1- مقدمه
ايجاد امنيت اطلاعات روز به روز بيشتر مورد توجه سازمانها قرار مي گيرد. سازمانها برای برقراری امنیت اطلاعات مناسب و منطبق با اهداف و سیاستهای سازمانی خود نیاز به یک رویکرد امنیتی دارند زيرا امروزه با توجه به تهديدات متنوع و زيادي كه براي دادهها وجود دارد ناديده گرفتن امنيت اطلاعات عواقب سنگين و حتي جبران ناپذيري را به سازمانها تحميل ميكند و باعث اتلاف منابع و زمان سازمان مي شود. اين عواقب ممكن است در كاركرد جاري سازمان اختلال ايجاد كند كه در اين صورت تاثير آن بلافاصله قابل مشاهده است. برخي از پيامدها مشكلات حقوقي به همراه دارند و در طول يك دوره زماني خود را نشان ميدهند و ممكن است در آينده كاري سازمان تاثير منفي داشته باشند. برخي از پيامدها اعتبار سازمان را زير سوال ميبرد كه ممكن است يك عمر دامنگير سازمان شود و در عملكرد كاركنان سازمان تاثير منفي داشته باشد و مانع رشد سازمان بشود. براي جلوگيري از چنين مشكلاتي ايجاد و توسعه يك سيستم مديريتي براي برقراري امنيت اطلاعات در سازمان ضرورري به نظر مي رسد. در این مقاله به معرفی کنترلهای دسترسی و نقش آن در امنیت اطلاعات و سپس به سیستم مدیریت امنیت اطلاعات و استاندارد امنیت اطلاعات پرداخته میشود ]1[.
2- امنیت اطلاعات و مفاهیم آن
اطلاعات هم مانند سایر داراییهای سازمان، یک دارایی مهم محسوب میگردند. اطلاعات، مجموعهای از آگاهیهاست و چه، کجا و چطور بودن یک موضوع را نشان میدهد. به تعبیر کامپیوتری، اطلاعات، دادههای پردازش شده هستند که دارای ارزش و اعتبار میباشند. برای تعریف امنیت اطلاعات میتوان گفت: توانایی سیستم در مدیریت، محافظت و توزیع اطلاعات حساس ]2][3[. امنیت اطلاعات طبق استاندارد ایزو چنین تعریف میشود: حفاظت از محرمانگی، جامعیت و دسترس پذیری اطلاعات در مقابل ریسکها، تهدیدها و آسیب پذیریها، علاوه بر اینها سایر ویژگی ها از قبیل حسابرسی و پاسخگویی، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز میتواند مشمول این حفاظت باشد.]4 [
2-1- سیاست امنیتی
سیاست امنیتی، قوانین سطح بالایی را تعیین میکند که نشان میدهند چه دسترسی به منابع و دادهها در سیستم اعطا یا لغو شود. به عبارت دیگر، سطوح امنیتی مورد نظر سیستم را توسط وضعیتهای مجاز و غیر مجاز که نشان دهنده کارهای مجاز و کارهای غیر مجاز در سیستم میباشند تعریف میکند ]3][4[.
3- مفهوم کنترل دسترسی در امنیت اطلاعات
3-1- تعریف کنترل دسترسی
کنترل دسترسی به مجموعهی سیاستها و اقدامات مربوط به اعطا یا رد مجوز دسترسی یک کاربر خاص به منابع و یا محدود کردن دسترسی به منابع سیستمهای اطلاعاتی اطلاق میشود. وظیفه اصلی کنترل دسترسی، کنترل نمودن دسترسی کاربران به سیستم و منابع آن به طریقی است که فقط دسترسی مجاز امکان پذیر باشد. کنترل دسترسی تعیین میکند که به درخواست دسترسی به سیستم اجازه داده شود یا نشود، این تنظیمات کنترل دسترسی بر پایه سیاستهای کنترل دسترسی سیستم میباشد و توسط مکانیزمهای کنترل دسترسی اجرا می گردد.
هدف کنترل دسترسی محدود کردن فعالیتها و عملیاتی است که یک کاربر مجاز در سیستم کامپیوتری میتواند انجام دهد و توسط مولفه اجرایی به نام Reference Monitor که واسط بین دسترسی کاربران به اشیاء سیستم میباشد، اجرا میگردد.]5 [
3-2- معرفی سیاستهای کنترل دسترسی
قانون دسترسی به منابع به عنوان "سیاست" مطرح میشود. سیاستها قوانین سطح بالایی هستند که برای یک سازمان یا یک پروژه خاص مطرح میشوند. به عنوان مثال یکی از سیاستهای عمومی "تفکیک وظایف" میباشد که به معنی اعطای مجوز دسترسی به چندین منبع برای یک موجودیت است که با یکدیگر پتانسیل خرابی زیادی دارند. سیاستهای کنترل دسترسی با توجه به اهداف به دو دسته تقسیم میشوند: سیاستهای کنترل دسترسی بصیرتی و غیر بصیرتی. در سیاستهای کنترل دسترسی بصیرتی، اعطای مجوز دسترسی بر عهده دارنده منبع است، در نتیجه این سیاستها شدیداً انعطاف پذیرند ولی از نظر امنیتی ضعیف هستند، از سوی دیگر در سیاستهای غیر بصیرتی، دسترسی از طریق راهبر و بر اساس قوانین میباشد ]1[.
3-3- مدل های کنترل دسترسی
مدلهای کنترل دسترسی را میتوان به دو گروه سنتی و توسعه یافته تقسیم بندی نمود. در گروه سنتی دو مدل کنترل دسترسی بصیرتی و اجباری قرار دارند که مدلهای پایه و زیر بنایی به حساب میآیند. مدلهای گروه توسعه یافته، مدلهایی میباشند که بر پایه مدلهای سنتی بنا نهاده شده و آنها را به نوعی توسعه داده و مشکلاتشان را رفع نمودهاند. در جدول زیر گروهها معرفی میشوند:
جدول 1: معرفی انواع گروههای کنترل دسترسی
|
گروه
|
ارائه دهنده
|
مبنای کنترل دسترسی
|
|
بصیرتی (Discretionary Access Control)، سنتی، 1983
|
سازمان استاندارد امریکا
|
ایجاد کننده داده
|
|
اجباری یا غیر بصیرتی (Mandatory Access Control)، سنتی، 1983
|
سازمان استاندارد امریکا
|
مالک یا توسعه دهنده داده
|
|
مبتنی بر نقش (Role-Based Access Control)، توسعه یافته، 1992
|
Kuhn & Ferraiolo
|
نقش(حقوق و وظایف)
|
4- سیستم مدیریت امنیت اطلاعات
سیستم مدیریت امنیت اطلاعات یک رویکرد سیستماتیک شامل افراد، فرآیند و سیستمهای تکنولوژی اطلاعات که سیستمها و اطلاعات را در مقابل تهدیدات داخلی و خارجی محافظت میکند. سیستم مدیریت امنیت اطلاعات شامل ارزیابی ریسک و یکسری استانداردهای امنیتی مانند ایزو 27001 میباشد که در ادامه آن پرداخته میشود ]4[.
4-1- استاندارد ایزو 27001
استاندارد بین المللی ایزو 27001 قوانین و کنترلهای لازم برای تدوین، پیاده سازی، اجرا، نظارت، بازبینی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات را مقرر نمود. قوانین شامل 11 بند کنترلی، 39 هدف کنترلی و 133 کنترل میباشد. این استاندارد برای تمامی انواع سازمانها اعم از خصوصی یا دولتی قابل اجرا میباشد ]4[. ایزو27001 از روند تکرار شوند مبتنی بر مدل PDCAبرای تدوین و مدیریت سیستم مدیریت امنیت اطلاعات استفاده میکند و چهار فاز را برای این سیستم ارائه میکند که به شرح زیر است:
4-1-1- طرح ریزی و برنامه ریزی
در این مرحله تعاریف اولیه پیاده سازی سیستم مدیریت امنیت اطلاعات مشخص میشود. تهیه سیاستهای امنیتی، مقاصد تعریف فرآیندهای مختلف درون سازمان و ... در این مرحله پیاده سازی میشوند. برای مرحله آگاه سازی پایان معنی ندارد زیرا یک رویه ادامه دار است و پایهای برای مرحله آموزش میباشد. سه گام اصلی برای توسعه برنامه آگاهسازی و آموزش عبارتند از:
4-1-1-1- حوزه برنامه، اهداف و مقصد باید مشخص شود:
مرحله اول در توسعه آگاهی و آموزش نیاز به درکی از چالشهایی دارد که سازمان با آن روبرو است. هر مرحله از برنامه باید دارای هدف باشد، هدف اصلی این برنامه ایجاد و پشتیبانی یک سطح محافظتی مناسب برای تمام منابع اطلاعاتی موجود در سازمان است ]6[.
4-1-1-2- اهداف انگیزه بخش برای تمام اعضای سازمان باید تعریف شود:
به عنوان یک برنامه راهگشا، مدیر باید به لزوم برقراری امنیت اطلاعاتی پی برده باشد و برای ایجاد انگیزه بیشتر در کارکنان سازمان باید به کارآیی کارکنان خود امتیاز دهد. میتوان از پوسترهای که به طور منظم نصب میشوند جهت یادآوری مسئولیت کارکنان استفاده کرد، اگر این پوسترها مرتباً تغییر پیدا نکنند کارکنان سازمان به سرعت شروع به نادیده گرفتن آنها میکنند ]6[.
4-1-1-3- یک برنامه نگهداری منظم برای به روز نگه داشتن برنامه باید به کار رود:
سرعت تغییر تکنولوژی در زمینه اطلاعات باعث میشود نیاز بهروز کردن برنامههای آگاهسازی و آموزشی به طور مداوم انجام شود زیرا ممکن است این برنامههای آگاهی کارآیی خود را از دست بدهند بنابراین همانطور که برنامهها بهروز میشوند محیط درونی هم باید تغییر یابد، بنابراین این برنامه به استاندارد مناسب نگهداری نیاز دارد.
4-1-2- پیاده سازی و عملی کردن
این مرحله شامل آنالیز شکافها و ایجاد استراتژی تسهیل برنامه آگاهسازی و آموزش است. کارکنان باید نیازها را درک کرده و به سیاستهای سازمان احترام بگذارند تا امنیت بهبود یابد، در واقع افراد سازمان در خط مقدم دفاع از تجاوز به حریم امنیتی سازمان هستند. اگر افراد سازمان به مقدار لازم آموزش ببینند، نه تنها از وقوع حوادث جلوگیری میکنند بلکه اثر حوادث پس از وقوع احتمالی کاهش خواهند داد. هدف اصلی از این آگاهسازی القای آهسته درک مناسبی از خطرات و توسعه فرهنگ آگاهی امنیتی در سازمان است. کارگاه آموزشی جهت آگاه سازی امنیتی موثر میباشد. در ایجاد این کارگاه آموزشی مرحله اول، شناسایی و دعوت از اعضای کلیدی شرکت کننده برای وارد شدن به فرآیند است. نمایندههای تجاری و مدیریتی باید وضع موجود را تعریف و فعالیتهای تجاری را طرحریزی نمایند و برای هر فعالیت تهدید و خطراتی که برای آن انتظار میرود را مشخص کنند سپس برای هر فعالیت کنترل مرتبط با آن را بررسی نمایند. این فعالیتها باید به طور منظم در اهداف مدیریتی کوتاه مدت و بلند مدت بررسی شده و توسعه یابد ]6[.
4-1-3- بررسی، نظارت و بازبینی
یک اصل مهم در ادامه دار بودن موفقیت، داشتن آگاهی همه جانبه امنیتی و آموزش برنامههایی که روند نگهداری و مهندسی مجدد را داشته باشند، میباشد. یک طرح جامع با توجه به جزئیات زیر جهت توسعه و نگهداری هر سازمانی نیاز است.
مستندات مقررات امنیت اطلاعات: قوانین امنیت اطلاعات جهت توسعه مدیریت و پشتیبانی امنیت اطلاعاتی است، این سند یک مسیر روشن از پشتیبانی مدیریت و تعهد به امنیت اطلاعات از طریق این سیاستها را نشان میدهد.
بررسی و ارزیابی: جهت انتشار یک قانون، تاثیر فرآیند استاندارد در سازمان و امضای صاحبانی که قرار است تاثیر اصلی را داشته باشند، بسیار مهم است. این امر با استفاده به یک بازبینی در مرحله آخر جهت اطمینان از تاثیر صاحبان نیاز دارد.
مجمع مدیریت امنیت اطلاعات: مجمع مدیریت امنیت اطلاعات مسئول پاسخگویی و ضامن آگاهی و آموزش برنامه بر سازمان می باشد. این نکته حائز اهمیت میباشد که آگاهی و ارزیابی تیم باید به صورت دورهای وجود داشته باشد.
عهده دار بودن امنیت اطلاعات به صورت اختصاصی: این نکته حائز اهمیت است که در سازمان، مسئولیت موثری نسبت به برقراری امنیت اطلاعات کارکنان به آنها داده شود و از آگاه بودن مسئولیتهای امنیتی توسط کارکنان اطمینان حاصل شود ]6[.
4-1-4- نگهداری و بهبود بخشی
سازمانها جهت پیاده سازی امنیت نیاز به انتخاب مدل کنترل دسترسی دارند و از آنجائیکه استانداردهای مدیریت امنیت فقط یک چارچوب و نقشه راه ارائه میدهند با توجه به مزایا و معایب انواع کنترل دسترسی، باید مدل مناسب برای هر سازمان انتخاب شود. اگر بخواهیم رویکردی جهت بهبود بخشی و ارزیابی کنترلهای دسترسی مبتنی بر سیستم مدیریت امنیت اطلاعات ارائه دهیم، آن را به دو سطح اصلی تقسیم مینماییم، ابتدا شناسایی محیط عملیاتی صورت میپذیرد و نیازمندیهای امنیتی در حوزه کنترل دسترسی بر مبنای اهداف و کسب و کار تجاری سازمان به همراه سرویس امنیتی مورد نیاز سازمان (محرمانگی، جامعیت و دسترسی پذیری) به همراه سیاستهای کنترل دسترسی تعیین میگردند. کلیه داراییها اعم از سیستمها و سرویسهای اطلاعاتی مانند شبکه، سیستمهای عامل، برنامههای کاربردی و اطلاعاتی که نیاز به برقراری امنیت در حوزه دسترسی مجاز دارند، شناسایی میگردند. در مرحله بعدی تهدیدهای هر یک از داراییها، کنترلهای جاری و آسیب پذیریها شناسایی شده و در آخر نتایج و تاثیرهای آنها مورد بررسی قرار میگیرد. نمیتوان اهمیت مدیریت ریسک را در محافظت از منابع سازمان در برابر دسترسی غیر مجاز نادیده گرفت، و از آنجائیکه ارزیابی ریسک فقط یک رویه در اختیار گذاشته و نحوه و چگونگی پیاده سازی در حوزه امنیتی را مطرح نکرده است، به همین جهت میخواهیم، ارزیابی ریسک حوزه کنترل دسترسی را به عنوان یکی از سطوح در این رویکرد مطرح کرده که به عنوان یک نوآوری در این زمینه محسوب میشود ]6[.
5- نتیجه گیری
مردم ما خط اول دفاع ما هستند. اجرای موفقیت آمیز سیستم مدیریت امنیت اطلاعات نقش حیاتی در اجرای کل برنامه امنیت اطلاعات را دارد. حفاظت از دادهها که امروزه به عنوان دارایی سازمانها میباشد، بنابراین اهمیت حفاظت در برابر خطرات و آسیب پذیریها ملموس میباشد، بدین جهت سعی شده است در این مقاله به جزئیات و گامهای مورد نیاز برای توسعه سیستم مدیریت امنیت اطلاعات مبتنی بر کنترل دسترسی و ارائه آگاهیهای امنیتی و سیستمهای آموزشی در درون سازمانها تمرکز داشته باشیم. مراحل مورد استفاده در این مقاله برای فرآیندسیستم مدیریت امنیت اطلاعات مبتنی بر سیاست کنترل دسترسی به دو فاز تقسیم میشوند. فاز اول شناسایی و طبقه بندی دارایی، شناسایی نیازمندیهای کنترل دسترسی، تعریف سیاستهای کنترل دسترسی، تعیین مدلهای کنترل دسترسی، معیار مقایسه و ارزیابی مدلهای کنترل دسترسی و فاز دوم ارزیابی ریسک بر مبنای سیستم مدیریت امنیت اطلاعات، مشخص شدن سطوح ریسک تهدیدات در هر دارایی، بکارگیری اقدامات متقابل برای کاهش ریسک، دسته بندی کنترلها بر اساس مقایسه مدلها، حسابرسی مبتنی بر سیستم چک کردن میباشد.
مراجع
[1] S. Vivy, “A Survey On Access Control Deployment ” .Communication in computer and informatin science, Vol. 259, No. 3, pp. 11-20, 2011.
[2] M.Bishop, Introduction to computer security. pp. 50-52, 2002.
[3] Z. Saad, Integratin of Access Control Requirements into System Spicifications . pp. 33-36, 2008.
[4] H. Susanto , M. Nabil Almunawar and Y.Chee Tuan, “Information Security Management Standard: A Comparative Study of the Big Five ” IJECS. International Journal of Electrical & Computer Sciences, Vol. 11, No. 05, pp. 24, 2011.
[5] S. D. C Vimercati, S.Paraboschi and P.Samarati, “Access Control: Principles And Solutions,” Softw. Pract. Exper, Vol. 33 pp. 397-421, 2003.
[6] Humphreys, Information Security Management Standards: Compliance, governance and risk management. Elsevire, pp. 247-255, 2008.