امروز: دوشنبه، 29 آبان 1396

» امنیت اطلاعات چیست؟

 

باور عمومی از واژه امنیت همواره متناظر با قفل و نرده و حصار بوده است. وقتی در مورد اطلاعات صحبت می کنیم اولین نکته ای که به خاطرمان می آید انبوهی از فایلهایی است که روی رایانه نگهداری می شود. وقتی صحبت از امنیت اطلاعات می شود ناخودآگاه به یاد رایانه، کلمه عبور، اسم رمز، قفل های سخت افزاری و نرم افزاری و نرم افزارهای دیوار آتش و نظایر آن می افتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعه ای از داده ها که دارای معنی و هدف باشند اتلاق می شود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات می تواند به هر نوع از داده های معنی دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفته های شفاهی ما به یکدیگر را نیز پوشش دهد. حال بگذارید مقوله امنیت اطلاعات را با چندین پرسش مهم آغاز کنیم. ما برای چه اسناد مهم خود را در گاو صندوق نگهداری می کنیم؟ به چه دلیلی در اتاق بایگانی شرکتمان را قفل می کنیم؟ به چه دلیل برای ورود به رایانه خود کلمه عبور تعیین می کنیم؟ یا به چه دلیل رایانه خود را به طور منظم ویروس یابی می کنیم؟ واقعیت این است که ما به حفاظت از اطلاعات خود اهمیت می دهیم. زیرا این اطلاعات برای تصمیم‌گیری‌ها، قضاوتها، تحلیل‌ها، یادآوری خاطرات تلخ و شیرین و کاربدهای گوناگون در لحظات گوناگون زندگی ما لازم هستند. اگر اطلاعاتی که برای تصمیم‌گیری حساس به آن نیاز داریم اصلا در دسترس نباشد یا خیلی دیر به دست ما برسد چه تصمیمی خواهیم گرفت و چقدر می توان به موثر بودن نتایج آن تصمیم اطمینان داشت؟

بنابراین بر اساس تاریخ توافق شده جهانی، امنیت اطلاعات، به فرآیند حفاظت اطلاعات در برابر انواع کارهای غیرمجاز شامل دسترسی، استفاده، افشا، اختلال، تغییر، مطالعه، بازرسی، ضبط یا تخریب گفته می شود. مشاهده می کنیم که کارهای ذکرشده در این تعاریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر شما مجاز به دسترسی به اطلاعاتی باشید، دسترسی کاری مطلوب و مفید محسوب می شود که به تصمیم‌گیری‌های شما کمک می‌کند. یا اگر اطلاعات منسوخ یا قدیمی باید تخریب شود تا افراد تصمیم‌گیرنده را به اشتباه نیاندازد تخریب کاری مفید و مطلوب است. ولی هنگامی که واژه غیرمجاز را در مقابل هرکدام از این کارها قرار می‌دهیم، آن کاری نامطلوب و مضر به شمار می‌رود.

با همین تعبیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آنها را گرفته باشیم، در واقع کاری نامطلوب انجام داده‌ایم و تاثیر نامطلوبی بر تصمیمات کاری و زندگی نامطلوب آنها گذاشته‌ایم. بنابرآنچه تا اینجا گفته شد، می‌توان فهمید اولین کارهایی که در حوزه امنیت اطلاعات باید انجام دهیم به ترتیب اولویت عبارتند از:

  • شناسایی اطلاعات موردنظر
  • شناسایی کاربرد اطلاعات شناسایی شده
  • تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناسایی شده

حال که شناخت ما از اطلاعات و کاربرد آن و کارهای مجاز و غیرمجاز کامل شد، به ابتدای تعریف بالا دوباره نگاه می‌کنیم. امنیت اطلاعات یعنی حفاظت اطلاعات در برابر کارهای غیرمجاز بر روی آن اطلاعات. پس باید روش‌های برای پیش‌گیری و جلوگیری از انجام کارهای غیرمجاز تعیین کنیم و همچنین شیوه هایی مشخص کنیم که اگر برخی کارهای غیرمجاز انجام شد، چگونه واکنش نشان دهیم.

مدل درستی، محرمانگی، در دسترس بودن

این مدل پذیرفته شده جهانی برای تشریح مفاهیم پایه‌ای امنیت اطلاعات است. این مدل بر سه اصل استوار است:

  • درستی: یعنی جلوگیری از تغییرات نامطلوب در اطلاعات و یا به صوت اتفاقی یا عمدی
  • محرمانگی: یعنی جلوگیری از لو رفتن اطلاعات به افراد نامرتبط، توسط افراد مجاز یا غیرمجاز، به صورت اتفاقی یا عمدی
  • در دسترس بودن: یهنی جلوگیری از قطع خدمات یا تخریب دارایی‌ها، به صورت اتفاقی یا عمدی

این مدل تمام جوانب تعریف بالا را در مورد امنیت اطلاعات پوشش می‌دهد.

آشنایی با برخی موضوعات مهم در امنیت اطلاعات

خط مشی امنیت اطلاعات

طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی امنیت در سازمان تعیین شود. خط مشی به ما می گوید به حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است. ما باید خود را برای چه نوع ریسکهایی آماده کنیم. چه خطراتی درستی، محرمانگی، و در دسترس بودن اطلاعات سازمان ما را تهدید می کند و کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟

ساختار امنیت اطلاعات

چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟ چه کمیته هایی باید تشکیل شود و چه مسئولانی باید تعیین شوند؟ آیا از مشاوران و صاحب نظران برای کمک در امور تخصصی استفاده می شود؟ بازبینی‌های دوره‌ای برای اطمینان از روشهای درست امنیت اطلاعات توسط چه کسانی و در چه دوره‌هایی انجام می‌شود؟ سیاستهای سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباطات با اطلاعات سازمان چیست؟

موضوعات امنیتی مرتبط با نیروی انسانی

آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟ آیا آنها از گزارشدهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقص‌های امنیتی، ویروس‌ها و ...) را یاد گرفته‌اند؟ آیا کارکنان به لحاظ امنیت اطلاعات مورد پذیرش قرار می‌گیرند؟ چه سطحی از گزینش برای هر شغل لازم است؟ آیا برای کارکنان تازه و کم تجربه، آموزش‌های خاص در ارتباط با امنیت اطلاعات در نظر گرفته می‌شود؟

امنیت فیزیکی و محیطی

آیا به مسائل زیر در سازمان توجه شده است؟

  • تعریف سطوح امنیت فیزیکی در سازمان
  • توجه به فضاها، دیوارها، مکانیزم‌های کنترلی، نگهبانی، نرده و حفاظ، سیستم‌های هشداردهنده، قفل‌ها و ...
  • توجه به شویه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و ...
  • توجه به سایر حوادث نظیر آتش‌سوزی، ترکیدگی لوله و ...
  • کنترل‌های ورود و خروج و عبور و مرور در سازمان
  • شرایط کار در محیط های امن
  • تعریف مسیرها و مکانهای ایزوله برای حمل و بارگیری
  • نصب و حفاظت از تجهیزات مهم
  • منابع تغذیه و منابع انرژی، برق اضطراری
  • امنیت کابل کشی‌ها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و ...)
  • تعمیرات و نگهداری تجهیزات
  • امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
  • سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
  • شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت

مدیریت ارتباطات و عملیات

آیا برای موارد زیر پیش بینی‌های لازم صورت گرفته و روشهای مناسبی تدوینت و اجرا می شو؟

  • کنترل خطاهای نرم افزارری
  • تهیه پشتیبان از اطلاعات
  • تهیه سوابق عملکرد افراد
  • تهیه سوابق خطاها
  • توافقنامه های تبادل اطلاعات و نرم افزارها
  • امنیت رسانه ها در حالت جابه جایی
  • امنیت در تجارت الکترونیکی
  • امنیت پست الکترونیکی
  • امنیت سیستم های الکترونیکی اداری
  • امنیت سیستم های در دسترس عمومی

کنترل دسترسی ها

دسترسی به اطلاعات همواره می تواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشد:

  • ثبت کاربران
  • مدیریت سطوح دسترسی کاربران
  • مدیریت و کاربرد اسامی رمز
  • بازنگری حقوق دسترسی کاربران
  • امنیت تجهیزات کاربر در غیاب کاربر
  • کنترل مسیرهای شبکه ای
  • اعتبارسنجی کاربران در اتصال از خارج از شبکه
  • اعتبار سنجی دستگاه های کاری
  • حفاظت درگاه های دسترسی از راه دور
  • جداسازی شبکه ها
  • کنترل اتصالات شبکه ای
  • کنترل مسیریابی شبکه ای
  • امنیت خدمات شبکه
  • روش ورود به سیستم عامل
  • شناسایی و اعتبارسنجی کاربر
  • محدودیت در زمان و مدت اتصال کاربر به شبکه
  • جداسازی سیستم های حساس

جمع بندی

همانگونه که در این مختصر دیدیم مقوله امنیت اطلاعات یک مقوله مهم، بسیا روسیع و پیچیده است که دستیابی به آن علاوه بر زیرساخت های بسیار حساس فرهنگی و آموزشهای متنوع ، نیازمند دانش روز درباره مدیریت اطلاعات، فناوری‌های پیشرفته، و استقرار سیستمهای مدیریتی است. زمینه های بسیار متنوعی که گوشه ای از آنها را در بالا دیدیم نشان از گستردگی و ارتباطات تار عنکبوتی پیچیده بین مقوله های مختلف انسانی، ساختاری، سازمانی، فناوری و مدیریتی در استقرار سیستم های مدیریت امنیت اطلاعات دارد. هر چه سازمان گسترده تر و اطلاعات و شویه های تبادل اطلاعات در آن متنوع تر و حساسیت اطلاعات آن بیشتر باشد، تضمین امنیت اطلاعات در آن به صورت تصاعدی مشکل تر خواهد بود. از این رو در استقرار سیستم های مدیریت امنیت اطلاعات، همواره توصیه می شود از رویرد گام به گام در شکستن پیچیدگی های سیستم به اجزای کوچکتر و قابل مدیریت تر و نیز از رویکرد اجرای پایلوت برای آزمودن سیستم در ابعاد کوچکتر استفاده شود.