سیاست های امنیت اطلاعات چیست
۱۳۹۷/۰۶/۲۶
سیاست های امنیت اطلاعات چیست
سیاست امنیت اطلاعات (Information Security Policy) مجموعه ای از سیاست های صادر شده توسط یک سازمان است تا اطمینان حاصل شود که تمام کاربران فناوری اطلاعات و رویه های موجود در حوزه های مختلف سازمان، کنترل های امنیتی برای حفاظت از شبکه و دارایی ها را در برابر حملات داخلی و خارجی را رعایت می کنند.
امروزه تکامل شبکه های کامپیوتری موجب دسترس پذیری و اشتراک سریع اطلاعات گردیده است.اطلاعات در حال حاضر با نرخ تریلیون بایت در هر میلی ثانیه مبادله می شوند، رقم روزانه ای که ممکن است فراتر از درک یا نام گذاری موجود باشد.
یک سند یا مستند امنیت اطلاعات، منحصر به فرد برای هر سازمان است، که در این سند دارایی های سازمان، ارزش اطلاعات، رویه های دسترسی به این اطلاعات مشخص شده اند.در واقع در این سند مشخص شده است که چه دارایی در سازمان باید توسط چه کسی نگهداری شود و توسط شخص یا اشخاصی می تواند به آن دسترسی داشته باشند، چه افرادی به داده های سازمان دسترسی دارند و این دسترسی ها به چه صورت برای آن ها فراهم می شود، همچنین چه افرادی امکان تغییر در این داده ها را دارند به طور کلی همه این موارد در سیاست های امنیت اطلاعات سازمان مشخص می شوند. اهداف یک سیاست امنیت فناوری اطلاعات حفظ محرمانه بودن، یکپارچگی و در دسترس بودن سیستم ها و اطلاعات مورد استفاده یک سازمان است. این سه اصل که مثلث CIA را تشکیل می دهند:
محرمانه بودن (Confidentiality): شامل حفاظت از دارایی ها از اشخاص غیر مجاز می شود، در واقع به اقداماتی میگویند که برای اطمینان از محرمانه بودن اطلاعات انجام می شود تا از دسترسی افراد متفرقه به اطلاعات حساس جلوگیری شود. حتی گاهی نیاز است که دسترسی ها برای افراد مجاز نیز محدود شوند. همچنین باید داده ها بر اساس میزان و نوع آسیب هایی که ممکن است در صورت دسترسی افراد غیر مجاز به آن ها وارد شود دسته بندی شوند. رمز نگاری داده یک روش معمول برای اطمینان از محرمانه بودن است.
یکپارچگی (Integrity): تضمین می کند که اصلاح دارایی ها به صورت مشخص و مجاز انجام می شود، یکپارچی اطلاعات به این معناست که تنها افراد و سیستم های مجاز می توانند در دیتا تغییر ایجاد کنند و تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد. یکپارچگی باید در درون و بیرون سیستم حفظ شود.
در دسترس بودن (Availability): این پارامتر از مثلث امنیت CIA ضمانت می کند که یک سیستم یا اطلاعات همواره باید در دسترس باشد.
یک سیاست امنیت اطلاعات ممکن است سلسله مراتبی باشد و بسته به نوع و دسته ای که دارد در زمان و موقعیت ها متفاوت اجرا شوند، به عنوان مثال یک کارمند دبیرخانه که کلیه ارتباطات سازمان را تایپ می کند،معمولا هرگز مجاز به اشتراک گذاری این اطلاعات نمی باشد، مگر اینکه که اجازه انجام این کار داشته باشد، بدین ترتیب مدیر می تواند تصمیم بگیرد چه اطلاعاتی توسط کارمندان دبیر خانه مجاز به اشتراک گذاری هستند و چه اطلاعاتی از این مجوز را ندارد، به همین ترتیب همه سیاست ها در یک محدوده ثابت قرار ندارند. سیاست ها اغلب شامل مشخصات متفاوتی هستند که بسته به وضعیت برای افراد تعریف می شنود و ممکن است برای هر فرد متفاوت باشند.
سیاست های امنیت اطلاعات به طور متداوم در حال بروزرسانی برای انطباق بیشتر با سیاست های سازمان و کسب و کار هستند. علاوه بر این مستندات امنیت اطلاعات، سازمان را در برابر حملات سایبری، تهدیدهای مخرب، جاسوسی، خرابکاری و ... می تواند حفاظت کند. بیانه های امنیت اطلاعات به صورت ویژه ای بر روی امنیت فیزیکی، امنیت شبکه، تعریف سطوح دسترسی، محافظت در برابر کدهای مخرب و فرآیند بازیابی از حادثه یا Disaster Recovery متمرکز می شوند و خطرات ناشی از این تهدیدات را کاهش می دهند.
از اهداف سیاست های امنیت می توان به موارد زیر اشاره نمود.
پیادهسازی راهکارهای امنیتی مقرون به صرفه جهت محافظت از داراییهای شناسایی شده مانند آزمون تست نفوذ، امن سازی شبکه و...
مشخص کردن و طرح ریزی یک روش مدیریت و نگهداری درست و منظم برای امنیت و امن سازی شبکه و اطلاعات
جلوگیری از هدر رفتن منابع اطلاعاتی و محاسبانی سازمان و اطمینان از صحت و تمامیت اطلاعات
تعریف و مشخص نمودن سطوح دسترسی کاربران و نحوه دسترسی افراد
شناسایی منابع حساس سازمانی جهت محافظت
کاهش دادن ریسک ناشی از استفاده غیرقانونی از اطلاعات و منابع و جلوگیری از از بین رفتن داده های حساس و حیاتی
شناسایی تهدیدات بالقوه سازمان
یک سیاست امنیتی سازمان نقش مهمی در تصمیم گیری و هدایت آن بازی می کند، اما نباید استراتژی یا مأموریت های سازمان را تغییر دهد، بنابراین، مهم است که سیاستی را که از چارچوب فرهنگی و ساختاری موجود سازمان تشکیل شده است، به منظور حمایت از تداوم بهره وری و نوآوری و نه به عنوان یک سیاست عمومی که مانع از رسیدن سازمان به اهداف سازمان است، به طور متداول اجرا نمود.
مقالات مرتبط
اشتراک در :