c سیستم مدیریت امنیت اطلاعات - تجارت سرور پویا
تیر, ۱۳۹۶ بدون نظر آموزش, امنیت شبکه

سیستم مدیریت امنیت اطلاعات

امروزه امنيت اطلاعات، بزرگترين چالش در عصر فناوري اطلاعات محسوب مي‌شود و حفاظت از اطلاعات در مقابل دسترسي غير مجاز، تغييرات، خرابكاري و افشاء، امري ضروري و اجتناب ناپذير به شمار مي‌رود. از اين رو، امنيت دارايي‌هاي اطلاعاتي، براي تمامي سازمان‌ها امري حياتي بوده و مستلزم يك مديريت اثربخش مي‌باشد. در این مقاله ما به بررسی سیستم مدیریت امنیت اطلاعات می پردازیم.

معرفی استاندارد ISO 27001

هدف از تدوین این استاندارد تعیین الزامات جهت استقرار ، پیاده سازی ، نگهداری ، و بهبود مستمر سیستم امنیت اطلاعات است. پذیرش سیستم مدیریت امنیت اطلاعات ، تصمیمی راهبردی برای سازمان است . استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات تحت تاثیر نیازها و اهداف و الزامات امنیتی سازمان ، فرایندهای سازمانی مورد استفاده و اندازه و ساختار و سازمان است . انتظار می رود به مرور زمان ، همه این عوامل تاثیر گذار ، تغییر میکند.

استاندارد ISO 27001
isms

معرفی سیستم مدیریت امنیت اطلاعات ISMS

سیستم مدیریت امنیت اطلاعات ، از محرمانگی (Confidentiality) و یکپارچگی (Integrity) و دسترس پذیر بودن اطلاعات (Availability) با به کار بردن فرایند مدیریت مخاطرات محافظت میکند و به علاقه مندان اطمینان می دهد که مخاطرات به حد کافی مدیریت می شود. مهم است که سیستم مدیریت امنیت اطلاعات ،جزیی از فرایندهای سازمان و ساختار کلی مدیریتی و به صورت یکپارچه با ان باشد و امنیت اطلاعات در طراحی فرایند ها ، سامانه های اطلاعاتی و کنترل ها در نظر گرفته شود . انتظار می رود پیاده سازی سیستم مدیریت امنیت اطلاعات ، متناسب با نیازهای سازمان باشد. این استاندارد ملی ، می تواند طرف های درونی و بیرونی برای ارزیابی توانایی سازمان در براورده سازی الزامات امنیت اطلاعات خود سازمان به کار برده شود .

در ادامه به سه اصلی که سیستم مدیریت امنیت اطلاعات روی آن تاکید دارد میپردازیم

  • محرمانگی:

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجاز. به عنوان مثال، اگر شما حساب بانکی داشته باشید و مبلغ ۱۰۰۰$در حساب خود داشته باشید شما میخواهید از عدم دسترسی افراد غیر مجاز بجز افراد بانک که الزاما به حساب شما دسترسی دارند اطمینان حاصل کنید تا اطلاعات شما به غیر از کارمند بانک در دسترس افراد غیر قانونی قرار نگیرد.

محرمانگی اطلاعات
محرمانگی اطلاعات
  • یکپارچگی:

یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیر مجاز اطلاعات. یکپارچگی وقتی نقض می‌شود که اطلاعات نه فقط در حین انتقال بلکه درحال استفاده یا ذخیره شدن ویا نابودشدن نیز بصورت غیرمجاز تغییر داده شود. سیستم‌های امنیت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آنرا نیز تضمین می‌کنند.

برای مثال : اگر شما در حال انتقال انلاین پول باشید و بخواهید مبلغ $۱۰۰۰ را انقال دهید ، در حالی که پروسه انتقال جوری تغییر کند که جای ارسال $۱۰۰۰ مقداری بیشتری بر فرض مثال $۱۰۰۰۰ توسط سیستم ارسال شود و این برای شما هزینه بر و جبران ناپذیر می باشد .

یکپارچگی اطلاعات
یکپارچگی اطلاعات
  • در دسترس بودن :

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت‌افزار، و ارتقاء سیستم در دسترس باقی می‌ماند. یکی از راههای از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست‌های زیاد از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوه خدمات دهی را ندارد از سرویس دادن بطور کامل یا جزیی عاجز می‌ماند.

برای مثال : اگر شما قصد دارید که از بانکی که حساب در آن دارید مقداری پول دریافت کنید ، اگر سیستم های بانک در دسترس نباشند بانک می بایست این اطمینان را برای برداشت پول از طریق راه های دیگر مثل خودپرداز به مشتریان را بدهد.

در دسترس بودن سرویس ها و اطلاعات
در دسترس بودن

راه کارهای محافظتی از دارایی ها و اطلاعات حیاتی سازمان 

امروزه کارمندان اغلب سازمان ها در کسب کارها از دستگاه تلفن همراه خود استفاده میکنند در همین خصوص به دلیل وجود اطلاعات حیاتی سازمان که درون دستگاه های تلفن همراه وجود دارد این مسئله پیش می اید که در صورت گم شدن یا فراموش کردن دستگاه تلفن همراه توسط کارمندان سازمان چگونه و با چه سیاستی میتواند در برابر افشای اطلاعات به افراد غیز مجاز ، اقدامات محافظتی و پیشگیرانه را انجام داد.

پیاده سازی سیاست های امنیتی :

یک سازمان می تواند سیاست و روش های پیشگیرانه امنیتی را که به وضوح در مورد چنین حوادث بالقوه افشای اطلاعات سازمان صحبت میکندرا پیاده سازی کند. این روش سیاست گذاری در مورد اینکه چه مراحلی و کنترل هایی لازم هست تا یک کارمند سازمان هرگز دستگاه تلفن همراه خود را در جایی فراموش نکند صحبت میکند.

پیاده سازی سیاست های محافظتی
پیاده سازی سیاست های محافظتی

استفاده از کلمه عبور پیچیده و احراز هویت بیومتریک ( اثرانگشت ):

یک سازمان باید از بکارگیری و استفاده از کلمه عبور پیچیده برروی دستگاه های تلفن همراه کارمندان خود اطمینان حاصل کند.

برای مثال : میتوان از دستگاهای تلفن همراه Iphone5s یا دیگر دستگاهای دیگری که امکان احراز هویت از طریق اثر انگشت را داشته باشد استفاده کرد .

استفاده از اثر انگشت به منظور احراز هویت
استفاده از اثر انگشت به منظور احراز هویت

رمزنگاری قوی:

سازمان ها باید این اطمینان را حاصل کنند که فایل ها و فولدر ها و داده ها با یک الگوریتم رمز نگاری قوی رمز شوند تا در صورت گم شدن یا دزدیده شدن دستگاه تلفن همراه در معرض خطر نباشند حتی با این وجود که شخص بتوانند رمز عبور دستگاه را بدست اورد.

رمز نگاری قوی
رمز نگاری قوی

آموزش و آگاه سازی:

این مهم نیست که یک سازمان پیاده سازی سیاست های امنیتی خود را چگونه انجام دهد یا از چه سیاست امنیتی استفاده کند ، مهم این است که تمام کارمندان سیاست های امنیتی تعیین شده توسط سازمان را آموزش ببیبند و نسبت به آن ها آگاهی کافی داشته باشند . بهترین راه محافظت از داده های حیاتی سازمان این است که سازمان از آگاه بودن و آموزش کارمندان از ریسک مخاطرات داده های درون تلفن همراهشان اطمینان حاصل کند و هر کارمند در جهت محافظت از داده های سازمان که درون دستگاه تلفن همراه خودشان هست چه کاری را میتواند انجام دهد.

اگاه سازی کارمندان سازمان از سیاست های اجرا شده
اگاه سازی کارمندان سازمان از سیاست های اجرا شده

نتیجه گیری :

مدیریت امنیت اطلاعات فقط پیاده سازی دستگاهای امنیتی سخت افزاری مثل دیواره اتش (فایروال) نیست ، بلکه یک سازمان برای دستیابی به مدیریت امنیتی تاثیرگذار در جهت حفاظت از داده های حیاتی ، می بایست علاوه بر رویکردی های امنیتی سخت افزاری نظیر فایروال ، محیط DMZ ،امنیت فیزیکی، سیاست های امنیتی کافی ، ابزارهای امنیتی لازم ، ارایه آگاه سازی و آموزش های لازم به کارمندان ، و جلب رضایت کارمندان را سرلوحه برنامه خودش قرار دهد.

سیستم مدیریت امنیت اطلاعات میتواند در موارد زیر به سازمان ها کمک کند:

  • محافظت از اطلاعات کامپیوتر ها و کارمندان و مدیریت موثر مخاطرات امنیتی اطلاعات حیاتی از طریق راه حل های قابل بازبینی و اصولی.
  • برقراری امنیت اطلاعات
  • جذب مشتریان بیشتر و و تجارت ، داد ستد با شریکان مورد اطمینان
  • محافظت از نام و اعتبار سازمان
برچسب ها

ارسال نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *