فایل ورد کامل مقاله فرآیندهای امنیت اطلاعات؛ تحلیل علمی تهدیدات، راهکارها و نقش آن در حفاظت داده‌های دیجیتال

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

 فایل ورد کامل مقاله فرآیندهای امنیت اطلاعات؛ تحلیل علمی تهدیدات، راهکارها و نقش آن در حفاظت داده‌های دیجیتال دارای ۴۵ صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد فایل ورد کامل مقاله فرآیندهای امنیت اطلاعات؛ تحلیل علمی تهدیدات، راهکارها و نقش آن در حفاظت داده‌های دیجیتال  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

توجه : در صورت  مشاهده  بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل ورد می باشد و در فایل اصلی فایل ورد کامل مقاله فرآیندهای امنیت اطلاعات؛ تحلیل علمی تهدیدات، راهکارها و نقش آن در حفاظت داده‌های دیجیتال،به هیچ وجه بهم ریختگی وجود ندارد

---

بخشی از متن فایل ورد کامل مقاله فرآیندهای امنیت اطلاعات؛ تحلیل علمی تهدیدات، راهکارها و نقش آن در حفاظت داده‌های دیجیتال :

روش شناسی معیار خطر
ظاهرا در زمان سنجش خطر میزان پرسش‌ها بسیار بیش از پاسخ‌هاست. اگر بتوان این خطرها را بر حسب ارزش مالی تعیین کرد این فرآیند بسیار ساده تر خواهد بود. اما واقعیت چیز دیگری و اینکار عملا ممکن نیست. بنابراین باید از اطلاعات موجود در جهت سنجش خطر بهره جست. برای هر خطر خلاصه ای از بهترین ، بدترین و محکمترین وضعیت تهیه کنید. سپس برای هر معیار خطر (پول،زمان،منابع،شهرت و زیان تجاری) میزان آسیب هر وضعیت را مشخص کنید. شرح کار خود را بر اساس این معیارها تنظیم کنید.
بهترین وضعیت:‌ سازمان بلافاصله متوجه نفوذ می‌شود. مشکل سریعا برطرف می‌شود و اطلاعات در بیرون سازمان درز می‌کند. کل خسارت ناچیز است.
بدترین وضعیت:‌ یکی از مشتریان متوجه نفوذ می‌شود و این قضیه را به اطلاع سازمان می‌رساند. مشکل بلافاصله برطرف نمی‌شود. اطلاعات مربوط به این نفوذ در اختیار رسانه‌ها قرار گرفته و در مطبوعات چاپ می‌شود. هزینه کل خسارت بالاست.

محتمل ترین وضعیت:‌ نفوذ بعد از مدتی تشخیص داده می‌شود. برخی اطلاعات مربوط به این حادثه به مشتریان درز می‌کند نه کل آن لذا سازمان قادر به کنترل بخش اعظم اطلاعات است. میزان کل خسارت متوسط است.
ویژگی‌های محتمل ترین وضعیت را می‌توان بر اساس شرایط/ امنیتی حقیقتی حاکم بر سازمان تعیین نمود. در برخی موارد محتمل ترین وضعیت بدترین وضعیت است.
اکنون برای هر خطر معین نتایج احتمالی هر معیار خطر را مشخص نمائید. پرسش‌های زیر را بپرسید:
– هزینه یک نفوذ موفق چقدر است؟ زمان گفتگو و ردیابی کارکنان، زمان مشاوره و هزینه تجهیزات جدید
– اصلاح یک نفوذ موفق چقدر زمان می‌برد؟ آیا یک نفوذ موفق بر محصول جدید یا برنامه‌های تولید موجود تاثیر می‌گذارد؟

– این حادثه چه تاثیری نام و شهرت سازمان دارد؟
– آیا یک نفوذ موفق باعث شکست تجاری می‌شود؟ اگر بله، چه مقدار و به چه صورت؟
زمانی که به هر سوال پاسخ میدهید جدولی بکشید که نتایج احتمالی هر خطر را نشان دهد. سپس می‌توانید از این اطلاعات برای گسترش روش‌های مناسب مدیریت خطر استفاده کنید.

درس ۷ فرآیند امنیتی اطلاعات
ایمنی اطلاعات یک فرآیند پویشگرا در مدیریت خطر است. بر خلاف یک الگوی واکنشی که در آن سازمان قبل از اقدام برای محافظت از منابع اطلاعاتی حادثه ای را تجربه می‌کند، مدل پویشگرا قبل از بروز تخلف اقدام می‌کند. در مدل واکنش میزان کل هزینه مربوط به امور امنیتی نامشخص است.

کل هزینه ایمنی= هزینه حادثه+ هزینه چاره جوئی
متاسفانه هزینه حادثه تا زمان وقوع آن نامشخص است. از آنجائیکه سازمان قبل از بروز حادثه هیچ اقدا می‌نکرده است ن می‌توان هزینه بروز احتمالی حادثه را تخمین زد. لذا مادامیکه حادثه ای بروز نکرده میزان ریسک سازمان نامشخص است.

خوشبختانه، سازمان‌ها می‌توانند هزینه امنیت اطلاعات را کاهش دهند. برنامه ریزی مناسب ومدیریت خطر هزینه بروز یک حادثه را اگر از بین نبرد به میزان قابل ملاحظه ای کاهش می‌دهد. چنانچه سازمان بیش از بروز حادثه اقدامات لازم را انجام داده و از بروز حادثه ممانعت به عمل آورده باشد هزینه آن چنین برآورد می‌شود.
هزینه امنیت اطلاعات= هزینه چاره جوئی
توجه داشته باشید که:
هزینه حادثه + هزینه چاره جوئی << هزینه چاره جوئی است.

انجام اقدام مناسب پیش از بروز یک روش پویشگر در امنیت اطلاعات است. در این روش سازمان نقاط ضعف خود را مشخص می‌کند و میزان خطری را که سازمان در زمان بروز حادثه با آن مواجه خواهد شد را مشخص می‌کند.اکنون سازمان می‌تواند راه حل‌های مقرون به صرفه را برگزیند. این نخستین قدم در فرآیند امنیت اطلاعات است.
فرآیند امنیت اطلاعات (رجوع کنید به شکل ۱-۷) یک فرایند متفاوت است که از ۵ مرحله مهم تشکیل یافته است:
۱- ارزیابی وتشخیص ۲- سیاست و تدبیر ۳- اجرا و به کار ۴- آموزش ۵- حسابرسی
هرکدام از این مراحل به تنهائی برای سازمان ارزش و اعتبار به همراه دارند هر چند زمانی که همه با هم به خدمت گرفته شوند بنیانی را به وجود می‌آورندکه سازمان می‌تواند بر اساس آن خطر بروز حوادث امنیت اطلاعات را به نحوی کارآمد کنترل و مدیریت نماید.
نوع ارزیابی سازمان تغییری در این اهداف ایجاد ن می‌کند. البته میزان نیل به هدف نیز به محدوده کار بستگی دارد. بطور کلی ۵ نوع ارزیابی وجوددارد:

ارزیابی آسیب پذیری در سطح سیستم
سیستمهای رایانه ای از نظر آسیب پذیری‌های مشخص و اجرای سیاست اولیه مورد بررسی قرار می‌گیرند.
ارزیابی خطر در سطح شبکه
کل شبکه رایانه ای و شالوده اطلاعات سازمان از نظر مناطق خطر مورد ارزیابی قرار می‌گیرد.
ارزیابی خطر در سطح سازمان
کل سازمان مورد تجزیه و تحلیل قرار می‌گیرد تا خطراتی را که مستقیما دارائی‌های سازمان را تهدید می‌کنند مشخص کند. کلیه انواع اطلاعات از جمله اطلاعات الکترونیکی و فیزیکی بررسی می‌شوند.

حسابرسی
سیاستهای خاص بررسی شده و تابعیت سازمان از آن‌ها مورد بازبینی قرار می‌گیرد.
تست نفوذ
در این بحث فرض، بر این است که حسابرسی و تست نفوذ در مرحله حسابرسی پوشش داده می‌شوند. هر دو این ارزیابی‌ها بیانگر نوعی شناخت قبلی از خطر و به انجام فعالیت‌های امنیتی و مدیریت خطر است. هیچکدام از این ارزیابی‌ها زمانی که سازمان تلاش می‌کند تا وضعیت ایمنی موجود درون سازمان را شناسائی کند مناسب نیست.
ارزیابی شما باید بعد از جمع آوری اطلاعات از سه منبع اصلی صورت بگیرد.
– مصاحبه با کارکنان
– بازبینی مدارک و اسناد
– بررسی فیزیکی

مصاحبه باید با افراد مناسبی صورت بگیرد که اطلاعاتی در مورد سیستمهای ایمنی موجود و نحوه عملکرد شرکت در اختیارتان بگذارند. ترکیب مناسب موقعیت کارکنان و مدیریت بسیار حائز اهمیت است. مصاحبه‌ها نباید خصمانه باشند. مصاحبه کننده باید سعی کند با توضیح هدف ارزیابی و اینکه فرد مصاحبه شوند چگونه می‌تواند در حفظ اطلاعات سازمان کمک کند به وی آرامش دهد. همچنین باید به مصاحبه شونده اطمینان داد که در بیان اطلاعات نا می‌از وی به میان نخواهد آمد.
همچنین باید کلیه سیاست‌های حفظ ایمنی موجود و نیز مدارک مهم و اصلی وضع موجود مورد بازبینی قراربگیرند. این بررسی نباید به مدارکی کامل شده از محدود شود. اسناد پیش نویش نیز باید بررسی شوند.
آخرین اطلاعاتی که باید جمع آوری شود مربوط به بررسی فیزیکی تسهیلات سازمان است. در صورت امکان کلیه وسایل و اتاق‌ها را بررسی کنید.
ارزیابی

فرآیند ارزیابی اطلاعات با ارزیابی آغاز می‌شود. ارزیابی به پرسش‌های بنیادین “ماکه هستیم؟” و “کجا می‌رویم؟” پاسخ می‌دهد. ارزیابی برای تعیین ارزش مجموعه اطلاعات یک سازمان، میزان تهدیدها و آسیب‌های اطلاعاتی و اهمیت خطرپذیری سازمان مورد استفاده قرار می‌گیرد. واضح است که این مرحله حائز اهمیت است زیرا بدون آگاهی از وضعیت موجود خطری که ذخیره اطلاعاتی یک سازمان را تهدید می‌کند به کارگیری یک برنامه امنیتی مناسب برای حفظ این گنجینه اطلاعاتی غیرممکن است.
این امر با روش مدیریت خطر که در ذیل آمده میسر می‌شود. پس از تعیین نوع و میزان خطر می‌توانید راهکارهای مقرون به صرفه ای را برای کاهش یا از بین بردن خطر برگزینید.
اهداف ارزیابی ایمنی اطلاعات عبارتند از:

– تعیین ارزش ذخیره اطلاعات
– تعیین آنچه که حریم، کلیت، موجودیت و / یا قابل قبول بودن اطلاعات را تهدید می‌کند.
– تعیین آسیب‌های موجود حاصل از فعالیت‌های فعلی سازمان
– تعیین خطراتی که به خاطر وجود اطلاعات سازمان را تهدید می‌کنند.
– توصیه تغییراتی که به خاطر وجود اطلاعات سازمان را تهدید می‌کنند.
– توصیه تغییراتی جهت کاهش خطر تا حد قابل قبول
– ارائه شالوده ای که بر اساس آن بتوان طرح ایمنی مناسبی به وجود آورد.

هنگام ارزیابی یک سازمان،موارد ذیل را بررسی کنید:
– شبکه سازمان
– اقدامات امنیتی فیزیکی در سازمان
– سیاست‌ها و روش‌های فعلی سازمان
– اقدامات احتیاطی که سازمان در نظر گرفته است.
– میزان آگاهی کارکنان از مسائل امنیتی
– کارکنان سازمان
– میزان کار کارکنان
– برخورد و نگرش کارکنان
– وفاداری کارکنان به سیاست‌ها و روش‌های موجود

 

شبکه رایانه ای
شبکه رایانه ای سازمان معمولا ساده ترین وسیله برای دستیابی به اطلاعات و سیستمهاست. هنگام بررسی شبکه ابتدا با نمودار شبکه شروع کنید و هر نقطه اتصال را بررسی کنید.
توجه: ‌نمودارهای شبکه اغلب نادرست یا قدیمی‌اند بنابراین نباید نمودارها را تنها منابع اطلاعاتی برای تشخیص اجزای اصلی شبکه مورد استفاده قرار بگیرند.
موقعیت سرورها، سیستمهای دسک تاپ، دسترسی به اینترنت، دسترسی به تلفن و اتصال به سایت‌های غریبه و سایر سازمان‌ها باید نشان داده شود. از نمودار شبکه و بحث و تبادل نظر با مسئولین شبکه اطلاعات زیر را جمع آوری کنید:

– نوع و تعداد سیستمهای شبکه
– سیستمهای اپراتور و ورژن‌ها
– توپولوژی شبکه (سویچ، مسیر،پل و غیره)
– نقاط دسترسی به شبکه
– نوع، تعداد و ورژن هر کدام از دیوارهای آتش
– نقاط دسترسی به تلفن
– نوع دسترسی به سیستمهای بیگانه
– توپولوژی شبکه در یک محدوده گسترده
– نقاط دسترسی در سایت‌های بیگانه

– نقاط دسترسی به سایر سازمان‌ها
– موقعیت سرور وب، سرورهای ftp و گذرگاه ایمیل
– پروتکل‌های مورد استفاده در شبکه
– چه کسی شبکه را کنترل می‌کند؟
پس از آنکه ساختار شبکه مشخص شد مکانیزم دفاعی درون شبکه را مشخص کنید،از جمله :‌

-مسیریاب دسترسی دارد به لیست‌های مرکزی و دیوارهای آتش که مسلط است بر همه نقاط قابل دسترسی اینترنت
– مکانیزم هوشمند مورد استفاده برای دسترسی از راه دور
– مکانیزم دفاعی در نقاط دسترسی به سایر سازمان‌ها
– مکانیزم دسترسی از راه دور مورد استفاده برای انتقال و ذخیره اطلاعات
– مکانیزم رمزگذاری مورد استفاده برای محافظت از رایانه‌های قابل حمل
– سیستمهای آنتی ویروس در محل سرورها،دسک تاپ‌ها و سیستمهای ایمیل.
– وضعیت ایمنی سرور

چنانچه مسئولین شبکه و سیستم نتوانند اطلاعات دقیقی از وضعیت ایمنی سرورها در اختیارتان بگذارند بررسی دقیق سرورها ضرورت می‌یابد. این بررسی باید شامل الزامات کلمه عبور و وضعیت رسیدگی به هر سیستم ونیز سطوح اتصال سیستم موجود باشد.
ازمسئوین شبکه در مورد نوع سیستم مدیریت شبکه در حال استفاده سوال کنید. اطلاعاتی هم در مورد نوع آلارم‌ها وکسانی که سیستم را کنترل می‌کنند جمع آوری کنید. این اطلاعات را می‌توان برای تشخیص اینکه کارکنانی که از سیستم‌های موجود استفاده می‌کنند متوجه حمله می‌شوند یا نه مورد استفاده قرار داد.
در آخر شماباید یک اسکن از کلیه سیستمها جهت تشخیص میزان آسیب پذیری داشته باشید. اسکن‌ها باید به صورت داخلی (از یک سیستم وصل به شبکه داخلی) و خارجی (از یک سیستم اینترنت خارج از دیوار آتش سازمان) صورت بگیرد. نتایج هر دو اسکن حائز اهمیت اند چرا که آسیب پذیرهائی ناشی از تهدیدهای داخلی وخارجی را مشخص می‌کند.

امنیت فیزیکی

امنیت فیزیکی ساختمان سازمان عامل مهمی می‌در ایمنی اطلاعات است. بررسی اقدامات امنیت فیزیکی سازمان باید شامل کنترل دسترسی فیزیکی به سایت و نیز مناطق حساس درون سایت باشد. مثلا، کنترل دسترسی فیزیکی به مرکز اطلاعات باید جدا از کل ساختمان باشد. یاحداقل دسترسی به مرکز اطلاعات باید کاملا محدود باشد. هنگام بررسی اقداماتی که در جهت امنیت فیزیکی سازمان صورت گرفته اند موارد ذیل را مشخص کنید:
– نوع محافظت‌های فیزیکی سایت، فضای اتاق، ثبت کاغذها و مرکز اطلاعات
– کلید درب‌ها دست چه کسی است؟

– علاوه بر مرکز اطلاعات و آنچه در مورد این مناطق بسیار حائز اهمیت است چه مناطق حیائی دیگری در سایت یا ساختمان وجود دارد.
همچنین باید موقعیت خطوط ارتباطی درون ساختمان و محلی که خطوط ارتباط وارد ساختمان می‌شوند را مشخص کنید. این مکان‌ها جاهائی هستند که ممکن است محل‌های خرابی شبکه در آنجا قرار داده شوند لذا کلیه این امکان‌ها باید در فهرست مکان‌های حساس یا حیاتی قرار گیرند. این‌ها سایت‌هائی هستند که ممکن است تنها به خاطر موقعیت مکانی شان دچار وقفه یا خاموشی شوند.

امنیت فیزیکی شامل برق، کنترل محیط و سیستمهای اطفای حریق مورد استفاده در مرکز اطلاعات می‌شود. اطلاعات ذیل را در مورد این سیستمها جمع آوری کنید:
– برق سایت چگونه تامین شده است
– برق چگونه به مرکز اطلاعات می‌رسد
– انواع UPS موجود در محل کدامند
– UPS‌های موجود چه مدت سیستم را سرپا نگه می‌دارند.
– چنانچه برق دچار مشکل شده و یا UPS قطع شود چه کسی مطلع می‌گردد
– کنترل‌های محیطی متصل به UPS کدامند
– کنترل‌های محیطی محل مرکز اطلاعات از چه نوع هستند

– در صورت بروز نقصان در کنترل‌های محیط چه کسی مطلع می‌شود
– سیستم اطفاء‌حریق موجود در مرکز اطلاعات از کدام نوع است
– آیا ممکن است سیستم اطفاء‌حریق با آتشی که مرکز اطلاعات را تهدید ن می‌کند منفجر شود
باید توجه داشت که بسیاری از مهارهای آتش به سیستم‌های افشانه ای در کلیه قسمتهای ساختمان از جمله مرکز اطلاعات نیاز دارند. در اینصورت باید از سیستم غیرآبی قبل از راه اندازی افشانه‌ها استفاده کرد.

سیسات‌ها و روش‌ها
بسیاری از سیاست‌ها و روش‌های سازمانی به امنیت مربوط می‌شوند. در زمان ارزیابی کلیه اسناد و مدارک مربوط از جمله موارد ذیل را بررسی کنید:
– سیاست ایمنی
– سیاست اطلاعات
– طرح ساماندهی به بلایا یا حوادث ناگوار
– روش واکنش در برابر حادثه
– روش‌ها و سیاست پشتیبانی
– دفترچه راهنمای کارکنان یا سیاست‌های سازمان
– چک لیست استخدا می‌جدید
– روش جدید استخدام

– راهنمای شناسائی سیستم
– سیاست امنیت فیزیکی
– متولوژی توسعه نرم افزار
– روش‌های تغییر نرم افزار
– سیاست‌های مخابراتی
– نمودارهای شبکه
– چارت‌های سازمانی
پس از تعیین روش‌ها و سیاست‌ها هرکدام را از نظر، ارتباط، درستی، بی عیب و نقص بودن و مداول بودن بررسی کنید.
هر کدام از روش‌ها و سیاست‌های سازمان باید مرتبط با فعالیت تجاری رایج و موجود در سازمان باشند. سیاست‌های گروهی همیشه هم کارآمد نیستند چرا که برخی نکات خاص سازمانی را در نظر نمی‌گیرند. روش‌ها باید نحوه عملکرد فعلی سازمان را تعریف کنند.

سیاست‌ها و روش‌ها باید متناسب با هدف تعریف شده اسناد و مدارک باشند. هنگام بررسی درستی و صحت مدارک هر بند آن را بررسی کنید تا مطمئن شوید که مطابق با هدف تعیین شده روش یا سیاست اتخاذ شده است. مثلا اگر هدف سیاست امنیتی سازمان تعریف الزامات امنیتی برای کلیه سیستمهای رایانه ای باشد نباید وضعیتی خاص را فقط برای سیستمهای پردازنده مرکزی تعریف کند بلکه باید دربرگیرنده دسک تاپ‌ها و سیستمهای سرور مشتری نیز باشد.
سیاست‌ها و روش‌ها باید دربرگیرنده کلیه جوانب عملکرد سازمان باشند. معمولا نمونه‌هائی یافت می‌شوند که در آنها جنبه‌های مختلف کار یک سازمان در نظر گرفته نشده اند یا احتمالا در زمان اتخاذ روش یا سیاست اولیه موجود نبوده اند. تغییر در تکنولوژی اغلب باعث تغییر در روش‌ها و سیاست‌هاست.

روش‌ها و سیاست‌ها هم ممکن است قدیمی‌ و منسوخ شوند و این امر نه به خاطر استفاده بیش از حد که به سبب غفلت و فراموشی است. وقتی یک سند بسیار قدیمی‌ می‌شود (وقتی مدت زیادی از یک سند می‌گذرد) غیرقابل استفاده شده و به گونه ای نامناسب کنار گذاشته می‌شود. سازمان‌ها پیشرفت می‌کنند و سیستمها و شبکه‌ها تغییر می‌یابند. اگر سندی مطابق (متناسب)، با سیستمهای جدید با فعالیت‌های تجاری تازه تغییر نکنند از رده خارج شده و کنار گذاشته می‌شود. سیاست‌ها و روش‌ها باید مرتبا به روز شوند.
یک ارزیابی علاوه بر اسناد فوق الذکر باید برنامه امنیت اطلاعات سازمان را بررسی و مواد آموزشی مورد استفاده در کلاس‌های آموزشی را مرور و بازبینی نماید. این موارد را با اسناد سیاست و روش سازمان مقایسه کنید تا از انعکاس مناسب و صحیح مفاد آموزشی کلاس در سیاست سازمان اطمینان یابید.

و بالاخره، ارزیابی باید حوادث اخیر و گزارشات حسابرسی را نیز بررسی نماید. این بدان معنی نیست که بگذاریم ارزیابی جدید بر پایه کار قبلی باشد بلکه برای مشخص شدن این نکته است که آیا سازمان در موارد (محدوده) مورد نظر ، پیشرفتی حاصل کرده یا خیر.
احتیاط‌ها(هشدارها)

هشدار دهنده‌ها سیستمهای “درست به موقعی” هستند که برای بازسازی فعالیت‌هابه هنگام بروز حادثه ناگوار مورداستفاده قرار می‌گیرند.

دو بخش اساسی هشدارها عبارتند از سیستمهای پشتیبانی و طرح‌های جبران بلا (حادثه)
هنگام ارزیابی سودمندی سیستمهای پشتیبانی بررسی‌ها باید دقیق تر باشند و تنها به مشاهده روش‌ها و سیاست پشتیبانی محدود نشوند. با اپراتورهای سیستم گفتگو کنید تا از چگونگی کاربری سیستم آگاهی حاصل کنید. ارزیابی باید سوالاتی نظیر آنچه در ذیل آمده را دربرگیرد:

– از چه نوع سیستم پشتیبانی استفاده می‌شود؟
– کدام سیستمها و با چه فاصله زمانی پشتیبانی back up می‌شوند؟
– پشتیبان‌ها در کجا ذخیره شده اند؟
– پشتیبان‌ها هر چند وقت یکبار وارد بایگانی (ذخیره) می‌شوند؟
– آیا تا به حال پشتیبان‌ها واسی شده اند؟
– پشتیبان به چه صورت باید مورد استفاده قرار بگیرند؟
– تا به حال کار پشتیبانی با شکست مواجه شده است؟
پاسخ این پرسش‌ها کارآمدی سیستم پشتیبانی موجود را مشخص می‌کند.

برنامه (طرح) جبران حادثه و سایر سیاست‌ها و روش‌ها را بررسی کنید، از طرح نت برداری کنید و از کامل بودن آن اطمینان یابید. اینکه طرح دقیقا چگونه مورد استفاده قرار میگیرد تنها با خواندن مشخص نمی‌شوند. باید با کارکنانی که از این طرح استفاده می‌کنند گفتگو کنید تا مشخص شود که طرح تا به حال مورد استفاده قرار گرفته یا نه و اگر از آن استفاده شده واقعا کارآمد بوده یا نه. هنگام مصاحبه (گفتگو) با کارکنان پرسش‌های ذیل را در مورد طرح جبران حادثه بپرسید:
– آیا طرح جبران حادثه یا ادامه تجارت تا به حال مورد استفاده قرار گرفته یا خیر؟
– نتیجه چه بوده است؟
– تجهیزات موجود برای خلاصی از حادثه کدامند؟
– آیا مکان دیگری موجود است؟
– چه کسی مسئول امور مربوط به جبران حادثه است؟
آگاهی

ریاست‌ها و روش‌ها فوق العاده اند و چنانچه به آنها عمل شود و کارکان از آنها مطلع شوند ایمنی سازمان را به میزان قابل توجهی افزایش می‌دهند. هنگام ارزیابی زمانی را به گفتگو با کارکنان عادی (کسانی که مسئولیت اجرائی یا مدیریتی) ندارند اختصاص دهید تا میزان آگاهی آنها از روش‌ها و سیاست‌های شرکت و فعالیتهای خوب امنیتی برایتان مشخص شود. علاوه بر این گفتگوها به محوطه دفتر کار بروید و بدنبال نشانه‌هائی حاکی از عدم پیروی از سیاست‌های اتخاذ شده بگردید. شاخص‌های مهم ممکن است تکه‌های کاغذ که رمز عبور روی آن نوشته شده یا سیستمهای روشنی باشد که کارکنان یک روز آنها را ترک کرده اند.

آگاهی مدیریت نیز حائز اهمیت است. ظاهرا مدیران باید از سیاست‌های شرکت در مورد تشخیص سیستمها آگاهی داشته باشند.
مدیران همچنین باید از آسیب‌هائی که ایمنی را تهدید می‌کنند و علائمی‌ که نشانه به خطر افتادن سیستم اند آگاهی داشته باشد.
شاید مهمتر از همه این باشد که مدیران بدانند درصورت بروز خطر برای سیستم چه کاری باید انجام دهند.
مردم
کارکنان یک سازمان بیشترین تاثیر

را بر کل ایمنی محیط دارند. فقدان مهارت یا مهارت‌های بسیار ممکن است باعث شکست برنامه‌های ایمنی شوند که به خوبی ساماندهی شده اند. سطح مهارت کارکنان و مدیران امنیتی را بررسی کنید تا مطمئن شوید کارکنان از مهارت‌های لازم جهت اجرای یک برنامه امنیتی برخوردارند. مدیران باید از مهارت لازم جهت مدیریت مناسب سیستم‌ها و شبکه‌های درون سازمان برخوردار باشند.

جامعه کاربر در سازمان باید با حداقل مهارت‌های رایانه ای آشنائی داشته باشند. البته چنانچه جامعه کاربر بسیار ماهر باشند (مثلا کارکنان یک شرکت توسعه نرم افزار) ممکن است موارد امنیتی دیگری مطرح شوند. در مورد کاربران فن آوری تکنولوژی ممکن است نرم افزار دیگری روی دسک تاپ سیستمها نصب شود که بر ایمنی کلی سازمان تاثیر می‌گذارد. چنین افرادی به احتمال زیاد مهارت و دانش لازم جهت ایجاد آسیب‌های داخلی به سیستم را در اختیاردارند.
از حسابرسان سازمان درخواست می‌شود تا بررسی سیستمها و شبکه را بخشی از کار خود قرار دهند. حسابرسانی که فن آوری و سیستمهای مورد استفاده در سازمان را می‌شناسند موارد و موضوعات را بسیار بهتر از حسابرسانی که با فن آوری آشنائی ندارند تشخیص می‌دهند.

میزان کار
حتی کارکنان ماهر و آگاه نیز چناچه کارشان زیاد باشد برای رسیدگی به ایمنی محیط ندارند. وقتی میزان کار افزایش می‌یابد ایمنی یکی از نخستین اموری است که به فراموشی سپرده می‌شود. مدیران دفاتر حسابرسان را چک نمی‌کنند. کاربران از کلمات عبور مشترک استفاده می‌کنند و روسا آموزش‌های لازم را دنبال نمی‌کنند.
باز هم یادآوری می‌کنیم که حتی سازمان‌هائی که سیاست‌ها و روش‌های متفکرانه و خوبی اتخاذ کرده اند در صورت بالا بودن حجم کار کارکنان با آسیب‌های ایمنی مواجه خواهند شد. و در بسیاری از موارد این چنینی مشکل آنچه که به نظر می‌آید نیست. در هنگام ارزیابی باید مشخص کنید که میزان کار یک مشکل موقت است که حل میشود یا نگرش کلی سازمان است.
رویکرد (نگرش)
رویکرد مدیریت با توجه به اهمیت ایمنی یکی دیگر از جنبه‌های مهم ایمنی کلی محیط است. این رویکرد را می‌توان با تحقیق درباره کسی که مسئول ایمنی در درون سازمان است شناسائی نمود. نحوه انتقال تعهدات مدیریت به کارکنان بخش دیگری از معامله رویکرد است.
انتقال یک تعهد ایمنی دارای دو بخش است:‌رویکرد مدیریت و مکانیزم انتقال. ممکن است مدیریت به اهمیت ایمنی آگاه باشد اما چنانچه آن را به کارکنان خود منتقل نکند، کارکنان از اهمیت ایمنی آگاهی نمی‌یابند.
هنگام ارزیابی رویکرد سازمان بررسی آگاهی و شناخت مدیریت و درک کارکنان از رویکرد مدیریت حائز اهمیت است. به عبارت دیگر باید در این مورد هم با مدیریت و هم با کارکنان گفتگو کرد.

وفاداری
هنگام تعیین امنیت آتی محیط باید امنیت واقعی محیط را نیز شناسایی کنید. محیط آتی با سیاست، رویکرد و مکانیزم‌های موجود تعریف می‌شود. محیط واقعی را می‌توان با تعیین میزان واقعی رعایت سیاست‌ها از سوی مدیران و کارکنان شناسائی نمود. مثلا چنانچه سیاست ایمنی مستلزم این باشد که دفاتر حسابرسی هر هفته بررسی شوند اما مدیران اینکار را انجام ندهند نسبت به این سیاست ضروری وفادار نبوده اند.
در مورد سیاستی که کلمه عبور هشت رقمی ‌را برای کلیه کارکنان ضروری می‌داند نیز چنین است. چنانچه مدیریت یک سازمان به مسئولین سیستم بگوید که ترتیب اتخاذ کنند که کلمات عبور هشت رقمی‌ نباشند این نشاندهنده عدم وفاداری مدیریت است. و مسلما عدم وفاداری مدیریت به معنی عدم رعایت سیاست‌های سازمان از سوی مسئولین و سایر کارکنان است.

تجارت
و سرانجام فعالیت تجاری را بررسی کنید. از کارکنان بپرسید که هزینه لطمه خوردن به اطلاعات محرمانه. کامل و بی عیب و نقص، قابل اعتماد و موجود سازمان چقدر است. سعی کنید سازمان را وادار کنید تا میزان هرگونه خسارت را بر حسب پول، زمان صرف شده، شهرت و اعتبار از دست رفته یا خسران تجاری مشخص کنند.
هنگام تحقیق در مورد تجارت سعی کنید جریان انتقال اطلاعات در سازمان را بین بخش‌ها، سایت‌ها، داخل بخش‌ها و در ارتباط با سایر سازمان‌ها بررسی کنید. سعی کنید چگونگی تاثیر هر حلقه زنجیره را بر اطلاعات و چگونگی وابستگی هر بخش از سازمان به سایر بخش‌ها را مشخص کنید.
بخشی از ارزیابی باید تلاش در جهت شناسائی سیستمها و شبکه‌های حائز اهمیت در عملکرد اصلی سازمان باشد. اگر سازمان در کار تجارت الکترونیک باشد کدام سیستمها مورد استفاده قرار می‌گیرند تا معامله صورت بگیرد؟ واضح است که وب سرور موردنیاز است اما سیستمهای دیگر چه؟ شناسائی سیستمهای back-end ممکن است منجر به شناسائی سایر خطرات سازمان شود.
نتایج ارزیابی
پس از جمع آوری و تکمیل کلیه اطلاعات تیم ارزیابی باید به تجزیه و تحلیل اطلاعات بپردازد. ارزیابی ایمن سازمان به صورت اطلاعات پراکنده موجود در خلانیست. گروه باید کلیه آسیب‌هائی که ایمنی را در بطن سازمان تهدید می‌کند بررسی کند. همه آسیب پذیری‌ها به معنی خطر نیستند. برخی آسیب پذیری با کنترل‌هائی که مانع بروز خطر می‌شوند از بین می‌روند.

پس از تکمیل تجزیه و تحلیل تیم ارزیابی باید بتواند فهرست کاملی از خطرات و توصیه‌هائی برای پیشگیری از آنها به سازمان ارائه دهد. خطرات باید از بزرگ به کوچک ارائه شوند. گروه باید برای هر خطر هزینه اولیه را برحسب پول، زمان، منابع، اعتبار، و خسران تجاری برآور کند. معرفی هر خطر باید با توصیه‌های جهت مدیریت خطر همراه باشد.
مرحله نهائی ارزیابی توسعه طرح ایمنی است. سازمان باید مشخص کند که نتایج ارزش بیانگر وضعیت واقعی ایمنی و بهترین روش جهت برخورد با آن است. باید منابعی به این کار اختصاص داده شوند و برنامه ریزی‌هائی صورت بگیرد. باید توجه داشت که طرح ممکن است در ابتدا خطر را نشان ندهد. سایر موارد مانند بودجه و منابع ممکن است مانع بروز این مسئله شوند.

تدبیر
تدابیر و روش‌ها معمولا مرحله بعد از ارزیابی اند. تدابیر و روش‌ها وضعیتی را که از ایمنی سازمان انتظار می‌رود مشخص می‌کنند و نیز بیانگر کاری هستند که باید در زمان اجرا انجام شود. بدون تدبیر طرحی وجود ندارد که سازمان بر اساس آن بتواند برنامه ایمنی اطلاعات موثری را طراحی و به خدمت گیرد. حداقل تدابیر و روش‌های زیر باید در نظر گرفته شوند:
سیاست اطلاعات: بیانگر حساسیت اطلاعات و چگونگی برخورد، ذخیره، انتقال و تخریب اطلاعات است. این تدبیر مبنای درک “علت” برنامه ایمنی است.
سیاست ایمنی: بیانگر کنترل‌های فنی ضروری در سیستمهای رایانه مختلف است. سیاست ایمنی مبنای “هویت” برنامه ایمنی است.
سیاست کاربری:‌ ارائه دهنده سیاست شرکت با توجه به کاربری مناسب سیستم‌های رایانه ای شرکت است.
سیاست پشتیبانی:‌الزامات پشتیبانی سیستم‌های رایانه را مشخص می‌کند.

روش‌های مدیریت حسابداری:‌ معرف مراحلی است که باید طی شود تا کاربران جدیدی به سیستم‌ها اضافه شوند و زمانی که دیگر نیازی به دسترسی نیست به گونه ای مناسب کاربران را حذف کنند.
روش برخورد با حادثه:‌ بیانگر اهداف و مراحل برخورد با حوادث مربوط به امنیت اطلاعات است.
طرح احیا بعد از بلا: ارائه دهنده طرحی برای بازسازی تسهیلات رایانه ای شرکت بعد از یک بلای طبیعی یا انسانی است. ارائه تدبیر اصولا یک فرآیند هوشمندانه است. در بسیاری از بخش‌های سازمان افرادی هستند که به این تدابیر علاقمندند و در ارائه آن نقش دارند. چنانچه در فصل ۵ نیز اشاره کردیم شناخت فرایند سیاست مدارانه رمز ایجاد یک سیاست موفق است.

انتخاب ترتیب گسترش سیاست‌ها
بنابراین کدام تدبیر اول قرار میگیرد؟ پاسخ بستگی به خطراتی دارد که در ارزیابی تعریف شده اند. چنانچه محافظت از اطلاعات به عنوان محدوده پرخطر تعریف شده باشد تدبیر اطلاعات باید یکی از نخستین تدابیر باشد. از سوی دیگر، اگر بخش اعظم زیان تجاری ناشی از فقدان طرح احیاء بعد از بلا محدوده پرخطر باشد این طرح باید یکی از اولین‌ها باشد.
عامل دیگری که در انتخاب اینکه کدام سند اول نوشته شود نقش دارد زمان لازم برای تکمیل هر کدام است. طرحهای احیای بعد از بلا اسناد بسیار دقیقی هستند و لذا تکمیل آنها نیازمند تلاش قابل ملاحظه برخی بخش‌ها و افراد است. تکمیل این طرح زمان می‌برد و ممکن است مستلزم کمک یک پیمانکار دیگر نظیر a company باشد مبلغ سرمایه گذاری شده را که شرکتی است که یک تسهیلات و کلیه تجهیزات رایانه را فراهم میکند تا در زمان بروز بلا بهبود کامل صورت گیرد.

یکی از سیاست‌هائی که باید در مراحل اولیه اتخاذ شود تدبیر اطلاعات است. تدبیر اطلاعات مبنای درک علت اهمیت اطلاعات درون سازمان و نحوه دفاع از آن است. این سند مبنای بسیاری از آموزش‌های آگاهی دهنده در مورد ایمنی است. همچنین سیاست (یا سیاست‌های، بسته به چگونگی تقسیم آن) کاربری همانند الزامات کلمه عبور در سیاست ایمنی بر برنامه‌های آموزشی آگاهی دهنده تاثیر می‌گذارند.

در بهترین حالت ممکن است چند تدبیر بصورت همزمان بکار گرفته شوند. این امر ممکن است زیرا طرفهای ذینفع یا تدابیر مختلف کمی متفاوتند. مثلا مسئولان سیستم علاقمند به تدبیر ایمنی اند ولی به تدبیر اطلاعات کمتر علاقه نشان می‌دهند. منابع انسانی بیشتر علاقمند به تدبیر کاربری و روشهای مدیریت کاربری اند تا تدبیر پشتیبانی و غیره. در اینصورت، بخش ایمنی تعدیل کننده و تسهیل کننده تشکیل اسناد است. بخش ایمنی باید در نخستین جلسه اگر نه با یک سیاست پیش نویس با یک طرح کلی حضور یابد. این نقطه شروع شده باشد.
در هر صورت، بخش ایمنی باید سند کوچکی را با تعداد معدودی افراد علاقمند برای شروع برگزیند. این امر به احتمال زیاد فرصت موفقیت سریع را فراهم می‌آورد و سبب می‌شود بخش ایمنی بیاموزد که آگاهی‌های لازم جهت تولید اسناد باقیمانده چگونه بدست آورد.

به روز کردن تدابیر موجود
اگر سیاست و روشی از قبل وجود داشته باشد، چه بهتر. البته این احتمال نیز وجود دارد که لازم شود برخی اسناد موجود به روز شوند. چنانچه بخش ایمنی در ایجاد سند اولیه نقشی ایفا کرده باشد نخستین کاری که باید انجام داد این است که افراد علاقمندی را که دست اندرکار سیاست گذاری قبلی بوده اند مجددا دور هم جمع کرد و کاربه روزرسانی را شروع کرد. از سند موجود به عنوان نقطه آغاز استفاده کنید ونقایص (کاستی‌ها) را شناسائی کنید.
چنانچه سند مورد بحث توسط فرد یا گروه دیگری نوشته شده که هنوز هم در سازمان هستند،آن فرد یا گروه باید در امر به روزرسانی همکاری کند. البته بخش ایمنی نباید کنترل کار را به مالک قبلی بسپارد. در اینجا هم کار را با سند اولیه شروع و کاستی‌ها را مشخص کنید.

چنانچه سند مورد بحث توسط فرد یا گروه دیگری نوشته شده که هنوز هم در سازمان هستند، آن فرد یا گروه باید در امر به روزرسانی همکاری کند.
البته بخش ایمنی نباید کنترل کار را به مالک قبلی بسپارد. در اینجا هم کار را با سند اولیه شروع وکاستی‌ها را مشخص کنید.
در صورتی که به وجود آورنده اولیه سند دیگر در سازمان نیست معمولا شروع با یک صفحه کاغذ سفید آسانتر است. افراد علاقمند را شناسائی و از آنها دعوت کنید در این کار همراهیتان کنند. باید به آنها بگوئید که چرا دیگر اسناد قدیمی‌ کفایت نمی‌کنند.
به کارگیری

عمل به سیاست سازمان شامل شناسائی و به کارگیری ابزار فنی و کنترل فیزیکی و نیز به خدمت گرفتن کارکنان امنیتی است. ممکن است این به کارگیری مستلزم ایجاد تغییر در ارزیابی‌های سیستم است که خارج ازکنترل بخش ایمنی است. در اینگونه موارد به کارگیری برنامه امنیتی باید دربرگیرنده مسئولان شبکه و سیستم نیز باشد.
هر کاربرد را در متن محیط کلی بررسی کنید تا چگونگی ارتباط و تداخل آن با سایر کنترل‌ها را مشخص کنید. مثلا تغییرات ایمنی فیزیکی ممکن است الزامات شرایط و مقتضیات را کاهش دهد وبرعکس. به کارگیری دیوارهای آتش ممکن است نیاز به اصلاح فوری آسیب پذیری‌های سیستم را کاهش دهد.
سیستم‌های گزارش دهنده امنیتی

سیستم گزارش ایمنی مکانیز می‌برای بخش ایمنی است تا وفاداری نسبت به سیاست گذاری‌ها و روش‌ها و وضعیت کلی آسیب پذیری‌های درون سازمان را پیگیری کنند. برای این امر می‌توان از سیستمهای دستی و خودکار استفاده نمود. در اکثر موارد، سیستم گزارش ایمنی برای هر دو نوع سیستم تهیه می‌شود.
استفاده از مونیتورینگ
با استفاده از مکانیزیم مونیتورینگ می‌توان مطمئین شد که کارکنان سیاست‌های استفاده از رایانه را رعایت می‌کنند، که ممکن است نرم افزاری باشد که استفاده از اینترنت را کنترل می‌کند. هدف این مکانیزم شناسائی کارکنانی است که دائما از سیاست‌های سازمان تخطی می‌کنند. برخی مکانیزم‌ها قادرند ضمن حفظ آثار تلاش چنین دسترسی‌هائی را مسدود کنند. استفاده از مکانیزم مونیتورینگ ممکن است شامل الزامات شناسائی ساده ای باشد که بازی‌های نصب شده روی دسک تاپ را بر می‌دارند. مکانیزم‌های پیچیده تر برای شناسائی نرم افزار جدید دانلود شده روی سیستم مورد استفاده قرار گیرند. چنین مکانیزم‌هائی نیازمند همکاری میان مسئولین و بخش ایمنی است.
اسکن آسیب پذیری سیستم
آسیب پذیری‌های سیستم موضوع بسیار مهمی ‌در بحث ایمنی از نصب نادرست(ناقص) سیستم اپراتور معمولا با یکسری فرآیندهای غیرضروری و آسیب ایمنی همراه است. درحالیکه تشخیص چنین آسیب پذیری‌هائی موضوع ساده ای برای بخش ایمنی است که از ابزارهای امروزی استفاده می‌کند، اصلاح چنین آسیب‌هائی یک فرآیند وقت گیر برای مسئولان است.
بخش‌های ایمنی باید به صورت دوره ای یکسری سیستمهای روی شبکه و یکسری آسیب‌های روی این سیستم‌ها را بررسی کنند. گزارش آسیب‌ها باید جهت اصلاح یا توضیح در اختیار مسئولان سیستم قرار بگیرد. سیستم‌های جدیدی که شناسائی می‌شوند باید به مسئولین سیستم معرفی شوند تا هدف آنها مشخص شود.
رعایت سیاست
رعایت (وفاداری به) سیاست یکی از وقت گیرترین کارهای بخش ایمنی است. دو مکانیزم برای تشخیص رعایت سیاست وجود دارد:‌
خودکار یا دستی. در مکانیزم دستی کارکنان بخش ایمنی باید سیستمها را بررسی کنند و ضمن شناسائی سیستم مشخص کنند که کلیه جوانب سیاست ایمنی اجرا می‌شوند یا نه. این کار بسیار وقت گیر بوده و احتمال خطا در آن وجود دارد. اغلب بخش ایمنی یک نمونه از کل سیستم‌های موجود در یک سازمان را بر می‌گزینند و تست‌های دوره ای انجام می‌دهد. اگرچه این روش وقت کمتری می‌خواهد لیکن چندان کامل نیست.
امروزه مکانیزم‌های نرم افزاری وجود دارند که بصورت خودکار میزان وفاداری به سیاست سازمان را چک می‌کنند. راه اندازی و تشخیص این مکانیزم به وقت بیشتری نیاز دارد اما نتایج کاملتری را به موقع ارائه می‌دهد. چنین مکانیزم‌های نرم افزاری نیازمند یاری مسئولان سیستم اند چرا که باید نرم افزار سیستم چک شود. با استفاده از این مکانیزم‌ها بررسی رعایت سیاست سازمان به صورت مرتب صورت گرفته و نتایج به مسئول سیستم گزارش می‌شود.

سیستم‌های تائید

سیستم‌های تائید مکانیزم‌هائی هستند که برای اثبات هویت که مایل به استفاده از سیستم یادسترسی به شبکه هستند مورد استفاده قرار میگیرند. چنین مکانیزم‌هائی را می‌توان برای اثبات هویت افرادی که می‌خواهند دسترسی فیزیکی به تسهیلات داشته باشند نیز مورد استفاده قرار داد.
مکانیزم‌های تائید در اشکال محدودیت‌های کلمه عبور،کارت‌های هوشمند یا بایو متریک‌ها وجود دارند. باید توجه داشت که مکانیزم‌های تائید بوسیله هریک از کابران سیستم‌های رایانه سازمان مورد استفاده قرار می‌گیرد. این بدان معناست که تحصیلات وآگاهی کاربر جنبه‌های مهم کاربرد مکانیزم تائیداند. الزامات مکانیزم‌های تائید باید در برنامه‌های آموزشی آگاهی دهنده به کاربران لحاظ شوند. چنانچه تغییرات مکانیزم‌های تائید به خوبی به کاربران معرفی نشود بخش سیستم‌های اطلاعاتی سازمان با افزایش قابل ملاحظه درخواست کمک مواجه شده و سازمان با کاهش قابل ملاحظه تولید روبرو می‌شودچرا که کاربران درحال یادگیری چگونگی استفاده از سیستم‌های جدیدند. تحت هیچ شرایطی نباید بدون یک برنامه آموزشی برای کاربران در مکانیزم تائید تغییر ایجاد کرد.

مکانیزم‌های تائید بر کلیه سیستم‌های درون سازمان تاثیر می‌گذارند. هیچ مکانیزم تغییری نباید بدون برنامه ریزی مناسب به کار گرفته شود. بخش ایمنی باید مسئولین سیستم کار کند تا کار اجرا بدرستی صورت بگیرد.