معرفی زبان مدلسازی Archimate
2016-05-10

معماری امنیت اطلاعات

بر اساس تعریف مشترک واژه نامه‌های مختلف، مفهوم امنیت عبارتست از دوری از خطر، و مفهوم خطر عبارتست از در معرض آسیب‌دیدگی یا از دست دادن.

بنابراین هنگامی که از امنیت اطلاعات سخن به میان می‌آید، منظور حفظ و حراست از اطلاعات و دور کردن اطلاعات از خطر آسیب‌دیدگی یا از دست دادن آن است. البته در خصوص اطلاعات به دلیل ماهیت آن، گاهی ممکن است آسیب نبیند و از بین هم نرود؛ ولی افشای آن مقوله‌ای غیرمجاز به شمار برود که در ادامه مطالب به آن پرداخته خواهد شد.

لذا جهت تأمین امنیت اطلاعات سه مؤلفه مطرح می‌شود، این مؤلفه‌ها عبارتند از محرمانگی، صحت و در دسترس بودن. بنابراین امنیت اطلاعات با تحقق این سه مؤلفه بدست می‌آید. اطلاعات می‌بایست در مقابل دسترسی افراد غیرمجاز محرمانه باشد، قابل دسترس برای افراد مجاز باشد، و صحت آن اطلاعات تضمین گردد.

بر اساس بررسی های انجام شده در اکثر سازمانهای موجود امنیت اطلاعات معمولا براساس یک سری اقدامات واکنشی طراحی، جمع آوری و پیاده سازی می شود؛ به این صورت که یک نیازمندی  شناخته شده و جزئیات آن توسعه داده شده و راه حلی برای مقابله با یک وضعیت خاص ارائه می شود. در این فرایند هیچ فرصتی برای در نظر گرفتن ابعاد استراتژیک موضوع داده نمی شود و نتیجه این نوع رفتار این خواهد بود که سازمان براساس یک سری راه حل های فنی پیچیده که بر اساس تجربیات فردی ارائه شده است ساخته می شود که هریک از این راه حل ها  به طور مستقل طراحی وتوسعه داده شده اند و هیچ تضمینی برای اینکه مجموعه ی این راه حل ها با هم سازگاری و همکاری متقابل داشته باشند وجود ندارد. معمولا تحلیلی بر هزینه های بلند مدت، بویژه هزینه های عملیاتی که نسبت بالایی از هزینه های کل سازمان را در بر می گیرد انجام نمی شود و همچنین استراتژیی که بتواند از اهداف کلی سازمان حمایت کند وجود ندارد.

یک روش برای پرهیز از مشکلات بوجود آمده از تکه تکه شدن بخش های مختلف سازمان توسعه یک معماری امنیتی است که بر اساس فعالیت سازمان طراحی شده باشد؛ همچنین معماری که توصیفی از روابط بین روال های فنی و راه حل های ارائه شده برای پشتیبانی از نیاز های بلند سازمان را به صورت قابل فهم و شفاف ارائه کند. اگر معماری انتخاب شده موفق باشد، سپس یک چارچوب منطقی برای تصمیم گیری براساس مجموعه ای از راه حل های امنیتی ارائه شده مهیا خواهد شد. ضوابط تصمیم گیری باید از یک درک کامل بر آمده از نیازهای سازمان مشتق شده باشد،که این ضوابط شامل:

  •    نیاز برای کاهش هزینه؛
  •    پیمانه ای بودن؛
  •     مقیاس پذیری؛
  •    سهولت در استفاده مجدد مولفه ها؛
  •    قابلیت عملکردی؛
  •    قابلیت استفاده در سازمان؛
  •    قابلیت عملکرد هم بصورت داخلی و هم بصورت خارجی؛
  •    قابلیت یکپارچگی با معماری فناوری اطلاعات سازمان و سیستم های قبلی؛

گذشته از این، امنیت سیستم های اطلاعاتی یک قسمت کوچک از امنیت اطلاعات، تضمین صحت اطلاعات و یا مدیریت ریسک اطلاعات می باشد، که به نوبه خود بخشی از یک مبحث بزرگتر به عنوان امنیت سازمان می باشد. امنیت سازمان در برگیرنده ی: امنیت اطلاعات؛ تداوم فعالیت سازمان؛ امنیت فیزیکی و محیطی سازمان می باشد.