حفاظت از داده ها سیزدهمین کنترل از مجموعه کنترل های کلیدی امنیت اطلاعات است که توسط موسسه SANS ارائه شده است. در ادامه این کنترل تشریح گردیده است.
شرح کنترل حفاظت از داده ها
داده ها دارایی های سازمان به شمار می روند، حتی برخی از متخصصین اعتقاد دارند که داده ها، چاه های نفت جدید هستند و بوسیله استخراج دانش و بینش از آنها می توان به ثروت رسید. براین اساس حفاظت از داده ها حائز اهمیت می باشد. داده ها در محل های مختلفی ذخیره می شوند. حفاظت از داده ها نیازمند اتخاذ ساز و کارهای متنوعی در حوزه امنیت اطلاعات است. ترکیبی از راهکارهای رمزنگاری، حفاظت از یکپارچگی و جلوگیری از دسترس رفتن داده ها می تواند حفاظت از آنها را تضمین کند.
رمزنگاری تکنیکی است که بوسیله آن داده های حساس و کلیدی را به صورت کد درآورده و این کدها تنها برای افراد یا سیستم هایی قابل تفسیر و تشخیص است که کلید مورد نیاز جهت رمزگشایی را در اختیار داشته باشند. داده های حساس از جمله نام کاربری و رمز عبور افراد، اطلاعات هویتی آنها، اطلاعات تراکنش های مالی و بانکی و اطلاعات تبادل یافته بر روی شبکه اینترنت عمدتاً رمزنگاری می شوند.
یکپارچگی داده ها، تضمین کننده جامعیت و صحت آنها است. داده های یکپارچه توسط افراد یا سیستم های غیرمجاز دستکاری نشده اند و نشان دهنده واقعیت هستند. آنها همچنین کم یا زیاد نشده اند و وضعیت تراکنش های واقعی را منعکس می سازند. کنترل های متنوعی برای تضمین یکپارچگی داده ها وجود داشته که برخی از آنها در مجموعه نوشتارهای کنترل های سیستم های اطلاعاتی ارائه شده اند.
داده ها ممکن است به دلایل مختلفی از دست روند. آسیب دیدن رسانه های فیزیکی مانند هارد دیسک ها و تجهیزات ذخیره سازی، اختلال در عملکرد سیستم های مدیریت پایگاه داده و حذف و پاک شدن بخشی از داده ها به صورت عمدی یا غیرعمدی برخی از علل از دست رفتن داده ها هستند. برای رویارویی با این ریسک ها نیز انواع کنترل ها از جمله پشتیبان گیری از داده ها، حفاظت فیزیکی از منابع ذخیره سازی داده ها، کنترل دسترسی به منابع ذخیره سازی و ایجاد تجهیزات و سایت های پشتیبان وجود دارند.
علاوه بر تمامی کنترل های فوق الذکر، طبقه بندی داده ها و محافظت از داده های حساس جهت حفاظت از داده ها بسیار ضروری است. تمامی داده های سازمان از لحاظ ارزش، دارای ماهیت یکسانی نیستند. برخی از داده ها، حیاتی و کلیدی بوده و هرگونه اختلال در آنها باعث ایجاد اختلال جدی در کسب و کار می شود. به عنوان مثال در سیستم های کنترل، اطلاعات کنترل تجهیزات که در قالب نرم افزار SCADA نگهداری می شود بسیار حیاتی است. در صورت اختلال و دستکاری داده های این سیستم، عملیات سازمان مختل می شود. سیستم های SCADA در صنایعی همانند نفت، گاز و پتروشیمی، انرژی و سایر صنایع پیوسته جهت کنترل عملیات کاربرد گسترده ای دارند. با این تفاسیر، ضروری است ابتدا داده های سازمان از لحاظ ارزش و محرمانگی تفکیک شده و جهت حفاظت از داده های حساس و کلیدی ساز و کارهای ویژه ای اتخاذ شود. در بسیاری از سازمان ها ساز و کارهای کنترل دسترسی به داده های حساس با داده های عادی تفاوتی نمی کند و نفوذگران در صورت ورود به شبکه سازمان به راحتی می توانند به داده های حساس دسترسی داشته باشند.
آزمون کنترل حفاظت از داده ها
• آیا داده های حساس سازمان تعریف شده و از داده های عمومی و غیرحساس تفکیک گردیده اند؟
• آیا دسترسی به فایل ها و سیستم های حاوی داده های حساس با استفاده از ساز و کارهای کنترل دسترسی محدود شده است؟
• آیا انتقال فایل های سازمان به محیط خارج به راحتی و با استفاده از ابزارهایی مانند USB میسر می باشد یا اینکه قواعد و کنترل های مشخصی برای این موضوع تعریف شده است؟
• آیا در محیط مرزی شبکه، ابزارهای لازم برای کنترل ترافیک جهت جلوگیری از انتقال داده های حساس به محیط بیرون به کار گرفته شده است؟