روش اجرایی امنیت اطلاعات

1- هدف روش اجرایی امنیت اطلاعات :

اين روش اجرایی با هدف حفظ امنيت و صحت اطلاعات، استفاده ي صحيح از امكانات سخت افزاري و نرم افزاري و همچنين حصول اطمينان از پايداري شبكه از لحاظ ارتباطات تهيه و تدوين گردید.

2-دامنه کاربرد روش اجرایی امنیت اطلاعات :

اين روش اجرایی كليه اطلاعات سازمان اعم از اطلاعات در داخل شركت و اطلاعات مربوط به كار فرمايان و سيستم هاي كامپيوتري و تجهيزاتي كه به شبكه متصل و درون سازمان هستند. همچنین سيستم هايي كه با نام سازمان در خارج از شركت هستند (مانند پروژه ها) و همچنين كليه كاربران داخلي و خارج شبكه كه با سيستم هاي سازمان درگير هستند را شامل مي شود.

3-تعاریف واژه ها و اصطلاحات روش اجرایی امنیت اطلاعات:

• اطلاعات:

داده هاي پردازش شده كه شامل تمامي اطلاعات ديجيتالی مبنايي براي تصميم گيري مي باشند. شركت، اعم از متون، نقشه ها، تصاوير، نامه ها، پرونده ها، اسناد، فايلهاي كامپيوتري، اطلاعات توصيفي و جغرافيايي و … چه داخل شبكه و سرورها چه برروي كلاينتها و كامپيوترهاي مستقل است.

اطلاعات يك دارايـي اسـت كـه هماننـد ساير دارايي هاي بايد حفظ و نگهداري شود و شامل:

• • مستندات الكترونيكي
  • مراسلات متداول
  • رسانه هاي الكترونيكي
  • سوابق پايگاه داده
  • ايميل ها
  • نوارها، DVD ROM ها و CD ROM ها و blu-ray ها و …
  • فيلم ها
  • اطلاعات بيان شده در جلسات

• كاربران:

شامل کارکنان، پيمانكاران مرتبط با شبكه و ساير كاربراني كه به نحوي با بخش هاي مديريتي و يا كاربردي درون سازماني شبكه در ارتباط مي باشند.

• نرم افزار:

شامل سيستم عامل ها مانند Linux، Windows و نرم افزارهاي كاربردي عمومي مانند Office ، نرم افزارهاي كاربردي سازماني مانند سيستم اتوماسيون اداري، نرم افزارهاي كاربردي اختصاصي مانند سيستم هاي فني و مهندسي، نرم افزارهاي مديريت شبكه و سيستم هاي تحت وب مانند Kerio Server،My SQL ،SQL Server ، Kerio mail ،Active Directory و …

• سخت افزار:

شامل ايستگاه هاي كاري، سرويس دهنده ها Data Projector ها، PC ها، Laptop ها، تجهيزات شبكه و انتقال داده مانند Router ها، Switchها، Hub ها و … چاپگرها، پويشگرها، تجهيزات سيار انتقال اطلاعات مانند Flash Memory ها، CD ها، DVD ها، دوربين هاي ديجيتالي، و …

• ارتباطات:

شامل كابل هاي فيبرنوري، CAT5 و CAT6، ارتباطات شبكه سازمان با ساير شبكه هاي موجود از قبيل شبكه ساير كارخانجات و دفتر مركزي، شبكه اينترنت و …

• كاربر مجاز:

كاربراني كه با تاييد بخش اداري و با توجه به پروسه جذب در سازمان احراز هويت گرديده اند و داراي نام كاربري در دامنه سازمان مي باشند.

• كاربر مجاز موقت:

كاربراني كه با تاييد مدير قسمت و بدون توجه به پروسه جذب در سازمان نياز به استفاده از نام كاربري موقت در دامنه سازمان را دارند.

• كاربران خارجي:

كاربراني كه از سازمان هاي بيروني به سازمان سرويس مي دهند. اين كاربران داراي دسترسي به public user ، Remote Desktop و DBA User بانك اطلاعاتي با توجه به نام كاربري تعريف شده، هستند.

• امنيت اطلاعات:

شامل محرمانگي، حفظ صحت و يكپارچگي، دسترس پذيري در زمان ايجاد و انتقال و نگهداري است.

3- مسئولیتها در روش اجرایی امنیت اطلاعات :

• مدير عامل: مسئول تصويب و ابلاغ روش اجرایی امنيت اطلاعات به همه واحد هاي شركت است.
• مدير انفورماتيك: مسئول تدوين به روزآوري، و نظارت برحسن اجراي اين روش اجرایی در واحد انفورماتيك و كليه واحد هاي سازمان و همچنين بازنگري و بهبود آن در مقاطع مقتضي است.
• همچنين مسئوليت مديريت فني سايت شركت را داراست.
• معاونين و مديران واحدها: مسئول نظارت بر حسن اجراي روش اجرایی در واحد تحت مديريت خود هستند.
• مديران پروژه ها: مسئول اجراي روش اجرایی در تمام مقاطع اجراي پروژه اي كه مديريت آن را به عهده دارند، و در تمام واحد هاي درگير هستند.
• كاربران: مسئول اجراي روش اجرایی هستند.
• مدير سيستم ها و روش ها: مسئول پايش روش اجرایی و گزارش آن به مدير عامل در مقاطع مقتضي است.
• مشاور انفورماتيك : مسئول همكاري با مدير واحد انفورماتيك در پياده سازي و انتخاب سخت افزار و نرم افزار مناسب و همچنين ارائه پيشنهادات بهبود است.
• مدير توسعه بازار: مسئول مديريت محتواي وب سايت شركت است.

5- شرح مراحل اقدام و گام های روش اجرایی امنیت اطلاعات :

• اطلاعات سازمان صرفا توسط افراد مجاز قابل دسترسي باشند.
• محرمانگي اطلاعات همواره در كل سازمان همچنين در پروژه ها، بين واحدهاي سازماني حفظ شود.
• در كليه فرايندها امنيتي يكپارچگي اطلاعات حفظ گردد.
• پياده سازي سياستهاي امنيتي نبايد اختلالي در روند كاري سازمان و واحدها ايجاد كند.
• آموزشهاي لازم را در مورد امنيت اطلاعات و سياست هاي امنيتي مربوط به كل سازمان است.
• تمامي رخنه هاي امنيت اطلاعات و ضعف هاي احتمالي توسط همه كاربران گزارش شده و به آنها رسيدگي گردد.
• تبادل اطلاعات بين سازماني همواره ازطريق كانال هاي مجاز و مورد تایید سازمان صورت گيرد.
• تمام دستورالعمل هاي امنيتي مصوب براي كليه سازمان يكسان است و موارد استثنا، تنها در صورت دستور كتبي مديريت ارشد اعمال مي شود.
• هر گونه خارج نمودن، و انتشار اطلاعات شركت، مگر با اخذ مجوز از مقامات ذيصلاح تخلف محسوب می شود.
• كليه نرم افزارهاي داخلي كه از طريق آنها توليد محتوا مي شود بايد مشخص، استانداردسازي و منطبق بر سياست هاي امنيتي سازمان بكاررود.
• هر كاربر در شبكه فقط مجاز است به اطلاعاتي دسترسي داشته باشد كه از طرف مديران مافوق براي او مجاز، و هرگونه تلاش براي دسترسي به اطلاعاتي خارج از حيطه (اعـم از مشـاهده، تغييـر، دسـتكاري و…) اكيدا ممنوع و تخلف محسوب مي شود.
• اختلال در عملكرد شبكه و كاربران اكيدا ممنوع است.
• از اقداماتي كه منجر تخريب اطلاعات شود، پرهيز شود.
• هرگونه تلاش جهت نفوذ به ساير كلاينتها، سرورها و ديتابيس ها، كه جزء دسترسي مجاز يك كاربر نمي باشد توسط هرگونه ابزار سخت افزاري يا نرم افزاري كه باشد تخلف محسوب مي شود.

در راستای اجرای دقیق این روش اجرایی موارد به شرح زیر طبقه بندی می گردد.

•  5-1 – پست الكترونيكي
•  5-2 – اطلاعات ذخيره شده در سرور
•  5-3 – نرم افزار ERP
•  5-4 – اطلاعات اكتيو دايركتوري
•  5-5 – اطلاعات مربوط به سايت سازمان
•  5-6 – اطلاعات مربوط به دامنه و هاست سازمان
•  5-7 – اطلاعات مربوط نرم افزار PWKARA
•  5-8 – اينترنت
• 5-9 – حفاظت در برابر ويروس ها
• 5-10 – اطلاعات دوربين‌ها
• 5-11 – سرورها
• 5-12 – ارسال/دريافت اطلاعات ازكارفرما/تامین کنندگان
• 5-13 – نگهداري و اداره اطلاعات محرمانه
• 5-14 – امنيت اطلاعات در مديريت پروژه
• 5-15 – سطوح دسترسي

• امنیت اطلاعات- پست الكترونيكي

  • 5-1-1- ايميل هاي سازماني: معرفي و ايجاد ايميل هاي سازماني توسط كارشناسان IT با نظر مديران هر واحد انجام مي شود.
  • 5-1-2- ايميل هاي شخصي: استفاده متعارف از منابع سازمان براي ايميل هاي شخصي پذيرفتني است، ولي ايميل هاي غيرمرتبط با كار مي بايست در پوشه جداگانه و مجزا از ايميل هاي كاري نگهداري شوند.

درضمن ايميل هاي شخصي بايد از ايميل هاي سازماني جدا شوند. كاركنان سازمان نبايد انتظار داشته باشند، پيام هايي كه در سيستم پست الكترونيكي سازمان ذخيره، ارسال و دريافت ميكنند، در قالب حيطه شخصي آنها تلقي و محرمانه باشد. سازمان ممكن است بدون هشدار قبلي به نظارت و بررسي ايميل ها بپردازد

• • – فايل نگهداري ايميل هاي سازماني تنها در دسترس خود كاربر و كارشناس IT مي باشد.
  • – تمامي ايميل هايي كه حاوي اطلاعات سازماني هستند بطور روزانه، نسخه پشتيبان تهيه و در سرور نگهداري شوند.
  • – ارسال ايميل سازماني براي خارج از شركت اعم از كارفرمايان، تامين كنندگان و ساير اشخاص حقيقي تنها توسط مديران و پست هاي سازماني معرفي شده توسط ايشان انجام شود. ليست تاييدیه افراد مجاز نزد واحد انفورماتيك شركت نگهداري شود.

• امنیت اطلاعات- اطلاعات ذخيره در سرور

  • 5-2-1- اطلاعات سازماني: اين اطلاعات اهميت بسيار زيادي در سازمان دارد. اطلاعات اين قسمت توسط مديران هر واحد مشخص خواهد شد. بر طبق چارت سازماني دسترسي هر شخص توسط مدير همان قسمت به اطلاعات مشخص خواهد شد. از قرار دادن اطلاعات شخصي در اين قسمت بايد خودداري شود.
  •  5-2-2- اطلاعات فردي

كليه اطلاعات كاربران سازمان روي سرور ذخيره مي شود. اطلاعات فردي در درايو p هر سيستم قابل مشاهده است.

• • – کاربران از قرار دادن اطلاعات سازماني در درايو P خودداري كنند.
  • – اطلاعاتي كه كاملا شخصي است .نبايد در سيستم نگهداري شود.
  • – مسئوليت پاك شدن اطلاعات فردي بر عهده كاربر است.
  • – قراردادن فايلهاي Multi Media و عكس در درايو P امكان پذير نمي باشد.
  • – مديران هر واحد بايد دسته بندي منظم و دقيقي را براي حفظ و نگهداري اطلاعات به منظور دسترسي سريع ايجاد كنند و كليه كاربران موظف به رعايت آن هستند.
  • – کليه فايلهاي مهم بايد پسورد داشته باشند.

• امنیت اطلاعات- نرم افزار ERP

  • – نرم افزار ERP شامل سيستمهاي مالي ، منابع انساني، انبار ، حقوق و دستمزد ، اموال و … داراي زير سيستمهاي مختلفي است .
  •  كاربر هر واحد با توجه به مجوز صادره از طريق معاونت اداري و مالي به آن دسترسي دارد. اين نرم افزار داراي سطوح دسترسي مختلفي است .
  •  مسئوليت اجراي مجوز به عهده مدير انفورماتيك است. كليه اطلاعات اين نرم افزار بر روي سرور نگهداري شود.
  • – در صورت لزوم تبادل اطلاعات (ريپليكيشن بين سرورها)بين سرورهاي دفتر مركزي جهت به روز رساني اطلاعات مربوط به سيستم ERP و پروژه ها ي سازمان انجام شود.
  • – هر كاربر با نام كاربري و رمز عبور خود وارد سيستم مي شود و مسئوليت نگهداري و تغيير كلمه عبور بر عهده كاربر است.
  • – مديريت تبادل اطلاعات بين سرور ها بر عهده مدير IT است.
  • – کاركرد درست روترها و ريپليكيشن به منظور برقراي درست ارتباط بطور مستمر بايدكنترل وچك شود.
  • – دستورات پينگ براي ارتباط با روتر دفتر مركزي و پروژه ها و شركت هاي مشاركت كننده بايد كنترل شود.
  • – در صورت قطع شدن ارتباط، تمامي آي پي آدرس هاي ارتباط بين دو نقطه كنترل مي شود.

• امنیت اطلاعات- اطلاعات مربوط به اكتيو دايركتوري

– تعريف /حذف كاربران و رمزهاي كاربران، اطلاعات مربوط به پروفايلهاي آنها، ايجاد دسترسي ها و مديريت سرور DNS ،DHCP به عهده مدير انفورماتيك است.

• • 5-4-1- رمز عبور
    • – رمز عبور هركاربر بايد حدوداً هر 6 هفته يكبار تغيير كند.
    • – در هنگام فاش شدن رمز عبور، كاربر بايد در سريع ترين زمان ممكن رمز عبور خود را تغيير دهد.
    • كاربران اجازه ي واگذاري نام كاربري و رمز عبور خود به ديگران را ندارند. (استفاده غير مجاز از USB)
    • – رمز عبور كاربران بايد حداقل از 6 حرف تشكيل شده باشد.
    • – در رمز عبور بايد حداقل دو تا از كاراكترهاي حرفي وجود داشته باشد.
    • – در رمز عبور نبايد از حروف يا اعداد پشت سر هم استفاده شود. مانند mnop يا 12345
    • – در رمز عبور نبايد از نام يا نام خانوادگي فرد استفاده شود.
    • – تغيير در رمز عبور به اطلاع مدير مستقيم كاربر برسد.
  • 5-4-2- ايجاد و مديريت دسترسي كاربران:
    • – کليه دسترسي ها به اطلاعات مرتبط با حوزه كاري كاربر بايد با درخواست مستند پس از تاييد توسط مدير مستقيم ايجاد شوند.
    • – كليه دسترسي ها به اطلاعات غير مرتبط با حوزه كاري كاربر بايد با درخواست مستند پس از تاييد توسط مدير مستقيم و معاونت اداري و مالي ايجاد شوند، بديهي است كه درخواست هاي تاييد شده توسط مدير عامل، لازم الاجرا هستند.
    • – كليه كاربران سازمان بايد بخشنامه قوانين امنيت اطلاعات سازمان را مطالعه و امضاء كرده باشند.
    • – كليه اسامي كاربري در سيستم مي بايست به صورت منحصر به فرد ايجاد شوند.
    • – كاربراني كه بيش از 30 روز از كد كاربري خود استفاده نكنند ، غير فعال مي شوند.
    • – مراحل ايجاد و تغيير كاربران بايد مستند شود و در دوره هاي زماني مشخص مورد بازبيني قرار گيرند.
    • – كاربراني كه از مجموعه جدا و يا به هردليلي قطع همكاري با سازمان دارند بايد نام كاربريشان در سيستم به مدت دو ماه غيرفعال وپس از آن حذف شود.
    • – كليه تعاريف حق دسترسي با يد توسط واحد انفورماتيك كنترل و اجرا مي شود.

• امنیت اطلاعات- اطلاعات مربوط به سايت

  • – مديريت كنترل پنل و هاست سايت توسط كارشناسIT با نظارت مدير انفورماتيك انجام شود.
  • – اطلاعات سايت بطور مستمر به روز رساني شود.
  • – در جهت بالا بودن سايت از نظر رتبه بندي تلاش شود.

• امنیت اطلاعات- اطلاعات مربوط به دامنه و هاست سازمان

مديريت اطلاعات كاربران برروي هاست و دامنه به عهده واحد انفورماتيك است.

• امنیت اطلاعات- اطلاعات مربوط به ورود و خروج در نرم افزار PWKARA

اين نرم افزار جهت ثبت ورود و خروج كاربران استفاده مي شود .

واحد اداري مسئوليت استفاده از اين نرم افزار را دارد. واحد انفورماتيك وظيفه ايجاد امنيت براساس اين روش اجرایی را براي اطلاعات اين سيستم برعهده دارد.

– نام كاربري و رمز عبور توسط كارشناس انفورماتيك ثبت و دسترسي هاي لازم به پرسنل داده شود.

– دسترسي كامل به اين برنامه تنها در اختيار مسئول اداري و دسترسي مديران ساير واحدها در حد مشاهده كاركرد پرسنل زيرمجموعه است.

• امنیت اطلاعات- اينترنت

 اينترنت در سازمان در جهت به دست آوردن اطلاعات مفيد و سودمند در جهت بهبود انجام مسئوليت و ارسال ايميل و … استفاده شود.

• • – مدير هر واحد، ميزان استفاده از اينترنت توسط كاركنان آن واحد را مشخص مي كند.
  • – استفاده از اينترنت براي انجام كارشخصي ممنوع است.
  • – نصب و بكارگيري نرم افزارهايي كه به اينترنت نياز دارند بايد با مجوز مديريت هر دپارتمان انجام شود.
  • – ميزان استفاده كاربران از اينترنت بطور ماهانه به مديريت ارشد گزارش شود.
  • – هر كاربر تنها با نام كاربري و كلمه عبور خود مي تواند وارد اينترنت شود.
  • – رمز وايرلس فقط در اختيار مديران قرار دارد . فقط با تعريف مك ادرس يك دستگاه همراه امكان اتصال به وايرلس وجود دارد.
  • ساير كاربران در سازمان مجاز به استفاده از شبكه وايرلس نمي باشند. مگر با تشخيص مديريت واحد و بصورت محدود در زمان معين (اين زمان بيشتر از مدت يك روز كاري نمي تواند باشد).
  • – كاربران مجاز به استفاده از اينترنت واير لس حق انتقال رمز را به ساير كاركنان ندارند.
  • – درصورت بكارگيري اينترنت وايرلس با توجه به محرمانگي اطلاعات، ورود به شبكه تحت هيج شرايطي امكان پذير نمي باشد.

• امنیت اطلاعات- حفاظت در برابر ويروس ها

كليه افرادي را كه از منابع اطلاعاتي سازمان استفاده مي كنند را در برمي گيرد. به منظور جلوگيري از ورود و همچنين شناسايي و مقابله با ويروس ها، كرم ها و اسب هاي تراوا و…… از نرم افزار McAfee استفاده مي شود. اين نرم افزار روزانه از اينترنت به روزرساني خواهد شد.

• • كليه كامپيوترهايي كه به سازمان تعلق دارند و يا توسط سازمان مديريت مي شوند، همينطور Laptop هايي كه به شبكه سازمان متصل مي شوند و يا به صورت مستقل مورد استفاده قرار مي گيرند، مي بايست از نرم افزار آنتي ويروس و تنظيمات مورد تاييد واحد انفورماتيك سازمان استفاده كنند.
  • تمامي كامپيوترهايي كه به سازمان تعلق ندارند و يا تحت مديريت سازمان نمي باشند، پيش از هرگونه ارتباط و اتصال به منابع اطلاعاتي سازمان، باید از نرم افزار ضد ويروس و تنظيمات مورد تاييد مدير انفورماتيك سازمان استفاده كنند.
  • نرم افزار ضد ويروس نبايد غير فعال (Disable) شود.دسترسي كاربران به اين گزينه امكان پذير نيست.
  • تنظيمات نرم افزار ضد ويروس نبايد به گونه اي تغيير كند كه قابليت تاثيرگذاري آن را كاهش دهد.
  • تنظيمات به روز رساني نرم افزار ضد ويروس نبايد به گونه اي تغيير كند كه بازه هاي زماني به روز رساني آن را كاهش دهد.
  • هر سرويس دهنده اي كه به شبكه سازمان متصل است، بايد از نرم افزار ضد ويروس مورد تاييد سازمان استفاده كند.
  • تمامي گذرگاه هاي پست الكترونيكي بايد از نرم افزار ضد ويروس مورد تاييد سازمان استفاده كنند و تمامي نامه هاي ورودي و خروجي مي بايد توسط اين نرم افزار كنترل شوند.
  • هر ويروسي كه به صورت خودكار توسط نرم افزار پاك نشود، بايد در اولين زمان ممكن به واحد انفورماتيك گزارش شوند.
  • كارشناس انفورماتيك بايد به روز رساني آنتي ويروس را چك كند و در صورت مشكل بايد با شركت موردنظر تماس برقرار كند.

• امنیت اطلاعات- دوربين ها

مديريت و كنترل دوربين ها وكليه اطلاعات مربوط به نرم افزار دوربين ها شامل نام كاربري و كلمه هاي عبور، نرم افزار نصب، همچنين معرفي كاربراني كه مجاز به ديدن فيلم ها هستند نيز، با واحد انفورماتيك است.

• • نرم افزار دوربين ها حتما در سرور و نسخه كلاينت آن در كامپيوترهاي كاربران مجاز نصب شود.
  • فيلم ضبط شده دوربين‌ها در سرور نگهداري شود و اين اطلاعات ذخيره،بايد چك شود.
  • فيلم دوربين‌ها بسته به تعداد دوربينها به مدت 30 روز نگهداري شود.
  • به جز مديران و افراد تاییدی توسط آنها، هيچكس حق ديدن فيلمها را ندارد.
  • در صورت ضرورت مشاهده فيلمها، براي شخص موردنظر،  بايد مجوز مديريت ارشد يا مدير قسمت صادر شود.

امنیت اطلاعات- سرورها

 مديريت وكنترل سرورها و كليه تجهيزات مربوطه از حيث آماده بكاري سرويس هاي سازمان بمنظور دردسترس قرار داشتن هميشگي شبكه و اطلاعات بر عهده واحد انفورماتيك است.

• – تامين به موقع قطعات يدكي مصرفي در سرورها مانند (هارد ديسك ،پاور ماژول ،رم و غيره…) انجام شود.
• – سرورها بصورت دوره اي هر 6ماه براي جلوگيري از نشست گردوغبار و بروز آسيب به سرورها تميز شوند.
• – منبع برقي (UPS) مناسب و دوكاناله جهت جلوگيري از توقف ناگهاني سرورها متناسب توان مصرفي سرورها تامين شود.
• – بروزرساني سخت افزار سرورها براساس نيازهاي سازماني بطور 3 سالانه بررسي شود.
• – نرم افزارهاي سرورها جهت افزايش امنيت و بستن حفره هاي امنيتي بروزرساني شوند.
• – سرويس كلاسترينگ جهت راه اندازي خودكار سرور پشتيبان در مواقع بروز نقص فني براي سرور اصلي سازمان بايد در هر زمان آماده بكار باشد.

امنیت اطلاعات- ارسال/دريافت اطلاعات از تامین کنندگان فرعی

• – استاندارد نحوه ارسال اطلاعات مشخص و به توافق طرفين برسد و بر اساس آن ارسال انجام شود.
• – ارسال اطلاعات و انجام مكاتبات بايد با مجوز مدير واحد، با هدف كنترل دقيق انتقال اطلاعات از طريق مسئولين دفاتر و افراد مجاز، توسط مدير هر واحد انجام شود.
• – ارسال اطلاعات بايد ترجيحا درقالب فايلهاي بدون قابليت ويرايش و از طريق رسانه هاي ذخيره سازي فقط خواندني مانند CD ارسال شود.
• – در هنگام دريافت اطلاعات رسانه هاي ذخيره سازي قبل از ورود به چرخه اطلاعاتي سازمان، جهت جلوگيري از ورود برنامه مخرب ، بررسي و پس از تاييد سلامت بكار گرفته شوند.
• – استفاده از نرم افزارهاي ارتباط جمعي مانند اينستاگرام، واتساپ و … در سازمان ممنوع است.

امنیت اطلاعات- مديريت اطلاعات

امنيت اطلاعات در زمان نگهداري و انتقال اطلاعات سازمان، در هر قالب و فرمت الكترونيكي شامل تمامي بسترهاي ذخيره سازي الكترونيكي، سيستم ها و نرم افزارهايي كه توسط كارمندان، اعضاء، مديران، تامین کنندگان، كارمندان پاره وقت و موقتي و ديگر كارمنداني كه مجاز به دسترسي به اطلاعات سازمان همچنين كاربران تاييدی كه خارج از شبكه هستند، مورد استفاده قرار مي گيرند، بايد حفظ شود.

• اطلاعات نبايد از طريق سيستم هايي كه به سازمان تعلق ندارند، مورد استفاده قرار گيرند و يا روي آنها ذخيره شوند، مگر اين كه مجوز هاي خاص صادر شود.
• فكس اطلاعات تنها با مجوز مدير واحد و از طريق مسئولين دفاتر انجام مي شود.
• براي كاهش احتمال خطر افشا از ارسال اطلاعات اضافي و غير ضروري خود داري شود.
• تاييديه شماره فكس و فكس حتما دريافت شود(در صورت امكان جهت كاهش احتمال خطا از شماره گير اتوماتیک استفاده شود).
• براي ارسال ايميل هاي سازماني نبايد از آدرس هاي شخصي استفاده شود.
• ارسال ايميل هاي سازماني به خارج از شركت تنها از طريق مسئولين دفاتر و افراد مجاز که توسط مدير هر واحد مشخص می باشد،  انجام شود.
• وقتي هر يك از كاركنان ميزو محل كارشان را براي مدت زماني ترك مي كنند، تمامي اسناد حاوي اطلاعات محرمانه بايد در محل هاي امن نظير كشو يا كمدهاي قفل دار نگهداري شوند.
• نبايد هيچ گونه اطلاعات محرمانه اي در محل هاي باز و در دسترس در طول مدت عدم حضور، رها شوند.
• هرگونه گمان و حدس در مورد بروز نقص در امنيت و محرمانگي اطلاعات بايد فورا به مدير انفورماتيك اطلاع رسانی شود.
• تامین کنندگان خارج از سازمان بايد به خاطر داشته باشند، ايشان نيز تحت همان قوانين امنيت اطلاعاتي هستند كه كارمندان درون سازمان از آنها تبعيت مي كنند.
• اطلاعات، بايگاني ها، فايل ها و نظاير آنها نبايد در معرض ديد بازديد كنندگان باشد، مگر اين كه بازديدكنندگان اختصاصا مجاز به رویت اطلاعات باشند.
• اطلاعات در هر شكل و فرمتي باید در زماني كه ديگر مورد نياز نيستند، به شيوه اي امن منهدم شوند.
• اطلاعات و دانشي كه در مدت همكاري با سازمان به دست آمده است، پس از خاتمه همكاري بايد به سازمان انتقال يابد. نقض محرمانگي احتمالي توسط افراد خاتمه همکاری ، پيگيري شود و ممكن است منجر به اقدامات قانوني شود.

امنیت اطلاعات- سطوح دسترسي

سطح دسترسي هر كاربر به اطلاعات با توجه به چارت سازماني و مجوز مدير واحد و دستور مدير واحد انفورماتيك تعريف شود.

• فايل آماده توسط واحد انفورماتيك به مدير واحد جهت مشخص كردن نام پوشه ها و اطلاعات موجود در آنها تحويل و مدير واحد دسترسي كليه كارشناسان خود را در آن ثبت و سپس توسط واحد انفورماتيك اين دسترسي ها بر روي اطلاعات موجود در سرور تهيه مي شود.
• تغيير هر كدام از سطوح دسترسي بدون مجوز مدير واحد امكان پذير نيست.
• مسئوليت حذف و يا دستكاري اطلاعات كه در عملكرد واحد يا سازمان اختلال ايجاد كند در واحد مربوطه بر عهده كارشناسان و مدير واحد مي باشد.

امنیت اطلاعات- مديريت حوادث امنيت اطلاعات

حوادث امنيتي شامل (و نه محدود به) حملات ويروس ها، كرم ها، اسب هاي تراوا، استفاده غيرمجاز از دسترسي ها و تجهيزات نگهداري و پردازش اطلاعات و همچنين استفاده نادرست از آنها به صورتي كه در دستورالعمل استفاده قابل قبول از تجهيزات نگهداري و پردازش اطلاعات اعلامی، مي باشد.

• هنگام بروز حوادث امنيتي مدير انفور ماتيك در جلسه اي با مدير عامل ضمن تشريح ابعاد حادثه در خصوص تشكيل تيم مقابله با حوادث (متشكل از مدير واحد انفور ماتيك و مديران درگير) تصميم مي گيرند.
• مدير واحد انفورماتيك، مديريت و راهبري تيم مقابله با حوادث را برعهده دارد.
• تيم مقابله با حوادث طبق “دستورالعمل مديريت حوادث ” اهداف ذيل را دنبال مي كند:
  • الف- جلوگيري از حملات و دسترسي هاي غير مجاز، عليـه دارايي هاي اطلاعاتي سازمان،
  • ب- مهار خسارت هاي ناشي از نا امني موجود در شبكه،
  • ج- كاهش رخنه پذيري به شبكه،
  • د- تامين صحت عملكرد، قابليت دسترسي و محافظت فيزيكي براي سخت افزارها و نرم افزارها، متناسب با حساسيت آنها.
  • هـ- مديريت فناوري اطلاعات بايد در زمينه حوادث مختلف با ديگر سازمانهاي گروه در ارتباط باشد.
• تمامي فعاليت هاي مشكوك كه شامل (و نه محدود به) حوادث امنيتي احتمالي مي شوند، مي بايست به مديريت انفورماتيك سازمان گزارش شوند.

امنیت اطلاعات- دستگاههاي قابل حمل و دوركاري

• 5-16-1- دستگاههاي قابل حمل

اين دستگاهها شامل لپ تاپ، فلش، دوربين و موبايل و … مي باشد.

• • استفاده و انتقال دستگاه هاي قابل حمل با درخواست معاونت/مديريت هر واحد و با مجوز صادره از واحد انفورماتيك امكان پذير است.
  • بدون مجوز مديريت انفورماتيك ورود دستگاه به شركت و اتصال به شبكه ممنوع است.
  • مسئوليت انتقال اطلاعات پس از مجوز به عهده معاونت/مديريت و خود كاربر است.
  • اتصال موبايل و يا تبلت به سيستم و شبكه سازمان ممنوع مي باشد.
  • بكارگيري دستگاههاي شخصي براي تبادل اطلاعات شركت ممنوع است.
  • انتقال اطلاعات غير ضروري و اضافي با لپ تاپ ها براي شركت در جلسات برون سازماني اكيدا ممنوع است و اطلاعات موردنياز همان جلسه يا ماموريت با درخواست مدير قسمت بروي لپ تاپ قرار گيرد.
• 5-16-2- دوركاري

بستر دوركاري برحسب نياز و كسب مجوز مدير مربوطه براي كارشناسان و مديران به وجود مي آيد، و با در اختيار گذاشتن يك دستگاه لب تاپ سازماني و بكارگيري سرويس RRAS اجرايي مي شود. در دوركاري مجوز چك كردن ايميلها داده و تنظيمات آن را كارشناس انفورماتيك انجام مي دهد. در موارد خاص و كمبود منابع از سرويس AnyDesk دوركاري با رعايت ضوابط امنيتي دوركاري اجرا مي شود.

درصورت نياز به دسترسي به اطلاعات درون سازمان بايد تمهيدات لازم انديشيده و با درخواست مدير واحد و مجوز مدير ارشد سازمان انجام شود.

• • كليه تنظيمات مربوط روي دستگاههاي انتقال داده شده در دوركاري توسط واحد انفورماتيك انجام شود.
  • تحويل و برگرداندن سالم دستگاهها از دوركاري بر عهده كاربر مربوطه است.
  • تنظيمات شبكه و اطلاعات طوري توسط واحد انفورماتيك انجام شود كه از راه دور نتوان به اطلاعات دسترسي پيدا كرد. براي اتصال به سيستم موردنظر كاربر تعريف و پس از انجام كار، دسترسي گرفته شود.
• 5-16-3- اتصال از راه دور به شبكه داخلي
  • – كاركناني كه مجوز دسترسي به صورت RRAS ,Any Desk دارند نبايد مجوز را در اختيار ساير كاركنان قرار دهند.
  • كليه افرادي كه بوسيله RRAS ,Any Desk به شبكه سازمان دسترسي پيدا ميكنند بايد به طور كامل از دارايي هاي اطلاعاتي سازمان محافظت كنند.
  • – در خصوص موارد حساس مانند تعديل يا اخراج نيرو بايد شرايط اتصال از جانب مدير مربوطه اعلام و به تصويب مديريت رسيده و كاربر از سيستم غير فعال شود.
  • – كلمات عبور تغيير يافته براي دسترسي هاي بعدي بايد در اختيار واحدانفورماتيك قرار گيرد.

امنیت اطلاعات- نسخه پشتيبان

 نسخه پشتيبان شامل نسخه پشتيبان بانك هاي اطلاعاتي و ديتاهاي سازماني و نسخه پشتيبان از تمامي سيستم عامل هاي سرورهاست. مسئول تهيه نسخ پيشتيبان كارشناس واحد انفورماتيك با نظارت مدير واحد است .

• كليه اطلاعات سازماني به صورت روزانه پشتيبان تهيه و اين اطلاعات 1 ماه برروي سرور باقي بماند.
• سيستم عامل سرورها 15روز يك بار بايد نسخه پشتيبان داشته باشند و محل ذخيره سازي آنها روي سرور است.
• در حال حاضر ديتاهاي سرورها با نرم افزار آكرونيس و سرورها با Veem نسخه پشتيبان تهيه شود.
• كليه نسخ پشتيبان بايد بر روي رسانه ذخيره سازي مورد تاييد و در خارج از محل و در يك مكان با تدابير امنيتي مناسب نگهداري شوند.

در هنگام تهيه نسخ پشتيبان بايد تطابق با نسخه اصلي صورت گيرد و از صحت اطلاعات آن اطمينان حاصل شود. رسانه هاي تاريخ گذشته، بايد نابود شوند.

در بازه هاي زماني مشخص، قابليت بازيابي نسخ پشتيبان بايد مورد آزمايش قرار گيرد تا از آن اطمينان حاصل شود.

• نسخ پشتيبان بايد حاوي اطلاعات زير باشد:
  • الف- نام سيستمي كه از آن نسخه پشتيبان تهيه می شود.
  • ب- تاريخ تهيه نسخه پشتيبان،
  • ج- ميزان اهميت اطلاعاتي كه از آنها نسخه پشتيبان گرفته  است.
  •  د- نام فردي كه نسخه پشتيبان را تهيه كرده است.
  • هـ- تاريخ مصرف نسخه پشتيبان،
  • و- براي نسخه پشتيبان رمز تعريف گردد.
  • ز- خارج نمون نسخ پشتيبان از سازمان بصورت ماهانه صورت گيرد.
  • ح- مسئوليت نگهداري از نسخ پشتيبان در خارج از سازمان تحت عنوان نسخ آرشيو بر عهده معاونت اداري/مالي است.

به منظور برگرداندن اطلاعات از بين رفته، كليه موارد ذكر شده در تهيه نسخه پشتيبان بايد قابل بازيابي باشد.

• با مجوز مديريت واحد و نياز كاربر در صورت حذف اطلاعات از سرور با نرم افزار آكرونيس اطلاعات برگردانده شود.
• سيستم عاملهاي داراي مشكل نيز روي سرورها با نرم افزار Veem برگردانده شود.
• اطلاعات بانك اطلاعاتي نيز كه روي ديسك هاي بلوري ذخيره می شوند نيز با قابليت خود نرم افزار SQL برگردانده شوند.

امنیت اطلاعات- امنيت فيزيك و محيطي

• 5-18-1- دسترسي به تاسيسات اطلاعاتي

امنيت فيزيكي كليه كامپيوتر ها و تجهيزات ارتباطي كه متعلق به سازمان و يا توسط سازمان مورد استفاده قرار مي گيرند توسط تمامي كارمندان، مديران، تامین کنندگان، كارمندان پاره وقت، كارمندان موقت، كارآموزان و ديگر كاركناني را كه مجاز به دسترسي به سيستم هاي اطلاعاتي سازمان شناخته اند، بايد مورد توجه قرار گيرد.

• دسترسي فيزيكي به محدوده هاي كنترلی (محدوده هايي كه در آنها سيستم هاي اطلاعاتي يا اطلاعات حساس نگهداري مي شوند، نظير اتاق سرورها) مي بايست مديريت و ثبت شوند.
• تمامي محدوده هاي كنترلی مي بايست نشانه گذاري و برچسب زده شوند و به تناسب حساسيت و اهميت عملكردشان مورد حفاظت فيزيكي قرار گيرند.
• دسترسي به محدوده هاي كنترلی مي بايست صرفا براي كارمندان و تامین کنندگان مجاز شناخته شود كه مسئوليت كاري شان نيازمند دسترسي به محدوده مورد نظر است.
• درخواست براي دسترسي مي بايست طبق روش اجرايي برقراري دسترسي صورت پذيرد.
• روش اجرايي دسترسي احتمالي براي محدوده هاي كنترلی مي بايست آماده و در مواقع از كار افتادن سيستم كنترل خودكار دسترسي مورد استفاده قرار گيرد.
• كارت هاي دسترسي و یا كليد ها نمي بايست به صورت اشتراكي مورد استفاده قرار گيرند و يا به ديگران قرض داده شوند.
• كارت هاي دسترسي و يا كليدهايي كه ديگر مورد نياز نيستند، مي بايست به مسئول محدوده كنترلی برگردانده شوند. كارت ها نبايد بدون طي مراحل بازگرداندن، به افراد ديگر اختصاص یابد.

دسترسي بازديدكنندگان به محدوده هاي كنترلی مي بايست مطابق دستورالعمل بازديدكنندگان باشد.

• 5-18-2- نواحي امن

جلوگيري از دسترسي فيزيكي غير مجاز، خسارت و مداخله در اطلاعات و امكانات پردازش اطلاعات

• 15-18-3- حصار امنيتي فيزيكي
  • وجود يك اتاق براي نگهداري سرورها و رك ها الزاميست.
  • كنترل دماي اتاق در دماي 22 درجه سانتيگراد نگهداشته شود.
  • آن دسته از تجهيزاتي كه در سطح سازمان بدلايل ساختار فيزيكي نصب هستند در رك مجهز به قفل نگهداري شوند.
• 5-18-4- كنترل هاي مداخل فيزيكي
  • كليه مداخل فيزيكي بايد مجهز به قفل و دوربين هاي مداربسته باشد.
• 5-18-5- امن سازي دفاتر، اتاق ها و امكانات
  • بايد محل هاي سرورها ايزوله و به جز مسئولين انفورماتيك كسي اجازه دسترسي به سرورها و سوييچ ها و تجهيزات را نداشته باشد.
• 5-18-6- محافظت در مورد تهديدهاي محيطي و بيروني:

 انواع تهديدهاي متعارف

• مصادیق محیطی(E)

زلزله، گردباد، رعد و برق، سيل(D,A)، نوسان برق(A)، دما و رطوبت زياد(D,A)، گرد و غبار، تخريب محيط ذخيره سازي

• مصادیق اقدام انسان
  • تصادفی(A)

نقص در سيستم تهويه(D)، نقص در سخت افزار اشكال در تعميرات(D)، اشكال در نرم افزار(D)، استفاده از نرم افزار توسط افراد غيرمجاز(D)، استفاده از نرم افزار به شيوه اي غيرمجاز(D)، استفاده از نرم افزار خارج از قواعد(D)، نقص فني در اجزاي شبكه خطا در انتقال، آسيب ديدن خطوط(D)، ترافيك بيش از اندازه در شبكه(D)، حذف فايل(D)، نقض در خدمات ارتباطي مثال خدمات شبكه(D)

• • عمدی(D)

اقدامات صنعتي، حمله با بمب، استفاده از سلاح، آتش افروزي(A)، آسيب عمدي، دزدي، استفاده غيرمجاز از محيط ذخيره سازي، تغيير هويت و جعل هويت، نرم افزارهاي مخرب(A)، استفاده نادرست از دسترسي متعارف، دسترسي غيرمجاز به شبكه، استفاده غيرمجاز از تجهيزات شبكه، شنود، نفوذ در تجهيزات ارتباطي، تحليل ترافيك شبكه، تغيير مسير پيام، انكار و سرباز زدن، استفاده نادرست از منابع(A)

كليه سرورها و يو پي اس ها و آنتن ها با تهديدهاي موجود در جدول بايد كنترل شوند. اين مسئوليت به عهده واحد انفورماتيك مي باشد.

• 5-18-7- امنيت كابل كشي
  • كليه كابل كشي ها بايد چك و اگر آسيب و يا نقصي در كابل كشي هست بايد توسط واحد انفورماتيك  تعمير شود.

اين كابل كشي شامل كابل كشي شبكه و تلفن مي باشد.

• 5-18-8- خروج دارايي ها

– تجهيزات، نرم افزارها و اطلاعات بدون مجوز قبلي نبايد از شركت خارج شوند. اين مجوز به عهده واحد انفورماتيك و انبار با هماهنگي مدير مربوطه است.

• 5-18-9-  امنيت تجهيزات و دارايي هاي خارج از محوطه

امنيت تمام دارايي هاي درون پروژه ها بر عهده مدير پروژه مي باشد.

• 5-18-10- امحا و يا استفاده مجدد از تحهيزات به صورت امن

نرم افزارهاي زيادي وجود دارند كه مي توانند براي بازيابي فايل ها و اطلاعات حذف شده از روي تجهيزات سخت افزاري (Format شده) مورد استفاده قرار گيرند.

براي كاهش احتمال خطر انتشار بدون مجوز اطلاعات حساس و محرمانه، ميبايست اطلاعات موجود بر روي تجهيزاتي كه پيشتر مورد استفاده قرار گرفته اند، به طور امن حذف شوند.

پس از اين عمليات، بازيابي اطلاعات توسط نرم افزارهاي معمولي امكان پذير نخواهد بود و براي بازيابي مي بايست تكنيك هاي تخصصي به كار گرفته شوند. همچنين براي حذف اطلاعات مي توان از روشهايي استفاده نمود كه بازيابي توسط تكنيك هاي تخصصي نيز امكان پذير نباشد.

• • تمامي اطلاعات سيستم هاي كامپيوتري و رسانه هاي مرتبط با آنها كه ممكن است حاوي اطلاعات حساس يا محرمانه باشند، مي بايست پيش از استفاده مجدد و يا انهدام، پاك شوند.
  • اطلاعات تمامي بستر هاي ذخيره سازي اطلاعات سيستم ها و قطعاتي كه در سازمان مجددا مورد استفاده قرار مي گيرند، بايد با يك نرم افزار مورد تاييد پاك شوند. دربرخي از موارد بايد از سيستم ها پيش از استفاده مجدد يك نسخه پشتيبان كامل تهيه شود.
  • تمامي بستر هاي ذخيره سازي سيستم ها و تجهيزاتي كه مورد استفاده مجدد قرار گرفته، فروخته و يا بخشيده مي شوند. و يا حتي به عنوان وسايل غير قابل استفاده به بيرون از سازمان منتقل مي شوند، لازم است توسط نرم افزار مورد تاييد پاك شوند.
  • تمامي عمليات پاك كردن و يا انهدام تجهيزات مي بايد با اطلاعات زير ثبت شوند:
  • تاريخ و زمان عمليات
  • نام، عنوان و امضاء كارشناس مربوطه
  • شرح اقدامات انجام گرفته
• 5-18-11- ميز پاك و صفحه پاك

برقراري استانداردهاي امنيت فيزيكي ايستگاه هاي كاري و براي پيشگيري از سرقت ايستگاه هاي كاري تمامي كاركنان را كه مجاز به دسترسي به سيستم هاي اطلاعاتي سازمان شناخته اند، ضروري است.

• • كاربران ايستگاه هاي كاري نبايد هيچ دستگاه جانبي كه فاقد تاييديه واحد انفورماتيك است را به ايستگاه هاي كاري متصل كنند.
  • مانيتورهاي ايستگاه هاي كاري مي بايست به گونه اي قرار گيرند كه از ديده شدن اطلاعات حساس توسط افراد غير مجاز جلوگيري شود.

6- توزیع نسخ روش اجرایی امنیت اطلاعات

مطابق با فرم فهرست اطلاعات مدون معتبر توزیع شده است.

7- مدارک ذیربط روش اجرایی امنیت اطلاعات

ندارد.