بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
معرفی قالب پالیسی های امنیتی : Security Policy چه شکلی است؟
Security Policy چه شکلی است و چه ساختاری دارد ؟ همانطور که قبلا هم عنوان کرده ایم بیانه یا خط مشی امنیتی یک مستند متنی است که در آن روش امن کردن و محافظت دارایی های با ارزش یک سازمان در برابر تهدیدات و آسیب پذیری های امنیتی به دقت تشریح شده است. بیانه های امنیتی بایستی بصورت کاملا دقیق مطالعه ، تعریف و تدوین شوند و قالب بندی مطالب آنها بایستی بصورت مستمر مورد ارزیابی و مرور قرار بگیرد ، اینکار دلیل موجهی دارد .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
ما با عنوان مدیر سیستم امنیت اطلاعات بایستی مطمئن باشیم که هیچ واژه یا کلمه ای در بیانه ها نباید وجود داشته باشد که شخصی بتواند از آن سوء برداشت و یا سوء استفاده کند. بیانیه لوزان را به خاطر دارید ؟ یا بیانیه ژنو ؟ این هم دقیقا دارای همان ساختار است و بایستی برای هر کلمه و جمله یک بیانه امنیتی زمان صرف شود. قالب کلی یک بیانه امنیتی به شکل زیر است و شامل موارد زیر می باشد :
- توضیحات دقیق و کامل از جزئیات بیانه و دلیل ایجاد (صدور ) کردن آن
- توضیحات دقیق در خصوص وضعیت بیانه
- توضیحات در خصوص قابل اجرا بودن بیانه در محیط عملیاتی فعلی
- مشخص شدن وظایف کلیه افرادی که در حوزه بیانه مورد نظر قرار می گیرند
- تشریح نتایج عدم هماهنگی بیانه با استانداردهای سازمانی فعلی ( در موارد خاص )
محتویات یک بیانه امنیتی یا Security Policy Content چیست ؟
بصورت کلی محتوای یک بیانه امنیتی بر اساس قالب کلی طراحی آن به شکل زیر می باشد :
1.نیازمندی های امنیتی سطح بالا : در این قسمت دلیل و نیاز سیستم به پیاده سازی این بیانه امنیتی تشریح می شود. نیازها و دلایلی که بر اساس آن ما بیانه های امنیتی را تدوین می کنیم بصورت کلی به چهار دسته تقسیم بندی می شوند که نیازمندی های انضباطی ، حفاظتی ، رویه ای و تضمینی یا بیمه ای می باشند که در ادامه بصورت کاملتری توضیح داده شده اند.
- نیازمندی های امنیتی انضباطی یا Discipline Security : این نیازمندی شامل انواع بیانه های امنیتی می باشد که از آن جمله می توانیم به امنیت ارتباطات ، امنیت کامپیوتر ، امنیت عملیات ها ، امنیت شبکه ، امنیت پرسنل و کارکنان ، امنیت اطلاعات و امنیت فیزیکی اشاره کرد.
- نیازمندی های امنیتی حفاظتی یا Safeguard Security : این نیازمندی بصورت ویژه به حوزه کنترل های دسترسی ، آرشیو ها ، بازرسی ها و ممیزی ها ، اعتبار سنجی ها و صحت و تمامیت اطلاعات ، علامت گذاری یا Marking ، انکار ناپذیری ، استفاده مجدد از اشیاء ، بازیابی و محافظت در برابر بدافزارها متمرکز شده است.
- نیازمندی های امنیتی رویه ای یا Procedural Security : فرآیند های مستند سازی ، فرآیند های تداوم کسب و کار و BCP ، قوانین حسابرسی ، بیانه های دسترسی در این دسته نیازمندی ها قرار می گیرند.
- امنیت بیمه یا تضمین یا Assurance Security : مدارک و مجوزها و مستندات برنامه ریزی سازمانی که در فرآیند تضمین و بیمه بکار می روند در این قسمت تعریف می شوند.
2.توضیحات بیانه : همانطور که از عنوانش هم پیداست توضیحات مربوط به اینکه این بیانیه بر روی چه چیزی اعمال می شود ، این بیانه انضباطی است یا حفاظتی یا رویه ای و ... در این قسمت است که الزام پیاده سازی اجرای بیانه تشریح می شود و روش و مکانیزم تبادل اطلاعاتی و همکاری با سایر قسمت های سیستم مدیریت امنیت اطلاعات نیز تشریح می شود.
3.مفهوم امنیتی عملیات یا Security Concept Of Operation : بصورت ویژه به تشریح نقش ها ، وظایف و فعالیت های یک بیانه کار دارد و همچنین در این قسمت است که هدف ، ارتباطات ، رمزنگاری ، قوانین کاربری و نگهداری ، مدیریت زمان های بلا استفاده ، استفاده از نرم افزارهای عمومی و خصوصی ، قوانین مربوط به استفاده از نرم افزارهای Shareware و حتی قوانین حفاظتی مربوط به نرم افزارهای ضد بدافزار تعریف می شود.
4.اجبار اجرای امنیتی بیانیه بر روی معماری های پایه سازمانی : در این قسمت برای هر کدام از معماری های اطلاعاتی که در سازمان وجود دارد یک برنامه و معماری طراحی و تدوین می شود. ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد