آشنایی با امنیت اطلاعات، اصول و استانداردهای آن

در عصر فناوری امروزی، اطلاعات به صورت دیجیتالی و با استفاده از روش‌هایی که چندان امن نیستند بر روی شبکه‌ها، رایانه‌ها، سرورها و محیط‌های ابری ذخیره می‌شوند. مجرمان سایبری ممکن است به این اطلاعات دسترسی یافته و از آن‌ها سوءاستفاده کنند.

از این رو به مدیران سازمان‌ها و مالکان کسب و کارها توصیه می‌شود آگاهی‌های لازم را در زمینه امنیت اطلاعات به دست آورند. آن‌ها همچنین باید راهکارهای ارایه شده برای محافظت از اطلاعات حساس را در سازمان‌ خود پیاده‌سازی کرده و آموزش‌های مرتبط با این حوزه را نیز در اختیار کارمندان‌شان قرار دهند.

در این مطلب از فراست قرار در مورد اینکه مفهوم امنیت اطلاعات چیه و چه تفاوتی با امنیت سایبری دارد و هر آنچه که در مورد اصول امنیت اطلاعات و نحوه پیاده سازی آن باید بدانید رو داخل این مطلب برای شما آورده ایم. پس تا انتهای این مقاله با ما همراه باشید.

امنیت اطلاعات چیست؟

امنیت اطلاعات شامل مجموعه‌ای از اصول و روش‌های اثبات شده است که به کاربران برای حفاظت از داده‌های‌ خود در برابر دسترسی‌های غیرمجاز یا ایجاد تغییرات در آن‌ها توسط اشخاص متفرقه در هنگام ذخیره یا انتقال داده‌ها از مکانی به مکان دیگر کمک می‌کنند. محفاظت از اسناد اطلاعات کاغذی، اطلاعات دیجیتالی و انواع داده‌های خصوصی و حساس در برابر دسترسی‌های غیرمجاز از جمله مواردی هستند که در حوزه امنیت اطلاعات قرار دارند.

تفاوت امنیت سایبری و امنیت اطلاعات در چیست؟

امنیت سایبری شامل مجموعه‌ای از عملیات و قوانین برای تأمین امنیت و حفاظت از فضای دیجیتالی در برابر حملات سایبری بوده و از سازمان شما در برابر هک، حملاتی که از بیرون یا درون سازمان رخ می‌دهند و همچنین دسترسی‌های غیرمجاز محافظت می‌کند.

حفاظت از داده‌های دیجیتالی، رایانه‌ها، دستگاه‌ها، شبکه‌ها، سرورها، نرم‌افزارها، نقاط انتهایی، پایگاه‌های داده، برنامه‌های کاربردی، سرویس‌های ابری و همچنین امنیت زیرساخت از جمله نمونه‌های امنیت سایبری محسوب می شوند.

امنیت اطلاعات و تأمین امنیت برای داده‌های حساس، زیرمجموعه‌ای از امنیت سایبری است. به طور کلی امنیت اطلاعات شامل اصول محرمانگی، دسترس‌پذیری و جامعیت اطلاعات و همچنین حفاظت از داده‌ها (صرف‌نظر از فرم و شکل آن‌ها) و مدارک چاپی حساس است. کنترل‌های رویه‌ای، کنترل‌های دسترسی، کنترل‌های فنی و کنترل‌های قانونی از جمله نمونه‌هایی هستند که در حوزه امنیت اطلاعات قرار دارند.

اصول امنیت اطلاعات

امنیت اطلاعات شامل سه اصل مهم و پایه‌ای است که در زیر آنها را مورد بررسی قرار می‌دهیم.

محرمانگی (Confidentiality)

یکی از عناصر پایه در امنیت اطلاعات، «محرمانگی» است. در صورتی محرمانگی داده‌ها حفظ می‌شود که فقط افراد مجاز امکان دسترسی به آن‌ها را داشته باشند. جهت اطمینان از محرمانگی باید همه فنون طراحی شده برای امنیت (همچون استفاده از کلمات عبور قوی، رمزنگاری، احراز هویت و دفاع در برابر حملات نفوذ) مورد استفاده قرار گیرند.

جامعیت (Integrity)

جامعیت، از جمله اصول مهم و اساسی در حفاظت از داده‌ها در برابر تغییرات غیرمجاز است. رویکردهایی که برای حفاظت از محرمانگی داده‌ها مورد استفاده قرار می‌گیرند، جامعیت داده‌ها را نیز حفظ خواهند کرد؛ زیرا زمانی که مجرمان سایبری امکان دسترسی به داده‌ها را نداشته باشند قادر به ایجاد تغییر در آن‌ها هم نخواهند بود.

دسترس پذیری (Availability)

یکی دیگر از عناصر پایه در حوزه امنیت اطلاعات، دسترس پذیری است. دسترس پذیری به معنای توانایی تطبیق منابع رایانشی و شبکه جهت کمک به پیاده‌سازی سیاست‌های معقول برای بازیابی شرایط پس از وقوع یک رخداد است. بنابراین این اصل زمانی معنی می‌یابد که علاوه بر جلوگیری از دسترسی افراد غیرمجاز به داده‌های حساس، افراد مجاز به منابع و اطلاعات مورد نیازشان دسترسی داشته باشند.

میزان دسترس پذیری در لایه‌های مختلف به شرح زیر است:

سیاست امنیت اطلاعات (ISP) چیست؟

سیاست امنیت اطلاعات سندی است که یک سازمان بر مبنای نیازها و شرایط خاص خود تهیه می‌کند. این سند، داده‌هایی که باید محافظت شوند و همچنین روش‌های حفاظت از آن‌ها را مشخص می‌کند و راهنمایی‌های لازم برای تأمین ابزارهای امنیت سایبری را در اختیار سازمان‌ها قرار می‌دهد.

نکات کلیدی که باید در سیاست امنیت اطلاعات مورد توجه قرار گیرند، شامل موارد زیر هستند:

علاوه بر ISP، سیستم مدیریت امنیت اطلاعات (ISMS) هم به پیاده‌سازی یک سیاست امنیت اطلاعات مناسب کمک نموده و یک روش سیستماتیک را برای مدیریت امنیت اطلاعات در سازمان ایجاد می‌کند. ISP و ISMS چارچوب‌های مدیریت شده‌ای هستند که سیاست‌ها، رویه‌ها و کنترل‌های طراحی شده برای پیروی از هر سه هدف امنیت اطلاعات را تعریف نموده و به کاربران برای مدیریت، نظارت، بازبینی و بهبود اصول امنیت اطلاعات از طریق یک مکان و به شیوه‌ای آسان کمک می‌کنند.

استانداردهای امنیت اطلاعات

سازمان بین‌المللی استاندارد ایزو (ISO) یک سازمان غیردولتی جهانی است که متشکل از نهادهای مسئول تعریف استاندارد در بیش از 160 کشور مختلف جهان است. هدف اصلی این سازمان، طراحی و ترویج استانداردهای بین‌المللی برای شرایط کاری، فناوری‌ها، رویه‌های ارزیابی علوم و همچنین مسائل اجتماعی مهم است.

واژه iso از کلمه یونانی isos به معنای برابر به دست آمده و به عنوان پیشوند در کلماتی مثل ایزومتریک (به معنای ابعاد یا اندازه‌گیری‌های برابر) و ایزونومی (به معنای تساوی در برابر قانون) به کار می‌رود. بنابراین به منظور پیشگیری از ایجاد ابهام ناشی از ترجمه‌های مختلف، «مؤسسه بین‌المللی استاندارد» در سطح جهان از این واژه به عنوان اسم این سازمان استفاده می‌کند.

استانداردهای ایزو فناوری اطلاعات

استانداردهای مشهور ایزو برای فناوری اطلاعات می‌توان به موارد زیر اشاره کرد:

اتصال متقابل سامانه‌های باز (OSI)

شرکت‌های مخابراتی و تولیدکنندگان رایانه، در سال 1983 این مدل یکپارچه را برای پروتکل‌های اعتباری ایجاد کرده و سپس ایزو نیز آن را به عنوان یک استاندارد پذیرفت.

ایزو 27001

استاندارد ایزو ۲۷۰۰۱ یک فرایند شش مرحله‌ای را برای توسعه و پیاده‌سازی فرایندها و سیاست‌های امنیت اطلاعات ارایه می‌دهد.

ایزو 20000

این استاندارد، مشخصات فنی و اصول توصیه شده‌ای را برای مدیریت سرویس‌های فناوری اطلاعات مشخص می‌کند.

ایزو 31000

این استاندارد مدیریت مخاطرات، تعریف مخاطرات و اصطلاحات مرتبط با آن را استانداردسازی نموده و دستورالعمل‌های راهنما را برای همه کسب و کارها و مشاغل تعریف می‌کند.

ایزو 12207

این استاندارد ایزو، یک فرایند مدیریت چرخه حیات یکپارچه را برای همه نرم‌افزارها ایجاد می‌کند.

پیشنهاد می شود مطالعه مقاله :امنیت اطلاعات سازمانی