سياست هاي امنيت اطلاعات چيست
سياست امنيت اطلاعات (Information Security Policy) به مجموعهاي از سياستهاي تعيين شده توسط يك سازمان ميگويند تا اطمينان حاصل شود كه تمام كاربران در حوزههاي مختلف سازمان، كنترلهاي امنيتي در راستاي حفاظت از شبكه و اطلاعات در مقابل حملات داخلي و خارجي رعايت ميكنند.
هر سند امنيت اطلاعات براي هر سازمان اختصاصي است، سياست امنيتي يك سازمان سندي است كه برنامههاي سازمان را براي محافظت سرمايههاي فيزيكي و مرتبط با فناوري ارتباطات را بيان ميكند. ديدگاهمان به سياست امنيتي به شكل يك سند زنده است، به اين معني كه فرآيند تكميل و اصلاح آن هيچوقت متوقف نميشود، بلكه متناسب با تغيير فناوري و نياز كاربران مدام در حال بروزرساني است. چنين سندي شامل شرايط استفاده مجاز كاربران، برنامه آموزش كاربران براي مقابله با خطرات، توضيح معيارهاي سنجش و روش سنجش امنيت سازمان و بيان رويه ارزيابي موثر بودن سياستهاي امنيتي و راه كار به روزرساني آنها است.
هر سياست امنيتي تعيين كننده اهداف امنيتي و تجاري يك سازمان است اما در چگونگي انجام كارهاي مهندسي و پياده سازي اين اهداف دخالتي ندارد. سند سياست امنيتي سازمان ميبايست قابل فهم، واقع بينانه و غير متناقض باشد، بعلاوه از نظر اقتصادي امكان پذير، از منظر عملي قابل انعطاف و متناسب با اهداف سازمان و نظرات مديريت آن سطح حفاظتي قابل قبولي را ارائه نمايد.
هدف سياست امنيت فناوري اطلاعات حفظ محرمانه بودن، يكپارچگي و در دسترس بودن سيستم ها و اطلاعات مورد استفاده سازمان است. اين سه اصل به مثلت CIA شناخته ميشوند :
1. محرمانه بودن (Confidentiality): حفاظت از اطلاعات در برابر كاربران غير مجاز ميباشد. به زبان ساده تر به كارهايي ميگويند كه براي كسب اطمينان از محرمانه بودن اطلاعات انجام ميگيرد، براي جلوگيري از دسترسي افراد غيرمجاز به اطلاعات محرمانه است. البته گاهي ممكن است دسترسي به اطلاعات حتي براي كاربران مجاز نيز محدود شود و همچنين بايد دادهها بر اساس ميزان و نوع آسيب هايي كه ممكن است در صورت دسترسي افراد غير مجاز به آن ها وارد شود دسته بندي شوند. رمز نگاري داده يك راه معمول براي اطمينان از محرمانه بودن است.
2. يكپارچگي(Integrity) : ضمانت ميكند كه اصلاح اطلاعات به صورت مشخص و مجاز انجام شود، يكپارچگي اطلاعات به معناي اين است كه تنها كاربران و سيستم هاي مجاز امكان تغيير در دادهها را دارند و حتي كاربران مجاز اجازه تغييرات بدون دليل و اجازه را ندارند. پايبندي به يكپارچگي بايد در درون و بيرون سازمان رعايت شود .
3. در دسترس بودن (Availability): اين بخش از مثلث امنيت CIA است كه اطمينان ميدهد كه يك سيستم يا اطلاعات همواره در دسترس باشد.
سياست امنيت اطلاعات ميتواند تدريجي باشد و به نسبت نوع و دستهاي كه دارد در شرايط مختلف اجرا شود. با مثالي عاميانه فرض كنيد يك كارمند بايگاني كه كليه ارتباطات سازمان را دسته بندي ميكند معمولا مجاز به اشتراك گذاري اين اطلاعات نيست مگر در شرايطي كه اين مجوز صادر شده باشد پس مدير ميزان دسترسي و اشتراك گذاري هر يك از اطلاعات توسط كاربر بايگاني را تعيين ميكند .
سياستها اكثرا داراي ويژگيهاي مختلفي هستند كه بنا به شرايط براي كاربران تعيين ميشود و امكان تفاوت دسترسي براي هر كاربر ممكن است. سياستهاي امنيت اطلاعات به صورت مداوم در حال پيشرفت و بروزرساني براي همخواني بيشتر با سياست هاي كسب و كار سازمان هستند. همچنين اسناد امنيت اطلاعات را در مقابل حملات سايبري، تهديدهاي مخرب، هكرها و خرابكاري ها حفاظت ميكند. بيانيههاي امنيت اطلاعات به طور خاص بر امنيت شبكه، امنيت فيزيكي، تعريف سطوح دسترسي و محافظت در برابر كدهاي مخرب و پروسه بازيابي از حادثه (Disaster Recovery) تمركز ميكند و خطرات ناشي از اين تهديدات را كاهش ميدهد.
برخي از هدفهاي سياستهاي امنيت شامل موارد زير ميباشد:
· تعيين سطوح دسترسي كاربران و نحوه دسترسي اشخاص
· شناسايي تهديدات بالقوه سازمان
· شناسايي مرجعهاي حساس سازماني در راستاي محافظت
· جلوگيري از نابود شدن مرجعهاي اطلاعاتي و محاسباني سازمان و اطمينان از يكپارچگي اطلاعات
· كم كردن ريسك ناشي از استفاده غيرقانوني از اطلاعات و منابع و جلوگيري از نابود شدن داده هاي مهم و حياتي
· تعيين و طرح ريزي روش مديريت و نگهداري اصولي و پيوسته در راستاي امنيت و امن سازي شبكه و اطلاعات
· پيادهسازي روش هاي امنيتي مقرون به صرفه در راستاي محافظت از داراييهاي شناسايي شده مانند تست نفوذ، امن سازي شبكه
سياست هاي امنيتي سازمان تاثير بسزائي در راستاي تعيين و پيشبرد اهداف ايفا ميكنند ، ولي نبايست استراتژي و هدف هاي شركت را تغيير دهند
به طوركلي تعدادي از خدمات ما در حوزه فناوري اطلاعات شامل موارد زير است :
· ارزيابي آمادگي سازمان جهت استقرار ITSM و ارائه نقشه راه
· ارائه نقشه راه و سند راهبردي مديريت فناوري اطلاعات
· طراحي فرآيندهاي مورد نياز جهت اخذ گواهينامه استاندارد ISO/IEC 20000
· طراحي فرآيندهاي مورد نياز جهت اخذ گواهينامه استاندارد ISO/IEC 27001
· طراحي فرآيندهاي مورد نياز جهت اخذ گواهينامه استاندارد ISO/IEC 22301
· طراحي مجدد ساختار سازماني واحد خدمات فناوري اطلاعات در سازمان
· پيادهسازي حاكميت و مديريت فناوري اطلاعات با استفاده از چارچوب
· طراحي ساختار ميز خدمت (Service Desk) متناسب با خدمات، ساختار سازماني، تنوع مشتريان و خدمات سازمان COBIT 5
· ارزيابي بلوغ حاكميت و مديريت فناوري اطلاعات با استفاده از چارچوب ارزيابي COBIT 5
· ارائه خدمات مشاورهاي جهت ارزيابي و انتخاب ابزار مناسب براي سازمانها متناسب با بلوغ فرآيندي، اولويت فرآيندها، بودجه و …
· بهبود مديريت خدمات فناوري اطلاعات با استفاده از چارچوب ITIL
· طراحي سياستهاي امنيتي در حوزه فناوري اطلاعات (IT Security Policies) متناسب با اولويتهاي سازمان و مجموعه خدمات در حال ارائه
· شناسايي و تحليل ريسكهاي فناوري اطلاعات منطبق با استاندارد ISO/IEC 31000 و به روش M_o_R
· ارزيابي ميزان بلوغ واحد ميز خدمت (Service Desk) جهت استقرار آن در سازمان
· طراحي فرآيندهاي مرتبط با استمرار كسب و كار (Business Continuity Management) و استمرار خدمات فناوري اطلاعات (IT Service Continuity Management)
مشاوره امنيت اطلاعات و مشاوره فناوريهاي اطلاعاتي با هدف تعيين و پيادهسازي فناوريهاي مناسب از جايگاه مهمي در سازمانها دولتي و خصوصي بهرمند هستند، اين سازمان ها ساليانه هزينه قابل توجهي صرف تامين تجهيزات سخت افزاري،توسعه شبكه و خطوط ارتباطي، تهيه نرم افزار، توليد داده ها و اطلاعات و آموزش پرسنل صرف ميكنند. با اين حال اگر دقت كنيد در سطح كشور موارد موفق در حوزه فناوري اطلاعات بسيار كم هستند.
انتخاب كارشناس فناوري اطلاعات با سابقه فعاليت در حوزه IT، شبكه و علوم كامپيوتر موجب افزايش بهرهوري شركت و كاهش تهديدات و خطرات احتمالي ميشود.
مديران امن نگار پارتاك به عنوان مشاور امنيت اطلاعات آماده ارائه انواع خدمات در حوزه مشاوره و استقرار استانداردها ISO/IEC،ITIL در ابعاد مختلفي است.
برچسب: ،