بخشی از مقاله
مقدمه:
اطلاعات مانند خونی است که در رگهای سازمان جاری است و بدون اطلاعات هیات مدیره - مغز شرکت - نمیتواند تصمیمات کلیدی بگیرد و قسمتهای خرید و پرسنلی و مالی - دهان، قلب و - … نمیتوانند منابع مورد نیاز خود را برای ادامه حیات سازمان به دست آورند. نقش داده و اطلاعات در مدیریت سازمانها، نقش حیاتی و اساسی دارد، هرچه فضای اطلاعاتی یک سازمان دقیقتر، منسجم تر و سیستماتیک تر باشد، سازمان بهتر میتواند به اهدافش نایل آید. امنیت و حفاظت از امکانات اطلاعاتی ممکن است به روش های متفاوتی باشداما در حالت کلی هدف از به کارگیری و اعمال یک معماری امنیت در یک سازمان اطلاعاتی ،حفظ و نگهداری،محرمانگی،صحت و قابلیت ×دسترسی به اطلاعات و مدارک آن سازمان می باشد.
تعریف امنیت اطلاعات
امنیت اطلاعات یعنی حفاظت اطلاعات و سیستمهای اطلاعاتی از فعالیتهای غیرمجاز. این فعالیتها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری. اصطلاح "امنیت اطلاعات" حوزه گستردهای از فعالیت های سازمانی، محصولات سازمان وسرمایه های آن، فرایندهای تعریف شده برای جلوگیری از دستیابی های غیر مجاز، تغییر و حذف اطلاعات، را شامل می شود. حوزه امنیت اطلاعات درگیر حفاظت از منابع شبکه و جلوگیری از هم گسیختگی و به هم خوردگی آن، در برابر پیشامد ها و حوادث و حملاتی است که ممکن است تا حد زیادی از کنترل مسؤول امنیت اطلاعات، خارج باشد و باید با تدبیر و پیش بینی لازم در صد ریسک خطر در این حوزه را کاهش داده و برای مقابله با خطر، طرح و برنامه مدون وشفاف در زمینه: پیش گیری، مواجهه، پاکسازی، ترمیم و بهینه سازی داشته باشد. موضوع تأمین امنیت اطلاعات بر سه پایه فیزیکی، عملیاتی و مدیریتی استوار است که هر کدام به بخش های مختلف امنیت رایانه مربوط می شود. طرح کلان امنیت رایانه و فرایند آن باید خطرات را ارزیابی کند و دارای استراتژی و روش هایی برای تبیین آن باشد.
هدف امنیت اطلاعات:
برای اطمینان از محرمانگی، یکپارچگی و دسترس پذیری سیستمهای حیاتی و اطلاعات محرمانه.
حوزه های امنیت اطلاعات:
کنترل دسترسی، امنیت برنامه های کاربردی ،طرح مواجهه با حوادث غیر مترقبه و تداوم کسب و کار، رمزنگاری، مدیریت امنیت اطلاعات و ریسک، امنیت عملیاتها، امنیت فیزیکی - محیطی - ، طراحی و معماری امنیت ،امنیت شبکه و ارتباطات. ویژگی های سیاست امنیتی خوب:یک سیاست امنیتی خوب،دارای ویژگی های زیر است:
-سیاست باید قابل پیاده سازی از طریق روال های سامانه ای،انتشار کتاب راهنما برای استفاده مطلوب و یا توسط روش های اختصاصی دیگرباشد.
-سیاست باید به طور روشن و واضح،حوزه های مسئولیت کاربران،مجریان و مدیران را بیان کند.
-سیاست باید مستند شده باشد وبین حوزه های مختلف سازمان مانند نیروی انسانی،مجریان و مدیران توزیع یابد و ارتباط منطقی بین آن ها را مشخص کند.
امنیت اطلاعات:
به طورکلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:
محرمانه بودن: بدین معنی که فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند •
صحت و استحکام: بدین معنی که اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز •
.در صورت لزوم به صورت درست و قابل پیگیری انجام شود
دردسترس بودن: بدین معنی که اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد •
انواع سیاست امنیتی:
سیاست های امنیتی می توانند بسته به نوع سازمان به چهار نوع دسته بندی شوند:
-نظامی - حکومتی - :
این سیاست ابتدا بر حفظ محرمانگی اطلاعات حساس تاکید می کند و سپس به درستی و صحت آن ها می پردازد.
-تجاری:
این سیاست برعکس حالت نظامی ابتدا برمحافظت از صحت داده ها و سپس به محرمانگی آن ها می پردازد.
-سیاست صحت:
تنها به محافظت از صحت داده ها می پردازد.
-سیاست محرمانگی:فقط بر روی
محافظت از محرمانگی داده ها و اطلاعات حساس کار می کند.
راهبرد دیدگاه امنیتی:
یکی از مهمترین برنامه امنیت اطلاعات در سطوح کلان،نگهداری راهبرد امنیتی در سازمانهامی باشد. با بازنگری ابزارها،روش ها و فنون به کار گرفته شده در یک سازمان،سطوح امنیتی مورد نیاز هریک از آن ها را استخراج نمود که این نتایج و اطلاعات گردآوری شده می توانند قالب و مبنای اصلی عملکرد راهبرد و دیدگاه امنیتی را مشخص سازند.در حقیقت راهبرد و دیدگاه امنیتی،یک روند کلی در دست یابی به امنیت اطلاعات در