استاندارد ایزو 13569: دستورالعمل‌های برنامه امنیت اطلاعات

استاندارد ایزو 13569 راهنمایی‌هایی را برای توسعه برنامه‌های امنیت اطلاعات برای مؤسسات در صنعت خدمات مالی ارائه می‌دهد. این استاندارد سیاست‌ها و عناصر ساختاری، حقوقی و نظارتی برای بررسی چنین برنامه‌هایی را مورد ارزیابی قرار می‌دهد و ملاحظاتی را برای اجرای کنترل‌های امنیتی و عناصر مورد نیاز برای مدیریت ریسک امنیت اطلاعات در یک موسسه خدمات مالی مورد بحث قرار می‌دهد.

این استاندارد توصیه‌هایی را ارائه می‌دهد که بر اساس در نظر گرفتن محیط کسب‌وکار و رویه‌های مؤسسات ایجاد می‌شود. همچنین مسائل مربوط به انطباق قانونی و مقرراتی که در طراحی و اجرای برنامه‌ها مورد توجه قرار می‌گیرد، مورد بحث قرار می‌گیرد.

تاریخچه استاندارد ایزو 13569

استاندارد ایزو ۱۳۵۶۹ توسعه‌دهندگان نرم‌افزار، شرکت‌ها و ادارات دولتی را در زمینه مدیریت خدمات مالی یاری می‌کند. افزایش سریع تعداد و ماهیت تراکنش‌های مالی از دهه ۱۹۹۰ باعث افزایش مقیاس و تحریف اعداد در صنعت مالی می‌شود که با اجرای استاندارد ایزو ۱۳۵۶۹، می‌توان به یک سیستم مالی پایدار در مجموعه‌ها دست یافت.

کمیته فنی ISO/TC 68 (خدمات مالی) و کمیته فرعی SC 2 (مدیریت امنیت و عملیات عمومی بانکی) این استاندارد را تدوین کردند. این نسخه را با بازنگری فنی، جایگزین نسخه دوم (ISO/TR 13569:1997) کردند.

اصول اولیه استاندارد ایزو ۱۳۵۶۹

اصول اولیه این استاندارد به شرح زیر است:

موضوع: این استاندارد دستورالعمل‌های اجرا و ارزیابی سیاست‌های امنیت اطلاعات در موسسات خدمات مالی را پوشش می‌دهد.

دامنه کاربرد: بر تعهدات امنیت اطلاعات شامل جنبه‌هایی از امنیت اطلاعات و شبکه در شیوه‌های مالی RM/RA تمرکز دارد.

بخش‌های تحت تأثیر: این استاندارد را به طور خاص برای مؤسسات مالی تدوین کرده‌اند.

مقررات مربوطه: استاندارد رایگان نیست و مفاد آن در دسترس عموم قرار ندارد. به همین دلیل نمی‌توانیم احکام خاصی را نقل کنیم.

ارتباط RM/RA: این استاندارد دستورالعملی است که معمولاً به آن ارجاع می‌شود و به عنوان منبعی برای اجرای برنامه‌های مدیریت امنیت اطلاعات در مؤسسات بخش مالی و به عنوان معیاری برای حسابرسی چنین برنامه‌هایی عمل می‌کند.

ضروریت استفاده از استاندارد ISO 13569

شیوه‌های کسب و کار مالی با معرفی کامپیوتر و فناوری‌های مبتنی بر شبکه تغییر کرده است. افزایش اعتماد به تراکنش‌های الکترونیکی نیاز به مدیریت امنیت فناوری اطلاعات و ارتباطات را تشدید کرده است. مقادیر چشمگیری از وجوه و اوراق بهادار به صورت روزانه توسط مکانیزم‌های ارتباط الکترونیکی که تحت سیاست‌های تجاری کنترل می‌شوند، منتقل می‌شود.

ارزش بالا و حجم چنین معاملاتی در یک محیط باز و متصل، صنعت مالی را در معرض پیامدهای بالقوه شدید قرار می‌دهد. شبکه‌های به‌هم‌پیوسته و افزایش تعداد و پیچیدگی دشمنان مخرب، این خطر را با پتانسیل تأثیرگذاری بر بانک‌ها و مشتریان آن‌ها تشدید می‌کند. و هنگامی که تراکنش‌های مالی شامل سیستم‌های پرداخت مهم سیستمی می‌شود، این عواقب ممکن است بر بازارهای مالی ملی و جهانی تأثیر منفی بگذارد.

ضروریت گسترش عملیات تجاری در این محیط‌ها و مدیریت ریسک، نیازمند یک برنامه امنیت اطلاعات سازمانی قوی و موثر است. مؤسسات مالی باید این برنامه‌ها را به شیوه‌ای جامع مدیریت کنند، همانطور که ریسک را از طریق رویه‌ها و توافق‌های تجاری تثبیت‌شده، برون‌سپاری دقیق وظایف، بیمه و استفاده از کنترل‌های امنیتی مناسب مدیریت می‌کنند. همچنین آن‌ها باید برنامه‌های امنیتی خود را برای رسیدگی به خطرات و الزامات در حال تغییر تحمیل شده توسط محیط قانونی و نظارتی ملی و بین‌المللی در حال توسعه طراحی کنند.

خطرات عدم استفاده از استاندارد ISO 13569

همانطور که توافقنامه بازل به ما هشدار می‌دهد، ریسک‌های عملیاتی، قانونی و نظارتی می‌توانند خطرات اعتباری و نقدینگی را ایجاد یا تشدید کنند. مدیریت این خطرات در برنامه امنیت اطلاعات یک مؤسسه مالی به مرکزیت تبدیل شده است. هر موسسه باید این ریسک‌ها را بر حسب فعالیت‌های تجاری خود تفسیر کند تا میزان مواجهه خود را درک کند.

خطرات عملیاتی، از جمله تقلب و فعالیت‌های مجرمانه، بلایای طبیعی و اقدامات تروریستی باید به دقت مورد توجه قرار گیرد. رویدادهای با احتمال کم، مانند سونامی که در دسامبر ۲۰۰۴ آسیا را درنورد و حملات تروریستی یازدهم سپتامبر ۲۰۰۱ به خدمات مالی در شهر نیویورک، اتفاق می‌افتد و باید برای آن برنامه‌ریزی شود.

این گزارش فنی برای استفاده توسط موسسات مالی در هر اندازه و انواعی که نیاز به استفاده از یک برنامه مدیریت امنیت اطلاعات محتاطانه و منطقی تجاری دارند در نظر گرفته شده است. همچنین راهنمایی‌های مفیدی به ارائه‌دهندگان خدمات به مؤسسات مالی می‌دهد و ممکن است به عنوان یک سند منبع برای مربیان و ناشران در خدمت صنعت مالی باشد.

اهداف استاندارد ISO 13569

اهداف این گزارش فنی به شرح زیر می‌باشند:

1. تعریف برنامه مدیریت امنیت اطلاعات.
2. ارائه خط‌مشی برنامه، سازماندهی و اجزای ساختاری مورد نیاز.
3. ارائه راهنمایی در مورد انتخاب کنترل‌های امنیتی که نمایانگر رویه تجاری محتاطانه مورد پذیرش در برنامه‌های مالی هستند.
4. اطلاع‌رسانی به مدیریت خدمات مالی در مورد نیاز به رسیدگی سیستماتیک به خطرات قانونی و نظارتی در برنامه مدیریت اطلاعات امنیتی خود.

لازم به ذکر است که این گزارش فنی به عنوان یک راه‌حل کلی برای همه مؤسسات خدمات مالی در نظر گرفته نشده است. تجزیه و تحلیل ریسک باید توسط هر سازمان به صورت جداگانه انجام شود و اقدامات مناسب برای آن انتخاب گردد. این گزارش فنی تنها به عنوان یک راهنمایی برای انجام این فرآیند ارائه می‌شود و راه‌حل‌های خاصی ارائه نمی‌دهد.

مزایای پیاده‌سازی استاندارد ISO 13569

با اخذ گواهینامه‌های ایزو، مزایای زیادی برای سازمان خود ایجاد می‌شود. به برخی از این موارد اشاره می‌کنیم:

1. افزایش اعتماد مشتریان و مصرف‌کنندگان.
2. افزایش کیفیت محصولات و خدمات.
3. کاهش ضایعات و تلفات در محصولات و خدمات و در نهایت کاهش هزینه‌ها.
4. صرفه‌جویی در مصرف مواد و افزایش سود.
5. برنامه‌ریزی و اجرای امور در قالب یک نظام بین‌المللی از پیش تعریف شده.
6. بهبود عملکرد، افزایش بهره‌وری و سرعت در امور.
7. کسب امتیاز در مناقصات، اخذ رتبه و رتبه‌بندی از سازمان‌های دولتی، ارائه مدارک برای صادرات.
8. استفاده از تبلیغات در هدرها، سایت شرکت و تمامی امور تبلیغاتی.