کنترل های کلیدی امنیت اطلاعات، دسترسی کنترل شده براساس نیاز به دانستن

موسسه SANS  به عنوان یک نهاد معتبر در حوزه امنیت اطلاعات 20 کنترل کلیدی را برای ایمن سازی سازمان ها ارائه نموده است. کنترل چهاردهم به دسترسی کنترل شده براساس نیاز به دانستن پرداخته است.

شرح کنترل دسترسی کنترل شده

دسترسی گسترده تمامی افراد، سیستم ها و عامل های سیستمی به داده های سازمان یک آسیب پذیری جدی برای سازمان به شمار می رود. دسترسی کنترل شده به جای دسترسی عمومی و باز یکی از الزامات کلیدی محافظت از داده ها است.

در حال حاصر بسیاری از اقدامات امنیت اطلاعات بر ایمن سازی شبکه سازمان ها تمرکز نموده است در حالی که داده به عنوان یکی از مهمترین دارایی ها مغفول مانده است. دسترسی به داده ها باید براساس سیاست های امنیتی صور ت گیرد. براین اساس ابتدا باید داده های سازمان براساس حساسیت طبقه بندی شوند. طبقه بندی معمول داده ها تقسیم بندی آنها به داده های عادی، محرمانه، فوق محرمانه، سری و فوق سری است. برای هر طبقه از داده ها نیز سیاست دسترسی مشخصی تعیین گردد. سیاست دسترسی تعیین می کند که چه کسبی به چه داده هایی دسترسی خواهد داشت. نکته کلیدی در تعیین دسترسی به داده ها، نیاز فرد، سیستم یا عامل برای دسترسی به داده های مذکور است. به عبارت دیگر دسترسی باید براساس نیاز به دانستن تعیین شود و داده ها از دسترسی افرادی که نیاز به دانستن آنها ندارند محفوظ ماند. زمانی که این سیاست مشخص گردید، کنترل دسترسی و مجافظت از داده ها براساس ساز و کارهای فنی و سازمانی صورت می گیرد.

ساز و کارهای فنی محافظت از داده ها طیف وسیعی از موارد را در بر می گیرند. رمزنگاری داده ها یکی از این موارد است. رمزنگاری می تواند داده ها را از حملات و تهدیدهای اولیه محافظت کند. لیکن ساز و کار رمزنگاری نیز خود باید ایمن باشد. کلیدهای رمزنگاری تولید شده باید به صورت ایمن نگهداری شده و پس از کاربر امحا گردند. علاوه بر رمزنگاری پایش جریان انتقال داده ها بسیار ضروری است. داده های سازمان ممکن است به صورت الکترونیکی یا فیزیکی به بیرون نشت یابند. دزدیده شدن یا گم شدن لپ تاپ یا هر وسیله ذخیره سازی داده از موارد نشت و انتشار فیزیکی داده ها است. علاوه بر این داده ها ممکن است به صورت الکترونیکی از سازمان خارج شوند. کنترل جریان داده ها بر روی شبکه ارتباطی خصوصاٌ در مرزهای سازمان با محیط بیرونی بسیار ضروری است. د ر اغلب موارد عدم کنترل جریان الکترونیکی داده ها باعث می شود تا نفوذگران بتوانند با استفاده از آسیب پذیری های موجود از این جریان استفاده کنند بدون اینکه مالک داده اطللاعی در خصوص دسترسی غیرمجاز به داده های خود داشته باشد.

در زمان نگهداری داده ها بر روز بسترهای ابری نیز چنین ملاحظاتی حائز اهمیت است. در چنین مواردی رمزنگاری داده های حساس و نگهداری ایمن کلیدهای رمزنگاری داده ها ضرورت بیشتری می یابد. محافظت از داده ها باید در سه مقطع کلیدی استفاده توسط کاربر نهایی، انتقال بر روی شبکه و ذخیره سازی بر روی بسترهای ذخیره سازی صورت گیرد. به عبارت دیگر داده باید در تمامی مراحل عمر خود محافظت شود.

تاکنون عمده فعالیت های ایمن سازی بر ارتقای امنیت شبکه تمرکز یافته بود پیش بینی می شود در آینده سازمان ها به سمت محافظت از داده ها و سیستم های در برگیرنده داده ها گرایش یابند. الزامات امنیتی و سیاست های موجود بسیاری از سازمان ها در حال حاصر پاسخگوی محافظت از داده نیست.

 

آزمون کنترل دسترسی کنترل شده

  • سیاست مشخصی برای طبقه بندی داده های سازمان از لحاظ حساسیت وجود دارد؟
  • داده ها براساس سیاست امنیتی طبقه بندی شده اند؟ دسترسی کنترل شده به داده های حساس تعریف شده است؟
  • افراد با سیاست دسترسی کنترل شده براساس دانستن آشنایی لازم را دارند؟
  • دسترسی به داده های حساس، انتقال و ذخیره سازی آنها با استفاده از ساز و کارهای رمزنگاری ایمن شده است؟
  • رمزنگاری به صورت استاندارد انجام شده و کلیدها در شرایط ایمنی نگهداری می شوند؟
  • نظارت و پایش فنی و سازمانی برای بهره برداری، ذخیره سازی و انتفال داده های حساس صورت می گیرد؟

 

 

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top