امنیت اطلاعات چیست؟-3 مولفه اصلی آن

امروزه اطلاعات به عنوان بخش مهمی از زندگی همه ی افراد به حساب می آید. به همین دلیل هم باید از ان محافظت شود. ما در این مقاله قصد داریم که در مورد امنیت اطلاعات به شما همه چیز را ارائه کنیم.

امنیت اطلاعات (InfoSec) چیست؟

امنیت اطلاعات (گاهی اوقات InfoSec نیز نامیده می شود) ابزارها و فرایندهایی را که سازمان ها برای محافظت از اطلاعات استفاده می کنند ، پوشش می دهد. این شامل تنظیمات خط مشی است. که از دسترسی افراد غیرمجاز به اطلاعات تجاری یا شخصی جلوگیری می کند. InfoSec یک زمینه رو به رشد و در حال تحول است .که طیف وسیعی از زمینه ها را شامل می شود ، از امنیت شبکه و زیرساخت ها گرفته تا آزمایش و حسابرسی.

امنیت اطلاعات از اطلاعات حساس در برابر فعالیت های غیر مجاز ، از جمله بازرسی ، اصلاح ، ضبط و هرگونه اختلال یا تخریب محافظت می کند. هدف این است که از امنیت و حریم خصوصی داده های مهم مانند جزئیات حساب مشتری ، داده های مالی یا مالکیت معنوی اطمینان حاصل شود.

پیامدهای حوادث امنیتی شامل سرقت اطلاعات خصوصی ، دستکاری داده ها و حذف داده ها است. حملات می توانند فرایندهای کاری را مختل کرده و به شهرت شرکت صدمه بزنند و همچنین هزینه قابل لمسی را در پی داشته باشند.

سازمانها باید بودجه ای را برای امنیت اختصاص دهند و اطمینان حاصل کنند که آماده تشخیص ، پاسخگویی و پیشگیری از حملات مانند فیشینگ ، بدافزارها ، ویروسها ، خودیهای مخرب و باج افزارها هستند.

3 اصل امنیت اطلاعات چیست؟

اصول اساسی امنیت اطلاعات عبارتند از محرمانه بودن ، صداقت و در دسترس بودن. هر عنصر برنامه امنیت اطلاعات باید برای پیاده سازی یک یا چند مورد از این اصول طراحی شود. آنها با هم سه گانه CIA نامیده می شوند.

سه اصل امنیت اطلاعات

محرمانه بودن

اقدامات محرمانه برای جلوگیری از افشای غیر مجاز اطلاعات طراحی شده است. هدف از اصل رازداری حفظ خصوصی بودن اطلاعات شخصی و اطمینان از قابل رویت و دسترسی آنها فقط برای افرادی است که دارای آن هستند یا برای انجام وظایف سازمانی خود به آن نیاز دارند.

تمامیت

سازگاری شامل حفاظت در برابر تغییرات غیر مجاز (اضافه ، حذف ، تغییر و غیره) در داده ها است. اصل یکپارچگی تضمین می کند که داده ها دقیق و قابل اعتماد هستند و به طور تصادفی یا مخرب به اشتباه اصلاح نشده اند.

دسترسی

در دسترس بودن عبارت است از حفاظت از توانایی سیستم برای در دسترس قرار دادن کامل سیستم ها و داده های نرم افزاری در صورت نیاز کاربر (یا در زمان مشخص). هدف از در دسترس بودن این است که زیرساخت های فناوری ، برنامه ها و داده ها در مواقعی که برای فرایند سازمانی یا مشتریان سازمان مورد نیاز است در دسترس قرار گیرد.

جدا از این ، یک اصل دیگر نیز وجود دارد که بر برنامه های امنیت اطلاعات حاکم است. این عدم انکار است.

عدم انکار

به این معنی که یک طرف نمی تواند دریافت پیام یا معامله را رد کند و همچنین طرف دیگر نمی تواند ارسال پیام یا معامله را رد کند. به عنوان مثال در رمزنگاری کافی است نشان دهیم که پیام با امضای دیجیتالی امضا شده با کلید خصوصی فرستنده مطابقت دارد . فرستنده می تواند پیامی ارسال کند و هیچ کس دیگری نمی تواند آن را در حال انتقال تغییر دهد. یکپارچگی و اصالت داده ها پیش شرط عدم انکار است.

اصالت

به معنی تأیید این است که کاربران همانطور که می گویند هستند و اینکه هر ورودی که به مقصد می رسد از یک منبع معتبر است. این اصل در صورت رعایت پیام معتبر و واقعی دریافت شده از یک منبع قابل اعتماد را از طریق یک انتقال معتبر تضمین می کند. به عنوان مثال اگر مثال بالا را در نظر بگیرید . فرستنده پیام را به همراه امضای دیجیتالی ارسال می کند که با استفاده از مقدار هش پیام و کلید خصوصی ایجاد شده است.

در حال حاضر در سمت گیرنده این امضای دیجیتالی با استفاده از کلید عمومی که مقدار هش تولید می کند رمزگشایی می شود و پیام دوباره برای تولید مقدار هش هش می شود. اگر مقدار 2 مطابقت داشته باشد ، به عنوان انتقال معتبر با پیام اصلی معتبر شناخته می شود. یا می گوییم پیام اصلی دریافت شده در طرف گیرنده معتبر است.

مسئولیت پذیری

به این معنی است که می توان اقدامات یک واحد تجاری را منحصر به فرد در آن واحد ردیابی کرد. به عنوان مثال همانطور که در بخش صداقت بحث کردیم ، به هر کارمند اجازه داده نمی شود که در داده های سایر کارکنان تغییراتی ایجاد کند. بدین منظور یک بخش جداگانه در سازمان وجود دارد که مسئول ایجاد چنین تغییراتی است . هنگامی که درخواست تغییر را دریافت می کنند ، آن نامه باید توسط مقامات بالاتر به عنوان مثال مدیر کالج و شخصی که به آن اختصاص داده شده است امضا شود.

پس از تأیید معیارهای زیستی او تغییر دهید ، بنابراین زمان ثبت اطلاعات کاربر (انجام تغییرات) ثبت می شود. بنابراین می توانیم بگوییم اگر تغییری به این شکل پیش رود ، می توان اقدامات را به طور منحصر به فرد در یک نهاد ردیابی کرد.

هسته اصلی امنیت اطلاعات

هسته اصلی امنیت اطلاعات ، تضمین اطلاعات است که به معنای عمل به اطلاعات CIA است . این اطمینان حاصل می کند که اطلاعات به هیچ وجه در صورت بروز مسائل مهم به خطر نمی افتد. این مسائل محدود به بلایای طبیعی ، خرابی کامپیوتر/سرور و غیره نیست.

بنابراین ، حوزه امنیت اطلاعات در سال های اخیر رشد و تکامل قابل توجهی یافته است. این برنامه زمینه های زیادی را برای تخصص ارائه می دهد ، از جمله امنیت شبکه ها و زیرساخت های متصل ، امنیت برنامه ها و پایگاه های داده ، آزمایش امنیت ، حسابرسی سیستم های اطلاعاتی ، برنامه ریزی تداوم کسب و کار و غیره.

تفاوت امنیت سایبری و InfoSec در چیست؟

امنیت اطلاعات و امنیت سایبری اغلب اشتباه گرفته می شود. InfoSec بخش مهمی از امنیت سایبری است ، اما منحصراً به فرایندهای طراحی شده برای امنیت داده ها اشاره دارد. امنیت سایبری واژه ای کلی تر است که شامل InfoSec می شود.

سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

ISMS مجموعه ای از دستورالعمل ها و فرآیندها است که برای کمک به سازمان ها در سناریوی نقض داده ایجاد شده است. با داشتن مجموعه ای از دستورالعمل های رسمی ، مشاغل می توانند ریسک را به حداقل برسانند و می توانند از تداوم کار در صورت تغییر کارکنان اطمینان حاصل کنند. ISO 27001 یک مشخصات شناخته شده برای شرکت ISMS است.

مقررات عمومی حفاظت از داده ها (GDPR) چیست؟

در سال 2016 ، پارلمان و شورای اروپا در مورد مقررات عمومی حفاظت از داده ها توافق کردند. در بهار سال 2018 ، GDPR شرکت ها را ملزم کرد:

اعلان های نقض اطلاعات را ارائه دهید
افسر حفاظت از داده ها را تعیین کنید
برای پردازش داده ها نیاز به رضایت کاربر دارد
ناشناس کردن اطلاعات برای حفظ حریم خصوصی

همه شرکت هایی که در اتحادیه اروپا فعالیت می کنند باید از این استانداردها پیروی کنند.

چه مدارکی برای مشاغل امنیت سایبری مورد نیاز است؟

صدور گواهینامه برای مشاغل امنیت سایبری می تواند متفاوت باشد. برای برخی از شرکت ها ، مدیر ارشد امنیت اطلاعات آنها (CISO) یا مدیر امنیت اطلاعات معتبر (CISM) می توانند به آموزش فروشندگان خاص نیاز داشته باشند.

به طور کلی ، سازمان های غیر انتفاعی مانند کنسرسیوم صدور گواهینامه امنیت سیستم های اطلاعاتی ، گواهینامه های امنیتی پذیرفته شده ای را ارائه می دهند. گواهینامه ها می توانند از CompTIA Security+ تا Certified Information Systems Security Professional (CISSP) متغیر باشند.

انواع امنیت اطلاعات

امنیت برنامه ها

امنیت برنامه ها یک موضوع گسترده است که آسیب پذیری های نرم افزار در برنامه های وب و تلفن همراه و رابط های برنامه نویسی برنامه (API) را پوشش می دهد. این آسیب پذیری ها ممکن است در احراز هویت یا مجوز کاربران ، یکپارچگی کد و تنظیمات و خط مشی ها و رویه های بالغ یافت شوند. آسیب پذیری های برنامه می تواند نقاط ورود برای نقض های مهم InfoSec ایجاد کند. امنیت برنامه ها بخش مهمی از دفاع محیطی برای InfoSec است.

امنیت ابری

امنیت ابری بر ایجاد و میزبانی برنامه های ایمن در محیط های ابری و مصرف ایمن برنامه های ابری شخص ثالث متمرکز است. “ابر” به این معنی است که برنامه در محیط مشترک اجرا می شود. مشاغل باید اطمینان حاصل کنند که بین فرآیندهای مختلف در محیط های مشترک ، انزوا کافی وجود دارد.

رمزنگاری

رمزگذاری داده ها در حال انتقال و داده ها در حالت استراحت به اطمینان از محرمانه بودن و یکپارچگی داده ها کمک می کند. امضای دیجیتال معمولاً در رمزنگاری برای تأیید صحت داده ها استفاده می شود. رمزنگاری و رمزنگاری اهمیت فزاینده ای پیدا کرده است. یک مثال خوب برای استفاده از رمزنگاری استاندارد پیشرفته رمزگذاری (AES) است. AES یک الگوریتم کلید متقارن است که برای محافظت از اطلاعات طبقه بندی شده دولت استفاده می شود.

امنیت زیرساخت ها

امنیت زیرساخت ها با حفاظت از شبکه های داخلی و خارجی ، آزمایشگاه ها ، مراکز داده ، سرورها ، رایانه های رومیزی و دستگاه های تلفن همراه سروکار دارد.

پاسخ حادثه

واکنش حادثه عملکردی است که رفتارهای مخرب احتمالی را بررسی و بررسی می کند.تصور کنید که هک شدن اینستاگرام می تواند چقدر آزار دهنده باشد. در یک شرکت فردی که امنیت پیج را تامین می کند باید پاسخ حادثه را دریافت کند و راه نفوذ را هم ببندد.

در آماده سازی برای نقض ، کارکنان فناوری اطلاعات باید یک برنامه واکنش به حوادث برای مهار تهدید و بازیابی شبکه داشته باشند. علاوه بر این ، این طرح باید سیستمی برای حفظ شواهد برای تجزیه و تحلیل پزشکی قانونی و پیگرد احتمالی ایجاد کند. این داده ها می تواند از نقض بیشتر جلوگیری کرده و به کارکنان در کشف مهاجم کمک کند.

مدیریت آسیب پذیری

مدیریت آسیب پذیری فرایند اسکن محیط برای نقاط ضعف (مانند نرم افزارهای وصله نشده) و اولویت بندی اصلاحات بر اساس ریسک است. به عنوان مثال هک وبسایت می تواند به عنوان یک نقطه برای شروع تخمین آسیب پذیری ها باشد.

در بسیاری از شبکه ها ، مشاغل دائماً برنامه ها ، کاربران ، زیرساخت ها و غیره را اضافه می کنند. به همین دلیل ، مهم است که به طور مداوم شبکه را برای آسیب پذیری های احتمالی اسکن کنید. یافتن آسیب پذیری از قبل می تواند مشاغل شما را در هزینه های فاجعه بار نقض صرفه جویی کند.

سیاست امنیت اطلاعات

سیاست امنیت اطلاعات سندی است که یک شرکت براساس نیازها و ویژگی های خاص خود تهیه می کند. این کمک می کند تا بفهمیم از چه داده هایی و به چه روشهایی محافظت شود. این سیاست ها یک سازمان را در طول تصمیم گیری در مورد خرید ابزارهای امنیت سایبری راهنمایی می کند. همچنین رفتار و مسئولیت های کارکنان را الزامی می کند.

برای جلوگیری از سرقت اطلاعات شرکت ها باید مدام این نوع امنیت را افزایش دهند

سیاست امنیت اطلاعات سازمان باید شامل موارد زیر باشد:

این باید هدف و اهداف برنامه infosec را توضیح دهد
برای اطمینان از درک مشترک ، باید اصطلاحات کلیدی مورد استفاده در سند را تعریف کند
باید دارای خط مشی گذرواژه باشد
باید تعیین کند که چه کسی به چه داده هایی دسترسی دارد
این باید شامل وظایف و مسئولیت های کارمند برای حفاظت از داده ها باشد.

همه ی این مواردی که گفته شد توسط کشور های مختلفی در حال رعایت شدن است. به همین دلیل است که بسیاری از کشورها بودجه های سنگینی را برای این کار اختصاص می دهند. مشخص است که این نوع امنیت می تواند از بسیاری جهات برای یک سیاست مهم باشد.

خلاصه

امنیت اطلاعاتی مجموعه روش هایی است که برای محافظت از اطلاعات شخصی در برابر دسترسی و تغییر غیر مجاز در هنگام ذخیره یا انتقال از مکانی به مکان دیگر طراحی شده است.

امنیت اطلاعاتی برای محافظت از داده های چاپی ، الکترونیکی و سایر خصوصی ، حساس و شخصی افراد غیر مجاز طراحی و اجرا می شود.برای مثال می توان به ارتقا دادن امنیت لینوکس در سطح جهانی اشاره کرد. از این ابزار برای محافظت از داده ها در برابر سوء استفاده ، افشای ، تخریب ، اصلاح و اختلال استفاده می شود.

امنیت اطلاعاتی و امنیت سایبری ممکن است جایگزین شوند .اما دو چیز متفاوت هستند. امنیت سایبری روشی است که برای تأمین امنیت در برابر حملات آنلاین استفاده می شود . در حالی که امنیت اطلاعاتی یک رشته خاص است که تحت امنیت سایبری قرار می گیرد. تمرکز امنیت اطلاعاتی بر روی شبکه و کد برنامه است. به همین دلیل افرادی کخ در این زمینه فعالیت می کنند اغلب برنامه نویس ها هستند!.