آشنایی با امنیت اطلاعات، اصول و استانداردهای آن

در عصر فناوری امروزی، اطلاعات به صورت دیجیتالی و با استفاده از روش‌هایی که چندان امن نیستند بر روی شبکه‌ها، رایانه‌ها، سرورها و محیط‌های ابری ذخیره می‌شوند. مجرمان سایبری ممکن است به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کنند. از این رو به مدیران سازمان‌ها و مالکان کسب و کارها توصیه می‌شود آگاهی‌های لازم را در زمینه امنیت اطلاعات به دست آورند. آنها همچنین باید راهکارهای ارایه شده برای محافظت از اطلاعات حساس را در سازمان‌شان پیاده‌سازی کرده و آموزش‌های مرتبط با این حوزه را نیز در اختیار کارمندان‌شان قرار دهند.

در این مطلب از فراست مفهوم امنیت اطلاعات، تفاوت آن با امنیت سایبری و همچنین استانداردهایی که در این حوزه وجود دارد را بررسی می‌کنیم.

پیشنهاد می شود مطالعه مقاله :امنیت اطلاعات سازمانی

امنیت اطلاعات چیست؟

امنیت اطلاعات شامل مجموعه‌ای از اصول و روش های اثبات شده است که به کاربران برای حفاظت از داده‌های‌شان در برابر دسترسی‌های غیرمجاز یا ایجاد تغییرات در آنها توسط اشخاص متفرقه در هنگام ذخیره یا انتقال داده‌ها از مکانی به مکان دیگر کمک می‌کنند. محفاظت از اسناد اطلاعاتی کاغذی، اطلاعات دیجیتالی و انواع داده‌های خصوصی و حساس در برابر دسترسی‌های غیرمجاز از جمله مواردی هستند که در حوزه امنیت اطلاعات قرار دارند.

گرچه مفاهیم امنیت اطلاعات و امنیت سایبری شبیه هم به نظر می‌رسند اما این دو موضوع کاملاً متفاوت هستند. امنیت اطلاعات یک گرایش خاص است که زیردسته امنیت سایبری محسوب می‌شود.

چه تفاوتی بین امنیت سایبری و امنیت اطلاعات وجود دارد؟

امنیت سایبری شامل مجموعه‌ای از عملیات و قوانین برای تأمین امنیت و حفاظت از فضای دیجیتالی در برابر حملات سایبری بوده و از سازمان شما در برابر هک، حملاتی که از بیرون یا درون سازمان رخ می‌دهند و همچنین دسترسی‌های غیرمجاز محافظت می‌کند. حفاظت از داده‌های دیجیتالی، رایانه‌ها، دستگاه‌ها، شبکه‌ها، سرورها، نرم‌افزارها، نقاط انتهایی، پایگاه‌های داده، برنامه‌های کاربردی، سرویس‌های ابری و همچنین امنیت زیرساخت از جمله نمونه‌های امنیت سایبری محسوب می شوند.

همان‌گونه که گفتیم حفاظت از داده‌های دیجیتال در حوزه امنیت سایبری قرار دارد. از این رو امنیت اطلاعات و تأمین امنیت برای داده‌های حساس، زیرمجموعه‌ای از امنیت سایبری است. به طور کلی امنیت اطلاعات شامل اصول محرمانگی، دسترس‌پذیری و جامعیت اطلاعات و همچنین حفاظت از داده‌ها (صرف‌نظر از فرم و شکل آنها) و مدارک چاپی حساس می‌باشد. کنترل‌های رویه‌ای، کنترل‌های دسترسی، کنترل‌های فنی و کنترل‌های قانونی از جمله نمونه‌هایی هستند که در حوزه امنیت اطلاعات قرار دارند.

اصول امنیت اطلاعات

امنیت اطلاعات شامل سه اصل مهم و پایه‌ای است که در زیر آنها را مورد بررسی قرار می‌دهیم.

محرمانگی (Confidentiality)

یکی از عناصر پایه در امنیت اطلاعات، «محرمانگی» است. در صورتی محرمانگی داده‌ها حفظ می‌شود که فقط افراد مجاز امکان دسترسی به آنها را داشته باشند. جهت اطمینان از محرمانگی باید همه فنون طراحی شده برای امنیت (همچون استفاده از کلمات عبور قوی، رمزنگاری، احراز هویت و دفاع در برابر حملات نفوذ) مورد استفاده قرار گیرند.

جامعیت (Integrity)

جامعیت، از جمله اصول مهم و اساسی در حفاظت از داده‌ها در برابر تغییرات غیرمجاز است. رویکردهایی که برای حفاظت از محرمانگی داده‌ها مورد استفاده قرار می‌گیرند، جامعیت داده‌ها را نیز حفظ خواهند کرد؛ زیرا زمانی که مجرمان سایبری امکان دسترسی به داده‌ها را نداشته باشند قادر به ایجاد تغییر در آنها هم نخواهند بود.

دسترس پذیری (Availability)

یکی دیگر از عناصر پایه در حوزه امنیت اطلاعات، دسترس پذیری است. دسترس پذیری به معنای توانایی تطبیق منابع رایانشی و شبکه جهت کمک به پیاده‌سازی سیاست‌های معقول برای بازیابی شرایط پس از وقوع یک رخداد است. بنابراین این اصل زمانی معنی می‌یابد که علاوه بر جلوگیری از دسترسی افراد غیرمجاز به داده‌های حساس، افراد مجاز به منابع و اطلاعات مورد نیازشان دسترسی داشته باشند.

میزان دسترس پذیری در لایه‌های مختلف به شرح زیر است:

• لایه دسترسی در برنامه‌های کاربردی به این صورت است که برنامه‌های کاربردی طراحی شده برای کاربران نهایی فقط باید به جریان‌های کاری ضروری کسب و کار دسترسی داشته باشند.
• لایه دسترسی زیرساخت به این مسئله می‌پردازد که اجزای زیرساخت باید فقط به بخش‌های مورد نیاز (یعنی فقط سرورها) دسترسی داشته باشند.
• در لایه دسترسی فیزیکی، دسترسی‌های فیزیکی به هر سیستم، مرکز داده، رایانه یا هر شیء فیزیکی دیگری که حاوی اطلاعات محرمانه است می بایست فقط شامل مواردی باشد که برای انجام کار ضروری هستند.
• لایه داده‌های در جریان به امنیت داده‌های در حال انتقال می‌پردازد.

ممکن است از خودتان بپرسید هدف از تأمین امنیت داده‌ها چیست؟ با توجه به حفاظت از داده‌ها در برابر دسترسی‌های غیرمجاز، انتظار می‌رود پاسخ به این پرسش چندان پیچیده نباشد. مهمترین اصلی که در امنیت اطلاعات وجود دارد این است که اطلاعات فقط برای افرد مجاز باید در دسترس و قابل مشاهده باشند. همچنین کارمندان یک سازمان باید تمام تلاش‌شان را برای حفظ محرمانگی داده‌هایی که در اختیار دارند، به کار گیرند.

یکی از روش‌های پرکاربردی که برای ایجاد محرمانگی در داده‌ها (به ویژه داده‌های در حال انتقال) مورد استفاده قرار می‌گیرد، رمزنگاری است. علم رمزنگاری شامل راهکارهایی برای رمزنگاری و رمزگشایی اطلاعات می‌باشد. عملکرد کلی رمزنگاری به این صورت است که داده‌های درون فایل‌ها را به نحوی تغییر می‌دهد که امکان خواندن یا ایجاد تغییر در آنها بدون داشتن کلید رمزگشایی وجود نداشته باشد.

روش‌های پرکاربرد رمزنگاری شامل رمزنگاری های دستی، متقارن و نامتقارن هستند. احراز هویت دومرحله‌ای و مراقبت از کلیدها از جمله راهکارهای رایجی هستند که می‌توان در فناوری رمزنگاری از آنها استفاده نمود. در احراز هویت دومرحله‌ای، امنیت داده‌های محرمانه افزایش یافته و احتمال نشت داده‌ها کمتر می‌شود. رویکرد مراقبت از کلیدها نیز کلیدهای مخفی رمزنگاری شما را در محلی امن نگهداری می‌کند. به همین خاطر دیگر امکان گم شدن یا سوءاستفاده از آنها وجود نخواهد داشت.

سیاست امنیت اطلاعات (ISP[1]) چیست؟

سیاست امنیت اطلاعات سندی است که یک سازمان بر مبنای نیازها و شرایط خاص خود تهیه می‌کند. این سند، داده‌هایی که باید محافظت شوند و همچنین روش‌های حفاظت از آنها را مشخص نموده و راهنمایی‌های لازم برای تأمین ابزارهای امنیت سایبری را در اختیار سازمان‌ها قرار می‌دهد.

نکات کلیدی که باید در سیاست امنیت اطلاعات مورد توجه قرار گیرند، شامل موارد زیر هستند:

• توضیحات لازم در خصوص هدف از ارایه طرح امنیت اطلاعات
• تعریف کلیدواژه‌های موجود در سند برای ایجاد یک درک مشترک بین تمامی افراد
• تعریف سیاست حفاظت از کلمات عبور
• تعیین اینکه چه اشخاصی به چه داده‌هایی دسترسی داشته باشند.
• تعیین نقش و مسئولیت‌های کارمندان برای حفاظت از داده‌ها

علاوه بر ISP، سیستم مدیریت امنیت اطلاعات (ISMS[2]) هم به پیاده‌سازی یک سیاست امنیت اطلاعات مناسب کمک نموده و یک روش سیستماتیک را برای مدیریت امنیت اطلاعات در سازمان ایجاد می‌کند. ISP و ISMS چارچوب‌های مدیریت شده‌ای هستند که سیاست‌ها، رویه‌ها و کنترل‌های طراحی شده برای پیروی از هر سه هدف امنیت اطلاعات را تعریف نموده و به کاربران برای مدیریت، نظارت، بازبینی و بهبود اصول امنیت اطلاعات از طریق یک مکان و به شیوه‌ای آسان کمک می‌کنند.

استانداردهای امنیت اطلاعات

سازمان بین‌المللی استاندارد ایزو (ISO[3]) یک سازمان غیردولتی جهانی متشکل از نهادهای مسئول تعریف استاندارد در بیش از 160 کشور مختلف دنیا است. هدف اصلی این سازمان، طراحی و ترویج استانداردهای بین‌المللی برای شرایط کاری، فناوری‌ها، رویه‌های ارزیابی علوم و همچنین مسائل اجتماعی مهم است. واژه iso از کلمه یونانی isos به معنای برابر به دست آمده و به عنوان پیشوند در کلماتی مثل ایزومتریک (به معنای ابعاد یا اندازه‌گیری‌های برابر) و ایزونومی (به معنای تساوی در برابر قانون) به کار می‌رود. بنابراین به منظور پیشگیری از ایجاد ابهام ناشی از ترجمه‌های مختلف، «مؤسسه بین‌المللی استاندارد» در سطح جهان از این واژه به عنوان اسم این سازمان استفاده می‌کند.

از جمله استانداردهای مشهور ایزو برای فناوری اطلاعات می‌توان به موارد زیر اشاره کرد:

• اتصال متقابل سامانه‌های باز (OSI[4])

شرکت‌های مخابراتی و تولیدکنندگان رایانه، در سال 1983 این مدل یکپارچه را برای پروتکل‌های اعتباری ایجاد کرده و سپس ایزو نیز آن را به عنوان یک استاندارد پذیرفت.

• ایزو 27001

استاندارد ایزو ۲۷۰۰۱ یک فرایند شش مرحله‌ای را برای توسعه و پیاده‌سازی فرایندها و سیاست‌های امنیت اطلاعات ارایه می‌دهد.

• ایزو 20000

این استاندارد، مشخصات فنی و اصول توصیه شده‌ای را برای مدیریت سرویس‌های فناوری اطلاعات مشخص می‌کند.

• ایزو 31000

این استاندارد مدیریت مخاطرات، تعریف مخاطرات و اصطلاحات مرتبط با آن را استانداردسازی نموده و دستورالعمل‌های راهنما را برای همه کسب و کارها و مشاغل تعریف می‌کند.

• ایزو 12207

این استاندارد ایزو، یک فرایند مدیریت چرخه حیات یکپارچه را برای همه نرم‌افزارها ایجاد می‌کند.

جمع‌بندی

باید همواره توجه داشته باشید که مراقبت از داده‌های حساس، جزو دغدغه‌های هر کسب و کاری محسوب می شود و شما با استفاده از راهکارهای امنیتی مناسب می‌توانید از خودتان و داده‌هایتان محفاظت کنید.

[1] Information Security Policy

[2] Information Security Management System

[3] International Organization for Standardization

[4] Open Systems Interconnection

منبع: heimdalsecurity