آشنایی با امنیت اطلاعات، اصول و استانداردهای آن
در عصر فناوری امروزی، اطلاعات به صورت دیجیتالی و با استفاده از روشهایی که چندان امن نیستند بر روی شبکهها، رایانهها، سرورها و محیطهای ابری ذخیره میشوند. مجرمان سایبری ممکن است به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کنند.
از این رو به مدیران سازمانها و مالکان کسب و کارها توصیه میشود آگاهیهای لازم را در زمینه امنیت اطلاعات به دست آورند. آنها همچنین باید راهکارهای ارایه شده برای محافظت از اطلاعات حساس را در سازمان خود پیادهسازی کرده و آموزشهای مرتبط با این حوزه را نیز در اختیار کارمندانشان قرار دهند.
در این مطلب از فراست قرار در مورد اینکه مفهوم امنیت اطلاعات چیه و چه تفاوتی با امنیت سایبری دارد و هر آنچه که در مورد اصول امنیت اطلاعات و نحوه پیاده سازی آن باید بدانید رو داخل این مطلب برای شما آورده ایم. پس تا انتهای این مقاله با ما همراه باشید.
امنیت اطلاعات چیست؟
امنیت اطلاعات شامل مجموعهای از اصول و روشهای اثبات شده است که به کاربران برای حفاظت از دادههای خود در برابر دسترسیهای غیرمجاز یا ایجاد تغییرات در آنها توسط اشخاص متفرقه در هنگام ذخیره یا انتقال دادهها از مکانی به مکان دیگر کمک میکنند. محفاظت از اسناد اطلاعات کاغذی، اطلاعات دیجیتالی و انواع دادههای خصوصی و حساس در برابر دسترسیهای غیرمجاز از جمله مواردی هستند که در حوزه امنیت اطلاعات قرار دارند.
تفاوت امنیت سایبری و امنیت اطلاعات در چیست؟
امنیت سایبری شامل مجموعهای از عملیات و قوانین برای تأمین امنیت و حفاظت از فضای دیجیتالی در برابر حملات سایبری بوده و از سازمان شما در برابر هک، حملاتی که از بیرون یا درون سازمان رخ میدهند و همچنین دسترسیهای غیرمجاز محافظت میکند.
حفاظت از دادههای دیجیتالی، رایانهها، دستگاهها، شبکهها، سرورها، نرمافزارها، نقاط انتهایی، پایگاههای داده، برنامههای کاربردی، سرویسهای ابری و همچنین امنیت زیرساخت از جمله نمونههای امنیت سایبری محسوب می شوند.
امنیت اطلاعات و تأمین امنیت برای دادههای حساس، زیرمجموعهای از امنیت سایبری است. به طور کلی امنیت اطلاعات شامل اصول محرمانگی، دسترسپذیری و جامعیت اطلاعات و همچنین حفاظت از دادهها (صرفنظر از فرم و شکل آنها) و مدارک چاپی حساس است. کنترلهای رویهای، کنترلهای دسترسی، کنترلهای فنی و کنترلهای قانونی از جمله نمونههایی هستند که در حوزه امنیت اطلاعات قرار دارند.
اصول امنیت اطلاعات
امنیت اطلاعات شامل سه اصل مهم و پایهای است که در زیر آنها را مورد بررسی قرار میدهیم.
محرمانگی (Confidentiality)
یکی از عناصر پایه در امنیت اطلاعات، «محرمانگی» است. در صورتی محرمانگی دادهها حفظ میشود که فقط افراد مجاز امکان دسترسی به آنها را داشته باشند. جهت اطمینان از محرمانگی باید همه فنون طراحی شده برای امنیت (همچون استفاده از کلمات عبور قوی، رمزنگاری، احراز هویت و دفاع در برابر حملات نفوذ) مورد استفاده قرار گیرند.
جامعیت (Integrity)
جامعیت، از جمله اصول مهم و اساسی در حفاظت از دادهها در برابر تغییرات غیرمجاز است. رویکردهایی که برای حفاظت از محرمانگی دادهها مورد استفاده قرار میگیرند، جامعیت دادهها را نیز حفظ خواهند کرد؛ زیرا زمانی که مجرمان سایبری امکان دسترسی به دادهها را نداشته باشند قادر به ایجاد تغییر در آنها هم نخواهند بود.
دسترس پذیری (Availability)
یکی دیگر از عناصر پایه در حوزه امنیت اطلاعات، دسترس پذیری است. دسترس پذیری به معنای توانایی تطبیق منابع رایانشی و شبکه جهت کمک به پیادهسازی سیاستهای معقول برای بازیابی شرایط پس از وقوع یک رخداد است. بنابراین این اصل زمانی معنی مییابد که علاوه بر جلوگیری از دسترسی افراد غیرمجاز به دادههای حساس، افراد مجاز به منابع و اطلاعات مورد نیازشان دسترسی داشته باشند.
میزان دسترس پذیری در لایههای مختلف به شرح زیر است:
- لایه دسترسی در برنامههای کاربردی به این صورت است که برنامههای کاربردی طراحی شده برای کاربران نهایی فقط باید به جریانهای کاری ضروری کسب و کار دسترسی داشته باشند.
- لایه دسترسی زیرساخت به این مسئله میپردازد که اجزای زیرساخت باید فقط به بخشهای مورد نیاز (یعنی فقط سرورها) دسترسی داشته باشند.
- در لایه دسترسی فیزیکی، دسترسیهای فیزیکی به هر سیستم، مرکز داده، رایانه یا هر شیء فیزیکی دیگری که حاوی اطلاعات محرمانه است می بایست فقط شامل مواردی باشد که برای انجام کار ضروری هستند.
- لایه دادههای در جریان به امنیت دادههای در حال انتقال میپردازد.
سیاست امنیت اطلاعات (ISP) چیست؟
سیاست امنیت اطلاعات سندی است که یک سازمان بر مبنای نیازها و شرایط خاص خود تهیه میکند. این سند، دادههایی که باید محافظت شوند و همچنین روشهای حفاظت از آنها را مشخص میکند و راهنماییهای لازم برای تأمین ابزارهای امنیت سایبری را در اختیار سازمانها قرار میدهد.
نکات کلیدی که باید در سیاست امنیت اطلاعات مورد توجه قرار گیرند، شامل موارد زیر هستند:
- توضیحات لازم در خصوص هدف از ارایه طرح امنیت اطلاعات
- تعریف کلیدواژههای موجود در سند برای ایجاد یک درک مشترک بین تمامی افراد
- تعریف سیاست حفاظت از کلمات عبور
- تعیین اینکه چه اشخاصی به چه دادههایی دسترسی داشته باشند.
- تعیین نقش و مسئولیتهای کارمندان برای حفاظت از دادهها
علاوه بر ISP، سیستم مدیریت امنیت اطلاعات (ISMS) هم به پیادهسازی یک سیاست امنیت اطلاعات مناسب کمک نموده و یک روش سیستماتیک را برای مدیریت امنیت اطلاعات در سازمان ایجاد میکند. ISP و ISMS چارچوبهای مدیریت شدهای هستند که سیاستها، رویهها و کنترلهای طراحی شده برای پیروی از هر سه هدف امنیت اطلاعات را تعریف نموده و به کاربران برای مدیریت، نظارت، بازبینی و بهبود اصول امنیت اطلاعات از طریق یک مکان و به شیوهای آسان کمک میکنند.
استانداردهای امنیت اطلاعات
سازمان بینالمللی استاندارد ایزو (ISO) یک سازمان غیردولتی جهانی است که متشکل از نهادهای مسئول تعریف استاندارد در بیش از 160 کشور مختلف جهان است. هدف اصلی این سازمان، طراحی و ترویج استانداردهای بینالمللی برای شرایط کاری، فناوریها، رویههای ارزیابی علوم و همچنین مسائل اجتماعی مهم است.
واژه iso از کلمه یونانی isos به معنای برابر به دست آمده و به عنوان پیشوند در کلماتی مثل ایزومتریک (به معنای ابعاد یا اندازهگیریهای برابر) و ایزونومی (به معنای تساوی در برابر قانون) به کار میرود. بنابراین به منظور پیشگیری از ایجاد ابهام ناشی از ترجمههای مختلف، «مؤسسه بینالمللی استاندارد» در سطح جهان از این واژه به عنوان اسم این سازمان استفاده میکند.
استانداردهای ایزو فناوری اطلاعات
استانداردهای مشهور ایزو برای فناوری اطلاعات میتوان به موارد زیر اشاره کرد:
اتصال متقابل سامانههای باز (OSI)
شرکتهای مخابراتی و تولیدکنندگان رایانه، در سال 1983 این مدل یکپارچه را برای پروتکلهای اعتباری ایجاد کرده و سپس ایزو نیز آن را به عنوان یک استاندارد پذیرفت.
ایزو 27001
استاندارد ایزو ۲۷۰۰۱ یک فرایند شش مرحلهای را برای توسعه و پیادهسازی فرایندها و سیاستهای امنیت اطلاعات ارایه میدهد.
ایزو 20000
این استاندارد، مشخصات فنی و اصول توصیه شدهای را برای مدیریت سرویسهای فناوری اطلاعات مشخص میکند.
ایزو 31000
این استاندارد مدیریت مخاطرات، تعریف مخاطرات و اصطلاحات مرتبط با آن را استانداردسازی نموده و دستورالعملهای راهنما را برای همه کسب و کارها و مشاغل تعریف میکند.
ایزو 12207
این استاندارد ایزو، یک فرایند مدیریت چرخه حیات یکپارچه را برای همه نرمافزارها ایجاد میکند.
پیشنهاد می شود مطالعه مقاله :امنیت اطلاعات سازمانی