کمیته رکن چهارم – در عصر فناوری امروزی، اطلاعات به صورت دیجیتالی و با استفاده از روشهایی که چندان امن نیستند بر روی شبکهها، رایانهها، سرورها و محیطهای ابری ذخیره میشوند. مجرمان سایبری ممکن است به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کنند. از این رو به مدیران سازمانها و مالکان کسب و کارها توصیه میشود آگاهیهای لازم را در زمینه امنیت اطلاعات به دست آورند. آنها همچنین باید راهکارهای ارایه شده برای محافظت از اطلاعات حساس را در سازمانشان پیادهسازی کرده و آموزشهای مرتبط با این حوزه را نیز در اختیار کارمندانشان قرار دهند. در این مطلب مفهوم امنیت اطلاعات، تفاوت آن با امنیت سایبری و همچنین استانداردهایی که در این حوزه وجود دارد را بررسی میکنیم.
امنیت اطلاعات چیست؟
امنیت اطلاعات شامل مجموعهای از اصول و روش های اثبات شده است که به کاربران برای حفاظت از دادههایشان در برابر دسترسیهای غیرمجاز یا ایجاد تغییرات در آنها توسط اشخاص متفرقه در هنگام ذخیره یا انتقال دادهها از مکانی به مکان دیگر کمک میکنند. محفاظت از اسناد اطلاعاتی کاغذی، اطلاعات دیجیتالی و انواع دادههای خصوصی و حساس در برابر دسترسیهای غیرمجاز از جمله مواردی هستند که در حوزه امنیت اطلاعات قرار دارند.
گرچه مفاهیم امنیت اطلاعات و امنیت سایبری شبیه هم به نظر میرسند اما این دو موضوع کاملاً متفاوت هستند. امنیت اطلاعات یک گرایش خاص است که زیردسته امنیت سایبری محسوب میشود.
چه تفاوتی بین امنیت سایبری و امنیت اطلاعات وجود دارد؟
امنیت سایبری شامل مجموعهای از عملیات و قوانین برای تأمین امنیت و حفاظت از فضای دیجیتالی در برابر حملات سایبری بوده و از سازمان شما در برابر هک، حملاتی که از بیرون یا درون سازمان رخ میدهند و همچنین دسترسیهای غیرمجاز محافظت میکند. حفاظت از دادههای دیجیتالی، رایانهها، دستگاهها، شبکهها، سرورها، نرمافزارها، نقاط انتهایی، پایگاههای داده، برنامههای کاربردی، سرویسهای ابری و همچنین امنیت زیرساخت از جمله نمونههای امنیت سایبری محسوب می شوند.
همانگونه که گفتیم حفاظت از دادههای دیجیتال در حوزه امنیت سایبری قرار دارد. از این رو امنیت اطلاعات و تأمین امنیت برای دادههای حساس، زیرمجموعهای از امنیت سایبری است. به طور کلی امنیت اطلاعات شامل اصول محرمانگی، دسترسپذیری و جامعیت اطلاعات و همچنین حفاظت از دادهها (صرفنظر از فرم و شکل آنها) و مدارک چاپی حساس میباشد. کنترلهای رویهای، کنترلهای دسترسی، کنترلهای فنی و کنترلهای قانونی از جمله نمونههایی هستند که در حوزه امنیت اطلاعات قرار دارند.
اصول امنیت اطلاعات
امنیت اطلاعات شامل سه اصل مهم و پایهای است که در زیر آنها را مورد بررسی قرار میدهیم.
محرمانگی (Confidentiality)
یکی از عناصر پایه در امنیت اطلاعات، «محرمانگی» است. در صورتی محرمانگی دادهها حفظ میشود که فقط افراد مجاز امکان دسترسی به آنها را داشته باشند. جهت اطمینان از محرمانگی باید همه فنون طراحی شده برای امنیت (همچون استفاده از کلمات عبور قوی، رمزنگاری، احراز هویت و دفاع در برابر حملات نفوذ) مورد استفاده قرار گیرند.
جامعیت (Integrity)
جامعیت، از جمله اصول مهم و اساسی در حفاظت از دادهها در برابر تغییرات غیرمجاز است. رویکردهایی که برای حفاظت از محرمانگی دادهها مورد استفاده قرار میگیرند، جامعیت دادهها را نیز حفظ خواهند کرد؛ زیرا زمانی که مجرمان سایبری امکان دسترسی به دادهها را نداشته باشند قادر به ایجاد تغییر در آنها هم نخواهند بود.
دسترس پذیری (Availability)
یکی دیگر از عناصر پایه در حوزه امنیت اطلاعات، دسترس پذیری است. دسترس پذیری به معنای توانایی تطبیق منابع رایانشی و شبکه جهت کمک به پیادهسازی سیاستهای معقول برای بازیابی شرایط پس از وقوع یک رخداد است. بنابراین این اصل زمانی معنی مییابد که علاوه بر جلوگیری از دسترسی افراد غیرمجاز به دادههای حساس، افراد مجاز به منابع و اطلاعات مورد نیازشان دسترسی داشته باشند.
میزان دسترس پذیری در لایههای مختلف به شرح زیر است:
- لایه دسترسی در برنامههای کاربردی به این صورت است که برنامههای کاربردی طراحی شده برای کاربران نهایی فقط باید به جریانهای کاری ضروری کسب و کار دسترسی داشته باشند.
- لایه دسترسی زیرساخت به این مسئله میپردازد که اجزای زیرساخت باید فقط به بخشهای مورد نیاز (یعنی فقط سرورها) دسترسی داشته باشند.
- در لایه دسترسی فیزیکی، دسترسیهای فیزیکی به هر سیستم، مرکز داده، رایانه یا هر شیء فیزیکی دیگری که حاوی اطلاعات محرمانه است می بایست فقط شامل مواردی باشد که برای انجام کار ضروری هستند.
- لایه دادههای در جریان به امنیت دادههای در حال انتقال میپردازد.
ممکن است از خودتان بپرسید هدف از تأمین امنیت دادهها چیست؟ با توجه به حفاظت از دادهها در برابر دسترسیهای غیرمجاز، انتظار میرود پاسخ به این پرسش چندان پیچیده نباشد. مهمترین اصلی که در امنیت اطلاعات وجود دارد این است که اطلاعات فقط برای افرد مجاز باید در دسترس و قابل مشاهده باشند. همچنین کارمندان یک سازمان باید تمام تلاششان را برای حفظ محرمانگی دادههایی که در اختیار دارند، به کار گیرند.
یکی از روشهای پرکاربردی که برای ایجاد محرمانگی در دادهها (به ویژه دادههای در حال انتقال) مورد استفاده قرار میگیرد، رمزنگاری است. علم رمزنگاری شامل راهکارهایی برای رمزنگاری و رمزگشایی اطلاعات میباشد. عملکرد کلی رمزنگاری به این صورت است که دادههای درون فایلها را به نحوی تغییر میدهد که امکان خواندن یا ایجاد تغییر در آنها بدون داشتن کلید رمزگشایی وجود نداشته باشد.
روشهای پرکاربرد رمزنگاری شامل رمزنگاری های دستی، متقارن و نامتقارن هستند. احراز هویت دومرحلهای و مراقبت از کلیدها از جمله راهکارهای رایجی هستند که میتوان در فناوری رمزنگاری از آنها استفاده نمود. در احراز هویت دومرحلهای، امنیت دادههای محرمانه افزایش یافته و احتمال نشت دادهها کمتر میشود. رویکرد مراقبت از کلیدها نیز کلیدهای مخفی رمزنگاری شما را در محلی امن نگهداری میکند. به همین خاطر دیگر امکان گم شدن یا سوءاستفاده از آنها وجود نخواهد داشت.
سیاست امنیت اطلاعات چیست؟
سیاست امنیت اطلاعات سندی است که یک سازمان بر مبنای نیازها و شرایط خاص خود تهیه میکند. این سند، دادههایی که باید محافظت شوند و همچنین روشهای حفاظت از آنها را مشخص نموده و راهنماییهای لازم برای تأمین ابزارهای امنیت سایبری را در اختیار سازمانها قرار میدهد.
نکات کلیدی که باید در سیاست امنیت اطلاعات مورد توجه قرار گیرند، شامل موارد زیر هستند:
- توضیحات لازم در خصوص هدف از ارایه طرح امنیت اطلاعات
- تعریف کلیدواژههای موجود در سند برای ایجاد یک درک مشترک بین تمامی افراد
- تعریف سیاست حفاظت از کلمات عبور
- تعیین اینکه چه اشخاصی به چه دادههایی دسترسی داشته باشند.
- تعیین نقش و مسئولیتهای کارمندان برای حفاظت از دادهها
علاوه بر ISP، سیستم مدیریت امنیت اطلاعات هم به پیادهسازی یک سیاست امنیت اطلاعات مناسب کمک نموده و یک روش سیستماتیک را برای مدیریت امنیت اطلاعات در سازمان ایجاد میکند. ISP و ISMS چارچوبهای مدیریت شدهای هستند که سیاستها، رویهها و کنترلهای طراحی شده برای پیروی از هر سه هدف امنیت اطلاعات را تعریف نموده و به کاربران برای مدیریت، نظارت، بازبینی و بهبود اصول امنیت اطلاعات از طریق یک مکان و به شیوهای آسان کمک میکنند.
استانداردهای امنیت اطلاعات
سازمان بینالمللی استاندارد ایزو یک سازمان غیردولتی جهانی متشکل از نهادهای مسئول تعریف استاندارد در بیش از ۱۶۰ کشور مختلف دنیا است. هدف اصلی این سازمان، طراحی و ترویج استانداردهای بینالمللی برای شرایط کاری، فناوریها، رویههای ارزیابی علوم و همچنین مسائل اجتماعی مهم است. واژه iso از کلمه یونانی isos به معنای برابر به دست آمده و به عنوان پیشوند در کلماتی مثل ایزومتریک (به معنای ابعاد یا اندازهگیریهای برابر) و ایزونومی (به معنای تساوی در برابر قانون) به کار میرود. بنابراین به منظور پیشگیری از ایجاد ابهام ناشی از ترجمههای مختلف، «مؤسسه بینالمللی استاندارد» در سطح جهان از این واژه به عنوان اسم این سازمان استفاده میکند.
از جمله استانداردهای مشهور ایزو برای فناوری اطلاعات میتوان به موارد زیر اشاره کرد:
-
اتصال متقابل سامانههای باز
شرکتهای مخابراتی و تولیدکنندگان رایانه، در سال ۱۹۸۳ این مدل یکپارچه را برای پروتکلهای اعتباری ایجاد کرده و سپس ایزو نیز آن را به عنوان یک استاندارد پذیرفت.
-
ایزو ۲۷۰۰۱
این استاندارد یک فرایند شش مرحلهای را برای توسعه و پیادهسازی فرایندها و سیاستهای امنیت اطلاعات ارایه میدهد.
-
ایزو ۲۰۰۰۰
این استاندارد، مشخصات فنی و اصول توصیه شدهای را برای مدیریت سرویسهای فناوری اطلاعات مشخص میکند.
-
ایزو ۳۱۰۰۰
این استاندارد مدیریت مخاطرات، تعریف مخاطرات و اصطلاحات مرتبط با آن را استانداردسازی نموده و دستورالعملهای راهنما را برای همه کسب و کارها و مشاغل تعریف میکند.
-
ایزو ۱۲۲۰۷
این استاندارد ایزو، یک فرایند مدیریت چرخه حیات یکپارچه را برای همه نرمافزارها ایجاد میکند.
جمعبندی
باید همواره توجه داشته باشید که مراقبت از دادههای حساس، جزو دغدغههای هر کسب و کاری محسوب می شود و شما با استفاده از راهکارهای امنیتی مناسب میتوانید از خودتان و دادههایتان محفاظت کنید.
منبع: فراست
