سیاست های امنیتی
در دنیایی که وجه مشخصه آن فناوری سطح بالا و ارتباطات گسترده
می باشد، هر سازمانی نیاز به سیاست های امنیتی که مدبرانه
تدوین شده باشند دارد. در هر لحظه خطرات مختلفی از بیرون و
درون سازمان توسط هکرها، رقبا و یا کشورهای خارجی منافع سازمان
را تهدید می کند. هدف سیاست های امنیتی تعریف روال ها،
راهنماها و تمریناتی است که امنیت را در محیط سازمان برقرار و
مدیریت می نماید. با اجرای دقیق سیاست های امنیتی، سازمان ها
می توانند تهدیدات را کاهش دهند.
گروه امداد امنیت کامپیوتری ایران در قالب چند مقاله به
معرفی مفاهیم سیاست های امنیتی و روش های سیاست گذاری امنیتی
خواهد پرداخت.
مفاهیم
سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای
محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان
می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می
شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف
نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می
شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش
کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش
امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی
و راه کار به روز رسانی آنها می باشد.
هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است
ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی
نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه
و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر،
از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات
مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.
تدوین سیاست
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست
امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و
تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه
سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود. هدف
اصلی از سیاست امنیتی این است که کاربران بدانند مجاز به چه
کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در
تصمیم گیری برای پیکربندی و استفاده از سیستم ها یاری رساند.
برای تدوین سیاست امنیتی پس از تحلیل ریسک های سازمان، می توان
به روش هایی که دیگران برگزیده اند متوسل شد. معمولا تجارب
مفیدی که قبلا در صنایع مشابه انجام شده و نتایج خوبی از آنها
نتیجه شده است به صورت عمومی گزارش شده و در قالب مقالات تخصصی
ارائه می گردند. استانداردهای شناخته شده ای نیز برای این کار
وجود دارد که می توان از آنها هم بهره گرفت.
سازمان های بزرگ و متوسط برای تعریف سیاست امنیتی خود ناچار
به پیروی روش بالا به پایین می باشند. ولی برای سازمان های
کوچک انجام این کار به روش پایین به بالا نیز امکان پذیر است.
در این حالت از قابلیت های ابزارهای موجود بهره گرفته می شود.
همانگونه که هرم سیاست فوق نشان می دهد، بهترین سیاست امنیتی
در شرایطی تدوین می گردد که مدیریت سازمان سیاست کلی را ارائه
نموده و یا دستور پیاده سازی اصول امنیتی را در سازمان صادر
کند. تدوین کنندگان سیاست سازمان باید فعالیت خود را بر پایه
اصول و استانداردهای صنعتی مانند
ISO17799
و یا
HIPAA
انجام دهند. رویه ها، راهنماها و تجربیات
پایه ای برای ایجاد و توسعه فناوری امنیتی در سازمان های مختلف
هستند. محصولاتی مانند
ESM
سازگاری و انعطاف سیاست را با سیاست ها و روال های امنیتی
سیستم عامل ها، پایگاه داده ها و برنامه های کاربردی ارزیابی
می نمایند. این ابزارها ممکن است با محیط کامپیوتری و شبکه
سازمان در تعامل باشند.
استانداردها و روال های امنیتی
سیاست های امنیتی دربردارنده کلیه انتظارات، برنامه ها و اهداف
عملیاتی مدیریت سازمان می باشد. برای عملیاتی و قابل اجرا
بودن، سیاست امنیتی باید با استفاده از استانداردها، راهنماها
و رویه های شناخته شده تعریف شود که اطمینان از سازگاری کلیه
عملیات اجرایی با سیاست های امنیتی حاصل گردد.
استاندارها، راهنما ها و روال ها تفسیر خاصی از سیاست را ارائه
می کنند و کاربران، مشتریان و مدیران سازمان را برای پیاده
سازی سیاست آماده می نمایند.
ساختار سیاست امنیتی
ساختار سیاست امنیتی مرکب از اجزاء زیر می باشد:
-
عبارتی در رابطه با موضوع سیاست
-
چگونگی اجرای سیاست در محیط سازمان
-
نقش و مسئولیت افراد مختلف تاثیر گذار در سیاست
-
سیاست به چه میزان انعطاف پذیر است؟
-
اعمال، فعالیت ها و فرایندهای مجاز و غیر مجاز
-
موارد سخت گیری و عدم انعطاف سیاست
در بخش های بعدی از این مقاله اطلاعات بیشتری در رابطه با
مفاهیم سیاست های امنیتی و نیز روش های تدوین این سیاست ها
ارائه خواهد شد.
|