نقش يك «اساس نامه امنيتي» در سازمان شما
در اغلب موارد ، تشكيلات اقتصادي همچون شبكه هاي كامپيوتري در برابر تغييرات فشرده و ناگهاني با ضعف و شكست مواجهه مي شدند. يك پروژه ابتدايي امنيتي نيز از اين مقوله مستثنا نيست. در شركت «مارين» صحبت از هفت P است:
Proper، prior، planning، prevents، pretty، poor، performance . آنها يك شبكه را در حالت صحيحي نگه مي داشتند. شما بايد قبل از پياده سازي هر چيزي، ابتدا بايد طرح و برنامه داشته باشيد و سپس ابزار لازم را مهيا سازيد. هميشه اين ضرب المثل را به خاطر داشته باشيد كه «يك كيلو پيشگيري بهتر از يك خروار علاج است». امنيت شما بخشي از پيشگيري شما است. دليل اينكه بيشتر تشكيلات اقتصادي با شكست مواجهه مي شوند به اين دليل است كه آنها هدف اصلي از اين تشكيلات را براي خود مشخص نمي كنند و نمي دانند كه بايد در آينده نيز فعاليت خود را ادامه دهند! براي مثال، اين درست نيست كه به سادگي بگوييم براي امنيت بالاتر شبكه خود نياز به يك ديواره آتشداريم. شما بايد به طور دقيقي مشخص كنيد كه «چه چيزي» را «چگونه» مي خواهيد امن كنيد. چه نوع از فيلترينگ را مي خواهيد شما پياده سازي كنيد؟ چه مقدار دسترسي را مي خواهيد به كاربران خود اهداء كنيد؟ آيا شما مي خواهيد كه كاربران اينترنتي را تعيين هويت كنيد و فعاليت هاي آنها را ثبت كنيد؟ فقط با پاسخ دادن به اين سوالات و سوال هاي ديگر است كه مي توانيد به طور دقيقي مشخص كنيد كه چه لازم داريد و چه چيزي را بايد خريداري كنيد و به طور جزيي تر براي ديواره آتش خود چه سياستي را در پيش بگيريد تا آنچه را كه در نظر داريد را پياده سازي كنيد.
براي محتويات يك اساس نامه امنيتي دو ديدگاه و انديشه وجود دارد. ايده اول اساس نامه امنيتي، «يك سند در برگيرنده كلي مي باشد» كه شامل كليه دستورات و توصيه هاي ساده تا جزيي ترين مشخصات و پيكربندي هاي آن باشد. در ذات خودش، اساس نامه امنيتي يك اساس نامه به تنهايي نمي باشد و به همان مقدار روال هايي رانيز در بر مي گيرد.
رهيافت دوم اساس نامه امنيتي نيز در برگيرنده يك سند كلي شامل دستورات و توصيه هاي ساده تا جزيي ترين مشخصات و پيكربندي ها مي باشد اما ممكن است اين دستورات فقط در محدوده اساس نامه امنيتي نباشد و محدوده هاي ديگر را نيز در بر گيرد. هر دو اين رهيافت ها مسايل خاص خودشان را دارند و درستي هر كدام از اين رهيافت ها بستگي به محيط كاري شما دارد. سود رهيافت «سند كلي اساس نامه امنيتي»، اين است كه تمامي اطلاعات شما به صورت روال هاي مشخص و قابل پياده سازي در يك سند واحد خلاصه مي شود بنابراين دنبال كردن اين دستورات ساده تر و پياده سازي آن آسان تر مي باشد. از ديدگاه منفي، اين رهيافت به تغييرات احتمالي آينده حساس مي باشد زيرا كه اساس نامه ها براي دستورات جزيي به روز رساني مي شوند.
سود رهيافت «اساس نامه امنيتي فقط يك اساس نامه است» اين است كه به طور موثري به صورت كامل نوشته مي شود و از طرح جزييات خودداري مي كند و فقط به طور ساده مطرح مي كند كه چه كاري بايد انجام شود. از مضرات اين روش اين است كه تمامي اسناد و اطلاعات پياده سازي اساس نامه امنيتي در قالب چندين سند ارائه مي گردد كه دنبال كردن هر يك از آنها مشكل تر از روش قبل است.
به نظر من طرح «سند كلي اساس نامه امنيتي» بهتر است زيرا كه پياده سازي آن ساده تر است. فقط شما كافي است كه روال هاي عادي را تعريف و پياده سازي كنيد. حال شما اگر اساس نامه امنيتي را خودتان مطرح كنيد يا در اسنادي آنها را بنويسيد، فرقي ندارد آنچه مهم است بايد اين اساس نامه در سازمان شما اجرا شود. در رهيافت «سند كلي اساس نامه امنيتي» من درباره موضوع خاصي صحبت مي كنم و اينجاست كه شما تصميم مي گيريد كه آيا آن را به عنوان بخشي از اساس نامه امنيتي خود مي پذيريد و يا آن را در سند هاي ديگري مطرح مي كنيد.
در عمل ، بهتر آن است كه رهيافت «سند كلي اساس نامه امنيتي» براي سازمانهاي كوچك و رهيافت دوم براي سازمانهاي بزرگ مطرح شود زيرا كه در سازمانهاي بزرگ تغييرات با دشواري همراه است.
يك قدم به جلو:
براي اينكه شما به نقش و اهميت اساس نامه امنيتي پي ببريد نياز است كه چندين اصطلاح تخصصي را تعريف كنيم:
سياست ها يا اساس نامه ها: سياست ها به طور ساده وضعيتي هستند كه بايد اتفاق بيفتند. به عنوان مثال يك سياست امنيتي اين است كه كليه ترافيك هاي عمومي (همچون اينترنت) بايد رمزگذاري شوند.
استاندارد ها : استاندارد ها چگونگي عملكرد بعضي چيز ها را تعريف مي كنند. براي مثال ممكن است ما براي بعضي از پيش نياز هاي سياست هاي امنيتي خود، نياز به 3DEC و IPSec داشته باشيم.
روال ها : روال ها مشخص مي كنند كه چگونه ابزاري بايد پيكربندي شوند و در اصل «استانداردها» را با «سياستها» براي ابزار هاي مختلف تطابق ميدهند. براي مثال شما ممكن است روال هايي را براي چگونگي پيكربندي 3DEC و IPSec در مسيريابهاي خود تعريف كرده باشيد تا بدين وسيله داده خود را رمزگذاري كنيد.
هدف اساس نامه امنيتي :
به طور كلي، اساس نامه امنيتي براي اين وجود دارد كه هر كسي به طور دقيق و از قبل تعريف شده بداند كه در كار با منابع سازمان و تشكيلات چه كار انجام دهد و روي آنها نيز تعهد لازم را داشته باشد. اساسنامه امنيتي نياز دارد كه مشخص كند شما داراي چه استاندارد هاي امنيتي هستيد.آيا بايد تمامي سيستم هايي كه در شبكه پياده سازي شده اند توسط يك سرور TACACS+ تعيين هويت شوند؟ سياست هاي امنيتي شماست كه حكم مي دهد آيا بايد اين اتفاق بيفتد يا خير. اساسنامه امنيتي شما بايد مشخص كند كه اهداف امنيتي شما چه هستند. آيا سازمان شما سعي ميكند كه فشارهاي ناشي از ويروس ها و كرم ها را كاهش دهد؟ آيا آنها سعي مي كنند كه خطرات دسترسي هاي بيروني را محدود كنند ؟ نبايد اين وضعيف ها را فراموش كرد و بايد براي آنها چاره اي انديشيد. حتما آنها را بنويسيد و تعريف كنيد. حتما بخشي را در مجموعه خود در نظر بگيريد به همراه افرادي كه مراقب باشند تا قوانين امنيتي رعايت شوند و در صورتي كه گروهي از افراد اين قوانين را در نظر نگرفتند با آنها برخورد مناسب صورت گيرد. حتما سندي را نيز تهيه كنيد تا به كاربران بگويد كه «چرا شما بايد اين كار ها را انجام دهيد و چرا ما آنها را از شما مي خواهيم».
آخرين نكته، آنچه كه باعث مي شود اساس نامه امنيتي شما پابرجا بماند و يا شانس خوبي براي اجرا شدن داشته باشد؛ اين است كه از طرف رده هاي مديريتي بالاتر سازمان پشتيباني شود. امنيت تا حدودي زيادي بايد «قابل استفاده» باشد و حتي در بعضي مواقع قابل استفاده بودن به خود امنيت مي چربد و در بعضي مواقع نيز امنيت بسيار مهم تر از قابليت استفاده است. بدون پشتيباني مديريتي رده بالا شما هيچ شانسي نداريد تا به كاربران و مجموعه كاري خود بقبولانيد كه در بعضي از مواقع به خاطر امنيت بيشتر از قابليت استفاده صرف نظر كنند.
اساس نامه امنيتي و مشكلات كاربران
وقتي من در يك شركت روي حفاظت هاي ويروسي كار مي كردم برخي از كارمندان شركت در برابر آن مقاومت نشان مي دادند. تا آنجايي كه روي كامپيوتر هايي كه آنتي ويروس نصب شده بود اسم خاصي گذاشته بودند! و خيلي از آنها هيچ علاقه اي نداشتند كه با اين كامپيوتر هاي «خاص» كار كنند. همين موضوع باعث شد كه حفاظت در برابر ويروس ها بسيار بيشتر از آنچه كه تصور مي رفت طول بكشد. يكي از دلايلي كه باعث بروز اين مشكل شده بود، اين بود كه اين سازمان فاقد هر گونه اساس نامه امنيتي بود. مدتهاست كه از آن شركت من بيرون آمده ام ولي هنوز اطلاع دارم كه آن سازمان مساله ويروس ها را نتوانسته است حل كند
سه شنبه 24 مرداد 1391 3:25 AM
تشکرات از این پست
