مديريت امنيت اطلاعات با به حداقل رساندن تهديدات، اتلاف زمان و هزينه را براي نفوذگراني همچون تهديدكنندگان سايت اينترنتي وزارت نفت به ارمغان ميآورد.
به گزارش گرداب به نقل از ایسنا، "نويد نصيريزاده"، كارشناس، درباره طرح مديريت امنيت اطلاعات كه قرار است در ارتباط با سازمانها و ارگانهاي داخل كشور با تكيه بر توان داخل انجام شود، اظهار كرد: «قرار است بخشهاي آموزش، مشاوره، پيادهسازي و در نهايت مميزي از اين پس به صورت مشخص و طبق استانداردهاي مربوطه به وسیله شركتهاي داخلي صورت بگيرد و کلیه این فعالیتها با نظارت سازمان فناوري اطلاعات، خواهند بود.»او ادامه داد: «مديريت امنيت اطلاعات با به حداقل رساندن تهديدات، اتلاف زمان و هزينه را براي نفوذگراني همچون تهديدكنندگان سايت اينترنتي وزارت نفت به ارمغان ميآورد كه در نهايت نفوذها را ميكاهد.»
وي درباره ضرورت اجراي طرح مربوطه گفت: «ISMS در راستاي اقدام سه از راهبرد، دو سند افتا و سياستهاي كلي فضاي افتا در راستاي ابلاغ مقام معظم رهبري اجرايي شده است؛ چراكه در گذشته اين موضوع از سوی CBهاي بينالمللي صورت ميگرفت و با توجه به اهميت فضاي امنیت اطلاعات نياز بود كه CBهايي داخلي كار آموزش تا مميزي را انجام دهند تا ابعاد امنيت جديتر گرفته شود.»
او درباره اتخاذ استانداردهاي بومي در حوزه ISMS گفت: «سری استانداردهاي خانواده 27000 ISO به نوعي به وسیله سازمان ملی استاندارد بومي شده است و سازمان فناوری اطلاعات ایران نیز درصدد طراحی و ارائه دستورالعملهای مربوط به امنیت اطلاعات است.»
اين كارشناس همچنين درباره ضرورت اجراي آن تصريح كرد: «مزيت داشتن ISMS اين هست كه به امنیت از تمامي ابعاد نگاه ميكند و هرگونه مسيري براي نشت و از بین رفتن اطلاعات را جستوجو كرده و بهبود ميبخشد.»
نصيريزاده افزود: «هنر اين سيستم در جامعيت و تأکید بر رویکرد فرآیندگرای آن است؛ فرایندگرا از اين جهت كه استاندارد پشتوانهاي براي سامانه مديريت امنيت اطلاعات طرحريزي میكند كه هميشه سامانه را در 4 مرحله Plan ،Do ،Check ،Act تحلیل و بررسي ميکند و جامعیت از این نظر که درواقع به تمامي ابعاد امنيت توجه دارد و حاکی از آن است كه سازمان مربوطه، حداقلها را در حوزه امنيت پيادهسازي كرده است.»
او در پاسخ به اين سوال كه اخيرا شاهد برخي نفوذها به شبكههايي همچون سايتهاي اينترنتي وزارت نفت و وزارت علوم بودهايم، آيا اجراي ISMS ميتواند گامي در جهت به حداقل رساندن تهديدات به اين شكل باشد؟ گفت: «قطعا موثر خواهد بود، اما به شرطي كه پارامترها و اجزای آن درست طراحی شود، در حاليكه مدیران و کاربران هر سازمانی بايد پس زمينه ذهني داشته باشند كه امنيت هيچگاه به صورت صددرصد محقق نخواهد شد و اگر نفوذگر بخواهد، ميتواند به شبكهاي نفوذ كند ولي اجراي چنين اقداماتي ميتواند اتلاف زمان و هزينه را براي آنها به وجود آورد كه در نهايت ديگر به صرفه نفوذگر نخواهد بود كه براي دستيابي خود تلاش كند.»