تعریف امنیت اطلاعات

امنیت اطلاعات یعنی حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌هاي غيرمجاز. اين فعاليت‌ها عبارتند از دسترسي، استفاده، افشاء، خواندن، نسخه برداري يا ضبط، خراب کردن، تغيير، دستکاري.

واژه‌های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات مطمئناً گاهی به اشتباه به جای هم بکار برده مي‌شود. اگر چه اين ها موضوعات به هم مرتبط هستند و همگي داراي هدف مشترک حفظ محرمانگي اطلاعات، يکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولي تفاوت‌هاي ظريفي بين آنها وجود دارد. اين تفاوت‌ها در درجه اول در رويکرد به موضوع امنيت اطلاعات، روش‌هاي استفاده شده براي حل مسئله، و موضوعاتي که تمرکز كرده‌اند دارد.

امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده‌ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، و یا اشکال ديگر.

امنیت کامپیوتر در حصول اطمینان از در دسترس بودن و عملکرد صحیح سیستم کامپیوتری تمرکز دارد بدون نگراني از اطلاعاتي که توسط اين سيستم کامپيوتري ذخيره يا پردازش مي‌شود.

دولت‌ها، مراکز نظامی، شرکت‌ها، موسسات مالی، بیمارستان‌ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقيقات، و وضعيت مالي گردآوري مي‌کنند. بسياري از اين اطلاعات در حال حاضر بر روي کامپيوترهاي الکترونيكي جمع‌آوري، پردازش و ذخيره و در شبكه به كامپيوترهاي ديگر منتقل مي‌شود. اگر اطلاعات محرمانه در مورد مشتريان و يا امور مالي يا محصول جديد موسسه‌اي به دست رقيب بيفتد، اين درز اطلاعات ممكن است به خسارات مالي به كسب و كار، پيگرد قانوني و يا حتي ورشكستگي منجر شود. حفاظت از اطلاعات محرمانه يك نياز تجاري، و در بسياري از موارد نيز نياز اخلاقي و قانوني است.

برای افراد، امنیت اطلاعات تأثیر معناداری بر حریم خصوصی دارد. البته در فرهنگ‌های مختلف اين مفهوم حريم خصوصي تعبيرهاي متفاوتي دارد.

بحث امنیت اطلاعات در سال‌های اخیر به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههای بسياري براي ورود به اين حوزه کاري به عنوان يک حرفه وجود دارد. موضوعات تخصصي گوناگوني وجود دارد از جمله: تأمين امنيت شبکه(ها) و زيرساخت‌ها، تأمين امنيت برنامه‌هاي کاربردي و پايگاه داده‌ها، تست امنيت، حسابرسي و بررسي سيستم‌هاي اطلاعاتي، برنامه ريزي تداوم تجارت و بررسي جرائم الکترونيكي، و غيره.

مفاهیم پایه

همانگونه که تعریف شد، امنیت اطلاعات یعنی حفظ محرمانگی، یکپارچه بودن و قابل دسترس بودن اطلاعات از افراد غیرمجاز. در اينجا مفاهيم سه‌گانه «محرمانگي»، «يکپارچه بودن» و «قابل دسترس بودن» توضيح داده مي‌شود. در بين متخصصان اين رشته بحث است که علاوه بر اين ۳ مفهوم موارد دیگری هم را باید در نظر گرفت مثل قابلیت حسابرسی، قابلیت عدم انکار انجام عمل و اصل بودن

محرمانگی

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجاز. به عنوان مثال، براي خريد با کارت‌هاي اعتباري بر روي اينترنت نياز به ارسال شماره کارت اعتباري از خريدار به فروشنده و سپس به مرکز پردازش معامله است. در اين مورد شماره کارت و ديگر اطلاعات مربوط به خريدار و کارت اعتباري او نبايد در اختيار افراد غيرمجاز بيفتد و اين اطلاعات بايد محرمانه بماند. در اين مورد براي محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاري مي‌شود و در طي انتقال يا جاهايي که ممكن است ذخيره شود (در پايگاه‌هاي داده، فايل‌هاي ثبت وقايع سيستم، پشتيبان گيري، چاپ رسيد، و غيره) رمز شده باقي مي‌ماند. همچنين دسترسي به اطلاعات و سيستم‌ها نيز محدود مي‌شود. اگر فردي غير مجاز به شماره كارت به هر نحوي دست يابد، نقض محرمانگي رخ داده است.

نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلاً اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند. يا فروش يا سرقت کامپيوتر لپ‌تاپ حاوي اطلاعات حساس. يا دادن اطلاعات محرمانه از طريق تلفن همه موارد نقض محرمانگي است.

یکپارچه بودن

یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطور غيرمجاز و تشخيص تغيير در صورت دستکاري غير مجاز اطلاعات. يکپارچگي وقتي نقض مي‌شود که اطلاعات نه فقط در حين انتقال بلکه درحال استفاده يا ذخيره شدن ويا نابودشدن نيز بصورت غيرمجاز تغيير داده شود. سيستم‌هاي امنيت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، يکپارچگي آنرا نيز تضمين مي‌کنند.

قابل دسترس بودن

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیري از اختلال در سيستم‌هاي ذخيره و پردازش اطلاعات و کانال‌هاي ارتباطي مورد استفاده براي دسترسي به اطلاعات اطمينان حاصل کرد. سيستم‌هاي با دسترسي بالا در همه حال حتي به علت قطع برق، خرابي سخت‌افزار، و ارتقاء سيستم در دسترس باقي مي‌ماند. يکي از راههاي از دسترس خارج كردن اطلاعات و سيستم اطلاعاتي درخواست‌هاي زياد از طريق خدمات از سيستم اطلاعاتي است كه در اين حالت چون سيستم توانايي و ظرفيت چنين حجم انبوه خدمات دهي را ندارد از سرويس دادن بطور كامل يا جزيي عاجز مي‌ماند.

قابلیت بررسی (کنترل دسترسی)

افراد مجاز در هر مکان و زمان که لازم باشد بتوانند به منابع دسترسی داشته باشند.

قابلیت عدم انکار انجام عمل

در انتقال اطلاعات و یا انجام عملی روی اطلاعات، گیرنده یا فرستنده و یا عمل کننده روی اطلاعات نبايد قادر به انکار عمل خود باشد. مثلاً فرستنده يا گيرنده نتواند ارسال يا دريافت پيامي را انکار کند.

اصل بودن

در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد. در بعضي موارد ممکن است اطلاعات رمز شده باشد و دستکاري هم نشده باشد و به خوبي به دست گيرنده برسد ولي ممکن است اطلاعات غلط باشد و يا از گيرنده اصلي نباشد. در اين حالت اگر چه محرمانگي، يکپارچگي و در دسترس بودن رعايت شده ولي اصل بودن اطلاعات مهم است.