محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی انواع پالیسی در امنیت اطلاعات | بررسی 7 نوع Policy امنیتی

برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی یا پالیسی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • خط مشی های مدیریتی ( Management Policies)
  • نیازهای طراحی نرم افزار ( Software Design Needs)
  • طرح و برنامه بازیابی از حادثه ( Disaster Recovery Plan)
  • خط مشی های اطلاعاتی ( Information Policies)
  • خط مشی های امنیتی ( Security Policies)
  • خط مشی های مدیریتی کاربران ( User Management Polices

Management Policy یا پالیسی مدیریتی چیست؟

خط مشی های مدیریتی در واقع راهنمایی برای بروز رسانی ، نظارت کردن ، تهیه نسخ پشتیبان و بازرسی کردن در یک سازمان هستند .مدیران سیستم و کارکنانی که در بخش نگهداری و تعمیر فعالیت می کنند از این خط مشی ها برای هدایت تجارت استفاده می کنند . این خط مشی طوری باید باشد که به وضوح نشان بدهد که بروز رسانی ها هر چند وقت باید انجام شود و در چه زمانی باید این عمل انجام شود ، این خط مشی ها چگونگی انجام شدن پایش یا مانیتورینگ و برداشتن و نگهداری LOG ها را نیز مشخص می کند .

آنها حتی باید با استفاده از عنوان کاری افراد مشخص کنند که چه کسانی مسئول تصمیم گیری در سازمان هستند و همچنین تصمیمات اتخاذ شده چند وقت به چند وقت باید مورد بررسی و مرور قرار بگیرند . خط مشی ها باید به اندازه ای واضح و روشن باشند که بتوانند به کارکنان مدیریتی این امکان را بدهند که بتوانند تمرکز خود را بر روی سیستم عامل های در حال کار قرار بدهند و به آنها توجه کنند و در این بین سیاست باید به نحوه قابل انعطاف باشد که در آن موارد اورژانسی و پیش بینی نشده نیز گنجانده شود.

Sofware Design Policy یا پالیسی طراحی نرم افزار چیست؟

طراحی نیازمندی ها در واقع نشان دهنده قابلیت های یک سیستم و اینکه این قابلیت ها شامل چه چیزهایی می شوند، است . برای مثال این نیازها ممکن است طرحی ابتدایی باشند که شما را واقعا در پیدا کردن راه حل های جامع کمک می کند . بسیاری از فروشنده های نرم افزار ، نرم افزار خود را پیشنهاد می کنند و به شما اطمینان می دهند که نرم افزار آنها کاملا ایمن است ، در این حالت شما می توانید با استفاده از تعریف نیازهایی که قبلا تعریف شده اند از فروشنده در مورد آن نرم افزار سئوالات و توضیحات کامل و راهکارهای جامع بخواهید .

اگر نیازهای طراحی شده شما به عنوان یک جزء جدا از ساختار پیاده سازی شما در نظر گرفته شود ، شما می توانید شرط ببندید که شبکه شما آسیب پذیر است . طراحی نیازها باید بصورت یک هدف متغیر در نظر گرفته شود زیرا دائما در حال تغییر است . نیازهایی که امروزه با آنها سروکار دارید مسلما نیازهایی نخواهند بود که در دو سال بعد با آنها روبرو خواهید شد و دائما در حال تغییر هستند .

Disaster Recovery Plan یا طرح بازیابی از حادثه چیست؟

طرح و نقشه بازیابی از حادثه یکی از دردسرهایی است که حرفه ای های فناوری اطلاعات با آن مواجه هستند . DRP ها هزینه های زیادی برای پیاده سازی می خواهند و برای آزمایش کردن گران هستند و باید همیشه با روز باشند . بسیاری از شرکت های بزرگ وجود دارند که در زمینه DRP سرمایه گذاری های کلانی انجام می دهند که شامل مواردی از قبیل نسخه های پشتیبانی و Hot Site می شود . Hot Site ها تسهیلاتی هستند که این قابلیت و امکان را به شبکه می دهند که بلافاصله پس از بروز مشکل ، خط مشی یا شبکه شما را به حالت فعال باز گردانند .

اینگونه خط مشی های پشتیبانی هزینه های بسیاری دارند و بعضی اوقات هم تزار کردن آنها با سایت اصلی کار دشواری است . معمولا اکثر شرکت های کوچک با موضوعی به نام Hot Site بیگانه هستند و این کار را انجام نمی دهند . یک DRP خوب سعی می کند که هرگونه اتفاق یا خرابی ممکن را بصورت مجازی پیش بینی کرده و برای آن طرح و نقشه ای پیاده سازی کند . حال این موضوع می تواند به سادگی از کار افتادن یک سیستم ساده باشد یا به پیچیدگی یک سازمان چند ملیتی که چندین هزار سیستم در آن قرار دارند و می خواهد اطلاعات خود را بطور کامل بازگردانی کند .

کلید موفقیت یک DRP جامع و کامل بودن آن است ، هر چه یک DRP به جزئیات بیشتر اهمیت بدهد موفقیت آن بیشتر خواهد بود . برای مثال اگر شرکتی در شهر بم قرار دارد باید این پیش بینی بشود که ممکن است دوباره در این شهر زلزله بیاید و شرکت را تخریب کند ، بنابراین از دید یک DRP موفق اطلاعات باید در ناحیه ای خارج از شهر نیز نگهداری شوند مثلا در شعبه ای دیگر از شرکت که در تهران واقع است .

Information Policy یا پالیسی اطلاعات چیست؟

خط مشی های اطلاعاتی مربوط به موارد مختلفی از امنیت اطلاعات شامل دسترسی ها ، دسته بندی ها ، نشانه گذاری ها و ذخیره سازی ها می شود . همچنین شامل مواردی از قبیل انتقال یا خرابی اطلاعات حساس و حیاتی و پیاده سازی خط مشی های اطلاعاتی برای امنیت اطلاعات می شود. همانند خط مشی های دیگر موفقیت این نوع خط مشی ها نیز جامع بودن و فراگیر بودن آن است . در هنگام نوشته شدن این نوع خط مشی فقط مقدار خیلی کمی از آن را می توانیم به عنوان شانس و حدس و گمان در نظر بگیریم .

Security Policy یا پالیسی امنیتی چیست؟

خط مشی های امنیتی در بر گیرنده تنظیمات سیستم ها و شبکه ها هستند که سامل نصب نرم افزارها و سخت افزارها و اتصالات شبکه ای می شوند . خط مشی ها امنیتی نحوه شناسایی افراد ، سطوح دسترسی کاربران ، و نحوه انجام گرفتن عملیات بازرسی را تشریح و تعریف می کنند . اینگونه خط مشی ها همچنین در برگیرنده رمزنگاری و نرم افزارهای آنتی ویروس ، روش های انتخاب رمز عبور ، نحوه از بین رفتن اعتبار حساب ها کاربری ، تعداد ورودهای نا موفق و چیزهایی مشابه آن می باشد .

  • نکته : هر خط مشی امنیتی به منظور خاصی بکار می رود ، پس سعی کنید هر کدام را در سر جای خود بکار ببرید ، برای مثال اگر خط مشی امنیتی برای شرکتی طراحی کرده اید که امنیت برای آنها بسیار مهم است ، همان خط مشی را نمیتوانید برای شرکتی بکار ببرید که امنیت در آن چندان اهمیتی ندارد . این عمل مستقیما به سطح دانش افراد و کارکنان سازمان دارد و برای مثال اگر سطح سواد و IQ کارکنان شرکت در سطح پایینی باشد شما نمیتوانید خط مشی را پیاده سازی کنید که در آن حداقل طول رمز عبور هشت کاراکتر تعریف شده باشد . اگر آنها را اجبار به انجام اینکار کنید ظرف مدت کمتر از یک هفته شما مشاهده خواهید کرد که همه کارکنان از یک رمز عبور مشترک استفاده می کنند و یا اینکه همگی رمز عبور خود را بر روی یک کاغذ نوشته و آنرا روی مانیتور خود می چسبانند ، وقتی کاربری توانایی به خاطر سپردن رمز عبور تک کاراکتری را ندارد ، آنرا یادداشت می کند و این امر کاملا طبیعی است .

Usage Policy یا پالیسی استفاده چیست؟

خط مشی های استفاده در برگیرنده نحوه و چگونگی استفاده از اطلاعات و منابع سازمان را بیان می کند . شما نیاز دارید تا به کاربر خود توضیح دهید که چگونه و به چه منظور حق استفاده از منابع را دارد . این خط مشی ها در حقیقت قانون استفاده از کامپیوترها می باشد .

اینگونه خط مشی ها مسائلی شامل استقلال کاربران ( Privacy) یا حریم خصوصی ، و مالکیت ( Ownership) و نتیجه اعمال نادرست کاربران را به صراحت بیان می کند .خط مشی های استفاده شما باید به وضوح نحوه استفاده کاربران از اینترنت و سرویس ایمیل را شرح دهد .

آنها همچنین باید مشخص کنند که کاربران چگونه باید رویدادها را گزارش دهند ، اگر به موضوعی شک و حدس و گمان بردند باید مشخص شود که در آن حال باید با چه کسی تماس گرفته و آنها را مطلع سازند . اینگونه خط مشی ها باید طوری باشند که قدم به قدم مراحب نظارت بر کاربران و سازمان را در بر گرفته و کاربران را با این موضوع تطبیق دهند ، در اینجاست که نتایج سوء از یک حساب کاربری یا حتی چیزهای خیلی جزئی تر باید گنجانده شود .

User Management Policiy یا پالیسی مدیریت کاربران چیست؟

اینگونه خط مشی ها در واقع بیانگر اعمال مختلفی است که یک کاربر در حالت عادی فعالیت خود انجام می دهد . این خط مشی علاوه بر آموزش ، موقعیت سنجی و نصب و تنظیم ابزارها و وسایل ، باید طوری طراحی شود تا در آن نحوه اضافه شدن کارمندان به سیستم را نیز مشخص کند . انتقال کارمندان در یک شرکت یک امر کاملا عادی و معمول است . اگر کارمندی به پست جدیدی انتقال یابد اجازه های دسترسی و محدودیت های سابق ممکن است با پست جدید نا متناسب باشد.

در این حالت ایجاد یک دسترسی جدید این امکان را به کاربر می دهد تا بلافاصله به کار خود ادامه دهد . اگر شما فراموش کنید که اجازه دسترسی های سابق را باطل ( لغو ) کنید ، کاربر جدید ممکن است بصورت کاملا اتفاقی اجازه دسترسی بیشتر از آنچه شما در اختیار او قرار می دهید را پیدا کند، بعد از مدتی نتیجه این نوع موقیعت ها حالت Privilege Creep بوجود می آید ، یعنی کاربر بطور کاملا اتفاقی دارای اجازه دسترسی هایی مشابه مدیر شبکه می شود .

یکی دیگر از مسائل و مباحث مهم در مدیریت کاربران ، کارمندان اخراجی هستند که تهدید مهمی برای امنیت اطلاعات به شمار می روند . در برخی اوقات یک کارمند اخراجی مکن است در پی این باشد که به لیست مشتری ها ، حساب های بانکی و بسیاری از اطلاعات حساس دیگر دست پیدا کند .

وقتی کارمندی اخراج می شود ، شما باید اطمینان پیدا کنید که حساب کاربری وی حتما غیر فعال و یا حذف شده است و آن کاربر دیگر هیچگونه اجازه دسترسی به سازمان و اطلاعات آنرا نباید داشته باشد .جالب است بدانید که بسیاری از مدیران شبکه از تغییرت کارمندان اطلاعی ندارند . خط مشی مدیریتی کاربران باید به قدری واضح و روشن باشد که در آن تمامی این مراحل به صورت کاملا دقیق و شفاف شرح داده شده باشد


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات