امنیت اطلاعات چیست؟
تعریف امنیت اطلاعات
امنیت اطلاعات (Information Security) یعنی حفاظت اطلاعات و سیستمهای اطلاعاتی از فعالیتهای غیرمجاز. این فعالیتها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.
مفاهیم اصلی امنیت اطلاعات
وقتی صحبت از امنیت اطلاعات می شود ناخودآگاه به یاد رایانه، کلمه عبور، اسم رمز، قفل های سخت افزاری و نرم افزاری و نرم افزارهای دیوار آتش و نظایر آن می افتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعه ای از داده ها که دارای معنی و هدف باشند اتلاق می شود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات می تواند به هر نوع از داده های معنی دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفته های شفاهی ما به یکدیگر را نیز پوشش دهد. موارد سهگانه حفظ درستی، محرمانگی و دسترس پذیری از مفاهیم اصلی امنیت اطلاعات است.
درستی (یکپارچه بودن)
درستی (یکپارچه بودن) یعنی جلوگیری از تغییر دادهها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات.
محرمانگی
محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیرمجاز.
قابل دسترس بودن
اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند.
کنترل امنیت اطلاعات
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت ، پیشگیری ، مقابله/واکنش، و به حداقل رساندن دامنه تهدیدات امنیتی در صورت بروز می شود. این اقدامات را میتوان به سه دسته تقسیم کرد.
مدیریتی :
کنترل مدیریتی (کنترل رویهها) عبارتند از سیاستها، رویهها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تأیید شده است.
منطقی :
کنترل منطقی (کنترل فنی) استفاده از نرمافزار، سختافزار و دادهها است برای نظارت و کنترل دسترسی به اطلاعات و سیستمهای کامپیوتری.
فیزیکی :
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتشسوزی، دوربینها مداربسته، موانع، حصارکشی، نیرویهای محافظ و غیره.
اقدامات اولیه امنیت اطلاعات
شناسایی اطلاعات موردنظر
شناسایی کاربرد اطلاعات شناسایی شده
تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناسایی شده
خط مشی امنیت اطلاعات (Information Security Policy)
طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی امنیت در سازمان تعیین شود. خط مشی به ما می گوید:
حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است؟
ما باید خود را برای چه نوع ریسکهایی آماده کنیم؟
چه خطراتی درستی، محرمانگی و در دسترس بودن اطلاعات سازمان ما را تهدید می کند؟
کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟
ساختار امنیت اطلاعات
ایجاد یک ساختار برای امنیت اطلاعات کمک می کند تا پاسخ سئوال های زیر را بیابیم.
چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟
چه کمیته هایی باید تشکیل شود و چه مسئولانی باید تعیین شوند؟
آیا از مشاوران و صاحب نظران برای کمک در امور تخصصی استفاده می شود؟
بازبینیهای دورهای برای اطمینان از روشهای درست امنیت اطلاعات توسط چه کسانی و در چه دورههایی انجام میشود؟
سیاستهای سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباطات با اطلاعات سازمان چیست؟
موضوعات امنیتی مرتبط با نیروی انسانی
یکی از چالش های بزرگ امنیت اطلاعات نیروی انسانی در هر شرکت یا سازمانی هستند، در این زمینه باید موارد زیر را کنترل کنیم.
آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟
آیا آنها از گزارش دهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقصهای امنیتی، ویروسها و …) را یاد گرفتهاند؟
آیا کارکنان به لحاظ امنیت اطلاعات مورد پذیرش قرار میگیرند؟
چه سطحی از گزینش برای هر شغل لازم است؟
آیا برای کارکنان تازه و کم تجربه، آموزشهای خاص در ارتباط با امنیت اطلاعات در نظر گرفته میشود؟
امنیت فیزیکی و محیطی
آیا به مسائل زیر در سازمان توجه شده است؟
تعریف سطوح امنیت فیزیکی در سازمان
توجه به فضاها، دیوارها، مکانیزمهای کنترلی، نگهبانی، نرده و حفاظ، سیستمهای هشداردهنده، قفلها و …
توجه به شویه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و …
توجه به سایر حوادث نظیر آتشسوزی، ترکیدگی لوله و …
کنترلهای ورود و خروج و عبور و مرور در سازمان
شرایط کار در محیط های امن
تعریف مسیرها و مکانهای ایزوله برای حمل و بارگیری
نصب و حفاظت از تجهیزات مهم
منابع تغذیه و منابع انرژی، برق اضطراری
امنیت کابل کشیها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و …)
تعمیرات و نگهداری تجهیزات
امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت
مدیریت ارتباطات و عملیات
آیا برای موارد زیر پیش بینیهای لازم صورت گرفته و روشهای مناسبی تدوینت و اجرا می شو؟
کنترل خطاهای نرم افزارری
تهیه پشتیبان از اطلاعات
تهیه سوابق عملکرد افراد
تهیه سوابق خطاها
توافقنامه های تبادل اطلاعات و نرم افزارها
امنیت رسانه ها در حالت جابه جایی
امنیت در تجارت الکترونیکی
امنیت پست الکترونیکی
امنیت سیستم های الکترونیکی اداری
امنیت سیستم های در دسترس عمومی
کنترل دسترسی ها
دسترسی به اطلاعات همواره می تواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشد:
ثبت کاربران
مدیریت سطوح دسترسی کاربران
مدیریت و کاربرد اسامی رمز
بازنگری حقوق دسترسی کاربران
امنیت تجهیزات کاربر در غیاب کاربر
کنترل مسیرهای شبکه ای
اعتبارسنجی کاربران در اتصال از خارج از شبکه
اعتبار سنجی دستگاه های کاری
حفاظت درگاه های دسترسی از راه دور
جداسازی شبکه ها
کنترل اتصالات شبکه ای
کنترل مسیریابی شبکه ای
امنیت خدمات شبکه
روش ورود به سیستم عامل
شناسایی و اعتبارسنجی کاربر
محدودیت در زمان و مدت اتصال کاربر به شبکه
جداسازی سیستم های حساس
مدرک CISSP
مدرک (Certified Information Systems Security Professional) مدرکی برای متخصصان امنیت است و کسب این مدرک مراحلی دارد. این مدرک مستقل از هر نوع سختافزار و نرمافزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستمهای Enterprise شناخته میشود. افرادی که صاحب این مدرک باشند میتوانند برای پست مدیریت شبکههای کوچک و بزرگ اطلاعاتی خود را معرفی کنند.
در سال ۱۹۸۹، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ISC² بنا نهادند که هدف ان ارایهٔ استانداردهای حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.
در سال ۱۹۹۲ کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفهای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقهمند به آن بود.