سیستم امنیت اطلاعات سازمانی

امروزه بزرگترین تهدید برای شرکت ها و سازمان ها دسترسی غیرمجاز به اطلاعات سیستم ها ی درون سازمانی است.

برای جلوگیری از این این دسترسی ها توسط عوامل خارجی و داخلی، سازمان هامجبور به استانداردسازی امنیت سازمان خود  می باشند.  ایجاد سیاستهاي کنترلی و همچنین ایجاد رویه افزایش امنیت اطلاعات ، واستفاده از ” سیستمهاي مدیریت امنیت اطلاع ” به یک الزام اساسی تبدیل شده است .سیستم امنیت اطلاعات بر پایه خصوصیت های انتخابی مدیران سازمانها بنا نهاده میشود .

مقدمه

از زمانی که نوشتن و تبادل اطلاعات آغاز شد دغدغه امنیت مکتوبات و درامان نگهداشتن از دسترس دیگران نیز آغاز شد.

ژولیوس سزار ابداع گر یک سیستم رمز نگاری مکاتبات در  50 سال قبل از میلاد بوده است تا در صورت دسترسی احتمالی دشمن به اطلاعات از محتوای آن اطلاعی پیدا نکنند. جنگ جهانی دوم باعث پیشرفت‎های چشمگیري در امنیت اطلاعات شد و کارهای تخصصی و حرفه ای برای حفظ امنیت اطلاعات  در پایان جنگ جهانی دوم شروع شد.

پایان قرن بیستم و سالهاي اولیه قرن بیست و یکم شروع پرفروغ در پیشرفت هاي  ارتباط از راه دور، سخت افزار، نرم افزار و رمزگذاري اطلاعات بود. تجهیزات محاسباتی در ابعاد کوچک و قدرت پردازش الکترونیکی بالای اطلاعات  باعث شد شرکتها و کاربران خانگی تمایل به دسترسی بیشتر داشته باشند. این تجهیزات به سرعت از طریق شبکه هاي کامپیوتری به هم ارتباط پیدا کردند .

تعریف لغوی امنیت اطلاعات

امنیت اطلاعات به حفاظت و نگهداري از اطلاعات و  حفظ سیستمهاي اطلاعاتی ازدسترس افراد ناشناس و  فعالیت‌هاي غیرمجازاطلاق میگردد . امنیت اطلاعات برای محرمانگی، یکپارچگی و در دسترس بودن داده ها است.

فعالیت های غیرمجاز شامل دسترسی، استفاده، خواندن ،تخریب ، افشاء ، نسخه برداري تغییرو دستکاري  اطلاعات است.

١ ISMS: Information security management system

دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، وسازمان های خصوصی حجم بالایی از اطلاعات محرمانه وخصوصی در موردوضعیت کاری، کارکنان، مشتریان، محصولات، تحقیقات و وضعیت مالی خود گردآوري میکنندکه بسیاري از این اطلاعات بر روي  ابزار های ذخیره سازی یاکامپیوترها جمع آوري، پردازش و ذخیره می شود و در شبکه ها به کامپیوترهاي دیگرانتقال داده میشود.این اطلاعات در مکان های مخفی و دور از دسترس افراد دیگر نگهداری میشود اگراطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید در دسترس رقبا قراربگیرد ممکن است منجر به خسارات مالی یا حتی ورشکستگی شود. حفاظت از اطلاعات محرمانه یک نیاز تجاري، و دربسیاري از موارد نیز نیاز اخلاقی و قانونی است .

تهدیدات امنیتی در امنیت اطلاعات به سه دسته تقسیم میشوند.

(Confidentiality) محرمانگی اطلاعات

*محرمانه بودن اطلاعات یعنی  دسترسی به محتواي اطلاعات، فقط برای افراد معتمد، ممکن باشد.

(Integrity) یکپارچگی اطلاعات

هدف از یکپارچگی اطلاعات، اطمینان از عدم تغییر اطلاعات در مسیرجابجایی  است، چه تغییرات سهوی و غیرسهوی

(Availability) در دسترس بودن اطلاعات

در دسترس پذیري داده ها، یعنی سرویس دهی به دسترسی‌هاي مجاز سیستم اطلاعاتی به آسانی ممکن باشد.

مهندسی امنیت اطلاعات

در عصر ارتباطات وجود استاندارهاي امنیت اطلاعات و ایمن سازي کامپیوترها به یک ضرورت مهم در سازمان‌ها بدل  شده است. هر یک از عوامل انسانی وماشین جایگاه مشخصی در نظام مهندسی امنیت اطلاعات دارند. آشنایی اصولی و منطقی با این نظام مهندسی و آگاهی از عناصر موجود در این ساختار به همراه شناخت علمی نسبت به مسئولیت هر یک از عناصر فوق، امري لازم و حیاتی است.تجهیزات ، یکی ازمهم ترین مولفه ها در نظام مهندسی امنیت اطلاعات هستند که استفاده از آن ها به یک ضرورت ملزم در دنیاي امنیت اطلاعات تبدیل شده است .

برای مقابله با تهدیدات امنیتی از راهکار های متفاوتی استفاده میشود که در ادامه به آنها میپردازیم

1. آموزش پیوسته کارکنان متناسب با شغل آنها.
2. افزایش سطوح مختلف دسترسی کاربران برای دسترسی به اطلاعات و تفکیک ، محدود و مدیریت کردن آن  .
3. تعریف سیاستهاي شفاف امنیتی.
4. اتوماسیون فرآیندهاي سیستمی برای کاهش وابستگی به عوامل انسانی
5. ایجاد روحیه مسئولیت پذیري در کاربران.

الگوهاي امنیتی برای مقابله با مشکلات امنیتی به شرح ذیل است.

ایجاد یک الگوي امنیتی  فرآیند استخراج لازم دارد و در طولانی مدت براي ایجاد یک راه حل جامع ، مجموعه اي از الگوهاي امنیتی به عنوان یکی از فعالیتها در روشهاي امروزي مورد استفاده قرارخواهند گرفت .قدم اول  ایجاد مخزن الگوي امنیتی است. از سوي دیگر ابزارها هیچوقت جایگزین افراد نخواهند شد اما آنها را درمهندسی امنیت یاری میکنند .درکل  نمیتوان انتظار زیادی از الگوهاي امنیتی داشت . در نتیجه الگوهاي امنیتی باید به عنوان یک مکمل در فرآیند مهندسی امنیت در نظر گرفته شوند.

خطاهاي انسانی در امنیت اطلاعات

طبق تحقیقات خطاهاي انسانی بیشترین تهدید سازمانها می باشند و برخلاف تصور، حملات و نفوذ تاکنون تهدید کوچکی بوده است . خطاهای انسانی شامل موارد ذیل می باشد:

• فشارکاری زیاد
• اشتباه در ورود  و ثبت اطلاعات
• دستورالعمل های اشتباه
• دسترسی نادرست به اطلاعات
• عدم بروزرسانی دستگاهها و نرم افزارهاي مورد استفاده
• کلمه عبور
•  نرم افزارهای کم امنیت
• بی تفاوتی نیروي انسانی

عدم یکپارچگی اطلاعات ، دسترسی به اطلاعات نادرست ، خسارات مالی و اقتصادي، عدم ارائه سرویس به موقع و حتی در برخی موارد خطرات جانی از اسیب های انسانی نامبرده میشود .

از تهدیدات امنیتی میتوان به موارد ذیل اشاره کرد.

1. درك نادرست  از تهدیدات مرتبط با فناوري اطلاعات بر روي سازکارهاي سازمانی
2. عدم کنترل به موقع فرایندهاي امنیتی– اطلاعاتی.
3. فشارهاي کاري و زمانی و استرس ناشی از آن
4. عدم احساس مسئولیت در نیروي انسانی
5. اشتراك منابع مختلف سازمان با سایر کاربران و در برخی موارد، خارج از سازمان.
6. آموزش های ناکافی براي کاربران

 امنیت تجارت الکترونیکی

 تراکنشها و ارتباطات آنلاین فرصت مناسبی  براي سوء استفاده از فناوري و حتی اعمال غیرقانونی است.. این تهدیدات مختص تجارت الکترونیک نبوده و از مشکلاتی است که در کل دنیا گریبانگیر سیستمهاي اطلاعاتی و کامپیوتری است . هر ساله سازمانهاي زیادی مورد سوء استفاده قرارمیگیرند، مانند حملات ویروسی، سرقت اطلاعات حساس تجاري و اطلاعات محرمانه کارتهاي اعتباري، که ممکن است ضررهاي جبران ناپذیري را به یک سازمان یا بنگاه اقتصادي واردکنند.

 بسیاري از مشاوران ومتخصصان هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با این حال آنچه مهمتر ازخسارات است، این است که با افزایش کاربران سیستمهاي اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوري و تهدیدهاي امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاري از شرکتها دوست ندارند نفوذ به سیستمشان را تایید کنند و اطلاعاتشان در مورد این نفوذها و وسعت آنها را بامتخصصین  در میان بگذارند، به همین دلیل میزان دقیق خساراتی که شرکتها از جرائم مرتبط با امنیت متحمل شده اند، را نمیتوان بدست آورد.علت عدم  ارائه اطلاعات نقائص امنیتی،  اغین اغست که مدیراغن فکرمیکنند آشکار شدن اطلاعات باعث بی اعتمادي مشتریان نسبت به توانایی شرکت در حفظ دارائی هاي خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش رااز دست خواهد داد. با هیجانات رسانهاي که امروزه پیرامون اینترنت و قابلیتهاي آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، چالش مهم بسیاري ازشرکتها است و براي باقی ماندن در رقابت کاملا لازم است. بسیاري از شرکتها دریافته اند که براي موفقیت در تجارت الکترونیک، علاوه بر روشهاي امنیتی که براي حفاظت از منابع فناوري اطلاعات طراحی شده اند، نیازمند سرمایه گذاري و برنامه ریزي براي ایجاد یک برنامه جامع امنیت هستند

. برنامه جامع امنیت تجارت الکترونیک شامل برنامههاي حفاظتی می باشد که از فناوريهاي موجود در حوزه نرم افزار و سخت افزار، نیروي انسانی ، برنامه ریزي راهبردي استفاده میکند و برنامه هاي مدیریتی که براي حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند، است.چنین برنامهاي

براي بقاء کلی فعالیتهاي تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهاي اساسی در راهبرد تجارت

الکترونیک موفق به حساب آورد.

سنجش عملیات تجارت الکترونیک

اولین گام براي ایجاد یک برنامه ، ارزیابی موقعیت فعلی سازمان در پیاده سازي تجارت الکترونیک می باشد .گام بعدي ارزیابی آسیب پذیري سیستم تجارت الکترونیک شرکت از هر دو جنبه تهدیدات داخلی وخطرات موجود خارجی است

 راه حل

تهدیدها در هر یک از این حوزه ها باید به دقت ارزیابی و طرحهاي پیشگری باید با جزئیات کامل براي مقابله با هر کدام تهیه شود.

سپس، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم را برعهده دارند را، ارزیابی کند

. حوزههاي بحرانی که با مورد توجه قرار گیرندکه  عبارتند از : حساسیت اطلاعات در دسترس، حجم ترافیک دسترسی و روشهاي دسترسی

امنیت تجارت الکترونیک مبتنی بر تکنولوژي باید شامل لایه هاي مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوري باید فراهم کردن صحت، یکپارچگی و  پنهان کردن باشد.بسیاري از شرکتها ،در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکتهاي دیگري که در زمینه ارزیابی سیستمهاي امنیتی مبتنی بر فناوري تخصص دارند، استفاده می کنند.