چگونه یک اساسنامه امنیتی را تدوین کنیم؟

●اجزای اساس نامه امنیتی
اشخاص اغلب به اساس نامه امنیتی شركت ها فقط به عنوان یك سند جداگانه نگاه می كنند. حتی در اینجا من نیز همین كار را كرده ام. در حقیقت مانند پروتكل های TCP/IP كه از چندین پروتكل تشكیل شده است، اساس نامه امنیتی نیز از چندین سیاست(Policy) به خصوص تشكیل شده است؛ مانند سیاستهای دسترسی بیسیم یا سیاستهای فیلترینگ ترافیك ورودی به شبكه. مانند روش شناسی های عمومی اساس نامه امنیتی، برای تمامی آنها اجزای عمومی مشتركی وجود دارد. در این فصل به این اجزا و روش شناسی ها می پردازیم.
●از كجا شروع كنیم ؟
همانطور كه در قبل نیز اشاره كردیم، اساس نامه امنیتی در اصل تعریف می كند كه در كجا هستیم و به كجا می خواهیم برویم.
در اینجا سه قدم وجود دارد كه باید با آنها درگیر شویم :
▪طراحی اساس نامه امنیتی
▪پیاده سازی و اجرای اساس نامه امنیتی
▪نظارت و بازبینی اساس نامه امنیتی
●طراحی اساس نامه امنیتی
اولین قدم در جهت تدوین اساس نامه امنیتی، طراحی آن می باشد. برای تمامی مقاصد و اهداف ما، اولین مرحله از اساس نامه امنیتی فرآیند طراحی آن می باشد. این كار باید توسط كمیته ای انجام شود كه روی تمامی سیاستهای استراتژیك سازمان كار می كنند.
اجزای تشكیل دهنده این كمیته، باید نمایندگانی از تمامی بخش های سازمان شما باشند. مدیریت های سطوح بالا و میانی سازمان، كاربران محلی و راه دور، منابع شخصی، حقوقی، تیم تكنولوژی اطلاعات (IT) ، تیم امنیتی سازمان و هر كسی كه صاحب داده ای می باشد باید در این كمیته حضور داشته باشند. خواه ما خوشمان بیاید یا نیاید، سیاسی كاری نقش واقعی را در پیشبرد اساس نامه امنیتی بازی می كند. مطمئن باشید اگر هر كسی در طراحی اساس نامه امنیتی، نظری داشته باشد ، از لحاظ سیاسی راحت تر می تواند آنها را در اجرای هر چه بهتر اساس نامه متقاعد كرد.
طراحی اساس نامه امنیتی ابتدا با مروری بر كلیات شروع می شود و سپس با ریز كردن هر بخش به قواعد اصلی آن می رسیم. قبل از اینكه شروع به طراحی اساس نامه امنیتی كنید نكته های زیر را در نظر بگیرید:
▪شناسایی منابع بحرانی تجاری : برای مثال شما باید سرور ها و شبكه داده های مالی، منابع انسانی و موقعیت آنها را مشخص كنید.
▪شناسایی سیاستهای تجاری بحرانی : آیا سیاست های حقوقی عمومی موجودند كه شما باید به عنوان منابع خود مشخص می كردید ؟
▪شناسایی خطراتی كه منابع را تهدید می كنند: آیا دسترسی غیر مجاز روی منابع شما وجود دارد؟ چه منابعی می توانند دسترسی ها را روی داده های حساس و وابسته به دیگران ایجاد كنند؟ آیا شما در شبكه بیسیم خود نیاز به امنیت دارید و یا به طور اضافه در دسترسی به نرم افزار و سخت افزار بیسیم خود امنیت لازم دارید؟
▪تعیین نقش و وظیفه افراد كلیدی سازمان: چه كسی درباره منبعی كه توسط اساس نامه امنیتی مشخص شده است پاسخگو می باشد؟ چه كسانی كاربران منابعی می باشند كه توسط اساس نامه مشخص شده است ؟ چه انتظاری از مدیران دارید ؟ چه انتظاری از كاربران دارید؟
▪تعیین نوع سیاستهایی كه ایجاد می كنید: آیا شما به سیاستهایی در زمینه دسترسی های بیسیم نیاز دارید؟ آیا شما نیازی به سیاستهای دسترسی های راه دور دارید؟
بخش مهمی از طراحی اساس نامه امنیتی ، تجزیه و تحلیل ریسك می باشد. تجزیه و تحلیل ریسك فرآیند تعیین خطرهاییست كه اموال با ارزش سازمان شما را مورد تهدید قرار می دهد. همچنین است تعیین شانس پدیدار شدن این خطرها و هزینه های احتمالی برای رفع اینگونه خطرها.
شما باید مكان خطرها را مشخص كنید -خطرات موجود در شبكه، در منابع و در داده ها. تجزیه و تحلیل خطرات به این معنی نیست كه شما باید یك هكر باشید و لازم نیست هر روش جزیی حمله كه ممكن است منابع ما را مورد حمله قرار دهد، را مشخص كنید.شما نیاز دارید كه بخش های جزیی شبكه خود را تعریف كنید و میزان خطر هر بخش را مشخص كنید و سطحی از امنیت را برای آن بخش در نظر بگیرید. البته بیشتر مدیران امنیتی با فهم این موضوع مشكل دارند.
بیشتر روشهای تجزیه و تحلیل ریسك، خطر ها را در سه سطح تعیین می كنند( تخمین تهدید ها) :
▪ریسك كم (پایین):
اینها سیستم هایی می باشند كه به خطر افتادن آنها باعث در هم گسیختگی سازمان یا زیر شاخه های مالی آن نمی شوند. سیستم های هدف به راحتی بازیابی می شوند و از همه مهمتر دسترسی به اینگونه سیستم ها باعث دستیابی به منابع مهم دیگر نمی شود.در بیشتر مواقع، میزبان ها می توانند در این دسته گنجانده شوند.
▪ریسك متوسط:
این دسته سیستم هایی می باشند كه در صورت به خطر افتادن باعث منقطع شدن برخی كارها در سازمان و مشكلات متوسطی در منابع مالی و قانونی سازمان ایجاد می كند و یا ممكن است باعث ایجاد دسترسی به سیستم ها و منابع دیگر شود. این سیستم ها برای بازیابی به تلاش محدودی نیاز دارند و ممكن است به صورت در هم گسیخته بازیابی شود.
▪ریسك بالا:
اینها سیستم هایی می باشند كه به خطر افتادن آنها باعث در هم گسیختگی و قطع خدمات سازمان می شود و می تواند از لحاظ مالی و حقوقی سازمان را در معرض خطر قرار دهد. در بدترین حالت می تواند امنیت جانی افراد را مورد تهدید قرار دهد. این سیستم ها برای بازیابی نیاز به تلاش زیادی دارند و در بعضی از مواقع باعث شكست و هزینه های بالایی برای شركت و سازمان می گردد.
هر یك از این سطوح ریسك ها را به یكی از منابع شبكه شامل ابزارهای مركزی[۱] شبكه، ابزارهای توزیع كننده[۲] شبكه، ابزارهای دسترسی[۳] به شبكه، ابزارهای ناظر [۴]شبكه، ابزارهای امنیتی[۵] شبكه، سیستم های پست الكترونیكی، سرویس دهنده های پرینتر و فایل، سرویس دهندگان برنامه های كاربردی ( شامل DNS و DHCP ) ، سرویس دهندگان برنامه های كاربردی داده ها( شامل Oracle و SQL ) ، كامپیوتری های رومیزی و دیگر ابزارهای شبكه كه در اینجا نام برده نشد.وقتی كه به یك ابزاری ، سطحی از ریسك را اختصاص می دهید باید به آن ابزار نگاهی از بیرون داشته باشید. برای مثال، سطح خطر یك سرور DHCP كه در معرض خطر قرار گرفته است چه می باشد؟ شاید شما بگویید كه خیلی بالا نیست. باید اینگونه فرض كنید كه نقشه تمامی آدرس های IP شبكه شما و تمامی آدرس های MAC سیستم های موجود در شبكه شما در آن موجود می باشد. مسایل پنهانی می باشند كه باعث می شود شما جواب اشتباهی به من بدهید! اگر یك هكر بداند كه آدرس های IP و MAC سیستم های حیاتی شما كدام است خیلی راحت تر می تواند داده های شما را در طول شبكه به سرقت برد.
بعد از اینكه شما سطوح ریسك ها را به منابع شبكه خود اختصاص دادید ، كار بعدی آن است كه كاربران خود را شناسایی كرده و برای هر یك از آنها سطوح دسترسی را مشخص و تعریف كنید. به طور معمول پنج نوع كاربر وجود دارد :
▪مدیران:
برخی از كاربرانی هستند كه در شبكه های حق دسترسی ها را مشخص می كنند و در اصل باید در شبكه به عنوان امین شبكه آنها را قرار داد. یادم می آید كه یكی از مشتری ها به من می گفت: «چگونه می توانم مدیران شبكه را در بعضی موارد محدود كنم ؟» و من به او گفتم :« بهتر است كه این كار را فراموش كنید!» زیرا كه آنها مدیران شما هستند. اگر شما به آنها اعتماد نداشته باشید آنها دیگر مدیر شما نیستند!
▪كاربران داخلی دارای حق ویژه [۶]:
آنها كاربرانی هستند كه نیاز به دسترسی های بیشتری دارند (برای مثال كارمندان متخصص و كمكی )
▪كاربران : آن دسته از كاربرانی كه عمومی ترین دسترسی ها را دارند.
▪شركا :آنها كاربران بیرونی می باشند كه نیاز به دسترسی روی برخی منابع شبكه ما دارند. آنها ممكن است نیاز داشته باشند كه به برخی سیستم های طرحهای منابع اقتصادی [۷] (ERP) دسترسی داشته باشند.
▪دیگران: هر كس دیگر كه شما فكر كنید!
هر وقت كه شما سطوح تهدیدات را تعریف كردید و آنها را به هر یك از منابع شبكه اختصاص دادید و بعد از آن سطوح دسترسی هر یك از كاربران را روی هر یك از منابع شبكه مشخص كردید آنگاه به نوشتن و ساختن اساس نامه امنیتی روی آنچه كه در مورد شبكه خود تهیه كردید اقدام كنید.
▪پیاده سازی و اجرای اساس نامه امنیتی
وقتی كه اساس نامه امنیتی طراحی شد باید آن را پیاده سازی و اجرا كرد. این آخرین بخش از موفقیت هر اساس نامه امنیتی می باشد. یك اساس نامه امنیتی هنگامی موثر است كه به مرحله اجرا در آید كه این می تواند شامل كمیته ای باشد كه در مقابل عدم وفاداری اعضاء به اساس نامه پاسخ مناسبی به آنها دهد.
[۱] - Core Device
[۲] - Distribution Device
[۳]- Access Device
[۴] - Monitoring Device
[۵] - Security Device
[۶] - Privileged Users
[۷] - Enterprise Resource Planing