بخشی از مقاله
چکیده
آنچه که جامعه حاضر را به جامعه اطلاعاتی تبدیل نموده است پیشرفت حیرت انگیز و سریع فناوری اطلاعات و ارتباطات و بکارگیری گسترده جوامع از این فناوری است باید اذعان داشت که تقریبا هرگونه برتری کشورهای توسعه یافته در این نوع جامعه مرهون میزان سرمایه گذاری، تولید، سازماندهی و بهره گیری از فناوری اطلاعات و ارتباطات و سرانجام دستیابی به اطلاعات به روز، صحیح و دقیق است
در این هنگامه ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد سیستمی که بر اساس نیازهای سازمان و میزان اهمیت اطلاعات در آن طراحی شده باشد و از تامین سرمایه های اطلاعاتی حفاظت نماید. سیستم مدیریت امنیت اطلاعات ابزاری مناسب در جهت طراحی و کنترل امنیت اطلاعات می باشد. لذا در این مقاله که به روش تحلیلی- توصیفی انجام شده است به بررسی مفاهیم امنیت داده، بررسی ضرورت استقرار سیستم مدیریت امنیت اطلاعات و معرفی مهمترین استانداردهای جهانی سیستم مدیریت امنیت اطلاعات پرداخته شده است.
.1 مقدمه
توجه به اطلاعات و مدیریت اطلاعات و امنیت آن یکی از ملاحظات مدیریتی هر سازمان تلقی می شود. در دهه کنونی، اطلاعات به شکل یک پدیده اصلی و تاثیر گذار در کلیه امور سازمانها و حتی زندگی افراد درآمده است. مواجهه با چنین پدیده ای بدون وجود یک سیاست کلان و عوامل اجرای هماهنگ آن سیاست مقدور نمی باشد. پیشرفت تکنولوژی کامپیوتر و رواج آن از یک سو و توسعه کمی و کیفی مخابرات داده ها از سوی دیگر باعث شده است که سرعت فزاینده و تصاعدی در تولید اطلاعات ایجاد شود.
امروزه در موارد بسیاری چرخش امور روزمره افراد و سازمانها تولید اطلاعات می کنند. این فرایند، با رشد تکنولوژی ذخیره سازی و انتقال اطلاعات همراه بوده است به گونه ای که ماهیت اطلاعات امروز با ماهیت اطلاعات دهه گذشته متفاوت بوده و می توان گفت که اطلاعات امروزی الکترونیکی و اطلاعات قبلی غیرالکترونیکی هستند. در این بین حیات سازمان ها ارتباط نزدیکی با سیستم های اطلاعاتی و اطلاعات الکترونیکی آنها دارد
علاوه بر این سیستم های اطلاعاتی همواره در خطر سرقت اطلاعات، تغییر اطلاعات و ایجاد وقفه در خدمات رسانی هستند. به منظور حل مسئله امنیت اطلاعات، سازمان نیازمند به کارگیری طیف گسترده ای از دانش، فناوری و قوانین سازمانی است و درعین حال باید مطمئن شد که سازمان فقط روی راه حل های فنی متمرکز نیست، بلکه اجزای کلیدی دیگر امنیت اطلاعات، شامل فرایند ها و کارکنان نیز در آن لحاظ شده است.
برای سیستم مدیریت امنیت اطلاعات ویژگی های گوناگونی بیان شده است. برای مثال ذکرشده که باید مدیریت آن متمرکز باشد و واحد و فرایندهایی مجزا از سایر بخش های سازمانی به ویژه بخش فناوری اطلاعات داشته باشد. البته باید هماهنگی و هم راستایی میان قسمت های گوناگون نیز حفظ شود
همچنین تاکید شده است که رویکرد صحیح باید تکرارشونده، نظام مند، کامل، سازگار و آسان برای درک، تجزیه و تحلیل باشد.
ویژگی دیگر آنکه رویکرد مدیریت امنیت، باید تعادلی، میان حفاظت اطلاعات و دسترسی مجاز باشد. نکته مهم این است که امنیت اطلاعات باید در تمام سطح سازمانی - راهبردی، تاکتیکی و عملیاتی - مدیریت شود و کنترل های لازم پیاده سازی شوند. همچنین بهتر است امنیت اطلاعات به صورت فرایندی مداوم اجرا شود و شناسایی، ارزیابی و پیاده سازی را برای همه اجزا در برگیرد .[15] همچنین چارچوب مدیریت امنیت باید به گونه ای باشد که اجرایش آسان، کم هزینه و مناسب با نیازهای تجارت الکترونیکی باشد.
از آنجا که توجه به امنیت اطلاعات و رعایت قوانین و مقررات در جهت جلوگیری از دسترسی های غیر مجاز و سایر تهدیدها در واقع توجه و اهمیت دادن به سلامت محیط کار و بقای سازمان می باشد. برای برقراری سرویس امن در جهت بهره برداری از امکانات باید به اصولی از قبیل صدور مجوز، واگذاری حداقل اختیارات، حیطه بندی - جداسازی - و در نهایت پشتیبان گیری مرتب و مطمئن از اطلاعات توجه نمود. باید در نظر داشته باشیم بشترین آسیب و صدمه ها از کم توجهی کارکنان در زمان کار با سیستم های رایانه ای پیش می آید .توجه به دستورالعمل های حفاظتی و امنیتی و دقت در اجرای مفاد آنها به نحو شایسته و موثری آسیب ها و صدمات را کاهش می دهد.
با توجه به گسترش استفاده از اینترنت، تبادلات اطلاعاتی و هزینه های صرف شده به منظور یکپارچگی اطلاعاتی، امروزه مبحث کنترل و مدیریت جابه جایی های اطلاعاتی و برخورداری از سامانه جامعی برای مدیریت امنیت اطلاعات، بیش از پیش احساس می شود .[16] امنیت اطلاعات مبحث بسیار مهمی است زیرا هدف آن حفاظت کاربر در برابر تهدیدها و ریسک ها و دسترسی به اطلاعات امن، مطمئن و محرمانه است و برای اطمینان از امنیت آن، سازمان باید سیاست ها و خط مشی های امنیت اطلاعات را شناسایی و تبیین کند.
.2 مفاهیم نظری
امنیت داده ها، روش هایی برای سازمان دهی مطمئن اطلاعات کاری،مالی و خانوادگی با استفاده از نرم افزارهای خاص و تامین داده ها و پیشگیری از وقوع جرم است .[7] امنیت اطلاعات و ارتباطات به محافظت از اشکال مختلف داده ها، سرویس ها، سیستم ها و ارتباطات در برابر مخاطرات گفته می شود .
امنیت فرایندی است جهت جلوگیری از نشت، سرقت، از بین رفتن و دستکاری اطلاعات به منظور محافظت از صحت و محرمانگی اطلاعات. از نگاه اجرایی امنیت اطلاعات به تکنیک ها، سیاست ها و آیین نامه هایی اطلاق می گردد که در سازمان مورد استفاده افراد غیرمجاز و ناشناس قرار نگیرد. تدابیر امنیتی باید مبتنی بر تضمین امنیت تجهیزات، تاسیسات، منابع انسانی، دستورالعمل ها، آیین نامه ها، اسناد و مدارک مربوطه و مهم تر از همه سخت افزارها و نرم افزارهای مورد استفاده در شبکه های ارتباطی بر اساس نوع تهدیدات و شدت آنها باشد که ممکن است تهدیدات، داخلی باشند یا خارجی که معمولا عمده تهدیدات از ناحیه ضعف فناوری، ضعف سیاست گذاری امنیتی و حفاظتی و ضعف کاربران شناخته شده است
امنیت اطلاعات به حفاظت از اطلاعات [14] و به حداقل رساندن خطر افشای اطلاعات در بخش های غیر مجاز اشاره دارد .[11] امنیت اطلاعات مجموعه ای از ابزارها برای جلوگیری از سرقت، حمله، جنایت، جاسوسی و خرابکاری است [8] و علم مطالعه روش های حفاظت از داده ها در رایانه ها و نظام های ارتباطی در برابر دسترسی و تغییرات غیر مجاز است.
هدف سیستم مدیریت امنیت اطلاعات پشتیبانی از دارایی های اطلاعاتی الکترونیکی موجود در محدوده سیستم مدیریت امنیت اطلاعات از تهدیدهای امنیت اطلاعات، داخلی یا خارجی، عمدی یا اتفاقی می باشد. این دارایی ها شامل اطلاعات، داده ها، مستندات، سخت افزارها و نرم افزارهای مورد استفاده در فرایند نگهداری، انتقال و پردازش شامل اطلاعات سازمانی، اطلاعات همکاران و خدمات ارائه شده می باشد
مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را برعهده دارد.[1] سیستم مدیریت امنیت اطلاعات یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیوار آتش ساده یا عقد قرارداد با یک شرکت امنیتی است.
در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم. حفاظت بطور متداول به معنای رهایی از خطر یا ایجاد شرایطی برای سلامتی است. حفاظت و امنیت در رایانه ها از نظر نرم افزاری، حفاظت از داده ها و اطلاعات در برابر افشاء، تغییر یا تخریب توسط افراد غیر مجاز می باشد و از نظر سخت افزاری شامل حفاظت از سیستم رایانه در مقابل استفاده غیرمجاز، تغییر یا تخریب رایانه می گردد. افراد غیر مجاز، کاربران، یا برنامه های اجرایی هستند که بدون نظارت و یا بصورت دزدانه، عملیات فوق را انجام می دهند.
بدلیل اینکه ایجاد کنترل های حفاظتی باعث جلوگیری از بهره برداری رایانه ها می شود، ایجاد حفاظت و امنیت معمولا شامل پروسه ای می گردد که سرپرستان، متصدیان حفاظت و کاربران سیستم بتوانند در یک تعادلی بین حفاظت و کارایی، فعالیت خود را انجام دهند. روشهای کنترل برای ایجاد امنیت اطلاعات، شامل سه بخش ایجاد کنترل های فیزیکی، ایجاد کنترل های تکنیکی و ایجاد کنترل های اداری می شود که هر یک از این سه بخش به دو زیر مجموعه روش های کنترل مبتنی بر ممانعت و روش های کنترل مبتنی بر آشکارسازی تقسیم می گردند. که با آنها ممانعت کننده ها و آشکار کننده ها می گوییم. ممانعت کننده ها تلاش می کنند که از اتفاقات ناخواسته جلوگیری نمایند در حالی که آشکارکننده ها تلاش می کنند اتفاقات ناخواسته را پس از اینکه اتفاق افتادند قابل رویت نمایند.[4] جدول 1 تمام روش های کنترلی در حفاظت اطلاعات را نشان می دهد.
جدول.1 روشهای حفاظت اطلاعات [4]
از آنجایی که اطلاعات در یک سازمان از جنبه های مختلف همانند خطاهای کاربران، حملات بدخواهان و مغرضین، و برخی موارد ناخواسته و تصادفی در دسترس قرار گرفته و مورد تهدید قرار می گیرند، شناخت خطرات و تهدیدات و لزوم چاره جویی در مقابل آنها مستلزم شناخت کامل و پی بردن وضعیت اطلاعات و پایگاه های اطلاعاتی می باشد. در این رابطه معمولا برای حفظ امنیت داده ها به چهار مفهوم کلی توجه خاص می شود این مفاهیم را از دیدگاه شفیعی [5] بررسی می نماییم:
محرمانگی:1 به این معنا که اطلاعات سازمان و منابع رایانه ای دارای طبقه بندی است و نباید در دسترس عموم و اشخاص غیرمجاز قرار بگیرد. در این مورد از زمان طراحی سامانه های اطلاعاتی و کار با آنها باید تدابیری اندیشیده شود به خصوص طراحان پایگاه ها و سامانه های اطلاعاتی به گونه ای سامانه ها و بانک ها را طراحی نمایند که دسترسی به محتوی آنها به سادگی برای افراد غیرمجاز امکان پذیر نباشد.
تمامیت:2 یعنی منابع کامپیوتری به طور صحیح بدست کاربر برسد و امکان تغییر در محتوا یا دست کاری آنها وجود نداشته باشد و تغییرات فقط از طریق کاربران مجاز امکان پذیر باشد، داده ها در شبکه با اطمینان خاطر بین کاربران مبادله شود و تناقض در منابع وجود نداشته باشد. به عبارت دیگر تمامیت به این معنا است که داده ها نمی توانند توسط افراد غیرمجاز ساخته، تغییر و یا حذف گردند. تمامیت، همچنین یکپارچگی داده ها که در بخش های مختلف پایگاه داده ذخیره شده اند را تحت الشعاع قرار می دهد.
اعتبار و سندیت:3 اعتبار و سندیت دلالت بر موثق بودن داده ها و نیز اصل بودن آنها دارد. به طریقی که اطمینان حاصل شود داده ها صحیح بوده کپی یا جعلی نیستند.
دسترس پذیری: 4 باید بتوان در زمان نیاز به راحتی به منابع کامپیوتری و محتوای پایگاه دست یافت. علاوه بر این سامانه همیشه باید فعال باشد و در برابر مسایل فیزیکی نیز مقاوم باشد، پیچیدگی در دسترسی به منابع سامانه اطلاعاتی و پایگاه سبب می شود کاربران به خصوص کاربرانی که مسئولیت جمع آوری و تغذیه اطلاعات را به عهده دارند با نگرانی و ترس از افشای اطلاعات داشته باشند.
