بررسی مدیریت دسترسی به اطلاعات در سازمان

یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی (Access Control) به اطلاعات است. مدیران سازمانی همواره با این چالش مواجه‌اند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند.

استاندارد ISO/IEC 27001:2013  به عنوان یک استاندارد بین المللی در حوزه امنیت اطلاعات که با عنوان سیستم مدیریت امنیت اطلاعات ISMS شناخته می شود، درحوزه کنترلی A.9 ضمیمه الف خود، به صورت خاص به موضوع کنترل دسترسی و الزامات آن پرداخته است. این الزامات می تواند به عنوان یک الگوی کنترل دسترسی در سازمان مورد استفاده قرار گیرند. در این مقاله، ضمن بررسی نیازها و انتظارات مدیران در این حوزه، به تشریح الزامات استاندارد پرداخته و برخی ابزارها جهت مدیریت بهینه این فرآیند معرفی خواهد شد.

دغدغه‌های مدیران و مالکین اطلاعات در خصوص کنترل دسترسی

در هر سازمان، فارغ از نوع فعالیت آن (تجارت، تولید، خدمات و …)، اطلاعاتی وجود دارد.این اطلاعات برای تداوم کسب‌وکار سازمان مهم بوده و به شیوه‌های مختلف در فرآیندهای روزانه استفاده می‌گردد.

یکی از دغدغه‌های مهم مدیران کسب‌وکار در این حوزه، چگونگی حفاظت از این اطلاعات و محدودسازی دسترسی به آن‌ها است. به‌ویژه که در بسیاری از سازمان‌ها، این اطلاعات به‌عنوان دانش فنی محسوب شده و دارای ارزش مالی است.

از جمله موارد دیگری که باید به آن توجه شود:

• چگونگی نگهداری از اطلاعات
• چگونگی و سطح اعطاء دسترسی
• چگونگی اعطاء دسترسی از داخل سازمان
• چگونگی اعطاء دسترسی از بیرون سازمان
• چگونگی لغو یا تغییر دسترسی
• حصول اطمینان از عدم وجود هرگونه دسترسی غیرمجاز
• چگونگی حفاظت از اصل اطلاعات
• فرآیند تغییر و اصلاح اطلاعات
• و غیره…

در این راستا، برخی اقدامات به­ صورت تجربی و فنی در سازمان پیاده ­سازی می ­گردد که از جمله آن:

• استفاده از تجهیزات نگهداری امن فیزیکی نظیر سرورها،
• جداسازی و ایزوله کردن شبکه،
• تعریف انواع سطوح دسترسی برای سامانه­ های مختلف،
• ارائه دسترسی محدود از بیرون سازمان،
• منع استفاده از تجهیزات انتقال اطلاعات نظیر حافظه های قابل‌حمل،
• منع استفاده از تجهیزات تصویربرداری،
• و …

این تدابیر تا حدودی موجب حفاظت از اطلاعات و پوشش دغدغه­ های مالکین اطلاعات می­ گردد اما لزوماً راهکار صحیح جهت برطرف­ سازی ریسک ­های مرتبط با دسترسی غیرمجاز به اطلاعات نیست.

به جهت اثربخشی بهینه این فرآیند، لازم است تا الزامات بالادستی، بین ­المللی و دستورالعمل ­های موجود در سازمان به‌درستی مورد پیاده ­سازی قرار گیرد و ضمن اعمال سیاست ­ها، اجرای صحیح آن و نظارت بر اجرا نیز در دستور کار باشد.

در ادامه، الزامات استاندارد و راهکارهای موجود در هر الزام تشریح خواهد شد.

الزامات استاندارد ISO 27001 در حوزه کنترل دسترسی

استاندارد ISO/IEC 27001:2013 در حوزه کنترل A.9 در ضمیمه الف (Annex A) به صورت خاص به موضوع کنترل دسترسی پرداخته است. این الزامات در 4 هدف مختلف و در 14 کنترل به شرح ذیل ارائه شده است:

هدف کنترلی 9.1، الزامات کسب و کار در حوزه کنترل دسترسی

اولین هدف کنترلی این حوزه در خصوص الزامات کسب‌وکار سازمان در حوزه کنترل دسترسی است. از نکات قابل توجه در این هدف، لزوم تدوین سیاست در زمینه کنترل دسترسی و همچنین مستند بودن آن است.

توجه شود که در برخی بندها و کنترل­ های استاندارد ISO/IEC 27001:2013 الزامی بر مستند بودن نیست اما در برخی کنترل­ها نظیر (A.9.1.1) صراحتاً عبارت «مستند» ذکر شده است.

کنترل دسترسی در دو بعد فیزیکی و سیستمی قابل سیاست­گذاری است که الزامات دسترسی فیزیکی آن در حوزه A.11 استاندارد تشریح می­گردد و دسترسی­ های سیستمی در این حوزه از استاندارد تشریح می­شود.

یکی از پیش­نیازهای تعریف دسترسی به اطلاعات، طبقه ­بندی اطلاعات است. طبقه­ بندی اطلاعات می ­تواند از جنبه های مختلف صورت پذیرد:

• از منظر محرمانگی: خیلی محرمانه، محرمانه، داخلی، عمومی و …
• از منظر سطح دسترسی: سیاست­ گذاری، راهبری، اجرایی و …
• از منظر واحدهای سازمانی: معاونت ها، مدیران، کارشناسان ارشد، کارشناسان و …

اعطاء دسترسی با توجه به نیاز سازمان می ­تواند براساس سرویس، تجهیز، فرآیند، … صورت پذیرد. در صورتی که یک سرویس اطلاعاتی دارای زیرمجموعه های مجزا و مختلف باشد، دسترسی می ­تواند به ازای هر زیرمجموعه متغیر تعریف شود. به­ عنوان نمونه، سیستم های یکپارچه مدیریتی که دارای زیرمجموعه های مختلف هستند، نیاز به اعطاء دسترسی جداگانه دارند.

سطح دسترسی به اطلاعات نیز باید به شیوه صحیح مدیریت شود. این سطح دسترسی می ­تواند از نوع خواندن، درج و تغییر، پاک کردن، تغییر تنظیمات زیربنایی، تغییر توابع سرویس و … باشد.

در زمینه تعریف دسترسی به اطلاعات و سرویس های اطلاعاتی سازمان باید توجه شود که هر سرویس گیرنده (اعم از کاربر یا تجهیز) باید به اندازه «نیاز به دانستن» و «نیاز به استفاده» به اطلاعات دسترسی داشته باشد. در این حوزه همچنین باید قابلیت های مدیریت دسترسی در زمان طراحی یا خرید نرم افزار مورد توجه قرار گیرد.

در خصوص این هدف کنترلی و سیاست گذاری، توجه به موارد ذیل نیز توصیه می گردد:

• تعیین ابزار جهت دسترسی کاربران به سرویس ­های اطلاعاتی نظیر (Proxy server)
• نظارت بر دسترسی به سرویس­ های اطلاعاتی و عدم وجود دسترسی غیرمجاز
• تغییر و حذف دسترسی در زمان لازم

هدف کنترلی 9.2، مدیریت دسترسی کاربر

در این هدف، الزامات مربوط مدیریت دسترسی از سمت کاربر تشریح شده است. این الزامات شامل:

• ایجاد و حذف حساب کاربری،
• فرآیند اعطاء دسترسی به کاربر،
• مدیریت اعطاء دسترسی سطح بالا (مدیران، راهبران، …)
• مدیریت اطلاعات احراز هویت کاربر،
• بازنگری حقوق دسترسی اعطاء شده،
• حذف یا تغییر دسترسی موجود.

در خصوص الزامات این حوزه، توجه به نکات ذیل توصیه می ­شود:

• در طراحی سرویس های اطلاعاتی تا حد امکان شیوه شناسایی از طریق Active Directory باشد تا امکان مدیریت متمرکز کاربران فراهم گردد.
• فرآیند مشخصی برای تعریف کاربر باید تعریف گردد و تخصیص نام کاربری طبق آن دارای قالب مشخص باشد. در این خصوص باید توجه شود که هر نام کاربری مختص یک نفر تعریف شود و نام کاربری مشترک وجود نداشته باشد. همچنین روال مجازشماری کاربران و تایید و تعریف کاربران در سازمان باید تعریف شود.
• بهینه است که اطلاعات تکمیلی کاربر نظیر سیستم مورد استفاده، زمان استفاده از حساب کاربری، تاریخ انقضاء حساب و … نیز تعیین شود.

• بهینه است که نام کاربر با توجه به مشخصات فردی وی قابل حدس زدن نباشد. در این راستا می­توان از اطلاعاتی نظیر کد ملی یا کد پرسنلی استفاده کرد.
• در خصوص کاربرانی که دارای سطح دسترسی بالا هستند، توصیه می­شود که از دو نام کاربری مجزا استفاده شود. نام کاربری عادی جهت امور روزانه و نام کاربری دوم جهت امور راهبری؛ اما از حساب کاربری مشترک برای افراد نباید استفاده شود تا لاگ آن قابل پیگیری باشد.
• جهت ارائه بهینه دسترسی به حساب­های کاربری، از گروه ­بندی استفاده گردد.
• تحویل اطلاعات احراز هویت کاربران باید به نحوی باشد که امکان جعل هویت و سوء استفاده به حداقل برسد. در این زمینه می­توان از روش تحویل حضوری یا ایجاد رمز عبور با قالب پیش­فرض اقدام نمود و در اولین ورود، رمز عبور باید تغییر یابد.
• تحویل اطلاعات احراز هویت و دسترسی به کاربران باید پس از اخذ تعهد و تضامین مورد نیاز (با توجه به پست سازمانی و نوع دسترسی) صورت پذیرد.
• بازنگری فرآیند اعطاء دسترسی باید در فواصل زمانی معین انجام پذیرد. این بازنگری می­تواند شامل کنترل تعدادی کاربران و حساب­های کاربری، کنترل اطلاعات تکمیلی حساب­های کاربری، کنترل دسترسی­های موجود در سرویس­های اطلاعاتی و … باشد.
• در صورت انفصال یا تغییر پست کاربر، هر گونه دسترسی وی به سرویس­های اطلاعاتی باید بلافاصله محدود شود. این حوزه نیز یکی از چالش­ها در سازمان­هاست. دسترسی­ها باید بلافاصله پس از تغییر پست یا خاتمه همکاری غیرفعال و متناسب با پست جدید مجددا اعطا شود.

هدف کنترلی 9.3، مسئولیت­های کاربر

طبق این الزام، کاربر باید با توجه به سیاست ­های موجود در سازمان، نسبت به حفاظت از اطلاعات احراز هویت خود مسئولیت­ پذیر بوده و در صورت بروز هرگونه مشکل (نظیر افشاء اطلاعات احراز هویت)، مراتب را به مسئول مربوطه اطلاع دهد.

یکی از راهکارهای مفید در خصوص این الزام، برگزاری دوره­ های آموزش و آگاهی­ رسانی در حوزه ریسک­ های جعل هویت و دسترسی به اطلاعات احراز هویت کاربر است. در این زمینه، توجه به موارد ذیل توصیه می­ گردد:

• کاربر باید پس از دریافت اطلاعات احراز هویت، در اسرع وقت نسبت به تغییر آن اقدام نماید.
• در صورتی­که از رمز عبور برای احراز هویت استفاده می­شود، رعایت استانداردهای مربوطه (رمز عبور پیچیده، تغییر دوره­ای، حفظ رمز عبور و …) از سوی کاربر ضروری است.

هدف کنترلی 9.4، کنترل دسترسی به سیستم­های اطلاعاتی و نرم­ افزارها

الزامات این هدف کنترلی در راستای پیشگیری از دسترسی غیرمجاز به سیستم­ های عملیاتی و نرم­ افزارهای کاربردی ارائه شده است. در راستای پیاده­ سازی این الزامات، توجه به نکات ذیل توصیه می­ گردد:

• پیرو سیاست­ های سازمان در زمینه دسترسی به اطلاعات، دسترسی به سیستم­های عملیاتی و نرم­افزارها باید تحت کنترل باشد. این دسترسی می­تواند شامل:
  • دسترسی به سرورهای نرم ­افزار و پایگاه داده آن،
  • دسترسی به تنظیمات مدیریتی نرم­افزار نظیر تعریف مجوزهای دسترسی،
  • طراحی ساختار سرویس به نحوی که امکان مدیریت دسترسی و تعیین سطح دسترسی به انواع اطلاعات فراهم باشد.
  • خروجی­ های نرم افزار صرفاً شامل اطلاعات مورد نیاز و فاقد هرگونه اطلاعات اضافی باشد.
  • نگهداری از اطلاعات حیاتی سرویس در محیط مجزا از محیط عملیات.
• در خصوص ورود امن به یک سامانه باید متد احراز هویت مشخص و در حد نیاز برای آن تعریف شود. انواع متدهای احراز هویت نظیر نام کاربری و رمز عبور، کد Captcha، ابزار Token، … می­تواند مورد استفاده قرار گیرد.

• مدیریت کلمه عبور نیز همانند متد احراز هویت نیازمند سیاست­ گذاری و و اعمال حداقل الزامات استاندارد است.

نصب و استفاده از ابزارهای مختلف رسمی یا غیررسمی در کنار نرم­ افزارهای اصلی (نظیر ابزارهای مانیتورینگ، ابزارهای گزارش­ساز و …) نیز جزء الزامات این حوزه است که لازم است محدود بوده و تحت کنترل قرار گیرد.

در ادامه الزامات این حوزه به محافظت از سورس کد نرم ­افزارها اشاره شده است. سورس کد یک نرم ­افزار، جزء دارایی­ های اطلاعاتی سازمان بوده و نوعی مالکیت معنوی محسوب می­شود. دسترسی غیرمجاز به سورس کد علاوه بر امکان سرقت نرم­افزار، ریسک­های تغییر غیرمجاز را نیز به همراه خواهد داشت. در این راستا و به جهت پیشگیری از هرگونه سوء استفاده، لازم است محدودیت­هایی در زمینه دسترسی به آن لحاظ گردد. استفاده از ابزارهای نسخه ­دهی سورس کد نظیر TFS,Jira,Git و … در این حوزه توصیه می­ شود.

نتیجه گیری

به صورت کلی، جهت مدیریت بهینه دسترسی به اطلاعات در سازمان، در گام ابتدایی، لازم است تا انواع دسترسی به انواع اطلاعات تعیین شود تا بتوان تعریف صحیح از دسترسی غیرمجاز ارائه نمود. فرآیند درخواست، تأیید و اعطاء دسترسی نیز باید تحت کنترل قرار گیرد تا از اعطاء دسترسی غیرمجاز پیشگیری به عمل آید.

در خصوص دسترسی به سامانه ها و سرویس­ های مختلف در سازمان طی نمودن مراحل زیر ضروری است:

• شناسایی سرویس ها و سامانه­ های مختلف سازمان
• تعیین انواع سطوح دسترسی در هر یک از سرویس ­ها
• تعیین ماتریس انطباق بین نقش­های سازمانی و سرویس ها
• تعیین سطوح دسترسی متناسب با هر نقش
• بازنگری دوره ه­ای دسترسی­ ها