تلکس

پيوندها

RSS

کد مطلب: 34406

تاریخ انتشار : دوشنبه ۲۰ آبان ۱۳۸۷ ساعت ۰۹:۳۷

1- مقدمه

باگسترش روابط انساني وسهولت برقراری ارتباط با فن آوري های نوين، تهديدهاي امنيتي رنگ وبوي جديدي به خود گرفته‌اند. شنود تلفن شايد از همان آغازين روزهاي رواج اين فناوري بصورت تفنني توسط اپراتورهاي مراكز تلفن صورت مي پذيرفت . اما به مرور زمان پاي سرويس هاي جاسوسي گروههاي تروريستي واخلال گران، به اين حوزه نيز باز شد.امروزه بستره فن آوری اطلاعات محیط مناسبی جهت تبادل اطلاعات به ظاهر عادی است که همین اطلاعات آشکار و بی ارزش سهم عمده ای از  اطلاعات مورد نیاز سرویس های جاسوسی را شامل می شود.
 فناوري اطلاعات مطالعه، طراحي، توسعه، پياده سازي و پشتيباني يا مديريت سيستم هاي اطلاعات مبتني بر كامپيوتر خصوصا نرم افزارهاي كاربردي وسخت افزار كامپيوتر است. از ماموريت های فناوري اطلاعات مديريت داده، شبكه، مهندسي كامپيوتر، سخت افزار، پايگاه داده و طراحي نرم افزار می توان برشمرد. سيستم اطلاعاتي، سيستمي از افراد، داده هاي ذخيره شده وفعاليت هاي است كه داده و اطلاعات را در يك سازمان پردازش مي كند، فرآيندهای سازمان از نوع دستي وخودكار است. سيستم هاي اطلاعاتي توسعه و كاربرد و مديريت سازمان با زيرساخت فناوري اطلاعات است. فن آوری اطلاعات و ارتباطات فرصت جدیدی برای حرفه ها در فضای اتوماسیون، همکاری و تجارت الکترونیکی، همچنین قادر ساختن به تولید و خدمات کاملا جدید ایجاد نموده است.

کاربرد این فن آوری حرفه ها را در معرض مخاطراتی از آتش و طوفان تا بزهکاری و تروریسم سایبری قرار داده، که نیاز به مدیریت و نظارت دارد. در دنیای جدید، مهمترين عامل توانايي وقدرت حفاظت از اطلاعات در مقابل تهديدات دشمنان و تبادل و اشتراك گذاري امن اطلاعات درجهت افزايش توانمندي است.

2- امنيت اطلاعات

اطلاعات داراي تنوع معنايي از كاربرد روزمره تا محيط های فني است. عموما مفهوم اطلاعات وابسته به ادراك ( انديشه)، ارتباط، كنترل، داده، فرم، آموزش، دانش، مفهوم، الگو، دورنما و نمايش است. اطلاعات مجموعه اي از آگاهي هاست، اطلاعات چي / كجا / چطور يك موضوع است وبه معناي جزئياتي در موضوعي كه به آن نيازداريم است. به تعبير كامپيوتري اطلاعات، داده هاي پردازش شده است كه داراي ارزش و اعتبار مي باشد.

امنيت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سيستم هاي اطلاعاتي در مقابل هرگونه مخاطره وتهديد است. مخاطرات وتهديدهاي اين حوزه شامل دسترسي، كاربرد، افشاء، قطع، تغيير يا انهدام غيرمجاز اطلاعات است. امنيت اطلاعات طبق استاندارد ISO27001  حفظ محرمانگي،  جامعيت و در دسترس بودن اطلاعات در مقابل مخاطرات، تهديدها و آسيب پذيری ها تعريف شده است.

جامعيت اطلاعات به مفهوم تامين نمودن درستي و تماميت اطلاعات و روشهاي پردازش است به عبارت ديگر اطلاعت فقط توسط افراد مجاز قابل تغيير باشد.محرمانگي  بيان مي دارد اطلاعات فقط در دسترس افرادي است كه مجاز به دسترسي به آنها هستند و در دسترس بودن به معناي دسترسي به اطلاعات توسط كاربر مجازاست ، زمانيكه نيازمند آن اطلاعات است .

3- برنامه استراتژیک امنيت اطلاعات
 هدف برنامه استراتژیک امنيت اطلاعات جهت دادن به پياده سازي امنيت اطلاعات است، برنامه چارچوبي را براي اهداف در جهت الزام به محرمانگي، جامعيت ودر دسترس بودن فراهم مي آورد.

- گام های راهبردی برای پیاده سازی

برقراری مدیریت امنیت اطلاعات شش هدف متصور است:

گام 1: توسعه، تصويب و ترويج خط مشي امنيت اطلاعات فراگير

بايستي با نظر كارشناسان خبره بخش هاي مختلف دنباله اي از خط مشي هاي امنيت اطلاعات را مبني بر استاندارد موجود توسعه، تصويب واجرا نمود. اين دستورالعمل بصورت رسمي برنامه امنيت اطلاعات سازمان را بيان داشته وكاركنان در برابر آن پاسخگو هستند . فهرست زير شامل مجموعه اي از خط مشي ها رسمي سازماني را بيان می دارد والبته محدود به موارد زير نيست.
بروزرساني واجرا نمودن خط مشي قابل قبولي در كاربرد كامپيوتر و شبكه بصورت عمومي
• كنترل دسترسي اطلاعات وتعيين سطح دسترسي به داده ها و سيستم ها
• اعلام وصول، ذخيره سازي و پردازش وتوزيع اطلاعات حساس
• تست و بازبيني امنيتي سخت افزار و نرم افزار بكار گرفته شده
• ممارست در حفاظت از داده هاي عمومي بصورت گزارش گيري از تخلفات وتهديدات امنيتي
• مجوزهاي قانوني تخريب، پشتيبان سازي و وضعيت رسانه هاي ديجيتالي
• حذف دسترسي هاي كاركنان كه فعاليتشان به هر دليلي خاتمه يافته است.
• ارزيابي و مديريت مخاطرات ( ريسك)

گام 2: كاركنان بايستي آگاه از پاسخگويي درباره امنيت اطلاعات باشند

همه كاركنان بايد در دوره آشنايي و يادگيري امنيت اطلاعات وبكاربردن اصول حفاظت از اطلاعات شركت نمايند. برنامه آموزشي بايد داراي سطح بندي انعطاف پذيري براي مديران ارشد، مديران مياني، مديران سيستم وشبكه و كاركنان بخش هاي مختلف باشد . برنامه آموزشي با توجه به نوع فعاليت هر فرد و پاسخگوبودن در مقابل سازمان تنظيم گردد. مراحل ساخت برنامه آموزشی شامل معیارهای زیر است:
• شناسايي وتحليل فاصله بين وضعيت جاري ودانش مطلوب
• تعيين اولويت ها
• توسعه آگاهي ( با پست الكترونيكي و صفحات وب  وخبرنامه ها)
• انتخاب موضوعات آموزشي ( خط مشي هاي قابل اجرا)
• توسعه آموزش و يادگيري براساس وظيفه و مسئوليت
• استفاده از فناوري براي آموزش ( كاربرد وب، آموزش الكترونيكي )

گام 3: ايجاد امور امنيت اطلاعات هربخش
 در هربخش فردي كه توانايي مناسبي برای پياده سازي واجراي خط مشي هاي مورد نياز امنيت اطلاعات دارد انتخاب گردد. امور امنيت اطلاعات داراي پاسخگويي هاي رسمي زير است والبته نه محدود به موارد زير:
• توسعه، انتشار، نگهداري رويه ها، خط مشي هاي برنامه امنيت سيستم هاي اطلاعاتي در بخش مربوطه
• متصدي رسيدگي به اعتراضات و شكايات وتخلفات حوزه تبادل اطلاعات و ممارست در به نتيجه رساندن
• متصدي كنترل نقاط اصلي در هنگام وقوع حوادث امنيتي و وخيم
• فراهم نمودن پيشنهادهايي براي مديران استراتژیک كه نيازمنديهاي مديريت مخاطرات ومباحث مربوط به فناوري سيستم هاي اطلاعاتي را پوشش دهد.
متصدي امور امنيت اطلاعات بخش بايد فعاليتهاي غيررسمي پيرامون امنيت اطلاعات نيز داشته باشد. موارد زير پاسخگويي هاي غيررسمي متصدي امور امنيت اطلاعات است والبته نه محدود به اين موارد:
* مطمئن ساختن كاركنان به مناسب بودن نسبی خط مشي ودستورالعمل هاي امنيت اطلاعات
* مطمئن شدن از انطباق امنيت پياده شده بر راهبرها وخط مشي هاي امنيتي
* گزارش دادن به مدير امنيت اطلاعات ميني بر سنجش و ارزيابي قوانين مصوب مسئولين اجرايي

گام 4: بنا نهادن فرآيندي براي گزارش گيري منظم از پيشرفت به مدير اجرايي

دفتر پياده سازي امنيت بايد داراي زمانبندی مشخصي براي گزارش پيشرفت و توسعه امنيت اطلاعات به رئيس سازمان داشته باشد. اين گزارشات در دو بعد قابل استفاده است (1) ارزيابي مسئول سازمان از توانمندي پياده سازي امنيت اطلاعات توسط تيم اجرايي (2) برطرف نمودن نواقص وايرادات خط مشي هاي امنيتي تصويب شده توسط مسئولين كلان سازمان.

گام 5: پياده نمودن كنترلهاي فعال وگسترده

تعيين سيستم هايي كه حاوي اطلاعات حساس هستند و مطمئن بودن از استقرار كنترلهاي دسترسي و سيستم هاي اطلاعاتي كه هرشخص صرفا به اطلاعات مشخصي دسترسي دارد انواع كنترل دسترسي شامل كنترل دسترسي اجباري، احتياطي، مبني بر مسئوليت سازمانی وزماني از روز است . اهم نظارتها در اين بخش عبارتست از:
• ارزيابي بخش ها در راه اندازي خط مشي امنيتي
• شناسنامه دار نمودن دستگاهها
• تاكيد بر پيچيدگي رمز
• تاكيد بر تغيير رمز بصورت دوره اي
• ثبت عملكرد كاربران در سيستم هاي اطلاعاتي

گام 6: پياده نمودن وارتقاء مداوم وبرنامه هاي ترسيم حوادث .
 سازمان بايستي بصورت پيوسته به تحليل و ارزيابي مخاطرات سازماني بپردازد وبرنامه مشخص بخشي وسازماني براي حفاظتي و ترميم سيستم هاي حساس، سرويسهاي شبكه وبرنامه هاي كاربردي وداده هاي داشته باشد. برنامه ارتقاء مداوم عبارت است از:
* كنترل وارزيابي مخاطرات
* تحليل آسيب هاي حرفه وكسب كار
* توسعه مداوم راهبردها و استراتژي هاي حرفه
* طراحی دفتر واكنش و عمليات
* آگاهي، آموزش و يادگيري
* معاونت ونگهداري نمودن از برنامه ها سازماني بصورت پيوسته

4- پیاده سازی امنیت اطلاعات

برنامه  امنیت اطلاعات در یک لحظه قابل برقرای نیست، اقدامی مداوم است که بصورت فرآیند چرخشی قابل پیاده سازی است (شکل 1). در شکل زیر همانطور که ملاحظه می کنید، فاز ابتدایی به روشنی قابل جداسازی نیست . چرخه پیاده سازی، بدنبال نیازمندی های امنیت اطلاعات، آموزش کاربران و پاسخگو بودن آنها، ساختن ساختار حاکمیتی، دیده بانی و گزارش گیری ازپیشرفت ها است.
  

در گذشته اکثر سازمان ها هزینه نسبتا کمی را برای امنیت منابع اطلاعات خود پرداخت می کردند. امنیت غالبا پس از رخداد حادثه ای مورد توجه قرار می گرفت. پیشنهاد طراحی و پیاده سازی برنامه امنیت IT با بی میلی تصویب می شد و پاسخگویی اغلب توسط کارمندان رده پایین فنی صورت می گرفت.
 به تازگی – و هنوز توسط شرکت ها و سازمان های بزرگ – ارزشهای راهبردی حفاظت از اطلاعات و سیستم های اطلاعاتی در حال توسعه است . در اکثر موارد، این واقع بینی با تغییر نیازمندی های حقوقی و کنترل های تنظیمی پیگیری می شود. در این اواخر، راهبری هماهنگ توجه گسترده ای به امنیت IT و مدیریت مخاطرات می دهد. رییس اداره اجرایی و رییس اداره اطلاعات هر دو شخصا در مورد مخاطراتی نظیر دستبرد به داده های و سیستم های رایانه ای و دسترسی غیر مجاز مسوول و پاسخگو هستند.
 زمانی برنامه راهبردی مفید است که پیاده، پشتیبانی و استفاده شود. مدیران حرفه ها در حال درک این مطلب هستند که امنیت IT و مدیریت مخاطرات صرفا مشکل فنی نیست که با بکارگیری کنترل های امنیتی مهار شود. مدیریت به مشی همه جانبه در برنامه ریزی امنیتی و مهیا نمودن منابع لازم برای برنامه امنیت فراگیر که فن آوری، مردم و فرآیندها در آن دخیل هستند، نیاز دارد. آنها نیازمند تضمین اعتقاد همه ارکان سازمان به چشم اندار امنیتی هستند.

 

تمام حقوق محفوظ بوده و استفاده از مطالب سایت با ذکر منبع بلامانع است.

Copyright© Alef, all rights reserved.