امنیت و حفاظت اطلاعات
باور عمومی از واژه امنیت همواره متناظر با قفل و نرده و حصار بوده است. وقتی در مورد اطلاعات صحبت می کنیم اولین نکته ای که به خاطرمان می آید انبوهی از فایلهایی است که روی رایانه نگهداری می شود. وقتی صحبت از امنیت اطلاعات می شود ناخودآگاه به یاد رایانه، کلمه عبور، اسم رمز، قفل های سخت افزاری و نرم افزاری و نرم افزارهای دیوار آتش و نظایر آن می افتیم. اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعه ای از داده ها که دارای معنی و هدف باشند اتلاق می شود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات می تواند به هر نوع از داده های معنی دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و تصویری گفته شود و حتی گفته های شفاهی ما به یکدیگر را نیز پوشش دهد. حال بگذارید مقوله امنیت اطلاعات را با چندین پرسش مهم آغاز کنیم. ما برای چه اسناد مهم خود را در گاو صندوق نگهداری می کنیم؟ به چه دلیلی در اتاق بایگانی شرکتمان را قفل می کنیم؟ به چه دلیل برای ورود به رایانه خود کلمه عبور تعیین می کنیم؟ یا به چه دلیل رایانه خود را به طور منظم ویروس یابی می کنیم؟ واقعیت این است که ما به حفاظت از اطلاعات خود اهمیت می دهیم. زیرا این اطلاعات برای تصمیم‌گیری‌ها، قضاوتها، تحلیل‌ها، یادآوری خاطرات تلخ و شیرین و کاربدهای گوناگون در لحظات گوناگون زندگی ما لازم هستند. اگر اطلاعاتی که برای تصمیم‌گیری حساس به آن نیاز داریم اصلا در دسترس نباشد یا خیلی دیر به دست ما برسد چه تصمیمی خواهیم گرفت و چقدر می توان به موثر بودن نتایج آن تصمیم اطمینان داشت
بنابراین بر اساس تاریخ توافق شده جهانی، امنیت اطلاعات، به فرآیند حفاظت اطلاعات در برابر انواع کارهای غیرمجاز شامل دسترسی، استفاده، افشا، اختلال، تغییر، مطالعه، بازرسی، ضبط یا تخریب گفته می شود. مشاهده می کنیم که کارهای ذکرشده در این تعاریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر شما مجاز به دسترسی به اطلاعاتی باشید، دسترسی کاری مطلوب و مفید محسوب می شود که به تصمیم‌گیری‌های شما کمک می‌کند. یا اگر اطلاعات منسوخ یا قدیمی باید تخریب شود تا افراد تصمیم‌گیرنده را به اشتباه نیاندازد تخریب کاری مفید و مطلوب است. ولی هنگامی که واژه غیرمجاز را در مقابل هرکدام از این کارها قرار می‌دهیم، آن کاری نامطلوب و مضر به شمار می‌رود.
با همین تعبیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آنها را گرفته باشیم، در واقع کاری نامطلوب انجام داده‌ایم و تاثیر نامطلوبی بر تصمیمات کاری و زندگی نامطلوب آنها گذاشته‌ایم. بنابرآنچه تا اینجا گفته شد، می‌توان فهمید اولین کارهایی که در حوزه امنیت اطلاعات باید انجام دهیم به ترتیب اولویت عبارتند از:
• شناسایی اطلاعات موردنظر
• شناسایی کاربرد اطلاعات شناسایی شده
• تعیین کارهای مجاز و غیرمجاز روی آن اطلاعات با توجه به کاربردهای شناسایی شده
حال که شناخت ما از اطلاعات و کاربرد آن و کارهای مجاز و غیرمجاز کامل شد، به ابتدای تعریف بالا دوباره نگاه می‌کنیم. امنیت اطلاعات یعنی حفاظت اطلاعات در برابر کارهای غیرمجاز بر روی آن اطلاعات. پس باید روش‌های برای پیش‌گیری و جلوگیری از انجام کارهای غیرمجاز تعیین کنیم و همچنین شیوه هایی مشخص کنیم که اگر برخی کارهای غیرمجاز انجام شد، چگونه واکنش نشان دهیم.
مدل درستی، محرمانگی، در دسترس بودن
این مدل پذیرفته شده جهانی برای تشریح مفاهیم پایه‌ای امنیت اطلاعات است. این مدل بر سه اصل استوار است:
• درستی: یعنی جلوگیری از تغییرات نامطلوب در اطلاعات و یا به صوت اتفاقی یا عمدی
• محرمانگی: یعنی جلوگیری از لو رفتن اطلاعات به افراد نامرتبط، توسط افراد مجاز یا غیرمجاز، به صورت اتفاقی یا عمدی
• در دسترس بودن: یهنی جلوگیری از قطع خدمات یا تخریب دارایی‌ها، به صورت اتفاقی یا عمدی
مدیریت ارتباطات و عملیات
آیا برای موارد زیر پیش بینی‌های لازم صورت گرفته و روشهای مناسبی تدوینت و اجرا می شو؟
• کنترل خطاهای نرم افزارری
• تهیه پشتیبان از اطلاعات
• تهیه سوابق عملکرد افراد
• تهیه سوابق خطاها
• توافقنامه های تبادل اطلاعات و نرم افزارها
• امنیت رسانه ها در حالت جابه جایی
• امنیت در تجارت الکترونیکی
• امنیت پست الکترونیکی
• امنیت سیستم های الکترونیکی اداری
• امنیت سیستم های در دسترس عمومی