امنیت اطلاعات یعنی حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌های غیرمجاز. این فعالیت‌ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری    

 

  دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات و وضعیت مالی گردآوری می‌کنند. بسیاری از این اطلاعات در حال حاضر بر روی کامپیوترهای الکترونیکی جمع آوری، پردازش و ذخیره و در شبکه به کامپیوترهای دیگر منتقل می‌شود. اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسه‌ای به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.(1)

امنيت اطلاعات از طريق اجراي مجموعه‌اي از كنترلها كه شامل سياستها ، عمليات ، رويه‌ها ، ساختارهاي سازماني و فعاليتهاي نرم‌افزاري است، حاصل مي‌شود. اين كنترل‌ها بايد به‌منظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس مي‌گذرد.استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظام‌نامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساخت‌هاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حالي‌كه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.(2)

 

امنیت اطلاعات شامل 3 قسمت از یک کانون مرکزی است (3)

امنیت فیزیکی

امنیت عملیاتی

مدیریت و تدابیر امنیتی

منظور از امنیت فیزیکی ، حفاظت از داراییها و اطلاعات در مقابل دسترسی فیزیکی افراد یا پرسنل غیر مجاز است .

امنیت عملیاتی یا اجرایی نحوه انجام شدن کارها توسط سازمان را بیان می کند . در معنای عام می توان به عنوان مدیریت اطلاعات از آن نام برد .

 مدیریت و خط مشی ها در واقع برنامه هایی هستند که با توجه به آنها می توانیم امنیت یک محیط را پیاده سازی کنیم . خط مشی ها برای اینکه موثر باشند نیاز به پشتیبانی همه جانبه از جانب تیم مدیریتی سازمان دارند . 

اهميت امنيت اطلاعات برای يك سازمان (4)

وجود حفره های امنيتی در يك سازمان ، می تواند پيامدهای منفی متعددی را برای يك سازمان به دنبال داشته باشد :

  • كاهش درآمد و افزايش هزينه
  • خدشه به اعتبار و شهرت يك سازمان
  • از دست دادن داده و اطلاعات مهم
  • اختلال در فرآيندهای جاری يك سازمان
  • پيامدهای قانونی به دليل عدم ايجاد يك سيستم ايمن و تاثير جانبی منفی بر فعاليت ساير سازمان ها
  • سلب اعتماد مشتريان
  • سلب اعتماد سرمايه گذاران

 

مزايای سرمايه گذاری در امنيت اطلاعات(4)

سازمان ها و موسسات تجاری با پياده سازی يك استراتژی امنيتی از مزايای زير بهره مند خواهند شد :

  • كاهش احتمال غيرفعال شدن سيستم ها و برنامه ها ( از دست دادن فرصت ها )
  • استفاده موثر از منابع انسانی و غيرانسانی در يك سازمان ( افزايش بهره وری )
  • كاهش هزينه از دست دادن داده توسط ويروس های مخرب و يا حفره های امنيتی ( حفاظت از داده های ارزشمند )
  • افزايش حفاظت از مالكيت معنوی

 

برخي از عوامل تهديد کننده اطلاعات در سازمان‌ها(5)
1- تهديدات فيزيکي
● بلاي طبيعي (آتش‌سوزي، زلزله، و…)
● دزدي؛
● تخريب؛
● تداخل‌هاي فيزيکي
● تخريب شبکه؛
● جاسوسي سازمان‌يافته
2- امنيت فيزيکي
اولين مرحله اين است که اطمينان حاصل کنيد کامپيوتر به لحاظ فيزيکي ايمن است. اين مرحله ممکن است بسته به اين‌که کامپيوتر را در کجا قرار داده‌ايد يا اين‌که کامپيوتر و داده‌ها از چه حساسيتي برخوردار هستند يک قسمت جزيي يا يک قسمت بسيار مهم محسوب شود.
امنيت فيزيکي همه کارهايي است که بيش از تايپ فرامين روي صفحه کليد انجام مي‌شود؛ مثل ساختن سيستم اعلام خطر، قفل کردن يک کليد روي منبع برق کامپيوتر، اتاقک قفل شده و مجهز به دوربين مداربسته کامپيوتر، و مقسم‌هاي برق و منبع برق وقفه‌ناپذير، امنيت فيزيکي عليرغم اين‌که مساله بسيار مهمي است،بيشتر وقت‌ها ناديده گرفته مي‌شود
3- تهديدات نرم‌افزاري
● نفوذ به ديواره‌هاي آتش
● بدافزارها (ويروس‌ها، تراواها، کرم‌ها)
● انتشار غيرمجاز يا تخريب داده‌ها؛
● جاسوسي سازمان‌يافته به‌وسيله ابزارهاي ديجيتالي
خطاهايانسانیدرامنیتاطلاعات(6)

تحقیقات نشان داده است که خطاهاي انسانی بیشترین تهدید در سازمانها می باشند که شامل موارد ذیل   می باشد:

  • فشار زیاد کار
  • خطا در ورود اطلاعات
  • عدم پیروي از دستورالعملهاي موجود
  • دسترسی نادرست به اطلاعات
  • عدم بروزرسانی دستگاهها و نرمافزارهاي مورد استفاده
  • ملاحظات کلمه عبور
  • استفاده از نرمافزارهایی که از امنیت کافی برخورداد نیستند
  • بیتفاوتی نیروي انسانی

 

راهکارهایی برای افزایش امنیت اطلاعات در سازمان ها(7)

1-مسئولیت نهایی امنیت و کفایت سیستم کنترل داخلی با مدیریت ارشد سازمان است.

2-باید تفکیک مناسب وظایف ناسازگار وجود داشته باشد تا از سرقت دارایی ها توسط اشخاص و از بین بردن رد پای آنها جلوگیری شود.

3- بسیاری از طرح های تقلب مانند کلاه به کلاه کردن و چک بازی مستلزم حواس جمعی و مراقبت مداوم شخص متقلب است. چنانچه مرخصی های اجباری با چرخش شغلی موقت همزمان شود، چنین طرح های تقلب مداوم به راحتی کشف خواهد شد.

4- اگر دسترسی به تجهیزات رایانه ای و فایل های اطلاعاتی محدود شود، تقلب رایانه ای می تواند به میزان قابل ملاحظه ای کاهش یابد.

5- راه دیگر محافظت از داده ها تبدیل آنها به کد های محرمانه است. این روش بدون کدگشایی، داده های مزبور را برای دیگران بی معنی و غیر قابل استفاده می کند.

6- رخنه گران رایانه ای از خطوط تلفن برای انتقال ویروس، دستیابی به سیستم، سرقت و از بین بردن داده ها و اطلاعات استفاده می کنند. یک روش موثر محافظت از خطوط تلفن نصب قفل و کلید بر روی آنهاست.

7-استفاده از برنامه های بسیار سودمند محافظت در برابر ویروس که در دسترس است.

8-یک شرکت برای محافظت از اطلاعات حساس وحیاتی خود باید همه اطلاعات خود را از نظر مهم و مجرمانه بودن طبقه بندی کند و سپس محدودیتهای دسترسی متناسب با آنها را اعمال کند.

9- باید مراقبت های ویژه ای از رایانه های کیفی به عمل آید. زیرا ورود غیر مجاز به اتومبیل ها و هتل ها و سرقت رایانه های کیفی حاوی اطلاعات محرمانه به طور چشمگیری افزایش یافته است.

نتیجه گیری(8)

بيشترين ميزان خسارت از طريق اشتباه‌هاي انساني به سيستم اطلاعاتي وارد مي‌شود. عدم ارايه آموزش‌هاي مناسب و عدم آگاهي و روزآمدسازي اطلاعات توسط کاربران و گاه بي‌توجهي آن‌ها در کار موجب تحميل هزينه‌هاي سنگين بر سازمان مي‌شود. که با آموزش و آگاهي در کنار مديريت شناسايي هعويت افراد و روش دستيابي آن‌ها به اطلاعات بخش مهمي از مسايل مربوط به کاربران اطلاعاتي حل خواهد شد
سازمان‌ها بايد در اقدامي نوآورانه با ترکيبي از عمليات امنيتي IT و شخص تلاش کنند تا در جريان فعاليت‌هاي کارکنان خود قرار گيرند. وجود حمايت‌هاي غيردولتي در داخل کشور و حملات به سيستم‌هاي داخلي سازمان‌ها و شرکت‌ها را مي‌توان يکي ديگر از تهديدها ارزيابي کرد. از مهم‌ترين اقدامات براي مقابله با اين با اين تهديدات، مي‌توان به موارد زير اشاره کرد:
ايجاد شبکه‌هاي ملي اينترنت با پهناي باند مناسب، ايجاد مرکز امداد براي حملات، تجهيز آزمايشگاه‌ها در مراکز تحقيقاتي براي امر خودکفايي، ايجاد دوره‌هاي آموزش براي مديران و روساي حوزه، سند امنيت فضاي تبادل اطلاعات کشور به مفهوم مرکز اشتراک و تبادل اطلاعات 

مراجع:

1-دکتر علیرضا احمدی، دانشیار علم و صنعت، ICT Strategic Planning ، انتشارات تولید دانش، تابستان 1383.

2- Web site: http://www.amniatetelaat.blogfa.com

3- محمد نصیری / انجمن تخصصی فناوری اطلاعات ایران 

4- استانداردی برای مدیریت امنیت اطلاعات، علی پورمند، پایگاه مقالات مدیریت

5- George Sadowsky: James X. Dempsey: Alan Greenberg: Barbara J. Mack: Alan Schwartz: IT Security Handbook: infoDev, World Bank: 2003.

6- کیانوش میرشفهء / سیستم امنیت اطلاعات در سازمانها

7- Web site: http://www.yjc.ir/fa/news/4762403/

8- Web site: www. Howstuffwork.com