امنیت اطلاعات به معنای حفاظت از اطلاعات و سیستمهای اطلاعاتی از دسترسی و استفاده غیر مجاز، افشای اطلاعات، اختلال در سیستم و اطلاعات، اصلاح یا تخریب است.
مدیریت امنیت اطلاعات، فرایند تعریف کنترلهای امنیتی برای محافظت از داراییهای اطلاعاتی است. اولین اقدام یک برنامه مدیریتی برای اجرای امنیت اطلاعات این است که یک برنامه امنیتی داشته باشد.
اصول کلی امنیت اطلاعات:
سه اصل اساسی امنیت عبارتند از در دسترس بودن، یکپارچگی و محرمانه بودن و به طور معمول به عنوان CIA یا AIA سه گانه اشاره میشود که همچنین هدف اصلی هر برنامه امنیتی را تشکیل میدهند. سطح امنیت مورد نیاز برای تحقق این اصول برای هر شرکت متفاوت است، زیرا هر کدام دارای ترکیبی منحصر به فرد از اهداف و الزامات کسب و کار و امنیت است.
اهداف برنامه امنیت:
- محافظت از شرکت و داراییهای آن
- مدیریت خطرات با شناسایی داراییها، کشف تهدیدها و برآورد خطر
- ارائه راهکار برای فعالیتهای امنیتی به وسیله ساخت سیاستهای امنیت اطلاعات، روشها، استانداردها، دستورالعملها و خط مشیها
- طبقه بندی اطلاعات
- سازمان امنیت
- آموزش امنیت
مسئولیتهای مدیریت امنیت:
- تعیین اهداف، دامنه، سیاستها، که انتظار میرود از یک برنامه امنیتی انجام شود.
- ارزیابی اهداف کسب و کار، خطرات امنیتی، بهره وری کاربر و الزامات عملکرد
- مراحل را تعریف کنید تا اطمینان حاصل کنید که تمام موارد فوق به حساب میآیند و به طور صحیح مشخص شدهاند
رویکردهای ساخت یک برنامه امنیتی:
- رویکرد بالا به پایین:
- شروع، حمایت و هدایت از مدیریت ارشد میآید و راه خود را از طریق مدیریت میانه و سپس کارکنان به کار میگیرد.
- درمان به عنوان بهترین رویکرد است، اما به نظر میرسد که مبتنی بر این است که من بیشتر پرداخت میکنم بنابراین من باید بیشتر در مورد انواع عقاید بدانم.
- اطمینان حاصل میکند که مدیران ارشد که در نهایت مسئول حفاظت از داراییهای شرکت هستند، برنامه ریزی میکنند
- رویکرد پایین به بالا:
- تیم پایین تر از یک کنترل امنیتی یا یک برنامه بدون پشتیبانی و هدایت مناسب مدیریت میآید.
- اغلب کم اثرتر و محکوم به شکست است به دلیل نقص در تفکر عنوان شده در بالا “من پول بیشتر پرداخت میکنم من باید بیشتر درباره همه چیز بدانم.”
Young hacker in data security concept
کنترلهای امنیتی:
کنترلهای امنیتی میتوانند در سه گروه طبقه بندی شوند:
کنترلهای اداری که شامل موارد زیر است:
- توسعه و انتشار سیاستها، استانداردها، رویهها و دستورالعملها
- نمایش کارکنان
- هدایت کردن آموزش آگاهی امنیتی
- پیاده سازی روشهای کنترل تغییر
کنترلهای فنی و منطقی که شامل موارد زیر است:
- پیاده سازی و نگهداری مکانیزمهای کنترل دسترسی
- رمز عبور و مدیریت منابع
- روش شناسایی و تأیید اعتبار
- دستگاههای امنیتی
- پیکربندی زیرساخت
کنترلهای فیزیکی شامل موارد زیر:
- کنترل دسترسی شخصی به تسهیلات و ادارات مختلف
- قفل کردن سیستمها و حذف فلاپی یا CD-ROM غیر ضروری
- حفاظت از محیط کارخانه
- نظارت برای نفوذ
- کنترل محیطی
عناصر امنیتی:
آسیب پذیری:
- این ضعف نرم افزار، سخت افزار یا رویه است که ممکن است درب باز را برای یک مهاجم فراهم کند، کسی که به دنبال ورود به یک کامپیوتر یا شبکه و دسترسی غیر مجاز به منابع در محیط است
- آسیب پذیری مشخص کننده فقدان یا ضعف حفاظتی است که میتواند مورد سوء استفاده قرار گیرد
- به عنوان مثال: یک سرویس در حال اجرا بر روی یک سرور، برنامههای کاربردی ناخواسته یا نرم افزار سیستم عامل، دسترسی به شماره گیری مودم نامحدود، پورت باز در فایروال، عدم امنیت فیزیکی و غیره
تهدید:
- هر گونه خطر بالقوه برای اطلاعات یا سیستمها
- تهدید یک امکان است که کسی (فرد، S / W) آسیب پذیری را شناسایی و از آن بهره برداری کند
- نهادی که از آسیب پذیری استفاده میکند، به عنوان یک عامل تهدید شناخته میشود. به عنوان مثال: عامل تهدید میتواند یک مزاحم برای دسترسی به شبکه از طریق یک پورت در فایروال باشد
ریسک:
- خطر این احتمال است یک عامل تهدید از آسیب پذیری و تاثیرات مربوط به کسب و کار استفاده میکند
- کاهش آسیب پذیری و / یا کاهش خطر ریسک
- به عنوان مثال: اگر فایروال دارای چندین پورت باز باشد، احتمال بیشتری وجود دارد که یک نفوذگر از یکی برای دسترسی به شبکه در یک روش غیر مجاز استفاده کند
در معرض قرار گرفتن:
- در معرض قرار گرفتن یک نمونه از در معرض زیانهای ناشی از عامل تهدید قرار گرفتن است
- آسیب پذیری یک سازمان را در معرض آسیبهای احتمالی قرار میدهد
- به عنوان مثال: اگر مدیریت رمز عبور ضعیف است و قوانین رمز عبور اجباری نیستند، این شرکت در معرض احتمال داشتن گذرواژههای کاربران است که توسط شیوهای غیر مجاز مورد استفاده قرار میگیرد
مقابله یا حفاظت:
- این یک برنامه یا تنظیمات S / W یا h / w یا یک روش است که خطر را کاهش میدهد
- به عنوان مثال: مدیریت قوی رمز عبور، یک نگهدارنده امنیتی، مکانیزم کنترل دسترسی در یک سیستم عامل، پیاده سازی سیستمهای ورودی / خروجی پایه (BIOS) و آموزش آگاهی از امنیت است
رابطه بین عناصر امنیتی:
- به عنوان مثال: اگر یک شرکت دارای نرم افزار ضد ویروس است، اما اثرات ویروس را به روز نگه ندارد، این آسیب پذیری است. این شرکت به حملات ویروس آسیب پذیر است
- تهدید این است که یک ویروس در محیط ظاهر شود و تولیدات را مختل کند
- احتمال ابتلاء به ویروس در محیط و ایجاد آسیب آن خطر است
- اگر یک ویروس در محیط شرکت نفوذ کند، آسیب پذیری مورد بهره برداری قرار گرفته است و این شرکت در معرض زیان است
- اقدامات متقابل در این شرایط به روز رسانی نشانهها و نصب نرم افزار آنتی ویروس روی کامپیوترها است
عامل تهدید به تهدیدها منجر میشود و آسیب پذیری منجر به خطر میشود.
میتواند به داراییها آسیب برساند و باعث میشود که قرار گرفتن در معرض آن از طریق حفاظتی مقابله شود.
سیاستها:
سیاست امنیتی یک بیانیه کلی عمومی است که توسط مدیریت ارشد تهیه شده است (یا یک هیئت مدیره انتخابی یا کمیته انتخابی) که درمورد اینکه امنیت چه نقشی در سازمان بازی میکند را دیکته میکند.
انواع سیاستها:
- مقررات امنیتی: این نوع از سیاستها تضمین میکند که سازمان استانداردهایی را که توسط مقررات صنعت خاص مطرح میشود را دنبال میکند. این نوع سیاست بسیار دقیق و خاص به نوع صنعت است. این در مؤسسات مالی، خدمات درمانی، خدمات عمومی و دیگر صنایع تحت نظارت دولتی مورد استفاده قرار میگیرد. به عنوان مثال: TRAI
- مشاوره: این نوع سیاست به شدت به کارکنان توصیه میکند که کدام نوع رفتارها و فعالیتها، باید و نباید در داخل سازمان قرار گیرد. همچنین در صورتیکه کارکنان با رفتارها و فعالیتهای مشخص شده مطابقت نداشته باشند، ممکن است پیامهای احتمالی را بیان کند. برای مثال، این نوع سیاست را میتوان برای توصیف نحوه رسیدگی به اطلاعات پزشکی، انجام معاملات مالی یا پردازش اطلاعات محرمانه استفاده کرد.
- آموزنده: این نوع سیاست، کارکنان را از موضوعات خاص مطلع میکند. این یک سیاست قابل اجرا نیست، زیرا آموزش افراد در مورد مسائل خاص مربوط به شرکت است. این میتواند توضیح دهد چگونه شرکت با شرکا، اهداف و مأموریت شرکت و ساختار گزارش کلی در شرایط مختلف همکاری میکند.
مسئولیت مجری امنیت اطلاعات در سازمان:
- ارتباط ریسک با مدیریت اجرایی
- بودجه برای فعالیتهای امنیتی اطلاعات
- اطمینان از توسعه سیاستها، روشها، مبانی استانداردها و دستورالعملها
- توسعه و ارائه برنامه آگاهی رسانی امنیتی
- درک اهداف تجاری
- حفظ آگاهی از تهدیدات و آسیب پذیریهای در حال ظهور
- ارزیابی حوادث امنیتی و پاسخ
- برنامه انطباق امنیتی را توسعه دهد
- معیارهای امنیتی را تأیید کند
- شرکت در جلسات مدیریت
- اطمینان از پذیرش مقررات دولتی
- کمک به حسابرسان داخلی و خارجی
- آگاهی از فن آوریهای در حال ظهور
برای حفظ امنیت دادهها و اطلاعات ابتدا باید اطلاعات را طبقه بندی کرد
- پس از شناسایی اطلاعات برای حفاظت، لازم است که اطلاعات را با توجه به حساسیت آن به از دست دادن، افشا یا عدم دسترسی طبقه بندی و سازماندهی کرد
- هدف اصلی طبقه بندی دادهها نشان دادن سطح حفاظت محرمانه بودن، صداقت و دسترسی مورد نیاز برای هر نوع مجموعه داده است.
- طبقه بندی دادهها کمک میکند تا اطمینان حاصل شود که دادهها در شیوهای مقرون به صرفه محافظت میشوند.
- هر طبقه بندی باید دارای الزامات جداگانه و روشهای مربوط به نحوه دسترسی، استفاده و تخریب دادهها باشد.
دستورالعمل برای طبقه بندی اطلاعات:
- طبقه بندی نباید یک لیست طولانی باشد و نباید بیش از حد محدود و دقیق باشد.
- هر طبقه بندی باید منحصر به فرد باشد و نباید هیچ پوششی داشته باشد.
- فرایند طبقه بندی باید چگونگی اطلاعات و برنامههای کاربردی را در سراسر چرخه زندگی آنها بررسی کند.
معیارهای طبقه بندی اطلاعات:
- مفید بودن دادهها
- مقدار دادهها
- سن دادهها
- سطح خسارت که میتواند ناشی از اطلاعات منتشر شده باشد
- سطح خسارت که میتواند ناشی از اصلاح یا خراب شدن دادهها باشد
- مسئولیت قانونی، نظارتی یا قراردادی برای حفاظت از دادهها
- تأثیر اطلاعات بر امنیت ملی
- چه کسی باید بتواند به دادهها دسترسی پیدا کند؟
- چه کسی باید اطلاعات را حفظ کند
- جایی که دادهها باید نگه داشته شوند
- چه کسی باید بتواند دادهها را تکثیر کند؟
- چه اطلاعاتی نیاز به برچسب و مارک مخصوص دارد
- آیا رمزگذاری برای دادهها ضروری است؟
- آیا تفکیک وظایف لازم است؟
- کدام استراتژی پشتیبان مناسب است
- کدام استراتژی بازیابی مناسب است.
نکته امنیتی:
سازمان باید اطمینان حاصل کند که هر کس از اطلاعات طبقه بندی پشتیبان گیری میکند و هر کسی که به دادههای پشتیبان دسترسی داشته باشد، دارای سطح لازم پاکی میباشد. اگر تكنسینهای كوچك و بدون تأیید امنیتی بتوانند در هنگام انجام وظایفشان به این اطلاعات دسترسی داشته باشند، میتوانند خطر بزرگی را برای آن ایجاد كنند. پشتیبان گیری شامل تمام دادههای شماست و ملاحظات مشابهی را از لحاظ خطر امنیتی به عنوان کل زیرساختها شامل میشود؛ زیرا دقیقا همان چیزی است که تنها در یک مکان واحد قرار دارد و اغلب به عنوان یک فایل واحد ذخیره میشود.
شرکت هوپاد در راستای ایجاد امنیت در سازمانها و شرکتها، راهکارهای زیر را پیشنهاد میکند:
۱٫جداسازی ترافیک اینترنت از شبکه داخلی
۲٫پیاده سازی راه حلهای پشتیبان گیری
۳٫پیاده سازی متدهای امن سازی زیرساخت شبکه
۴٫راه حلهای احراز هویت دو مرحلهای
با ما در ارتباط باشید