هدف: اطمینان از طبقه بندی هر یک از دارائی های اطلاعاتی
اطلاعات را باید به نحوی طبقه بندی نمود که اهمیت اولویت و درجه بندی حفاظت هر دسته از آنها کاملاً معلوم باشد درجات مختلفی از حساسیت و بحران پذیری برای هر دسته از اطلاعات وجود دارد. ممکن است برای حفاظت برخی از اطلاعات نیاز به تعریف سطوح حفاظتی بالاتر و دستورالعمل های نگهداری دقیق تر باشد. برای تعریف سطوح پذیرفته شده حفاظتی مناسب ، برای استفاده و یا انتقال اطلاعات نیاز به تعریف یک سیستم طبقه بندی اطلاعات می باشد.
2-3-8-1- دستورالعمل های طبقه بندی اطلاعات
در مرحله طبقه بندی و تخصیص روش های کنترل حفاظت اطلاعات لازم است نیازهای سازمانی در زمینه به اشتراک گذاری و یا مرزبندی دسترسی به اطلاعات در نظر گرفته شود. همچنین پیامدهای حاصل از دسترسی افراد غیر مجاز و یا تخریب اطلاعات باید مورد توجه قرار گرفته و اثر هریک از آنها بر روند فعالیت سازمان پیش بینی شود. به طور کلی، طبقه بندی تعیین شده برای هر دسته از دارائی های اطلاعاتی، نحوه استفاده و حفاظت از هریک از آنها را تعریف می نماید.
اطلاعات و خروجی های حاصل از پردازش آن باید با توجه به ارزش و حساسیت موضوع برای سازمان برچسب گذاری شود. همچنین ممکن است نیاز به بر چسب گذاری اطلاعات از لحاظ درجه بحرانی بودن آن در زمینه جامعیت و محرمانه بودن باشد.
حساسیت و ارزش اطلاعات معمولاً پس از یک دوره زمانی خاص تغییر می یابد. به عنوان مثال ممکن است پس از مدتی در اختیار عموم قرار گیرد(توسط سایر منابع) و یا به دلیل عرضه تکنولوژی های جدید دسترسی به آن برای همه امکان پذیر شود. این نکات باید توسط سیستم طبقه بندی مورد توجه قرار گیرد. تا از تحمیل هزینه حاصل از طبقه بندی بی مورد و یا بیش از حد مورد نیاز جلوگیری شود.
دستورالعمل تدوین شده طبقه بندی باید به گونه ای تهیه شود که تغییر در درجه طبقه بندی امنیتی را پیش بینی کرده و آن را با توجه به دوره های زمانی از پیش تعیین شده مجاز شمارد. این تغییرات با توجه به سیاست های از پیش تعیین شده امکان پذیر است.
باید نکات مربوط به تعداد طبقه های تعریف شده و مزایای حاصل از آن به دقت تحت نظر قرار گیرد. روش های پیچیده طبقه بندی ممکن است طاقت فرسا و یا پرهزینه و یا به طور کلی غیر قابل اجرا باشد. عنوان هر طبقه باید به دقت تعریف و ثبت شود و تفاوت آن با عناوین مشابه مورد استفاده در سیستم های طبقه بندی موسسات و سازمانهای دیگر، مورد توجه قرار گیرد و به اطلاع پرسنل سازمان و دیگر سازمانهای همکار نیز برسد.
مسئولیت تعریف درجه طبقه بندی اطلاعات (داده ها، رکوردهای اطلاعاتی، پرونده ها، دیسک ها) و دوره زمانی بازنگری آن به عهده تولید کننده و تحویل گیرنده قانونی اطلاعات می باشد.
2-3-9- امنیت فیزیکی و محیطی
2-3-9-1- محیط های امن
هدف: جلوگیری از دسترسی افراد غیر مجاز، جلوگیری از تخریب و یا تداخل اطلاعات.
تجهیزات حساس و پردازش اطلاعات سازمان را باید در مکانی امن که بر اساس تعاریف امنیتی، از پیش تعیین شده ، نگهداری کرد. این مکان باید دارای مرزهای امنیتی بوده و ورود و خروج از آن کنترل شود. این مکان باید به صورت فیزیکی در مقابل دسترسی های غیر مجاز، خرابی و یا تداخل حفاظت شود.حفاظت در نظر گرفته شده باید با ریسک تعریف شده رابطه مستقیم داشته باشد . قاعده میز و صفحه نمایش پاکیزه برای کاهش ریسک دسترسی غیر مجاز و یا تخریب اسناد چاپی ، رسانه های ذخیره اطلاعات و تجهیزات پردازش اطلاعات پیشنهاد می گردد.
2-3-9-2- فضای امن فیزیکی
حفاظت فیزیکی از طریق ایجاد موانع چندگانه فیزیکی در اطراف منابع سازمانی و تجهیزات پردازش اطلاعات امکان پذیر است. هر یک از مرزهای ایجاد شده، دسته ای از منابع سازمانی را در بر گرفته و افزایش این موانع، سطح کلی حفاظت را افزایش می دهد. باید با بهره گرفتن از این موانع امنیتی تجهیزات پردازش اطلاعات را حفاظت نمود.
مانع امنیتی ، عاملی است که از ایجاد یک مرز مثلاً دیوار یا یک دروازه ورود و خروج و یا یک میز پذیرش ساده بوجود می آید. نوع و توانایی هر مانع امنیتی با توجه به نتایج حاصل از تحلیل ریسک تعیین می گردد.
دستورالعمل هاو روش های کنترلی زیر را باید در نظر گرفته و به تناسب مورد استفاده قرار داد:
الف) مانع امنیتی باید به روشنی تعریف گردد.
ب) مانع امنیتی یک ساختمان یا سایت حاوی تجهیزات پردازش اطلاعات باید پیوسته باشد(هیچ رخنه قابل نفوذی که بتوان به راحتی از آن گذشت در آن وجود نداشته باشد.) دیوارهای خارجی سایت را باید از مصالح مستحکم ساخت و درهای ورودی نیز باید به نحوی مناسب در مقابل ورود غیر مجاز محافظت شده باشد.(با بهره گرفتن از مکانیزم های کنترلی، آژیر، قفل و غیره).
پ) دسترسی به تجهیزات فقط از طریق عبور از یک منطقه پذیرش که توسط نیروی انسانی کنترل می شود، امکان پذیر خواهد بود. دسترسی به سایت یا بنای مورد نظر فقط برای پرسنل تایید شده امکان پذیر می باشد.
ت) مرزهای فیزیکی در صورت نیاز به صورت کامل و از کف تا سقف ایجاد شده تا علاوه بر جلوگیری از دسترسی غیر مجاز، از حوادث ناشی از سیل و آتش سوزی نیز جلوگیری نماید.
ث) همه درهای اضطراری (آتش نشانی) باید دارای آژیر خطر بوده و به هنگام باز و بسته شدن آژیر آن به صدا درآید.
2-3-10- مدیریت ارتباط و عملیات
2-3-10-1- مستند سازی رویه ها
رویه های عملیاتی مشخص شده بر اساس سیاست گذاری امنیتی بایستی مستند و نگهداری شود. رویه های عملیاتی باید به عنوان اسناد رسمی تلقی گردد و هرگونه تغییر در آن به تایید مدیریت برسد. رویه های تعریف شده باید حاوی دستورالعمل های تشریحی در مورد اجرای هر یک از کارهای لازم باشد.
این دستورالعمل ها، حاوی نکات زیر خواهد بود:
الف) پردازش و نگهداری اطلاعات.
ب) نیازهای زمان بندی شامل پیش نیازها، وابستگی ها، زودترین زمان شروع و دیرترین زمان مجاز پایان هر کار.
پ) دستورالعمل های پردازش خطا یا سایر شرایط قابل پیش بینی دیگر که ممکن است حین انجام کار به وقوع بپیوندد و محدودیت هایی که در استفاده از ابزار یا تجهیزات وجود دارد.
ت) تعیین مراجع قابل رجوع در هنگام بروز خطاهای غیر قابل پیش بینی و یا مشکلات تکنیکی.
ث) دستورالعمل های مدیریتی خروجی های خاص مانند خروجی های محرمانه یا غیر پیش بینی شده و یا رویه های امن انهدام خروجی های ناشی از عملیات ناخواسته.
ج) رویه های آغاز به کار دوباره یا بازیابی اطلاعات در مواقع بروز اشکال در کار سیستم.
رویه های مستند شده برای سایر عملیات مربوط به تجهیزات پردازشی و ارتباطی نیز باید تهیه شود. برخی از این عملیات عبارتند از رویه های روشن و خاموش کردن کامپیوتر یا تجهیزات ، تهیه نسخه های پشتیبان ، نگهداری و تعمیرات تاسیسات، اتاق های کامپیوتر و مدیریت و ایمنی ارسال و دریافت اسناد و پیام ها.
2-3-10-2- کنترل تغییرات
لازم است تغییر در سیستم ها و یا تجهیزات پردازش اطلاعات تحت کنترل قرار داشته باشد. یکی از دلایل اصلی اشکال و عدم امنیت در کار سیستم ها و تجهیزات پردازش اطلاعات، بازرسی ناکافی می باشد. باید مسئولیت های مدیریتی رسمی لازم در زمینه بازرسی موثر و کنترل کلیه تغییرات در تجهیزات نرم افزارها و رویه ها تعریف شوند. لازم است به هنگام تغییر برنامه ها یک سیاهه ممیزی که حاوی کلیه موارد مرتبط با تغییر است تهیه شده و به صورت مناسب نگهداری شود. تغییر در محیط عملیاتی ممکن است باعث بروز اشکال در کار نرم افزارها گردد.
به همین دلیل لازم است پس از تغییر، رویه های کنترلی مربوطه نیز بازبینی شده و اسناد مربوطه با نظر مدیریت ثبت گردد. در نهایت لازم است موارد کنترلی زیر مورد توجه قرار گیرد:
الف) شناسائی و ثبت کلیه تغییرات مهم.
ب) ارزیابی اشکالات احتمالی ناشی از این تغییرات.
پ) تایید رسمی رویه های مربوط به این تغییرات.
ت) اطلاع دادن جزئیات تغییرات به کلیه افراد مربوط.
ث) پیش بینی روش های تعیین مسئولیت برای جلوگیری از تغییرات نا خواسته و یا نحوه بازگشت به شرایط قبل از این تغییرات.
2-3-11- کنترل دسترسی [44]
2-3-11-1- سیاست گذاری و نیازهای سازمانی
لازم است نیازهای سازمانی در زمینه کنترل دسترسی تعریف شده و ثبت گردد. قواعد دسترسی و حقوق هر یک یا هر گروه از کاربران را باید به دقت و به صراحت بیان نمود و در سند روش اعطای حق دسترسی ثبت کرد.
لازم است کاربران و ارائه دهندگان سرویس به سیستم به روشنی در جریان نیازها و روش های کنترل دسترسی قرارگیرند. لازم است موارد زیر در تعیین روش های کنترل دسترسی مورد توجه قرارگیرد:
الف) نیازهای امنیتی برنامه های کاربردی مختلف سازمان که به صورت مجزا اجرا می شوند.
ب) شناسائی کلیه اطلاعات مربوط به برنامه های کاربردی .
دانلود منابع تحقیقاتی برای نگارش مقاله بررسي سيستم مديريت امنيت اطلاعات و توصيف انواع ...