یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی (Access Control) به اطلاعات است. مدیران سازمانی همواره با این چالش مواجهاند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند.
استاندارد ISO/IEC 27001:2013 به عنوان یک استاندارد بین المللی در حوزه امنیت اطلاعات که با عنوان سیستم مدیریت امنیت اطلاعات ISMS شناخته می شود، درحوزه کنترلی A.9 ضمیمه الف خود، به صورت خاص به موضوع کنترل دسترسی و الزامات آن پرداخته است. این الزامات می تواند به عنوان یک الگوی کنترل دسترسی در سازمان مورد استفاده قرار گیرند. در این مقاله، ضمن بررسی نیازها و انتظارات مدیران در این حوزه، به تشریح الزامات استاندارد پرداخته و برخی ابزارها جهت مدیریت بهینه این فرآیند معرفی خواهد شد.
در هر سازمان، فارغ از نوع فعالیت آن (تجارت، تولید، خدمات و ...)، اطلاعاتی وجود دارد که در قالب سیستمهای الکترونیکی و اسناد کاغذی نگهداری میگردد. این اطلاعات برای تداوم کسبوکار سازمان مهم بوده و به شیوههای مختلف در فرآیندهای روزانه استفاده میگردد.
یکی از دغدغههای مهم مدیران کسبوکار در این حوزه، چگونگی حفاظت از این اطلاعات و محدودسازی دسترسی به آنها است. بهویژه که در بسیاری از سازمانها، این اطلاعات بهعنوان دانش فنی محسوب شده و دارای ارزش مالی است.
از جمله موارد دیگری که باید به آن توجه شود:
در این راستا، برخی اقدامات به صورت تجربی و فنی در سازمان پیاده سازی می گردد که از جمله آن:
این تدابیر تا حدودی موجب حفاظت از اطلاعات و پوشش دغدغه های مالکین اطلاعات می گردد اما لزوماً راهکار صحیح جهت برطرف سازی ریسک های مرتبط با دسترسی غیرمجاز به اطلاعات نیست.
به جهت اثربخشی بهینه این فرآیند، لازم است تا الزامات بالادستی، بین المللی و دستورالعمل های موجود در سازمان بهدرستی مورد پیاده سازی قرار گیرد و ضمن اعمال سیاست ها، اجرای صحیح آن و نظارت بر اجرا نیز در دستور کار باشد.
در ادامه، الزامات استاندارد و راهکارهای موجود در هر الزام تشریح خواهد شد
استاندارد ISO/IEC 27001:2013 در حوزه کنترل A.9 در ضمیمه الف (Annex A) به صورت خاص به موضوع کنترل دسترسی پرداخته است. این الزامات در 4 هدف مختلف و در 14 کنترل به شرح ذیل ارائه شده است:
اولین هدف کنترلی این حوزه در خصوص الزامات کسبوکار سازمان در حوزه کنترل دسترسی است. از نکات قابل توجه در این هدف، لزوم تدوین سیاست در زمینه کنترل دسترسی و همچنین مستند بودن آن است.
[توجه شود که در برخی بندها و کنترلهای استاندارد ISO/IEC 27001:2013 الزامی بر مستند بودن نیست اما در برخی کنترلها (نظیر A.9.1.1) صراحتاً عبارت «مستند» ذکر شده است.]
کنترل دسترسی در دو بعد فیزیکی و سیستمی قابل سیاستگذاری است که الزامات دسترسی فیزیکی آن در حوزه A.11 استاندارد تشریح میگردد و دسترسیهای سیستمی در این حوزه از استاندارد تشریح میشود.
یکی از پیشنیازهای تعریف دسترسی به اطلاعات، طبقه بندی اطلاعات است. طبقه بندی اطلاعات می تواند از جنبه های مختلف صورت پذیرد:
اعطاء دسترسی با توجه به نیاز سازمان می تواند براساس سرویس، تجهیز، فرآیند، ... صورت پذیرد. در صورتی که یک سرویس اطلاعاتی دارای زیرمجموعه های مجزا و مختلف باشد، دسترسی می تواند به ازای هر زیرمجموعه متغیر تعریف شود. به عنوان نمونه، سیستم های یکپارچه مدیریتی که دارای زیرمجموعه های مختلف هستند، نیاز به اعطاء دسترسی جداگانه دارند.
سطح دسترسی به اطلاعات نیز باید به شیوه صحیح مدیریت شود. این سطح دسترسی می تواند از نوع خواندن، درج و تغییر، پاک کردن، تغییر تنظیمات زیربنایی، تغییر توابع سرویس و ... باشد.
در زمینه تعریف دسترسی به اطلاعات و سرویس های اطلاعاتی سازمان باید توجه شود که هر سرویس گیرنده (اعم از کاربر یا تجهیز) باید به اندازه «نیاز به دانستن» و «نیاز به استفاده» به اطلاعات دسترسی داشته باشد. در این حوزه همچنین باید قابلیت های مدیریت دسترسی در زمان طراحی یا خرید نرم افزار مورد توجه قرار گیرد.
در خصوص این هدف کنترلی و سیاست گذاری، توجه به موارد ذیل نیز توصیه می گردد:
در این هدف، الزامات مربوط مدیریت دسترسی از سمت کاربر تشریح شده است. این الزامات شامل:
در خصوص الزامات این حوزه، توجه به نکات ذیل توصیه می شود:
طبق این الزام، کاربر باید با توجه به سیاستهای موجود در سازمان، نسبت به حفاظت از اطلاعات احراز هویت خود مسئولیت پذیر بوده و در صورت بروز هرگونه مشکل (نظیر افشاء اطلاعات احراز هویت)، مراتب را به مسئول مربوطه اطلاع دهد.
یکی از راهکارهای مفید در خصوص این الزام، برگزاری دوره های آموزش و آگاهی رسانی در حوزه ریسک های جعل هویت و دسترسی به اطلاعات احراز هویت کاربر است. در این زمینه، توجه به موارد ذیل توصیه می گردد:
الزامات این هدف کنترلی در راستای پیشگیری از دسترسی غیرمجاز به سیستم های عملیاتی و نرم افزارهای کاربردی ارائه شده است. در راستای پیاده سازی این الزامات، توجه به نکات ذیل توصیه می گردد:
نصب و استفاده از ابزارهای مختلف رسمی یا غیررسمی در کنار نرمافزارهای اصلی (نظیر ابزارهای مانیتورینگ، ابزارهای گزارشساز و ...) نیز جزء الزامات این حوزه است که لازم است محدود بوده و تحت کنترل قرار گیرد.
در ادامه الزامات این حوزه به محافظت از سورس کد نرمافزارها اشاره شده است. سورس کد یک نرمافزار، جزء داراییهای اطلاعاتی سازمان بوده و نوعی مالکیت معنوی محسوب میشود. دسترسی غیرمجاز به سورس کد علاوه بر امکان سرقت نرمافزار، ریسکهای تغییر غیرمجاز را نیز به همراه خواهد داشت. در این راستا و به جهت پیشگیری از هرگونه سوء استفاده، لازم است محدودیتهایی در زمینه دسترسی به آن لحاظ گردد. استفاده از ابزارهای نسخهدهی سورس کد نظیر TFS,Jira,Git و ... در این حوزه توصیه می شود.
به صورت کلی، جهت مدیریت بهینه دسترسی به اطلاعات در سازمان، در گام ابتدایی، لازم است تا انواع دسترسی به انواع اطلاعات تعیین شود تا بتوان تعریف صحیح از دسترسی غیرمجاز ارائه نمود. فرآیند درخواست، تأیید و اعطاء دسترسی نیز باید تحت کنترل قرار گیرد تا از اعطاء دسترسی غیرمجاز پیشگیری به عمل آید.
در خصوص دسترسی به سامانه ها و سرویسهای مختلف در سازمان طی نمودن مراحل زیر ضروری است: