مدیریت حوادث

باید مشخص نمود که یک رویداد مخاطره‌ آمیز دارای چه خصوصیاتی است، به چه کسی باید آن را گزارش نمود و گام‌های بعدی چه خواهد بود.

2 خطرات اینترنتی

2-1 مرور نمودن وب

باید مشخص شود که چه شکل از مرورها محدود شده‌اند، اتصال به چه وب‌سایت‌هایی خطرناک است و یا منع قانونی دارد، ضمناً نیاز است به کاربران جهت مرور ایمن‌تر آموزش‌هایی ارائه شود و نکات ضروری لازم گفته شود، همچنین بد نیست به آنها یادآوری گردد که جهت حفاظت از سیستم‌های داخلی شرکت چگونگی استفاده آنان از اینترنت توسط راهبر شبکه مانیتور می‌شود.

2-2 استفاده از پست‌الکترونیکی

جهت استفاده از پست‌الکترونیکی باید شرط کاربری قابل قبول از این سیستم تعریف شود، باید تعیین شود چه کارهایی مجاز و کدام‌ها غیر مجاز می‌باشند، سیاست شرکت در بکار بردن پست‌الکترونیکی برای انتقال پیغام شخصی باید تعریف شود و… ضمناً خطرات بالقوه‌ای را که استفاده نادرست از پست‌الکترونیکی می‌تواند داشته باشد باید برای کارمندان تشریح نمود.

2-3 نرم‌افزارهای ارسال پیام فوری (مانند: ICQ، AIM وMSN)

در مورد این نرم‌افزارها و اینکه آیا استفاده از آنها کلاً ممنوع است یا خیر باید تصمیم قاطعی اتخاذ نمود. ضمناً لازم است خطراتی را که اینگونه نرم‌افزارها دارند و کمکی که به نفوذگران جهت دسترسی، تغییر، از بین بردن و دزدیدن اطلاعات شرکت می‌نمایند برای کارمندان تشریح کرد.

2-4 دریافت فایل و الصاقها ⁵

در مرحله اول باید مشخص نمود که آیا دریافت فایل مجاز است یا خیر سپس باید نکاتی را جهت دریافت فایل امن‌تر، شناسایی منابع فایل قابل اطمینان از انواع نامعتبر، بهترین روش جهت دریافت و ارسال الصاق مرتبط با پست‌الکترونیکی، خطرات بالقوه الصاق‌ها، کاربرد پویشگران ویروس و غیره به کارمندان آموزش داد.

ضمناً باید کارمندان را از علت ممنوع نمودن بعضی فعالیت‌ها، تأثیر بعضی از خطرات برای شرکت، کارهایی که باید در زمان بروز مسائل گوناگون امنیتی انجام داد و … مطلع نمود. همچنین با ایجاد یک برنامه آگاه‌سازی امنیتی کارمندان نه تنها دانش خود را در زمینه امنیت شبکه گسترش خواهند داد بلکه می‌آموزند که در زمان بکار بستن هر یک از دارایی‌های اطلاعاتی شرکت چگونه عمل نمایند.

3 نقض سیاست امنیتی

جهت اینکه یک کارمند میزان اهمیت سیاست امنیتی را بیشتر متوجه شود باید دائماً آموزش ببیند و تبعات انجام کارهای ناقض سیاست امنیتی مانند آشکار نمودن سیستم‌های بحرانی داخل شرکت برای حمله‌کنندگان یا ایجاد خسارت غیرعمدی برای سایر شرکت‌های بین‌المللی را کاملاً درک نماید و آگاه باشد که در بعضی موارد ممکن است تحت تعقیب قانونی قرار گیرد.

4بهبود سیاست امنیتی

در این بخش سعی می‌نمائیم شما را جهت بهبود سیاست امنیتی که ایجاد نموده‌اید راهنمایی نمائیم تا آنکه هر چه بیشتر از کارآیی آن مطمئن شوید. فرض کنید شما سیاست امنیتی را آماده نموده‌اید و از دید شما خیلی کامل به نظر می‌رسد اما آیا نظر کارمندان نیز اینگونه است؟ آیا آنان تمامی واژه‌ها، ابزارها و برنامه‌هایی را که شما نام برده‌اید می‌شناسند؟ سیاست شما تا چه اندازه واضح و دقیق است؟ آیا بیش از اندازه به جزئیات نپرداخته‌اید؟ بالعکس، آیا نکته‌ای را فراموش نکرده‌اید؟ آیا مطلبی هست که کاملاً به جزئیات آن نپرداخته‌ باشید. فاکتورهای مهم دیگری نیز وجود دارند که در زیر ارائه شده‌اند.

·         جهت کاهش هرگونه برداشت اشتباه سیاست امنیتی لازم است که وظایف هر یک از کارمندان را دقیقاً تشریح نمایید. در این سیاست باید دقیقاً مشخص شود که نیاز به حفاظتِ چه چیزهایی است، کارمندان چگونه باید از این اشیاء حفاظت نمایند و مهمتر از همه باید دلیل حفاظت از این اشیاء مشخص شود تا آنکه کارمندان بتوانند مابین موارد بحرانی و کمتر بحرانی تمایز قایل شوند. نهایتاً سیاست امنیتی حاصل باید کاملاً دقیق و شفاف باشد.

·         اهداف سیاست امنیتی باید از همان ابتدا مشخص شود، و نیز باید تعیین شود که آیا این سیاست برای تمامی بخش‌ها و اطلاعات سازمان لحاظ می‌گردد یا تنها جزء مشخصی از سازمان موظف به رعایت آن می‌باشد. ضمناً بد نیست که به روش‌های گوناگون کارمندان درک بهتری از سیاست امنیتی و میزان اهمیت آن پیدا کنند و نهایتاً به این امر کاملاً واقف شوند که "امنیت وظیفه هر فرد است" و نباید تمامی کارها را به بخش خاصی سپرد.

·         تمامی دارایی‌های اطلاعاتی سازمان لازم است که دقیقاً مشخص شوند و ضمناً ارتباط آنها با یکدیگر، سخت‌افزار/ نرم‌افزار/ پرسنل / سطح قابل قبول استفاده اینترنت، مرتبط با آنها نیز کاملاً تعیین گردد.

·         در صورتی که شرکت شما در حال حاضر دارای یک سیاست امنیتی می‌باشد بهتر است که وقت خود را جهت دور ریختن سیاست قدیمی و ایجاد یک سیاست جدید به هدر ندهید بلکه گام اول را اصلاح و بهبود سیاست قدیمی قرار دهید.

·         با توجه به تغییرات گوناگونی که حملات و تکنولوژی‌ها پیدا می‌کنند سیاست امنیتی نیز لازم است که دائماً بررسی و بهنگام شود. تا آنکه اطلاعات شما در یک سطح قابل قبول حفاظت شود.

·         سیاست امنیتی باید دقیقاً چگونگی تماس با دفتر امنیت اطلاعات⁶  را مشخص نماید.                   

·         در این راستا حتی باید شماره تلفن‌های ضروری، آدرس‌های پست الکترونیکی و شخص مسؤل مشخص شوند.

5 پیاده‌سازی سیاست امنیتی

پس از ترسیم، بهبود، بهنگام‌سازی و نهایتاً دریافت موافقت جمعی، مرحله پیاده‌سازی سیاست آغاز می‌شود. می‌توان گفت که این مرحله از مرحله پیشین نیز بسیار سخت‌تر می‌باشد، زیرا شما باید کارمندان خود را آنگونه تربیت نمایید که به شکلی کاملاً امن عمل نمایند و آنگونه که در سیاست امنیتی مشخص شده است کارهای خود را به انجام برسانند.
در این مرحله باید سیاست امنیتی در اختیار تمامی افرادی که به اطلاعات سازمان دسترسی دارند از طریق اینترنت، اینترانت و یا هر روش دیگری قرار گیرد.

ضمناً سیاست امنیتی باید دارای بخش‌هایی باشد که بر طبق آن علاوه بر آموزش کارمندان، روش‌هایی جهت تغییر عملکرد فعلی آنها در راستای برآورده نمودن اهداف امنیتی در نظر گرفته شده باشد.

بدیهی است جهت پیاده‌سازی سیاست امنیتی لازم است یک برنامه آگاه‌سازی مناسب نیز که به اندازه کافی جذاب، نو، آموزنده و کاربر پسند باشد، در نظر گرفته شود. در بخش بعدی چگونگی تنظیم این برنامه را بیان می‌نمائیم.

6 برنامه آگاه‌سازی امنیتی چیست؟

می‌توان گفت که برنامه آگاه‌سازی یکی از کلیدی‌ترین فاکتورهای پیاده‌سازی موفق سیاست امنیتی در سطح یک شرکت می‌باشد که هدف اصلی آن تعریف نقش هر یک از کارمندان در کار با اطلاعات سازمان است. این برنامه ضمناً سعی دارد که به روش ساده و کارآمد علاقه مضاعفی را در زمینه امنیت اطلاعات مابین تمامی کارمندان ایجاد نماید.
این برنامه به دو بخش عمده تقسیم می‌شود:

1.       بخش آگاهی‌سازی

2.       بخش آموزش

هدف اصلی بخش اول آن است که کارمندان درک بهتری از امنیت و خطرات آن بدست آورند.

اما در بخش دوم سعی می‌شود که مسایل و مشکلات امنیتی با جزئیات بیشتری معرفی شوند و ضمناً راه‌هایی نیز جهت به حداقل رسانیدن این خطرات پیشنهاد گردد.

7 فرآیند ایجاد برنامه آگاه‌سازی

در این بخش سعی می‌نمائیم که استراتژی‌های گوناگون ایجاد یک برنامه آگاه‌سازی امنیتی را بیان نماییم و پس از بیان روش‌های گوناگون مزایا و معایب هر یک را نیز مختصراً شرح دهیم.

در ابتدای کار شما باید سؤالات زیر را از خویش بپرسید:

• برنامه سیاست امنیتی قرار است که چه کاری را انجام دهد و شما چگونه می‌توانید توجه افراد را به سمت آن جلب نمائید.


• مستمعین شما چه کسانی هستند؟ میزان تحصیلات آنها به چه میزان است؟ آیا نیاز است برنامه آموزشی به دو بخش یکی جهت افراد مطلع از کامپیوتر و دیگری برای افراد دارای آگاهی کمتر تقسیم شود؟


• شما چگونه می‌توانید مستمعین خود را به دارایی‌های اطلاعاتی شرکت خود و نیز چگونگی حفاظت از آنها بیشتر علاقمند نمایید؟


• ارائه مطالب قرار است که به چه شکلی صورت پذیرد؟

7-1 هدف اصلی برنامه

پیش از هر کار دیگری باید برای کارمندان تشریح شود که برنامه قصد دارد چه کاری را انجام دهد و چگونه می‌خواهد عملکردهای سازمان را بهبود بخشد. ضمناً باید به تمامی افراد این آگاهی را داد که امنیت وظیفه هر فرد است و فقط یک بخش از اداره، شرکت یا سازمان مسؤل انجام آن نیست. بسیاری از افراد می‌پندارند که هیچگونه مسؤلیتی در قبال افزایش امنیت سازمان خود ندارند و فقط بخش تکنولوژی اطلاعات یا دفتر امنیت اطلاعات در قبال این مسایل مسؤل است. آنان باید بدانند که حتی اگر بهترین امکانات و جدیدترین نرم‌افزارهای ضد‌ویروس و نیز تشخیص نفوذ برای شرکت آنان خریداری گردد یک کاربر آموزش ندیده براحتی می‌تواند تمامی کارهای صورت گرفته را بی‌اثر نماید.

7-2 مشخص نمودن سطح آگاهی مستمعین

جهت تنظیم هر چه بهتر برنامه آگاه‌سازی بهتر است که میزان سواد کامپیوتری مخاطبان مشخص شود. بسیاری از کارمندان شرکت که سطح دانش کامپیوتری آنها پایین می‌باشد بهتر است که در برنامه‌های آموزشی، شرکت داده نشوند. ضمناً سطح دسترسی کارمندان به اطلاعات مختلف شرکت نیز باید تعیین شود تا آنکه افرادی که با اطلاعات مهم سروکاری ندارند از برنامه‌های آموزشی حذف شوند. جهت برآورده نمودن این دو مقصود بد نیست که مصاحبه‌هایی نیز با تک‌تک کارمندان گذاشته شود.

7-3 مشخص نمودن سطح آگاهی امنیتی مخاطبین

امنیت اطلاعات در دنیای حاضر که دارای تغییراتی بسیار وسیع اما محیط فنی شکننده‌ای می‌باشد، نقش بسیار مهمی را بازی می‌نماید که هر روز نیز میزان آن بیشتر افزایش می‌یابد. امروزه شرکت‌ها و مشتری‌های گوناگون جهت بهره‌گیری هرچه بیشتر از امکاناتی که اینترنت ما را بدان مجهز نموده است، نیازمند ارتباطات امن می‌باشند.                                       

اهمیت این واقعیت باید به خوبی تبیین شود تا آنکه ملاک‌های جدیدی جهت بهبود رویه‌ها و تراکنش‌های روزمره شرکت و نیز بدست آوردن امنیت هر چه بیشتر تعریف گردیده و پیاده‌سازی شود.                                        

بسیار ناراحت کننده است که هر روز به علت مشکلات فنی امنیتی و نیز تردیدهایی که می‌توان از نظر امنیتی در کارکنان یافت و یا مسائلی که قرار دادن اطلاعات از طریق امکاناتی مانند وب برروی اینترنت، می‌تواند داشته باشد شاهد دزدیده شدن و در معرض خطر قرار گرفتن اطلاعات باشیم. این تهدیدها هر روز با بکاربردن ابزارهایی گوناگون از جمله روش‌های ارسال پیام فوری، افزودن الصاق به نامه‌ها و نیز چت نمودن افزایش می‌یابد.      

چرا به یک سیاست امنیتی نیاز است؟ 

                                                     
داشتن یک سیاست امنیتی خوب علاوه بر آنکه بستری برای پیاده‌سازی موفقیت‌آمیز پروژه‌های امنیتی در آینده فراهم می‌سازد، خطر استفاده غیر مجاز از منابع اطلاعاتی جاری سازمان را نیز از بین می‌برد و یا کاهش می‌دهد.
اولین گام جهت بهبود امنیت یک شبکه تعیین سیاست امنیتی دقیق می‌باشد که وظایف کارکنان گوناگون را مشخص نماید. ضمناً یک سیاست خوب علاوه بر تعیین دقیق مفهوم کاربردهای قابل قبول، باید لیست دقیقی از کاربردهای غیر قانونی را نیز فراهم آورد.

ایجاد (و پیاده‌سازی مناسب) یک سیاست امنیتی نه تنها به تمامی کارکنان اداره کمک می‌نماید که جهت ایمن‌سازی هرچه بیشتر ارتباطات با یکدیگر مشارکت نمایند بلکه میزان ریسک مشکلات امنیتی پیش آمده به علت اشتباهات خطای انسانی را نیز کاهش می‌دهد. ضمناً فرآیند ایجاد یک سیاست امنیتی می‌تواند کمک لازم را جهت تعیین دارائی‌های اطلاعاتی حیاتی یک سازمان و راه‌های حفاظت از آنها به عمل آورد و نهایتاً مجموعه متمرکزی از مستندات لازم برای حفاظت از دارائی‌های امنیت اطلاعات فراهم می‌سازد.

 سیاست امنیتی چیست؟

سیاست امنیتی اساساً یک نقشه می‌باشد که تعیین می‌نماید دارایی‌های اساسی و بحرانی شرکت چه هستند و ضمناً چگونگی حفاظت از آنها را نیز نشان می‌دهد. هدف عمده آن بیان کاربرد قابل قبول هر یک از دارایی‌های سازمان و تشریح اعمال مجاز و غیر مجاز صورت پذیرفته بر روی آنها می‌باشد. نهایتاً می‌تواند کارکنان را جهت ایمن‌سازی جنبه‌های بحرانی سیستم، هر چه بیشتر کمک نماید.

سند امنیتی مجموعه‌از قوانین را گرد هم می‌آورد که تمامی کسانی که از منابع سیستم بهره می‌گیرند باید آن را مطالعه نموده و قوانین آن را اجرا نمایند. یک سیاست امنیتی که بخوبی طراحی شده است باید بعضی از جنبه‌های زیر را دربرداشته باشد:

• اطلاعات حساس چگونه مدیریت می‌شوند.


• روش مناسب جهت نگهداری IDها، کلمات عبور و سایر داده‌های ممیزی ¹ چگونه است.


• چگونه می‌توان به یک تخطی امنیتی، تلاش جهت شنود و... پاسخ داد.


• چگونه می‌توان ایستگاه‌های کاری و اتصالات اینترنت را به شکلی امن بکار برد.


• چگونه می‌توان سیستم پست‌الکترونیکی شرکت را بصورت کاملاً امن استفاده نمود. اساساً، دلیل اصلی ایجاد یک سیاست امنیتی، تهیه بستری برای امنیت اطلاعات می‌باشد تا آنکه وظیفه کارمندان را در قبال امنیت مستندات گوناگون تعیین نماید و ضمناً اهمیت داشتن ارتباطات امن در هنگام اتصال بر خط را بیان دارد.

چگونگی شروع بکار:

هدف عمده این بخش ارائه تعدادی استراتژی و توصیه جهت ایجاد یک سیاست امنیتی می‌باشد و ضمناً سعی می‌نماید که نقشه‌ای پایه‌ای در اختیار شما بگذارد تا در زمان ایجاد چهارچوب سیاست مورد نظر بر طبق آن بتوانید حرکت نمائید.

پیش از آنکه اقدام به کوچکترین کاری نمائیم لازم است مشخصات کامل شبکه شرکت را بدست آوریم و جنبه‌های گوناگون ارزشمند وبحرانی آن را مشخص نمائیم.

تحلیل خطر ²

تحلیل درست خطر نقش عمده‌ای را در پیشبرد صحیح کارها بر عهده دارد. تحلیل خطر فرآیندی است که بر طبق آن دارایی‌های اطلاعاتی مهم شرکت، چگونگی کاربرد و عملکرد آنها مشخص می‌شود. در این مرحله دقیقاً مشخص می‌نمائیم که «چه» چیزی را می‌خواهیم محافظت نمائیم، این حفاظت در برابر «چه کسی» صورت می‌گیرد و نهایتاً «چگونه» این حفاظت می‌خواهد صورت پذیرد.

جهت انجام یک تحلیل ریسک موفق شما باید شما با راه‌های عملکرد شرکت، رویه‌های تجاری گوناگون و منابع اطلاعاتی مهم، آشنا باشید. ضمناً بتوانید تشخیص دهید که چه وسایل و رویه‌هایی می‌توانند یک مشکل امنیتی احتمالی را به وجود آورند. جهت اطمینان و دقت بیشتر، بهتر است که تمامی آنها را لیست نمائید. مثلاً فهرستی از برنامه‌ها و سیستم‌های کلیدی، کارگزاران برنامه، کارگزاران وب، کارگزاران پایگاه داده، پروژه‌های در دست اجرا، طرح‌های تجاری و … تهیه نمایید و یا به شکل پایه‌ای و اساسی‌تر کارهای زیر را تماماً به انجام رسانید:

• آنچه را که می‌خواهید از آن محافظت به عمل آورید دقیقاً شناسایی نمایید.


• جستجو نمایید و بیابید که در برابر چه کسی می‌خواهید حفاظت را انجام دهید.


• دقیقاً مشخص نمایید که برای هر یک از دارایی‌های اطلاعاتی شما چه خطراتی وجود دارد.


• فرآیند شما باید دائماً بهنگام شود تا اینکه نقاط ضعف امنیتی آن دائماً برطرف شود.


• لیستی از سخت‌افزارهای گوناگون نظیر تمامی کارگزاران، ایستگاه‌های کاری، کامپیوترهای شخصی، کامپیوترهای کیفی، رسانه‌های قابل جابجایی (نظیر CD، فلاپی، نوار و…)، خطوط ارتباطی و… تهیه نمایید.


• در بعد نرم‌افزاری میزان خطر، مشکلات امنیتی بالقوه ناشی از نرم‌افزار‌های تاریخ گذشته، بکارگیری ترمیم‌های غیر رایج، بهنگام‌سازی به گونه‌های بالاتر و… را مشخص نمائید. ضمناً مشکلات بالقوه ناشی از نصب نرم‌افزارهای گوناگون خصوصاً نرم‌افزارهای اشتراک فایل (مانند کازا³ )، چت، نرم‌افزارهای بازی و سرگرمی مجانی که توسط منابع غیر قابل اعتماد تولید می‌شوند، توسط کارمندان را نیز حتماً مد نظر قرار دهید.


• در امور پرسنلی نیز نسبت به افرادی که دسترسی به اطلاعات محرمانه و داده‌های حساس دارند و یا می‌توانند پایگاه‌های داده فعلی را تغییر دهند حساسیت ویژه داشته باشید.

 مدیریت خطر (شناسایی تهدیدها)

در این بخش سعی بر آن داریم که به شما جهت ایجاد لیستی از تهدیدهای امنیتی گوناگون که بصورت بالقوه وجود دارند کمک نمائیم. هر یک از عناصر زیر با جزئیات بیشتری در بخش‌های بعدی بحث خواهد شد.

1 امنیت فیزیکی

1-1 دسترسی به سیستم

معرفی بهترین روش‌های ایجاد کلمه عبور، در نظر گرفتن طول عمر کلمه عبور، حداقل طول کلمه عبور، کاراکترهای مناسب جهت قرارگیری در کلمه عبور، چگونگی نگهداری کلمه عبور، روش‌های محافظت از داده‌های ممیزی  .
1-2 حفاظت در برابر ویروس

بهترین روش‌های محافظت در برابر کدهای مخرب، چگونگی پویش سیستم، چگونگی بهنگام‌سازی سیستم بصورت غیر خودکار، روش‌های حفاظت در برابر کرم‌ها، ویروس‌ها و اسب‌های تراوا.

1-3 نصب نرم‌افزار

باید مشخص شود که آیا نصب نرم‌افزارهای مجانی و آزاد مجاز است یا خیر، اگر نصب آنها مجاز است در چه شرایطی می‌توان این کار را انجام داد، نصب برنامه‌های بازی و سرگرمی آیا مجاز است یا اینکه باید تمامی نرم‌افزارهایی که تولیدکننده آنها ناشناس است را دور ریخت.

1-4رسانه‌های متحرک (سی‌دی و فلاپی)

ملاک‌های کاربرد قابل قبول باید مشخص شود (مثلاً می‌توان این ملاک‌ها توسط یک سیاست کاربرد قابل قبول⁴ ) و ضمناً خطرات ورود کدهای مخرب به شبکه شرکت یا هر سیستم مهم دیگری باید بیان گردد.

1-5 رمزنگاری
باید مشخص شود که چگونه و توسط چه کسی باید داده‌های شرکت رمز شوند.

1-6 تهیه پشتیبان از سیستم

ارزش وجود پشتیبان در شرکت انکارناپذیر است. جهت تهیه آنها باید مشخص شود که چه کسی مسؤل این کار است و چگونگی کار هم باید دقیقاً مشخص گردد.