خدمات امنیت اطلاعات

محافظت از شرکت و دارایی‌های آن | مدیریت خطرات | ارائه راهکار | طبقه بندی اطلاعات | سازمان امنیت | آموزش امنیت

امنیت اطلاعات به معنای حفاظت از اطلاعات و سیستم‌های اطلاعاتی از دسترسی و استفاده غیر مجاز، افشای اطلاعات، اختلال در سیستم و اطلاعات، اصلاح یا تخریب است.

مدیریت امنیت اطلاعات، فرایند تعریف کنترل‌های امنیتی برای محافظت از دارایی‌های اطلاعاتی است. اولین اقدام یک برنامه مدیریتی برای اجرای امنیت اطلاعات این است که یک برنامه امنیتی داشته باشد.

اصول کلی امنیت اطلاعات:

سه اصل اساسی امنیت عبارتند از در دسترس بودن، یکپارچگی و محرمانه بودن و به طور معمول به عنوان CIA یا AIA سه گانه اشاره می‌شود که همچنین هدف اصلی هر برنامه امنیتی را تشکیل می‌دهند. سطح امنیت مورد نیاز برای تحقق این اصول برای هر شرکت متفاوت است، زیرا هر کدام دارای ترکیبی منحصر به فرد از اهداف و الزامات کسب و کار و امنیت است.

اهداف برنامه امنیت:

  • محافظت از شرکت و دارایی‌های آن
  • مدیریت خطرات با شناسایی دارایی‌ها، کشف تهدیدها و برآورد خطر
  • ارائه راهکار برای فعالیت‌های امنیتی به وسیله ساخت سیاست‌های امنیت اطلاعات، روش‌ها، استانداردها، دستورالعمل‌ها و خط مشی‌ها
  • طبقه بندی اطلاعات
  • سازمان امنیت
  • آموزش امنیت

امنیت اطلاعات

مسئولیت‌های مدیریت امنیت:

  • تعیین اهداف، دامنه، سیاست‌ها، که انتظار می‌رود از یک برنامه امنیتی انجام شود.
  • ارزیابی اهداف کسب و کار، خطرات امنیتی، بهره وری کاربر و الزامات عملکرد
  • مراحل را تعریف کنید تا اطمینان حاصل کنید که تمام موارد فوق به حساب می‌آیند و به طور صحیح مشخص شده‌اند

رویکردهای ساخت یک برنامه امنیتی:

  • رویکرد بالا به پایین:
  • شروع، حمایت و هدایت از مدیریت ارشد می‌آید و راه خود را از طریق مدیریت میانه و سپس کارکنان به کار می‌گیرد.
  • درمان به عنوان بهترین رویکرد است، اما به نظر می‌رسد که مبتنی بر این است که من بیشتر پرداخت می‌کنم بنابراین من باید بیشتر در مورد انواع عقاید بدانم.
  • اطمینان حاصل می‌کند که مدیران ارشد که در نهایت مسئول حفاظت از دارایی‌های شرکت هستند، برنامه ریزی می‌کنند
  • رویکرد پایین به بالا:
  • تیم پایین تر از یک کنترل امنیتی یا یک برنامه بدون پشتیبانی و هدایت مناسب مدیریت می‌آید.
  • اغلب کم اثرتر و محکوم به شکست است به دلیل نقص در تفکر عنوان شده در بالا “من پول بیشتر پرداخت می‌کنم من باید بیشتر درباره همه چیز بدانم.”
برنامه امن

Young hacker in data security concept

کنترل‌های امنیتی:

کنترل‌های امنیتی می‌توانند در سه گروه طبقه بندی شوند:

کنترل‌های اداری که شامل موارد زیر است:

  • توسعه و انتشار سیاست‌ها، استانداردها، رویه‌ها و دستورالعمل‌ها
  • نمایش کارکنان
  • هدایت کردن آموزش آگاهی امنیتی
  • پیاده سازی روش‌های کنترل تغییر

کنترل‌های فنی و منطقی که شامل موارد زیر است:

  • پیاده سازی و نگهداری مکانیزم‌های کنترل دسترسی
  • رمز عبور و مدیریت منابع
  • روش شناسایی و تأیید اعتبار
  • دستگاه‌های امنیتی
  • پیکربندی زیرساخت

کنترل‌های فیزیکی شامل موارد زیر:

  • کنترل دسترسی شخصی به تسهیلات و ادارات مختلف
  • قفل کردن سیستم‌ها و حذف فلاپی یا CD-ROM غیر ضروری
  • حفاظت از محیط کارخانه
  • نظارت برای نفوذ
  • کنترل محیطی

عناصر امنیتی:

آسیب پذیری:

  • این ضعف نرم افزار، سخت افزار یا رویه است که ممکن است درب باز را برای یک مهاجم فراهم کند، کسی که به دنبال ورود به یک کامپیوتر یا شبکه و دسترسی غیر مجاز به منابع در محیط است
  • آسیب پذیری مشخص کننده فقدان یا ضعف حفاظتی است که می‌تواند مورد سوء استفاده قرار گیرد
  • به عنوان مثال: یک سرویس در حال اجرا بر روی یک سرور، برنامه‌های کاربردی ناخواسته یا نرم افزار سیستم عامل، دسترسی به شماره گیری مودم نامحدود، پورت باز در فایروال، عدم امنیت فیزیکی و غیره

تهدید:

  • هر گونه خطر بالقوه برای اطلاعات یا سیستم‌ها
  • تهدید یک امکان است که کسی (فرد، S / W) آسیب پذیری را شناسایی و از آن بهره برداری کند
  • نهادی که از آسیب پذیری استفاده می‌کند، به عنوان یک عامل تهدید شناخته می‌شود. به عنوان مثال: عامل تهدید می‌تواند یک مزاحم برای دسترسی به شبکه از طریق یک پورت در فایروال باشد

ریسک:

  • خطر این احتمال است یک عامل تهدید از آسیب پذیری و تاثیرات مربوط به کسب و کار استفاده می‌کند
  • کاهش آسیب پذیری و / یا کاهش خطر ریسک
  • به عنوان مثال: اگر فایروال دارای چندین پورت باز باشد، احتمال بیشتری وجود دارد که یک نفوذگر از یکی برای دسترسی به شبکه در یک روش غیر مجاز استفاده کند

در معرض قرار گرفتن:

  • در معرض قرار گرفتن یک نمونه از در معرض زیان‌های ناشی از عامل تهدید قرار گرفتن است
  • آسیب پذیری یک سازمان را در معرض آسیب‌های احتمالی قرار می‌دهد
  • به عنوان مثال: اگر مدیریت رمز عبور ضعیف است و قوانین رمز عبور اجباری نیستند، این شرکت در معرض احتمال داشتن گذرواژه‌های کاربران است که توسط شیوه‌ای غیر مجاز مورد استفاده قرار می‌گیرد

مقابله یا حفاظت:

  • این یک برنامه یا تنظیمات S / W یا h / w یا یک روش است که خطر را کاهش می‌دهد
  • به عنوان مثال: مدیریت قوی رمز عبور، یک نگهدارنده امنیتی، مکانیزم کنترل دسترسی در یک سیستم عامل، پیاده سازی سیستم‌های ورودی / خروجی پایه (BIOS) و آموزش آگاهی از امنیت است

رابطه بین عناصر امنیتی:

  • به عنوان مثال: اگر یک شرکت دارای نرم افزار ضد ویروس است، اما اثرات ویروس را به روز نگه ندارد، این آسیب پذیری است. این شرکت به حملات ویروس آسیب پذیر است
  • تهدید این است که یک ویروس در محیط ظاهر شود و تولیدات را مختل کند
  • احتمال ابتلاء به ویروس در محیط و ایجاد آسیب آن خطر است
  • اگر یک ویروس در محیط شرکت نفوذ کند، آسیب پذیری مورد بهره برداری قرار گرفته است و این شرکت در معرض زیان است
  • اقدامات متقابل در این شرایط به روز رسانی نشانه‌ها و نصب نرم افزار آنتی ویروس روی کامپیوترها است

عامل تهدید به تهدیدها منجر می‌شود و آسیب پذیری منجر به خطر می‌شود.

می‌تواند به دارایی‌ها آسیب برساند و باعث می‌شود که قرار گرفتن در معرض آن از طریق حفاظتی مقابله شود.

سیاست‌ها:

سیاست امنیتی یک بیانیه کلی عمومی است که توسط مدیریت ارشد تهیه شده است (یا یک هیئت مدیره انتخابی یا کمیته انتخابی) که درمورد اینکه امنیت چه نقشی در سازمان بازی می‌کند را دیکته می‌کند.

انواع سیاست‌ها:

  • مقررات امنیتی: این نوع از سیاست‌ها تضمین می‌کند که سازمان استانداردهایی را که توسط مقررات صنعت خاص مطرح می‌شود را دنبال می‌کند. این نوع سیاست بسیار دقیق و خاص به نوع صنعت است. این در مؤسسات مالی، خدمات درمانی، خدمات عمومی و دیگر صنایع تحت نظارت دولتی مورد استفاده قرار می‌گیرد. به عنوان مثال: TRAI
  • مشاوره: این نوع سیاست به شدت به کارکنان توصیه می‌کند که کدام نوع رفتارها و فعالیت‌ها، باید و نباید در داخل سازمان قرار گیرد. همچنین در صورتیکه کارکنان با رفتارها و فعالیت‌های مشخص شده مطابقت نداشته باشند، ممکن است پیام‌های احتمالی را بیان کند. برای مثال، این نوع سیاست را می‌توان برای توصیف نحوه رسیدگی به اطلاعات پزشکی، انجام معاملات مالی یا پردازش اطلاعات محرمانه استفاده کرد.
  • آموزنده: این نوع سیاست، کارکنان را از موضوعات خاص مطلع می‌کند. این یک سیاست قابل اجرا نیست، زیرا آموزش افراد در مورد مسائل خاص مربوط به شرکت است. این می‌تواند توضیح دهد چگونه شرکت با شرکا، اهداف و مأموریت شرکت و ساختار گزارش کلی در شرایط مختلف همکاری می‌کند.

مسئولیت مجری امنیت اطلاعات در سازمان:

  • ارتباط ریسک با مدیریت اجرایی
  • بودجه برای فعالیت‌های امنیتی اطلاعات
  • اطمینان از توسعه سیاست‌ها، روش‌ها، مبانی استانداردها و دستورالعمل‌ها
  • توسعه و ارائه برنامه آگاهی رسانی امنیتی
  • درک اهداف تجاری
  • حفظ آگاهی از تهدیدات و آسیب پذیری‌های در حال ظهور
  • ارزیابی حوادث امنیتی و پاسخ
  • برنامه انطباق امنیتی را توسعه دهد
  • معیارهای امنیتی را تأیید کند
  • شرکت در جلسات مدیریت
  • اطمینان از پذیرش مقررات دولتی
  • کمک به حسابرسان داخلی و خارجی
  • آگاهی از فن آوری‌های در حال ظهور

برای حفظ امنیت داده‌ها و اطلاعات ابتدا باید اطلاعات را طبقه بندی کرد

  • پس از شناسایی اطلاعات برای حفاظت، لازم است که اطلاعات را با توجه به حساسیت آن به از دست دادن، افشا یا عدم دسترسی طبقه بندی و سازماندهی کرد
  • هدف اصلی طبقه بندی داده‌ها نشان دادن سطح حفاظت محرمانه بودن، صداقت و دسترسی مورد نیاز برای هر نوع مجموعه داده است.
  • طبقه بندی داده‌ها کمک می‌کند تا اطمینان حاصل شود که داده‌ها در شیوه‌ای مقرون به صرفه محافظت می‌شوند.
  • هر طبقه بندی باید دارای الزامات جداگانه و روش‌های مربوط به نحوه دسترسی، استفاده و تخریب داده‌ها باشد.

دستورالعمل برای طبقه بندی اطلاعات:

  • طبقه بندی نباید یک لیست طولانی باشد و نباید بیش از حد محدود و دقیق باشد.
  • هر طبقه بندی باید منحصر به فرد باشد و نباید هیچ پوششی داشته باشد.
  • فرایند طبقه بندی باید چگونگی اطلاعات و برنامه‌های کاربردی را در سراسر چرخه زندگی آن‌ها بررسی کند.

معیارهای طبقه بندی اطلاعات:

  • مفید بودن داده‌ها
  • مقدار داده‌ها
  • سن داده‌ها
  • سطح خسارت که می‌تواند ناشی از اطلاعات منتشر شده باشد
  • سطح خسارت که می‌تواند ناشی از اصلاح یا خراب شدن داده‌ها باشد
  • مسئولیت قانونی، نظارتی یا قراردادی برای حفاظت از داده‌ها
  • تأثیر اطلاعات بر امنیت ملی
  • چه کسی باید بتواند به داده‌ها دسترسی پیدا کند؟
  • چه کسی باید اطلاعات را حفظ کند
  • جایی که داده‌ها باید نگه داشته شوند
  • چه کسی باید بتواند داده‌ها را تکثیر کند؟
  • چه اطلاعاتی نیاز به برچسب و مارک مخصوص دارد
  • آیا رمزگذاری برای داده‌ها ضروری است؟
  • آیا تفکیک وظایف لازم است؟
  • کدام استراتژی پشتیبان مناسب است
  • کدام استراتژی بازیابی مناسب است.

امنیت در شبکه

نکته امنیتی:

سازمان باید اطمینان حاصل کند که هر کس از اطلاعات طبقه بندی پشتیبان گیری می‌کند و هر کسی که به داده‌های پشتیبان دسترسی داشته باشد، دارای سطح لازم پاکی می‌باشد. اگر تكنسین‌های كوچك و بدون تأیید امنیتی بتوانند در هنگام انجام وظایفشان به این اطلاعات دسترسی داشته باشند، می‌توانند خطر بزرگی را برای آن ایجاد كنند. پشتیبان گیری شامل تمام داده‌های شماست و ملاحظات مشابهی را از لحاظ خطر امنیتی به عنوان کل زیرساخت‌ها شامل می‌شود؛ زیرا دقیقا همان چیزی است که تنها در یک مکان واحد قرار دارد و اغلب به عنوان یک فایل واحد ذخیره می‌شود.

شرکت هوپاد در راستای ایجاد امنیت در سازمان‌ها و شرکت‌ها، راهکارهای زیر را پیشنهاد می‌کند:

۱٫جداسازی ترافیک اینترنت از شبکه داخلی

۲٫پیاده سازی راه حل‌های پشتیبان گیری

۳٫پیاده سازی متدهای امن سازی زیرساخت شبکه

۴٫راه حل‌های احراز هویت دو مرحله‌ای