ارزيابي تفاوت هاي قبل و بعد از استقرار سيستم مديريت امنيت اطلاعات در شركت تاليا

تعداد 45صفحه در فایل word

مقدمه :

گسترش و توسعه فناوري اطلاعات و ارتباطات در كشور امري اجتناب ناپذير است و نياز روزافزون بخش هاي مختلف جامعه به سرويس هاي اطلاعاتي و تغيير نگرش جامعه به سرويس هاي اطلاعات و ارتباطات ، تحولي شگرف را در عصر خود حاضر به وجود آورده است. در اين عصر فواصل مكاني ،‌هويت خود را از دست مي دهند و بسياري از فعاليت هاي جاري براساس مبادله اطلاعات از طريق بسترهاي ارتباطي خواهد پذيرفت. لذا جامعه اطلاعاتي ، امنيت اطلاعات ارزش و جايگاه ويژه اي را به خود اختصاص داده ، معياري مهم براي موفقيت و بالندگي جامعه اطلاعاتي محسوب مي شود. به همين خاطر براي اين موضوع جايگاه خاصي در    كشور سرلوحهICT و IT راهبرد توسعه كشور در نظر گرفته شده است. از آنجا كه توسعه بسیاری از فعالیت های دولتي و خصوصي قرار گرفته ، لذا امنيت اطلاعات به عنوان يك موضوع راهبردي براي استفاده مطلوب از اين بستر طرح گرديده است.

در شكل سنتي خود اطلاعات از طريق رسانه فيزيكي از قبيل كاغذ و نوارهاي صوتي و تصويري انجام مي شده است. امروزه ، علاوه بر روش هاي سنتي ، انتقال اطلاعات عمدتاً بر روي رسانه هاي مجازي كه به صورت شبكه وسيع و به هم پيوسته اي از ابزارها و نرم افزارها هستند رد و بدل مي شود.ايجاد محيط امن براي انتقال اطلاعات بيش از پيش دشوار و چالش برانگيز شده است. چرا كه همه سازمان ها و بخش هاي مختلف مي بايست از يك زيرساخت فيزيكي ( كه همان شبكه جهاني اينترنت است)و نرم افزارهاي رايج براي تبادل اطلاعات استفاده كنند. علاوه بر در م عرض بودن اطلاعات براي تمامي افرادي كه به شكلي به شبكه اطلاعاتي متصل هستند ،‌دانش همگاني در خصوص فن آوري اطلاعات نيز بر ميزان آگاهي افراد روز به روز مي افزايد و در امنيت گاهاً مؤسسات چندين گام از افراد اجتماع و متخصصيندنبالتر هستند. وظيفه حفاظت از اطلاعات و ايجاد امنيت در خصوص اطلاعات به سه قسمت عمده تفكيك مي شود ‌(احمدلو، 1389).

ايجاد شرايطي كه در آن محرمانه بودن اطلاعات محفوظ بماند. اين بدان معنا است كه افرادي مي بايست به اطلاعات دسترسي داشته باشند كه اطلاعات به آنها مربوط مي شود. مي بايست از رسيدن اطلاعات به افراد نامربوط جلوگيري شود. همچنين دسترسي به اطلاعات فقط براي افراد مجاز تعريف شده باشد. به اين فرآيند گاهاً كنترل دسترسي نيز مي گويند (احمدلو، 1389).

ايجاد شرايطي كه در آن زيرساخت هاي فن آوري اطلاعات از گزند هرگونه آسيب هاي محيطي اعم از فيزيكي و غيرفيزيكي مصون باشند. اين آسيب ها ، چه عمدي باشند و چه غيرعمد ، مي توانند ناشي از شرايط فيزيكي همچون آسيب هاي ناشي از خسارات سيل ، آتش سوزي و ديگر شرايط جوي ، خرابي قطعات ، نارسايي هاي ناشي از شرايط نامناسب كاري (از قبيل برق نامناسب،قطعي برق ، خطوط ارتباطي نامناسب) ، صدمات ناشي از استفاده نادرست از تجهيزات مانند كشيدن سيگار در محيط سخت افزار ، ريختن مايعات بر روي قطعات ، صدمات ناشي از رها شدن تجهيزات از ارتفاع بلند ، و يا خرابكاري هاي عمدي افراد بر روي دستگاهها باشد. آسيب هاي ناشي از شرايط غير فيزيكي مي تواند به تنظيمات و پيكره بندي سيستم ها ، عدم رعايت اتصالات مناسب ، عدم آگاهي از استفاده درست از نرم افزارها مربوط باشد.

حوزه اول ماهيت اطلاعات ي است كه داخل فايل ها ذخيره مي شوند. محتواي فايلها پيكره اصلي و حجم حساس اطلاعاتي كه يك سازمان براي انجام كارهاي خود به آن نياز دارد را تشكيل مي دهد. عدم دسترسي به اين اطلاعات موجب وقفه و خلل در كار جاري يك سازمان مي شود. هرگونه تغيير و يا تخريب در محتواي اين فايلها نيز از خسارات امنيتي محسوب مي شود (احمدلو، 1389).

حوزه دوم ساختار فناوريهايي است كه تحت آنها اطلاعات پردازش مي شود . نرم افزارهايي كه براي بازكردن فايلها ،دسترسي به محتواي فايلها ، ذخيره اطلاعات در پايگاه هاي اطلاعاتي ، انتقال فايلها و فراخواني مجدد اطلاعات از فايلها استفاده مي شوند ابزار كار كاركنان آن سازمانن محسوب مي شوند. در دسترس بودن اين ابزارها و ضمانت تداوم دسترسي به اين نرم افزار ها از جمله ي وظايف امنيت اطلاعات محسوب مي شود (احمدلو، 1389).

در هر سازمان كه به طريقي از رسانه هاي مجازي ، الكترونيكي و فن آوري اطلاعات براي انجام بخشي از كارهاي خود استفاده مي كند ، آگاهي و داير سازي يك سيستم مديريت براي برقراري امنيت اطلاعات ضروري است. تا زمانيكه سازمان ها و شركت ها به صورت كامل اطلاعات خود را از شكل سنتي به محيط هاي كاملا مجازي تبديل نكرده اند ،‌حوزه حفاظت امنيت اطلاعات مي بايست روش هاي سنتي ثبت و بايگاني اطلاعات را نيز در بر گيرد. در محيط هايي كه روال ها و فرآيند هاي امنيتي حفاظت از اسناد كاغذي و سنتي را در بر نمي گيرند ، امكان به مخاطره افتادن اطلاعات حساس يك سازمان افزايش پيدا نمي كند. (سند راهبرد امنيت فضاي تبادل اطلاعات كشور ، دبيرخانه شوراي امنيت فضاي تبادل اطلاعات)