کنترل امنیت اطلاعات
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد.
مدیریتی
کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترلهای مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترلها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیاتها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکتها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعملهای مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت دادههای صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونههای دیگر از کنترلها مدیریتی عبارتند از سیاست امنیتی شرکتهای بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاستهای انضباطی. کنترلهای مدیریتی پایه ای برای انتخاب و پیاده سازی کنترلهای منطقی و فیزیکی است. کنترلهای منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترلهای مدیریتی هستند.
منطقی
کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و دادهها است برای نظارت و کنترل دسترسی به اطلاعات و سیستمهای کامپیوتری. به عنوان مثال : گذرواژه، فایروالها ی شبکه و ایستگاههای کاری، سیستمهای تشخیص نفوذ به شبکه، لیستهای کنترل دسترسی و رمزنگاری دادهها نمونه هایی از کنترل منطقی می باشند.
فیزیکی
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربینها مداربسته، موانع، حصارکشی، نیرویهای محافظ و غیره.
کنترل تنظیمات(رمزنگاری)
در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روشهای بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.
رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حلهای رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمز گذاری داده ها و اطلاعات و تبدیل کردن آنها به شکل رمز گذاری شده ،روشس موثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می باشد.
حراست فیزیکی
حراست فیزیکی دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد.رایانه ها و اطلاعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش سازمان هستند.امنیت فیزیکی می تواند با اعمال کنترل ها ی زیر به دست آید : ۱-در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهنده و دوربین مدار بسته ۲-نگهداری و حفاظت و انبار کردن ابزار های حاوی اطلاعات مثل دیسک ها و نوار ها
حراست فیزیکی چیز خوبی است.
به دنبال روشی برای مدیریت امنیت اطلاعات
به دنبال جستوجوی روشی بهجز شیوههای سنتی امنیت شبکهٔ IT شرکت آیبیام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کردهاند. هدف از این کار ایجاد روشهایی برای مقابله با هکرها و دیگر راههای دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت. استوارت مکایروین، مدیر بخش امنیت اطلاعات مشتری IBM میگوید: "بیشتر شرکتها و همینطور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسئلهای فرعی در نظر میگیرند و در کنار دیگر فعالیتهای خود به آن میپردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چهگونه یک شرکت در کنار ایجاد امکان بهرهبرداری از اطلاعات مجاز، محدودیتهایی را برای دسترسی و محافظت از بخشهای مخفی تدارک میبیند. اعضای این شورا برآناند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاستهای مربوط به آن ارایه دهند. همچنین پیشبینی شده است که این راهکارها بخش مهمی را در زیربنای سیاستهای IT داشته باشد. مکآروین میگوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یکبار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفتوگو میکردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبهرو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرمافزارهای امنیتی موجود و طراحی نرمافزارهای جدید است. ما سعی میکنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل دادهاند، خود طرح پروژههای جدید برای کنترل خروج اطلاعات و مدیریت آنرا تنظیم کردهاند. آنها داوطلب شدهاند که برای اولین بار این روشها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکتها روشهای جدیدی را برای کنترل اطلاعات مشتریان خود بهکار بگیرند او میگوید: "من فکر میکنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکهها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیتهایی برای دستیابی و همچنین روشهای مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکتها هر روز بیش از پیش با سرقت اطلاعات روبهرو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بیواسطه است . مسائل مورد توجه این شورا به ترتیب اهمیت عبارتاند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامههای بخش IT با فعالیتهای شرکت و بیتوجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند
برنامه جامع امنیت تجارت الکترونیک
با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنشها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم میکند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستمهای اطلاعاتی و کامپیوتری هستند. هر ساله سازمانهای بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه برداریهای تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارتهای اعتباری، قرار میگیرند. چنین حملات امنیتی موجب میلیونها دلار ضرر و اخلال در فعالیت شرکتها میشوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با اینحال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستمهای اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاری از شرکتها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکتها از جرائم مرتبط با امنیت متحمل شده اند، را نمیتوان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی میشود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی های خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکتها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمیآورند. با هیجانات رسانهای که امروزه دور و بر اینترنت و قابلیتهای آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکتها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوریها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوریهای تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکتها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیتهای تجارت الکترونیک آنها میشود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامههای حفاظتی که از فناوریهای موجود (نرمافزار و سختافزار)، افراد، برنامه ریزی راهبردی استفاده میکنند و برنامههای مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند، است.چنین برنامهای برای بقاء کلی فعالیتهای تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامههایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیتهای برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوریها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
ارزیابی عملیات تجارت الکترونیک
اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیریهای خارجی است.با این وجود تمام تلاشها باید در راستای شناخت حوزههایی باشد که سیستم از داخل مورد سوءاستفاده قرار میگیرد.این کار را میتوان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بستههای نرمافزاری بسیاری هم وجود دارند که میتوانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و میتوانند تحلیل کاملی از فعالیتهای مشکوک احتمالی کاربران داخلی ارائه دهند.
طرح مستمر
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی، روشهای جلوگیری و مقابله با آنها و برنامههای محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکتها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیوارههای آتش، برای حفاظت از سیستم هایشان کافی است. داشتن چنین نرمافزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستمهای تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
آتش سوزی و انفجار،
خرابکاری عمدی در سختافزار، نرمافزار و یا دادهها و اطلاعات،
دزدیده شدن نرمافزار و سختافزار،
فقدان پرسنل کلیدی امنیت تجارت الکترونیک
فقدان برنامههای کاربردی
فقدان فناوری
فقدان ارتباطات
فقدان فروشندگان.
تهدیدها در هر یک از این حوزهها باید به دقت ارزیابی و طرحهای محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود. علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. سپس، سازمان باید نرمافزارها و سختافزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را، ارزیابی کند.درک اینکه فناوریهای مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.
حوزههای بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت دادهها و اطلاعات در دسترس، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایههای مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت، یکپارچگی، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکتها ،
در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکتهای دیگری که در زمینه ارزیابی سیستمهای امنیتی مبتنی بر فناوری تخصص دارند، استفاده می کنند.
افراد
مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت میکنند.نقائص امنیتی بیش از آن که ناشی از سیستم باشند، به وسیلهٔ کاربران سیستم و افرادی که مدیریت سیستم را برعهده دارند، رخ میدهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستمهای تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم موفق بوده اند، یا دانش قبلی از سیستم داشته و یا دارای شریک جرمی در داخل شرکت بوده اند.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستمهای اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار میگیرند، اطلاع دارند.شرکت، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال میتواند تا حد زیادی مانع آنها گردد.
راهبرد
ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد میتواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیتهای برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی، اجرای برنامههای امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان
مدیریت
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامهای است.پشتیبانی مدیریت، از مدیران رده بالا شروع و در تمام سطوح ادامه مییابد.چنین برنامهای در شرکتهای بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکتهای متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه، اجرای برنامههای آن و ارزیابی مجدد برنامههای موجود است.
بخشی از فعالیتهای چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که میتواند آنرا با مطالعه مقالات، کتب و مطالعات موردی منتشر شده بدست آورد.
مدرک CISSP
مدرک (Certified Information Systems Security Professional) مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این مدرک مستقل از هر نوع سختافزار و نرمافزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستمهای Enterprise شناخته میشود. افرادی که صاحب این مدرک باشند میتوانند برای پست مدیریت شبکههای کوچک و بزرگ اطلاعاتی خود را معرفی کنند.
در سال ۱۹۸۹، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ۲(ISC) بنا نهادند که هدف ان ارایهٔ استانداردهای حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.
در سال ۱۹۹۲ کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفهای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقمند به آن بود.
اعتبار
این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی، وابسته به محصولات هیچ شرکت خاصی نیست، قادر است به افراد متخصص امنیت، تبحر لازم را در طرح و پیاده سازی سیاستهای کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت، مسئلهای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است که این قبیل مسئولیتها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و میتوانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود .
مراحل کسب مدرک
برای کسب مدرک CISSP، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینههای امنیتی اعلام شده توسط ۲(ISC) را داشته باشند . از ابتدای سال۲۰۰۳ به بعد شرط مذکور به چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بینالمللی در این زمینه تغییر یافت .زمینههای کاری امنیتی که انجمن ۲(ISC) داوطلبان را به داشتن تجربه در آن ترغیب میکند شامل ده مورد است کهبه آن عنوان (Common Body Of Knowlege) CBKیا همان اطلاعات پایه در زمینهٔ امنبیت اطلاق میشود این موارد عبارتنداز:
سیستمهای کنترل دسترسی
توسعه سیستمها وبرنامههای کاربردی
برنامه ریزی برای مقابله با بلاهای طبیعی وخطرات کاری
رمزنگاری
مسا ئل حقوقی
امنیت عملیاتی
امنیت فیزیکی
مدلهاومعماری امنیتی
تمرینهای مدیریت امنیت
امنیت شبکهٔ دادهای و مخابراتی
زمانی که داوطلب موفق به دریافت مدرک CISSP میشود باید برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی وعملی در مقولههای مورد نظر نگه دارد .هر دارندهی این مدرک لازم است که هرسال برای تمدید گواهینامهٔ خود، کارهایی را برای اثبات پشتکار وعلاقهٔ خود به مقولهٔ امنیت انجام داده وموفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن ) شود. به این منظور انجمن، فعالیتهای مختلفی را برای کسب امتیاز ات لازم به دارندگان مدرک پیشنهاد میکند. به عنوان مثال کسب یک مدرک معتبر در زمینهٔ امنیت اطلاعات، فعالیت در زمینههای آموزش مفاهیم امنیتی به متخصصان دیگر، استخدام شدن درشرکتهای معتبر، چاپ مقالات در زمینهٔ امنیت، شرکت در سمینارهای مهم وکنفرانسهای مربوط به حوزهٔ امنیت، داشتن تحقیقات شخصی وامثال آن میتوانند دارندگان مدرک را در کسب امتیازات لازم یاری دهند . کلیهٔ فعالیتهای مذکور به صورت مستند و مکتوب تحویل نمایندگیهای انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد . در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سئوال چهار گزینهای است که کلیهٔ مفاهیم امنیتی را در بر میگیرد .CISSP یکی از محبوبترین مدارک بینالمللی در سال ۲۰۰۳ شناخته شده به طوری که با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بودهاست .همین آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است . به هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات وخطرات ناشی از حملات انواع ویروسها و هکرها به نظر میرسد هر روز نیاز به وجود متخصصان امنیتی، خصوصا دارندگان مدارک معتبر بینالمللی بیشتر محسوس است. هم اکنون دو مدرک امنیتی یعنی SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به انجمن بینالمللی حرفهایهای امنیت از شهرت خاصی در این زمینه برخوردارند.
وضعیت درآمد
طبق آمار مجلهٔ certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده است این میزان درآمد در بین درآمد مدرکهای مختلف که طبق همین آمارگیری بدست آمده نشان میدهد که مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک security+ با ۶۰ هزار دلار و مدرک MCSE securityMCP با ۶۷ هزار دلار در سال در ردههای دیگر این فهرست قرار دارند که همه نشان از اهمیت ودر عین حال دشوار بودن مراحل کسب و نگهداری مدرک CISSP دارد.
keywords : فیس چت،چت روم،سایت فیس چت
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد.
مدیریتی
کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترلهای مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترلها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیاتها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکتها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعملهای مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت دادههای صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونههای دیگر از کنترلها مدیریتی عبارتند از سیاست امنیتی شرکتهای بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاستهای انضباطی. کنترلهای مدیریتی پایه ای برای انتخاب و پیاده سازی کنترلهای منطقی و فیزیکی است. کنترلهای منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترلهای مدیریتی هستند.
منطقی
کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و دادهها است برای نظارت و کنترل دسترسی به اطلاعات و سیستمهای کامپیوتری. به عنوان مثال : گذرواژه، فایروالها ی شبکه و ایستگاههای کاری، سیستمهای تشخیص نفوذ به شبکه، لیستهای کنترل دسترسی و رمزنگاری دادهها نمونه هایی از کنترل منطقی می باشند.
فیزیکی
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربینها مداربسته، موانع، حصارکشی، نیرویهای محافظ و غیره.
کنترل تنظیمات(رمزنگاری)
در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روشهای بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.
رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حلهای رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمز گذاری داده ها و اطلاعات و تبدیل کردن آنها به شکل رمز گذاری شده ،روشس موثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می باشد.
حراست فیزیکی
حراست فیزیکی دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد.رایانه ها و اطلاعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش سازمان هستند.امنیت فیزیکی می تواند با اعمال کنترل ها ی زیر به دست آید : ۱-در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهنده و دوربین مدار بسته ۲-نگهداری و حفاظت و انبار کردن ابزار های حاوی اطلاعات مثل دیسک ها و نوار ها
حراست فیزیکی چیز خوبی است.
به دنبال روشی برای مدیریت امنیت اطلاعات
به دنبال جستوجوی روشی بهجز شیوههای سنتی امنیت شبکهٔ IT شرکت آیبیام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کردهاند. هدف از این کار ایجاد روشهایی برای مقابله با هکرها و دیگر راههای دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت. استوارت مکایروین، مدیر بخش امنیت اطلاعات مشتری IBM میگوید: "بیشتر شرکتها و همینطور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسئلهای فرعی در نظر میگیرند و در کنار دیگر فعالیتهای خود به آن میپردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چهگونه یک شرکت در کنار ایجاد امکان بهرهبرداری از اطلاعات مجاز، محدودیتهایی را برای دسترسی و محافظت از بخشهای مخفی تدارک میبیند. اعضای این شورا برآناند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاستهای مربوط به آن ارایه دهند. همچنین پیشبینی شده است که این راهکارها بخش مهمی را در زیربنای سیاستهای IT داشته باشد. مکآروین میگوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یکبار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفتوگو میکردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبهرو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرمافزارهای امنیتی موجود و طراحی نرمافزارهای جدید است. ما سعی میکنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل دادهاند، خود طرح پروژههای جدید برای کنترل خروج اطلاعات و مدیریت آنرا تنظیم کردهاند. آنها داوطلب شدهاند که برای اولین بار این روشها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکتها روشهای جدیدی را برای کنترل اطلاعات مشتریان خود بهکار بگیرند او میگوید: "من فکر میکنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکهها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیتهایی برای دستیابی و همچنین روشهای مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکتها هر روز بیش از پیش با سرقت اطلاعات روبهرو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بیواسطه است . مسائل مورد توجه این شورا به ترتیب اهمیت عبارتاند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامههای بخش IT با فعالیتهای شرکت و بیتوجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند
برنامه جامع امنیت تجارت الکترونیک
با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنشها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم میکند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستمهای اطلاعاتی و کامپیوتری هستند. هر ساله سازمانهای بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه برداریهای تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارتهای اعتباری، قرار میگیرند. چنین حملات امنیتی موجب میلیونها دلار ضرر و اخلال در فعالیت شرکتها میشوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با اینحال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستمهای اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاری از شرکتها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکتها از جرائم مرتبط با امنیت متحمل شده اند، را نمیتوان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی میشود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی های خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکتها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمیآورند. با هیجانات رسانهای که امروزه دور و بر اینترنت و قابلیتهای آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکتها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوریها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوریهای تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکتها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیتهای تجارت الکترونیک آنها میشود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامههای حفاظتی که از فناوریهای موجود (نرمافزار و سختافزار)، افراد، برنامه ریزی راهبردی استفاده میکنند و برنامههای مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند، است.چنین برنامهای برای بقاء کلی فعالیتهای تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامههایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیتهای برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوریها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
ارزیابی عملیات تجارت الکترونیک
اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیریهای خارجی است.با این وجود تمام تلاشها باید در راستای شناخت حوزههایی باشد که سیستم از داخل مورد سوءاستفاده قرار میگیرد.این کار را میتوان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بستههای نرمافزاری بسیاری هم وجود دارند که میتوانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و میتوانند تحلیل کاملی از فعالیتهای مشکوک احتمالی کاربران داخلی ارائه دهند.
طرح مستمر
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی، روشهای جلوگیری و مقابله با آنها و برنامههای محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکتها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیوارههای آتش، برای حفاظت از سیستم هایشان کافی است. داشتن چنین نرمافزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستمهای تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
آتش سوزی و انفجار،
خرابکاری عمدی در سختافزار، نرمافزار و یا دادهها و اطلاعات،
دزدیده شدن نرمافزار و سختافزار،
فقدان پرسنل کلیدی امنیت تجارت الکترونیک
فقدان برنامههای کاربردی
فقدان فناوری
فقدان ارتباطات
فقدان فروشندگان.
تهدیدها در هر یک از این حوزهها باید به دقت ارزیابی و طرحهای محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود. علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. سپس، سازمان باید نرمافزارها و سختافزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را، ارزیابی کند.درک اینکه فناوریهای مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.
حوزههای بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت دادهها و اطلاعات در دسترس، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایههای مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت، یکپارچگی، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکتها ،
در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکتهای دیگری که در زمینه ارزیابی سیستمهای امنیتی مبتنی بر فناوری تخصص دارند، استفاده می کنند.
افراد
مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت میکنند.نقائص امنیتی بیش از آن که ناشی از سیستم باشند، به وسیلهٔ کاربران سیستم و افرادی که مدیریت سیستم را برعهده دارند، رخ میدهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستمهای تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم موفق بوده اند، یا دانش قبلی از سیستم داشته و یا دارای شریک جرمی در داخل شرکت بوده اند.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستمهای اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار میگیرند، اطلاع دارند.شرکت، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال میتواند تا حد زیادی مانع آنها گردد.
راهبرد
ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد میتواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیتهای برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی، اجرای برنامههای امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان
مدیریت
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامهای است.پشتیبانی مدیریت، از مدیران رده بالا شروع و در تمام سطوح ادامه مییابد.چنین برنامهای در شرکتهای بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکتهای متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه، اجرای برنامههای آن و ارزیابی مجدد برنامههای موجود است.
بخشی از فعالیتهای چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که میتواند آنرا با مطالعه مقالات، کتب و مطالعات موردی منتشر شده بدست آورد.
مدرک CISSP
مدرک (Certified Information Systems Security Professional) مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این مدرک مستقل از هر نوع سختافزار و نرمافزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستمهای Enterprise شناخته میشود. افرادی که صاحب این مدرک باشند میتوانند برای پست مدیریت شبکههای کوچک و بزرگ اطلاعاتی خود را معرفی کنند.
در سال ۱۹۸۹، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ۲(ISC) بنا نهادند که هدف ان ارایهٔ استانداردهای حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.
در سال ۱۹۹۲ کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفهای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقمند به آن بود.
اعتبار
این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی، وابسته به محصولات هیچ شرکت خاصی نیست، قادر است به افراد متخصص امنیت، تبحر لازم را در طرح و پیاده سازی سیاستهای کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت، مسئلهای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است که این قبیل مسئولیتها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و میتوانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود .
مراحل کسب مدرک
برای کسب مدرک CISSP، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینههای امنیتی اعلام شده توسط ۲(ISC) را داشته باشند . از ابتدای سال۲۰۰۳ به بعد شرط مذکور به چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بینالمللی در این زمینه تغییر یافت .زمینههای کاری امنیتی که انجمن ۲(ISC) داوطلبان را به داشتن تجربه در آن ترغیب میکند شامل ده مورد است کهبه آن عنوان (Common Body Of Knowlege) CBKیا همان اطلاعات پایه در زمینهٔ امنبیت اطلاق میشود این موارد عبارتنداز:
سیستمهای کنترل دسترسی
توسعه سیستمها وبرنامههای کاربردی
برنامه ریزی برای مقابله با بلاهای طبیعی وخطرات کاری
رمزنگاری
مسا ئل حقوقی
امنیت عملیاتی
امنیت فیزیکی
مدلهاومعماری امنیتی
تمرینهای مدیریت امنیت
امنیت شبکهٔ دادهای و مخابراتی
زمانی که داوطلب موفق به دریافت مدرک CISSP میشود باید برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی وعملی در مقولههای مورد نظر نگه دارد .هر دارندهی این مدرک لازم است که هرسال برای تمدید گواهینامهٔ خود، کارهایی را برای اثبات پشتکار وعلاقهٔ خود به مقولهٔ امنیت انجام داده وموفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن ) شود. به این منظور انجمن، فعالیتهای مختلفی را برای کسب امتیاز ات لازم به دارندگان مدرک پیشنهاد میکند. به عنوان مثال کسب یک مدرک معتبر در زمینهٔ امنیت اطلاعات، فعالیت در زمینههای آموزش مفاهیم امنیتی به متخصصان دیگر، استخدام شدن درشرکتهای معتبر، چاپ مقالات در زمینهٔ امنیت، شرکت در سمینارهای مهم وکنفرانسهای مربوط به حوزهٔ امنیت، داشتن تحقیقات شخصی وامثال آن میتوانند دارندگان مدرک را در کسب امتیازات لازم یاری دهند . کلیهٔ فعالیتهای مذکور به صورت مستند و مکتوب تحویل نمایندگیهای انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد . در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سئوال چهار گزینهای است که کلیهٔ مفاهیم امنیتی را در بر میگیرد .CISSP یکی از محبوبترین مدارک بینالمللی در سال ۲۰۰۳ شناخته شده به طوری که با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بودهاست .همین آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است . به هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات وخطرات ناشی از حملات انواع ویروسها و هکرها به نظر میرسد هر روز نیاز به وجود متخصصان امنیتی، خصوصا دارندگان مدارک معتبر بینالمللی بیشتر محسوس است. هم اکنون دو مدرک امنیتی یعنی SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به انجمن بینالمللی حرفهایهای امنیت از شهرت خاصی در این زمینه برخوردارند.
وضعیت درآمد
طبق آمار مجلهٔ certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده است این میزان درآمد در بین درآمد مدرکهای مختلف که طبق همین آمارگیری بدست آمده نشان میدهد که مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک security+ با ۶۰ هزار دلار و مدرک MCSE securityMCP با ۶۷ هزار دلار در سال در ردههای دیگر این فهرست قرار دارند که همه نشان از اهمیت ودر عین حال دشوار بودن مراحل کسب و نگهداری مدرک CISSP دارد.
keywords : فیس چت،چت روم،سایت فیس چت
