گامهای پیادهسازی سیستمهای امنیت اطلاعات (ISS)
١- مقدمه :
باگسترش روابط انسانی وسهولت برقراری ارتباط با فن آوری های نوین، تهدیدهای امنیتی رنگ وبوی جدیدی به خود گرفتهاند. شنود تلفن شاید از همان آغازین روزهای رواج این فناوری بصورت تفننی توسط اپراتورهای مراکز تلفن صورت می پذیرفت . اما به مرور زمان پای سرویس های جاسوسی گروههای تروریستی واخلال گران، به این حوزه نیز باز شد.امروزه بستره فن آوری اطلاعات محیط مناسبی جهت تبادل اطلاعات به ظاهر عادی است که همین اطلاعات آشکار و بی ارزش سهم عمده ای از اطلاعات مورد نیاز سرویس های جاسوسی را شامل می شود.
فناوری اطلاعات مطالعه، طراحی، توسعه، پیاده سازی و پشتیبانی یا مدیریت سیستم های اطلاعات مبتنی بر کامپیوتر خصوصا نرم افزارهای کاربردی وسخت افزار کامپیوتر است. از ماموریت های فناوری اطلاعات مدیریت داده، شبکه، مهندسی کامپیوتر، سخت افزار، پایگاه داده و طراحی نرم افزار می توان برشمرد. سیستم اطلاعاتی، سیستمی از افراد، داده های ذخیره شده وفعالیت های است که داده و اطلاعات را در یک سازمان پردازش می کند، فرآیندهای سازمان از نوع دستی وخودکار است. سیستم های اطلاعاتی توسعه و کاربرد و مدیریت سازمان با زیرساخت فناوری اطلاعات است. فن آوری اطلاعات و ارتباطات فرصت جدیدی برای حرفه ها در فضای اتوماسیون، همکاری و تجارت الکترونیکی، همچنین قادر ساختن به تولید و خدمات کاملا جدید ایجاد نموده است.
کاربرد این فن آوری حرفه ها را در معرض مخاطراتی از آتش و طوفان تا بزهکاری و تروریسم سایبری قرار داده، که نیاز به مدیریت و نظارت دارد.
در دنیای جدید، مهمترین عامل توانایی وقدرت حفاظت از اطلاعات در مقابل تهدیدات دشمنان و تبادل و اشتراک گذاری امن اطلاعات درجهت افزایش توانمندی است.
٢- امنیت اطلاعات :
اطلاعات دارای تنوع معنایی از کاربرد روزمره تا محیط های فنی است. عموما مفهوم اطلاعات وابسته به ادراک ( اندیشه)، ارتباط، کنترل، داده، فرم، آموزش، دانش، مفهوم، الگو، دورنما و نمایش است. اطلاعات مجموعه ای از آگاهی هاست، اطلاعات چی / کجا / چطور یک موضوع است وبه معنای جزئیاتی در موضوعی که به آن نیازداریم است. به تعبیر کامپیوتری اطلاعات، داده های پردازش شده است که دارای ارزش و اعتبار می باشد.
امنیت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سیستم های اطلاعاتی در مقابل هرگونه مخاطره وتهدید است. مخاطرات وتهدیدهای این حوزه شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیرمجاز اطلاعات است. امنیت اطلاعات طبق استاندارد ISO27001 حفظ محرمانگی، جامعیت و در دسترس بودن اطلاعات در مقابل مخاطرات، تهدیدها و آسیب پذیری ها تعریف شده است.
جامعیت اطلاعات به مفهوم تامین نمودن درستی و تمامیت اطلاعات و روشهای پردازش است به عبارت دیگر اطلاعت فقط توسط افراد مجاز قابل تغییر باشد.محرمانگی بیان می دارد اطلاعات فقط در دسترس افرادی است که مجاز به دسترسی به آنها هستند و در دسترس بودن به معنای دسترسی به اطلاعات توسط کاربر مجازاست ، زمانیکه نیازمند آن اطلاعات است .
٣- برنامه استراتژیک امنیت اطلاعات :
هدف برنامه استراتژیک امنیت اطلاعات جهت دادن به پیاده سازی امنیت اطلاعات است، برنامه چارچوبی را برای اهداف در جهت الزام به محرمانگی، جامعیت ودر دسترس بودن فراهم می آورد.
- گام های راهبردی برای پیاده سازی
برقراری مدیریت امنیت اطلاعات شش هدف متصور است:
گام ١: توسعه، تصویب و ترویج خط مشی امنیت اطلاعات فراگیر
بایستی با نظر کارشناسان خبره بخش های مختلف دنباله ای از خط مشی های امنیت اطلاعات را مبنی بر استاندارد موجود توسعه، تصویب واجرا نمود. این دستورالعمل بصورت رسمی برنامه امنیت اطلاعات سازمان را بیان داشته وکارکنان در برابر آن پاسخگو هستند . فهرست زیر شامل مجموعه ای از خط مشی ها رسمی سازمانی را بیان می دارد والبته محدود به موارد زیر نیست.
بروزرسانی واجرا نمودن خط مشی قابل قبولی در کاربرد کامپیوتر و شبکه بصورت عمومی
• کنترل دسترسی اطلاعات وتعیین سطح دسترسی به داده ها و سیستم ها
• اعلام وصول، ذخیره سازی و پردازش وتوزیع اطلاعات حساس
• تست و بازبینی امنیتی سخت افزار و نرم افزار بکار گرفته شده
• ممارست در حفاظت از داده های عمومی بصورت گزارش گیری از تخلفات وتهدیدات امنیتی
• مجوزهای قانونی تخریب، پشتیبان سازی و وضعیت رسانه های دیجیتالی
• حذف دسترسی های کارکنان که فعالیتشان به هر دلیلی خاتمه یافته است.
• ارزیابی و مدیریت مخاطرات ( ریسک)
گام ٢: کارکنان بایستی آگاه از پاسخگویی درباره امنیت اطلاعات باشند
شامل 10 صفحه word
دانلود مقاله گامهای پیادهسازی سیستمهای امنیت اطلاعات
