google-site-verification=EFtf_1LKGFSDgRr-C_I_fzNkKj8TSrF064CMzVRz_Kk

امنیت اطلاعات چیست؟

امنیت اطلاعات چیست؟

تعریف امنیت اطلاعات

امنیت اطلاعات (Information Security) یعنی حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌های غیرمجاز. این فعالیت‌ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.

مفاهیم اصلی امنیت اطلاعات

وقتی صحبت از امنیت اطلاعات می شود ناخودآگاه به یاد رایانه، کلمه عبور، اسم رمز، قفل های سخت افزاری و نرم افزاری و نرم افزارهای دیوار آتش و نظایر آن می افتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعه ای از داده ها که دارای معنی و هدف باشند اتلاق می شود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات می تواند به هر نوع از داده های معنی دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفته های شفاهی ما به یکدیگر را نیز پوشش دهد. موارد سه‌گانه حفظ درستی، محرمانگی و دسترس پذیری از مفاهیم اصلی امنیت اطلاعات است.
درستی (یکپارچه بودن)

درستی (یکپارچه بودن) یعنی جلوگیری از تغییر داده‌ها بطور غیرمجاز و تشخیص تغییر در صورت دست‌کاری غیرمجاز اطلاعات.
محرمانگی

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیرمجاز.
قابل دسترس بودن

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند.

کنترل امنیت اطلاعات

کنترل امنیت به اقداماتی گفته می‌شود که منجر به حفاظت ، پیشگیری ، مقابله/واکنش، و به حداقل رساندن دامنه تهدیدات امنیتی در صورت بروز می شود. این اقدامات را می‌توان به سه دسته تقسیم کرد.

مدیریتی :

کنترل مدیریتی (کنترل رویه‌ها) عبارتند از سیاست‌ها، رویه‌ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تأیید شده است.
منطقی :

کنترل منطقی (کنترل فنی) استفاده از نرم‌افزار، سخت‌افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم‌های کامپیوتری.

فیزیکی :

کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش‌سوزی، دوربین‌ها مداربسته، موانع، حصارکشی، نیروی‌های محافظ و غیره.
اقدامات اولیه امنیت اطلاعات

    شناسایی اطلاعات موردنظر
    شناسایی کاربرد اطلاعات شناسایی شده
    تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناسایی شده

خط مشی امنیت اطلاعات (Information Security Policy)

طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی امنیت در سازمان تعیین شود. خط مشی به ما می گوید:

    حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است؟
    ما باید خود را برای چه نوع ریسکهایی آماده کنیم؟
    چه خطراتی درستی، محرمانگی و در دسترس بودن اطلاعات سازمان ما را تهدید می کند؟
    کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟

ساختار امنیت اطلاعات

ایجاد یک ساختار برای امنیت اطلاعات کمک می کند تا پاسخ سئوال های زیر را بیابیم.

    چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟
    چه کمیته هایی باید تشکیل شود و چه مسئولانی باید تعیین شوند؟
    آیا از مشاوران و صاحب نظران برای کمک در امور تخصصی استفاده می شود؟
    بازبینی‌های دوره‌ای برای اطمینان از روشهای درست امنیت اطلاعات توسط چه کسانی و در چه دوره‌هایی انجام می‌شود؟
    سیاستهای سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباطات با اطلاعات سازمان چیست؟

موضوعات امنیتی مرتبط با نیروی انسانی

یکی از چالش های بزرگ امنیت اطلاعات نیروی انسانی در هر شرکت یا سازمانی هستند، در این زمینه باید موارد زیر را کنترل کنیم.

    آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟
    آیا آنها از گزارش دهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقص‌های امنیتی، ویروس‌ها و …) را یاد گرفته‌اند؟
    آیا کارکنان به لحاظ امنیت اطلاعات مورد پذیرش قرار می‌گیرند؟
    چه سطحی از گزینش برای هر شغل لازم است؟
    آیا برای کارکنان تازه و کم تجربه، آموزش‌های خاص در ارتباط با امنیت اطلاعات در نظر گرفته می‌شود؟

امنیت فیزیکی و محیطی

آیا به مسائل زیر در سازمان توجه شده است؟

    تعریف سطوح امنیت فیزیکی در سازمان
    توجه به فضاها، دیوارها، مکانیزم‌های کنترلی، نگهبانی، نرده و حفاظ، سیستم‌های هشداردهنده، قفل‌ها و …
    توجه به شویه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و …
    توجه به سایر حوادث نظیر آتش‌سوزی، ترکیدگی لوله و …
    کنترل‌های ورود و خروج و عبور و مرور در سازمان
    شرایط کار در محیط های امن
    تعریف مسیرها و مکانهای ایزوله برای حمل و بارگیری
    نصب و حفاظت از تجهیزات مهم
    منابع تغذیه و منابع انرژی، برق اضطراری
    امنیت کابل کشی‌ها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و …)
    تعمیرات و نگهداری تجهیزات
    امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
    سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
    شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت

مدیریت ارتباطات و عملیات

آیا برای موارد زیر پیش بینی‌های لازم صورت گرفته و روشهای مناسبی تدوینت و اجرا می شو؟

    کنترل خطاهای نرم افزارری
    تهیه پشتیبان از اطلاعات
    تهیه سوابق عملکرد افراد
    تهیه سوابق خطاها
    توافقنامه های تبادل اطلاعات و نرم افزارها
    امنیت رسانه ها در حالت جابه جایی
    امنیت در تجارت الکترونیکی
    امنیت پست الکترونیکی
    امنیت سیستم های الکترونیکی اداری
    امنیت سیستم های در دسترس عمومی

کنترل دسترسی ها

دسترسی به اطلاعات همواره می تواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشد:

    ثبت کاربران
    مدیریت سطوح دسترسی کاربران
    مدیریت و کاربرد اسامی رمز
    بازنگری حقوق دسترسی کاربران
    امنیت تجهیزات کاربر در غیاب کاربر
    کنترل مسیرهای شبکه ای
    اعتبارسنجی کاربران در اتصال از خارج از شبکه
    اعتبار سنجی دستگاه های کاری
    حفاظت درگاه های دسترسی از راه دور
    جداسازی شبکه ها
    کنترل اتصالات شبکه ای
    کنترل مسیریابی شبکه ای
    امنیت خدمات شبکه
    روش ورود به سیستم عامل
    شناسایی و اعتبارسنجی کاربر
    محدودیت در زمان و مدت اتصال کاربر به شبکه
    جداسازی سیستم های حساس

مدرک CISSP

مدرک (Certified Information Systems Security Professional) مدرکی برای متخصصان امنیت است و کسب این مدرک مراحلی دارد. این مدرک مستقل از هر نوع سخت‌افزار و نرم‌افزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستم‌های Enterprise شناخته می‌شود. افرادی که صاحب این مدرک باشند می‌توانند برای پست مدیریت شبکه‌های کوچک و بزرگ اطلاعاتی خود را معرفی کنند.

در سال ۱۹۸۹، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ISC² بنا نهادند که هدف ان ارایهٔ استانداردهای حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.

در سال ۱۹۹۲ کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفه‌ای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقه‌مند به آن بود.