IRCERT - سياست هاي امنيتي

صفحه اول > مقالات

سياست هاي امنيتي

در دنيايي كه وجه مشخصه آن فناوري سطح بالا و ارتباطات گسترده مي باشد، هر سازماني نياز به سياست هاي امنيتي كه مدبرانه تدوين شده باشند دارد. در هر لحظه خطرات مختلفي از بيرون و درون سازمان توسط هكرها، رقبا و يا كشورهاي خارجي منافع سازمان را تهديد مي كند. هدف سياست هاي امنيتي تعريف روال ها، راهنماها و تمريناتي است كه امنيت را در محيط سازمان برقرار و مديريت مي نمايد. با اجراي دقيق سياست هاي امنيتي، سازمان ها مي توانند تهديدات را كاهش دهند.

گروه امداد امنيت كامپيوتري ايران در قالب چند مقاله به معرفي مفاهيم سياست هاي امنيتي و روش هاي سياست گذاري امنيتي خواهد پرداخت.

مفاهيم

سياست امنيتي يك سازمان سندي است كه برنامه هاي سازمان براي محافظت سرمايه هاي فيزيكي و مرتبط با فناوري ارتباطات را بيان مي نمايد. به سياست امنيتي به عنوان يك سند زنده نگريسته مي شود، بدين معنا كه فرايند تكميل و اصلاح آن هيچ گاه متوقف نشده، متناسب با تغيير فناوري و نيازهاي كاربران به روز مي شود. چنين سندي شامل شرايط استفاده مجاز كاربران، برنامه آموزش كاربران براي مقابله با خطرات، توضيح معيارهاي سنجش و روش سنجش امنيت سازمان و بيان رويه ارزيابي موثر بودن سياست هاي امنيتي و راه كار به روز رساني آنها مي باشد.

هر سياست امنيتي مشخص كننده اهداف امنيتي و تجاري سازمان است ولي در مورد راه كارهاي مهندسي و پياده سازي اين اهداف بحثي نمي كند. سند سياست امنيتي سازمان بايد قابل فهم، واقع بينانه و غير متناقض باشد، علاوه بر اين از نظر اقتصادي امكان پذير، از نظر عملي قابل انعطاف و متناسب با اهداف سازمان و نظرات مديريت آن سطح حافظتي قابل قبولي را ارائه نمايد.

تدوين سياست

بهترين روش براي دستيابي به امنيت اطلاعات، فرموله نموده سياست امنيتي است. مشخص نمودن سرمايه هاي اصلي كه بايد امن شوند و تعيين سطح دسترسي افراد (به عبارت ديگر اينكه چه افرادي به چه سرمايه هايي دسترسي دارند) در اولين گام بايد انجام شود. هدف اصلي از سياست امنيتي اين است كه كاربران بدانند مجاز به چه كارهايي هستند و از سوي ديگر مديران سيستم و سازمان را در تصميم گيري براي پيكربندي و استفاده از سيستم ها ياري رساند.

براي تدوين سياست امنيتي پس از تحليل ريسك هاي سازمان، مي توان به روش هايي كه ديگران برگزيده اند متوسل شد. معمولا تجارب مفيدي كه قبلا در صنايع مشابه انجام شده و نتايج خوبي از آنها نتيجه شده است به صورت عمومي گزارش شده و در قالب مقالات تخصصي ارائه مي گردند. استانداردهاي شناخته شده اي نيز براي اين كار وجود دارد كه مي توان از آنها هم بهره گرفت.

سازمان هاي بزرگ و متوسط براي تعريف سياست امنيتي خود ناچار به پيروي روش بالا به پايين مي باشند. ولي براي سازمان هاي كوچك انجام اين كار به روش پايين به بالا نيز امكان پذير است. در اين حالت از قابليت هاي ابزارهاي موجود بهره گرفته مي شود.

همانگونه كه هرم سياست فوق نشان مي دهد، بهترين سياست امنيتي در شرايطي تدوين مي گردد كه مديريت سازمان سياست كلي را ارائه نموده و يا دستور پياده سازي اصول امنيتي را در سازمان صادر كند. تدوين كنندگان سياست سازمان بايد فعاليت خود را بر پايه اصول و استانداردهاي صنعتي مانند ISO17799 و يا HIPAA انجام دهند. رويه ها، راهنماها و تجربيات پايه اي براي ايجاد و توسعه فناوري امنيتي در سازمان هاي مختلف هستند. محصولاتي مانند ESM سازگاري و انعطاف سياست را با سياست ها و روال هاي امنيتي سيستم عامل ها، پايگاه داده ها و برنامه هاي كاربردي ارزيابي مي نمايند. اين ابزارها ممكن است با محيط كامپيوتري و شبكه سازمان در تعامل باشند.

استانداردها و روال هاي امنيتي

سياست هاي امنيتي دربردارنده كليه انتظارات، برنامه ها و اهداف عملياتي مديريت سازمان مي باشد. براي عملياتي و قابل اجرا بودن، سياست امنيتي بايد با استفاده از استانداردها، راهنماها و رويه هاي شناخته شده تعريف شود كه اطمينان از سازگاري كليه عمليات اجرايي با سياست هاي امنيتي حاصل گردد.

استاندارها، راهنما ها و روال ها تفسير خاصي از سياست را ارائه مي كنند و كاربران، مشتريان و مديران سازمان را براي پياده سازي سياست آماده مي نمايند.

ساختار سياست امنيتي

ساختار سياست امنيتي مركب از اجزاء زير مي باشد:

عبارتي در رابطه با موضوع سياست
چگونگي اجراي سياست در محيط سازمان
نقش و مسئوليت افراد مختلف تاثير گذار در سياست
سياست به چه ميزان انعطاف پذير است؟
اعمال، فعاليت ها و فرايندهاي مجاز و غير مجاز
موارد سخت گيري و عدم انعطاف سياست

در بخش هاي بعدي از اين مقاله اطلاعات بيشتري در رابطه با مفاهيم سياست هاي امنيتي و نيز روش هاي تدوين اين سياست ها ارائه خواهد شد.