English English

خدمات امنیت اطلاعات

محافظت از شرکت و دارایی های آن | مدیریت خطرات | ارائه راهکار| طبقه بندی اطلاعات | سازمان امنیت | آموزش امنیت

امنیت اطلاعات به معنای حفاظت از اطلاعات و سیستم های اطلاعاتی از دسترسی غیرمجاز، استفاده، افشا، اختلال، اصلاح یا تخریب است.

مدیریت امنیت اطلاعات فرایند تعریف کنترل های امنیتی برای محافظت از دارایی های اطلاعاتی است.اولین اقدام یک برنامه مدیریتی برای اجرای امنیت اطلاعات این است که یک برنامه امنیتی داشته باشد.

اصول کلی امنیت اطلاعات:

سه اصل اساسی امنیت عبارتند از در دسترس بودن، یکپارچگی و محرمانه بودن و به طور معمول به عنوان CIA یا AIA سه گانه اشاره می شود که همچنین هدف اصلی هر برنامه امنیتی را تشکیل می دهند.سطح امنیت مورد نیاز برای تحقق این اصول برای هر شرکت متفاوت است، زیرا هر کدام دارای ترکیبی منحصر به فرد از اهداف و الزامات کسب و کار و امنیت است.

اهداف برنامه امنیت:

  • محافظت از شرکت و دارایی های آن
  • مدیریت خطرات با شناسایی دارایی ها، کشف تهدیدها و برآورد خطر
  • ارائه راهکار برای فعالیتهای امنیتی به وسیله ساخت سیاستهای امنیت اطلاعات، روش ها، استانداردها، دستورالعمل ها و خط مشی ها
  • طبقه بندی اطلاعات
  • سازمان امنیت
  • آموزش امنیت

مسئولیت های مدیریت امنیت:

  • تعیین اهداف، دامنه، سیاست ها، که انتظار می رود از یک برنامه امنیتی انجام شود.
  • ارزیابی اهداف کسب و کار، خطرات امنیتی، بهره وری کاربر و الزامات عملکرد
  • مراحل را تعریف کنید تا اطمینان حاصل کنید که تمام موارد فوق به حساب می آیند و به طور صحیح مشخص شده اند

رویکردهای ساخت یک برنامه امنیتی:

  • رویکرد بالا به پایین:
  • شروع، حمایت و هدایت از مدیریت ارشد می آید و راه خود را از طریق مدیریت میانه و سپس کارکنان به کار می گیرد.
  • درمان به عنوان بهترین رویکرد است، اما به نظر می رسد که مبتنی بر این است که من بیشتر پرداخت می کنم بنابراین من باید بیشتر در مورد انواع عقاید بدانم.
  • اطمینان حاصل می کند که مدیران ارشد که در نهایت مسئول حفاظت از دارایی های شرکت هستند، برنامه ریزی می کنند
  • رویکرد پایین به بالا:
  • تیم پایین تر از یک کنترل امنیتی یا یک برنامه بدون پشتیبانی و هدایت مناسب مدیریت می آید.
  • اغلب کم اثرتر و محکوم به شکست است به دلیل نقص در تفکر عنوان شده در بالا”من پول بیشتر پرداخت میکنم من باید بیشتر درباره همه چیز بدانم.

کنترل های امنیتی:

کنترل های امنیتی میتوانند در سه گروه طبقه بندی شوند:

کنترل های اداری که شامل موارد زیر است:

  • توسعه و انتشار سیاست ها، استانداردها، رویه ها و دستورالعمل ها.
  • نمایش کارکنان
  • هدایت کردن آموزش آگاهی امنیتی و
  • پیاده سازی روش های کنترل تغییر.

کنترل های فنی و منطقی که شامل موارد زیر است:

  • پیاده سازی و نگهداری مکانیزم های کنترل دسترسی.
  • رمز عبور و مدیریت منابع
  • روش شناسایی و تأیید اعتبار
  • دستگاه های امنیتی و
  • پیکربندی زیرساخت.

کنترل های فیزیکی شامل موارد زیر:

  • کنترل دسترسی شخصی به تسهیلات و ادارات مختلف
  • قفل کردن سیستم ها و حذف فلاپی یا CD-ROM های غیر ضروری
  • حفاظت از محیط کارخانه
  • نظارت برای نفوذ و
  • کنترل محیطی

عناصر امنیتی:

آسیب پذیری:

  • این ضعف نرم افزار، سخت افزار یا رویه است که ممکن است در باز را برای یک مهاجم فراهم کند کسی که به دنبال ورود به یک کامپیوتر یا شبکه و دسترسی غیر مجاز به منابع در محیط است.
  • آسیب پذیری مشخص کننده فقدان یا ضعف حفاظتی است که می تواند مورد سوء استفاده قرار گیرد.
  • به عنوان مثال: یک سرویس در حال اجرا بر روی یک سرور، برنامه های کاربردی ناخواسته یا نرم افزار سیستم عامل، دسترسی به شماره گیری مودم نامحدود، پورت باز در فایروال، عدم امنیت فیزیکی و غیره

تهدید:

  • هر گونه خطر بالقوه برای اطلاعات یا سیستم ها.
  • تهدید یک امکان است که کسی (فرد، S / W) آسیب پذیری را شناسایی و از آن بهره برداری کند.
  • نهادی که از آسیب پذیری استفاده می کند، به عنوان یک عامل تهدید شناخته می شود. به عنوان مثال: عامل تهدید می تواند یک مزاحم برای دسترسی به شبکه از طریق یک پورت در فایروال باشد

ریسک:

  • خطر این احتمال است یک عامل تهدید از آسیب پذیری و تاثیرات مربوط به کسب و کار استفاده می کند.
  • کاهش آسیب پذیری و / یا کاهش خطر ریسک
  • به عنوان مثال: اگر فایروال دارای چندین پورت باز باشد، احتمال بیشتری وجود دارد که یک نفوذگر از یکی برای دسترسی به شبکه در یک روش غیر مجاز استفاده کند.

در معرض قرار گرفتن:

  • در معرض قرار گرفتن یک نمونه از در معرض زیان های ناشی از عامل تهدید قرار گرفتن است.
  • آسیب پذیری یک سازمان را در معرض آسیب های احتمالی قرار می دهد.
  • به عنوان مثال: اگر مدیریت رمز عبور ضعیف است و قوانین رمز عبور اجباری نیستند، این شرکت در معرض احتمال داشتن گذرواژه های کاربران است که توسط شیوه ای غیر مجاز مورد استفاده قرار می گیرد.

مقابله یا حفاظت:

  • این یک برنامه یا تنظیمات S / W یا h / w یا یک روش است که خطر را کاهش می دهد.
  • به عنوان مثال: مدیریت قوی رمز عبور، یک نگهدارنده امنیتی، مکانیزم کنترل دسترسی در یک سیستم عامل، پیاده سازی سیستم های ورودی / خروجی پایه (BIOS) و آموزش آگاهی از امنیت است.

رابطه بین عناصر امنیتی:

  • به عنوان مثال: اگر یک شرکت دارای نرم افزار ضد ویروس است، اما اثرات ویروس را به روز نگه ندارد، این آسیب پذیری است. این شرکت به حملات ویروس آسیب پذیر است.
  • تهدید این است که یک ویروس در محیط ظاهر شود و تولیدات را مختل کند.
  • احتمال ابتلاء به ویروس در محیط و ایجاد آسیب آن خطر است.
  • اگر یک ویروس در محیط شرکت نفوذ کند، آسیب پذیری مورد بهره برداری قرار گرفته است و این شرکت در معرض زیان است.
  • اقدامات متقابل در این شرایط به روز رسانی نشانه ها و نصب نرم افزار آنتی ویروس روی کامپیوترها است.

عامل تهدید به تهدیدها منجر می شود آسیب پذیری منجر به خطر می شود

می تواند به دارایی ها آسیب برساند و باعث می شود که قرار گرفتن در معرض از طریق حفاظتی مقابله شود.

اصول کلی امنیت اطلاعات:

سه اصل اساسی امنیت عبارتند از در دسترس بودن، یکپارچگی و محرمانه بودن و به طور معمول به عنوان CIA یا AIA سه گانه اشاره می شود که همچنین هدف اصلی هر برنامه امنیتی را تشکیل می دهند.

سیاست ها:

سیاست امنیتی یک بیانیه کلی عمومی است که توسط مدیریت ارشد تهیه شده است(یا یک هیئت مدیره انتخابی یا کمیته انتخابی) که درمورد اینکه امنیت چه نقشی در سازمان بازی میکنددیکته می کند.

انواع سیاست ها:

  • مقررات: این نوع از سیاست ها تضمین می کند که سازمان استانداردهایی را که توسط مقررات صنعت خاص مطرح می شود، دنبال می کند. این نوع سیاست بسیار دقیق و خاص به نوع صنعت است. این در مؤسسات مالی، خدمات درمانی، خدمات عمومی و دیگر صنایع تحت نظارت دولتی مورد استفاده قرار می گیرد. به عنوان مثال: TRAI
  • مشاوره: این نوع سیاست به شدت به کارکنان توصیه می کند که کدام نوع رفتارها و فعالیت ها باید و نباید در داخل سازمان قرار گیرد. همچنین در صورتی که کارکنان با رفتارها و فعالیت های مشخص شده مطابقت نداشته باشند، ممکن است پیام های احتمالی را بیان کند. برای مثال، این نوع سیاست را می توان برای توصیف نحوه رسیدگی به اطلاعات پزشکی، انجام معاملات مالی یا پردازش اطلاعات محرمانه استفاده کرد.
  • آموزنده: این نوع سیاست، کارکنان را از موضوعات خاص مطلع میکند. این یک سیاست قابل اجرا نیست، بلکه یکی برای آموزش افراد در مورد مسائل خاص مربوط به شرکت است. این می تواند توضیح دهد چگونه شرکت با شرکا، اهداف و مأموریت شرکت و ساختار گزارش کلی در شرایط مختلف همکاری می کند.

مسئولیت مجری امنیت اطلاعات در سازمان:

  • ارتباط ریسک با مدیریت اجرایی
  • بودجه برای فعالیت های امنیتی اطلاعات
  • اطمینان از توسعه سیاست ها، روش ها، مبانی، استانداردها و دستورالعمل ها
  • توسعه و ارائه برنامه آگاهی رسانی امنیتی
  • درک اهداف تجاری
  • حفظ آگاهی از تهدیدات و آسیب پذیری های در حال ظهور
  • ارزیابی حوادث امنیتی و پاسخ
  • برنامه انطباق امنیتی را توسعه دهید
  • معیارهای امنیتی را تأیید کنید
  • شرکت در جلسات مدیریت
  • اطمینان از پذیرش مقررات دولتی
  • کمک به حسابرسان داخلی و خارجی
  • باقی ماندن از فن آوری های در حال ظهور

*برای حفظ امنیت داده ها و اطلاعات ابتدا باید اظلاعات را طبقه بندی کرد :

معرفی:

  • پس از شناسایی اطلاعات برای حفاظت، لازم است که اطلاعات را با توجه به حساسیت آن به از دست دادن، افشا یا عدم دسترسی طبقه بندی و سازماندهی کرد
  • هدف اصلی طبقه بندی داده ها نشان دادن سطح حفاظت محرمانه بودن، صداقت و دسترسی مورد نیاز برای هر نوع مجموعه داده است.
  • طبقه بندی داده ها کمک می کند تا اطمینان حاصل شود که داده ها در شیوه ای مقرون به صرفه محافظت می شوند.
  • هر طبقه بندی باید دارای الزامات جداگانه و روش های مربوط به نحوه دسترسی، استفاده و تخریب داده ها باشد.

دستورالعمل برای طبقه بندی اطلاعات:

  • طبقه بندی نباید یک لیست طولانی باشد و نباید بیش از حد محدود و دقیق باشد.
  • هر طبقه بندی باید منحصر به فرد باشد و نباید هیچ پوششی داشته باشد.
  • فرایند طبقه بندی باید چگونگی اطلاعات و برنامه های کاربردی را در سراسر چرخه زندگی آنها بررسی کند.

معیارهای طبقه بندی اطلاعات:

  • مفید بودن داده ها
  • مقدار داده ها
  • سن داده ها
  • سطح خسارت که می تواند ناشی از اطلاعات منتشر شده باشد
  • سطح خسارت که می تواند ناشی از اصلاح یا خراب شدن داده ها باشد
  • مسئولیت قانونی، نظارتی یا قراردادی برای حفاظت از داده ها
  • تأثیر اطلاعات بر امنیت ملی
  • چه کسی باید بتواند به داده ها دسترسی پیدا کند؟
  • چه کسی باید اطلاعات را حفظ کند
  • جایی که داده ها باید نگه داشته شوند
  • چه کسی باید بتواند داده ها را تکثیر کند؟
  • چه اطلاعاتی نیاز به برچسب و مارک مخصوص دارد
  • آیا رمزگذاری برای داده ها ضروری است؟
  • آیا تفکیک وظایف لازم است؟
  • کدام استراتژی پشتیبان مناسب است
  • کدام استراتژی بازیابی مناسب است.

نکته امنیتی:

سازمان باید اطمینان حاصل کند که هر کس از اطلاعات طبقه بندی پشتیبان گیری میکند – و هر کسی که به داده های پشتیبان دسترسی داشته باشد، دارای سطح لازم پاکی می باشد. اگر تكنسینهای كوچك و بدون تأیید امنیتی بتوانند در هنگام انجام وظایفشان به این اطلاعات دسترسی داشته باشند، می توانند خطر بزرگی را برای آن ایجاد كنند. پشتیبان گیری شامل تمام داده های شماست و ملاحظات مشابهی را از لحاظ خطر امنیتی به عنوان کل زیرساخت ها ارائه می شود؛ زیرا دقیقا همان چیزی است که تنها در یک مکان واحد قرار دارد، اغلب به عنوان یک فایل واحد ذخیره می شود و معمولا با اندکی فکر کردن در مورد خطرات مربوط به آن دستگاه چه می شود.

شرکت هوپاد در راستای ایجاد امنیت در سازمانها و شرکت ها ، راهکار های زیر را پیشنهاد می کند:

1.جداسازی ترافیک اینترنت از شبکه داخلی

2.پیاده سازی راه حل های پشتیبان گیری

3.پیاده سازی متد های امن سازی زیرساخت شبکه

4.راه حل های احراز هویت دو مرحله ای

فرم درخواست مشاوره

خوشحال می شویم اگر بتوانیم با راهنمایی مشکلات شما را حل کنیم. هوپاد با ارائه راه حل های رایانش ابری، آرامش خاطر در زمینه فناوری را برای شما به ارمغان می آورد.






X
درخواست مشاوره