امنیت اطلاعات یعنی چه؟
باور عمومی از واژه «امنیت» (Security) همواره متناظر با قفل و نرده و حصار و سیم خاردار بوده است. وقتی در مورد «اطلاعات» (Information) صحبت میکنیم، اولین نکتهای که به خاطرمان میآید انبوهی از فایلهایی است که روی رایانه (Computer) نگهداری میشوند. وقتی صحبت از «امنیت اطلاعات» (Information Security) میشود، ناخودآگاه به یاد رایانه، کلمه عبور (Password)، اسم رمز (Code Security )، قفلهای سختافزاری و نرمافزاری و نرمافزارهای دیوار آتش (Firewall) و نظایر آنها میافتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است.
اطلاعات در تعریف علمی آن به مجموعهای از دادهها (Data) که دارای معنی و هدف باشند، اطلاق میشود. میبینیم که در این تعریف هیچ صحبتی از رایانه و دادههای الکترونیکی یا دیجیتالی نشده است. از این رو، اطلاعات میتواند به هر نوع از دادههای معنیدار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفتههای شفاهی ما به یکدیگر را نیز پوشش میدهد. حال بگذارید مقوله امنیت اطلاعات را با چند پرسش مهم آغاز کنیم. ما برای چه اسناد مهم خود را در گاوصندوق نگهداری میکنیم؟ به چه دلیل در اتاق بایگانی شرکتمان را قفل میکنیم؟ به چه دلیل برای ورود به رایانه خود کلمه عبور تعیین میکنیم؟ یا به چه دلیل رایانه خود را به طور منظم ویروسیابی میکنیم؟
واقعیت این است که ما به حفاظت از اطلاعات خود اهمیت میدهیم زیرا این اطلاعات برای تصمیمگیریها، قضاوتها، تحلیلها، یادآوری خاطرات تلخ و شیرین و در یک کلام برای کاربردهای گوناگون در لحظات گوناگون زندگیمان لازم هستند. حال بیایید این سوال را از خود بپرسیم که اگر اطلاعاتی که برای یک قضاوت استفاده میکنیم نادرست باشند، نتیجه قضاوت ما چه میشود؟ اگر اطلاعاتی که برای یک تصمیمگیری حساس به آن نیاز داریم، اصلا در دسترس نباشد یا خیلی دیر به دست ما برسد، چه تصمیمی خواهیم گرفت و چقدر میتوان به موثر بودن نتایج آن تصمیم اطمینان داشت؟
بنابراین بر اساس تعاریف توافقشده جهانی، امنیت اطلاعات به فرآیند حفاظت (Protection) اطلاعات در برابر انواع کارهای غیرمجاز (Unauthorized) شامل دسترسی (Access)، استفاده (Use)، افشا (Disclosure)، اختلال (Disruption)، تغییر (Modification)، مطالعه (Perusal)، بازرسی (Inspection)، ضبط (Recording) یا تخریب (Destruction) گفته میشود. مشاهده میکنید که کارهای ذکرشده در این تعریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر شما مجاز به دسترسی به اطلاعاتی باشید، «دسترسی» کاری مطلوب و مفید محسوب میشود که به تصمیمگیریهای شما کمک میکند. یا اگر اطلاعات منسوخ یا قدیمی باید تخریب شود تا افراد تصمیمگیرنده را به اشتباه نیندازد، «تخریب» کاری مطلوب و مفید است ولی هنگامی که واژه «غیرمجاز» را در مقابل هر کدام از این کارها قرار میدهید، آن کار، نامطلوب و مضر به شمار میرود.
با همین تعبیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آنها را گرفته باشیم، در واقع کاری نامطلوب انجام دادهایم و تاثیر نامطلوبی بر تصمیمات کاری یا زندگی آنان گذاشتهایم.
بنا بر آنچه تا اینجا گفته شد، میتوان فهمید اولین کارهایی که در حوزه امنیت اطلاعات باید انجام دهیم به ترتیب اولویت عبارتند از:
شناسایی اطلاعات مورد نظر
شناسایی کاربرد اطلاعات شناساییشده
تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناساییشده.
حال که شناخت ما از اطلاعات و کاربرد آن و کارهای مجاز و غیرمجاز کامل شد، به ابتدای تعریف بالا دوباره نگاه میکنیم. امنیت اطلاعات یعنی فرآیند حفاظت اطلاعات در برابر کارهای غیرمجاز بر روی آن اطلاعات. پس باید روشهایی برای پیشگیری یا جلوگیری از انجام کارهای غیرمجاز تعیین کنیم و همچنین شیوههایی مشخص کنیم که اگر برخی کارهای غیرمجاز انجام شد، چگونه واکنش نشان دهیم.
مدل درستی، محرمانگی، در دسترس بودن
این مدل پذیرفتهشده جهانی برای تشریح مفاهیم پایهای امنیت اطلاعات است. این مدل بر سه اصل استوار است:
درستی (Integrity): یعنی جلوگیری از تغییرات نامطلوب در اطلاعات، به صورت اتفاقی یا عمدی
محرمانگی (Confidentiality): یعنی جلوگیری از لو رفتن اطلاعات به افراد نامرتبط، توسط افراد مجاز یا غیرمجاز، به صورت اتفاقی یا عمدی
در دسترس بودن (Availability): یعنی جلوگیری از قطع خدمات یا تخریب داراییها، به صورت اتفاقی یا عمدی.
این مدل تمام جوانب تعریف بالا را در مورد امنیت اطلاعات پوشش میدهد.
آشنایی با برخی موضوعات مهم در امنیت اطلاعات
خط مشی امنیت اطلاعات
طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی (Policy) امنیت اطلاعات در سازمان تعیین شود. خط مشی به ما میگوید حفاظت از کدام دسته از اطلاعات سازمان برای ما مهمتر است، ما باید خود را برای چه نوع ریسکهایی آماده کنیم، چه خطراتی درستی، محرمانگی و در دسترس بودن اطلاعات سازمان ما را تهدید میکند و راهکارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟
ساختار امنیت اطلاعات
چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟ چه کمیتههایی باید تشکیل شوند و چه مسوولانی باید تعیین شوند؟ آیا از مشاوران و صاحبنظران برای کمک در امور تخصصی استفاده میشود؟ بازبینیهای دورهای برای اطمینان از اجرای درست روشهای امنیت اطلاعات توسط چه کسانی و در چه دورههایی انجام میشود؟ سیاستهای سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباط با اطلاعات سازمان چیست؟
موضوعات امنیتی مرتبط با نیروی انسانی
آیا افراد سازمان از دانش امنیت اطلاعات برخوردارند؟ آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را میشناسند و از تبعات آنها آگاهند؟ آیا آنها گزارشدهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرمافزاری، نقصهای امنیتی، ویروسها و…) را یاد گرفتهاند؟ آیا کارکنان به لحاظ امنیت اطلاعات مورد گزینش قرار میگیرند و چه سطحی از گزینش برای هر شغل لازم است؟ آیا برای کارکنان تازهکار و کمتجربه آموزشهای خاص در ارتباط با امنیت اطلاعات در نظر گرفته میشود؟
امنیت فیزیکی و محیطی
آیا به مسائل زیر در سازمان توجه شده است؟
تعریف سطوح امنیت فیزیکی در سازمان
توجه به فضاها، دیوارها، مکانیسمهای کنترلی، نگهبانی، نرده و حفاظ، سیستمهای هشداردهنده، قفلها و…
توجه به شیوه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و..
توجه به سایر حوادث نظیر آتشسوزی و ترکیدگی لوله و…
کنترلهای ورود و خروج و عبور و مرور در سازمان
شرایط کار در محیطهای امن (Secure Area)
تعریف مسیرها و مکانهای ایزوله برای حمل و بارگیری
نصب و حفاظت از تجهیزات مهم
منابع تغذیه و منابع انرژی، برق اضطراری
امنیت کابلکشیها (شبکه کامپیوتری، تلفن، دوربین مداربسته، سیستم اعلام حریق، دزدگیر و…)
تعمیرات و نگهداری تجهیزات
امنیت تجهیزات قابل حمل (مثل لپتاپ) در خارج از سازمان
سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت.
مدیریت ارتباطات و عملیات
آیا برای موارد زیر پیشبینیهای لازم صورت گرفته و روشهای مناسبی تدوین و اجرا میشود؟
کنترل خطاهای نرمافزاری
تهیه پشتیبان (Backup) از اطلاعات
تهیه سوابق (Log) عملکرد افراد
تهیه سوابق خطاها
توافقنامههای تبادل اطلاعات و نرمافزار
امنیت رسانهها (Media) در حال جابهجایی
امنیت در تجارت الکترونیکی (E-Commerce)
امنیت پست الکترونیکی (Email)
امنیت سیستمهای الکترونیکی اداری
امنیت سیستمهای در دسترس عمومی (Public Access)
کنترل دسترسیها (Access Control)
دسترسی به اطلاعات همواره میتواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشند:
ثبت کاربران
مدیریت سطوح دسترسی کاربران
مدیریت و کاربرد اسامی رمز
بازنگری حقوق دسترسی کاربران
امنیت تجهیزات کاربر در غیاب کاربر
کنترل مسیرهای شبکهای
اعتبارسنجی (Authentication) کاربران در اتصال از خارج شبکه
اعتبارسنجی ایستگاههای کاری (Workstation)
حفاظت درگاههای (Port) دسترسی از راه دور (Remote)
جداسازی (Isolation) شبکهها
کنترل اتصالات شبکهای
کنترل مسیریابی (Routing) شبکهای
امنیت خدمات شبکه
روش ورود به سیستمعامل (Log-on)
شناسایی و اعتبارسنجی کاربر
محدودیت در زمان و مدت اتصال کاربر به شبکه
جداسازی سیستمهای حساس
جمعبندی
همانگونه که در این مختصر دیدیم، مقوله امنیت اطلاعات یک مقوله مهم، بسیار وسیع و پیچیده است که دستیابی به آن علاوه بر زیرساختهای بسیار حساس فرهنگی و آموزشهای متنوع، نیازمند دانش روز درباره مدیریت اطلاعات، فناوریهای (Technology) پیشرفته و استقرار سیستمهای مدیریتی است. زمینههای بسیار متنوعی که گوشهای از آنها را در بالا دیدیم، نشان از گستردگی و ارتباطات تارعنکبوتی پیچیده بین مقولههای مختلف انسانی، ساختاری، سازمانی، فناوری و مدیریتی در استقرار سیستمهای مدیریت امنیت اطلاعات دارد. هر چه سازمان گستردهتر و اطلاعات و شیوههای تبادل اطلاعات در آن متنوعتر و حساسیت اطلاعات آن بیشتر باشد، تضمین امنیت اطلاعات در آن به صورت تصاعدی مشکلتر خواهد بود. از این رو در استقرار سیستمهای مدیریت امنیت اطلاعات همواره توصیه میشود از رویکرد گام به گام در شکستن پیچیدگیهای سیستم به اجزای کوچکتر و قابل مدیریتتر و نیز از رویکرد اجرای پایلوت برای آزمودن سیستم در ابعاد کوچکتر استفاده شود.
مراجع
استاندارد بینالمللی ایزو ۲۷۰۰۱ ویرایش ۲۰۰۵ و راهنماهای مربوطه
منبع : ماهنامه پیوست