0

مدیریت و طبقه بندی اطلاعات راهی برای جلوگیری از افشا اطلاعات

دسته بندی ها : امنیت اطلاعات, جرایم اینترنتی و رایانه ای 17 اردیبهشت 1395 مدیر سایبرلا 934 بازدید

اطلاعات می توانند به عنوان اسناد کاغذی چاپ و یا در ابزارهایی همچون هارددیسک ها، کارت های حافظه، دیسک نوری و….. به عنوان اسناد دیجیتال ذخیره شوند و یا حتی با امکاناتی جدیدتر همچون رایانش ابری (Cloud computing) اطلاعاتشان را در فضای مجازی ذخیره نمایید.

سایبرلا (CYBERLAW) به نقل از ایران‌هشدار: داده ها یا اطلاعات در محل کار و سازمان ها می توانند در اشکال مختلف مانند عکس، فیلم، فایل های پروژه، صورت جلسات، ایمیل ها و ….. ایجاد شوند. این اطلاعات می توانند به عنوان اسناد کاغذی چاپ و یا در ابزارهایی همچون هاردیسک ها، کارت های حافظه، دیسک نوری و….. به عنوان اسناد دیجیتال ذخیره شوند و یا حتی با امکاناتی جدیدتر همچون رایانش ابری (Cloud computing) اطلاعاتشان را در فضای مجازی ذخیره نمایید.
اگر اطلاعاتی را که نگهداری می کنید دارای ارزش تجاری هستند، ممکن است که رقبا بخواهند به آن اطلاعات دست پیدا کنند. در همین راستا ممکن است یک کارمند ناراضی اطلاعات را افشا کند و یا اینکه یک کارمند حریص و طمع کار بخواهد اطلاعات را به فروش برساند. از سوی دیگر، بی دقتی و سهل انگاری کارمندان نیز ممکن است باعث نشت و افشا اطلاعات شود، که در این حالت عمدی در کار نبوده و این مسئله تصادفی انجام شده است.
برای جلوگیری از رخ دادن چنین اتفاق هایی در سازمان ها، نیاز است که در محل سازمان اطلاعات طبقه بندی شوند به طوری که برای محافظت از هریک از این طبقات،رفتار متناسب با آن در نظر گرفته شود.
طبقه بندی اطلاعات
در زمینه امنیت اطلاعات، طبقه بندی داده ها و اطلاعات بر اساس میزان اهمیت و آسیب رسانی آن ها به سازمان در صورت افشا شدن و یا از بین رفتن آن ها انجام می شود.
به منظور حفاظت از اطلاعات و داده های سازمان که به مثابه جواهرات روی تاج سازمان است. متوجه ساختن کارمندان از اهمیت موضوع ذخیره سازی اطلاعات سازمان در هر نوع دیجیتال و مکتوب باید جهت آگاه سازی در سیاست های سازمان گنجانده شود.
دسته بندی اطلاعات، انواع مختلفی دارد که هر سازمان با توجه به نیازهای خود یک نوع از آن را اتخاذ می کند. برخی از انواع طبقه بندی های معمول دسته بندی اطلاعات عبارتند از : سری، محرمانه، محدود، عمومی و …..
طبقه بندی کردن اطلاعات همچنین به تعیین نوع کنترل امنیتی که برای حفاظت از آن مناسب هستند، کمک می کند.از طریق چک لیست زیر می توانید تعیین کنید، آیا سازمان شما اقدامات لازم را برای جلوگیری از نشت اطلاعات اجرا کرده است.
  • شخصی
1- آیا سازمان کارمندان را ملزم به امضای یک توافقنامه محرمانه می کند؟
الف) بله ب) خیر
2- آیا کارمندان سازمان نسبت به تهدیدات امنیتی اطلاعات و مسائل مربوط به آن آگاه هستند و مسئولیت ها و تعهدات خود نسبت به حفاظت اطلاعات در سازمان را می دانند؟
الف) بله ب) خیر
3- آیا یک فرآیند و سیستم وجود دارد که نشان دهد، چه شخصی وارد سیستم شده است و از اطلاعات استفاده کرده است؟
الف) بله ب) خیر
  • سیاست ها
4- آیا سازمان سیاستی دارد که طبقه بندی اطلاعات را تعریف کند ؟
الف) بله ب) خیر
اگر پاسخ شما به سوال 4 بله است به سوال های 5 و 6 نیز پاسخ دهید.
5- آیا سیاست های دسته بندی اطلاعات معیارهای حفاظت برای ذخیره سازی انواع داده های فیزیکی و یا دیجیتال را به تفکیک تعریف کرده است؟
الف) بله ب) خیر
6- آیا سازمان شما یک راهنما و دستورالعمل برای از بین بردن و یا طبقه بندی اطلاعات حساس تعریف کرده است؟
الف) بله ب) خیر
  • اقدامات اجرایی
7- آیا سازمان ملزم می کند که تمامی اطلاعات موجود در سازمان مشخص شوند که به چه طبقه ای از اطلاعات تعلق دارند(برچسب گذاری) ؟
الف) بله ب) خیر
8- آیا انتقال اطلاعات طبقه بندی شده محدود به کانال های رسمی شرکت است و فقط از طریق ابزار رسمی ذخیره سازی سازمان انجام می شود؟
الف) بله ب) خیر
9- آیا سازمان امکانات لازم برای از بین بردن اطلاعات حساس و یا طبقه بندی شده در اختیار کارمندان می گذارد؟( امکاناتی همچون کاغذ خردکن و یا نرم افزارامنیتی برای محافظت از داده های دیجیتال)
الف) بله ب) خیر
10- آیا سازمان شما معیارهایی را که از افشا و انتشار اطلاعات جلوگیری می کند را اجرا می کند؟ معیارهایی همچون: محدودسازی استفاده از اینترنت، عدم استفاده از ابزار ذخیره سازی غیر رسمی، نرم افزارهای نامعتبر و عدم استفاده از ابزارهای شخصی مانند لپ تاپ و گوشی های هوشمند، فلش مموری و ….
الف) بله ب) خیر
اگر پاسخ شما به تمام سوالات بله باشد. شما باید برخی اقدامات امنیتی برای جلوگیری از نشت و افشا داده در سازمان انجام دهید. اقدامات امنیتی که شما برای جلوگیری از انتشار و نشت اطلاعات در سازمانتان باید انجام دهید، فقط و تنها محدود به مواردی که در چک لیست بالا آمده است نمی شود. سازمان ها باید به دستورالعمل و راهنماها و استانداردهای امنیت اطلاعات بین المللی مراجعه و از آن ها نیز استفاده کنند.

 

 

برخی معیارها برای جلوگیری از انتشار اطلاعات :

• توافق محرمانه
یک توافق محرمانه یا غیرقابل افشا به عنوان یک قراداد مابین سازمان و کارمند است که کارمند را در به اشتراک گذاری اطلاعات دسته بندی شده، دانش سازمان و ….. به اشخاص ثالث محدد می کند.

• طبقه بندی داده ها
طبقه بندی و مشخص کردن داده ها، تضمین می کند که آن ها به مورد حفاظت قرار گرفته اند. سازمان باید یک راهنمای واضح و روشن در مورد نحوه کارکرد کارکنان با اطلاعات طبقه بندی شده فراهم کند.

• استفاده از کانال های انتقال اطلاعات و ابزارهای ذخیره سازی رسمی
به منظور کاهش خطرات افشای اطلاعات غیر مجاز یا افشای تصادفی، انتقال اطلاعات دسته بندی شده باید فقط با استفاده از ایمیل رسمی شرکت به جای استفاده از ایمیل های شخصی استفاده شود. اطمینان حاصل کنید اطلاعات طبقه بندی شده تنها از طریق ابزارهای ذخیره سازی رسمی، که تحت نظارت و کنترل منظم هستند، انتقال داده می شوند.

• رمزگذاری داده ها
از اطلاعات طبقه بندی شده ذخیره در ابزار الکترونیک از قبیل هاردیسک، فلش مموری، دیسک های نوری و … با رمزگذاری آن ها با یک الگوریتم قوی محافظت نمایید. این نحوه محافظت باعث می شود در صورتی که اگر اطلاعات گم شود و یا در اختیار دیگران قرار گیرد نتوانند به راحتی از آن ها استفاده کنند.

• از رده خارج کردن (امحا) مناسب ابزار استفاده شده
هنگامی که ابزاری برای مثال هاردیسکی که در آن داده های طبقه بندی شده ذخیره شده است که دیگر به آن نیاز ندارید، باید هنگام کنار گذاشتن آن با احتیاط رفتار نمایید. دور انداختن نامناسب در داده های طبقه بندی شده منجر به سوء استفاده و نشت اطلاعات می شود.
برای اسناد کاغذی، بهتر است که خرد شوند. برای ابزار ذخیره سازی اپتیکال( به عنوان مثال CD و یا DVD ) تخریب فیزیکی باید انجام شود. مثلا باید لایه نوری از روی دیسک از بین برود. برای ابزار ذخیره سازی الکترونیک مانند هارد دیسک ها باید اطمینان کامل حاصل شود که اطلاعات کاملا از روی آن ها پاک شده است و اگر دیگر نخواهیم از آن ها استفاده کنیم علاوه بر تخریبب فیزیکی می توان آن را در میدان مغناطیسی قوی قرار داد که دیگر قابل استفاده و بازیابی نباشد.

مدیر سایت سایبرلا
مدیر سایبرلا

مدیر سایت سایبرلا

برای مشاهده مطالب سایت از طریق کانال تلگرام می توانید عضو کانال سایبرلا شوید! عضویت در کانال تلگرام

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد. چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد. چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد. چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد. چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    سه × 4 =

    لینک کوتاه :

    عضویت در خبرنامه ویژه مشتریان سیگما پلاس

    با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!