تعیین خط مشی امنیت اطلاعات سازمانی سخنرانی

نرم افزار TSF خارج از هسته متشکل از برنامه های کاربردی قابل اعتماد است که برای اجرای توابع امنیتی استفاده می شود. توجه داشته باشید که کتابخانه های مشترک، از جمله ماژول های PAM در برخی موارد، توسط برنامه های کاربردی قابل اعتماد استفاده می شود. با این حال، هیچ نمونه ای وجود ندارد که خود کتابخانه مشترک به عنوان یک شی مورد اعتماد در نظر گرفته شود. دستورات مورد اعتماد را می توان به صورت زیر گروه بندی کرد.

• مقداردهی اولیه سیستم
• شناسایی و احراز هویت
• برنامه های کاربردی شبکه
• پردازش دسته ای
• مدیریت سیستم
• ممیزی سطح کاربر
• پشتیبانی رمزنگاری
• پشتیبانی از ماشین مجازی

اجزای اجرای کرنل را می‌توان به سه بخش اصلی تقسیم کرد: هسته اصلی، رشته‌های هسته و ماژول‌های هسته، بسته به اینکه چگونه اجرا شوند.

• هسته شامل کدهایی است که برای ارائه یک سرویس اجرا می شود، مانند سرویس تماس سیستم کاربر یا سرویس یک رویداد استثنا، یا یک وقفه. اکثر کدهای هسته کامپایل شده در این دسته قرار می گیرند.
• رشته های هسته. برای انجام برخی وظایف معمولی، مانند پاک کردن حافظه پنهان دیسک یا آزاد کردن حافظه با جابجایی بلوک‌های صفحه استفاده نشده، هسته فرآیندها یا رشته‌های داخلی ایجاد می‌کند. Thread ها دقیقاً مانند فرآیندهای معمولی برنامه ریزی می شوند، اما در حالت غیرمجاز هیچ زمینه ای ندارند. رشته های کرنل توابع زبان C کرنل خاصی را انجام می دهند. رشته های کرنل در فضای هسته قرار دارند و فقط در حالت ممتاز اجرا می شوند.
• ماژول کرنل و ماژول هسته درایور دستگاه قطعاتی از کد هستند که در صورت نیاز می توان آنها را بارگیری و تخلیه کرد. آنها عملکرد هسته را بدون نیاز به راه اندازی مجدد سیستم گسترش می دهند. پس از بارگذاری، کد شی ماژول کرنل می تواند به سایر کدها و داده های هسته به همان روشی که کد شی هسته پیوند استاتیکی دارد، دسترسی پیدا کند.

درایور دستگاه نوع خاصی از ماژول هسته است که به هسته اجازه دسترسی به سخت افزار متصل به سیستم را می دهد. این دستگاه ها می توانند هارد دیسک، مانیتور یا رابط شبکه باشند. درایور از طریق یک رابط تعریف‌شده با بقیه هسته ارتباط برقرار می‌کند که به هسته اجازه می‌دهد تا با همه دستگاه‌ها بدون توجه به پیاده‌سازی‌های زیربنایی آن‌ها به روشی جهانی برخورد کند.

هسته از زیر سیستم های منطقی تشکیل شده است که عملکردهای مختلفی را ارائه می دهند. حتی اگر هسته تنها برنامه اجرایی است، خدمات مختلفی که ارائه می دهد را می توان از هم جدا کرد و در اجزای منطقی مختلف ترکیب کرد. این مؤلفه ها برای ارائه عملکردهای خاص با هم تعامل دارند. هسته از زیر سیستم های منطقی زیر تشکیل شده است:

• زیر سیستم فایل و زیر سیستم I/O: این زیرسیستم توابع مربوط به اشیاء سیستم فایل را پیاده سازی می کند. توابع پیاده سازی شده شامل مواردی است که به یک فرآیند اجازه می دهد تا اشیاء سیستم فایل را ایجاد، نگهداری، تعامل و حذف کند. این اشیاء شامل فایل‌های معمولی، دایرکتوری‌ها، پیوندهای نمادین، پیوندهای سخت، فایل‌های مخصوص انواع دستگاه‌های خاص، لوله‌های نام‌گذاری شده و سوکت‌ها می‌شوند.
• زیرسیستم فرآیند: این زیرسیستم توابع مربوط به مدیریت فرآیند و مدیریت نخ را پیاده سازی می کند. توابع پیاده سازی شده به شما امکان ایجاد، برنامه ریزی، اجرا و حذف فرآیندها و موضوعات رشته را می دهند.
• زیر سیستم حافظه: این زیرسیستم توابع مربوط به مدیریت منابع حافظه سیستم را پیاده سازی می کند. توابع پیاده سازی شده شامل مواردی است که حافظه مجازی را ایجاد و مدیریت می کند، از جمله مدیریت الگوریتم های صفحه بندی و جداول صفحه.
• زیر سیستم شبکه: این زیرسیستم سوکت های یونیکس و دامنه اینترنت و الگوریتم های مورد استفاده برای زمان بندی بسته های شبکه را پیاده سازی می کند.
• زیر سیستم IPC: این زیرسیستم توابع مربوط به مکانیزم های IPC را پیاده سازی می کند. ویژگی‌های پیاده‌سازی‌شده شامل مواردی است که تبادل کنترل‌شده اطلاعات بین فرآیندها را تسهیل می‌کند و به آن‌ها اجازه می‌دهد داده‌ها را به اشتراک بگذارند و هنگام تعامل با یک منبع مشترک، اجرای آنها را همگام‌سازی کنند.
• زیرسیستم ماژول کرنل: این زیر سیستم زیرساختی را برای پشتیبانی از ماژول های قابل بارگذاری پیاده سازی می کند. توابع پیاده سازی شده شامل بارگذاری، مقداردهی اولیه و تخلیه ماژول های هسته است.
• برنامه های افزودنی امنیتی لینوکس: برنامه‌های افزودنی امنیتی لینوکس جنبه‌های امنیتی مختلفی را که در سراسر هسته ارائه می‌شوند، اجرا می‌کنند، از جمله چارچوب ماژول امنیتی لینوکس (LSM). چارچوب LSM به عنوان مبنایی برای ماژول هایی عمل می کند که امکان اجرای سیاست های امنیتی مختلف از جمله SELinux را فراهم می کند. SELinux یک زیر سیستم منطقی مهم است. این زیرسیستم توابع کنترل دسترسی اجباری را برای دستیابی به دسترسی بین تمام موضوعات و اشیاء پیاده سازی می کند.
• زیرسیستم درایور دستگاه: این زیرسیستم از طریق یک رابط مشترک و مستقل از دستگاه، از دستگاه های سخت افزاری و نرم افزاری مختلف پشتیبانی می کند.
• زیر سیستم حسابرسی: این زیرسیستم عملکردهای مربوط به ثبت رویدادهای حیاتی ایمنی را در سیستم پیاده سازی می کند. توابع پیاده سازی شده شامل مواردی است که هر فراخوانی سیستم را برای ثبت رویدادهای مهم امنیتی ضبط می کند و آنهایی که جمع آوری و ضبط داده های حسابرسی را اجرا می کنند.
• زیرسیستم KVM: این زیرسیستم نگهداری از چرخه عمر ماشین مجازی را پیاده سازی می کند. تکمیل دستورالعمل را انجام می دهد، که برای دستورالعمل هایی استفاده می شود که فقط به بررسی های کوچک نیاز دارند. برای هر تکمیل دستورالعمل دیگری، KVM مولفه فضای کاربر QEMU را فراخوانی می کند.
• Crypto API: این زیرسیستم یک کتابخانه رمزنگاری داخلی هسته برای تمام اجزای هسته فراهم می کند. این نرم افزار رمزنگاری اولیه را برای تماس گیرندگان فراهم می کند.

هسته بخش اصلی سیستم عامل است. مستقیماً با سخت‌افزار ارتباط برقرار می‌کند، اشتراک‌گذاری منابع را پیاده‌سازی می‌کند، خدمات مشترکی را به برنامه‌ها ارائه می‌کند و از دسترسی مستقیم برنامه‌ها به توابع وابسته به سخت‌افزار جلوگیری می‌کند. خدمات ارائه شده توسط کرنل عبارتند از:

1. مدیریت اجرای فرآیندها، از جمله عملیات ایجاد، خاتمه یا تعلیق آنها و تبادل داده بین فرآیندی. این شامل:

• زمان‌بندی معادل فرآیندها برای اجرا در CPU.
• تقسیم فرآیندها در CPU با استفاده از حالت اشتراک زمانی.
• اجرای فرآیند بر روی CPU.
• تعلیق هسته پس از انقضای کوانتوم زمان اختصاص داده شده.
• تخصیص زمان هسته به یک فرآیند دیگر.
• زمان بندی مجدد زمان هسته برای اجرای یک فرآیند معلق.
• ابرداده‌های مرتبط با امنیت فرآیند مانند UID، GID، تگ‌های SELinux، شناسه‌های ویژگی را مدیریت کنید.

2. تخصیص RAM برای فرآیند اجرا. این عملیات شامل:

• مجوز اعطا شده توسط کرنل به فرآیندها برای به اشتراک گذاشتن بخشی از فضای آدرس خود تحت شرایط خاص. با این حال، هسته از فضای آدرس خود فرآیند در برابر تداخل خارجی محافظت می کند.
• اگر حافظه خالی سیستم کم باشد، هسته با نوشتن فرآیند به طور موقت در حافظه سطح دوم یا swap، حافظه را آزاد می کند.
• تعامل هماهنگ با سخت افزار ماشین برای ایجاد یک آدرس مجازی به نگاشت آدرس فیزیکی که یک نگاشت بین آدرس های تولید شده توسط کامپایلر و آدرس های فیزیکی ایجاد می کند.

3. تعمیر و نگهداری چرخه عمر ماشین مجازی، که شامل:

• محدودیت هایی را بر روی منابع پیکربندی شده توسط برنامه شبیه سازی برای یک ماشین مجازی معین تنظیم می کند.
• اجرای کد برنامه ماشین مجازی برای اجرا.
• خاموش شدن ماشین‌های مجازی را با تکمیل دستورالعمل یا تأخیر در تکمیل دستورالعمل برای شبیه‌سازی فضای کاربر مدیریت کنید.

4. نگهداری فایل سیستم. آن شامل:

• تخصیص حافظه ثانویه برای ذخیره سازی کارآمد و بازیابی اطلاعات کاربر.
• تخصیص حافظه خارجی برای فایل های کاربر.
• فضای ذخیره سازی داده های استفاده نشده را بازیافت کنید.
• سازماندهی ساختار فایل سیستم (با استفاده از اصول ساختاری روشن).
• محافظت از فایل های کاربر در برابر دسترسی غیرمجاز.
• سازماندهی دسترسی فرآیند کنترل شده به دستگاه های جانبی مانند پایانه ها، درایوهای نوار، درایوهای دیسک و دستگاه های شبکه.
• سازماندهی دسترسی متقابل به داده ها برای افراد و اشیاء، ارائه دسترسی کنترل شده بر اساس خط مشی DAC و هر سیاست دیگری که توسط LSM بارگذاری شده اجرا می شود.

هسته لینوکس نوعی هسته سیستم عامل است که زمان‌بندی را با پیش‌پرداخت کار پیاده‌سازی می‌کند. در هسته هایی که این ویژگی را ندارند، اجرای کد هسته تا تکمیل ادامه می یابد، یعنی. زمانبند قادر به زمانبندی مجدد یک کار در زمانی که در هسته است نیست. علاوه بر این، کد هسته برنامه ریزی شده است تا به صورت مشارکتی و بدون برنامه ریزی پیشگیرانه اجرا شود و اجرای آن کد تا زمانی که خاتمه یابد و به فضای کاربر بازگردد یا تا زمانی که به صراحت مسدود شود ادامه می یابد. در هسته‌های پیشگیرانه، تا زمانی که هسته در حالتی قرار دارد که زمان‌بندی مجدد آن امن باشد، می‌توان از یک کار در هر نقطه‌ای جلوگیری کرد.

صرف نظر از اندازه سازمان و مشخصات سیستم اطلاعاتی آن، کار برای اطمینان از رژیم امنیت اطلاعات معمولاً شامل مراحل زیر است (شکل 1):

- تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن.

- ارزیابی ریسک؛

- انتخاب اقدامات متقابلی که رژیم داعش را تضمین می کند.

- مدیریت ریسک؛

- ممیزی سیستم مدیریت امنیت اطلاعات؛

- توسعه یک سیاست امنیتی

DIV_ADBLOCK315">

مرحله 3. ساختار اقدامات متقابل برای حفاظت از اطلاعات در سطوح اصلی زیر: اداری، رویه ای، نرم افزاری و سخت افزاری.

مرحله 4. ایجاد رویه ای برای صدور گواهینامه و اعتبار CIS برای انطباق با استانداردها در زمینه امنیت اطلاعات. تعیین فراوانی جلسات پیرامون موضوعات امنیت اطلاعات در سطح مدیریت از جمله بررسی دوره ای مفاد خط مشی امنیت اطلاعات و همچنین رویه آموزش کلیه دسته های کاربران سیستم اطلاعاتی در زمینه امنیت اطلاعات. مشخص است که توسعه خط مشی امنیتی یک سازمان کمترین مرحله رسمی است. با این حال، اخیراً تلاش بسیاری از متخصصان امنیت اطلاعات در اینجا متمرکز شده است.

مرحله 5. تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن. در این مرحله مرزهای سیستمی که رژیم امنیت اطلاعات برای آن باید تضمین شود مشخص می شود. بر این اساس، سیستم مدیریت امنیت اطلاعات دقیقاً در این مرزها ساخته شده است. شرح خود مرزهای سیستم توصیه می شود طبق طرح زیر انجام شود:

- ساختار سازمان ارائه ساختار موجود و تغییراتی که انتظار می رود در ارتباط با توسعه (مدرن سازی) یک سیستم خودکار ایجاد شود.

- منابع سیستم اطلاعاتی که باید محافظت شوند. توصیه می شود منابع یک سیستم خودکار از کلاس های زیر را در نظر بگیرید: تجهیزات الکترونیکی، داده ها، سیستم و نرم افزار کاربردی. همه منابع از دیدگاه یک سازمان دارای ارزش هستند. برای ارزیابی آنها، باید یک سیستم از معیارها و یک روش برای به دست آوردن نتایج بر اساس این معیارها انتخاب شود.

· تدوین اصولی برای طبقه بندی دارایی های اطلاعاتی شرکت و ارزیابی امنیت آنها.

· ارزیابی ریسک های اطلاعاتی و مدیریت آنها.

· آموزش کارکنان شرکت در روشهای امنیت اطلاعات، برگزاری جلسات توجیهی و نظارت بر دانش و مهارتهای عملی اجرای سیاست امنیتی توسط کارکنان شرکت.

· مشاوره مدیران شرکت در مورد مسائل مربوط به مدیریت ریسک اطلاعات.

· هماهنگی سیاست های خصوصی و مقررات امنیتی بین بخش های شرکت.

· کنترل کار کیفیت و خدمات اتوماسیون شرکت با حق بررسی و تایید گزارشات و اسناد داخلی.

· تعامل با خدمات پرسنلی شرکت برای تأیید اطلاعات شخصی کارکنان هنگام استخدام؛

· سازماندهی اقدامات برای حذف شرایط اضطراری یا اضطراری در زمینه امنیت اطلاعات در صورت وقوع.

یکپارچگی اطلاعات - وجود اطلاعات به شکل تحریف نشده (بدون تغییر در رابطه با حالت ثابت). به طور معمول، افراد علاقه مند به اطمینان از ویژگی گسترده تر هستند - قابلیت اطمینان اطلاعات، که شامل کفایت (کامل و دقت) نمایش وضعیت منطقه موضوع و یکپارچگی مستقیم اطلاعات، یعنی عدم تحریف آن است.

بین یکپارچگی استاتیک و پویا تفاوت وجود دارد. به منظور نقض یکپارچگی استاتیک، یک مهاجم می تواند: داده های نادرست را وارد کند. برای تغییر داده ها گاهی اوقات اطلاعات محتوا تغییر می کند، گاهی اوقات اطلاعات سرویس تغییر می کند. تهدیدهای یکپارچگی پویا شامل نقض اتمی تراکنش، سفارش مجدد، سرقت، تکرار داده ها، یا معرفی پیام های اضافی (بسته های شبکه و غیره) است. به این فعالیت در محیط شبکه گوش دادن فعال می گویند.

تهدیدی برای یکپارچگی نه تنها جعل یا اصلاح داده ها، بلکه امتناع از اقدامات انجام شده نیز است. اگر ابزاری برای اطمینان از "عدم انکار" وجود نداشته باشد، داده های رایانه ای نمی توانند به عنوان مدرک در نظر گرفته شوند. نه تنها داده ها، بلکه برنامه ها نیز به طور بالقوه در برابر نقض یکپارچگی آسیب پذیر هستند. تزریق بدافزار نمونه ای از چنین تخلفاتی است.

یک تهدید فوری و بسیار خطرناک، معرفی روت کیت ها (مجموعه ای از فایل های نصب شده بر روی یک سیستم با هدف تغییر عملکرد استاندارد آن به روشی مخرب و مخفیانه)، ربات ها (برنامه ای که به طور خودکار یک ماموریت خاص را انجام می دهد، گروهی از رایانه‌هایی که ربات‌های مشابه روی آنها کار می‌کنند، بات‌نت نامیده می‌شوند)، حملات مخفی (بدافزاری که به دستورات در پورت‌های TCP یا UDP خاص گوش می‌دهد) و نرم‌افزارهای جاسوسی (بدافزارهایی با هدف به خطر انداختن داده‌های محرمانه کاربر. به عنوان مثال، Back Orifice و Trojans Netbus به شما امکان می‌دهند به دست آورید. کنترل سیستم های کاربر با انواع مختلف MS -ویندوز.

تهدید محرمانگی

تهدید نقض محرمانگی این است که اطلاعات برای کسی که صلاحیت دسترسی به آن را ندارد شناخته شود. گاهی اوقات به دلیل تهدید به نقض محرمانه بودن، از اصطلاح "نشت" استفاده می شود.

محرمانه بودن اطلاعات یک مشخصه (ویژگی) اطلاعاتی است که به طور ذهنی تعیین می شود (نسبت داده شده) که نشان دهنده نیاز به ایجاد محدودیت در دایره افرادی است که به این اطلاعات دسترسی دارند و با توانایی سیستم (محیط) برای حفظ این اطلاعات تضمین می شود. راز از سوژه هایی که صلاحیت دسترسی به آن را ندارند. پیش نیازهای عینی چنین محدودیتی در دسترسی به اطلاعات برای برخی از افراد در نیاز به محافظت از منافع مشروع آنها از سایر موضوعات روابط اطلاعاتی نهفته است.

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص مربوط نمی شود؛ این اطلاعات نقش فنی را در یک سیستم اطلاعاتی ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به همه اطلاعات، از جمله اطلاعات موضوع است. یک تهدید غیر فنی خطرناک برای محرمانگی، روش‌های تأثیر اخلاقی و روانی است، مانند "بالماسکه" - انجام اقدامات تحت پوشش یک فرد دارای اختیار برای دسترسی به داده‌ها. تهدیدهای ناخوشایندی که دفاع از آنها دشوار است شامل سوء استفاده از قدرت است. در بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (رمزگذاری نشده) را بخواند و به نامه های هر کاربر دسترسی پیدا کند.

در حال حاضر، رایج ترین حملات به اصطلاح "فیشینگ" هستند. فیشینگ (ماهیگیری – ماهیگیری) نوعی کلاهبرداری اینترنتی است که هدف از آن دسترسی به اطلاعات محرمانه کاربر - لاگین و رمز عبور است. این امر با ارسال ایمیل های انبوه از طرف مارک های محبوب و همچنین پیام های شخصی در سرویس های مختلف، به عنوان مثال، از طرف بانک ها، خدمات (Rambler، Mail.ru) یا در شبکه های اجتماعی (Facebook، Vkontakte، Odnoklassniki.ru) به دست می آید. ). امروزه هدف فیشرها مشتریان بانک ها و سیستم های پرداخت الکترونیکی هستند. به عنوان مثال، در ایالات متحده که به عنوان خدمات درآمد داخلی ظاهر می شود، فیشارها داده های قابل توجهی را از مالیات دهندگان در سال 2009 جمع آوری کردند.

هدف: ارائه مدیریت و پشتیبانی در زمینه امنیت اطلاعات مطابق با الزامات تجاری و همچنین چارچوب قانونی و نظارتی فعلی. مدیریت باید یک جهت راهبردی روشن تعیین کند و با انتشار و حفظ یک خط مشی امنیت اطلاعات در سراسر سازمان، حمایت و تعهد خود را به امنیت اطلاعات نشان دهد.

خط مشی امنیت اطلاعات مهمترین سند در سیستم مدیریت امنیت اطلاعات سازمان (ISMS) است که به عنوان یکی از مکانیسم های امنیتی کلیدی عمل می کند.

بر اساس ISO 17799، یک خط مشی امنیت اطلاعات مستند باید تعهد مدیریت را بیان کند و رویکردی را برای مدیریت امنیت اطلاعات ایجاد کند، مفهوم امنیت اطلاعات، اهداف و دامنه اصلی آن را تعریف کند، شامل مقررات اصلی برای تعریف اهداف و مکانیسم های کنترلی از جمله چارچوب باشد. برای ارزیابی و مدیریت ریسک و موارد دیگر.

بر اساس ISO 27001، خط مشی امنیت اطلاعات زیرمجموعه ای از یک سند کلی تر است - خط مشی ISMS، که شامل مقررات اصلی برای تعریف اهداف ISMS و ایجاد جهت و اصول کلی فعالیت در رابطه با امنیت اطلاعات است. الزامات تجاری، چارچوب های قانونی یا نظارتی، تعهدات قراردادی، تعیین معیارهای ارزیابی ریسک و غیره را در نظر بگیرید.

خط مشی امنیت اطلاعات و خط مشی ISMS سازمان را می توان در یک سند شرح داد. تدوین چنین سندی کار آسان و بسیار مسئولانه ای نیست. از یک سو، خط مشی امنیت اطلاعات باید برای همه کارکنان سازمان به اندازه کافی جامع و قابل درک باشد. از سوی دیگر، کل سیستم اقدامات برای تضمین امنیت اطلاعات بر اساس این سند ساخته شده است، بنابراین باید کاملاً کامل و جامع باشد. هر گونه حذف و ابهام می تواند عملکرد ISMS سازمان را به طور جدی تحت تاثیر قرار دهد. خط مشی امنیت اطلاعات باید به طور کامل با الزامات استانداردهای بین المللی ISO 27001/17799 مطابقت داشته باشد. این یک پیش نیاز برای صدور گواهینامه موفق است.

BS ISO/IEC 27001:2005 4.2.1 ب) خط مشی ISMS:

یک خط مشی ISMS را با توجه به ویژگی های کسب و کار، سازمان، مکان، منابع و فناوری آن تعریف کنید که:

شامل مبنایی برای تعریف اهداف خود و تعیین جهت و اصول کلی فعالیت در رابطه با امنیت اطلاعات.

الزامات تجاری و قانونی یا نظارتی و همچنین تعهدات امنیتی قراردادی را در نظر می گیرد.

ادغام با زمینه استراتژیک مدیریت ریسک در سازمان، که در آن ایجاد و نگهداری ISMS صورت خواهد گرفت.

معیارهایی را برای ارزیابی ریسک تعیین می کند (به 4.2.1c مراجعه کنید). و

تایید شده توسط مدیریت

توجه: این استاندارد بین المللی خط مشی ISMS را مجموعه ای از خط مشی امنیت اطلاعات می داند. این سیاست ها را می توان در یک سند توصیف کرد.

BS ISO/IEC 17799:2005 5.1.1 سیاست امنیت اطلاعات مستند:

مکانیزم کنترل

یک خط مشی امنیت اطلاعات مستند باید توسط مدیریت تأیید شود، منتشر شود و به همه کارکنان سازمان و طرف های خارجی که برای آنها اعمال می شود ابلاغ شود.

راهنمای پیاده سازی

یک خط مشی امنیت اطلاعات مستند باید تعهد مدیریت را بیان کند و رویکرد سازمان را برای مدیریت امنیت اطلاعات ایجاد کند. خط مشی مستند باید حاوی عبارات زیر باشد:

تعریف مفهوم امنیت اطلاعات، اهداف اصلی آن، دامنه و اهمیت امنیت به عنوان مکانیزمی که امکان اشتراک گذاری اطلاعات را فراهم می کند (به مقدمه مراجعه کنید).

بیانیه قصد مدیریت برای حمایت از دستیابی به اهداف و اصول امنیت اطلاعات مطابق با اهداف و استراتژی تجاری؛

دستورالعمل‌هایی برای تعریف اهداف و مکانیسم‌های کنترل، از جمله ارزیابی ریسک و چارچوب مدیریت؛

توضیح مختصری درباره سیاست‌ها، استانداردها، اصول و الزامات امنیتی که برای سازمان اهمیت ویژه‌ای دارند، از جمله:

رعایت الزامات قانونی، مقرراتی و قراردادی؛

آگاهی امنیتی، الزامات آموزشی و آموزشی؛

مدیریت تداوم کسب و کار؛

پیامدهای نقض خط مشی امنیت اطلاعات؛

تعریف مسئولیت های مشترک و فردی برای مدیریت امنیت اطلاعات، از جمله گزارش حوادث امنیتی؛

پیوندهایی به اسنادی که ممکن است از خط مشی پشتیبانی کنند، مانند سیاست‌ها و رویه‌های امنیتی دقیق‌تر برای سیستم‌های اطلاعاتی فردی یا قوانین امنیتی که کاربران باید از آنها پیروی کنند.

این خط مشی امنیت اطلاعات باید به همه کاربران سازمان به شکلی ابلاغ شود که برای خوانندگانی که برای آنها در نظر گرفته شده، مرتبط، قابل دسترس و قابل درک باشد.

اطلاعات دیگر

خط مشی امنیت اطلاعات باید بخشی از یک سیاست مستند کلی تر باشد. اگر خط مشی امنیت اطلاعات فراتر از مرزهای سازمانی گسترش یابد، باید اقداماتی برای جلوگیری از افشای اطلاعات محرمانه انجام شود. اطلاعات بیشتر در ISO/IEC 13335-1:2004 ارائه شده است.

زیر خط مشی امنیتیسازمان ها مجموعه ای از تصمیمات مدیریتی مستند را با هدف حفاظت از اطلاعات و منابع مرتبط درک می کنند. سیاست امنیتی ابزاری است که به وسیله آن فعالیت ها در سیستم اطلاعات کامپیوتری سازمان پیاده سازی می شود. به طور کلی، سیاست های امنیتی توسط محیط محاسباتی مورد استفاده تعیین می شود و نیازهای خاص سازمان را منعکس می کند.

به طور معمول، یک سیستم اطلاعات شرکتی مجموعه ای پیچیده از سخت افزار و نرم افزار ناهمگن، گاهی اوقات با هماهنگی ضعیف است: رایانه ها، سیستم عامل ها، ابزارهای شبکه، DBMS و برنامه های کاربردی مختلف. همه این اجزا معمولاً محافظ های مخصوص به خود را دارند که باید با یکدیگر هماهنگ شوند. بنابراین، یک سیاست امنیتی موثر به عنوان یک پلت فرم ثابت برای تضمین امنیت یک سیستم سازمانی بسیار مهم است. همانطور که یک سیستم کامپیوتری رشد می کند و در شبکه جهانی ادغام می شود، لازم است اطمینان حاصل شود که هیچ نقطه ضعفی در سیستم وجود ندارد، زیرا تمام تلاش ها برای محافظت از اطلاعات می تواند تنها با یک اشتباه بی ارزش شود.

سیاست‌های امنیتی را می‌توان برای تعریف اینکه چه کسی به دارایی‌ها و برنامه‌های کاربردی خاص دسترسی دارد، افراد خاص چه نقش‌ها و مسئولیت‌هایی خواهند داشت و رویه‌های امنیتی که به وضوح نحوه انجام وظایف امنیتی خاص را دیکته می‌کنند، ساخته شوند. ویژگی های فردی کار یک کارمند ممکن است مستلزم دسترسی به اطلاعاتی باشد که نباید در دسترس سایر کارمندان باشد. به عنوان مثال، یک مدیر منابع انسانی ممکن است به اطلاعات خصوصی هر کارمند دسترسی داشته باشد، در حالی که یک متخصص حسابداری ممکن است فقط به داده های مالی آن کارمندان دسترسی داشته باشد. و یک کارمند معمولی فقط به اطلاعات شخصی خود دسترسی خواهد داشت.

خط مشی امنیتی، موقعیت سازمان را در مورد استفاده منطقی از رایانه ها و شبکه ها و همچنین رویه هایی برای پیشگیری و واکنش به حوادث امنیتی تعریف می کند. یک سیستم سازمانی بزرگ ممکن است طیف گسترده ای از سیاست های مختلف، از سیاست های تجاری گرفته تا قوانین خاص برای دسترسی به مجموعه داده ها را داشته باشد. این سیاست ها به طور کامل توسط نیازهای خاص سازمان تعیین می شود.

مفاهیم اساسیسیاست های امنیتی

خط مشی امنیتی استراتژی مدیریت در حوزه امنیت اطلاعات و همچنین میزان توجه و میزان منابعی را که مدیریت برای تخصیص مناسب می داند تعیین می کند.

خط مشی امنیتی مبتنی بر تجزیه و تحلیل ریسک هایی است که برای سیستم اطلاعاتی سازمان واقعی شناخته می شوند. هنگامی که تجزیه و تحلیل ریسک انجام شد و استراتژی حفاظتی تعیین شد، برنامه ای تهیه می شود که اجرای آن باید امنیت اطلاعات را تضمین کند. منابع برای این برنامه تخصیص داده می شود، افراد مسئول تعیین می شوند، نحوه نظارت بر اجرای برنامه تعیین می شود و غیره.

برای آشنایی با مفاهیم اساسی سیاست‌های امنیتی، اجازه دهید به عنوان یک مثال خاص، یک شبکه محلی فرضی متعلق به یک سازمان خاص و سیاست امنیتی مرتبط را در نظر بگیریم.

خط مشی امنیتی یک سازمان باید به عنوان یک سند خط مشی مختصر، به راحتی قابل درک و سطح بالا که توسط تعدادی از اسناد خاص تر از سیاست ها و رویه های امنیتی تخصصی پشتیبانی می شود، ساختار یافته باشد.

خط مشی امنیتی سطح بالا باید به طور دوره ای بازنگری شود تا اطمینان حاصل شود که نیازهای فعلی سازمان را برآورده می کند. این سند به گونه ای نوشته شده است که خط مشی نسبتاً مستقل از فناوری های خاص باشد. در این صورت، این سند خط مشی نیازی به تغییر زیاد نخواهد داشت.

یک خط مشی امنیتی معمولاً در قالب یک سند تنظیم می شود که شامل بخش هایی مانند شرح مشکل، محدوده، موقعیت سازمان، توزیع نقش ها و مسئولیت ها، تحریم ها و غیره است.

شرح مشکل.اطلاعات در حال گردش در داخل شبکه محلی بسیار مهم است. یک شبکه محلی به کاربران اجازه می دهد تا برنامه ها و داده ها را به اشتراک بگذارند، که خطرات امنیتی را افزایش می دهد. بنابراین، هر یک از رایانه های موجود در شبکه نیاز به حفاظت قوی تری دارند. این اقدامات امنیتی افزایش یافته موضوع این سند است. این سند دارای اهداف زیر است: نشان دادن اهمیت حفاظت از محیط شبکه به کارکنان سازمان، توصیف نقش آنها در تضمین امنیت، و تعیین مسئولیت های خاص برای حفاظت از اطلاعات در حال گردش در شبکه.

منطقه برنامهدامنه این خط مشی شامل کلیه سخت افزارها، نرم افزارها و منابع اطلاعاتی موجود در شبکه محلی شرکت می باشد. این خط مشی همچنین به افرادی که با شبکه کار می کنند، از جمله کاربران، پیمانکاران فرعی و تامین کنندگان، خطاب می شود.

موقعیت سازمان.هدف سازمان اطمینان از یکپارچگی، در دسترس بودن و محرمانه بودن داده ها و همچنین کامل بودن و مرتبط بودن آن است. اهداف خاص تر عبارتند از:

تضمین سطح امنیتی که با اسناد نظارتی مطابقت دارد.

پایبندی به امکان اقتصادی در انتخاب اقدامات حفاظتی (هزینه های حفاظتی نباید از آسیب مورد انتظار ناشی از نقض امنیت اطلاعات تجاوز کند).

تضمین امنیت در هر منطقه عملکردی شبکه محلی؛

اطمینان از مسئولیت پذیری برای تمام تعاملات کاربر با اطلاعات و منابع؛

ارائه تجزیه و تحلیل اطلاعات ثبت نام؛

ارائه اطلاعات کافی به کاربران برای حفظ آگاهانه امنیت؛

توسعه برنامه های بازیابی پس از بلایا و سایر شرایط بحرانی برای همه مناطق عملکردی به منظور اطمینان از تداوم عملیات شبکه.

حصول اطمینان از انطباق با قوانین موجود و سیاست های امنیتی در سطح سازمان.

توزیع نقش ها و مسئولیت ها.مسئولین مربوطه و کاربران شبکه مسئول اجرای اهداف فوق می باشند.

روسای ادارات مسئول انتقال مفاد سیاست امنیتی به کاربران و تماس با آنها هستند.

عملکرد مستمر شبکه را تضمین کرده و مسئولیت اجرای اقدامات فنی لازم برای اجرای سیاست امنیتی را بر عهده دارند.

مدیران خدمات مسئول خدمات خاص و به ویژه حصول اطمینان از اینکه حفاظت مطابق با خط مشی امنیتی عمومی ساخته شده است.

کاربران موظفند مطابق با خط مشی امنیتی با شبکه محلی کار کنند، از دستورات افراد مسئول برخی از جنبه های امنیتی اطاعت کنند و مدیریت را از تمام موقعیت های مشکوک مطلع کنند.

جزئیات بیشتر در مورد نقش ها و مسئولیت های مسئولان و کاربران شبکه در زیر ارائه شده است.

تحریم ها.نقض خط مشی امنیتی می تواند شبکه محلی و اطلاعات در حال گردش روی آن را در معرض خطر غیرقابل قبولی قرار دهد. حوادث نقض ایمنی توسط پرسنل باید به سرعت توسط مدیریت برای اقدامات انضباطی، تا و از جمله خاتمه بررسی شود.

اطلاعات تکمیلی.تیم‌های خاص ممکن است نیاز به بررسی اسناد اضافی، مانند سیاست‌ها و رویه‌های امنیتی تخصصی و سایر راهنمایی‌ها داشته باشند. نیاز به اسناد سیاست امنیتی اضافی تا حد زیادی به اندازه و پیچیدگی سازمان بستگی دارد. یک سازمان به اندازه کافی بزرگ ممکن است علاوه بر خط مشی اساسی، به سیاست های امنیتی تخصصی نیز نیاز داشته باشد. سازمان های کوچکتر فقط به زیرمجموعه ای از سیاست های تخصصی نیاز دارند. بسیاری از این اسناد پشتیبانی می توانند بسیار کوتاه باشند - یک یا دو صفحه.

از منظر عملی، سیاست های امنیتی را می توان به سه سطح بالا، میانی و پایین تقسیم کرد.

سطح بالاسیاست های امنیتی تصمیماتی را تعریف می کنند که بر کل سازمان تأثیر می گذارد. این تصمیمات ماهیتی بسیار کلی دارند و معمولاً از مدیریت سازمان می آیند.

چنین راه حل هایی ممکن است شامل عناصر زیر باشد:

تدوین اهدافی که سازمان در زمینه امنیت اطلاعات دنبال می کند، تعیین مسیرهای کلی در دستیابی به این اهداف.

تشکیل یا بازنگری یک برنامه جامع امنیت اطلاعات، شناسایی افراد مسئول برای ترویج برنامه؛

فراهم کردن بستر مادی برای انطباق با قوانین و مقررات؛

تدوین تصمیمات مدیریتی در مورد اجرای برنامه امنیتی که باید در سطح کل سازمان در نظر گرفته شود.

سیاست امنیتی سطح بالااهداف امنیت اطلاعات سازمان را از نظر یکپارچگی، در دسترس بودن و محرمانه بودن بیان می کند. اگر سازمانی مسئول نگهداری پایگاه های اطلاعاتی حیاتی باشد، تمامیت داده ها. برای سازمانی که درگیر فروش است، ارتباط اطلاعات در مورد خدمات ارائه شده و قیمت ها و همچنین آن دسترسی حداکثر تعداد خریداران بالقوه سازمان رژیم در درجه اول مراقبت خواهد کرد حریم خصوصی اطلاعات، یعنی محافظت از آن در برابر دسترسی غیرمجاز.

بر سطح بالامدیریت منابع امنیتی و هماهنگی استفاده از این منابع، تخصیص پرسنل ویژه برای حفاظت از سیستم های حیاتی و حفظ ارتباط با سایر سازمان های تامین کننده یا کنترل رژیم امنیتی انجام می شود.

سیاست سطح بالاباید به وضوح حوزه نفوذ خود را مشخص کند. این می‌تواند شامل تمام سیستم‌های رایانه‌ای سازمان باشد، یا حتی اگر این خط‌مشی جنبه‌هایی از نحوه استفاده کارکنان از رایانه‌های خانگی خود را تنظیم کند. همچنین ممکن است حوزه نفوذ فقط مهم ترین سیستم ها را شامل شود.

این خط‌مشی باید مسئولیت‌های مسئولان را برای توسعه برنامه ایمنی و اجرای آن مشخص کند، یعنی این خط‌مشی می‌تواند مبنایی برای پاسخگویی کارکنان باشد.

سیاست در سطح بالا با سه جنبه قانون‌مداری و انضباط اجرایی سروکار دارد. ابتدا سازمان باید قوانین موجود را رعایت کند. ثانیا، اقدامات کسانی که مسئول توسعه برنامه ایمنی هستند باید نظارت شود. ثالثاً، اطمینان از انضباط عملکرد پرسنل از طریق سیستم پاداش و تنبیه ضروری است.

سطح متوسطخط مشی امنیتی حل و فصل مسائل مربوط به جنبه های خاصی از امنیت اطلاعات را تعریف می کند، اما برای سیستم های مختلف که توسط سازمان اداره می شود مهم است.

نمونه هایی از این مسائل عبارتند از نگرش نسبت به دسترسی به اینترنت (مشکل ترکیب آزادی دریافت اطلاعات با محافظت در برابر تهدیدات خارجی)، استفاده از رایانه های خانگی و غیره.

خط مشی امنیتی سطح متوسط ​​باید موارد زیر را برای هر جنبه از امنیت اطلاعات تعریف کند:

شرح جنبه- موقعیت سازمان را می توان به شکل نسبتاً کلی به عنوان مجموعه ای از اهدافی که سازمان از این جنبه دنبال می کند، تدوین کرد.

منطقه کاربردی- باید مشخص شود که این سیاست امنیتی در کجا، چه زمانی، چگونه، برای چه کسی و چه چیزی اعمال می شود.

نقش ها و مسئولیت ها- سند باید حاوی اطلاعاتی در مورد مقامات مسئول اجرای سیاست امنیتی باشد.

تحریم ها -خط مشی باید شامل توصیف کلی از اعمال ممنوعه و مجازات آنها باشد.

نقاط تماس- باید مشخص باشد که برای توضیح، کمک و اطلاعات اضافی به کجا مراجعه کنید. به طور معمول "نقطه تماس" رسمی است.

سطح پایین ترسیاست های امنیتی برای سرویس های خاص اعمال می شود. این سیاست شامل دو جنبه است: اهداف و قوانین دستیابی به آنها، بنابراین گاهی اوقات جدا کردن آن از مسائل اجرایی دشوار است. برخلاف دو سطح بالا، سیاست مورد نظر باید جزئیات بیشتری داشته باشد.

در اینجا چند نمونه از سوالاتی وجود دارد که هنگام پیروی از یک خط مشی امنیتی سطح پایین باید به آنها پاسخ داده شود:

چه کسی حق دسترسی به اشیاء پشتیبانی شده توسط سرویس را دارد.

دسترسی از راه دور به سرویس چگونه سازماندهی می شود؟

سیاست امنیتی سطح پایینممکن است بر اساس یکپارچگی، در دسترس بودن و ملاحظات محرمانگی باشد، اما نباید به همین جا ختم شود. به طور کلی، اهداف باید اشیاء خدماتی و اقدامات معنادار را با آنها مرتبط کنند.

از اهداف، قوانین امنیتی استخراج می شود که توصیف می کند چه کسی می تواند چه کاری و تحت چه شرایطی انجام دهد. هرچه قوانین دقیق تر، واضح تر و رسمی تر بیان شوند، پشتیبانی از اجرای آنها با اقدامات نرم افزاری و سخت افزاری آسان تر است. به طور معمول، حقوق دسترسی به اشیا به طور رسمی مشخص می شود.

ما شرح مفصل تری از مسئولیت های هر دسته از پرسنل ارائه می دهیم.

روسای ادارات مسئول انتقال مفاد سیاست امنیتی به کاربران هستند. موظفند:

مسائل ایمنی را همیشه زیر نظر داشته باشید. اطمینان حاصل کنید که زیردستان آنها نیز همین کار را می کنند.

انجام تجزیه و تحلیل ریسک، شناسایی دارایی هایی که نیاز به حفاظت و آسیب پذیری سیستم دارند، ارزیابی میزان آسیب احتمالی ناشی از نقض امنیت و انتخاب ابزارهای حفاظتی موثر؛

سازماندهی آموزش کارکنان در مورد اقدامات ایمنی. توجه ویژه به مسائل مربوط به کنترل آنتی ویروس؛

به مدیران شبکه محلی و مدیران خدمات در مورد تغییرات در وضعیت هر یک از افراد زیردست (انتقال به شغل دیگر، اخراج و غیره) اطلاع دهید.

اطمینان حاصل کنید که هر رایانه در بخش خود دارای یک مالک یا مدیر سیستم مسئول امنیت و واجد شرایط کافی برای انجام این نقش است.

مدیران شبکه های محلی عملکرد مستمر شبکه را تضمین کرده و مسئولیت اجرای اقدامات فنی لازم برای اجرای سیاست امنیتی را بر عهده دارند. موظفند:

اطمینان از حفاظت از تجهیزات شبکه محلی، از جمله رابط با سایر شبکه ها؛

به وقایع تهدیدآمیز سریع و موثر پاسخ دهید. به مدیران سرویس در مورد تلاش برای نقض امنیت اطلاع دهید.

از ابزارهای اثبات شده برای ممیزی و شناسایی موقعیت های مشکوک استفاده کنید. تجزیه و تحلیل روزانه اطلاعات ثبت نام مربوط به شبکه به طور کلی و سرورهای فایل به طور خاص.

از قدرت های بزرگ خود سوء استفاده نکنید کاربران حق حفظ حریم خصوصی دارند.

برای محافظت از شبکه محلی در برابر نرم افزارهای مخرب، رویه ها را توسعه دهید و دستورالعمل ها را آماده کنید. ارائه کمک در شناسایی و حذف کدهای مخرب؛

به طور منظم از اطلاعات ذخیره شده در سرورهای فایل نسخه پشتیبان تهیه کنید.

انجام کلیه تغییرات در پیکربندی سخت افزار و نرم افزار شبکه؛

فرآیند شناسایی و احراز هویت اجباری را برای دسترسی به منابع شبکه تضمین می کند. فقط پس از تکمیل فرم های ثبت نام، نام های ورود و رمزهای عبور اولیه را به کاربران ارائه دهید.

به طور دوره ای قابلیت اطمینان حفاظت شبکه محلی را بررسی کنید. از کسب امتیازات توسط کاربران غیرمجاز جلوگیری کنید.

مدیران خدمات مسئول خدمات خاص و به ویژه حصول اطمینان از اینکه حفاظت مطابق با خط مشی امنیتی عمومی ساخته شده است. موظفند:

مدیریت حقوق دسترسی کاربر به اشیاء سرویس شده؛

به وقایع تهدیدآمیز سریع و موثر پاسخ دهید. ارائه کمک در دفع تهدید، شناسایی متخلفان و ارائه اطلاعات برای مجازات آنها.

به طور منظم از اطلاعات پردازش شده توسط سرویس پشتیبان تهیه کنید.

اختصاص نام های ورود و رمزهای عبور اولیه به کاربران تنها پس از پر کردن فرم های ثبت نام.

تجزیه و تحلیل اطلاعات ثبت نام مربوط به سرویس به صورت روزانه. به طور منظم سرویس را برای نرم افزارهای مخرب نظارت کنید.

به طور دوره ای قابلیت اطمینان حفاظت از خدمات را بررسی کنید. از کسب امتیازات توسط کاربران غیرمجاز جلوگیری کنید.

کاربران موظفند مطابق با خط مشی امنیتی با شبکه محلی کار کنند، از دستورات افراد مسئول برخی از جنبه های امنیتی اطاعت کنند و مدیریت را از تمام موقعیت های مشکوک مطلع کنند. موظفند:

قوانین، قوانین مصوب در این سازمان، سیاست های امنیتی، رویه های امنیتی را بشناسید و رعایت کنید. از مکانیسم های امنیتی موجود برای اطمینان از محرمانه بودن و یکپارچگی اطلاعات خود استفاده کنید.

از مکانیزم حفاظت از فایل استفاده کنید و حقوق دسترسی را به درستی تنظیم کنید.

رمزهای عبور با کیفیت بالا را انتخاب کنید و مرتباً آنها را تغییر دهید. رمزهای عبور را روی کاغذ یادداشت نکنید یا آنها را برای دیگران فاش نکنید.

به مدیران یا مدیریت در مورد نقض امنیتی و سایر موقعیت های مشکوک اطلاع دهید.

از نقاط ضعف در حفاظت از خدمات و شبکه محلی به عنوان یک کل استفاده نکنید. کار غیر مجاز با داده ها انجام ندهید، با سایر کاربران تداخل نکنید.

همیشه اطلاعات شناسایی و احراز هویت صحیح را ارائه دهید و سعی نکنید از طرف سایر کاربران اقدام کنید.

از پشتیبان گیری اطلاعات از هارد دیسک رایانه خود اطمینان حاصل کنید.

بدانید بدافزار چگونه کار می کند، چگونه نفوذ می کند و چگونه منتشر می شود. شناخت و پیروی از روش های جلوگیری از نفوذ کد مخرب، شناسایی و تخریب آن؛

قوانین رفتار در شرایط اضطراری، توالی اقدامات را هنگام از بین بردن عواقب تصادفات بدانید و دنبال کنید.

اقدامات مدیریتی برای تضمین امنیت اطلاعاتهدف اصلی اقدامات انجام شده در سطح مدیریت، تدوین برنامه کاری در زمینه امنیت اطلاعات و تضمین اجرای آن با تخصیص منابع لازم و نظارت منظم بر وضعیت امور است. اساس این برنامه یک سیاست امنیتی چند سطحی است که منعکس کننده رویکرد جامع سازمان برای حفاظت از منابع و دارایی های اطلاعاتی آن است.

خط مشی امنیت اطلاعات مجموعه ای از قوانین، اقدامات، قوانین، الزامات، محدودیت ها، دستورالعمل ها، مقررات، توصیه ها و غیره است که روند پردازش اطلاعات را تنظیم می کند و با هدف محافظت از اطلاعات در برابر انواع خاصی از تهدیدات انجام می شود.

خط مشی امنیت اطلاعات یک سند اساسی برای تضمین کل چرخه امنیت اطلاعات در شرکت است. بنابراین مدیریت ارشد شرکت باید علاقه مند به دانش و رعایت دقیق نکات اصلی آن توسط کلیه پرسنل شرکت باشد. کلیه کارکنان بخش های مسئول رژیم امنیت اطلاعات شرکت باید با خط مشی امنیت اطلاعات در برابر امضا آشنا باشند. پس از همه، آنها مسئول بررسی انطباق با الزامات خط مشی امنیت اطلاعات و آگاهی از نکات اصلی آن توسط پرسنل شرکت در ارتباط با آنها خواهند بود. روند انجام چنین بازرسی ها، مسئولیت های مقاماتی که چنین بازرسی ها را انجام می دهند و برنامه بازرسی نیز باید تدوین شود.

یک خط مشی امنیت اطلاعات می تواند هم برای یک جزء جداگانه از یک سیستم اطلاعاتی و هم برای سیستم اطلاعاتی به عنوان یک کل توسعه یابد. خط مشی امنیت اطلاعات باید ویژگی های زیر را در سیستم اطلاعات در نظر بگیرد: فناوری پردازش اطلاعات، محیط محاسباتی، محیط فیزیکی، محیط کاربر، قوانین کنترل دسترسی و غیره.

خط مشی امنیت اطلاعات باید استفاده همه جانبه از استانداردهای قانونی، اخلاقی و اخلاقی، اقدامات سازمانی و فنی، نرم افزار، سخت افزار و ابزارهای نرم افزاری-سخت افزاری امنیت اطلاعات و همچنین تعیین قوانین و رویه استفاده از آنها را تضمین کند. خط مشی امنیت اطلاعات باید بر اساس اصول زیر باشد: تداوم حفاظت، کافی بودن اقدامات و وسایل حفاظتی، انطباق آنها با احتمال تهدید، مقرون به صرفه بودن، انعطاف پذیری ساختار، سهولت مدیریت و استفاده و غیره.

سیاست امنیتی مجموعه ای از اقدامات پیشگیرانه برای محافظت از داده های محرمانه و فرآیندهای اطلاعاتی در یک شرکت است. سیاست امنیتی شامل الزامات برای پرسنل، مدیران و خدمات فنی است. مسیرهای اصلی برای توسعه سیاست امنیتی:

• تعیین اینکه چه داده هایی و چگونه به طور جدی باید محافظت شوند،
• تعیین اینکه چه کسی و چه آسیبی می تواند در جنبه اطلاعاتی به شرکت وارد کند،
• محاسبه ریسک ها و تعیین طرحی برای کاهش آنها به مقدار قابل قبول.

دو سیستم برای ارزیابی وضعیت فعلی در زمینه امنیت اطلاعات در یک شرکت وجود دارد. آنها نام‌های مجازی «تحقیق از پایین به بالا» و «تحقیق از بالا به پایین» را دریافت کردند. روش اول بسیار ساده است، به سرمایه گذاری بسیار کمتری نیاز دارد، اما همچنین دارای قابلیت های کمتری است. این بر اساس این طرح معروف است: "شما یک مهاجم هستید. اقدامات شما چیست؟" یعنی سرویس امنیت اطلاعات، بر اساس داده های مربوط به انواع حملات شناخته شده، سعی می کند آنها را در عمل اعمال کند تا بررسی کند که آیا چنین حمله ای از سوی یک مهاجم واقعی امکان پذیر است یا خیر.

روش از بالا به پایین، برعکس، تجزیه و تحلیل دقیق کل طرح موجود برای ذخیره و پردازش اطلاعات است. اولین گام در این روش، مثل همیشه، تعیین این است که کدام اشیا و جریان های اطلاعاتی باید محافظت شوند. آنچه در زیر می آید مطالعه وضعیت فعلی سیستم امنیت اطلاعات است تا مشخص شود کدام یک از تکنیک های کلاسیک حفاظت از اطلاعات قبلاً، تا چه حد و در چه سطحی اجرا شده است. در مرحله سوم، تمام اشیاء اطلاعاتی مطابق با الزامات محرمانه بودن، در دسترس بودن و یکپارچگی (تغییرناپذیری) به کلاس‌هایی طبقه‌بندی می‌شوند.

به دنبال آن مشخص می شود که افشا یا حمله دیگری به هر شیء اطلاعاتی خاص چه آسیب جدی می تواند به شرکت وارد کند. این مرحله "محاسبه ریسک" نامیده می شود. در اولین تقریب، ریسک محصول «خسارت احتمالی ناشی از حمله» و «احتمال چنین حمله‌ای» است.

خط‌مشی امنیت اطلاعات باید حاوی بندهایی باشد که حاوی اطلاعات بخش‌های زیر باشد:

• 
  مفهوم امنیت اطلاعات؛
• شناسایی اجزا و منابع سیستم اطلاعاتی که می توانند به منابع نقض امنیت اطلاعات تبدیل شوند و سطح بحرانی آنها.
• مقایسه تهدیدها با اشیاء حفاظتی؛
• ارزیابی ریسک؛
• ارزیابی میزان خسارات احتمالی مرتبط با اجرای تهدیدات؛
• برآورد هزینه های ساخت یک سیستم امنیت اطلاعات؛
• تعیین الزامات برای روش ها و ابزارهای تضمین امنیت اطلاعات؛
• انتخاب راه حل های اساسی امنیت اطلاعات؛
• سازماندهی کار بازسازی و اطمینان از عملکرد مداوم سیستم اطلاعاتی؛
• قوانین کنترل دسترسی

خط مشی امنیت اطلاعات یک شرکت برای تضمین امنیت سازمانی جامع بسیار مهم است. می توان آن را در سخت افزار و نرم افزار با استفاده از راه حل های DLP پیاده سازی کرد.

انتشارات در مورد موضوع

29 آوریل 2014 بسیاری از شرکت ها برای کارمندانی که اغلب در سفرهای کاری سفر می کنند، ابزارهای موبایل را با هزینه شخصی خود خریداری می کنند. در این شرایط، سرویس فناوری اطلاعات نیاز فوری به کنترل دستگاه هایی دارد که به داده های شرکت دسترسی دارند، اما خارج از محیط شبکه شرکت قرار دارند.