مقدمه ای بر امنیت اطلاعات
1249 بازدید
مقدمه ای بر امنیت اطلاعات
مقدمه ای بر امنیت اطلاعات: هر شخصی چیزی ازرشمند دارد که بخواهد از آن محافظت کند. وقتی صحبت از برقراری امنیت می شود اولین چیزی که به ذهن ما می رسد این است که از اطلاعات یا شیء ارزشمند خود، در برابر دسترسی نادرست محافظت کنیم. محافظت کردن ممکن است از روش های مختلفی انجام شود. برقراری امنیت در حوزه دیتا و اطلاعات را از دیدگاه های گوناگونی می توان سنجید. امنیت اطلاعات یعنی عدم نفوذ ویروس ها و تروجان ها، امنیت اطلاعات یعنی حفاظت فیزیکی اطلاعات، امنیت اطلاعات یعنی جلوگیری از نفوذ هکرها و نفوذ افراد غیرمجاز، امنیت اطلاعات یعنی جلوگیری افراد غیرمجاز از دسترسی درست به اطلاعات درست و … . با همه این تفاسیر، معنای امنیت چیست؟!
امنیت چیست؟
بطور کلی میتوان امنیت را اینگونه تعریف کرد، حفاظت از هر گونه دارایی که برای ما با ارزش است در برابر حملات عمدی و غیرعمدی!
یک سازمان زمانی موفق می شود امنیت را تا حد قابل قبولی در سیستم خود بالا ببرد، که چندین لایه از امنیت را داشته باشد؛ امنیت فیزیکی، امنیت پرسنلی، امنیت عملیاتی، امنیت ارتباطات، امنیت شبکه و امنیت اطلاعات!
دارایی چیست؟
هر چیزی که برای یک سازمان دارای ارزش باشد، یک دارایی محسوب می شود. در یک سازمان دارایی ها رامی توان در بخش های زیر دسته بندی کرد:
اطلاعات: هرگونه داده و اطلاعاتی که در یک سازمان وجود دارد شامل این بخش می شود. مانند بانک اطلاعاتی، پرونده ها، مستندات سیستمی، راهنمای کاربر، قراردادها و … . بدون محافظت از اطلاعات ممکن است:
- محرمانگی آن کاهش یابد و به شکلی غیرمجاز افشا شود.
- بدون دانش به صورت عمدی یا غیرعمدی دستکاری شود.
- به صورت جبران ناپذیری پاک شده یا از بین بروند
- زمان که مورد نیاز است غیرقابل دسترس شود.
دارایی های نرم افزاری: هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد جزیی از دارایی نرم افزاری محسوب می شود. مثل برنامه های کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی و … .
دارایی های فیزیکی: هرنوع دارایی فیزیکی از یک صندلی گرفته تا تجهیزات رایانه ای، تجهیزات ارتباطی و …. یکی از دارایی های فیزیکی را شامل می شود.
خدمات: شامل خدمات ارتباطی، امکانات عمومی همانند نور، گرما، برق و … می شود.
منابع انسانی: تمامی کارکنان، تخصص، مهارت و تجارب آن ها جزیی از منابعانسانی هستند.
دارایی های نامشهود: اعتبار، وجهه و شهرت سازمان را شامل می شود.
امنیت اطلاعات
بر اساس راهنمای ISO 27001 برای برقراری امنیت اطلاعات حفظ سه مورد لازم و ضروری است؛ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات. این سه مورد که به CIA معروف است سه رکن اصلی برای سنجش امنیت اطلاعات است.
محرمانگی (Confidentiality): این ویژگی بر این امر تاکید دارد که اطلاعات در دسترس افراد، موجودیت ها یا فرآیندهای غیرمجاز قرار نگیرد و فاش نشود.
یکپارچگی (Integrity): این ویژگی بر حفظ صحت و تمامیت دارایی ها تاکید دارد. اطلاعات نمی توانند بدون اجازه ایجاد شوند، تغییر یابند و از بین بروند.
دسترس پذیری (Availability): این ویژگی بر در دسترس و قابل استفاده بودن، به محض تقاضا توسط یک موجودیت مجاز تاکید دارد.
نه تنها افراد بلکه هیچ سازمانی نیز بودجه نامحدود برای امن کردن همه چیز ندارد. در نتیجه نمی توان سیستمی صددرصد امن داشت. مثلا یک روش برای امن کردن یک کامپیوتر از حملات شبکه ای، جدا کردن کابل شبکه آن کامپیوتر است اما اینگونه قابلیت استفاده از آن کاهش می یابد. روشی دیگر اتصال کامپیوتر به اینترنت بدون هرگونه آنتی ویروس و فایروال است که قابلیت استفاده از آن بسیار راحت است اما امنیت آن به شدت در خطر خواهد بود. بنابراین کار یک متخصص امنیت یافتن نقطه تعادل بین امنیت و دسترسی است.
برای یافتنن تعادل شما باید بدانید اهداف یک سازمان چیست، امنیت چست، و چگونه تهدیدات را برای امنیت اندازه گیری کنید! اگر امنیت زیاد باشد به تدریج باعث خستگی کاربران شدهو به آن توجه نمیکنند.بنابراین وظیفه یک متخصص امنیتیف یافتن نقطه تعادل در این مثلث امنیتی است. حال با داشتن مقدمه ای بر امنیت اطلاعات می توان به سراغ سیستم مدیریت امنیت اطلاعات رفت.
سیستم مدیریت امنیت اطلاعات چیست؟
ISMS برگرفته از کلمات Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات است. این سیستم بخشی از سیستم مدیریت کلان است که بر دیدگاه مدیریت مخاطرات کسب و کار بنا شده است. در واقع ISMS به منظور طراحی، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات ایجاد شده است. ISMS با انتخاب کنترل های امنیتی کافی و متناسب به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن مخاطرات تجاری کنترل نماید.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.