چندین دلیل خوب برای طبقه بندی اطلاعات وجود دارد مقادیر و داده هایی که در یک سازمان وجود دارد در طبقه بندی اطلاعات برخی دارای ارزش بیشتری در تصمیم گیری های استراتژیک بلند مدت و یا کوتاه مدت کسب و کار دارند وبرخی از این داده ها مربوط به فورمول های یک محصول و یا اسرار تجاری مربوط با محصول را شامل میشود که بسیار با ارزش هستند و از دست دادن آنها میتواند باعث به خطر افتادن سرمایه گزاری در محیط بازار رقابت عمومی شود ویا به اعتبار آن لطمه بزند.
با این دلایل به روشنی مشخص است که طبقه بندی اطلاعات دارای مزایایی حتی در سطح سرمایه گزاری در یک کسب و کار جهانی میتواند موثر باشد که البته نه تنها در کسب و کار بلکه طبقه بندی اطلاعات در ارتقاء سطح محرمانگی , صحت, دسترس پذیری برای به حداقل رساندن اثرات تهدیدات میتواند در هزینه های امنیتی تاثیر گزار باشد. طبقه بندی داده ها بیشتر در سطح دولتی مورد استفاده است و در هر بخش جزء نیازهای هر سیستمی به شمار میاید تا در درجه اول تامین کننده سطح اعتماد به کارکنان ودر ادامه برای جلوگیری از استفاده و افشای غیر مجاز داده ها وحفظ محرمانگی در اطلاعات باشد شما همچنین میتوانید طبقه بندی اطلاعات را برای مطابقت با قوانین حفظ حریم خصوصی با فعال کردن رعایت مقررات در یک شرکت از قبیل حفظ اسرار استخدامی فرد برای به حداقل رساندن مسئولیت ویا حفظ آن در محیط کسب و کار انجام دهید
هدف نخست از کنترل های امنیتی کاهش اثرات امنیتی تهدید ها ومیزان اسیب پذیری هایی است که سازمان میتواند آن را تحمل کند این هدف مستلزم تایین تاثیر یک تهدید ممکن واحتمال خطری است که در یک سازمان میتواند رخ دهد . (Risk Analysis (RA سناریو روند تجزیه و تحلیل یک تهدید و براورد مقدار بالقوه از دست دادن سطح مورد نظر امنیتی میباشد. بنابر این طراحی نادرست میتواند خطر بالقوه بر روی سطح دسترسی به منابع محاسباتی را شامل شود
اموزش افراد حرفه ای امنیت.در ضمینه های درک برنامه ریزی ,سازماندهی, ونقش افراد در شناسایی وتامین امنیت اطلاعات یک سازمان, توسعه واستفاده از سیاست های مبتنی برمدیریت اطلاعات ونمایش موقعیت در موضوعات خاص واستفاده از استاندارد ها ,دستورالعملها وروشهای محافظت وحمایت از این سیاستهای امنیتی آموزش وآگاهی دادن به کارکنان در مورد اهمیت امنیت اطلاعات ونیاز خاص نسبت به موقعیت امنیت در رابطه با اهمیت محرمانه بودن, اطلاعات اختصاصی و خصوصی, مانند موافقت نامه های استخدامی , استخدام کارکنان و شیوه های مدیریت ریسک, ابزار شناسایی وکاهش سرعت خطر آلوده شدن منابع خاص .... میباشد.بنابراین از یک فرد حرفه ای امنیت اطلاعات انتظارات زیر قابل عنوان است :
دامنه INFOSEC از مدیریت امنیت, شامل شناسایی اطلاعات ,دارایی های داده با توسعه و اجرای سیاست ها،استانداردها ودستورالعمل ها میباشد هال تعریف مدیریت شیوه های طبقه بندی داده ها ومدیریت ریسک همچنین آدرس های محرمانه, صحت (integrity) دسترس پزیری (availability) با شناسایی وطبقه بندی تهدیدات سازمانها و داراییها و رتبه آسیب پزیری های خود به طوری که کنترل های موثر امنیتی اجرا شده باشند
بنابراین سه اصل گفته شده از infosec محرمانگی , صحت, دسترس پزیر بودن, (CIA) سه اصل اصلی مفاهیم امنیت اطلاعات را تشکیل میدهند و CIA به عنوان یک معیار و پادمان کنترل امنیت اطلاعات از تهدید , آسیب پزیری , وپروسه های امنیتی به شمار میرود.
نکته: بر عکس موارد گفته شده را (D.A.D) میگویند محرمانگی ≠ افشاء(disclosure) , صحت ≠ تغییر(alteration) , دسترس پزیری ≠ تخریب (destruction)
همچنین اصطلاحات مهم دیگری که یک کارشناس امنیت اطلاعات باید آنها را بداند شامل موارد شناسایی(identification) , تصدیق هویت (authentication), مسئولیت پزیری (accountability), اختیارات مجوزها (authorization), حریم خصوصی (privacy)میشود.
پیروز و سربلند باشید.
نویسنده: حجت رستمی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هر گونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد
دانشجوی رشته شبکه و متخصص Passive
دانشجوی رشته اینترنت و شبکه های گسترده علاقه مند به یادگیری active شبکه
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود