نگهداری و اداره اطلاعات محرمانه

خط مشی

    • حمل و نقل اطلاعات می بایست در بسته های قفل شده ای باشد که دارای برچسب مشخصه باشند.
    • اطلاعاتی که در حال حمل و نقل در بسته های قفل شده هستند، می بایست همراه با کارمندان باشند. اگر حمل و نقل در شبانه روز صورت می گیرد، اطلاعات نباید در خودرو حامل باقی بمانند و باید به اتاق امنی منتقل شوند.
    • اطلاعات می بایست مطابق با مشخصات اطلاعاتی ، برچسب زده شوند و بسته بندی شوند.
    • اطلاعات نباید از طریق سیستم هایی که به سازمان تعلق ندارند، مورد استفاده قرار گیرند و یا روی آنها ذخیره شوند، مگر این که مجوز های خاص برای این کار اختصاص یابد.
    • فکس کردن اطلاعات حساس و محرمانه
    • ارسال به دستگاه های فکس مطمئن و تحت نظارت
    • استفاده از کمترین اطلاعات مورد نیاز برای کاهش احتمال خطر افشا
    • تایید شماره فکس و در صورت امکان استفاده از سرعت شماره گیری برنامه ریزی شده جهت کاهش احتمال شماره گیری اشتباه
    • استفاده از برگه پوشاننده شامل اطلاعات فرستنده و اطلاعات مرتبط با افشا
    • تایید دریافت کننده بوسیله نگهداری و ثبت سوابق فکس ها
    • تمامی email های سازمانی می بایست از آدرس رسمی سازمان ارسال شوند و نمی بایست از آدرس های شخصی برای این کار استفاده شود
    • تمامی اطلاعات کاغذی، در هنگام عدم استفاده، می بایست در کشو یا میز های قفل دار نگهداری شوند و در صورت عدم نیاز می بایست خرد شوند.
    • وقتی یک کارمند میزش را برای مدت زمانی ترک می کند، تمامی اسناد حاوی اطلاعات محرمانه می بایست در محل های امن نظیر کشو یا کمد های قفل دار نگهداری شوند. هیچ گونه اطلاعاتی محرمانه ای نمی بایست در محل های باز در طول مدت شب رها شوند.
    • هرگونه گمان و حدس در مورد بروز نقص در امنیت و محرمانگی اطلاعات می بایست فورا به مسئول مربوطه اطلاع داده شود.
    • پیمانکاران خارج از سازمان می بایست به خاطر داشته باشند، ایشان نیز تحت همان قوانین امنیت اطلاعاتی هستند که کارمندان درون سازمان از آنها تبعیت می کنند.
    • اطلاعات، بایگانی ها، فایل ها و نظایر آنها نباید در معرض دید بازدید کنندگان باشد، مگر این که بازدیدکنندگان اختصاصا مجاز به مشاهده اطلاعات باشند.
    • اطلاعات در هر شکل و فرمتی می بایست در زمانی که دیگر مورد نیاز نیستند، به شیوه ای امن منهدم شوند.
    • اطلاعات و دانشی که در مدت همکاری با سازمان به دست آمده است، پس از خاتمه همکاری نیز می بایست محافظت شود. نقض محرمانگی احتمالی توسط افراد جدا شده، پیگیری می شود و ممکن است به اقدامات بعدی نظیر اقدامات قانونی بینجامد.

۵-۶-انهدام تجهیزات و استفاده مجدد از آنها

 

تعیین حداقل استاندارد برای حفاظت در برابر اطلاعات باقی مانده بر روی تجهیزات کامپیوتری پیش از انهدام یا استفاده مجدد که شامل تجهیزات هارد درایو ها، فلاپی دیسک ها، نوارهای مغناطیسی، دیسک های نوری، CD، ZIP Disk میباشد.

 

نرم افزارهای زیادی وجود دارند که می توانند برای بازیابی فایل ها و اطلاعات حذف شده از روی تجهیزات سخت افزاری (Format شده) مورد استفاده قرار گیرند. برای کاهش احتمال خطر انتشار بدون مجوز اطلاعات حساس و محرمانه، میبایست اطلاعات موجود بر روی تجهیزاتی که پیشتر مورد استفاده قرار گرفته اند، به طور امن حذف شوند. پس از این عملیات، بازیابی اطلاعات توسط نرم افزارهای معمولی امکان پذیر نخواهد بود و برای بازیابی می بایست تکنیک های تخصصی به کار گرفته شوند. همچنین برای حذف اطلاعات می توان از روشهایی استفاده نمود که بازیابی توسط تکنیک های تخصصی نیز امکان پذیر نباشد.

 

خط مشی

  • · تمامی اطلاعات سیستم های کامپیوتری و رسانه های مرتبط با آنها که ممکن است حاوی اطلاعات حساس یا محرمانه باشند، می بایست پیش از استفاده مجدد و یا انهدام، پاک شوند.
  • · اطلاعات تمامی بستر های ذخیره سازی اطلاعات سیستمها و قطعاتی که در سازمان مجددا مورد استفاده قرار می گیرند، می باید با یک نرم افزار مورد تایید پاک شوند. دربرخی از موارد باید از سیستمها پیش از استفاده مجدد یک نسخه پشتیبان کامل تهیه شود.
  • · تمامی بستر های ذخیره سازی سیستم ها و تجهیزاتی که مورد استفاده مجدد قرار گرفته، فروخته شده و یا بخشیده می شوند و یا حتی به عنوان وسایل غیر قابل استفاده به بیرون از سازمان منتقل می شوند، لازم است توسط نرم افزار مورد تایید پاک شوند.
  • · تمامی عملیات پاک کردن و یا انهدام تجهیزات می باید با اطلاعات زیر ثبت شوند:
  • · تاریخ و زمان عملیات
  • · نام، عنوان و امضاء کارشناس مربوطه
  • · شرح اقدامات انجام گرفته

۵-۷-میزپاک (Clean Desk)

این خط مشی جهت برقراری استانداردهای امنیت فیزیکی ایستگاه های کاری و برای پیشگیری از سرقت ایستگاه های کاری تمامی کارمندان، مدیران، پیمان کاران، کارمندان پاره وقت، کارمندان موقت و دیگر کارکنانی را که مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته شده اند، می باشد.

 

خط مشی

- کاربران ایستگاه های کاری نباید هیچ دستگاه جانبی که فاقد تاییدیه واحد IT می باشد را به ایستگاه های کاری متصل کنند.

- مانیتورهای ایستگاه های کاری می بایست به گونه ای قرار گیرند که از دیده شدن اطلاعات حساس توسط افراد غیر مجاز جلوگیری شود.

- کاربران در هنگام ترک ایستگاه کاری می بایست شخصا از ایستگاه خارج شوند (Logoff کنند) و ایستگاه ها می بایست به صورت خودکار در صورت عدم فعالیت کاربر، قفل شوند (Lock) و یا از محیط خارج شوند (Log off).

- ایستگاه های کاری قابل حمل، در زمانهایی که بدون متصدی رها می شوند، صرف نظر از اقدامات امنیتی ساختمان، می بایست به صورت فیزیکی محافظت شوند. این محافظت می تواند به روش قرار دادن در میز ها یا کمدهای دارای قفل باشد

- در هنگام سفر، ایستگاه های کاری قابل حمل در هیچ زمان نمی بایست بدون متصدی رها شوند. وقتی که در محیط کار اصلی، محیط کار امن نمی باشند تجهیزات قابل حمل نمی بایست از کارمند جدا شود. این موضوع بخصوص در فرودگاه، اتومبیل، اتاق هتل و رستوران می بایست مورد توجه قرار گیرد.

- ایستگاه های کاری به سرقت رفته و یا مفقود شده، یک رخنه امنیتی را به وجود می آورند و باید سریعاً به واحد IT گزارش شوند.

۵-۸- رمز عبور

به منظور برقراری امنیت بیشتر جهت نگهداری از اطلاعات ذخیره شده ی کاربران برای هر کاربر رمز عبور در نظر گرفته می شود و افراد مختلف نباید از رمز های عبور یکدیگر اطلاع داشته باشند.

 

خط مشی

 

  • · رمز عبور هرکاربر باید حدوداً هر ۶ هفته یکبار تغییر کند. 
  • · در هنگام فاش شدن رمز عبور، کاربر باید در سریع ترین زمان ممکن رمز عبور خود را تغییر دهد. 
  • · کاربران اجازه ی واگذاری نام کاربری و رمز عبور خود به دیگران را ندارند. 
  • · رمز عبور کاربران باید حداقل از ۴ حرف تشکیل شده باشد. 
  • · در رمز عبور باید حداقل یکی از کاراکترهای %، $ و # و … وجود داشته باشد. 
  • · در رمز عبور نباید از حروف پشت سر هم استفاده شود. مانند mnop
  • · در رمز عبور نباید نشانه ای از نام یا نام خانوادگی فرد وجود داشته باشد. 
  • · در هنگام فراموش کردن رمز عبور، بازگرداندن رمز عبور فقط با مجوز کتبی مدیر واحد قابل انجام میباشد. 

۵-۹- نسخه پشتیبان

به منظور تعیین راه کارهای استاندارد برای اطمینان از صحت نسخ پشتیبان و جامعیت اطلاعات سازمان می باشد که تمامی نسخ پشتیبان سازمان را دربر میگیرد. 

خط مشی 

- نسخه های پشتیبان باید در فواصل زمانی روزانه و به طور مرتب از اطلاعات تهیه شوند. 

- کلیه نسخ پشتیبان باید بر روی Tape و در خارج از محل و در یک مکان با تدابیر امنیتی مناسب نگهداری شوند. 

- در هنگام تهیه نسخ پشتیبان باید تطابق با نسخه اصلی صورت گیرد و از صحت اطلاعات آن اطمینان حاصل شود. 

- مدت زمان نگهداری نسخ پشتیبان باید از ابتدا مشخص شده باشد. 

- رسانه های تاریخ گذشته، باید نابود شوند. 

- در بازه های زمانی مشخص، قابلیت بازیابی نسخ پشتیبان باید مورد آزمایش قرار گیرد تا از آن اطمینان حاصل شود.

 

- نسخ پشتیبان باید حاوی اطلاعات زیر باشد:

 

۱-نام سیستمی که از آن نسخه پشتیبان تهیه شده است.

۲-تاریخ تهیه نسخه پشتیبان

۳-میزان اهمیت اطلاعاتی که از آنها نسخه پشتیبان تهیه شده است.

۴-نام فردی که نسخه پشتیبان را تهیه کرده است.

۵-تاریخ مصرف نسخه پشتیبان

۵-۱۰- ایجاد و مدیریت دسترسی کاربران

به منظور تعیین راه کارهای استاندارد جهت ایجاد، نظارت، مدیریت و حذف دسترسی کاربران می باشد که کلیه کاربران سازمان را در بر می گیرد.

 

 

خط مشی

- کلیه دسترسی ها باید پس از یک درخواست مستند و تایید شده ایجاد شوند.

- کلیه کاربران سازمان می بایست تاییدیه قوانین امنیت اطلاعات سازمان را امضاء کرده باشند.

- کلیه اسامی کاربری در سیستم می بایست به صورت منحصر به فرد ایجاد شوند.

- کلیه رمز های ایجاد شده برای کاربران، می بایست مطابق با خط مشی رمز عبور سازمان باشند.

- کلیه کاربران ایجاد شده در سیستم، می باید مطابق با خط مشی رمز عبور سازمان، زمان انقضای رمز عبور داشته باشند.

- کاربرانی که بیش از ۳۰ روز از کد کاربری خود استفاده ننموده، می بایست غیر فعال شوند.

- مراحل ایجاد و تغییر کاربران می بایست مستند شود و در دوره های زمانی مشخص مورد بازبینی قرار گیرند.

۵-۱۱- حفاظت در برابر ویروس ها

به منظور جلوگیری از ورود و همچنین شناسایی و مقابله با ویروس ها، کرم ها و اسب های تراوا می باشد و کلیه افرادی را که از منابع اطلاعاتی سازمان استفاده می کنند را در بر می گیرد.

خط مشی

 

- کلیه کامپیوترهایی که به سازمان تعلق دارند و یا توسط سازمان مدیریت می شوند، همینطور Laptop هایی که به شبکه سازمان متصل می شوند و یا به صورت مستقل مورد استفاده قرار می گیرند، می بایست از نرم افزار آنتی ویروس و تنظیمات مورد تایید واحد فناوری اطلاعات سازمان استفاده کنند.

- تمامی کامپیوترهایی که به سازمان تعلق ندارند و یا تحت مدیریت سازمان نمی باشند، پیش از هرگونه ارتباط و اتصال به منابع اطلاعاتی سازمان، می بایست از نرم افزار ضد ویروس و تنظیمات مورد تایید مدیریت فناوری اطلاعات سازمان استفاده کنند.

- نرم افزار ضد ویروس نباید غیر فعال (Disable) شود.

- تنظیمات نرم افزار ضد ویروس نباید به گونه ای تغییر کند که قابلیت تاثیرگذاری آن را کاهش دهد.

- تنظیمات به روز رسانی نرم افزار ضد ویروس نباید به گونه ای تغییر کند که بازه های زمانی به روز رسانی آن را کاهش دهد.

- هر سرویس دهنده ای که به شبکه سازمان متصل است، باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده کند.

- تمامی گذرگاه های پست الکترونیکی باید از نرم افزار ضد ویروس مورد تایید سازمان استفاده کنند و تمامی نامه های ورودی و خروجی می باید توسط این نرم افزار کنترل شوند.

- هر ویروسی که به صورت خودکار توسط نرم افزار پاک نشود، باید در اولین زمان ممکن به واحد پشتیبانی فناوری اطلاعات گزارش داده شود.

۵-۱۲- خط مشی دسترسی به تاسیسات اطلاعاتی

محدوده

این خط مشی، دسترسی فیزیکی به تمامی کامپیوتر ها و تجهیزات ارتباطی که متعلق به سازمان است و یا توسط سازمان مورد استفاده قرار می گیرند را در بر می گیرد. این خط مشی در بر گیرنده تمامی کارمندان، مدیران، پیمان کاران، کارمندان پاره وقت، کارمندان موقت، کارآموزان و دیگر کارکنانی را که مجاز به دسترسی به سیستم های اطلاعاتی سازمان شناخته شده اند، می باشد.

خط مشی

دسترسی فیزیکی به محدوده های کنترل شده (محدوده هایی که در آنها سیستم های اطلاعاتی یا اطلاعات حساس نگهداری می شوند، نظیر اتاق سرورها) می بایست مدیریت شده و ثبت شوند.

تمامی محدوده های کنترل شده می بایست نشانه گذاری و برچسب زده شوند و به تناسب حساسیت و اهمیت عملکردشان مورد حفاظت فیزیکی قرار گیرند.

تمامی سیستم ها و تجهیزات امنیت فیزیکی می بایست مطابق با (و نه محدود به) قوانین مربوطه باشند. (نظیر شماره گذاری ساختمان ها و کدهای آتش نشانی)

دسترسی به محدوده های کنترل شده می بایست صرفا برای کارمندان و پیمانکارانی مجاز شناخته شود که مسئولیت کاری شان نیازمند دسترسی به محدوده مورد نظر است.

درخواست برای دسترسی می بایست طبق روش اجرایی برقراری دسترسی صورت پذیرد.

روش اجرایی دسترسی احتمالی برای محدوده های کنترل شده می بایست آماده شود و در مواقع از کار افتادن سیستم کنترل خودکار دسترسی مورد استفاده قرار گیرد.

کارت های دسترسی و/یا کلید ها نمی بایست به صورت اشتراکی مورد استفاده قرار گیرند و یا به دیگران قرض داده شوند.

کارت های دسترسی و/یا کلیدهایی که دیگر مورد نیاز نیستند، می بایست به مسئول محدوده کنترل شده بازپس داده شوند. کارتها نباید بدون طی مراحل بازگرداندن، به افراد دیگر اختصاص داده شوند.

کارت های گم شده یا سرقت شده می بایست به مسوول محدوده کنترل شده گزارش شوند.

دسترسی بازدیدکنندگان به محدوده های کنترل شده می بایست مطابق خط مشی بازدیدکنندگان باشد.

رکورد های اطلاعات مربوط به دسترسی ها و بازدیدها می بایست برای بازنگری دوره ای بر اساس حساسیت اطلاعات و سیستم های اطلاعاتی حفاظت شده، نگهداری شوند.

مسوول محدوده کنترل شده می بایست مجوزهای دسترسی کارت یا کلید افراد را بر اساس خط مشی لغو دسترسی حذف کند.

مسوول محدوده کنترل شده می بایست در دوره های زمانی، به بازبینی رکورد های اطلاعاتی مربوط به دسترسی ها و بازدیدها بپردازد و دسترسی های غیرعادی را شناسایی کند. دوره زمانی بازبینی می بایست براساس میزان حساسیت اطلاعات و سیستم های اطلاعاتی حفاظت شده تعیین شود.

مسئول محدوده کنترل شده می بایست در دوره های زمانی به بازنگری حقوق دسترسی کارت و/یا کلیدها بپردازد و دسترسی افرادی را که دیگر به آن نیاز ندارند را قطع کند.

۵-۱۳- خط مشی مدیریت حوادث امنیت اطلاعات

هدف از این خط مشی، تعیین نیازمندیها برای مقابله با حوادث امنیت اطلاعات می باشد. حوادث امنیتی شامل (و نه محدود به) حملات ویروس ها، کرم ها، اسب های تراوا، استفاده غیر مجاز از دسترسی ها و تجهیزات نگهداری و پردازش اطلاعات و همچنین استفاده نادرست از آنها به صورتی که در خط مشی استفاده قابل قبول از تجهیزات نگهداری و پردازش اطلاعات ذکر شده است، می باشد.

 

خط مشی

ú بالاترین مقام واحد فناوری اطلاعات سازمان، مدیریت و راهبری تیم مقابله با حوادث را برعهده دارد.

ú اعضاء تیم مقابله با حوادث دارای وظایف و مسئولیت های از پیش تعیین شده ای هستند که بر وظایف عادی آنها برتری دارد.

ú تیم مقابله با حوادث ، روش های اجرایی مقابله با حوادث را فراهم می کنند و در بازه های زمانی مورد آزمایش و بازنگری قرار می دهند.

ú در هنگامی که یک حادثه امنیتی از قبیل ویروس، کرم، email دروغین، شناسایی ابزارهای نفوذ، اطلاعات دست کاری شده و . . . شناسایی و تایید شد، روش اجرایی مقابله با حوادث امنیتی مربوطه می بایست اجرا شود.

 

ú مدیریت فناوری اطلاعات می بایست حوادث را به اطلاع افراد زیر برساند:

ú مدیریت عامل

ú مشتریان و شریکانی که تحت تاثیر قرار گرفته اند.

ú         تمامی مراجعی که طبق قانون می بایست به آنها اطلاع داده شود.

 

مدیریت فناوری اطلاعات باید در زمینه حوادث مختلف با دیگر سازمانها در ارتباط باشد.

تمامی فعالیت های مشکوک که شامل (و نه محدود به) حوادث امنیتی احتمالی می شوند، می بایست به مدیریت فناوری اطلاعات سازمان گزارش داده شوند.

۶- مستندات مرتبط

ندارد

حال چه کنیم؟

مشاور امنیتى بگیرید

با پیشرفت علوم کامپیوترى و همچنین بوجود آمدن ابزارهاى جدید Hack و Crack و همچنین وجود صدها مشکل ناخواسته در طراحى نرم افزارهاى مختلف و روالهاى امنیتى سازمان ها ، همیشه خطر حمله و دسترسى افراد غیرمجاز وجود دارد. حتى قوى ترین سایتهاى موجود در دنیا در معرض خطر افراد غیرمجاز و سودجو قرار دارند. ولى آیا چون نمى توان امنیت ۱۰۰% داشت باید به نکات امنیتى و ایجاد سیاستهاى مختلف امنیتى بى توجه بود؟

مدیران سازمانها و ادارات دولتى و خصوصى براى خود یک دو جین مشاور و معاون و پیمانکار میتراشتند و دور خود جمع میکنند اما چرا میان آنها یک مشاور امنیتى و پیمانکار پیاده سازى استانداردهاى امنیت اطلاعات نیست ؟! شاید به این دلیل باشد که اول باید “بلا” نازل شود و بعد به فکر “درمان”اش باشیم ! اما اگر مدیران ایرانى به این نکته توجه کنند که “ایران در صدر جدول جرایم رایانه اى خاورمیانه قرار دارد” شاید حاضر شوند به خود زحمت توجه به مسائل مرتبط با امنیت اطلاعات و حتى پیاده سازى مبانى مدیریت امنیت اطلاعات را بدهند.

سازماندهى و مدیریت اجزاى اطلاعاتى و امنیتى یک سازمان نیاز به یک سیستم مدیریت امنیت اطلاعات خواهد داشت که کلیه عوامل اجرایى، رویه ها، دستورالعملها و واحدهاى اطلاعاتى را تحت پوشش قرار مى‌دهد و با برقرارى امکان نظارت و بهبود مستمر، امنیت کل مجموعه راتامین مى‌کند. امروزه یک سازمان یا شرکتى که از راه حل هاى مبتنى بر فناورى اطلاعات و ارتباطات براى انجام امور و خدمات خود استفاده میکند باید همانطور که یک مشاور و پیمان کار سخت افزار و شبکه و نرم افزار دارد مشاور و حتى پیمانکارى اختصاصى براى ارزیابى مداوم ضریب امنیتى مجموعه خود و اعمال راه حل هاى پیشنهادى از سوى مشاور امنیتى براى جلوگیرى از ضرور و زیان احتمالى داشته باشد.
یک مشاور و پیمانکار امنیتى باید خدمات مرتبط با تحلیل، طراحى و اجراى سیستم‌هاى مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:
ارائه مشاوره در زمینه تهیه سیاستها و استراتژى‌هاى امنیتى
طراحى و مستند‌سازى رویه ها و دستورالعملهاى امنیتى مطابق با استانداردهاى امنیت اطلاعات(BS7799/ISO17799)
ارائه مشاوره و خدمات فنى جهت دریافت گواهى‌نامه امنیت اطلاعات BS7799
ارائه خدمات آموزش امنیتى براى مدیران و پرسنل پیرامون سیستم‌هاى امنیت اطلاعات
شناسائى و مستند‌سازى ضعف‌هاى امنیتى و تهدیدات مرتبط براى سیستم‌هاى اطلاعاتى، شبکه‌هاى رایانه‌اى و روالهاى سازمانى
طراحى و پیاده‌سازى راهکارهاى حفاظتى و کنترلى براى سیستم‌هاى اطلاعاتى و شبکه‌هاى کامپیوترى
ارائه خدمات سخت‌افزارى و نرم‌افزارى جهت نظارت بر اجزاى سیستم مدیریت اطلاعات:
خدمات بررسى آسیب‌پذیرى‌هاى امنیتى
راهکارهاى مدیریت آسیب‌پذیرى‌هاى امنیتى

و سخن آخر…..

ITیک سکه دوروست: هم فرصت است و هم تهدید ! اگر به همان نسبتى که به توسعه و همه گیرى اش توجه و تکیه میکنیم به “امنیت” آن توجه نکنیم میتواند به سادگى و در کسرى از ثانیه تبدیل به یک تهدید و مصیبت بزرگ شود. این مصائب را در ذهن خود مجسم کنید:

- شبکه بانکى کشور هک شده و کلیه اطلاعات بانکى, کلمات عبور کارتها دزدیده شده و مبالغ کلانى جابجا شده…
- سیستم مدیریت شبکه برق کشور توسط نفوذگران فلج شده…
- تمام اطلاعات و سوابق شخصیتان بواسطه نفوذ هکرها به بانک اطلاعاتى سازمان ثبت احوال سرقت شده…
- شبکه مخابراتى کشور فلج شده…هیچ تماس تلفنى داخلى،بین شهرى و بین المللى ممکن نیست…
- و دهها سناریوى وحشتناک دیگر…

IT میتواند به همان سرعتى که باعث رفاه و بالارفتن توانایى ها میشود  باعث خلق مصائبى این چنینى شود و کشورى را فلج کند !

در پایان از زحمات و راهنمایی های خانم مهندس واعظی کمال تشکر را دارم.

/ 0 نظر / 16 بازدید