اهداف حفاظتی امنیت اطلاعات، نکات کلیدی اولیه برای حفاظت از اطلاعات است. اطلاعات نشان دهنده ارزش اقتصادی قابل توجهی برای هر شرکت است و نه فقط از امروز. این پایه و اساس وجود آنها است و بنابراین یک پیش نیاز ضروری برای کسب و کار موفق است. بنابراین بدیهی است - یا حداقل مطلوب - که اطلاعات باید محافظت شوند. با این حال، هنوز فاصله زیادی بین میل و واقعیت وجود دارد.

Loading...

محتوا

  • اهداف حفاظتی امنیت اطلاعات چیست؟
  • محرمانه بودن اطلاعات به چه معناست؟
  • یکپارچگی اطلاعات به چه معناست؟
  • در دسترس بودن اطلاعات به چه معناست؟
  • اهداف حفاظتی "گسترش یافته" چیست؟
  • نتیجه
  • DQS -  آنچه می توانید از ما انتظار داشته باشید

اهداف حفاظتی امنیت اطلاعات چیست؟

به دلیل امنیت ناکافی در پردازش اطلاعات، سالانه میلیاردها دلار خسارت وارد می شود. اما چگونه می توان به حفاظت کافی از دارایی های سازمانی دست یافت؟ و بهترین راه برای شروع یک شرکت در مبحث امنیت اطلاعات چیست؟

یک سیستم مدیریت امنیت اطلاعات با ساختار مناسب (ISMS) طبق استاندارد ISO/IEC 27001، مبنای بهینه ای را برای اجرای موثر یک استراتژی امنیتی جامع فراهم می کند. این استاندارد مدلی را برای معرفی، اجرا، نظارت و بهبود سطح حفاظت ارائه می دهد. برای دستیابی به این هدف، شرکت ها و سازمان ها ابتدا باید به سه هدف اساسی حفاظت از امنیت اطلاعات بپردازند:

محرمانه بودن

تمامیت

در دسترس بودن

اهداف حفاظت از امنیت اطلاعات: محرمانه بودن اطلاعات

هدف محافظت از داده‌های محرمانه در برابر دسترسی غیرمجاز است، چه به دلایل قوانین حفاظت از داده‌ها و چه بر اساس اسرار تجاری تحت پوشش به عنوان مثال. توسط قانون اسرار تجاری بنابراین، محرمانه بودن اطلاعات و داده های حساس در صورتی تضمین می شود که فقط افرادی به آن دسترسی داشته باشند که دارای اختیار (مجوز) برای انجام این کار باشند. اکسس یعنی مثلا خواندن، ویرایش (تغییر) یا حتی حذف.

بنابراین اقدامات انجام شده باید تضمین کند که فقط افراد مجاز به اطلاعات محرمانه دسترسی دارند - افراد غیر مجاز تحت هیچ شرایطی. این همچنین در مورد اطلاعات روی کاغذ، که ممکن است بدون محافظت روی میز بنشیند و خواندن را دعوت کند، یا برای انتقال داده هایی که در طول پردازش آن قابل دسترسی نیست، صدق می کند.

اجرای و اثربخشی اقداماتی که یک شرکت برای دستیابی به این اهداف حفاظتی انجام می دهد، مشخصه کلیدی سطح امنیت اطلاعات آن است.

برای کاربران (یا علاقه مند به) استاندارد امنیت اطلاعات شناخته شده بین المللی ISO 27001 ضمیمه A آن بسیار مفید است. این ضمیمه اهداف و معیارهای مرجع را برای مهمترین موقعیت های مرتبط با امنیت اطلاعات ارائه می دهد.

برای افراد مجاز نیز لازم است نوع دسترسی که باید داشته باشند، مجاز یا ملزم به انجام و کارهایی که مجاز به انجام آن نیستند، مشخص شود. باید اطمینان حاصل شود که آنها نمی توانند کاری را که مجاز به انجام آن نیستند انجام دهند. روش ها و تکنیک های مورد استفاده در این فرآیند متنوع و در برخی موارد مختص شرکت است.

اگر «فقط» موضوع مشاهده یا افشای غیرمجاز اطلاعات باشد (همچنین در حین انتقال، کلاسیک: ترافیک ایمیل!)، به عنوان مثال، می توان از اقدامات رمزنگاری برای محافظت از محرمانه بودن استفاده کرد. اگر هدف جلوگیری از اصلاح غیرمجاز اطلاعات باشد، هدف حفاظتی "یکپارچگی" وارد عمل می شود.

ISO/IEC 27001:2013- فناوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات

استاندارد از وب‌سایت ISO در دسترس است.

اهداف حفاظت از امنیت اطلاعات: یکپارچگی اطلاعات

اصطلاح فنی یکپارچگی به چندین الزام به طور همزمان مرتبط است:

 

  • تغییرات غیر عمدی در اطلاعات باید غیرممکن یا حداقل قابل تشخیص و ردیابی باشد. در عمل، درجه بندی زیر اعمال می شود:
  • یکپارچگی بالا (قوی) از تغییرات ناخواسته جلوگیری می کند.
  • یکپارچگی پایین (ضعیف) ممکن است از تغییرات جلوگیری نکند، اما تضمین می کند که تغییرات (غیر عمدی) قابل شناسایی و در صورت لزوم ردیابی (قابلیت ردیابی) است.
  • قابلیت اطمینان داده ها و سیستم ها باید تضمین شود.
  • کامل بودن اطلاعات باید تضمین شود.

بنابراین، اقدامات با هدف افزایش یکپارچگی اطلاعات، موضوع مجوز دسترسی در ارتباط با محافظت در برابر حملات خارجی و داخلی را نیز هدف قرار می دهد.

"در حالی که کلمات "محرمانه بودن" و "در دسترس بودن" از نظر اهداف حفاظتی کلاسیک امنیت اطلاعات به راحتی قابل درک و تقریباً قابل توضیح هستند، اصطلاح فنی "یکپارچگی" نیاز به توضیحی دارد. منظور از صحت (داده ها و سیستم ها)، کامل بودن یا قابلیت ردیابی (تغییرات).

اهداف حفاظت از امنیت اطلاعات: در دسترس بودن اطلاعات
در دسترس بودن اطلاعات به این معنی است که این اطلاعات، از جمله سیستم‌های فناوری اطلاعات مورد نیاز، باید برای هر شخص مجاز در هر زمان قابل دسترسی و قابل استفاده (عملکردی) تا حد مورد نیاز باشد. اگر یک سیستم از کار بیفتد یا یک ساختمان در دسترس نباشد، اطلاعات مورد نیاز در دسترس نیست. در موارد خاص، این می تواند منجر به اختلالاتی با پیامدهای گسترده شود، به عنوان مثال در نگهداری فرآیندها.

بنابراین منطقی است که یک تحلیل ریسک با در نظر گرفتن احتمال خرابی سیستم، مدت زمان احتمالی آن و هرگونه آسیب ناشی از کمبود امنیت فناوری اطلاعات انجام شود. اقدامات متقابل مؤثر را می توان از نتایج استخراج کرد و در صورتی که بدترین اتفاق به بدترین حالت رسید، آن را اجرا کرد.

اهداف حفاظتی "گسترش یافته" چیست؟

علاوه بر اهداف امنیتی محرمانه بودن، یکپارچگی و در دسترس بودن، سه هدف امنیتی اضافی نیز وجود دارد. اینها شامل دو جنبه «تعهد» و «پاسخگویی» است که مکمل یکدیگر هستند. اولی به معنای اطمینان از این است که یک بازیگر نمی‌تواند عمل خود را انکار کند، دومی اینکه این کنش را می‌توان به طور قابل اعتماد به او نسبت داد. هر دو به قابلیت شناسایی منحصر به فرد بازیگران خلاصه می شود و صدور رمزهای عبور منحصر به فرد حداقل نیاز برای این امر است.

 

سومین هدف حفاظتی گسترده، «اصالت» است، یعنی اصالت. یک سوال ساده در این زمینه این است: آیا اطلاعات واقعی است - آیا واقعاً از منبع مشخص شده آمده است؟ این هدف حفاظتی برای ارزیابی قابل اعتماد بودن منبع مهم است.

Man and a woman with a laptop in a server room
Loading...

اطلاعات با ارزش طلای امروزی است - و همچنین دارایی برای شرکت شما محافظت می شود. پاسخ به مهمترین سوالات در مورد ISO 27001 را اینجا بخوانید.

اهداف حفاظتی امنیت اطلاعات: نتیجه‌گیری

سه هدف مهم حفاظتی امنیت اطلاعات عبارتند از «محرمانه بودن»، «یکپارچگی» و «در دسترس بودن».

محرمانه بودن: برای اینکه بتوانید آن را تضمین کنید، باید به وضوح مشخص کنید که چه کسی و از چه طریقی مجاز به دسترسی به این داده های حساس است. برای مثال، این به مجوزهای دسترسی مناسب و استفاده از تکنیک‌های رمزنگاری مرتبط است.

صداقت به معنای محافظت در برابر تغییرات غیرمجاز و حذف اطلاعات، به علاوه قابل اعتماد بودن و کامل بودن اطلاعات است. بنابراین برای شرکت شما مهم است که اقدامات احتیاطی را برای شناسایی سریع تغییرات داده ها یا جلوگیری از دستکاری های غیرمجاز از پایه انجام دهد.

در دسترس بودن به این معنی است که اطلاعات، سیستم ها و ساختمان ها باید همیشه در دسترس افراد مجاز باشد. از آنجایی که به عنوان مثال، خرابی های سیستم با خطرات عمده همراه است، تجزیه و تحلیل ریسک باید برای این مجموعه از موضوعات انجام شود. در اینجا احتمال خرابی، خرابی و پتانسیل آسیب ضروری ترین سیستم ها را ثبت کنید.

تعهد، پاسخگویی و اصالت اهداف حفاظتی «گسترش یافته» هستند.

تعهد به این معناست که اطمینان حاصل شود که یک بازیگر نمی تواند اقدامات خود را انکار کند. مسئولیت پذیری با شناسایی واضح چنین بازیگری، این هدف حفاظتی گسترده را تکمیل می کند. اصالت این سوال را مطرح می کند: آیا یک قطعه اطلاعات واقعی است یا قابل اعتماد؟

DQS - آنچه می توانید از ما انتظار داشته باشید

امنیت اطلاعات موضوع پیچیده ای است که بسیار فراتر از امنیت فناوری اطلاعات است. این شامل جنبه های فنی، سازمانی و زیرساختی است. استاندارد بین المللی ISO/IEC 27001 برای اقدامات حفاظتی موثر در قالب سیستم مدیریت امنیت اطلاعات (ISMS) مناسب است.

DQS متخصص شما برای ممیزی و صدور گواهینامه سیستم ها و فرآیندهای مدیریتی است. با 35 سال تجربه و دانش 2500 ممیز در سراسر جهان، ما شریک صدور گواهینامه شایسته شما هستیم و به تمام سوالات در مورد ISO 27001 و سیستم های مدیریت امنیت اطلاعات پاسخ می دهیم.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

 

خوشحال می شویم به سوالات شما پاسخ دهیم

چقدر باید انتظار داشته باشید که سیستم مدیریت امنیت اطلاعات خود را بر اساس ISO 27001 تایید کند؟ دریابید. بدون تعهد و رایگان.

 

اعتماد و تخصص

متون و بروشورهای ما منحصراً توسط کارشناسان استاندارد یا حسابرسان با سالها تجربه نوشته شده است. اگر در مورد محتوای متن یا خدمات ما به نویسنده ما سؤالی دارید، لطفاً برای ما ایمیل ارسال کنید.

نویسنده
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...