حجت رستمی
دانشجوی رشته شبکه و متخصص Passive

چرا اطلاعات را طبقه بندی می کنیم؟ بررسی اهداف طبقه بندی اطلاعات

چندین دلیل خوب برای طبقه بندی اطلاعات وجود دارد مقادیر و داده هایی که در یک سازمان وجود دارد در طبقه بندی اطلاعات برخی دارای ارزش بیشتری در تصمیم گیری های استراتژیک بلند مدت و یا کوتاه مدت کسب و کار دارند وبرخی از این داده ها مربوط به فورمول های یک محصول و یا اسرار تجاری مربوط با محصول را شامل میشود که بسیار با ارزش هستند و از دست دادن آنها میتواند باعث به خطر افتادن سرمایه گزاری در محیط بازار رقابت عمومی شود ویا به اعتبار آن لطمه بزند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

با این دلایل به روشنی مشخص است که طبقه بندی اطلاعات دارای مزایایی حتی در سطح سرمایه گزاری در یک کسب و کار جهانی میتواند موثر باشد که البته نه تنها در کسب و کار بلکه طبقه بندی اطلاعات در ارتقاء سطح محرمانگی , صحت, دسترس پذیری برای به حداقل رساندن اثرات تهدیدات میتواند در هزینه های امنیتی تاثیر گزار باشد. طبقه بندی داده ها بیشتر در سطح دولتی مورد استفاده است و در هر بخش جزء نیازهای هر سیستمی به شمار میاید تا در درجه اول تامین کننده سطح اعتماد به کارکنان ودر ادامه برای جلوگیری از استفاده و افشای غیر مجاز داده ها وحفظ محرمانگی در اطلاعات باشد شما همچنین میتوانید طبقه بندی اطلاعات را برای مطابقت با قوانین حفظ حریم خصوصی با فعال کردن رعایت مقررات در یک شرکت از قبیل حفظ اسرار استخدامی فرد برای به حداقل رساندن مسئولیت ویا حفظ آن در محیط کسب و کار انجام دهید

هدف از کنترل های امنیتی

هدف نخست از کنترل های امنیتی کاهش اثرات امنیتی تهدید ها ومیزان اسیب پذیری هایی است که سازمان میتواند آن را تحمل کند این هدف مستلزم تایین تاثیر یک تهدید ممکن واحتمال خطری است که در یک سازمان میتواند رخ دهد . (Risk Analysis (RA سناریو روند تجزیه و تحلیل یک تهدید و براورد مقدار بالقوه از دست دادن سطح مورد نظر امنیتی میباشد. بنابر این طراحی نادرست میتواند خطر بالقوه بر روی سطح دسترسی به منابع محاسباتی را شامل شود

هدف سیستم های اطلاعات

اموزش افراد حرفه ای امنیت.در ضمینه های درک برنامه ریزی ,سازماندهی, ونقش افراد در شناسایی وتامین امنیت اطلاعات یک سازمان, توسعه واستفاده از سیاست های مبتنی برمدیریت اطلاعات ونمایش موقعیت در موضوعات خاص واستفاده از استاندارد ها ,دستورالعملها وروشهای محافظت وحمایت از این سیاستهای امنیتی آموزش وآگاهی دادن به کارکنان در مورد اهمیت امنیت اطلاعات ونیاز خاص نسبت به موقعیت امنیت در رابطه با اهمیت محرمانه بودن, اطلاعات اختصاصی و خصوصی, مانند موافقت نامه های استخدامی , استخدام کارکنان و شیوه های مدیریت ریسک, ابزار شناسایی وکاهش سرعت خطر آلوده شدن منابع خاص .... میباشد.بنابراین از یک فرد حرفه ای امنیت اطلاعات انتظارات زیر قابل عنوان است :

  • اطلاعات عمومی در رابطه با مفاهیم مدیریت امنیت
  • تفاوت بین سیاستها, استانداردها, دستورالعملها
  • آگاهی از مفاهیم امنیت
  • مدیریت شیوه ریسک (RM)
  • طبقه بندی اطلاعات در سطح عمومی

اهداف ما در حوزه infosec در عناصر زیر بررسی میشود :

  • مفاهیم مدیریت امنیت اطلاعات
  • فرایند طبقه بندی اطلاعات
  • پیاده سازی سیاستهای امنیتی
  • نقش ها ومسئولیتهای اداره امنیت
  • ابزار ارزیابی مدیریت ریسک (از جمله منطق ارزش گزاری)
  • آموزش آگاهی ازامنیت

تعریف حوزه


دامنه INFOSEC از مدیریت امنیت, شامل شناسایی اطلاعات ,دارایی های داده با توسعه و اجرای سیاست ها،استانداردها ودستورالعمل ها میباشد هال تعریف مدیریت شیوه های طبقه بندی داده ها ومدیریت ریسک همچنین آدرس های محرمانه, صحت (integrity) دسترس پزیری (availability) با شناسایی وطبقه بندی تهدیدات سازمانها و داراییها و رتبه آسیب پزیری های خود به طوری که کنترل های موثر امنیتی اجرا شده باشند

مفاهیم مدیریت: تحت عنوان مفاهیم مدیریت امنیت اطلاعات شامل بحث در موارد زیر میشود :

  • big three : محرمانگی(Confidentiality) صحت,یکپارچگی(Integrity) دسترس پزیری(Availability)
  • مفاهیم شناسایی: تصدیق هویت (authentication) مسئولیت پزیری (accountability) مجوز(authorization) وحفظ حریم خصوصی
  • هدف از کنترل های امنیتی : کاهش اثر احتمال تحدید و وقوع آنها میباشد

بنابراین سه اصل گفته شده از infosec محرمانگی , صحت, دسترس پزیر بودن, (CIA) سه اصل اصلی مفاهیم امنیت اطلاعات را تشکیل میدهند و CIA به عنوان یک معیار و پادمان کنترل امنیت اطلاعات از تهدید , آسیب پزیری , وپروسه های امنیتی به شمار میرود.

  • Confidentiality : در واقع مفهوم محرمانگی تلاش برای جلوگیری از افشای غیر مجاز عمدی یا غیر عمدی پیام ها و مطالب است . از دست رفتن محرمانگی میتواند در بسیاری از جهات رخ دهد مثلا از طریق انتشار عمدی اطلاعات یک شرکت خصوصی با استفاده نادرست از شبکه اینترنت یا مواردی از این دست.
  • Integrity : مفهوم صحت بیان کننده ( فرایند تغییر اطلاعات توسط افراد غیر مجاز ، فرایند تغییر غیر مجاز اطلاعات توسط افراد مجاز) داده های داخلی و خارجی سازگار میباشند : به عبارت دیگر اطلاعات داخلی یک سازمان در subent های مختلف با دنیای خارج یکسان میباشد.
  • Availability : در دسترس بودن به مفهوم تضمین دسترسی قابل اطمینان و به موقع به داده ها ومنابع محاسباتی توسط پرسنل مجاز است به عبارت دیگر دسترس پزیری علاوه بر آنچه که گفته شد تضمین در دسترس بودن خدمات امنیتی مورد نیاز سیستمهای در هال کار را نیز شامل میشود.

نکته: بر عکس موارد گفته شده را (D.A.D) میگویند محرمانگی ≠ افشاء(disclosure) , صحت ≠ تغییر(alteration) , دسترس پزیری ≠ تخریب (destruction)

دیگر مفاهیم مهم

همچنین اصطلاحات مهم دیگری که یک کارشناس امنیت اطلاعات باید آنها را بداند شامل موارد شناسایی(identification) , تصدیق هویت (authentication), مسئولیت پزیری (accountability), اختیارات مجوزها (authorization), حریم خصوصی (privacy)میشود.

  • Identification : در واقع مفهومی است که کاربران از آن برای ثابت نمودن ادعای هویتشان برای سیستم استفاده میکنند که اغلب برای شناسایی و کنترل دسترسی مورد استفاده قرار میگیرد. نیازی برای authentication و authorization میباشد .
  • Authentication : تصدیق و یا اهراز هویت با استفاده از تست هویت و شواهدی که یک کاربر دارد. در واقع هویت تضمین میکند که کاربر همانی است که میگوید.
  • Accountability : مسئولیت پزیری و پاسخ گویی یک سیستم . اشاره به قابلیت تایین اقدامات ورفتار یک فرد در یک سیستم برای شناسایی فردی خاص با استفاده از سیاستهای حسابرسی وحمایت از پاسخ گویی آن میباشد .
  • Authorization : مجوز اعطا شده به یک فرد یا فرایند است که قادر به دسترسی به منابع کامپیوتر میباشد به عبارت دیگر زمانی که هویت یک کاربر مورد تایید قرار میگیرد به او داده میشود به عنوان مثال اعطای مجوز لازم برای یک اپراتورجهت دسترسی او به منابع مورد نیاز فرد است .
  • Privacy : حریم شخصی کاربران سطح محرمانه بودن و حفاظت از حریم خصوصی داده شده به کاربر در یک سیستم را میگویند . به این معنی که سطحی از حریم خصوصی که یک اپراتور از آن استفاده میکند به عنوان یک اصل اساسی بخش مهمی از کنترل های امنیتی حریم شخصی برای تضمین محرمانه بودن داده های مرورد استفاده فرد را شامل شود.

پیروز و سربلند باشید.

نویسنده: حجت رستمی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هر گونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد


حجت رستمی
حجت رستمی

دانشجوی رشته شبکه و متخصص Passive

دانشجوی رشته اینترنت و شبکه های گسترده علاقه مند به یادگیری active شبکه

نظرات