امنیت سایبری چیست؟
امنیت سایبری چیست؟, امنیت سایبری بر محافظت از ماشین های کامپیوتری که دارای سیستم عامل هستند، و الکترونیکی که قابل برنامه ریزی می باشند، در برابر دسترسی غیرمجاز یا آسیب دیدگی یا غیرقابل دسترس شدن تاکید دارد. امنیت اطلاعات مقوله وسیع تری است که از تمامی دارایی های اطلاعاتی چه به صورت چاپی و چه دیجیتال محافظت می کند.
برای کسب اطلاعات بیشتر در مورد امنیت اطلاعات پیشنهاد می شود مقاله “سیستم مدیریت امنیت اطلاعات” را مطالعه کنید.
استانداردهای بسیاری برای یکپارچه کردن امنیت سایبری توسط سازمان ISO تدوین شده که ما در این مقاله ابتدا به موضوعات امنیت سایبری سپس به استاندارد ایزو امنیت سایبری می پردازیم. پس تا انتهای مقاله با ما همراه شوید و نظرات خود را در مورد “امنیت سایبری چیست؟”، انتهای مقاله ثبت کنید.
فهرست محتوا
امنیت سایبری چیست؟, چرا مهم است؟
امنیت سایبری مدافع کلیه ماشین های کامپیوتری که دارای سیستم عامل یا قابلیت نصب سیستم عامل و نرم افزار هستند همانند رایانه ها، سرورها، دستگاه های تلفن همراه و … در برابر حملات مخرب خارجی است. امنیت سایبری به عنوان امنیت فناوری اطلاعات یا امنیت اطلاعات الکترونیکی نامیده می شود.
چرا مهم است؟
ممکن است برای شما سوال باشد “چرا امنیت سایبری مهم است؟”. پیشرفت فناوری و افزایش استفاده از آن توسط تمامی جوامع و سازمان ها مزایا و خطرات خاص خود را دارد. امنیت سایبری بسیار مهم است زیرا از انواع داده ها در برابر سرقت و از دست رفتن محافظت می کند. داده های حساس، اطلاعات بهداشتی محافظت شده (PHI)، اطلاعات شناسایی شخصی (PII)، مالکیت معنوی، اطلاعات شخصی، داده ها و سیستم های اطلاعات دولتی و تجاری همه شامل میشوند.
هدف ایجاد امنیت سایبری چیست؟
هدف از امنیت سایبری، کاهش خطر حملات سایبری و محافظت در برابر بهره برداری غیرمجاز از سیستم ها، شبکه ها و فناوری ها است.
در مورد “چارچوب COBIT و اینکه کوبیت چیست؟“، بیشتر بخوانید.
مزایای استقرار استاندارد امنیت سایبری چیست؟
- امنیت شبکه: عمل ایمن سازی یک شبکه کامپیوتری از نفوذگران، خواه مهاجمان هدفمند یا بدافزارهای فرصت طلب است.
- امنیت برنامه ها و نرم افزار: امنیت برنامه بر حفظ نرم افزار و دستگاه ها عاری از تهدید تمرکز دارد. یک برنامه در معرض خطر می تواند دسترسی به داده هایی را که برای محافظت از آن طراحی شده است فراهم کند. امنیت موفقیت آمیز در مرحله طراحی، قبل از استقرار یک برنامه یا دستگاه آغاز میشود.
- امنیت اطلاعات: امنیت اطلاعات از یکپارچگی و حریم خصوصی داده ها چه در ذخیره سازی و چه در حین انتقال محافظت می کند.
- امنیت عملیاتی: امنیت عملیاتی شامل فرآیندها و تصمیم گیری ها برای مدیریت و حفاظت از دارایی های داده است.
- بازیابی بلایا و تدوام کسب وکار: نحوه واکنش یک سازمان به یک حادثه امنیت سایبری یا هر رویداد دیگری که باعث از بین رفتن عملیات یا داده می شود را تعریف کنید. سیاست های بازیابی فاجعه دیکته می کند که چگونه سازمان عملیات و اطلاعات خود را بازیابی کند تا به همان ظرفیت عملیاتی قبل از رویداد بازگردد. تداوم کسب و کار طرحی است که سازمان در حالی که تلاش می کند بدون منابع خاصی فعالیت کند، از آن عقب می نشیند.
- آموزش به کاربر نهایی: به غیر قابل پیش بینی ترین عامل امنیت سایبری می پردازد: مردم. هر کسی میتواند بهطور تصادفی ویروسی را به یک سیستم امن وارد کند، زیرا از روش های امنیتی خوب پیروی نمیکند. آموزش به کاربران برای حذف پیوست های ایمیل مشکوک، وصل نکردن درایوهای USB ناشناس، و درس های مهم مختلف دیگر برای امنیت هر سازمانی حیاتی است.
در مورد “استاندارد ایزو 27018” بیشتر بخوانید.
چه کسی به امنیت سایبری نیاز دارد؟
اشتباه رایج بین کاربران اسن است که احساس می کنند به موضوع امنیت سایبری نیازی ندارند. همه افرادی که به اینترنت متصل هستند نیاز به امنیت سایبری دارند. این به این دلیل است که بیشتر حملات سایبری خودکار هستند و هدفشان سوء استفاده از آسیب پذیری های رایج است تا وب سایت ها یا سازمان های خاص را به چالش بکشند.
5 نوع امنیت سایبری چیست؟
- امنیت سایبری زیرساخت حیاتی
سازمان های زیر ساخت حیاتی اغلب نسبت به سایرین در برابر حمله آسیب پذیرتر هستند، زیرا سیستم های SCADA (کنترل نظارتی و جمع آوری داده ها) اغلب به نرم افزارهای قدیمی تر متکی هستند. مقررات، سازمان ها را ملزم به اجرای اقدامات فنی و سازمانی مناسب برای مدیریت ریسک های امنیتی خود می کند.
- امنیت شبکه
امنیت شبکه شامل رسیدگی به آسیب پذیری هایی است که بر سیستم عامل ها و معماری شبکه شما تأثیر میگذارند، از جمله سرورها و میزبان ها، فایروال ها و نقاط دسترسی بیسیم و پروتکل های شبکه.
- امنیت ابری
امنیت ابر مربوط به ایمن سازی داده ها، برنامه ها و زیرساخت ها در فضای ابری است.
- امنیت IoT (اینترنت اشیا)
امنیت اینترنت اشیا شامل ایمن سازی دستگاه ها و شبکه های هوشمند متصل به اینترنت اشیا است. دستگاه های اینترنت اشیا شامل مواردی هستند که بدون دخالت انسان به اینترنت متصل میشوند، مانند هشدارهای آتش سوزی هوشمند، چراغ ها، ترموستات ها و سایر وسایل.
- امنیت برنامه
امنیت برنامه شامل رسیدگی به آسیب پذیری های ناشی از فرآیندهای توسعه ناامن در طراحی، کدگذاری و انتشار نرم افزار یا یک وب سایت است.
تفاوت امنیت سایبری و امنیت اطلاعات در چیست؟
امنیت سایبری اغلب با امنیت اطلاعات اشتباه گرفته می شود. اما تفاوت امنیت سایبری و امنیت اطلاعات چیست؟
- امنیت سایبری بر محافظت از سیستم های کامپیوتری در برابر دسترسی غیرمجاز یا آسیب دیدگی یا غیرقابل دسترس شدن تمرکز دارد.
- امنیت اطلاعات مقوله وسیع تری است که از تمامی دارایی های اطلاعاتی چه به صورت چاپی و چه دیجیتال محافظت می کند.
چارچوب اصلی برای اجرای الزامات امنیت سایبری چیست؟
GDPR و DPA 2018 سازمان ها را ملزم به اجرای اقدامات امنیتی مناسب برای محافظت از داده های شخصی می کند. در غیر این صورت با جریمه های قابل توجهی مواجه خواهید شد. امنیت سایبری یک موضوع تجاری حیاتی برای هر سازمان است.
چک لیست مربوط به اجرای امنیت سایبری چیست؟
با این اقدامات امنیتی ضروری، دفاع سایبری خود را تقویت کنید:
- آموزش کاربر
خطای انسانی عامل اصلی نقض اطلاعات است. بنابراین، شما باید کارکنان را برای مقابله با تهدیداتی که با آن مواجه هستند، به دانش مجهز کنید. آموزش آگاهی کارکنان به کارکنان نشان می دهد که چگونه تهدیدات امنیتی بر آنها تأثیر می گذارد و به آنها کمک می کند تا بهترین توصیه ها را در موقعیت های دنیای واقعی اعمال کنند.
- امنیت برنامه
آسیب پذیری های برنامه های وب یکی از نقاط رایج نفوذ مجرمان سایبری است. از آنجایی که برنامه ها نقش مهمی را در تجارت بازی میکنند، تمرکز بر امنیت برنامه های کاربردی وب حیاتی است.
- امنیت شبکه
امنیت شبکه فرآیند محافظت از قابلیت استفاده و یکپارچگی شبکه و داده های شما است. این با انجام یک تست نفوذ شبکه به دست می آید که شبکه شما را از نظر آسیب پذیری ها و مسائل امنیتی ارزیابی می کند.
- تعهد رهبری
تعهد رهبری کلید انعطاف پذیری سایبری است. بدون آن، ایجاد یا اجرای فرآیندهای مؤثر دشوار است. مدیریت ارشد باید برای سرمایه گذاری در منابع مناسب امنیت سایبری، مانند آموزش آگاهی، آماده باشد.
- مدیریت رمز عبور
شما باید یک سیاست مدیریت رمز عبور را برای راهنمایی کارکنان برای ایجاد رمزهای عبور قوی و ایمن نگه داشتن آنها اجرا کنید.
استانداردهای ایزو مربوط به امنیت سایبری چیست؟
سازمان بین المللی ایزو جهت یکپارچه کردن الزامات بین سازمان ها دو استاندارد مهم امنیت سایبری را تدوین و منتشر کرده که به شرح زیر می باشد.
استاندارد ایزو 27001
ISO 27001 که به طور رسمی با نام ISO/IEC 27001:2022 شناخته می شود، یک استاندارد امنیت اطلاعات ایجاد شده توسط سازمان بین المللی استاندارد (ISO) است که چارچوب و دستورالعمل هایی را برای ایجاد، پیاده سازی و مدیریت یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد.
طبق مستندات آن، استاندارد ایزو 27001 برای «ارائه مدلی جهت استقرار، پیاده سازی، بهره برداری، نظارت، بررسی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات» ایجاد شده است.
استاندارد ISO/IEC 27032:2012
اما مهمترین استاندارد تدوین شده سازمان ISO برای امنیت سایبری، استاندارد ISO/IEC 27032:2012 می باشد (1).
ISO/IEC 27032:2012 راهنمایی برای بهبود وضعیت امنیت سایبری، ترسیم جنبه های منحصر به فرد آن فعالیت و وابستگی های آن به سایر حوزه های امنیتی، به ویژه: امنیت اطلاعات، ارائه میکند. امنیت شبکه؛ امنیت اینترنت؛ و حفاظت از زیرساخت های اطلاعاتی حیاتی (CIIP).
ISO/IEC 27032 به «امنیت سایبری» یا «امنیت فضای سایبری» که به عنوان «حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات در فضای سایبر» تعریف میشود، میپردازد. به نوبه خود «فضای مجازی» (کامل با حرف معین و سرمایه کاذب) به عنوان «محیط پیچیده ناشی از تعامل افراد، نرم افزارها و خدمات در اینترنت به وسیله دستگاه های فناوری و شبکه های متصل به آن است که وجود ندارد، تعریف میشود.
سوالات متداول
امنیت سایبری مدافع کلیه ماشین های کامپیوتری که دارای سیستم عامل یا قابلیت نصب سیستم عامل و نرم افزار هستند همانند رایانه ها، سرورها، دستگاه های تلفن همراه و … در برابر حملات مخرب خارجی است. امنیت سایبری به عنوان امنیت فناوری اطلاعات یا امنیت اطلاعات الکترونیکی نامیده می شود.
استاندارد ایزو 27001: ISO 27001 که به طور رسمی با نام ISO/IEC 27001:2022 شناخته می شود، یک استاندارد امنیت اطلاعات ایجاد شده توسط سازمان بین المللی استاندارد (ISO) است که چارچوب و دستورالعمل هایی را برای ایجاد، پیاده سازی و مدیریت یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد.
استاندارد ISO/IEC 27032:2012: ISO/IEC 27032:2012 راهنمایی برای بهبود وضعیت امنیت سایبری، ترسیم جنبه های منحصر به فرد آن فعالیت و وابستگی های آن به سایر حوزه های امنیتی، به ویژه: امنیت اطلاعات، ارائه میکند. امنیت شبکه؛ امنیت اینترنت؛ و حفاظت از زیرساخت های اطلاعاتی حیاتی (CIIP).