در اغلب موارد ، تشکیلات اقتصادی همچون شبکه های کامپیوتری در برابر تغییرات فشرده و ناگهانی با ضعف و شکست مواجهه می شدند. یک پروژه ابتدایی امنیتی نیز از این مقوله مستثنا نیست. هنگامی که من در شرکت «مارین» بودم آنجا صحبت از هفت P بود:

۱) Proper

۲) prior،

۳) planning،

۴) prevents،

۵) pretty،

۶) poor

۷) performance .

آنها یک شبکه را در حالت صحیحی نگه می داشتند. شما باید قبل از پیاده سازی هر چیزی، ابتدا باید طرح و برنامه داشته باشید و سپس ابزار لازم را مهیا سازید. همیشه این ضرب المثل را به خاطر داشته باشید که «یک کیلو پیشگیری بهتر از یک خروار علاج است». امنیت شما بخشی از پیشگیری شما است. دلیل اینکه بیشتر تشکیلات اقتصادی با شکست مواجهه می شوند به این دلیل است که آنها هدف اصلی از این تشکیلات را برای خود مشخص نمی کنند و نمی دانند که باید در آینده نیز فعالیت خود را ادامه دهند! برای مثال، این درست نیست که به سادگی بگوییم برای امنیت بالاتر شبکه خود نیاز به یک دیواره آتش داریم. شما باید به طور دقیقی مشخص کنید که «چه چیزی» را «چگونه» می خواهید امن کنید.

چه نوع از فیلترینگ را می خواهید شما پیاده سازی کنید؟ چه مقدار دسترسی را می خواهید به کاربران خود اهداء کنید؟ آیا شما می خواهید که کاربران اینترنتی را تعیین هویت کنید و فعالیت های آنها را ثبت کنید؟ فقط با پاسخ دادن به این سوالات و سوال های دیگر است که می توانید به طور دقیقی مشخص کنید که چه لازم دارید و چه چیزی را باید خریداری کنید و به طور جزیی تر برای دیواره آتش خود چه سیاستی را در پیش بگیرید تا آنچه را که در نظر دارید را پیاده سازی کنید.

برای محتویات یک اساس نامه امنیتی دو دیدگاه و اندیشه وجود دارد. ایده اول اساس نامه امنیتی، «یک سند در برگیرنده کلی می باشد» که شامل کلیه دستورات و توصیه های ساده تا جزیی ترین مشخصات و پیکربندی های آن باشد. در ذات خودش، اساس نامه امنیتی یک اساس نامه به تنهایی نمی باشد و به همان مقدار روال هایی را نیز در بر می گیرد.

رهیافت دوم اساس نامه امنیتی نیز در برگیرنده یک سند کلی شامل دستورات و توصیه های ساده تا جزیی ترین مشخصات و پیکربندی ها می باشد اما ممکن است این دستورات فقط در محدوده اساس نامه امنیتی نباشد و محدوده های دیگر را نیز در بر گیرد. هر دو این رهیافت ها مسایل خاص خودشان را دارند و درستی هر کدام از این رهیافت ها بستگی به محیط کاری شما دارد. سود رهیافت «سند کلی اساس نامه امنیتی»، این است که تمامی اطلاعات شما به صورت روال های مشخص و قابل پیاده سازی در یک سند واحد خلاصه می شود بنابراین دنبال کردن این دستورات ساده تر و پیاده سازی آن آسان تر می باشد. از دیدگاه منفی، این رهیافت به تغییرات احتمالی آینده حساس می باشد زیرا که اساس نامه ها برای دستورات جزیی به روز رسانی می شوند.

سود رهیافت «اساس نامه امنیتی فقط یک اساس نامه است» این است که به طور موثری به صورت کامل نوشته می شود و از طرح جزییات خودداری می کند و فقط به طور ساده مطرح می کند که چه کاری باید انجام شود. از مضرات این روش این است که تمامی اسناد و اطلاعات پیاده سازی اساس نامه امنیتی در قالب چندین سند ارائه می گردد که دنبال کردن هر یک از آنها مشکل تر از روش قبل است.

به نظر من طرح «سند کلی اساس نامه امنیتی» بهتر است زیرا که پیاده سازی آن ساده تر است. فقط شما کافی است که روال های عادی را تعریف و پیاده سازی کنید. حال شما اگر اساس نامه امنیتی را خودتان مطرح کنید یا در اسنادی آنها را بنویسید، فرقی ندارد آنچه مهم است باید این اساس نامه در سازمان شما اجرا شود. در رهیافت «سند کلی اساس نامه امنیتی» من درباره موضوع خاصی صحبت می کنم و اینجاست که شما تصمیم می گیرید که آیا آن را به عنوان بخشی از اساس نامه امنیتی خود می پذیرید و یا آن را در سند های دیگری مطرح می کنید.

در عمل ، بهتر آن است که رهیافت «سند کلی اساس نامه امنیتی» برای سازمانهای کوچک و رهیافت دوم برای سازمانهای بزرگ مطرح شود زیرا که در سازمانهای بزرگ تغییرات با دشواری همراه است.

● یک قدم به جلو:

برای اینکه شما به نقش و اهمیت اساس نامه امنیتی پی ببرید نیاز است که چندین اصطلاح تخصصی را تعریف کنیم:

▪ سیاست ها یا اساس نامه ها:

سیاست ها به طور ساده وضعیتی هستند که باید اتفاق بیفتند. به عنوان مثال یک سیاست امنیتی این است که کلیه ترافیک های عمومی (همچون اینترنت) باید رمزگذاری شوند.

▪ استاندارد ها :

استاندارد ها چگونگی عملکرد بعضی چیز ها را تعریف می کنند. برای مثال ممکن است ما برای بعضی از پیش نیاز های سیاست های امنیتی خود، نیاز به ۳DEC و IPSec داشته باشیم.

▪ روال ها :

روال ها مشخص می کنند که چگونه ابزاری باید پیکربندی شوند و در اصل «استانداردها» را با «سیاستها» برای ابزار های مختلف تطابق می دهند. برای مثال شما ممکن است روال هایی را برای چگونگی پیکربندی ۳DEC و IPSec در مسیریابهای خود تعریف کرده باشید تا بدین وسیله داده خود را رمزگذاری کنید.

● هدف اساس نامه امنیتی :

به طور کلی، اساس نامه امنیتی برای این وجود دارد که هر کسی به طور دقیق و از قبل تعریف شده بداند که در کار با منابع سازمان و تشکیلات چه کار انجام دهد و روی آنها نیز تعهد لازم را داشته باشد. اساس نامه امنیتی نیاز دارد که مشخص کند شما دارای چه استاندارد های امنیتی هستید.آیا باید تمامی سیستم هایی که در شبکه پیاده سازی شده اند توسط یک سرور TACACS+ تعیین هویت شوند؟ سیاست های امنیتی شماست که حکم می دهد آیا باید این اتفاق بیفتد یا خیر. اساس نامه امنیتی شما باید مشخص کند که اهداف امنیتی شما چه هستند. آیا سازمان شما سعی می کند که فشارهای ناشی از ویروس ها و کرم ها را کاهش دهد؟ آیا آنها سعی می کنند که خطرات دسترسی های بیرونی را محدود کنند ؟ نباید این وضعیف ها را فراموش کرد و باید برای آنها چاره ای اندیشید. حتما آنها را بنویسید و تعریف کنید. حتما بخشی را در مجموعه خود در نظر بگیرید به همراه افرادی که مراقب باشند تا قوانین امنیتی رعایت شوند و در صورتی که گروهی از افراد این قوانین را در نظر نگرفتند با آنها برخورد مناسب صورت گیرد. حتما سندی را نیز تهیه کنید تا به کاربران بگوید که «چرا شما باید این کار ها را انجام دهید و چرا ما آنها را از شما می خواهیم».

آخرین نکته، آنچه که باعث می شود اساس نامه امنیتی شما پابرجا بماند و یا شانس خوبی برای اجرا شدن داشته باشد؛ این است که از طرف رده های مدیریتی بالاتر سازمان پشتیبانی شود. امنیت تا حدودی زیادی باید «قابل استفاده» باشد و حتی در بعضی مواقع قابل استفاده بودن به خود امنیت می چربد و در بعضی مواقع نیز امنیت بسیار مهم تر از قابلیت استفاده است. بدون پشتیبانی مدیریتی رده بالا شما هیچ شانسی ندارید تا به کاربران و مجموعه کاری خود بقبولانید که در بعضی از مواقع به خاطر امنیت بیشتر از قابلیت استفاده صرف نظر کنند.

● اساس نامه امنیتی و مشکلات کاربران

وقتی من در یک شرکت روی حفاظت های ویروسی کار می کردم برخی از کارمندان شرکت در برابر آن مقاومت نشان می دادند. تا آنجایی که روی کامپیوتر هایی که آنتی ویروس نصب شده بود اسم خاصی گذاشته بودند! و خیلی از آنها هیچ علاقه ای نداشتند که با این کامپیوتر های «خاص» کار کنند. همین موضوع باعث شد که حفاظت در برابر ویروس ها بسیار بیشتر از آنچه که تصور می رفت طول بکشد. یکی از دلایلی که باعث بروز این مشکل شده بود، این بود که این سازمان فاقد هر گونه اساس نامه امنیتی بود. مدتهاست که از آن شرکت من بیرون آمده ام ولی هنوز اطلاع دارم که آن سازمان مساله ویروس ها را نتوانسته است حل کند.