بخش دهم
آموزش رایگان سکیوریتی‌پلاس: آشنایی با خط‌مشی‌ها و استانداردهای امنیتی
ضروری است که همه شرکت‌ها یک برنامه امنیتی داشته باشند که تمام أصول که به افزایش امنیت سازمانی کمک می‌کند در آن لحاظ شده باشد. برنامه امنیتی از عناصر مختلفی مثل خط‌مشی امنیتی، آموزش و آگاهی‌رسانی به همه همه کارکنان سازمان تشکیل شده است. در چند شماره آینده عناصر اصلی یک برنامه راهبردی امنیتی را مورد بحث قرار می‌دهیم تا مطمئن شویم در ارتباط با مفاهیمی مثل خط‌مشی‌های امنیتی و راه‌هایی برای آموزش کارکنان در مورد مسئولیت آن‌ها اطلاعات کافی به‌دست خواهیم آورد.

760 4_0.gif

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

مقدمه‌ای بر خط‌مشی‌های امنیتی

خط‌مشی امنیتی یک سند بزرگ است که از اسناد فرعی بسیاری تشکیل شده و استراتژی امنیتی شرکت را تعریف می‌کند. این سندی است که تمام قوانینی که در یک سازمان همه پرسنل مثل کاربران، مدیران شبکه، متخصصان امنیتی و تیم مدیریت باید از آن‌ها پیروی کنند  را تعریف می‌کند. ذکر این نکته ضروری است که حتی تیم امنیتی در سازمان نیز باید از خط‌مشی امنیتی تعریف شده توسط سازمان پیروی کند.

لازم به ذکر است که خط‌مشی امنیتی به منظور حفاظت از دارایی‌های سازمان و اطمینان از قانونی بودن و انطباق اقدامات درون سازمانی با هر گونه مقررات حاکم بر سازمان طراحی شده است. کارمندان باید درک کنند که الزامات قانونی و انطباق، مسئولیت همه آن‌ها است. تنها در این صورت از که شرکت یک مکانیزم امنیتی مستحکم خواهد داشت.

همان‌گونه که گفته شد، خط‌مشی امنیتی از اسناد فرعی بسیاری تشکیل شده است که هر سند فرعی یک حوزه خاص را پوشش می‌دهد که به عنوان یک خط‌مشی شناخته می‌شود. این خط‌مشی‌ها بایدها و نبایدهایی را مشخص می‌کنند که ذی‌نفعان ملزم به رعایت آن‌ها هستند. خط‌مشی‌ها توسط متخصصان امنیتی ایجاد می‌شوند، اما توسط مدیریت سطح بالا پشتیبانی می‌شوند. اولین گام برای ایجاد یک سیاست امنیتی، دریافت حمایت و تایید مدیریت سطح بالا است تا اطمینان حاصل شود که این سیاست قابل اجرا خواهد بود.

نکته: قبل از اجرای یک خط‌مشی امنیتی در سازمان خود، باید اطمینان حاصل کنید که مجوزهای مربوطه را از مدیریت به‌دست آورده‌اید. در غیر این صورت، هیچ‌گونه تضمینی برای موفقیت اجرای خط‌مشی‌ها وجود نخواهد داشت، زیرا افراد خود را ملزم به رعایت آن نمی‌بینند.

ساختار یک سیاست

اگرچه این موضوع به شما بستگی دارد که چگونه خط‌مشی امنیتی خود را قالب‌بندی کنید و چه بخش‌هایی در هر خط‌مشی لحاظ کنید، اما در این‌جا مروری اجمالی بر بخش‌هایی خواهیم داشت که باید در هر سند امنیتی وجود داشته باشد. بخش‌های زیر باید بخشی از هر خط‌مشی امنیتی باشند:

■   چکیده (Overview): این بخش باید مشخص کند که هدف این خط‌مشی چیست و چگونه به امنیت محیط کمک می‌کند. به عنوان مثال، نمای کلی خط‌مشی گذرواژه باید نیاز به داشتن گذرواژه‌های قوی و استفاده ایمن از رمزهای عبور را مشخص کند.

■ ‌محدوده (Scope): مشخص می‌کند که این خط‌مشی برای چه کسانی اعمال می‌شود. به عنوان مثال، شما باید به صراحت مشخص کنید که آیا این خط‌مشی برای همه کارکنان، پیمانکاران و/یا کارمندان موقت اعمال می‌شود یا خیر. همچنین باید مشخص کنید که آیا این خط‌مشی برای همه تجهیزات داخل سازمان اعمال می‌شود یا خیر.

■   Policy (خط‌مشی): بزرگ‌ترین بخش در سند است و فهرستی از بایدها و نبایدها است. بخش خط‌مشی ممکن است به بخش‌های مختلفی تقسیم شود تا به سازماندهی همه قوانین مشخص شده توسط خط‌مشی کمک کند.

■   اجرا (Enforcement): بخش بسیار مهمی از خط‌مشی این است که مشخص کند اگر کارمندان از آن پیروی نکنند چه اتفاقی می‌افتد. بخش اجرایی معمولاً یک بخش کوتاه است که مشخص می‌کند در صورت عدم پایبندی کارکنان به این خط‌مشی، اقدامات انضباطی و شاید حتی خاتمه همکاری در انتظار آن‌ها است.

■   تعریف‌ها (Definitions): در این بخش می‌توانید تعاریفی را برای عباراتی در خط‌مشی که ممکن است گویا نباشند وارد کنید.

■   تاریخچه بازنگری (Revision History): بخش این بخش نشان می‌دهد چه کسی تغییراتی در سند اعمال کرده و چه کسی اجازه تغییر را داده است. فراموش نکنید که یک ورودی به تاریخچه بازبینی اضافه کنید تا تاریخ ایجاد خط‌مشی را نشان دهد.

مهم است که اطمینان حاصل شود که هر خط‌مشی دارای یک قالب ثابت است. برای کمک به ایجاد خط‌مشی‌ها، از وب‌سایت www.sans.org الهام بگیرید و برخی از الگوهای خط‌مشی آن‌را برای آشنایی بهتر دانلود کنید. این الگوها نشان می‌دهند هنگام ایجاد خط‌مشی‌های خود به‌عنوان راهنما باید به چه نکاتی دقت کنید. شکل زیر بخشی از خط‌مشی استفاده قابل قبول (AUP) را از سایت www.sans.org نشان می‌دهد. پیشنهاد می‌کنیم از مثال‌ها به عنوان نقطه شروع استفاده کنید، اما مطمئن شوید که خط‌مشی را با نیازهای شرکت خود هماهنگ می‌کنید.

قبل از این‌که به برخی از خط‌مشی‌های رایج در یک خط‌مشی امنیتی معمولی نگاهی داشته باشیم، اجازه دهید انواع مختلف خط‌مشی‌ها را بررسی کنیم و مروری سریع بر مقررات و استانداردها داشته باشیم.

برای دانلود و بررسی تعدادی از خط‌مشی‌های نمونه که باید در خط‌مشی امنیتی خود لحاظ کنید می‌توانید به www.sans.org/security-resources/policies مراجعه کنید. پیشنهاد می‌کنم حتما این‌کار را انجام دهید.

شناسایی انواع خط‌مشی‌ها

اولین چیزی که در مورد خط‌مشی‌ها باید بدانید این است که هر کدام هدف متفاوتی را دنبال می‌کند. سه نوع رایج از خط‌مشی‌ها به ترتیب استانداردها، دستورالعمل‌ها و روال‌ها هستند.

استاندارد (Standard)

اکثر خط‌مشی‌های درون یک سازمان استانداردهایی هستند که باید رعایت شوند. خط‌مشی استاندارد خط‌مشی‌ای است که باید دنبال شود و معمولاً حوزه خاصی از امنیت را پوشش می‌دهد. عدم پیروی از یک خط‌مشی استاندارد معمولاً منجر به اقدامات انضباطی مانند خاتمه همکاری  می‌شود.

رهنمودها (Guidelines)

برخی از خط‌مشی‌ها دستورالعمل‌هایی هستند که توصیه‌هایی در مورد نحوه پیروی از بهترین شیوه‌های امنیتی هستند. در گذشته، آژانس امنیت ملی (NSA) در وب‌سایت خود تعدادی دستورالعمل در مورد بهترین شیوه‌های امنیتی برای انواع مختلف سرورها و سیستم‌عامل‌ها منتشر کرده بود. البته هیچ اقدام انضباطی درباره پیروی نکردن از یک خط‌مشی توصیه نکرده بود، زیرا آن سند تنها جنبه آگاهی‌رسانی داشت.

نکته: برای آزمون گواهینامه سکیوریتی‌پلاس باید اطلاعات کافی در مورد انواع مختلف خط‌مشی‌ها داشته باشید. به عنوان مثال، تفاوت بین یک استاندارد، یک دستورالعمل و یک خط‌مشی روال را بدانید.

روال (Procedure)

نوع نهایی یک خط‌مشی رویکرد خط‌مشی رویه یا روال است که به عنوان روال عملیاتی استاندارد (SOP) سرنام standard operating procedure نیز شناخته می‌شود. SOP مراحل گام به گامی را نشان می‌دهد که نحوه پیکربندی یک سیستم، دستگاه یا دستورالعمل‌های گام به گام در مورد نحوه اجرای یک راه‌حل امنیتی خاص را نشان می‌دهد.

خط‌مشی‌های امنیتی عمومی

اگرچه سازمان‌ها ممکن است یک خط‌مشی امنیتی را صرفاً برای رعایت مقررات و استانداردها داشته باشند، اما همه سازمان‌ها به یک خط‌مشی امنیتی به عنوان نقطه شروع برای اجرای امنیت نیاز دارند، زیرا خط‌مشی امنیتی قوانین موجود در تجارت و همه بایدها و نبایدها را تعریف می‌کند. بدون وجود خط‌مشی امنیتی، تیم امنیتی نمی‌داند چه نوع کنترل‌های امنیتی را باید اجرا کند. به عنوان مثال، خط‌مشی امنیتی دارای یک دستورالعملی در ارتباط با فایروال است که تعیین می‌کند چه محصولات فایروال توسط سازمان استفاده می‌شود و چه نوع قواعدی را باید در فایروال اعمال کرد. بدون این خط‌مشی، مدیر امنیتی نمی‌داند که قرار است چه چیزی در فایروال پیکربندی شود.

نکته: برای آزمون گواهینامه سکیوریتی‌پلاس و در دنیای واقعی باید بدانید که اصطلاح کنترل امنیتی برای شناسایی هر مکانیزمی که برای محافظت از یک دارایی در سازمان استفاده می‌شود کاربرد دارد. نمونه‌هایی از کنترل‌های امنیتی فایروال‌ها، نرم‌افزارهای آنتی ویروس و فهرست‌های کنترل دسترسی هستند.

در چند شماره آینده سعی می‌کنیم نکاتی که در مورد آماده‌سازی یک خط‌مشی امنیتی سازمانی خوب باید به آن‌ها دقت کنید را بررسی کنیم. برای سهولت این خط‌مشی‌ها را به بخش‌هایی تقسیم کرده‌ام: خط‌مشی‌های مؤثر بر کاربران، خط‌مشی‌های مؤثر بر کاربران اجرایی، خط‌مشی‌های مؤثر بر مدیران و خط‌‌مشی‌های مؤثر بر مدیریت.

توجه به این نکته مهم است که یک خط‌مشی امنیتی به خوبی توسعه یافته می‌تواند همه کارمندان یک سازمان را ملزم کند تا مقررات و قوانین را رعایت کنند. یک خط‌مشی امنیتی به سازمان کمک می‌کند تا بهترین شیوه‌های امنیتی را به کار گرفته و منطبق با استانداردها گام بر دارد.

خط‌مشی‌های موثر بر کاربران 

برخی خط‌مشی‌ها تاثیر مستقیم بر کاربران دارند. به بیان دقیق‌تر، این خط‌مشی‌ها ممکن است بر نحوه تعامل روزانه کاربران با دارایی‌های درون سازمان تأثیر بگذارند. دو خط‌مشی محبوب که تاثیر مستقیمی بر کاربران دارد، خط‌مشی استفاده قابل قبول (پذیرفتنی) و خط‌مشی رمز عبور است.

خط‌مشی استفاده پذیرفتنی (Acceptable Use Policy)

خط‌مشی استفاده قابل قبول که به‌نام AUP نیز شناخته می‌شود، خط‌مشی مهمی است، زیرا به کاربران امکان می‌دهد تا بدانند که شرکت چه مواردی را به عنوان دارایی‌های خود به رسمیت می‌شناسد. از جمله این موارد باید به سرویس اینترنت، ایمیل، لپ‌تاپ و دستگاه‌های تلفن همراه اشاره کرد.

مطمئن شوید که همه کارمندان خط‌مشی استفاده قابل قبول را خوانده و امضا می‌کنند تا مطمئن شوید که آن‌ها می‌دانند در قبال استفاده از دارایی‌های شرکت مانند رایانه، سرویس اینترنت و ایمیل مسئولیت دارند. خط‌مشی استفاده قابل قبول باید توسط همه کارکنان در حین انجام فعالیت‌ها به دقت رعایت شود و باید به عنوان مدرکی مبنی بر خواندن خط‌مشی و موافقت با شرایط آن امضا شود. موضوعات زیر معمولاً توسط خط‌مشی استفاده قابل قبول پوشش داده می‌شود:

■   استفاده قابل قبول از اینترنت (Acceptable use of Internet): معمولاً قوانینی مانند ممنوعیت مشاهده محتوای نامناسب را شامل می‌شود. همچنین ممکن است بخواهید بیان کنید که آیا اینترنت باید فقط برای مقاصد تجاری استفاده شود یا شرکت اجازه می‌دهد برای مشاهده شبکه‌های اجتماعی در ساعات کاری از آن استفده کنید.

■   استفاده قابل قبول از ایمیل (Acceptable use of e-mail): این خط‌مشی باید این واقعیت را پوشش دهد که ایمیل برای استفاده تجاری است و نباید برای کارهای شخصی از آن استفاده کرد. همچنین در خط‌مشی مشخص کنید که قوانین شرکت در مورد موضوع فوروارد نامه‌ها چیست و مشخص کنید که ایمیل‌های اسپم را نمی‌توان با استفاده از حساب‌های ایمیل تجاری ارسال کرد.

■   استفاده قابل قبول از لپ‌تاپ (Acceptable use of laptops): این خط‌مشی قوانین مربوط به استفاده از لپ‌تاپ را مشخص می‌کند. ممکن است بخواهید موضوعاتی مانند قرار دادن لپ‌تاپ در ماشین را بررسی کنید، به کارمندان اعلام کنید که لپ‌تاپ‌ها باید از قفل‌های قدرتمندی استفاده کنند یا لپ‌تاپ‌ها نباید در معرض دید قرار گیرند. همچنین باید مشخص کنید که آیا محتوای لپ‌تاپ باید رمزگذاری شود و آیا کاربر می‌تواند لپ‌تاپ را به شبکه‌های غیر کاری متصل کند یا خیر.

■   استفاده قابل قبول از دستگاه‌های تلفن همراه (Acceptable use of mobile devices): این خط‌مشی باید قوانین مربوط به دستگاه‌های تلفن همراه، مانند انواع دستگاه‌های تلفن همراهی را که می‌توان برای ایمیل‌های شرکتی و تماس‌های تلفنی استفاده کرد، پوشش دهد. همچنین مشخص کنید که چقدر استفاده شخصی از دستگاه تلفن همراه مجاز است و در صورت سرقت دستگاه تلفن همراه چه باید کرد. در نهایت، ممکن است بخواهید مشخص کنید که چه ویژگی‌های یک دستگاه تلفن همراه باید فعال یا غیرفعال شود.

■   استفاده قابل قبول از رسانه‌های اجتماعی (Acceptable use of social media): این خط‌مشی باید قوانین مربوط به استفاده از رسانه‌های اجتماعی و نوع محتوایی که کارمند مجاز به مشاهده یا اشتراک‌گذاری هستند، اعلام نقطه نظرات فردی و مورد این چنینی را پوشش دهد. به عنوان مثال، یک شرکت ممکن است مشخص کند که کارمند قرار نیست از طرف شرکت اظهار نظر کند، زیرا ممکن است این ذهنیت به وجود آید که این نظرات توصیف‌کننده دیدگاه‌های شرکت هستند. به‌طور مثال، برخی شرکت‌ها در خط‌مشی مربوط به کارمندان به این نکته اشاره می‌کنند که کارمندان هنگامی که قصد دارند در مورد محصول مرتبط با صنعت آن‌ها اظهارنظر کند باید به صراحت اعلام کند برای شرکت کار می‌کند.

نکته: برای آزمون سکیوریتی مطمئن شوید که خط‌مشی استفاده قابل قبول (AUP) را می‌دانید قادر هستید انواع اقداماتی که معمولاً خط‌مشی استفاده قابل قبول را نقض می‌کنند، شناسایی کنید.

خط مشی رمز عبور (Password Policy)

خط‌مشی رمز عبور یک الگوی امنیتی مهم است که باید کاربران و مدیران به آن دقت کنند. من خط‌مشی رمز عبور را در بخش مربوط به کاربران قرار داده‌ام، اما توجه داشته باشید که مدیران نیز باید آن‌را رعایت کنند، زیرا به مدیران دیکته می‌کند که چه چیزی را به عنوان محدودیت رمز عبور برای سرورها باید تعیین کنند و علاوه بر این الزاماتی که باید برای انتخاب رمزهای عبور به آن‌ها دقت شود را بررسی می‌کند.

در ادامه برخی از ملاحظاتی که باید در خط‌مشی گذرواژه رعایت شود، توضیح داده شده است:

■   حداقل طول گذرواژه: مشخص می‌کند که کارمندان باید چند کاراکتر در گذرواژه خود داشته باشند. حداقل طول معمولی که توسط مشاغل استفاده می‌شود هشت کاراکتر است.

■   تاریخچه گذرواژه: تنظیم سابقه رمز عبور مشخص می‌کند که سیستم باید چند گذرواژه قبلی استفاده شده توسط کاربر را بررسی کند. مفهوم مهم این است که کارمندان به استفاده مجدد از رمز عبوری که در تاریخچه رمزهای عبور قرار دارد مجاز نیستند. شرکت‌ها معمولاً تاریخچه گذرواژه‌های قبلی را روی 12 یا 24 رمز عبور تنظیم می‌کنند.

■   حداکثر طول عمر گذرواژه: حداکثر طول عمر گذرواژه مشخص می‌کند که کارمند چه مدت مجاز است گذرواژه خاصی داشته باشد. این مقدار معمولاً بین 30 تا 60 روز تنظیم می‌شود و در این زمان کاربر باید رمز عبور خود را تغییر دهد.

■   حداقل سن گذرواژه حداقل سن گذرواژه حداقل تعداد روزهایی است که کاربر باید رمز عبور خود را داشته باشد. این تنظیم مانع از تغییر چندین مرتبه رمز عبور توسط کارمندان و عدم پیگیری این مسئله توسط تیم امنیتی می‌شود. زیرا همان‌گونه که اشاره کردیم سازمان باید تاریخچه‌ای از رمز‌های عبور قدیمی را داشته باشد.

■   پیچیدگی گذرواژه: تنظیمات پیچیدگی رمز عبور مشخص می‌کند که آیا به گذرواژه‌های پیچیده نیاز دارید یا خیر. رمز عبور پیچیده رمزی است که ترکیبی از حروف، اعداد و نمادها داشته باشد و از ترکیبی از حروف بزرگ و کوچک استفاده کند. به شدت توصیه می‌شود که پیچیدگی رمز عبور را در محیط خود فعال کنید.

خط‌مشی‌های مؤثر بر مدیریت پرسنل (Policies Affecting Personnel Management)

برخی خط‌مشی‌ها مستقیماً برای هر یک از اعضای تیم اجرایی یا مدیریت سطح بالای سازمان تعریف می‌شوند. خط‌مشی‌های زیر با این هدف تعریف می‌شوند تا اطمینان حاصل شود که شرکت می‌داند هنگام استخدام کارمند جدید یا ترک شرکت، چه اقداماتی باید انجام دهد:

■   قرارداد عدم افشاء (NDA): قرارداد عدم افشاء باید توسط کارمندان، پیمانکاران و پرسنل مدیریتی خوانده و امضا شود تا اذعان کنند که می‌دانند و می‌پذیرند که نمی‌توانند اطلاعات حساس شرکتی را که در حین کار در شرکت به آن دسترسی دارند به اشتراک بگذارند. NDA نه تنها در حین کار برای شرکت بلکه پس از تکمیل تعهد کاری نیز وجاهت قانونی دارد.

■   Onboarding: شرکت باید خط‌مشی‌هایی تعریف‌شده برای حضور در هیئت مدیره داشته باشد، به‌طوری که کارمندان باید آموزش‌های خاصی را ببینید تا بتوانند نقش‌های مدیریتی داشته باشند. این مورد شامل کارمندان، مدیریت و مدیران اجرایی می‌شود. Onboarding همچنین اعطای دسترسی به منابعی مانند دستگاه تلفن همراه در زمان حضور در جلسات مهم را شامل می‌شود.

■   Offboarding: به نکاتی اشاره دارد که باید هنگام خروج یک کارمند از بخش یا شرکت انجام شود. به عنوان مثال، چگونه ملزوماتی مثل کارت‌های PKI و دستگاه‌های شرکت باید جمع‌آوری شوند.

■   آموزش مداوم: از جمله امتیازات شرکتی است که واقعاً به تقویت روحیه کارکنان کمک می‌کند. شرکت باید یک خط‌مشی آموزش مداوم تعریف شده داشته باشد. به‌طوری که بودجه سالانه مشخصی برای آموزش کارمندان در نظر گرفته شده باشد.

■   خط‌مشی استفاده قابل قبول/قوانین: همانطور که توضیح داده شد، خط‌مشی استفاده قابل قبول قوانینی را برای نحوه استفاده کارکنان، مدیریت و مدیران اجرایی از فناوری‌هایی مانند دستگاه‌های تلفن همراه، ایمیل، اینترنت و رسانه‌های اجتماعی تعریف می‌کند.

■   ‌‌مقابله با عملکردهای نامطلوب با حمایت تیم اجرایی: هر خط‌مشی باید اقدامات نامطلوب را برای هر کسی که از خط‌مشی‌های امنیتی پیروی نمی‌کند مشخص کند. به عنوان مثال، باید به کارکنان هشدار داده شود که ممکن است در نتیجه عدم رعایت این خط‌مشی، شغل خود را از دست بدهند. همچنین، تیم اجرایی باید درک کند که عدم پیروی از خط‌مشی‌ها و مقررات توسط شرکت به‌طور کلی می‌تواند منجر به رد اعتبار یا مهم‌تر از آن محرومیت از ادامه فعالیت می‌شود.

خط‌مشی‌های تاثیرگذار بر مدیران

تعدادی از خط‌مشی‌های امنیتی سازمانی بر کاربران تأثیر می‌گذارد، اما خط‌مشی‌هایی نیز وجود دارند که بر عملکرد مدیران و نحوه پیگیری فعالیت آن‌ها و مدیریت دارایی‌های شبکه که از آن‌ها استفاده می‌کنند تأثیر می‌گذارد.

در شماره آینده این مبحث را بررسی خواهیم کرد.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

استخدام 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟