سیـاستها، رویهها و استـانداردهای امنیت اطلاعات «قسمت اول»
دکتر منوچهر لرنی، عضو هیئت علمی دانشگاه آزاد و استاد دانشگاه
مقدمه
هدف برنامه امنیت اطلاعات حفاظت از منابع اطلاعاتی ارزشمند یک شرکت است. یک برنامه امنیتی جامع با انتخاب و اعمال سیاست ها، استانداردها و رویه های مناسب به شرکت کمک می کند تا اهداف یا ملزومات ماموریت تجاری را برآورده سازد. بدلیل اینکه برخی اوقات چنین تصور می شود که امنیت در دستیابی به اهداف تجاری اختلال ایجاد می کند، باید تضمین نمود که سیاست ها، استانداردها و رویه های موثر و بدرستی تعریف شده ای در دست اجرا قرار می گیرند.
از زمان ورود به حوزه امنیت اطلاعات در 1977، بحث های زیادی راجع به ضرورت استانداردسازی این حوزه مطرح شده اند. هنگامی که موسسه ملی استاندارد و فناوری (NIST) اسنادی همچون معرفی امنیت اطلاعات – هندبوک NIST (نسخه ویژه 800-12) را منتشر کرد، بحث های رسمی در این زمینه آغاز شدند. در حال حاضر، سازمان بین المللی استاندارد (ISO) نسخه جدیدی از فناوری اطلاعات- دستورالعمل اجرایی مدیریت امنیت اطلاعات (ISO 17799) و نسخه متناظر انگلیسی (BS 7799) را منتشر نموده است.
این اسناد و موارد دیگری همچون بانکداری و خدمات مالی مربوطه – دستورالعمل های امنیت اطلاعات (ISO/TR 13569) ، قانون جابه جایی و مسئولیت پذیری بیمه درمانی (HIPAA)، قانون حریم خصوصی اطلاعات مالی مصرف کنندگان (GAASP) این خلا را پُر کردند و نقشه ای را در اختیار متخصصان امنیتی قرار دادند تا به مشکلات امنیتی رسیدگی بکنند. دستورالعمل هایی برای مدیریت موثر امنیت اطلاعات است ، اما امنیت به منزله هدف نهایی این اسناد تلقی نمی شود. امنیت خوب بر اساس میزان حفاظت از دارایی های شرکت ، و برآورده سازی اهداف ماموریت و تجاری اندازه گیری می شود. این نوشتار نحوه توسعه سیاست ها، رویه ها، استانداردهای قابل استفاده در تمامی حوزه های عملکردی شرکت را به مخاطبان آموزش می دهد.
یک نمای کُلی : اصول حفاظت از اطلاعات
هدف حفاظت از اطلاعات حفاظت از منابع ارزشمند سازمان از جمله اطلاعات، سخت افزارها و نرم افزارها است. با انتخاب و اعمال معیارهای حفاظتی لازم، امنیت به سازمان ها کمک می کند تا با حفاظت از منابع فیزیکی و مالی، شهرت ، موقعیت قانونی ، کارکنان و سایر دارایی های مشهود وغیرمشهود به اهداف و ماموریت تجاری شان دست یابند. ما مولفه های امنیت رایانه ای ، نقش ها و مسئولیت های کارکنان، رویه ها و اقدامات پیشگیرانه و تحلیل ریسک را مرور می کنیم. در نهایت فهرست جامعی از وظایف، مسئولیت ها، اهداف رایج تشکیل دهنده یک برنامه رایج حفاظت از اطلاعات را شرح می دهیم.
مولفه های حفاظت از اطلاعات
حفاظت از اطلاعات باید شامل 8 مولفه اصلی زیر باشد :
- حفاظت از اطلاعات باید از اهداف و ماموریت شرکت پشتیبانی بکند. نمی توان بیشتر از این بر این ایده تاکید کرد. در بسیاری موارد، کارکنان امنیت اطلاعات اهداف و مسئولیت های خود را فراموش می کنند. پُست سازمانی افسر امنیت اطلاعات سازمان (ISSO) برای حمایت از سازمان ، و نه برعکس تعریف شده است.
- حفاظت از اطلاعات یکی از ارکان اساسی مراقبت های برنامه ریزی شده است. دو مسئولیت پایه بر عهده مدیریت ارشد است. وظیفه وفاداری که بر این اساس هر تصمیم اتخاذی باید به بهترین نحو به نفع شرکت باشد. وظیفه مراقبت ، که بر اساس آن مدیریت ارشد باید از دارایی های شرکت حفاظت بکند و تصمیم تجاری آگاهانه ای را اتخاذ نماید. یک برنامه حفاظت از اطلاعات موثر به مدیریت ارشد برای انجام این وظایف کمک می کند.
- حفاظت از اطلاعات باید مقرون به صرفه باشد. پیاده سازی کنترل ها بر اساس دستورالعمل های مشخص ، متضاد با جو تجاری است. قبل از پیشنهاددهی هرگونه کنترل، وجود ریسک های چشمگیر باید تایید بشود. اجرای فرایند تحلیل ریسک به موقع به تحقق این هدف کمک می کند. با شناسایی ریسک ها و پیشنهاددهی روش های کنترلی مناسب، ماموریت و اهداف تجاری شرکت بهتر برآورده می شوند.
- مسئولیت ها و پاسخگویی های حفاظت از اطلاعات باید به صورت صریح و واضح مشخص بشوند. برای موثر بودن ، باید بیانیه سیاست حفاظت اطلاعات و بیانیه ماموریت گروهی منتشر بشوند. نقش ها و مسئولیت های تمامی کارکنان در سیاست قرار می گیرند. برای موثربودن کامل، زبان سیاست باید در توافق نامه خرید تمامی کارکنان و مشاوران قراردادی تلفیق بشود.
- مالکان سیستم ها دارای مسئولیت های حفاظتی خارج از سازمان اصلی هستند. دسترسی به اطلاعات فرای واحد تجاری یا شرکت گسترش می یابد. مالک اطلاعات (به صورت عادی مدیر ارشد تجاری که اطلاعات اولیه را تولید نموده است) این مسئولیت را برعهده دارد. یک مسئولیت جدی نظارت بر مصرف اطلاعات جهت تضمین دسترسی به سطح اختیارات مجاز هر کاربر است. در صورتی که سیستمی دارای کاربران بیرونی باشد ، مالک آن مسئولیت اشتراک دانش کافی راجع به اقدامات کنترلی موجود با کاربران، بگونه ای که امنیت تضمین بشود را برعهده دارد.با گسترش حجم کاربران اصلی، تامین کنندگان، فروشندگان، مشتریان، کارفرمایان ، سهام داران و غیره هم لحاظ می شوند ، لذا ضروری است که شرکت از اقدامات کنترلی شفاف برخوردار باشد. برای بسیاری سازمان ها، صفحات امضایی نخستین نشانه از وجود کنترل های لازم است. صفحه پیام باید شامل سه مولفه اساسی باشد :
- اینکه سیستم فقط برای کاربران مجاز است
- فعالیت ها مورد نظارت هستند.
- با امضای فرایند ، کاربر موافقت خود با نظارت را بیان می کند
- حفاظت از اطلاعات به رویکرد جامع و کامل نیاز دارد تا بیشترین اثرگذاری را به همراه داشته باشد. بدین ترتیب مسائل حفاظت اطلاعات بخشی از چرخه عمر توسعه سیستم محسوب می شوند. در مرحله اولیه یا تحلیل، حفاظت اطلاعات باید شامل تحلیل ریسک، تحلیل اثر تجاری، و اسناد طبقه بندی اطلاعات باشد. علاوه بر این، بدلیل وجود اطلاعات در تمامی بخش های سازمان، هر واحد تجاری باید فردی را به عنوان مسئول حفاظت اطلاعات و برآورده سازی نیازهای تجاری انتخاب بکند.
- حفاظت اطلاعات باید به صورت دائمی مورد ارزیابی قرار بگیرد. با گذشت زمان، نیازها و اهداف دستخوش تغییر می شوند. یک برنامه حفاظت از اطلاعات موثر باید به صورت دائمی مورد بررسی قرار بگیرد و در هر زمان- مکان لازم تغییرات را اعمال بکند. این فرایند دینامیک و متغیر است و باید هر 18 ماه ارزیابی مجدد بشود.
- حفاظت اطلاعات توسط فرهنگ سازمان محدود می شود. ISSO باید درک بکند که برنامه اصلی در کُل شرکت پیاده سازی می شود. البته هر واحد تجاری باید اختیارات لازم برای اعمال تغییرات و برآورده سازی نیازهای خود را داشته باشد. اگر سازمان شما چند ملیتی است، باید تغییراتی را در کشورهای مختلف اعمال کنید. این تغییرات در آمریکا بررسی می شوند. اقدامی که در دس موینز- آیوا کارایی دارد، در برکلی- کالیفرنیا کارایی ندارد. بنابراین به توانایی یافتن و پیاده سازی گزینه ها نیاز داریم.
حفاظت از اطلاعات وسیله ای برای دستیابی به هدف است، ولی به تنهایی یک هدف محسوب نمی شود. در حوزه تجارت، وجود برنامه موثر معمولاً در اولویت دوم نسبت به کسب سود قرار می گیرد. در بخش دولتی (عمومی)، حفاظت اطلاعات نسبت به خدمات سازمان در اولویت دوم است. متخصصان امنیتی باید به این موارد توجه بکنند.
سیستم های رایانه ای و اطلاعات پردازش شده روی آن ها معمولاً جنبه های اساسی برای حمایت از ماموریت سازمان محسوب می شوند. حفاظت از آن ها به منزله حفاظت از سایر منابع سازمان همچون منابع مالی، دارایی های فیزیکی و کارکنان است. هزینه و منافع حفاظت از اطلاعات باید از نظر پولی – غیرپولی با دقت بررسی بشود. بدین ترتیب تضمین می شود هزینه های کنترلی از منافع مورد انتظار فراتر نمی روند. کنترل های حفاظت اطلاعات باید مناسب و به موقع باشند.
