باور عمومی از واژه «امنیت» (Security) همواره متناظر با قفل و نرده و حصار و سیم خاردار بوده است. وقتی در مورد «اطلاعات» (Information) صحبت می‌کنیم، اولین نکته‌ای که به خاطرمان می‌آید انبوهی از فایل‌هایی است که روی رایانه (Computer) نگهداری می‌شوند. وقتی صحبت از «امنیت اطلاعات» (Information Security) می‌شود، ناخودآگاه به یاد رایانه، کلمه عبور (Password)، اسم رمز (Code Security )، قفل‌های سخت‌افزاری و نرم‌افزاری و نرم‌افزارهای دیوار آتش (Firewall) و نظایر آنها می‌افتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است.
اطلاعات در تعریف علمی آن به مجموعه‌ای از داده‌ها (Data) که دارای معنی و هدف باشند، اطلاق می‌شود. می‌بینیم که در این تعریف هیچ صحبتی از رایانه و داده‌های الکترونیکی یا دیجیتالی نشده است. از این رو، اطلاعات می‌تواند به هر نوع از داده‌های معنی‌دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفته‌های شفاهی ما به یکدیگر را نیز پوشش می‌دهد. حال بگذارید مقوله امنیت اطلاعات را با چند پرسش مهم آغاز کنیم. ما برای چه اسناد مهم خود را در گاوصندوق نگهداری می‌کنیم؟ به چه دلیل در اتاق بایگانی شرکت‌مان را قفل می‌کنیم؟ به چه دلیل برای ورود به رایانه خود کلمه عبور تعیین می‌کنیم؟ یا به چه دلیل رایانه خود را به طور منظم ویروس‌یابی می‌کنیم؟
واقعیت این است که ما به حفاظت از اطلاعات خود اهمیت می‌دهیم زیرا این اطلاعات برای تصمیم‌گیری‌ها، قضاوت‌ها، تحلیل‌ها، یادآوری خاطرات تلخ و شیرین و در یک کلام برای کاربردهای گوناگون در لحظات گوناگون زندگی‌مان لازم هستند. حال بیایید این سوال را از خود بپرسیم که اگر اطلاعاتی که برای یک قضاوت استفاده می‌کنیم نادرست باشند، نتیجه قضاوت ما چه می‌شود؟ اگر اطلاعاتی که برای یک تصمیم‌گیری حساس به آن نیاز داریم، اصلا در دسترس نباشد یا خیلی دیر به دست ما برسد، چه تصمیمی خواهیم گرفت و چقدر می‌توان به موثر بودن نتایج آن تصمیم اطمینان داشت؟
بنابراین بر اساس تعاریف توافق‌شده جهانی، امنیت اطلاعات به فرآیند حفاظت (Protection) اطلاعات در برابر انواع کارهای غیرمجاز (Unauthorized) شامل دسترسی (Access)، استفاده (Use)، افشا (Disclosure)، اختلال (Disruption)، تغییر (Modification)، مطالعه (Perusal)، بازرسی (Inspection)، ضبط (Recording) یا تخریب (Destruction) گفته می‌شود. مشاهده می‌کنید که کارهای ذکرشده در این تعریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر شما مجاز به دسترسی به اطلاعاتی باشید، «دسترسی» کاری مطلوب و مفید محسوب می‌شود که به تصمیم‌گیری‌های شما کمک می‌کند. یا اگر اطلاعات منسوخ یا قدیمی باید تخریب شود تا افراد تصمیم‌گیرنده را به اشتباه نیندازد، «تخریب» کاری مطلوب و مفید است ولی هنگامی که واژه «غیرمجاز» را در مقابل هر کدام از این کارها قرار می‌دهید، آن کار، نامطلوب و مضر به شمار می‌رود.
با همین تعبیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آنها را گرفته باشیم، در واقع کاری نامطلوب انجام داده‌ایم و تاثیر نامطلوبی بر تصمیمات کاری یا زندگی آنان گذاشته‌ایم.
بنا بر آنچه تا اینجا گفته شد، می‌توان فهمید اولین کارهایی که در حوزه امنیت اطلاعات باید انجام دهیم به ترتیب اولویت عبارتند از:

شناسایی اطلاعات مورد نظر
شناسایی کاربرد اطلاعات شناسایی‌شده
تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناسایی‌شده.
حال که شناخت ما از اطلاعات و کاربرد آن و کارهای مجاز و غیرمجاز کامل شد، به ابتدای تعریف بالا دوباره نگاه می‌کنیم. امنیت اطلاعات یعنی فرآیند حفاظت اطلاعات در برابر کارهای غیرمجاز بر روی آن اطلاعات. پس باید روش‌هایی برای پیشگیری یا جلوگیری از انجام کارهای غیرمجاز تعیین کنیم و همچنین شیوه‌هایی مشخص کنیم که اگر برخی کارهای غیرمجاز انجام شد، چگونه واکنش نشان دهیم.

مدل درستی، محرمانگی، در دسترس بودن
این مدل پذیرفته‌شده جهانی برای تشریح مفاهیم پایه‌ای امنیت اطلاعات است. این مدل بر سه اصل استوار است:

درستی (Integrity): یعنی جلوگیری از تغییرات نامطلوب در اطلاعات، به صورت اتفاقی یا عمدی
محرمانگی (Confidentiality): یعنی جلوگیری از لو رفتن اطلاعات به افراد نامرتبط، توسط افراد مجاز یا غیرمجاز، به صورت اتفاقی یا عمدی
در دسترس بودن (Availability): یعنی جلوگیری از قطع خدمات یا تخریب دارایی‌ها، به صورت اتفاقی یا عمدی.
این مدل تمام جوانب تعریف بالا را در مورد امنیت اطلاعات پوشش می‌دهد.

آشنایی با برخی موضوعات مهم در امنیت اطلاعات
خط مشی امنیت اطلاعات
طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی (Policy) امنیت اطلاعات در سازمان تعیین شود. خط مشی به ما می‌گوید حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم‌تر است، ما باید خود را برای چه نوع ریسک‌هایی آماده کنیم، چه خطراتی درستی، محرمانگی و در دسترس بودن اطلاعات سازمان ما را تهدید می‌کند و راهکارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟

ساختار امنیت اطلاعات
چه ساختار سازمانی برای اداره روش‌های امنیت اطلاعات لازم است؟ چه کمیته‌هایی باید تشکیل شوند و چه مسوولانی باید تعیین شوند؟ آیا از مشاوران و صاحب‌نظران برای کمک در امور تخصصی استفاده می‌شود؟ بازبینی‌های دوره‌ای برای اطمینان از اجرای درست روش‌های امنیت اطلاعات توسط چه کسانی و در چه دوره‌هایی انجام می‌شود؟ سیاست‌های سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباط با اطلاعات سازمان چیست؟

موضوعات امنیتی مرتبط با نیروی انسانی
آیا افراد سازمان از دانش امنیت اطلاعات برخوردارند؟ آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را می‌شناسند و از تبعات آنها آگاهند؟ آیا آنها گزارش‌دهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم‌افزاری، نقص‌های امنیتی، ویروس‌ها و…) را یاد گرفته‌اند؟ آیا کارکنان به لحاظ امنیت اطلاعات مورد گزینش قرار می‌گیرند و چه سطحی از گزینش برای هر شغل لازم است؟ آیا برای کارکنان تازه‌کار و کم‌تجربه آموزش‌های خاص در ارتباط با امنیت اطلاعات در نظر گرفته می‌شود؟

امنیت فیزیکی و محیطی
آیا به مسائل زیر در سازمان توجه شده است؟

تعریف سطوح امنیت فیزیکی در سازمان
توجه به فضاها، دیوارها، مکانیسم‌های کنترلی، نگهبانی، نرده و حفاظ، سیستم‌های هشداردهنده، قفل‌ها و…
توجه به شیوه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و..
توجه به سایر حوادث نظیر آتش‌سوزی و ترکیدگی لوله و…
کنترل‌های ورود و خروج و عبور و مرور در سازمان
شرایط کار در محیط‌های امن (Secure Area)
تعریف مسیرها و مکان‌های ایزوله برای حمل و بارگیری
نصب و حفاظت از تجهیزات مهم
منابع تغذیه و منابع انرژی، برق اضطراری
امنیت کابل‌کشی‌ها (شبکه کامپیوتری، تلفن، دوربین مداربسته، سیستم اعلام حریق، دزدگیر و…)
تعمیرات و نگهداری تجهیزات
امنیت تجهیزات قابل حمل (مثل لپ‌تاپ) در خارج از سازمان
سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت.
مدیریت ارتباطات و عملیات
آیا برای موارد زیر پیش‌بینی‌های لازم صورت گرفته و روش‌های مناسبی تدوین و اجرا می‌شود؟

کنترل خطاهای نرم‌افزاری
تهیه پشتیبان (Backup) از اطلاعات
تهیه سوابق (Log) عملکرد افراد
تهیه سوابق خطاها
توافقنامه‌های تبادل اطلاعات و نرم‌افزار
امنیت رسانه‌ها (Media) در حال جابه‌جایی
امنیت در تجارت الکترونیکی (E-Commerce)
امنیت پست الکترونیکی (Email)
امنیت سیستم‌های الکترونیکی اداری
امنیت سیستم‌های در دسترس عمومی (Public Access)
کنترل دسترسی‌ها (Access Control)
دسترسی به اطلاعات همواره می‌تواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشند:

ثبت کاربران
مدیریت سطوح دسترسی کاربران
مدیریت و کاربرد اسامی رمز
بازنگری حقوق دسترسی کاربران
امنیت تجهیزات کاربر در غیاب کاربر
کنترل مسیرهای شبکه‌ای
اعتبارسنجی (Authentication) کاربران در اتصال از خارج شبکه
اعتبارسنجی ایستگاه‌های کاری (Workstation)
حفاظت درگاه‌های (Port) دسترسی از راه دور (Remote)
جداسازی (Isolation) شبکه‌ها
کنترل اتصالات شبکه‌ای
کنترل مسیریابی (Routing) شبکه‌ای
امنیت خدمات شبکه
روش ورود به سیستم‌عامل (Log-on)
شناسایی و اعتبارسنجی کاربر
محدودیت در زمان و مدت اتصال کاربر به شبکه
جداسازی سیستم‌های حساس
جمع‌بندی
همان‌گونه که در این مختصر دیدیم، مقوله امنیت اطلاعات یک مقوله مهم، بسیار وسیع و پیچیده است که دستیابی به آن علاوه بر زیرساخت‌های بسیار حساس فرهنگی و آموزش‌های متنوع، نیازمند دانش روز درباره مدیریت اطلاعات، فناوری‌های (Technology) پیشرفته و استقرار سیستم‌های مدیریتی است. زمینه‌های بسیار متنوعی که گوشه‌ای از آنها را در بالا دیدیم، نشان از گستردگی و ارتباطات تارعنکبوتی پیچیده بین مقوله‌های مختلف انسانی، ساختاری، سازمانی، فناوری و مدیریتی در استقرار سیستم‌های مدیریت امنیت اطلاعات دارد. هر چه سازمان گسترده‌تر و اطلاعات و شیوه‌های تبادل اطلاعات در آن متنوع‌تر و حساسیت اطلاعات آن بیشتر باشد، تضمین امنیت اطلاعات در آن به صورت تصاعدی مشکل‌تر خواهد بود. از این رو در استقرار سیستم‌های مدیریت امنیت اطلاعات همواره توصیه می‌شود از رویکرد گام به گام در شکستن پیچیدگی‌های سیستم به اجزای کوچک‌تر و قابل مدیریت‌تر و نیز از رویکرد اجرای پایلوت برای آزمودن سیستم در ابعاد کوچک‌تر استفاده شود.

مراجع
استاندارد بین‌المللی ایزو ۲۷۰۰۱ ویرایش ۲۰۰۵ و راهنماهای مربوطه

منبع : ماهنامه پیوست