نويسنده:احسان كيانخواه گام‌هاي پياده‌سازي سيستم‌هاي امنيت اطلاعات (ISS)

واضح آرشیو وب فارسی:فارس: نويسنده:احسان كيانخواه گام‌هاي پياده‌سازي سيستم‌هاي امنيت اطلاعات (ISS)
خبرگزاري فارس: امروزه بستره فن آوري اطلاعات محيط مناسبي جهت تبادل اطلاعات به ظاهر عادي است كه همين اطلاعات آشكار و بي ارزش سهم عمده اي از اطلاعات مورد نياز سرويس هاي جاسوسي را شامل مي شود. فناوري اطلاعات مطالعه ، طراحي ، توسعه ، پياده سازي و پشتيباني يا مديريت سيستم هاي اطلاعات مبتني بر كامپيوتر خصوصا نرم افزارهاي كاربردي وسخت افزار كامپيوتر است.

مقدمه
باگسترش روابط انساني وسهولت برقراري ارتباط با فن آوري هاي نوين ، تهديدهاي امنيتي رنگ وبوي جديدي به خود گرفتند. شنود تلفن شايد از همان آغازين روزهاي رواج اين فناوري بصورت تفنني توسط اپراتورهاي مراكز تلفن صورت مي پذيرفت . اما به مرور زمان پاي سرويس هاي جاسوسي گروههاي تروريستي واخلال گران ، به اين حوزه نيز باز شد.امروزه بستره فن آوري اطلاعات محيط مناسبي جهت تبادل اطلاعات به ظاهر عادي است كه همين اطلاعات آشكار و بي ارزش سهم عمده اي از اطلاعات مورد نياز سرويس هاي جاسوسي را شامل مي شود.
فناوري اطلاعات مطالعه ، طراحي ، توسعه ، پياده سازي و پشتيباني يا مديريت سيستم هاي اطلاعات مبتني بر كامپيوتر خصوصا نرم افزارهاي كاربردي وسخت افزار كامپيوتر است. از ماموريت هاي فناوري اطلاعات مديريت داده ، شبكه ، مهندسي كامپيوتر ، سخت افزار ، پايگاه داده و طراحي نرم افزار مي توان برشمرد. سيستم اطلاعاتي ، سيستمي از افراد ، داده هاي ذخيره شده وفعاليت هاي است كه داده و اطلاعات را در يك سازمان پردازش مي كند ، فرآيندهاي سازمان از نوع دستي وخودكار است. سيستم هاي اطلاعاتي توسعه و كاربرد و مديريت سازمان با زيرساخت فناوري اطلاعات است. فن آوري اطلاعات و ارتباطات فرصت جديدي براي حرفه ها در فضاي اتوماسيون ، همكاري و تجارت الكترونيكي ، همچنين قادر ساختن به توليد و خدمات كاملا جديد ايجاد نموده است.
كاربرد اين فن آوري حرفه ها را در معرض مخاطراتي از آتش و طوفان تا بزهكاري و تروريسم سايبري قرار داده ، كه نياز به مديريت و نظارت دارد. در دنياي جديد ، مهمترين عامل توانايي وقدرت حفاظت از اطلاعات در مقابل تهديدات دشمنان و تبادل و اشتراك گذاري امن اطلاعات درجهت افزايش توانمندي است.

1-امنيت اطلاعات
اطلاعات داراي تنوع معنايي از كاربرد روزمره تا محيط هاي فني است. عموما مفهوم اطلاعات وابسته به ادراك ( انديشه) ، ارتباط ، كنترل ، داده ، فرم ، آموزش ، دانش ، مفهوم ، الگو ، دورنما و نمايش است. اطلاعات مجموعه اي از آگاهي هاست ، اطلاعات چي / كجا / چطور يك موضوع است وبه معناي جزئياتي در موضوعي كه به آن نيازداريم است. به تعبير كامپيوتري اطلاعات ، داده هاي پردازش شده است كه داراي ارزش و اعتبار مي باشد.
امنيت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سيستم هاي اطلاعاتي در مقابل هرگونه مخاطره وتهديد است. مخاطرات وتهديدهاي اين حوزه شامل دسترسي ، كاربرد ، افشاء ، قطع ، تغيير يا انهدام غيرمجاز اطلاعات است. امنيت اطلاعات طبق استاندارد ISO27001 حفظ محرمانگي، جامعيت و در دسترس بودن اطلاعات در مقابل مخاطرات ، تهديدها و آسيب پذيري ها تعريف شده است.
جامعيت اطلاعات به مفهوم تامين نمودن درستي و تماميت اطلاعات و روشهاي پردازش است به عبارت ديگر اطلاعت فقط توسط افراد مجاز قابل تغيير باشد.محرمانگي بيان مي دارد اطلاعات فقط در دسترس افرادي است كه مجاز به دسترسي به آنها هستند و در دسترس بودن به معناي دسترسي به اطلاعات توسط كاربر مجازاست ، زمانيكه نيازمند آن اطلاعات است .

2-برنامه استراتژيك امنيت اطلاعات
هدف برنامه استراتژيك امنيت اطلاعات جهت دادن به پياده سازي امنيت اطلاعات است ، برنامه چارچوبي را براي اهداف در جهت الزام به محرمانگي ، جامعيت ودر دسترس بودن فراهم مي آورد.

" گام هاي راهبردي براي پياده سازي
برقراري مديريت امنيت اطلاعات شش هدف متصور است :
گام 1: توسعه ، تصويب و ترويج خط مشي امنيت اطلاعات فراگير
بايستي با نظر كارشناسان خبره بخش هاي مختلف دنباله اي از خط مشي هاي امنيت اطلاعات را مبني بر استاندارد موجود توسعه ، تصويب واجرا نمود. اين دستورالعمل بصورت رسمي برنامه امنيت اطلاعات سازمان را بيان داشته وكاركنان در برابر آن پاسخگو هستند . فهرست زير شامل مجموعه اي از خط مشي ها رسمي سازماني را بيان مي دارد والبته محدود به موارد زير نيست.
بروزرساني واجرا نمودن خط مشي قابل قبولي در كاربرد كامپيوتر و شبكه بصورت عمومي
"كنترل دسترسي اطلاعات وتعيين سطح دسترسي به داده ها و سيستم ها
"اعلام وصول ، ذخيره سازي و پردازش وتوزيع اطلاعات حساس
"تست و بازبيني امنيتي سخت افزار و نرم افزار بكار گرفته شده
"ممارست در حفاظت از داده هاي عمومي بصورت گزارش گيري از تخلفات وتهديدات امنيتي
"مجوزهاي قانوني تخريب ، پشتيبان سازي و وضعيت رسانه هاي ديجيتالي
"حذف دسترسي هاي كاركنان كه فعاليتشان به هر دليلي خاتمه يافته است.
"ارزيابي و مديريت مخاطرات ( ريسك)

گام 2 : كاركنان بايستي آگاه از پاسخگويي درباره امنيت اطلاعات باشند
همه كاركنان بايد در دوره آشنايي و يادگيري امنيت اطلاعات وبكاربردن اصول حفاظت از اطلاعات شركت نمايند. برنامه آموزشي بايد داراي سطح بندي انعطاف پذيري براي مديران ارشد ، مديران مياني ، مديران سيستم وشبكه و كاركنان بخش هاي مختلف باشد . برنامه آموزشي با توجه به نوع فعاليت هر فرد و پاسخگوبودن در مقابل سازمان تنظيم گردد. مراحل ساخت برنامه آموزشي شامل معيارهاي زير است :
"شناسايي وتحليل فاصله بين وضعيت جاري ودانش مطلوب
"تعيين اولويت ها
"توسعه آگاهي ( با پست الكترونيكي و صفحات وب وخبرنامه ها)
"انتخاب موضوعات آموزشي ( خط مشي هاي قابل اجرا)
"توسعه آموزش و يادگيري براساس وظيفه و مسئوليت
"استفاده از فناوري براي آموزش ( كاربرد وب ، آموزش الكترونيكي )

گام 3 : ايجاد امور امنيت اطلاعات هربخش
در هربخش فردي كه توانايي مناسبي براي پياده سازي واجراي خط مشي هاي مورد نياز امنيت اطلاعات دارد انتخاب گردد. امور امنيت اطلاعات داراي پاسخگويي هاي رسمي زير است والبته نه محدود به موارد زير:
"توسعه ، انتشار ، نگهداري رويه ها ، خط مشي هاي برنامه امنيت سيستم هاي اطلاعاتي در بخش مربوطه
"متصدي رسيدگي به اعتراضات و شكايات وتخلفات حوزه تبادل اطلاعات و ممارست در به نتيجه رساندن
"متصدي كنترل نقاط اصلي در هنگام وقوع حوادث امنيتي و وخيم
"فراهم نمودن پيشنهادهايي براي مديران استراتژيك كه نيازمنديهاي مديريت مخاطرات ومباحث مربوط به فناوري سيستم هاي اطلاعاتي را پوشش دهد.
متصدي امور امنيت اطلاعات بخش بايد فعاليتهاي غيررسمي پيرامون امنيت اطلاعات نيز داشته باشد. موارد زير پاسخگويي هاي غيررسمي متصدي امور امنيت اطلاعات است والبته نه محدود به اين موارد:
* مطمئن ساختن كاركنان به مناسب بودن نسبي خط مشي ودستورالعمل هاي امنيت اطلاعات
* مطمئن شدن از انطباق امنيت پياده شده بر راهبرها وخط مشي هاي امنيتي
* گزارش دادن به مدير امنيت اطلاعات ميني بر سنجش و ارزيابي قوانين مصوب مسئولين اجرايي

گام 4 : بنا نهادن فرآيندي براي گزارش گيري منظم از پيشرفت به مدير اجرايي
دفتر پياده سازي امنيت بايد داراي زمانبندي مشخصي براي گزارش پيشرفت و توسعه امنيت اطلاعات به رئيس سازمان داشته باشد. اين گزارشات در دو بعد قابل استفاده است (1) ارزيابي مسئول سازمان از توانمندي پياده سازي امنيت اطلاعات توسط تيم اجرايي (2) برطرف نمودن نواقص وايرادات خط مشي هاي امنيتي تصويب شده توسط مسئولين كلان سازمان.

گام 5 : پياده نمودن كنترلهاي فعال وگسترده
تعيين سيستم هايي كه حاوي اطلاعات حساس هستند و مطمئن بودن از استقرار كنترلهاي دسترسي و سيستم هاي اطلاعاتي كه هرشخص صرفا به اطلاعات مشخصي دسترسي دارد انواع كنترل دسترسي شامل كنترل دسترسي اجباري ، احتياطي ، مبني بر مسئوليت سازماني وزماني از روز است . اهم نظارتها در اين بخش عبارتست از:
"ارزيابي بخش ها در راه اندازي خط مشي امنيتي
"شناسنامه دار نمودن دستگاهها
"تاكيد بر پيچيدگي رمز
"تاكيد بر تغيير رمز بصورت دوره اي
"ثبت عملكرد كاربران در سيستم هاي اطلاعاتي

گام 6 : پياده نمودن وارتقاء مداوم وبرنامه هاي ترسيم حوادث .
سازمان بايستي بصورت پيوسته به تحليل و ارزيابي مخاطرات سازماني بپردازد وبرنامه مشخص بخشي وسازماني براي حفاظتي و ترميم سيستم هاي حساس ، سرويسهاي شبكه وبرنامه هاي كاربردي وداده هاي داشته باشد. برنامه ارتقاء مداوم عبارت است از :
* كنترل وارزيابي مخاطرات
* تحليل آسيب هاي حرفه وكسب كار
* توسعه مداوم راهبردها و استراتژي هاي حرفه
* طراحي دفتر واكنش و عمليات
* آگاهي ، آموزش و يادگيري
* معاونت ونگهداري نمودن از برنامه ها سازماني بصورت پيوسته

3-پياده سازي امنيت اطلاعات
برنامه امنيت اطلاعات در يك لحظه قابل برقراي نيست ، اقدامي مداوم است كه بصورت فرآيند چرخشي قابل پياده سازي است. در اين چرخه كه متشكل از خط مشي و نيازمندي ها، آموزش و آگاهي، نظارت و اجرا، ارزيابي و گزارش گيري است؛ فاز ابتدايي به روشني قابل جداسازي نيست . چرخه پياده سازي ، بدنبال نيازمندي هاي امنيت اطلاعات ، آموزش كاربران و پاسخگو بودن آنها ، ساختن ساختار حاكميتي ، ديده باني و گزارش گيري ازپيشرفت ها است.
نتيجه گيري:
در گذشته اكثر سازمان ها هزينه نسبتا كمي را براي امنيت منابع اطلاعات خود پرداخت مي كردند. امنيت غالبا پس از رخداد حادثه اي مورد توجه قرار مي گرفت. پيشنهاد طراحي و پياده سازي برنامه امنيت IT با بي ميلي تصويب مي شد و پاسخگويي اغلب توسط كارمندان رده پايين فني صورت مي گرفت.
به تازگي - و هنوز توسط شركت ها و سازمان هاي بزرگ - ارزشهاي راهبردي حفاظت از اطلاعات و سيستم هاي اطلاعاتي در حال توسعه است . در اكثر موارد ، اين واقع بيني با تغيير نيازمندي هاي حقوقي و كنترل هاي تنظيمي پيگيري مي شود. در اين اواخر ، راهبري هماهنگ توجه گسترده اي به امنيت IT و مديريت مخاطرات مي دهد. رييس اداره اجرايي و رييس اداره اطلاعات هر دو شخصا در مورد مخاطراتي نظير دستبرد به داده هاي و سيستم هاي رايانه اي و دسترسي غير مجاز مسوول و پاسخگو هستند.
زماني برنامه راهبردي مفيد است كه پياده ، پشتيباني و استفاده شود. مديران حرفه ها در حال درك اين مطلب هستند كه امنيت IT و مديريت مخاطرات صرفا مشكل فني نيست كه با بكارگيري كنترل هاي امنيتي مهار شود. مديريت به مشي همه جانبه در برنامه ريزي امنيتي و مهيا نمودن منابع لازم براي برنامه امنيت فراگير كه فن آوري ، مردم و فرآيندها در آن دخيل هستند ، نياز دارد. آنها نيازمند تضمين اعتقاد همه اركان سازمان به چشم اندار امنيتي هستند.
.................................................................
انتهاي پيام/
سه شنبه 21 آبان 1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: فارس]

[مشاهده در: www.farsnews.com]

[تعداد بازديد از اين مطلب: 174]