و امور خیریه، اداره کل نوسازی مدارس آذربایجان شرقی و… اشاره کرد. البته با توجه به سرمایه گذاری انجام شده توسط شرکت، امیدواریم در سال جاری بتوانیم استقبال خوبی در منطقه از سازمان‌های مربوطه داشته باشیم.

آیا در این خصوص موفق به اخذ پروانه از سازمان مربوطه شده اید و چه نوع گواهی نامه‌هایی را صادر می‌کنید؟

با توجه به سیاست‌های موجود از طرف سازمان فناوری اطلاعات ایران در بحث ISMS، شرکت های خصوصی فقط می توانند در قالب قراردادهای مشاوره نسبت به استانداردهای ISMS پیاده سازی شده در سازمانها نظارت کنند. بنابراین بیشتر شرکت‌های حاضر در حوزه امنیت شبکه در قالب قراردادهای تست نفوذپذیری، بهینه سازی و اجرای پروژه های امنیتی و مانیتورینگ در سازمان‌ها فعالیت می‌کنند. این شرکت در حوزه امنیت و فضای تبادل اطلاعات و دارای ۴ رتبه از شورای عالی انفورماتیک (سازمان مدیریت و برنامه‌ریزی کشور) است .

. در خصوص استانداردی که در پیاده سازی استفاده می کنید و مراحل ایجاد آن و کنترل هایی که در این خصوص صورت می‌پذیرد، توضیح دهید

گواهی نامه ISMS یک سند راهبردی بین المللی است که در کشور ما متخصصان توانستند این استانداردها را با شرایط کشورمان منطبق کنند. ما با استفاده از ابزارهایی که در اختیار داریم برای هر سازمان یک سند راهبردی و یک مسیر پروژه تعریف می کنیم که از این طریق ریسک ها و چالش‌های پروژه برای سازمان و متخصصین ما مشخص می شود. با انجام تست نفوذ تهدید‌های پیش‌رو از داخل و خارج سازمان را مشخص می‌کنیم و با ارائه راهکارهای مبارزه با این تهدیدات و ممیزی کاربران شبکه، سعی در اجرای استانداردهای ISMS داریم، نمونه ای از دستورالعمل های مطرح شده در این بحث شامل تدوین سیاست امنیتی سازمان، ایجاد تشکیلات تامین امنیتی سازمان،دسته‌بندی سرمایه‌ها و تعبیه کنترل‌های لازم، امنیت پرسنل، امنیت فیزیکی، مدیریت ارتباطات، کنترل دسترسی، نگهداری و توسعه سیستم ها و پاسخگویی به نیازهای امنیتی می شود.

آیا استقبالی در این خصوص از سوی دستگاه‌ها صورت پذیرد و شما در خصوص این ارتباط چقدر موفق هستید؟

متاسفانه در سال‌های اخیر، سازمان‌ها با کاهش بودجه به ویژه در حوزهIT مواجه بوده اند، اما با بررسی‌های به عمل آمده می توان برآورد کرد که سازمانها در راستای افزایش ضریب امنیتی و تهیه نقشه راه در مسیر افزایش کارایی بخش فناوری اقدام های عملیاتی مشخص را در نظر دارند. شرکت ما از سال ۸۷ تصمیم به ورود به حوزه امنیت شبکه با فروش محصولات امنیتی آنتی ویروس و فایروال گرفت و از سال ۹۱ به صورت کاملا جدی نسبت به سرمایه‌گذاری در حوزه مربوطه تصمیم گرفت. می توان گفت با توقعاتی که من از شرکت و توانایی هایمان دارم، به موفقیت حدود ۷۰ درصدی رسیده ایم و این برای ما نقطه آغازین کار است و تصمیم جدی داریم تمامی اهدافمان در حوزهIT را تا سال ۹۵ اجرا کنیم.

 چالش‌هایی که سازمان‌ها و شرکت‌ها در دریافت این گواهینامه با آن مواجه هستند، چیست؟ در کل دغدغه آنها در خصوص پیاده‌سازی این سیستم چیست؟
چالش اول، نبود بودجه کافی در پیاده سازی راهکارهای امنیتی بعد از تست نفوذپذیری است. چون ابزارها و تجهیزاتی برای این گونه از پروژه ها مورد استفاده قرار می‌گیرد که بسیار گران و پرهزینه هستند. دومین دغدغه که همواره سازمان‌ها را با مشکل مواجه می‌کند، نبود اطمینان کافی به شرکتهای مجری در خصوص وجود تخصص کارکنان آن شرکت است که البته ما توانسته ایم با به کارگیری متخصصان این امر در حوزه‌های مربوط این دغدغه را کاهش دهیم. سومین دغدغه که بیشتر مسئولان و ماتیک با آن مواجه هستند، فقدان اهمیت دهی مدیران ورییسان سازمان مربوط به حوزهIT به ویژه بحث امنیتی است که این امر خود باعث طولانی شدن زمان قرارداد و اختصاص بودجه به این امر در سازمان است. چهارمین دغدغه مربوط به دیر کرد سیاست های اعمال شده از طرف سازمان های از تهران به سازمان‌های استان‌ها در خصوص اجرای قراردادها به صورت مستقل است.

چالش‌های پیش روی شرکت شما و شرکت‌های امنیتی در ارائه خدمات الکترونیکی و پیاده سازی سیاست های امنیتی چیست؟ 

در حال حاضر چالش‌هایی که می‌تواند سازمان شرکت‌های متخصص امنیتی را با مشکلات فراوان روبرو کند، نبود قانون کپی رایت و قوانین مشابه آن است. متاسفانه برای پیاده سازی ISMS ، استانداردهای تعریف شده سازمان فناوری اطلاعات هیچ سند راهبردی کاربردی در دست نیست که سازمان مطابق این سند سیستم های امنیتی را در کند. این امر خود دست و پا گیر سازمان‌ها در اجرای این گواهینامه‌ شده است.

چه راهکاری را برای اجرای این مهم پیش گرفته‌اید و بهترین راهکار را برای سایر شرکت‌های فعال در این حوزه را در چه می دانید؟

برای رفع چالش ها، راهکارهایی از قبیل محدودیت عملیاتی (تعیین Scopeپیاده‌سازی گواهینامه) برآورد دارایی‌ها و طبقه‌بندی ارزیابی مخاطرات، مدیریت مخاطرات و کنترل ها مناسب است.

گفتگو عصر ارتباط با حسین علی محمدی مدیر عامل شرکت طلایه داران شبکه آذربایجان در رابطه با ISMS

اردیبهشت ماه 1392  – حسین علی محمدی (Hossein Alimohammadi)

حسین علی محمدی - Hossein Alimohammadi ]

دیدگاهتان را بنویسید