محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

پالیسی امنیتی چیست؟ آشنایی با بیانیه یا خط مشی امنیت اطلاعات

بیانیه یا Policy در امنیت اطلاعات به یک یا چند مستند متنی گفته می شود که در کنار هم قرار می گیرند و نحوه پیاده سازی کنترل های امنیتی برای حفاظت از شبکه و دارایی های سازمانی آن در برابر حملات داخلی و خارجی را تشریح می کنند. بیانه امنیت اطلاعات بایستی در بالاترین سطح امنیتی ممکن در یک سازمان طراحی و پیاده سازی شود و حتما باید قدرت مدیریتی سازمان در پس پیاده سازی آن باشد. این مستند بسیار دقیق و مشروح است و در آن بصورت کامل معماری امنیتی که باید در سازمان پیاده سازی شود به همراه اهداف دقیق پروژه ، قوانین و آیین نامه ها ، دستورالعمل های رسمی و اداری و ... تشریح شده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
پالیسی امنیت اطلاعات چیست؟

در این مستند بصورت کاملا دقیقا و شفاف دارایی های سازمانی مشخص شده اند و همچنین مشخص شده است که چه دارایی سازمانی باید توسط چه کسی نگهداری شود و توسط چه اشخاصی می توان به آن دسترسی پیدا کرد ، چه افرادی حق دسترسی به داده های سازمانی را دارند و چگونه باید این دسترسی برای آنها فراهم شود ، چه کسانی می توانند در داده ها تغییرات ایجاد کنند و همه این موارد از جمله مواردی هستند که در یک مستند بیانه امنیت اطلاعات یا Information Security Policy به دقت و صراحت تشریح می شود.

بدون تدوین کردن و پیاده سازی این بیانه های امنیت اطلاعات شما در سازمان خودتان به هیچ عنوان نمی توانید مرافعات و مشکلاتی که ناشی از سهل انگاری افراد هستند و همچنین باعث به خطر افتادن منافع سازمان شده اند را رفع و رجوع کنید زیرا قبلا قانونی برای حل مشکلات تعریف نکرده اید و افراد مسئول در هر حوزه مشخص نیستند. شما می توانید از Policy ها در حوزه امنیت اطلاعات به عنوان Rule ها یا قوانین امنیت اطلاعات یک سازمان نام ببرید ، اگر قوانین تدوین نشده باشند و پرسنل یک سازمان ملزم به رعایت آنها نشده باشند شما نمی توانید در هیچ دادگاهی هیچ کسی را مسئول و یا متهم مشکلات به وجود آمده بدانید.

پالیسی امنیت اطلاعات چیست؟

بیانه های امنیت اطلاعات یا Information Security Policies پایه و اساس زیرساختار امنیتی سازمان شما هستند ، اگر شما زیرساختار محکمی نداشته باشید قطعا نمی توانید بنای امنیت اطلاعات خودتان را به درستی پیاده سازی و بالا ببرید. این بیانه های امنیتی هستند که منابع اطلاعاتی شما را امن می کنند و از آنها محافظت می کنند و باعث به وجود آمدن یک لایه محافظ قانونی برای سازمان شما می شوند. شما در یک بیانه امنیت اطلاعات در خصوص انواع و اقسام کنترل هایی که می توانند امنیت اطلاعات شما را بالا ببرند صحبت می کنید .

برای مثال تعریف می کنید که کاربران شما نباید اطلاعات حیاتی سازمان را در اختیار افراد غیر مسئول قرار بدهند ، آنها باید ارتباطات بین خودشان را نیز با روال های امنیتی که تدوین شده است برقرار کنند ، آنها نباید استفاده غیر مجاز از اینترنت بکنند و بسیاری دیگر از موارد که همگی آنها در نهایت به بالا بردن درجه امنیتی یک سازمان کمک می کنند ، همگی این بیانه ها بصورت مکتوب و یا در قالب آموزش های درون سازمانی به اطلاع پرسنل و کارکنان سازمان می رسد تا آگاهی لازم را در جهت رعایت قوانین و بیانه های امنینی را داشته باشند.

پالیسی امنیت اطلاعات چیست؟

علاوه بر اینها این بیانه های امنیت اطلاعاتی سازمان و اطلاعات آن را در برابر حملات سایبری ، تهدیدهای مخرب ، جاسوسی ، خرابکاری و ... می تواند حفاظت کند. بیانه های امنیت اطلاعات بصورت ویژه ای بر روی امنیت فیزیکی ، امنیت شبکه ، تعریف سطوح دسترسی ، محافظت در برابر کدهای مخرب و فرآیند بازیابی از حادثه یا Disaster Recovery متمرکز می شوند. اگر بخواهیم هدف اصلی یک بیانه یا Policy در حوزه امنیت اطلاعات را بصورت خلاصه بیان کنیم موارد زیر قابل ذکر هستند :

  1. مشخص کردن و طرح ریزی یک روش مدیریت و نگهداری درست و منظم برای امنیت شبکه
  2. حفاظت و برقراری امنیت منابع اطلاعاتی و محاسباتی سازمان
  3. رفع مشکلات ناشی از نقض قوانین و مسئولیت های کارکنان و شرکت ها و افراد همکار
  4. جلوگیری از هدر رفتن منابع اطلاعاتی و محاسبانی سازمان و اطمینان از صحت و تمامیت اطلاعات
  5. جلوگیری از دسترسی و اعمال تغییرات غیرمجاز بر روی داده های سازمانی
  6. کاهش دادن ریسک ناشی از استفاده غیرقانونی از اطلاعات و منابع و جلوگیری از از بین رفتن داده های حساس و حیاتی
  7. تشخیص و تعریف دقیق سطوح دسترسی کاربران
  8. حفاظت از دارایی های اطلاعاتی محرمانه سازمان در برابر سرقت ، خرابی و افشاء

محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

25 تیر 1394 این مطلب را ارسال کرده

نظرات