کنترل شماره چهارده از سری کنترل های بنیادین

CIS logo
دسترسی کنترل شده برمبنای نیاز (ضرورت) به دانستن

چرا این کنترل حیاتی است؟

رمزگذاری داده ها سطحی از اطمینان را فراهم می آورد که حتی اگر داده ها به خطر بیافتند دسترسی به متن ساده بدون منابع اصلی غیرعملی شود. با این حال کنترل ها باید در جایی قرار گیرند که در وهله ی اول خطر تهدید به افشاء و سرقت داده ها را کاهش دهند. در بسیاری از موارد حمله به سیستم ها، برخلاف سرقت فیزیکی لپ تاپ ها و سایر تجهیزات دارای اطلاعات حساس، قربانیان حتی نمی دانستند که داده های حساس از سیستم به سرقت رفته اند زیرا نظارتی بر خروجی داده ها وجود نداشته است. حرکت داده ها در مرزهای شبکه از نظر الکترونیکی و فیزیکی باید به دقت مورد بررسی قرار گیرد تا میزان مواجه آنها با مهاجمان به حداقل برسد. از دست دادن کنترل داده های محافظت شده یا حساس توسط سازمان ها یک تهدید جدی برای عملیات تجاری و یک تهدید بالقوه برای امنیت ملی است. درحالیکه برخی از داده ها به دلیل سرقت یا جاسوسی به بیرون درز کرده یا از بین می روند بخش عمده ای از این مشکلات ناشی از رویه های نادرست فهم اطلاعات، فقدان ساختارهای سیاستگذاری مؤثر و خطای کاربر است. از دست دادن داده ها حتی می تواند در نتیجه فعالیت های مشروع و قانونی مانند بررسی های دیجیتـالی (eDiscovery) در هنگـام دادرسی اتفـاق بیافتـد، بـه ویـژه هنگـامی کـه

شیوه های نگهداری سوابق ناکارآمدند و یا اصلا وجود ندارند. اتخاذ سیاست رمزگذاری داده ها هم در هنگام عبور و هم در حالت سکون می تواند به کاهش سرقت داده ها بیانجامد. این امر زمانی تحقق می یابد که در فرآیندها و فناوری های مرتبط با عملیات رمزگذاری دقت کافی لحاظ شود. نمونه ای از این موارد، مدیریت کلیدهای رمزنگاری است که توسط الگوریتم های مختلف محافظت از داده ها مورد استفاده قرار گرفته اند. فرآیند تولید، استفاده و از بین بردن کلیدها باید براساس فرآیندهای اثبات شده مطابق با استانداردهایی نظیر NIST SP800-57 باشد. همچنین باید دقت شود که محصولات مورد استفاده در یک شرکت، الگوریتم های رمزنگاری مشهور و معتبر را همانطور که NIST مشخص کرده است پیاده سازی کنند. به منظور عقب نماندن از نظر قدرت حفاظتی اعمالی بر روی داده ها، ارزیابی مجدد الگوریتم ها و اندازه های كلیدی كه هر سال در شركت مورد استفاده قرار می گیرند نیز توصیه می شود. برای سازمان هایی که تمام یا بخشی از داده های خود را به فضای ابری (Cloud) منتقل کرده اند، درک و فهم کنترل های امنیتی اعمال شده بر داده ها در این فضا مهم است و بهترین دوره عملی را برای استفاده از کنترل رمزگذاری و امنیت کلیدها را تعیین می کند. در صورت امکان، کلیدها باید در ظروف ایمن مانند ماژول های امنیتی سخت افزار (HSMs) ذخیره شوند. عدم افشا داده ها، به یک رویکرد جامع شامل افراد، فرآیندها و سیستم هایی اشاره دارد که شناسایی، نظارت و محافظت از داده های در حال استفاده (مانند فعالیت کاربران) ، داده های درحال حرکت (مانند جابجایی داده در شبکه) و داده های در حال سکون (مانند داده های ذخیره شده) را از طریق بررسی محتوای عمیق و با تکیه بر یک چارچوب مدیریتی متمرکز برعهده دارد. در طول چند سال گذشته شاهد تغییر چشمگیری در تخصیص میزان توجه و سرمایه گذاری از تأمین امنیت شبکه به امنیت سیستم های درون شبکه و تأمین امنیت داده ها بوده ایم. کنترل های DLP مبتنی بر خط مشی و سیاستی اند که شامل طبقه بندی داده های حساس، شناسایی آن داده ها، اعمال کنترل ها و گزارش گیری و ممیزی برای اطمینان از انطباق با سیاستهاست.

CIS logo

نکات اصلی


  • براساس سطح طبقه بندی اطلاعات ذخیره شده روی سرورها، شبکه را تقسیم بندی کرده و کلیه اطلاعات حساس را در VLAN های مجزا جایگذاری کنید.
  • تمام اطلاعات حساس را در هنگام انتقال رمزگذاری کنید.
CIS logo

سامانه های مرتبط برای پیاده سازی این کنترل

CIS logoCIS logo

صفحه قبل