روش شناسي معيار خطر
ظاهرا در زمان سنجش خطر ميزان پرسش‌ها بسيار بيش از پاسخ‌هاست. اگر بتوان اين خطرها را بر حسب ارزش مالي تعيين كرد اين فرآيند بسيار ساده تر خواهد بود. اما واقعيت چيز ديگري و اينكار عملا ممكن نيست. بنابراين بايد از اطلاعات موجود در جهت سنجش خطر بهره جست. براي هر خطر خلاصه اي از بهترين ، بدترين و محكمترين وضعيت تهيه كنيد. سپس براي هر معيار خطر (پول،زمان،منابع،شهرت و زيان تجاري) ميزان آسيب هر وضعيت را مشخص كنيد. شرح كار خود را بر اساس اين معيارها تنظيم كنيد.
بهترين وضعيت:‌ سازمان بلافاصله متوجه نفوذ مي‌شود. مشكل سريعا برطرف مي‌شود و اطلاعات در بيرون سازمان درز مي‌كند. كل خسارت ناچيز است.
بدترين وضعيت:‌ يكي از مشتريان متوجه نفوذ مي‌شود و اين قضيه را به اطلاع سازمان مي‌رساند. مشكل بلافاصله برطرف نمي‌شود. اطلاعات مربوط به اين نفوذ در اختيار رسانه‌ها قرار گرفته و در مطبوعات چاپ مي‌شود. هزينه كل خسارت بالاست.

محتمل ترين وضعيت:‌ نفوذ بعد از مدتي تشخيص داده مي‌شود. برخي اطلاعات مربوط به اين حادثه به مشتريان درز مي‌كند نه كل آن لذا سازمان قادر به كنترل بخش اعظم اطلاعات است. ميزان كل خسارت متوسط است.
ويژگي‌هاي محتمل ترين وضعيت را مي‌توان بر اساس شرايط/ امنیتی حقيقتي حاكم بر سازمان تعيين نمود. در برخي موارد محتمل ترين وضعيت بدترين وضعيت است.
اكنون براي هر خطر معين نتايج احتمالي هر معيار خطر را مشخص نمائيد. پرسش‌هاي زير را بپرسيد:
– هزينه يك نفوذ موفق چقدر است؟ زمان گفتگو و رديابي كاركنان، زمان مشاوره و هزينه تجهيزات جديد
– اصلاح يك نفوذ موفق چقدر زمان مي‌برد؟ آيا يك نفوذ موفق بر محصول جديد يا برنامه‌هاي توليد موجود تاثير مي‌گذارد؟

– اين حادثه چه تاثيري نام و شهرت سازمان دارد؟
– آيا يك نفوذ موفق باعث شكست تجاري مي‌شود؟ اگر بله، چه مقدار و به چه صورت؟
زماني كه به هر سوال پاسخ ميدهيد جدولي بكشيد كه نتايج احتمالي هر خطر را نشان دهد. سپس مي‌توانيد از اين اطلاعات براي گسترش روش‌هاي مناسب مديريت خطر استفاده كنيد.

درس ۷ فرآيند امنيتي اطلاعات
ايمني اطلاعات يك فرآيند پويشگرا در مديريت خطر است. بر خلاف يك الگوي واكنشي كه در آن سازمان قبل از اقدام براي محافظت از منابع اطلاعاتي حادثه اي را تجربه مي‌كند، مدل پويشگرا قبل از بروز تخلف اقدام مي‌كند. در مدل واكنش ميزان كل هزينه مربوط به امور امنيتي نامشخص است.

كل هزينه ايمني= هزينه حادثه+ هزينه چاره جوئي
متاسفانه هزينه حادثه تا زمان وقوع آن نامشخص است. از آنجائيكه سازمان قبل از بروز حادثه هيچ اقدا مي‌نكرده است ن مي‌توان هزينه بروز احتمالي حادثه را تخمين زد. لذا ماداميكه حادثه اي بروز نكرده ميزان ريسك سازمان نامشخص است.

خوشبختانه، سازمان‌ها مي‌توانند هزينه امنيت اطلاعات را كاهش دهند. برنامه ريزي مناسب ومديريت خطر هزينه بروز يك حادثه را اگر از بين نبرد به ميزان قابل ملاحظه اي كاهش مي‌دهد. چنانچه سازمان بيش از بروز حادثه اقدامات لازم را انجام داده و از بروز حادثه ممانعت به عمل آورده باشد هزينه آن چنين برآورد مي‌شود.
هزينه امنيت اطلاعات= هزينه چاره جوئي
توجه داشته باشيد كه:
هزينه حادثه + هزينه چاره جوئي << هزينه چاره جوئي است.

انجام اقدام مناسب پيش از بروز يك روش پويشگر در امنيت اطلاعات است. در اين روش سازمان نقاط ضعف خود را مشخص مي‌كند و ميزان خطري را كه سازمان در زمان بروز حادثه با آن مواجه خواهد شد را مشخص مي‌كند.اكنون سازمان مي‌تواند راه حل‌هاي مقرون به صرفه را برگزيند. اين نخستين قدم در فرآيند امنيت اطلاعات است.
فرآيند امنيت اطلاعات (رجوع كنيد به شكل ۱-۷) يك فرايند متفاوت است كه از ۵ مرحله مهم تشكيل يافته است:
۱- ارزيابي وتشخيص ۲- سياست و تدبير ۳- اجرا و به كار ۴- آموزش ۵- حسابرسي
هركدام از اين مراحل به تنهائي براي سازمان ارزش و اعتبار به همراه دارند هر چند زماني كه همه با هم به خدمت گرفته شوند بنياني را به وجود مي‌آورندكه سازمان مي‌تواند بر اساس آن خطر بروز حوادث امنيت اطلاعات را به نحوي كارآمد كنترل و مديريت نمايد.
نوع ارزيابي سازمان تغييري در اين اهداف ايجاد ن مي‌كند. البته ميزان نيل به هدف نيز به محدوده كار بستگي دارد. بطور كلي ۵ نوع ارزيابي وجوددارد:

ارزيابي آسيب پذيري در سطح سيستم
سيستمهاي رايانه اي از نظر آسيب پذيري‌هاي مشخص و اجراي سياست اوليه مورد بررسي قرار مي‌گيرند.
ارزيابي خطر در سطح شبكه
كل شبكه رايانه اي و شالوده اطلاعات سازمان از نظر مناطق خطر مورد ارزيابي قرار مي‌گيرد.
ارزيابي خطر در سطح سازمان
كل سازمان مورد تجزيه و تحليل قرار مي‌گيرد تا خطراتي را كه مستقيما دارائي‌هاي سازمان را تهديد مي‌كنند مشخص كند. كليه انواع اطلاعات از جمله اطلاعات الكترونيكي و فيزيكي بررسي مي‌شوند.

حسابرسي
سياستهاي خاص بررسي شده و تابعيت سازمان از آن‌ها مورد بازبيني قرار مي‌گيرد.
تست نفوذ
در اين بحث فرض، بر اين است كه حسابرسي و تست نفوذ در مرحله حسابرسي پوشش داده مي‌شوند. هر دو اين ارزيابي‌ها بيانگر نوعي شناخت قبلي از خطر و به انجام فعاليت‌هاي امنيتي و مديريت خطر است. هيچكدام از اين ارزيابي‌ها زماني كه سازمان تلاش مي‌كند تا وضعيت ايمني موجود درون سازمان را شناسائي كند مناسب نيست.
ارزيابي شما بايد بعد از جمع آوري اطلاعات از سه منبع اصلي صورت بگيرد.
– مصاحبه با كاركنان
– بازبيني مدارك و اسناد
– بررسي فيزيكي

مصاحبه بايد با افراد مناسبي صورت بگيرد كه اطلاعاتي در مورد سيستمهاي ايمني موجود و نحوه عملكرد شركت در اختيارتان بگذارند. تركيب مناسب موقعيت كاركنان و مديريت بسيار حائز اهميت است. مصاحبه‌ها نبايد خصمانه باشند. مصاحبه كننده بايد سعي كند با توضيح هدف ارزيابي و اينكه فرد مصاحبه شوند چگونه مي‌تواند در حفظ اطلاعات سازمان كمك كند به وي آرامش دهد. همچنين بايد به مصاحبه شونده اطمينان داد كه در بيان اطلاعات نا مي‌از وي به ميان نخواهد آمد.
همچنين بايد كليه سياست‌هاي حفظ ايمني موجود و نيز مدارك مهم و اصلي وضع موجود مورد بازبيني قراربگيرند. اين بررسي نبايد به مداركي كامل شده از محدود شود. اسناد پيش نويش نيز بايد بررسي شوند.
آخرين اطلاعاتي كه بايد جمع آوري شود مربوط به بررسي فيزيكي تسهيلات سازمان است. در صورت امكان كليه وسايل و اتاق‌ها را بررسي كنيد.
ارزيابي

فرآيند ارزيابي اطلاعات با ارزيابي آغاز مي‌شود. ارزيابي به پرسش‌هاي بنيادين “ماكه هستيم؟” و “كجا مي‌رويم؟” پاسخ مي‌دهد. ارزيابي براي تعيين ارزش مجموعه اطلاعات يك سازمان، ميزان تهديدها و آسيب‌هاي اطلاعاتي و اهميت خطرپذيري سازمان مورد استفاده قرار مي‌گيرد. واضح است كه اين مرحله حائز اهميت است زيرا بدون آگاهي از وضعيت موجود خطري كه ذخيره اطلاعاتي يك سازمان را تهديد مي‌كند به كارگيري يك برنامه امنيتي مناسب براي حفظ اين گنجينه اطلاعاتي غيرممكن است.
اين امر با روش مديريت خطر كه در ذيل آمده ميسر مي‌شود. پس از تعيين نوع و ميزان خطر مي‌توانيد راهكارهاي مقرون به صرفه اي را براي كاهش يا از بين بردن خطر برگزينيد.
اهداف ارزيابي ايمني اطلاعات عبارتند از:

– تعيين ارزش ذخيره اطلاعات
– تعيين آنچه كه حريم، كليت، موجوديت و / يا قابل قبول بودن اطلاعات را تهديد مي‌كند.
– تعيين آسيب‌هاي موجود حاصل از فعاليت‌هاي فعلي سازمان
– تعيين خطراتي كه به خاطر وجود اطلاعات سازمان را تهديد مي‌كنند.
– توصيه تغييراتي كه به خاطر وجود اطلاعات سازمان را تهديد مي‌كنند.
– توصيه تغييراتي جهت كاهش خطر تا حد قابل قبول
– ارائه شالوده اي كه بر اساس آن بتوان طرح ايمني مناسبي به وجود آورد.

هنگام ارزيابي يك سازمان،موارد ذيل را بررسي كنيد:
– شبكه سازمان
– اقدامات امنيتي فيزيكي در سازمان
– سياست‌ها و روش‌هاي فعلي سازمان
– اقدامات احتياطي كه سازمان در نظر گرفته است.
– ميزان آگاهي كاركنان از مسائل امنيتي
– كاركنان سازمان
– ميزان كار كاركنان
– برخورد و نگرش كاركنان
– وفاداري كاركنان به سياست‌ها و روش‌هاي موجود

 

شبكه رايانه اي
شبكه رايانه اي سازمان معمولا ساده ترين وسيله براي دستيابي به اطلاعات و سيستمهاست. هنگام بررسي شبكه ابتدا با نمودار شبكه شروع كنيد و هر نقطه اتصال را بررسي كنيد.
توجه: ‌نمودارهاي شبكه اغلب نادرست يا قديمي‌اند بنابراين نبايد نمودارها را تنها منابع اطلاعاتي براي تشخيص اجزاي اصلي شبكه مورد استفاده قرار بگيرند.
موقعيت سرورها، سيستمهاي دسك تاپ، دسترسي به اينترنت، دسترسي به تلفن و اتصال به سايت‌هاي غريبه و ساير سازمان‌ها بايد نشان داده شود. از نمودار شبكه و بحث و تبادل نظر با مسئولين شبكه اطلاعات زير را جمع آوري كنيد:

– نوع و تعداد سيستمهاي شبكه
– سيستمهاي اپراتور و ورژن‌ها
– توپولوژي شبكه (سويچ، مسير،پل و غيره)
– نقاط دسترسي به شبكه
– نوع، تعداد و ورژن هر كدام از دیوارهای آتش
– نقاط دسترسي به تلفن
– نوع دسترسي به سيستمهاي بيگانه
– توپولوژي شبكه در يك محدوده گسترده
– نقاط دسترسي در سايت‌هاي بيگانه

– نقاط دسترسي به ساير سازمان‌ها
– موقعيت سرور وب، سرورهاي ftp و گذرگاه ايميل
– پروتكل‌هاي مورد استفاده در شبكه
– چه كسي شبكه را كنترل مي‌كند؟
پس از آنكه ساختار شبكه مشخص شد مكانيزم دفاعي درون شبكه را مشخص كنيد،از جمله :‌

-مسیریاب دسترسی دارد به لیست‌های مرکزی و دیوارهای آتش که مسلط است بر همه نقاط قابل دسترسی اینترنت
– مكانيزم هوشمند مورد استفاده براي دسترسي از راه دور
– مكانيزم دفاعي در نقاط دسترسي به ساير سازمان‌ها
– مكانيزم دسترسي از راه دور مورد استفاده براي انتقال و ذخيره اطلاعات
– مكانيزم رمزگذاري مورد استفاده براي محافظت از رايانه‌هاي قابل حمل
– سيستمهاي آنتي ويروس در محل سرورها،دسك تاپ‌ها و سيستمهاي ايميل.
– وضعيت ايمني سرور

چنانچه مسئولين شبكه و سيستم نتوانند اطلاعات دقيقي از وضعيت ايمني سرورها در اختيارتان بگذارند بررسي دقيق سرورها ضرورت مي‌يابد. اين بررسي بايد شامل الزامات كلمه عبور و وضعيت رسيدگي به هر سيستم ونيز سطوح اتصال سيستم موجود باشد.
ازمسئوين شبكه در مورد نوع سيستم مديريت شبكه در حال استفاده سوال كنيد. اطلاعاتي هم در مورد نوع آلارم‌ها وكساني كه سيستم را كنترل مي‌كنند جمع آوري كنيد. اين اطلاعات را مي‌توان براي تشخيص اينكه كاركناني كه از سيستم‌هاي موجود استفاده مي‌كنند متوجه حمله مي‌شوند يا نه مورد استفاده قرار داد.
در آخر شمابايد يك اسكن از كليه سيستمها جهت تشخيص ميزان آسيب پذيري داشته باشيد. اسكن‌ها بايد به صورت داخلي (از يك سيستم وصل به شبكه داخلي) و خارجي (از يك سيستم اينترنت خارج از ديوار آتش سازمان) صورت بگيرد. نتايج هر دو اسكن حائز اهميت اند چرا كه آسيب پذيرهائي ناشي از تهديدهاي داخلي وخارجي را مشخص مي‌كند.

امنيت فيزيكي

امنيت فيزيكي ساختمان سازمان عامل مهمی مي‌در ايمني اطلاعات است. بررسي اقدامات امنيت فيزيكي سازمان بايد شامل كنترل دسترسي فيزيكي به سايت و نيز مناطق حساس درون سايت باشد. مثلا، كنترل دسترسي فيزيكي به مركز اطلاعات بايد جدا از كل ساختمان باشد. ياحداقل دسترسي به مركز اطلاعات بايد كاملا محدود باشد. هنگام بررسي اقداماتي كه در جهت امنيت فيزيكي سازمان صورت گرفته اند موارد ذيل را مشخص كنيد:
– نوع محافظت‌هاي فيزيكي سايت، فضاي اتاق، ثبت كاغذها و مركز اطلاعات
– كليد درب‌ها دست چه كسي است؟

– علاوه بر مركز اطلاعات و آنچه در مورد اين مناطق بسيار حائز اهميت است چه مناطق حيائي ديگري در سايت يا ساختمان وجود دارد.
همچنين بايد موقعيت خطوط ارتباطي درون ساختمان و محلي كه خطوط ارتباط وارد ساختمان مي‌شوند را مشخص كنيد. اين مكان‌ها جاهائي هستند كه ممكن است محل‌هاي خرابي شبكه در آنجا قرار داده شوند لذا كليه اين امكان‌ها بايد در فهرست مكان‌هاي حساس يا حياتي قرار گيرند. اين‌ها سايت‌هائي هستند كه ممكن است تنها به خاطر موقعيت مكاني شان دچار وقفه يا خاموشي شوند.

امنيت فيزيكي شامل برق، كنترل محيط و سيستمهاي اطفاي حريق مورد استفاده در مركز اطلاعات مي‌شود. اطلاعات ذيل را در مورد اين سيستمها جمع آوري كنيد:
– برق سايت چگونه تامين شده است
– برق چگونه به مركز اطلاعات مي‌رسد
– انواع UPS موجود در محل كدامند
– UPS‌هاي موجود چه مدت سيستم را سرپا نگه مي‌دارند.
– چنانچه برق دچار مشكل شده و يا UPS قطع شود چه كسي مطلع مي‌گردد
– كنترل‌هاي محيطي متصل به UPS كدامند
– كنترل‌هاي محيطي محل مركز اطلاعات از چه نوع هستند

– در صورت بروز نقصان در كنترل‌هاي محيط چه كسي مطلع مي‌شود
– سيستم اطفاء‌حريق موجود در مركز اطلاعات از كدام نوع است
– آيا ممكن است سيستم اطفاء‌حريق با آتشي كه مركز اطلاعات را تهديد ن مي‌كند منفجر شود
بايد توجه داشت كه بسياري از مهارهاي آتش به سيستم‌هاي افشانه اي در كليه قسمتهاي ساختمان از جمله مركز اطلاعات نياز دارند. در اينصورت بايد از سيستم غيرآبي قبل از راه اندازي افشانه‌ها استفاده كرد.

سيسات‌ها و روش‌ها
بسياري از سياست‌ها و روش‌هاي سازماني به امنيت مربوط مي‌شوند. در زمان ارزيابي كليه اسناد و مدارك مربوط از جمله موارد ذيل را بررسي كنيد:
– سياست ايمني
– سياست اطلاعات
– طرح ساماندهي به بلايا یا حوادث ناگوار
– روش واكنش در برابر حادثه
– روش‌ها و سياست پشتيباني
– دفترچه راهنماي كاركنان يا سياست‌هاي سازمان
– چك ليست استخدا مي‌جديد
– روش جديد استخدام

– راهنماي شناسائي سيستم
– سياست امنيت فيزيكي
– متولوژي توسعه نرم افزار
– روش‌هاي تغيير نرم افزار
– سياست‌هاي مخابراتي
– نمودارهاي شبكه
– چارت‌هاي سازماني
پس از تعيين روش‌ها و سياست‌ها هركدام را از نظر، ارتباط، درستي، بي عيب و نقص بودن و مداول بودن بررسي كنيد.
هر كدام از روش‌ها و سياست‌هاي سازمان بايد مرتبط با فعاليت تجاري رايج و موجود در سازمان باشند. سياست‌هاي گروهي هميشه هم كارآمد نيستند چرا كه برخي نكات خاص سازماني را در نظر نمي‌گيرند. روش‌ها بايد نحوه عملكرد فعلي سازمان را تعريف كنند.

سياست‌ها و روش‌ها بايد متناسب با هدف تعريف شده اسناد و مدارك باشند. هنگام بررسي درستي و صحت مدارك هر بند آن را بررسي كنيد تا مطمئن شويد كه مطابق با هدف تعيين شده روش يا سياست اتخاذ شده است. مثلا اگر هدف سياست امنيتي سازمان تعريف الزامات امنيتي براي كليه سيستمهاي رايانه اي باشد نبايد وضعيتي خاص را فقط براي سيستمهاي پردازنده مركزي تعريف كند بلكه بايد دربرگيرنده دسك تاپ‌ها و سيستمهاي سرور مشتري نيز باشد.
سياست‌ها و روش‌ها بايد دربرگيرنده كليه جوانب عملكرد سازمان باشند. معمولا نمونه‌هائي يافت مي‌شوند كه در آنها جنبه‌هاي مختلف كار يك سازمان در نظر گرفته نشده اند يا احتمالا در زمان اتخاذ روش يا سياست اوليه موجود نبوده اند. تغيير در تكنولوژي اغلب باعث تغيير در روش‌ها و سياست‌هاست.

روش‌ها و سياست‌ها هم ممكن است قديمي‌ و منسوخ شوند و اين امر نه به خاطر استفاده بيش از حد كه به سبب غفلت و فراموشي است. وقتي يك سند بسيار قديمي‌ مي‌شود (وقتي مدت زيادي از يك سند مي‌گذرد) غيرقابل استفاده شده و به گونه اي نامناسب كنار گذاشته مي‌شود. سازمان‌ها پيشرفت مي‌كنند و سيستمها و شبكه‌ها تغيير مي‌يابند. اگر سندي مطابق (متناسب)، با سيستمهاي جديد با فعاليت‌هاي تجاري تازه تغيير نكنند از رده خارج شده و كنار گذاشته مي‌شود. سياست‌ها و روش‌ها بايد مرتبا به روز شوند.
يك ارزيابي علاوه بر اسناد فوق الذكر بايد برنامه امنيت اطلاعات سازمان را بررسي و مواد آموزشي مورد استفاده در كلاس‌هاي آموزشي را مرور و بازبيني نمايد. اين موارد را با اسناد سياست و روش سازمان مقايسه كنيد تا از انعكاس مناسب و صحيح مفاد آموزشي كلاس در سياست سازمان اطمينان يابيد.

و بالاخره، ارزيابي بايد حوادث اخير و گزارشات حسابرسي را نيز بررسي نمايد. اين بدان معني نيست كه بگذاريم ارزيابي جديد بر پايه كار قبلي باشد بلكه براي مشخص شدن اين نكته است كه آيا سازمان در موارد (محدوده) مورد نظر ، پيشرفتي حاصل كرده يا خير.
احتياط‌ها(هشدارها)

هشدار دهنده‌ها سيستمهاي “درست به موقعي” هستند كه براي بازسازي فعاليت‌هابه هنگام بروز حادثه ناگوار مورداستفاده قرار مي‌گيرند.

دو بخش اساسي هشدارها عبارتند از سيستمهاي پشتيباني و طرح‌هاي جبران بلا (حادثه)
هنگام ارزيابي سودمندي سيستمهاي پشتيباني بررسي‌ها بايد دقيق تر باشند و تنها به مشاهده روش‌ها و سياست پشتيباني محدود نشوند. با اپراتورهاي سيستم گفتگو كنيد تا از چگونگي كاربري سيستم آگاهي حاصل كنيد. ارزيابي بايد سوالاتي نظير آنچه در ذيل آمده را دربرگيرد:

– از چه نوع سيستم پشتيباني استفاده مي‌شود؟
– كدام سيستمها و با چه فاصله زماني پشتيباني back up مي‌شوند؟
– پشتيبان‌ها در كجا ذخيره شده اند؟
– پشتيبان‌ها هر چند وقت يكبار وارد بايگاني (ذخيره) مي‌شوند؟
– آيا تا به حال پشتيبان‌ها واسي شده اند؟
– پشتيبان به چه صورت بايد مورد استفاده قرار بگيرند؟
– تا به حال كار پشتيباني با شكست مواجه شده است؟
پاسخ اين پرسش‌ها كارآمدي سيستم پشتيباني موجود را مشخص مي‌كند.

برنامه (طرح) جبران حادثه و ساير سياست‌ها و روش‌ها را بررسي كنيد، از طرح نت برداري كنيد و از كامل بودن آن اطمينان يابيد. اينكه طرح دقيقا چگونه مورد استفاده قرار ميگيرد تنها با خواندن مشخص نمي‌شوند. بايد با كاركناني كه از اين طرح استفاده مي‌كنند گفتگو كنيد تا مشخص شود كه طرح تا به حال مورد استفاده قرار گرفته يا نه و اگر از آن استفاده شده واقعا كارآمد بوده يا نه. هنگام مصاحبه (گفتگو) با كاركنان پرسش‌هاي ذيل را در مورد طرح جبران حادثه بپرسيد:
– آيا طرح جبران حادثه يا ادامه تجارت تا به حال مورد استفاده قرار گرفته يا خير؟
– نتيجه چه بوده است؟
– تجهيزات موجود براي خلاصي از حادثه كدامند؟
– آيا مكان ديگري موجود است؟
– چه كسي مسئول امور مربوط به جبران حادثه است؟
آگاهي

رياست‌ها و روش‌ها فوق العاده اند و چنانچه به آنها عمل شود و كاركان از آنها مطلع شوند ايمني سازمان را به ميزان قابل توجهي افزايش مي‌دهند. هنگام ارزيابي زماني را به گفتگو با كاركنان عادي (كساني كه مسئوليت اجرائي يا مديريتي) ندارند اختصاص دهيد تا ميزان آگاهي آنها از روش‌ها و سياست‌هاي شركت و فعاليتهاي خوب امنيتي برايتان مشخص شود. علاوه بر اين گفتگوها به محوطه دفتر كار برويد و بدنبال نشانه‌هائي حاكي از عدم پيروي از سياست‌هاي اتخاذ شده بگرديد. شاخص‌هاي مهم ممكن است تكه‌هاي كاغذ كه رمز عبور روي آن نوشته شده يا سيستمهاي روشني باشد كه كاركنان يك روز آنها را ترك كرده اند.

آگاهي مديريت نيز حائز اهميت است. ظاهرا مديران بايد از سياست‌هاي شركت در مورد تشخيص سيستمها آگاهي داشته باشند.
مديران همچنين بايد از آسيب‌هائي كه ايمني را تهديد مي‌كنند و علائمي‌ كه نشانه به خطر افتادن سيستم اند آگاهي داشته باشد.
شايد مهمتر از همه اين باشد كه مديران بدانند درصورت بروز خطر براي سيستم چه كاري بايد انجام دهند.
مردم
كاركنان يك سازمان بيشترين تاثير

را بر كل ايمني محيط دارند. فقدان مهارت يا مهارت‌هاي بسيار ممكن است باعث شكست برنامه‌هاي ايمني شوند كه به خوبي ساماندهي شده اند. سطح مهارت كاركنان و مديران امنيتي را بررسي كنيد تا مطمئن شويد كاركنان از مهارت‌هاي لازم جهت اجراي يك برنامه امنيتي برخوردارند. مديران بايد از مهارت لازم جهت مديريت مناسب سيستم‌ها و شبكه‌هاي درون سازمان برخوردار باشند.

جامعه كاربر در سازمان بايد با حداقل مهارت‌هاي رايانه اي آشنائي داشته باشند. البته چنانچه جامعه كاربر بسيار ماهر باشند (مثلا كاركنان يك شركت توسعه نرم افزار) ممكن است موارد امنيتي ديگري مطرح شوند. در مورد كاربران فن آوري تكنولوژي ممكن است نرم افزار ديگري روي دسك تاپ سيستمها نصب شود كه بر ايمني كلي سازمان تاثير مي‌گذارد. چنين افرادي به احتمال زياد مهارت و دانش لازم جهت ايجاد آسيب‌هاي داخلي به سيستم را در اختياردارند.
از حسابرسان سازمان درخواست مي‌شود تا بررسي سيستمها و شبكه را بخشي از كار خود قرار دهند. حسابرساني كه فن آوري و سيستمهاي مورد استفاده در سازمان را مي‌شناسند موارد و موضوعات را بسيار بهتر از حسابرساني كه با فن آوري آشنائي ندارند تشخيص مي‌دهند.

ميزان كار
حتي كاركنان ماهر و آگاه نيز چناچه كارشان زياد باشد براي رسيدگي به ايمني محيط ندارند. وقتي ميزان كار افزايش مي‌يابد ايمني يكي از نخستين اموري است كه به فراموشي سپرده مي‌شود. مديران دفاتر حسابرسان را چك نمي‌كنند. كاربران از كلمات عبور مشترك استفاده مي‌كنند و روسا آموزش‌هاي لازم را دنبال نمي‌كنند.
باز هم يادآوري مي‌كنيم كه حتي سازمان‌هائي كه سياست‌ها و روش‌هاي متفكرانه و خوبي اتخاذ كرده اند در صورت بالا بودن حجم كار كاركنان با آسيب‌هاي ايمني مواجه خواهند شد. و در بسياري از موارد اين چنيني مشكل آنچه كه به نظر مي‌آيد نيست. در هنگام ارزيابي بايد مشخص كنيد كه ميزان كار يك مشكل موقت است كه حل ميشود يا نگرش كلي سازمان است.
رويكرد (نگرش)
رويكرد مديريت با توجه به اهميت ايمني يكي ديگر از جنبه‌هاي مهم ايمني كلي محيط است. اين رويكرد را مي‌توان با تحقيق درباره كسي كه مسئول ايمني در درون سازمان است شناسائي نمود. نحوه انتقال تعهدات مديريت به كاركنان بخش ديگري از معامله رويكرد است.
انتقال يك تعهد ايمني داراي دو بخش است:‌رويكرد مديريت و مكانيزم انتقال. ممكن است مديريت به اهميت ايمني آگاه باشد اما چنانچه آن را به كاركنان خود منتقل نكند، كاركنان از اهميت ايمني آگاهي نمي‌يابند.
هنگام ارزيابي رويكرد سازمان بررسي آگاهي و شناخت مديريت و درك كاركنان از رويكرد مديريت حائز اهميت است. به عبارت ديگر بايد در اين مورد هم با مديريت و هم با كاركنان گفتگو كرد.

وفاداري
هنگام تعيين امنيت آتي محيط بايد امنيت واقعي محيط را نيز شناسايي كنيد. محيط آتي با سياست، رويكرد و مكانيزم‌هاي موجود تعريف مي‌شود. محيط واقعي را مي‌توان با تعيين ميزان واقعي رعايت سياست‌ها از سوي مديران و كاركنان شناسائي نمود. مثلا چنانچه سياست ايمني مستلزم اين باشد كه دفاتر حسابرسي هر هفته بررسي شوند اما مديران اينكار را انجام ندهند نسبت به اين سياست ضروري وفادار نبوده اند.
در مورد سياستي كه كلمه عبور هشت رقمي ‌را براي كليه كاركنان ضروري مي‌داند نيز چنين است. چنانچه مديريت يك سازمان به مسئولين سيستم بگويد كه ترتيب اتخاذ كنند كه كلمات عبور هشت رقمي‌ نباشند اين نشاندهنده عدم وفاداري مديريت است. و مسلما عدم وفاداري مديريت به معني عدم رعايت سياست‌هاي سازمان از سوي مسئولين و ساير كاركنان است.

تجارت
و سرانجام فعاليت تجاري را بررسي كنيد. از كاركنان بپرسيد كه هزينه لطمه خوردن به اطلاعات محرمانه. كامل و بي عيب و نقص، قابل اعتماد و موجود سازمان چقدر است. سعي كنيد سازمان را وادار كنيد تا ميزان هرگونه خسارت را بر حسب پول، زمان صرف شده، شهرت و اعتبار از دست رفته يا خسران تجاري مشخص كنند.
هنگام تحقيق در مورد تجارت سعي كنيد جريان انتقال اطلاعات در سازمان را بين بخش‌ها، سايت‌ها، داخل بخش‌ها و در ارتباط با ساير سازمان‌ها بررسي كنيد. سعي كنيد چگونگي تاثير هر حلقه زنجيره را بر اطلاعات و چگونگي وابستگي هر بخش از سازمان به ساير بخش‌ها را مشخص كنيد.
بخشي از ارزيابي بايد تلاش در جهت شناسائي سيستمها و شبكه‌هاي حائز اهميت در عملكرد اصلي سازمان باشد. اگر سازمان در كار تجارت الكترونيك باشد كدام سيستمها مورد استفاده قرار مي‌گيرند تا معامله صورت بگيرد؟ واضح است كه وب سرور موردنياز است اما سيستمهاي ديگر چه؟ شناسائي سيستمهاي back-end ممكن است منجر به شناسائي ساير خطرات سازمان شود.
نتايج ارزيابي
پس از جمع آوري و تكميل كليه اطلاعات تيم ارزيابي بايد به تجزيه و تحليل اطلاعات بپردازد. ارزيابي ايمن سازمان به صورت اطلاعات پراكنده موجود در خلانيست. گروه بايد كليه آسيب‌هائي كه ايمني را در بطن سازمان تهديد مي‌كند بررسي كند. همه آسيب پذيري‌ها به معني خطر نيستند. برخي آسيب پذيري با كنترل‌هائي كه مانع بروز خطر مي‌شوند از بين مي‌روند.

پس از تكميل تجزيه و تحليل تيم ارزيابي بايد بتواند فهرست كاملي از خطرات و توصيه‌هائي براي پيشگيري از آنها به سازمان ارائه دهد. خطرات بايد از بزرگ به كوچك ارائه شوند. گروه بايد براي هر خطر هزينه اوليه را برحسب پول، زمان، منابع، اعتبار، و خسران تجاري برآور كند. معرفي هر خطر بايد با توصيه‌هاي جهت مديريت خطر همراه باشد.
مرحله نهائي ارزيابي توسعه طرح ايمني است. سازمان بايد مشخص كند كه نتايج ارزش بيانگر وضعيت واقعي ايمني و بهترين روش جهت برخورد با آن است. بايد منابعي به اين كار اختصاص داده شوند و برنامه ريزي‌هائي صورت بگيرد. بايد توجه داشت كه طرح ممكن است در ابتدا خطر را نشان ندهد. ساير موارد مانند بودجه و منابع ممكن است مانع بروز اين مسئله شوند.

تدبير
تدابير و روش‌ها معمولا مرحله بعد از ارزيابي اند. تدابير و روش‌ها وضعيتي را كه از ايمني سازمان انتظار مي‌رود مشخص مي‌كنند و نيز بيانگر كاري هستند كه بايد در زمان اجرا انجام شود. بدون تدبير طرحي وجود ندارد كه سازمان بر اساس آن بتواند برنامه ايمني اطلاعات موثري را طراحي و به خدمت گيرد. حداقل تدابير و روش‌هاي زير بايد در نظر گرفته شوند:
سياست اطلاعات: بيانگر حساسيت اطلاعات و چگونگي برخورد، ذخيره، انتقال و تخريب اطلاعات است. اين تدبير مبناي درك “علت” برنامه ايمني است.
سياست ايمني: بيانگر كنترل‌هاي فني ضروري در سيستمهاي رايانه مختلف است. سياست ايمني مبناي “هويت” برنامه ايمني است.
سياست كاربري:‌ ارائه دهنده سياست شركت با توجه به كاربري مناسب سيستم‌هاي رايانه اي شركت است.
سياست پشتيباني:‌الزامات پشتيباني سيستم‌هاي رايانه را مشخص مي‌كند.

روش‌هاي مديريت حسابداري:‌ معرف مراحلي است كه بايد طي شود تا كاربران جديدي به سيستم‌ها اضافه شوند و زماني كه ديگر نيازي به دسترسي نيست به گونه اي مناسب كاربران را حذف كنند.
روش برخورد با حادثه:‌ بيانگر اهداف و مراحل برخورد با حوادث مربوط به امنيت اطلاعات است.
طرح احيا بعد از بلا: ارائه دهنده طرحي براي بازسازي تسهيلات رايانه اي شركت بعد از يك بلاي طبيعي يا انساني است. ارائه تدبير اصولا يك فرآيند هوشمندانه است. در بسياري از بخش‌هاي سازمان افرادي هستند كه به اين تدابير علاقمندند و در ارائه آن نقش دارند. چنانچه در فصل ۵ نيز اشاره كرديم شناخت فرايند سياست مدارانه رمز ايجاد يك سياست موفق است.

انتخاب ترتيب گسترش سياست‌ها
بنابراين كدام تدبير اول قرار ميگيرد؟ پاسخ بستگي به خطراتي دارد كه در ارزيابي تعريف شده اند. چنانچه محافظت از اطلاعات به عنوان محدوده پرخطر تعريف شده باشد تدبير اطلاعات بايد يكي از نخستين تدابير باشد. از سوي ديگر، اگر بخش اعظم زيان تجاري ناشي از فقدان طرح احياء بعد از بلا محدوده پرخطر باشد اين طرح بايد يكي از اولين‌ها باشد.
عامل ديگري كه در انتخاب اينكه كدام سند اول نوشته شود نقش دارد زمان لازم براي تكميل هر كدام است. طرحهاي احياي بعد از بلا اسناد بسيار دقيقي هستند و لذا تكميل آنها نيازمند تلاش قابل ملاحظه برخي بخش‌ها و افراد است. تكميل اين طرح زمان مي‌برد و ممكن است مستلزم كمك يك پيمانكار ديگر نظير a company باشد مبلغ سرمايه گذاري شده را كه شركتي است كه يك تسهيلات و كليه تجهيزات رايانه را فراهم ميكند تا در زمان بروز بلا بهبود كامل صورت گيرد.

يكي از سياست‌هائي كه بايد در مراحل اوليه اتخاذ شود تدبير اطلاعات است. تدبير اطلاعات مبناي درك علت اهميت اطلاعات درون سازمان و نحوه دفاع از آن است. اين سند مبناي بسياري از آموزش‌هاي آگاهي دهنده در مورد ايمني است. همچنين سياست (يا سياست‌هاي، بسته به چگونگي تقسيم آن) كاربري همانند الزامات كلمه عبور در سياست ايمني بر برنامه‌هاي آموزشي آگاهي دهنده تاثير مي‌گذارند.

در بهترين حالت ممكن است چند تدبير بصورت همزمان بكار گرفته شوند. اين امر ممكن است زيرا طرفهاي ذينفع يا تدابير مختلف كمي متفاوتند. مثلا مسئولان سيستم علاقمند به تدبير ايمني اند ولي به تدبير اطلاعات كمتر علاقه نشان مي‌دهند. منابع انساني بيشتر علاقمند به تدبير كاربري و روشهاي مديريت كاربري اند تا تدبير پشتيباني و غيره. در اينصورت، بخش ايمني تعديل كننده و تسهيل كننده تشكيل اسناد است. بخش ايمني بايد در نخستين جلسه اگر نه با يك سياست پيش نويس با يك طرح كلي حضور يابد. اين نقطه شروع شده باشد.
در هر صورت، بخش ايمني بايد سند كوچكي را با تعداد معدودي افراد علاقمند براي شروع برگزيند. اين امر به احتمال زياد فرصت موفقيت سريع را فراهم مي‌آورد و سبب مي‌شود بخش ايمني بياموزد كه آگاهي‌هاي لازم جهت توليد اسناد باقيمانده چگونه بدست آورد.

به روز كردن تدابير موجود
اگر سياست و روشي از قبل وجود داشته باشد، چه بهتر. البته اين احتمال نيز وجود دارد كه لازم شود برخي اسناد موجود به روز شوند. چنانچه بخش ايمني در ايجاد سند اوليه نقشي ايفا كرده باشد نخستين كاري كه بايد انجام داد اين است كه افراد علاقمندي را كه دست اندركار سياست گذاري قبلي بوده اند مجددا دور هم جمع كرد و كاربه روزرساني را شروع كرد. از سند موجود به عنوان نقطه آغاز استفاده كنيد ونقايص (كاستي‌ها) را شناسائي كنيد.
چنانچه سند مورد بحث توسط فرد يا گروه ديگري نوشته شده كه هنوز هم در سازمان هستند،آن فرد يا گروه بايد در امر به روزرساني همكاري كند. البته بخش ايمني نبايد كنترل كار را به مالك قبلي بسپارد. در اينجا هم كار را با سند اوليه شروع و كاستي‌ها را مشخص كنيد.

چنانچه سند مورد بحث توسط فرد يا گروه ديگري نوشته شده كه هنوز هم در سازمان هستند، آن فرد يا گروه بايد در امر به روزرساني همكاري كند.
البته بخش ايمني نبايد كنترل كار را به مالك قبلي بسپارد. در اينجا هم كار را با سند اوليه شروع وكاستي‌ها را مشخص كنيد.
در صورتي كه به وجود آورنده اوليه سند ديگر در سازمان نيست معمولا شروع با يك صفحه كاغذ سفيد آسانتر است. افراد علاقمند را شناسائي و از آنها دعوت كنيد در اين كار همراهيتان كنند. بايد به آنها بگوئيد كه چرا ديگر اسناد قديمي‌ كفايت نمي‌كنند.
به كارگيري

عمل به سياست سازمان شامل شناسائي و به كارگيري ابزار فني و كنترل فيزيكي و نيز به خدمت گرفتن كاركنان امنيتي است. ممكن است اين به كارگيري مستلزم ايجاد تغيير در ارزيابي‌هاي سيستم است كه خارج ازكنترل بخش ايمني است. در اينگونه موارد به كارگيري برنامه امنيتي بايد دربرگيرنده مسئولان شبكه و سيستم نيز باشد.
هر كاربرد را در متن محيط كلي بررسي كنيد تا چگونگي ارتباط و تداخل آن با ساير كنترل‌ها را مشخص كنيد. مثلا تغييرات ايمني فيزيكي ممكن است الزامات شرايط و مقتضيات را كاهش دهد وبرعكس. به كارگيري ديوارهاي آتش ممكن است نياز به اصلاح فوري آسيب پذيري‌هاي سيستم را كاهش دهد.
سيستم‌هاي گزارش دهنده امنيتي

سيستم گزارش ايمني مكانيز مي‌براي بخش ايمني است تا وفاداري نسبت به سياست گذاري‌ها و روش‌ها و وضعيت كلي آسيب پذيري‌هاي درون سازمان را پيگيري كنند. براي اين امر مي‌توان از سيستمهاي دستي و خودكار استفاده نمود. در اكثر موارد، سيستم گزارش ايمني براي هر دو نوع سيستم تهيه مي‌شود.
استفاده از مونيتورينگ
با استفاده از مكانيزيم مونيتورينگ مي‌توان مطمئين شد كه كاركنان سياست‌هاي استفاده از رايانه را رعايت مي‌كنند، كه ممكن است نرم افزاري باشد كه استفاده از اينترنت را كنترل مي‌كند. هدف اين مكانيزم شناسائي كاركناني است كه دائما از سياست‌هاي سازمان تخطي مي‌كنند. برخي مكانيزم‌ها قادرند ضمن حفظ آثار تلاش چنين دسترسي‌هائي را مسدود كنند. استفاده از مكانيزم مونيتورينگ ممكن است شامل الزامات شناسائي ساده اي باشد كه بازي‌هاي نصب شده روي دسك تاپ را بر مي‌دارند. مكانيزم‌هاي پيچيده تر براي شناسائي نرم افزار جديد دانلود شده روي سيستم مورد استفاده قرار گيرند. چنين مكانيزم‌هائي نيازمند همكاري ميان مسئولين و بخش ايمني است.
اسكن آسيب پذيري سيستم
آسيب پذيري‌هاي سيستم موضوع بسيار مهمي ‌در بحث ايمني از نصب نادرست(ناقص) سيستم اپراتور معمولا با يكسري فرآيندهاي غيرضروري و آسيب ايمني همراه است. درحاليكه تشخيص چنين آسيب پذيري‌هائي موضوع ساده اي براي بخش ايمني است كه از ابزارهاي امروزي استفاده مي‌كند، اصلاح چنين آسيب‌هائي يك فرآيند وقت گير براي مسئولان است.
بخش‌هاي ايمني بايد به صورت دوره اي يكسري سيستمهاي روي شبكه و يكسري آسيب‌هاي روي اين سيستم‌ها را بررسي كنند. گزارش آسيب‌ها بايد جهت اصلاح يا توضيح در اختيار مسئولان سيستم قرار بگيرد. سيستم‌هاي جديدي كه شناسائي مي‌شوند بايد به مسئولين سيستم معرفي شوند تا هدف آنها مشخص شود.
رعايت سياست
رعايت (وفاداري به) سياست يكي از وقت گيرترين كارهاي بخش ايمني است. دو مكانيزم براي تشخيص رعايت سياست وجود دارد:‌
خودكار يا دستي. در مكانيزم دستي كاركنان بخش ايمني بايد سيستمها را بررسي كنند و ضمن شناسائي سيستم مشخص كنند كه كليه جوانب سياست ايمني اجرا مي‌شوند يا نه. اين كار بسيار وقت گير بوده و احتمال خطا در آن وجود دارد. اغلب بخش ايمني يك نمونه از كل سيستم‌هاي موجود در يك سازمان را بر مي‌گزينند و تست‌هاي دوره اي انجام مي‌دهد. اگرچه اين روش وقت كمتري مي‌خواهد ليكن چندان كامل نيست.
امروزه مكانيزم‌هاي نرم افزاري وجود دارند كه بصورت خودكار ميزان وفاداري به سياست سازمان را چك مي‌كنند. راه اندازي و تشخيص اين مكانيزم به وقت بيشتري نياز دارد اما نتايج كاملتري را به موقع ارائه مي‌دهد. چنين مكانيزم‌هاي نرم افزاري نيازمند ياري مسئولان سيستم اند چرا كه بايد نرم افزار سيستم چك شود. با استفاده از اين مكانيزم‌ها بررسي رعايت سياست سازمان به صورت مرتب صورت گرفته و نتايج به مسئول سيستم گزارش مي‌شود.

سيستم‌هاي تائيد

سيستم‌هاي تائيد مكانيزم‌هائي هستند كه براي اثبات هويت كه مايل به استفاده از سيستم يادسترسي به شبكه هستند مورد استفاده قرار ميگيرند. چنين مكانيزم‌هائي را مي‌توان براي اثبات هويت افرادي كه مي‌خواهند دسترسي فيزيكي به تسهيلات داشته باشند نيز مورد استفاده قرار داد.
مكانيزم‌هاي تائيد در اشكال محدوديت‌هاي كلمه عبور،كارت‌هاي هوشمند يا بايو متريك‌ها وجود دارند. بايد توجه داشت كه مكانيزم‌هاي تائيد بوسيله هريك از كابران سيستم‌هاي رايانه سازمان مورد استفاده قرار مي‌گيرد. اين بدان معناست كه تحصيلات وآگاهي كاربر جنبه‌هاي مهم كاربرد مكانيزم تائيداند. الزامات مكانيزم‌هاي تائيد بايد در برنامه‌هاي آموزشي آگاهي دهنده به كاربران لحاظ شوند. چنانچه تغييرات مكانيزم‌هاي تائيد به خوبي به كاربران معرفي نشود بخش سيستم‌هاي اطلاعاتي سازمان با افزايش قابل ملاحظه درخواست كمك مواجه شده و سازمان با كاهش قابل ملاحظه توليد روبرو مي‌شودچرا كه كاربران درحال يادگيري چگونگي استفاده از سيستم‌هاي جديدند. تحت هيچ شرايطي نبايد بدون يك برنامه آموزشي براي كاربران در مكانيزم تائيد تغيير ايجاد كرد.

مكانيزم‌هاي تائيد بر كليه سيستم‌هاي درون سازمان تاثير مي‌گذارند. هيچ مكانيزم تغييري نبايد بدون برنامه ريزي مناسب به كار گرفته شود. بخش ايمني بايد مسئولين سيستم كار كند تا كار اجرا بدرستي صورت بگيرد.