12 اصل حفاظت کلام و حفظ محرمانگی
مبتنی بر مدل سازمان CIA
تألیف: دکتر مازیار میر
مدرس، پژوهشگر و متخصص امنیت اطلاعات
خرداد 1389 — دانشگاه جنگ
حوزه کاربرد: حفاظت فردی (سرباز تا تحلیلگر)
این سطح، مسئولیتهای فردی هر عضو سازمان را در حفظ یکپارچگی اطلاعاتی، جلوگیری از نشت داده و مقابله با تهدیدات داخلی و خارجی تبیین میکند. رعایت این اصول، نه یک انتخاب، بلکه یک التزام امنیتی-اخلاقی است.
اصل نخست
نیاز به دانستن (Need-to-Know Principle)
هر فرد تنها به آن دسته از اطلاعات دسترسی دارد که برای انجام دقیق و مؤثر وظیفهٔ محولشده بهصورت ضروری و غیرقابلاجتناب مورد نیاز است. کنجکاوی فردی، روابط غیررسمی یا تمایل به «اطلاعرسانی عمومی» درونسازمانی، هیچگاه مبنای دسترسی به اطلاعات نخواهد بود.
**کاربرد عملیاتی**: یک تحلیلگر منطقهٔ خاورمیانه نباید در پروندههای آسیای شرقی سؤال بپرسد یا درخواست دسترسی داشته باشد، مگر آنکه وظیفهٔ رسمی او مستقیماً به آن حوزه مرتبط باشد.
اصل دوم حداقل دسترسی (Principle of Least Privilege – PoLP)
دسترسی فرد به سیستمها، پایگاههای داده، شبکههای داخلی و فضاهای فیزیکی (مانند اتاقهای امن یا مرکز فرماندهی) باید دقیقاً در حداقل سطح لازم برای انجام وظیفهٔ روزانه باشد. هرگونه تلاش برای گسترش دسترسی فراتر از مجوز رسمی، حتی با نیت «کمک به سازمان»، نقض جدی امنیت محسوب میشود.
**کاربرد عملیاتی**: اگر کارت امنیتی شما تنها به «طبقه همکف» مجوز ورود دارد، هرگز نباید سعی کنید از طریق درهای اضطراری، همکاران یا سیستمهای دور زدن (bypass) وارد «طبقه S» (محرمانهترین سطح) شوید.
—
#### **اصل ۳: احتیاط در محیطهای ناامن (OPSEC in Unsecured Environments)**
هیچگونه اشارهای — صریح یا ضمنی — به ماهیت کار، همکاران، پروژهها، محل فعالیت یا الگوهای رفتاری (مانند ساعت کاری یا مسیر تردد) در محیطهای عمومی یا نیمهخصوصی مجاز نیست. حتی یک جملهٔ ظاهراً بیخطر میتواند توسط یک جاسوس (HUMINT) یا الگوریتمهای هوش مصنوعی (OSINT) تحلیل و به اطلاعات ارزشمند تبدیل شود.
**کاربرد عملیاتی**: در پاسخ به سؤال «شما چه کار میکنید؟»، از یک پاسخ از پیش تعیینشده و غیرمشخص استفاده کنید: «مشاور امنیت فناوری» یا «کارمند بخش فنی دولت».
4
امنیت سایبری شخصی (Personal Cyber Hygiene)**
استفاده از دستگاهها، نرمافزارها، شبکهها و پلتفرمهای ارتباطی **فقط** در چارچوب فهرست تأییدشدهٔ سازمان (Approved Devices & Applications List) الزامی است. ذخیره، انتقال یا پردازش هرگونه اطلاعات طبقهبندیشده روی دستگاههای شخصی (موبایل، لپتاپ خانگی، ایمیل غیررسمی) ممنوع مطلق است.
**کاربرد عملیاتی**: ارسال یک ایمیل حاوی اطلاعات سطح «محرمانه» از طریق Gmail یا WhatsApp، حتی با رمزگذاری، نقض جدی امنیت سایبری محسوب میشود و ممکن است منجر به تعلیق مجوز امنیتی شود.
اصل ۵
جداسازی اطلاعات (Compartmentalization)
اطلاعات باید در «جعبههای ذهنی و فیزیکی» جداگانه نگهداری شوند. هیچ فردی نباید بتواند بدون مجوز، ارتباط بین دو پرونده یا دو حوزهٔ فعالیت را برقرار کند. این اصل، جلوی «ترکیب اطلاعات» (Data Fusion) توسط دشمن را میگیرد.
**کاربرد عملیاتی**: اگر شما در پروژهٔ «الف» و «ب» فعالیت دارید، هرگز نباید بدون مجوز، اطلاعات پروژهٔ الف را برای درک بهتر پروژهٔ ب استفاده کنید — مگر آنکه مجوز صریح «دسترسی متقاطع» صادر شده باشد.
اصل ششم
عدم تأیید یا رد اطلاعات محرمانه (Neither Confirm Nor Deny – NCND)
در هیچ شرایطی — حتی در برابر همکاران نزدیک یا خانواده — نباید وجود، عدم وجود، صحت یا ناصحت یک اطلاعات طبقهبندیشده را تأیید یا رد کرد. پاسخ استاندارد: «من اجازهٔ صحبت در این باره را ندارم.»
**کاربرد عملیاتی**: اگر کسی بگوید «آیا واقعیت دارد که شما در عملیات X شرکت داشتید؟»، پاسخ صحیح: «من نمیتوانم در این مورد اظهار نظر کنم.»
اصل هفتم
پاکسازی دیجیتال و فیزیکی (Digital & Physical Sanitization)
تمامی ردپاهای دیجیتال (فایلهای موقت، کش مرورگر، لاگهای سیستم) و فیزیکی (یادداشتهای دستی، چاپهای تست، برچسبهای پرونده) باید بلافاصله پس از استفاده و طبق دستورالعملهای سازمانی، بهصورت ایمن و غیرقابل بازیابی پاک شوند.
**کاربرد عملیاتی**: یادداشتهای دستی حاوی اطلاعات عملیاتی پس از جلسه باید در دستگاه تخریب اسناد سطح بالا (High-Security Shredder) نابود شوند — نه در سطل زبالهٔ معمولی.
8
گزارش فوری تهدیدات (Immediate Threat Reporting)
هرگونه شک به نشت اطلاعات، دسترسی غیرمجاز، رفتار مشکوک همکار، یا تلاش برای جاسوسی (حتی اگر «بینتیجه» باشد) باید فوراً به واحد امنیت داخلی گزارش شود. سکوت، همکاری ضمنی با دشمن محسوب میشود.
**کاربرد عملیاتی**: اگر همکارتان دربارهٔ یک عملیات محرمانه سؤالات غیرمعمولی میپرسد، حتی اگر «دوست صمیمی» باشد، باید گزارش دهید.
9
مقاومت در برابر مهندسی اجتماعی (Social Engineering Resistance)
هر درخواست غیررسمی برای افشای اطلاعات — چه از طریق تماس تلفنی، چه ایمیل جعلی (Phishing)، چه فشار روانی — باید با شک و بررسی
هویت رسمی همراه باشد. هیچ استثنا وجود ندارد.
**کاربرد عملیاتی**: اگر «دادستان» یا «رئیس» از طریق پیامک غیررسمی درخواست دسترسی به پرونده دهد، ابتدا هویت را از طریق کانال رسمی تأیید
کنید.
دهم
حفظ بیطرفی ظاهری (Perceived Neutrality)**
رفتار، ظاهر، شبکههای اجتماعی و حتی علایق فرهنگی شما نباید نشانهای از وابستگی سازمانی یا حساسیت اطلاعاتیتان باشد. هدف: کاهش «هدفپذیری» (Targetability) در برابر جاسوسان.
**کاربرد عملیاتی**: در شبکههای اجتماعی، هرگز عکسی از محیط کار، کارت شناسایی یا حتی کتابهای تخصصی مرتبط با حوزهٔ فعالیت نگذارید.
11
بازبینی مداوم مجوزها (Continuous Clearance Review)**
مجوزهای امنیتی شما بهصورت دورهای (معمولاً سالانه) و در صورت تغییر شرایط شخصی (سفر به کشورهای حساس، ازدواج با خارجی، بدهی مالی) مورد بازبینی قرار میگیرد. هرگونه تغییر در وضعیت فردی باید فوراً گزارش شود.
**کاربرد عملیاتی**: سفر به کشور X بدون گزارش، ممکن است منجر به لغو دائمی مجوز امنیتی شود — حتی اگر هدف گردشگری بوده باشد.
12
مسئولیت جمعی (Collective Accountability)**
حفاظت از اطلاعات، مسئولیت فردی نیست؛ بلکه یک التزام جمعی است. هر عضو موظف است نهتنها خود را، بلکه رفتار همکاران را نیز زیر نظر داشته باشد. «چشمپوشی از اشتباه کوچک»، دروازهای به سوی فاجعهٔ امنیتی است.
**کاربرد عملیاتی**: اگر همکارتان فایل محرمانه را روی دسکتاپ عمومی گذاشته، نهتنها باید او را هشدار دهید، بلکه در صورت تکرار، گزارش دهید.
این اصول ، بر سه ستون بنیادین امنیت اطلاعات استوارند:
– **CIA Triad**: محرمانگی (Confidentiality)، یکپارچگی (Integrity)، دسترسیپذیری (Availability)
– **OPSEC Cycle**: شناسایی اطلاعات حساس → تحلیل تهدیدات → ارزیابی آسیبپذیریها → اعمال کنترلها → نظارت مستمر
– **Human Factor Management**: انسان، ضعیفترین و قویترین حلقهٔ زنجیرهٔ امنیتی است.
رعایت این اصول، نهتنها از سازمان محافظت میکند، بلکه از **اعتبار فردی، حرفهای و اخلاقی** هر عضو نیز دفاع مینماید.
> «در جنگ اطلاعات، سکوتِ درست، قویتر از هزار گلوله است.»
> — دکتر مازیار میر
