سیاست های امنیت اطلاعات چیست

سیاست امنیت اطلاعات (Information Security Policy) به مجموعه‌ای از سیاست‌های تعیین شده توسط یک سازمان می‌گویند تا اطمینان حاصل شود که تمام کاربران در حوزه‌های مختلف سازمان، کنترل‌های امنیتی در راستای حفاظت از شبکه و اطلاعات در مقابل حملات داخلی و خارجی رعایت می‌کنند.

هر سند امنیت اطلاعات برای هر سازمان اختصاصی است، سیاست امنیتی یک سازمان سندی است که برنامه‌های سازمان را برای محافظت سرمایه‌های فیزیکی و مرتبط با فناوری ارتباطات را بیان می‌کند. دیدگاه‌مان به سیاست امنیتی به شکل یک سند زنده است، به این معنی که فرآیند تکمیل و اصلاح آن هیچوقت متوقف نمی‌شود، بلکه متناسب با تغییر فناوری و نیاز کاربران مدام در حال بروزرسانی است. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست‌های امنیتی و راه کار به روز‌رسانی آنها است.

هر سیاست امنیتی تعیین کننده اهداف امنیتی و تجاری یک سازمان است اما در چگونگی انجام کارهای مهندسی و پیاده سازی این اهداف دخالتی ندارد. سند سیاست امنیتی سازمان میبایست قابل فهم، واقع بینانه و غیر متناقض باشد، بعلاوه از نظر اقتصادی امکان پذیر، از منظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حفاظتی قابل قبولی را ارائه نماید.

 هدف سیاست امنیت فناوری اطلاعات حفظ محرمانه بودن، یکپارچگی و در دسترس بودن سیستم ها و اطلاعات مورد استفاده سازمان است. این سه اصل به مثلت CIA شناخته می‌شوند :

1. محرمانه بودن (Confidentiality): حفاظت از اطلاعات در برابر کاربران غیر مجاز می‌باشد. به زبان ساده تر به کارهایی می‌‌گویند که برای کسب اطمینان از محرمانه بودن اطلاعات انجام می‌گیرد، برای جلوگیری از دسترسی افراد غیرمجاز به اطلاعات محرمانه است. البته گاهی ممکن است دسترسی به اطلاعات حتی برای کاربران مجاز نیز محدود شود و همچنین باید داده‌‌‌‌ها بر اساس میزان و نوع آسیب هایی که ممکن است در صورت دسترسی افراد غیر مجاز به آن ها وارد شود دسته بندی شوند. رمز نگاری داده یک راه معمول برای اطمینان از محرمانه بودن است.

2. یکپارچگی(Integrity) : ضمانت می‌‌‌‌کند که اصلاح اطلاعات به صورت مشخص و مجاز انجام شود، یکپارچگی اطلاعات به معنای این است که تنها کاربران و سیستم های مجاز امکان تغییر در داده‌ها را دارند و حتی کاربران مجاز اجازه تغییرات بدون دلیل و اجازه را ندارند. پایبندی به یکپارچگی باید در درون و بیرون سازمان رعایت شود .

3.  در دسترس بودن (Availability): این بخش از مثلث امنیت CIA است که اطمینان می‌دهد که یک سیستم یا اطلاعات همواره در دسترس باشد.

سیاست امنیت اطلاعات می‌تواند تدریجی باشد و به نسبت نوع و دسته‌ای که دارد در شرایط مختلف اجرا شود. با مثالی عامیانه فرض کنید یک کارمند بایگانی که کلیه ارتباطات سازمان را دسته بندی می‌کند معمولا مجاز به اشتراک گذاری این اطلاعات نیست مگر در شرایطی که این مجوز صادر شده باشد پس مدیر میزان دسترسی و اشتراک گذاری هر یک از اطلاعات توسط کاربر بایگانی را تعیین می‌کند .

سیاست‌ها اکثرا دارای ویژگی‌های مختلفی هستند که بنا به شرایط برای کاربران تعیین می‌شود و امکان تفاوت دسترسی برای هر کاربر ممکن است. سیاست‌های امنیت اطلاعات به صورت مداوم در حال پیشرفت و بروزرسانی برای همخوانی بیشتر با سیاست های کسب و کار سازمان هستند. همچنین اسناد امنیت اطلاعات را در مقابل حملات سایبری، تهدیدهای مخرب، هکرها و خرابکاری ها حفاظت می‌کند. بیانیه‌های امنیت اطلاعات به طور خاص بر امنیت شبکه، امنیت فیزیکی، تعریف سطوح دسترسی و محافظت در برابر کدهای مخرب و پروسه بازیابی از حادثه (Disaster Recovery) تمرکز می‌کند و خطرات ناشی از این تهدیدات را کاهش می‌دهد.
برخی از هدف‌های سیاست‌های امنیت شامل موارد زیر می‌باشد:

• تعیین سطوح دسترسی کاربران و نحوه دسترسی اشخاص

• شناسایی تهدیدات بالقوه سازمان

• شناسایی مرجع‌های حساس سازمانی در راستای محافظت

•  جلوگیری از نابود شدن مرجع‌های اطلاعاتی و محاسبانی سازمان و اطمینان از یکپارچگی اطلاعات

•  کم کردن ریسک ناشی از استفاده غیرقانونی از اطلاعات و منابع و جلوگیری از نابود شدن داده های مهم و حیاتی

•  تعیین و طرح ریزی روش مدیریت و نگهداری اصولی و پیوسته در راستای امنیت و امن سازی شبکه و اطلاعات

• پیاده‌سازی روش های امنیتی مقرون به صرفه در راستای محافظت از دارایی‌های شناسایی شده مانند تست نفوذ، امن سازی شبکه

سیاست های امنیتی سازمان تاثیر بسزائی در راستای تعیین و پیشبرد اهداف ایفا می‌کنند ، ولی نبایست استراتژی و هدف های شرکت را تغییر دهند

به طورکلی تعدادی از خدمات ما در حوزه فناوری اطلاعات شامل موارد زیر است :

• ارزیابی آمادگی سازمان جهت استقرار ITSM و ارائه نقشه راه

• ارائه نقشه راه و سند راهبردی مدیریت فناوری اطلاعات

• طراحی فرآیندهای مورد نیاز جهت اخذ گواهینامه استاندارد ISO/IEC 20000

•   طراحی فرآیندهای مورد نیاز جهت اخذ گواهینامه استاندارد ISO/IEC 27001

• طراحی فرآیندهای مورد نیاز جهت اخذ گواهینامه استاندارد ISO/IEC 22301

• طراحی مجدد ساختار سازمانی واحد خدمات فناوری اطلاعات در سازمان

•  پیاده‌سازی حاکمیت و مدیریت فناوری اطلاعات با استفاده از چارچوب

•  طراحی ساختار میز خدمت (Service Desk) متناسب با خدمات، ساختار سازمانی، تنوع مشتریان و خدمات سازمان COBIT 5

• ارزیابی بلوغ حاکمیت و مدیریت فناوری اطلاعات با استفاده از چارچوب ارزیابی COBIT 5

• ارائه خدمات مشاوره‌ای جهت ارزیابی و انتخاب ابزار مناسب برای سازمان‌ها متناسب با بلوغ فرآیندی، اولویت فرآیندها، بودجه و …

•   بهبود مدیریت خدمات فناوری اطلاعات با استفاده از چارچوب  ITIL

•   طراحی سیاست‌های امنیتی در حوزه فناوری اطلاعات (IT Security Policies) متناسب با اولویت‌های سازمان و مجموعه خدمات در حال ارائه

•   شناسایی و تحلیل ریسک‌های فناوری اطلاعات منطبق با استاندارد ISO/IEC 31000 و به روش M_o_R 

•   ارزیابی میزان بلوغ واحد میز خدمت (Service Desk) جهت استقرار آن در سازمان

•   طراحی فرآیندهای مرتبط با استمرار کسب و کار (Business Continuity Management) و استمرار خدمات فناوری اطلاعات  (IT Service Continuity Management)

 

مشاوره امنیت اطلاعات  و مشاوره فناوری‌های اطلاعاتی با هدف تعیین و پیاده‌سازی فناوری‌های مناسب از جایگاه مهمی در سازمان‌ها دولتی و خصوصی بهرمند هستند، این سازمان ها سالیانه هزینه قابل توجهی صرف تامین تجهیزات سخت افزاری،توسعه شبکه و خطوط ارتباطی، تهیه نرم افزار، تولید داده ها و اطلاعات و آموزش پرسنل صرف می‌کنند. با این حال اگر دقت کنید در سطح کشور موارد موفق در حوزه فناوری اطلاعات بسیار کم هستند.

انتخاب کارشناس فناوری اطلاعات با سابقه فعالیت در حوزه IT، شبکه و علوم کامپیوتر موجب افزایش بهره‌وری شرکت و کاهش تهدیدات و خطرات احتمالی می‌شود.

مدیران امن نگار پارتاک به عنوان مشاور امنیت اطلاعات آماده ارائه انواع خدمات در حوزه مشاوره و استقرار استانداردها ISO/IEC،ITIL در ابعاد مختلفی است.