بخشی از مقاله

 مدیریت امنیت اطلاعات مراکز داده؛ بر پایه استاندارد BS7799/ISO17799

چکیده

امنیت یکی از مباحث حساس در هر سیستم و شبکهٔ اطلاعاتی میباشد، و این حساسیت در مراکز داده و به خصوص مراکز داده اینترنتی در بالاترین درجه ممکن قرار دارد. رخنه های امنیتی می توانند آسیبهای کوچک تا بحرانهای بسیار بزرگ را در بر داشته باشند. امنیت یکی از مهمترین وجوه هر مرکز داده است. با توجه به حساسیت بسیار بالای مرکز داده و وجود تهدیدها، سطوح و لایه های متفاوتی برای پیادهسازی نیازمندیهای امنیتی در مرکز داده مورد نیاز است. از طرف دیگر وجود لایه های کاربردی متفاوت در معماری مرکز داده، گسترهٔ وسیعی از نیازمندیهای امنیتی را به وجود آورده است. علاوه بر لزوم ایجاد خط مقدم دفاعی در برابر تهدیدهای خارجی، باید به حفاظت از مرز میان لایههای، مختلف از جمله لایهٔ کاربردی و لایهٔ راهبری نیز توجه کرد. بسیار دیده شده است که امنیت شبکهٔ داخلی مراکز داده، علیرغم وجود سیستمهای کاربردی بسیار حیاتی چندان مورد توجه قرار نمیگیرد و تنها به پیادهسازی راهحلهای امنیتی در برابر تهدیدهای خارجی اکتفا می شود. امنیت اطلاعات علاوه بر بعد شبکه، باید در دیگر ابعاد آن نیز مورد توجه کافی قرار گیرد. در واقع سیستمی یکپارچه و جامع به منظور مدیریت امنیت اطلاعات نیاز است تا بتوان آن را همانند چتری بر فراز تمام وجوہ و سطوح مرکز داده قرار داد. پیادهسازی چنین سیستم پیچیده و حساسی نیازمند پیروی از روشهای استاندارد، آزمایش شده و پذیرفته شده است. در این راستا استاندارد یکی از بهترین راه حلهای موجود است و در بسیاری از مراکز داده بزرگ دنیا به عنوان چارچوب مدیریت امنیت اطلاعات مورد استفاده قرار میگیرد.

کلیدوارهها: سیستم مدیریت امنیت اطلاعات؛ امنیت مراکز داده؛ سیاستهای امنیتی؛ برنامهٔ تداوم کسب و کار؛

۱. مقدمه

اطلاعات مانند دیگر داراییهای مهم تجاری دارای مهمی است که برای سازمان ارزش دارد و لاجرم باید به طور مناسب از آن محافظت شود. امنیت اطلاعات، اطلاعات را در مقابل طیف وسیعی از تهدیدها محافظت می کند تا استمرار کسب و کار را تضمین کند، آسیب آن را به حداقل و بازگشت سرمایه و ایجاد فرصتهای تجاری را به حداکثر برساند. اطلاعات می تواند صور مختلفی داشته باشد. میتواند روی کاغذ نوشته یا چاپ شده باشد، به صورت الکترونیکی ذخیره شده باشد، به وسیلهٔ پست یا ابزارهای الکترونیکی انتقال یابد، در فیلم به نمایش درآید و یا در یک مکالمه گفته شود. به هرشکلی که باشد و یا به هر وسیله ای که ذخیره شود یا مورد اشتراک قرار گیرد، باید همیشه به طور مناسب محافظت گردد. امنیت اطلاعات در اینجا دارای مشخصه های زیر است:

۱. محرمانگی : تضمین این که اطلاعات تنها برای آنها که مجازند قابلیت دسترسی دارد؛
2 یکپارچگی : حراست از صحت و کامل بودن اطلاعات و جلوگیری از تغییرات ناخواسته در اطلاعات؛
۳. قابلیت دسترسی : تضمین این که افراد مجاز در وقت لزوم به اطلاعات و داراییهای مشترک دسترسی دارند.
امنیت اطلاعات از طریق پیادهسازی مجموعهٔ کنترلهای مناسب که می تواند در خطمشیها، اقدامات، رویه ها، ساختار سازمانی و کار کردهای نرمافزاری نقش داشته باشد، حاصل میگردد. برای تضمین آن که اهداف خاص امنیت سازمان برآورده شود، باید این کنترلها را پی ریزی کرد. اطلاعات در مرکز داده دو بعد کلی دارد؛ نخست اطلاعاتی که مشتریان از طریق برونسپاری خدمات به مراکز داده سپردهاند که عمدتاً اطلاعات با ماهیت الکترونیکی است و متناسب با نوع اطلاعات کنترلهای مناسب خود را طلب میکند و دیگر اطلاعاتی است که در نگهداری و راهبری مرکز داده می تواند مورد توجه قرار گیرد. این اطلاعات دارای تنوع ماهیتی است و می تواند در نوع الکترونیکی، کاغذی، گفتاری و حتی رفتاری وجود داشته باشد. لذا دارای پیچیدگیهای فراوانی خواهد بود و انتخاب و پیادهسازی کنترلهای مناسب برای آنها نیزدشوار میباشد.

۲. چرا به امنیت اطلاعات نیاز داریم؟
اطلاعات و فرآیندهای پشتیبان، سیستمها و شبکه ها، داراییهای مهم تجاری هستند. محرمانگی، یکپارچگی و قابلیت دسترسی اطلاعات برای تأمین سمت و سوی رقابت، گردش نقدینگی، سودبخشی، متابعتهای قانونی و چهرهٔ تجاری، ضروری به نظر میرسد. سازمانها و شبکه ها و سیستمهای اطلاعاتی آنها به صورت روزافزونی با تهدیدهای امنیتی با خاستگاههای متنوع، شامل کلاهبرداری از طریق کامپیوتر، جاسوسی، کارشکنی، خرابه کاری، آتش سوزی و سیل، رودررو هستند. آسیبهای ویروس کامپیوتری، نفوذ یافتن و حملات تخریب خدمت شایعتر، گیج کنندهتر و پیچیدهتر شده اند. وابستگی به خدمات و سیستمهای اطلاعاتی بدان معنی است که سازمانها بیشتر در معرض تهدیدهای امنیتی قرار دارند. به هم پیوستگی شبکههای خصوصی و دولتی و به اشتراک گذاردن منابع اطلاعات، مشکل حصول به کنترل دسترسی را بیشتر میکند. همچنین روندی که به سوی فعالیتهای کامپیوتری گسترده وجود دارد اثربخشی کنترل مرکزی تخصصی را میکاهد. خیلی از سیستمها به صورت ایمن طراحی نشدهاند. امنیتی که می توان از طریق ابزارهای فنی به دست آورد محدود است و باید با رویه ها و مدیریت مناسب پشتیبانی شود.

تعیین اینکه چه کنترلهایی مناسب هستند نیاز به دقت در برنامهریزی و توجه به جزئیات دارد. مدیریت امنیت اطلاعات، به عنوان یک حداقل، به مشارکت تمام کارکنان سازمان نیاز دارد. همچنین ممکن است مشارکت تهیه کنندگان، مشتریان و یا سهامداران را نیز بطلبد. مشاوره متخصصان بیرون از سازمان نیز ممکن است لازمباشد.
کنترلهای امنیت اطلاعات اگر جزئی از مرحلهٔ طراحی و مشخص کردن نیازمندیها گردد به طور قابل
ملاحظه ای ارزان تر و اثربخش تر خواهد شد.

۳. چگونه نیازمندیهای امنیتی را پایهریزی کنیم؟
اولین گام در بحث امنیت مراکز داده، تعیین نیازمندیهای امنیتی است. این نیازمندیها سه عامل عمده دارد. اولین عامل آن از ارزیابی و تحلیل ریسکهای مرکز داده به دست می آید. از طریق این تحلیل و بررسی تهدید هر دارایی" شناسایی شده، آسیب پذیری" و احتمال وقوع ارزیابی گشته و عواقب احتمالی تخمین زده میشود. عامل دوم، نیازمندیهای قراردادی، آیین نامه ای، جزائی و قانونی است که یک مرکز داده، شرکایش، همپیمانانش و ارائه گران خدمت همه باید آنها را برآورده سازند. عامل سوم مجموعهٔ اصول، اهداف و نیازمندیهای خاص برای تجزیه و تحلیل اطلاعات است که هر مرکز داده برای پشتیبانی از عملیاتش تدوین می کند.
۴. ارزیابی ریسکهای امنیتی
نیازمندیهای امنیتی از طریق یک ارزیابی اسلوب دار ریسکهای امنیتی تعیین می شوند. هزینه پیادهسازی و اعمال کنترلها باید در مقابل زیان کسب و کار که ناشی از نارساییهای امنیتی حاصل شده باشد تراز گردد. تکنیکهای تحلیل ریسک می تواند برای تمام مرکز داده یا تنها قسمتهایی از آن، مشابه نظامهای اطلاعات فردی، خدمات و یا اجزای خاص سیستم که در آن عملی، واقع گرایانه و سودمند باشد به کار رود. تحلیل ریسک، ملاحظه سیستماتیک موارد زیر است:
۱. زیان کسب و کار که احتمالاً ناشی از یک نارسایی امنیتی است و عواقب محتمل فقدان محرمانگی، یکپارچگی و قابلیت دسترسی اطلاعات و دیگر داراییها را دربرمیگیرد.
۲. احتمال واقع گرایانه آسیب پذیریها و نارساییهایی که با توجه به تهدیدهای متداول و آسیبپذیریها و
کنترلهایی که به صورت جاری اجرا می شوند، اتفاق میافتند.
نتایج این ارزیابی برای هدایت و تعیین اولویتها و اقدامات مدیریتی مناسب در جهت اداره کردن ریسکهای امنیت اطلاعات و همچنین اجرای کنترلهایی که برای حفاظت در مقابل چنین ریسکهایی انتخاب شدهاند، کمک خواهد کرد. ممکن است لازم باشد فرآیند ارزیابی ریسکها و انتخاب کنترلها برای آن که قسمتهای مختلف مرکز داده یا نظامهای اطلاعات فردی را پوشش دهد چندین بار انجام گیرد.

مهم آن است که بازنگری ادواری ریسکهای امنیتی و کنترلهای به کار رفته، به منظورهای زیر انجام گیرد:
۱. به حساب آوردن تغییر اولویتها و نیازمندیهای کسب و کار؛
۲. تشخیص تهدیدها و آسیب پذیریهای جدید؛
۳. اثبات آن که کنترلها کماکان مؤثر و مناسب هستند.

این بازنگریها باید در سطوح مختلف عمق سازمان بر پایه نتایج ارزیابیهای قبلی و سطوح متغیر ریسکها، که مدیریت آماده پذیرش است، انجام گیرد. ارزیابی ریسکها اغلب ابتدا در سطوح بالای سازمان به عنوان ابزاری برای اولویت بندی منابع، در حوزههای پر ریسک و سپس در یک سطح با توضیح بیشتر برای مشخص کردن
ریسکهای خاص انجام میگیرد.
۵. انتخاب کنترلها هنگامی که نیازمندیهای امنیتی تعیین شدند کنترلها باید به منظور تضمین کاهش ریسکها به یک سطح قابل قبول انتخاب و اجرا شوند. کنترلها را می توان از این سند یا دیگر مجموعهٔ اسناد انتخاب کرد، یا میتوان کنترلهای جدید را برای برآورده کردن نیازها به طور مناسب طراحی کرد. راههای متعددی برای اداره کردن ریسکها وجود دارد و در این سلسله مطالب به رویکردهای شایع تر اشاره می شود. با این حال ذکر این نکته ضروری است که دریابیم بعضی کنترلها برای هر سیستم یا محیط اطلاعاتی مناسب نیست و ممکن است برای همه سازمانها قابل استفاده نباشد. به عنوان یک مثال، کنترلی که توصیف میکند، چگونه وظایف تفکیک شود تا از کلاهبرداری و اشتباه جلوگیری شود، ممکن است برای سازمانهای کوچکتر مقدور نباشد و احتمالاً راه های دیگر حصول به اهداف کنترل، ضروری خواهد بود. به عنوان یک مثال دیگر، کنترلی که با وسیلهٔ آن می توان استفاده از سیستم را کنترل کرد و شواهد را جمع آوری کرد، ممکن است با کنترلهایی مانند ثبت حوادث یا قوانین اجرایی مانند حفاظت از محرمانه بودن امور مشتریان یا شرایط محل کار در تعارض قرار گیرد. کنترل باید برپایهٔ کاهش هزینهٔ اجرا، متناسب با ریسکها و خسارات محتمل در صورت بروز رخنهٔ امنیتی، انتخاب گردد. عوامل غیر پولی مانند لطمه به شهرت و آبرو نیز باید به حساب آورده شود.

۶. نقطهٔ آغاز امنیت اطلاعات
تعدادی از کنترلها در استاندارد را میتوان به عنوان اصول راهنما شناخت که شروع خوبی برای اجرای امنیت اطلاعات خواهد بود. این موارد یا برپایهٔ نیازمندیهای قانونی اساسی می باشند و یا به عنوان بهترین اقدامات شایع برای امنیت اطلاعات شناخته می شوند.
کنترلهایی که برای یک سازمان از دیدگاه قانونی، اساسی شناخته می شوند شامل موارد زیر است:
۱. جمع آوری داده و محرمانگی اطلاعات شخصی؛
۲. محافظت از ثبات سازمانی؛
۳. حقوق داراییهای معنوی. کنترلهایی که به عنوان بهترین اقدامات شایع برای امنیت اطلاعات شناخته می شوند عبارت اند از:
۱. سند بیانیهٔ خط مشی امنیت اطلاعات؛
۲. تقسیم مسئولیتهای امنیت اطلاعات؛
۳. تعلیم وآموزش امنیت اطلاعات؛
۴. گزارش دهی حوادث امنیتی ؛
۵. مدیریت استمرار کسب و کار
این کنترلها برای اکثر مراکز داده و در اکثر محیطها کاربرد دارند. باید ذکر کرد اگرچه تمام کنترلها در این استاندارد مهم هستند اما مناسبت هریک از آنها باید در ارتباط با ریسکهایی که مرکز داده با آن مواجه است تعیین گردد. بنابراین اگرچه رویکرد بالا به عنوان یک نقطهٔ آغاز خوب شناخته شده است، این امر جایگزین انتخاب کنترل، بر پایه ارزیابی ریسکها نمی شود.

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید