امنیت اطلاعات

مقدمه

 

 

درنیم قرن گذشته بروز تحولات عظیمی در زمینهٔ کامپیوتر و ارتباطات دگرگونی عمده‌ای را در عرصه‌های متفاوت حیات بشری به دنبال داشته است . انسان همواره از فناوری استفاده نموده و کارنامه حیات بشری مملو از ابداع فناوری های ارتباطات و اطلاعات که از انان به عنوان فناوری های جدید یا عالی یاد می‌شود بیشترین تاثیر را در حیات بشری داشته اند .

واژهٔ فناوری اطلاعات (Information Technology )یا IT
فناوری مربوط به سخت افزار و نرم افزار کامپیوتر برای پردازش ذخیره سازی و انتقال اطلاعات است .فناوری اطلاعات علم ومهارت های همه جانبه محاسبات ذخیره سازی اطلاعات و ارتباطات است.ITمبحث جدیدی است که به سرعت رشد کرده و تغییرات بنیادی در دنیای کنونی ایجاد می‌کند. این تغییرات ناشی ازانجام روش های تجاری نوین و ایجاد تنوعات و سرگرمی های بروز و بوجود اوردن هنرهای جدید می‌باشد.

امروزه با گسترش فناوري اطلاعات در زندگي بشر و وابستگي هرچه بيشتر آن به كسب و كار؛ محافظت از اطلاعات، به منزله شاهرگ حياتي يك صنعت مدرن محسوب مي گردد.
اطلاعات بعنوان يكي از باارزشترين و حساسترين داراييهاي سازمان بوده و دستيابي به آن و عرضه بموقع و مناسب اطلاعات مورد نياز، همواره داراي نقش محوري و سرنوشت ساز مي باشد. حفظ و نگهداري اطلاعات شرط لازم براي تداوم فرآيند كسب و كار بنگاههاي اقتصادي مي باشد.
دسترسي غيرمجاز و رخنه به اطلاعات روي ديسك ها ، كامپيوترها و استفاده غيرمجاز از آنها تبديل به معضل شده است و اين دسترسي توسط كارمندان يك سازمان،كاربران اينترنت و يا توسط عوامل ديگر صورت مي گيرند لذا سازمان ها و شركت ها ناگزير به دنبال پياده سازي موارد امنيتي مي باشند. براي پياده سازي امنيت تنها توجه به مسائل تكنيكي كافي نيست بلكه ايجاد سياستهاي كنترلي و استاندارد كردن آن و همچنين ايجاد روالهاي صحيح، درصد امنيت اطلاعات را بالا خواهد برد و همين امر بكارگيري سيستمهاي، مديريت امنيت اطلاعات را الزامي كرده است.
اكنون مباحث مربوط به امنيت اطلاعات، بعُد جديدتري پيدا كرده و از موضوعاتي است كه ، اين روزها در كانون توجه تمامي سازمان ها و موسسات قرار گرفته است. علي رغم استفاده كشورهاي مختلف جهان از انواع استانداردهاي سيستم مديريت امنيت اطلاعات،متاسفانه در ايران تاكنون هيچ تلاشي در جهت تطبيق و پياده سازي سيستم مديريت امنيت اطلاعات در ادارات و سازمانها صورت نگرفته است هرچند اين امر به تدريج در حال شكل گيري است.
بنابراين، با شروع ايجاد دولت الكترونيكي در ايران توسط سازمانها و نهادهاي دولتي، براي تأمين امنيت اطلاعات، شناخت و درك صحيح و همچنين اجرا و پياده سازي سيستمهاي مديريت امنيت اطلاعات ضروري مي باشد.


+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 9:38  توسط سمانه بشیری  | 

استاندارد BS7799/ISO17799

با توجه به اهميت موضوع، آحاد جامعه بخصوص مديران سازمانها بايد همراستا با نظام ملي امنيت فضاي تبادل اطلاعات به تدوين سياست امنيتي متناسب با حوزه فعاليت خويش بپردازند. در حقيقت امروزه مديران، مسئوليتي بيش از حفاظت دارند. آنها بايد سيستم‌هاي آسيب‌پذير خود را بشناسند و روشهاي استفاده نابجا از آنها را در سازمان خود تشخيص دهند. علاوه‌برآن بايد قادر به طرح‌ريزي برنامه‌هاي بازيابي و جبران خسارت هم باشند. ايجاد يك نظام مديريت امنيت اطلاعات در سازمانها باعث افزايش اعتماد مديران در بكارگيري دستاورد‌هاي نوين فناوري اطلاعات و برخورداري از مزاياي انكارناپذير آن در چنين سازمانهايي مي‌شود.
خوشبختانه قريب به يك دهه از ارائه يك ساختار امنيت اطلاعات، توسط مؤسسه استاندارد انگليس مي‌گذرد. در اين مدت استاندارد فوق‌الذكر(BS7799) مورد بازنگري قرار گرفته و در سال 2000 ميلادي نيز موسسه بين‌المللي ISO اولين بخش آن را در قالب استاندارد ISO17799 ارائه كرده است. در سال 2002 نيز يك بازنگري در بخش دوم استانداردBS7799 به‌منظور ايجاد سازگاري با ساير استانداردهاي مديريتي نظير ISO9001-2000 و ISO14001-1996 صورت پذيرفت. در حال حاضر نيز بازنگري به منظور انجام بهبود در بخشهاي مربوط به پرسنل و خدمات تامين‌كنندگان و راحتي كاربري و مفاهيم مرتبط با امنيت برنامه‌هاي موبايل بر روي اين استاندارد در حال انجام است كه پيش‌بيني مي‌شود در سال جاري ميلادي ارائه شود.
پيش از توضيح راجع‌به استاندارد مذكور، لازم است شرايط تحقق امنيت اطلاعات تشريح شود. امنيت اطلاعات اصولاً در صورت رعايت سه خصيصه زير تامين مي‌شود :
_ محرمانه بودن اطلاعات: يعني اطمينان از اينكه اطلاعات مي‌توانند تنها در دسترس كساني باشند كه مجوز دارند.
_ صحت اطلاعات: يعني حفاظت از دقت و صحت اطلاعات و راههاي مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمينان از اينكه كاربران مجاز در هر زمان كه نياز داشته باشند، امكان دسترسي به اطلاعات و تجهيزات وابسته به آنها را دارند.
در اين راستا امنيت اطلاعات از طريق اجراي مجموعه‌اي از كنترلها كه شامل سياستها ، عمليات ، رويه‌ها ، ساختارهاي سازماني و فعاليتهاي نرم‌افزاري است، حاصل مي‌شود. اين كنترل‌ها بايد به‌منظور اطمينان از تحقق اهداف امنيتي مشخص هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است :
_ ((ISO/IEC17799 part1) يك نظام‌نامه عملي مديريت امنيت اطلاعات است مبتني بر نظام پيشنهادها و به منظور ارائه و ارزيابي زيرساخت‌هاي امنيت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنماي استفاده مديريت امنيت اطلاعات است كه در حقيقت يك راهنماي مميزي است كه بر مبناي نيازمنديها استوار است.
بخش اول مشخص كننده مفاهيم امنيت اطلاعاتي است كه يك سازمان بايستي بکار گيرد، در حالي‌كه بخش دوم در برگيرنده مشخصه هاي راهبردي براي سازمان است.
بخش اول شامل رهنمودها و توصيه‌هايي است كه ?? هدف امنيتي و ??? كنترل را در قالب ?? حوزه مديريتي از سطوح مديريتي تا اجرايي به‌قرار زير ارائه نموده است :
-1 سياست امنيتي: دربرگيرنده راهنماييها و توصيه‌هاي مديريتي به‌منظور افزايش امنيت اطلاعات است. اين بخش در قالب يك سند سياست امنيتي شامل مجموعه‌اي از عبارات اجرايي در جهت پيشبرد اهداف امنيتي سازمان تنظيم مي‌شود.
-2 امنيت سازماني: اين بعد اجرايي كردن مديريت امنيت اطلاعات در سازمان از طريق ايجاد و مديريت زيرساختهاي امنيتي شامل:
- كميته مديريت امنيت اطلاعات
- متصدي امنيت سيستم اطلاعاتي
- صدور مجوزهاي لازم براي سيستم‌هاي پردازش اطلاعات
- بازنگري مستقل تاثيرات سيستم‌هاي امنيتي
- هدايت دسترسي تامين‌كنندگان به اطلاعات درون سازمان را دربرمي گيرد.
-3 طبقه‌بندي و كنترل داراييها: طبقه‌بندي داراييها و سرمايه‌هاي اطلاعاتي و پيشبرد انبارگرداني و محافظت مؤثر از اين سرمايه‌هاي سازمان، حوزه سوم اين بحث است.
-4 امنيت پرسنلي: تقليل مخاطرات ناشي از خطاي انساني ، دستبرد ، حيله و استفاده نادرست از تجهيزات كه به بخشهاي زير قابل تقسيم است :
- كنترل پرسنل توسط يك سياست سازماني كه با توجه به قوانين و فرهنگ حاكم براي ارزيابي برخورد پرسنل با داراييهاي سازمان اتخاذ مي‌شود.
- مسئوليت پرسنل كه بايد براي ايشان بخوبي تشريح شود.
- شرايط استخدام كه در آن پرسنل بايد به‌وضوح از مسئوليتهاي امنيتي خويش آگاه شوند.
- تعليمات كه شامل آموزشهاي پرسنل جديد و قديمي سازمان در اين زمينه مي‌شود.
-5 امنيت فيزيكي و محيطي: محافظت در برابر تجاوز ، زوال يا از هم گسيختگي داده‌ها و تسهيلات مربوط كه شامل بخشهاي امنيت فيزيكي محيط ، كنترل دسترسيها ، امنيت مكان ، تجهيزات و نقل و انتقال داراييهاي اطلاعاتي مي‌شود .
-6 مديريت ارتباطات و عمليات: كسب اطمينان از عملكرد مناسب و معتبر تجهيزات پردازش اطلاعات كه شامل روشهاي اجرايي‌، كنترل تغييرات ، مديريت وقايع و حوادث‌، تفكيك وظايف و برنامه‌ريزي ظرفيتهاي سازماني مي‌شود.
-7 كنترل دسترسي: كنترل نحوه و سطوح دسترسي به اطلاعات كه در شامل مديريت كاربران ، مسئوليتهاي كاربران، كنترل دسترسي به شبكه، كنترل دسترسي از راه دور و نمايش دسترسيهاست.
-8 توسعه و نگهداري سيستم‌ها: اطمينان از اينكه امنيت جزء جدانشدني سيستم‌هاي اطلاعاتي شده است. اين بخش شامل تعيين نيازمنديهاي امنيت سيستم‌ها و امنيت كاربردي‌، استانداردها و سياستهاي رمزنگاري‌، انسجام سيستم‌ها و امنيت توسعه است.
-9 تداوم و انسجام كسب و كار: تقليل تاثيرات وقفه‌هاي كسب و كار و محافظت فرايند‌هاي اساسي سازمان از حوادث عمده و شكست.
-10 همراهي و التزام: اجتناب از هرگونه پيمان‌شكني مجرمانه از قوانين مدني ، قواعد و ضوابط قراردادي و ساير مسائل امنيتي
بخش دوم استاندارد فراهم كننده شرايط مديريت امنيت اطلاعات است. اين بخش به قدمهاي توسعه ، اجرا و نگهداري نظام مديريت امنيت اطلاعات مي‌پردازد. ارزيابي سازمانهاي متقاضي اخذ گواهينامه از طريق اين سند انجام مي‌پذيرد.

 


نظام مديريت امنيت اطلاعات
نظام مديريت امنيت اطلاعات ISMS ، در مجموع يك رويكرد نظام‌مند به مديريت اطلاعات حساس بمنظور محافظت از آنهاست. امنيت اطلاعات چيزي فراتر از نصب يك ديواره آتش ساده يا عقد قرارداد با يك شركت امنيتي است . در چنين رويكردي بسيار مهم است كه فعاليتهاي گوناگون امنيتي را با راهبردي مشترك به‌منظور تدارك يك سطح بهينه از حفاظت همراستا كنيم . نظام مديريتي مذكور بايد شامل روشهاي ارزيابي، محافظت، مستند‌سازي و بازنگري باشد ، كه اين مراحل در قالب يك چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذير است. (چرخه يادشده نقش محوري در تشريح و تحقق استاندارد ISO9001 دارد‌. )
_ برنامه ريزي Plan :
- تعريف چشم‌انداز نظام مديريتي و سياستهاي امنيتي سازمان.
- تعيين و ارزيابي مخاطرات.
- انتخاب اهداف كنترل و آنچه سازمان را در مديريت اين مخاطرات ياري مي‌كند.
- آماده‌سازي شرايط اجرايي.
_ انجام Do:
- تدوين و اجراي يك طرح براي تقليل مخاطرات.
- اجراي طرحهاي كنترلي انتخابي براي تحقق اهداف كنترلي.
_ ارزيابي Check :
- استقرار روشهاي نظارت و پايش.
- هدايت بازنگريهاي ادواري به‌منظور ارزيابي اثربخشي ISMS.
- بازنگري درحد قابل قبول مخاطرات.
- پيشبرد و هدايت مميزيهاي داخلي به‌منظور ارزيابي تحقق ISMS.
_ بازانجام Act:
- اجراي توصيه‌هاي ارائه شده براي بهبود.
- نظام مديريتي مذكور.
- انجام اقدامات اصلاحي و پيشگيرانه.
- ارزيابي اقدامات صورت پذيرفته در راستاي بهبود.
همانند نظامهاي مديريت كيفيت نظام مديريت امنيت اطلاعات نيز در دو بخش فرايندها و محصولات مطرح است. بخش فرايندها بر طراحي و اجراي دستورالعملهاي مديريتي به‌منظور برقراري و حفظ امنيت اطلاعات استوار است و بخش محصولات يك نظام مديريتي است كه سازمان به‌منظور بكارگيري محصولات نرم‌افزاري معتبر در زيرساختهاي فناوري اطلاعات خود براي برقراري و حفظ امنيت اطلاعات خويش از آن بهره مي‌گيرد . چيزي كه اين دو بخش را به هم پيوند مي‌دهد ميزان انطباق با بخشهاي استاندارد است كه در يكي از چهار رده زير قرار مي‌گيرد :
* كلاس اول : حفاظت ناكافي
* كلاس دوم : حفاظت حداقل
* كلاس سوم : حفاظت قابل قبول
* كلاس چهارم : حفاظت كافي

مراحل اجراي نظام مديريت امنيت اطلاعات
پياده‌سازي ISMS در يك سازمان اين مراحل را شامل مي‌شود:
- آماده سازي اوليه : در اين مرحله بايد از همراهي مديريت ارشد سازمان اطمينان حاصل شده، اعضاي تيم راه‌انداز انتخاب شوند و آموزش ببينند . بايد توجه شود كه امنيت اطلاعات يك برنامه نيست بلكه يك فرايند است .
- تعريف نظام مديريت امنيت اطلاعات‌: اين مرحله شامل تعريف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذكر است كه چگونگي اين تعريف از مهمترين عوامل موفقيت پروژه محسوب مي‌شود .
- ايجاد سند سياست امنيت اطلاعات : كه پيشتر ‌به آن اشاره شد .
- ارزيابي مخاطرات : بايد به بررسي سرمايه‌هايي كه نياز به محافظت دارند پرداخته و تهديدهاي موجود را شناخته و ارزيابي شود. در اين مرحله بايد ميزان آسيب‌پذيري اطلاعات و سرمايه‌هاي فيزيكي مرتبط نيز مشخص شود .
- آموزش و آگاهي‌بخشي‌: به‌ دليل آسيب‌پذيري بسيار زياد پرسنل در حلقه امنيت اطلاعات آموزش آنها از اهميت بالايي برخوردار است .
- آمادگي براي مميزي : بايد از نحوه ارزيابي چهارچوب مديريتي سازمان آگاه شد و آمادگي لازم براي انجام مميزي را فراهم كرد.
- مميزي : بايد شرايط لازم براي اخذ گواهينامه در سازمان شناسايي شود .
- كنترل و بهبود مداوم : اثر‌بخشي نظام مديريتي پياده شده بايد مطابق مدل به‌رسميت شناخته شده كنترل و ارتقا يابد.
در كليه مراحل استقرار نظام مديريت امنيت اطلاعات مستند‌سازي از اهميت ويژه‌اي برخوردار است. مستندات از يك طرف به تشريح سياست ، اهداف و ارزيابي مخاطرات مي‌پردازند و از طرف ديگر كنترل و بررسي و نظارت بر روند اجراي ISMS را بر عهده دارند . در كل مي‌توان مستندات را به چهار دسته تقسيم كرد:
-1 سياست ، چشم‌انداز ، ارزيابي مخاطرات و قابليت اجراي نظام مذكور كه در مجموع به‌عنوان نظام‌نامه امنيتي شناخته مي‌شود .
-2 توصيف فرايندها كه پاسخ سؤالات چه كسي ؟ چه چيزي ؟ چه موقع ؟ و در چه مكاني را مي دهد و به‌عنوان روشهاي اجرايي شناخته مي‌شوند .
-3 توصيف چگونگي اجراي وظايف و فعاليتهاي مشخص شده كه شامل دستورالعملهاي كاري ، چك ليست‌ها ، فرم‌ها و نظاير آن مي‌شود .
-4 مدارك و شواهد انطباق فعاليتها با الزامات ISMS كه از آنها به‌عنوان سوابق ياد مي‌شود .

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 11:40  توسط سمانه بشیری  | 

پنج اشتباه متداول درباره امنیت شبکه های بی سیم

با ظهور شاخه های جدید فناوری بی سیم، تعداد شرکت هایی که با استفاده از روش های نامناسب تأمین امنیت، سیستم های خود را در معرض خطر قرار می دهند، باورکردنی نیست. به نظر می رسد، اغلب شرکت های دارای LAN بی سیم، به واسطه شناسایی نقاط دسترسی غیرمعتبر که ابزارها را به طور رایگان مورداستفاده قرار می دهند، به دنبال احراز شرایط استاندارد PCI هستند. با هدف آگاهی کاربران از آخرین ضعف های امنیتی (و البته بعضی از شکاف های امنیتی قدیمی) تصمیم گرفتیم، فهرستی از پنج اشتباه متداول را در تأمین امنیت شبکه های بی سیم در این مقاله ارائه کنیم. شناسایی این اشتباه ها حاصل تجربه های شخصی در جریان آزمون و ایمن سازی شبکه های مشتریان است.

۱) دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

اغلب سازمان ها، شبکه های بی سیم را به عنوان بخش مکملی برای شبکه سیمی خود راه اندازی می کنند. اتصال بی سیم، یک رسانه فیزیکی است و برای تأمین امنیت آن نمی توان تنها به وجود یک دیوار آتش تکیه کرد. کاملاً واضح است که نقاط دسترسی غیرمجاز، به واسطه ایجاد راه های ورود مخفی به شبکه و مشکل بودن تعیین موقعیت فیزیکی آن ها، نوعی تهدید علیه شبکه به شمار می روند. علاوه براین نقاط دسترسی، باید نگران لپ تاپ های بی سیم متصل به شبکه سیمی خود نیز باشید. یافتن لپ تاپ های متصل به شبکه سیمی که یک کارت شبکه بی سیم فعال دارند، اقدامی متداول برای ورود به شبکه محسوب می شود. در اغلب موارد این لپ تاپ ها توسط SSID شبکه هایی را که قبلاً مورد دسترسی قرار داده اند، جست وجو می کنند و در صورت یافتن آن ها صرف نظر از این که اتصال به شبکه قانونی یا مضر باشد یا شبکه بی سیم در همسایگی شبکه فعلی قرار داشته باشد، به طور خودکار به آن وصل می شوند. به محض این که لپ تاپ به یک شبکه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسکن و یافتن نقاط ضعف ممکن است کنترل آن را به دست گرفته و به عنوان میزبانی برای اجرای حمله ها به کار گیرند. در این شرایط علاوه بر افشای اطلاعات مهم لپ تاپ، مهاجم می تواند از آن به عنوان نقطه شروعی برای حمله به شبکه سیمی استفاده کند. مهاجم درصورت انجام چنین اقداماتی، به طور کامل از دیواره آتش شبکه عبور می کند.

ما امنیت شبکه های معتبر و غیرمعتبر را ارزیابی کرده ایم و به این نتیجه رسیدیم که اغلب سازمان ها دیواره آتش شبکه را به گونه ای تنظیم می کنند که از آن ها در برابر حمله های مبتنی بر اینترنت محافظت می کند، اما امنیت شبکه در مقابل خروج از شبکه (Extrusion) و خروج غیرمجاز اطلاعات (leakage) تأمین نمی شود. اصولاً زمانی که درباره خروج غیرمجاز اطلاعات صحبت می کنیم، منظورمان خروج اطلاعات از شبکه است.

بسیاری از سازمان ها تنظیمات دیواره آتش را برای کنترل ترافیک اطلاعات خروجی به درستی انجام نمی دهند. در نتیجه این سهل انگاری معمولاً اطلاعات محرمانه سازمان به خارج منتقل می شود. به عنوان مثال، یکی از متداول ترین مواردی که هنگام انجام آزمون های امنیتی با آن مواجه شدیم، خروج اطلاعات شبکه سیمی از طریق نقاط دسترسی بی سیم بود. در این آزمون ها با استفاده از یک نرم افزار ردیاب (Sniffer) بی سیم توانستیم حجم زیادی از ترافیک اطلاعات خروجی ناخواسته را شناسایی کنیم. این اطلاعات شامل داده های مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol سایر سرویس های شبکه و حتی در مواردی اطلاعات مربوط به NetBIOS بودند.

چنین نقطه ضعفی شبکه را به یک اسباب سرگرمی برای مهاجم تبدیل می کند. در حقیقت، نفوذ به چنین شبکه ای حتی نیازمند یک اسکن فعال یا حمله واقعی نیست. به واسطه ردیابی جریان اطلاعاتی یک شبکه بی سیم علاوه بر شناسایی توپولوژی بخش سیمی آن می توان اطلاعات مربوط به تجهیزات حیاتی شبکه و حتی گاهی اطلاعات مربوط به حساب های کاربری را به دست آورد.

۲) دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

این تصور اشتباه، بسیار گیج کننده است. چگونه می توان بدون اسکن شبکه از نبود تجهیزات بی سیم در آن مطمئن شد؟! در محل هایی که شبکه های LAN بی سیم راه اندازی نشده اند، علاوه بر نقاط دسترسی غیرمجاز، می توان از شبکه های Ad Hoc، دسترسی تصادفی لپ تاپ ها و ایجاد پل های ارتباطی با شبکه، به عنوان تهدیدات بالقوه برای امنیت شبکه نام برد. دسترسی تصادفی لپ تاپ های بی سیم یک خطر امنیتی برای صاحبان این لپ تاپ ها محسوب می شود. اگر شرکت مجاور شما از یک نقطه دسترسی بی سیم یا یک شبکه Ad Hoc استفاده می کند، احتمال اتصال تصادفی لپ تاپ های بی سیم عضو شبکه شما به این شبکه های بی سیم زیاد است. این اتصال نوعی خروج از شبکه است. مهاجمان نحوه بهره برداری از این شرایط را به خوبی می دانند و در نتیجه می توانند از یک نقطه دسترسی نرم افزاری یا Soft AP (نرم افزاری که از روی یک لپ تاپ اجرا می شود) برای ارسال شناسه های SSID موجود روی لپ تاپ به یک کامپیوتر خارج از شبکه و حتی ارسال آدرس IP لپ تاپ برای کامپیوتر خارجی استفاده کنند. چنان که گفته شد، این نقطه ضعف امکان کنترل لپ تاپ و حمله به شبکه سیمی را برای مهاجمان فراهم می کند. به علاوه، مهاجمان می توانند از طریق لپ تاپ، حمله های MITM (سرنام Man In The Middle) یا سرقت هویت را به اجرا درآورند.


بقیه در ادامه مطلب....

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 11:2  توسط سمانه بشیری  | 

مدیریت امنیت و مدرک CISSP

 

مدرک CISSP مانند مدرک RSA مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این مدرک مستقل از هر نوع سخت افزار ونرم افزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ وسیستم های Enterprise شناخته می‌شود .افرادی که صاحب این مدرک باشند می‌توانند برای پست مدیریت شبکه‌های کوچک و بزرگ اطلاعاتی خود را معرفی کنند.

در سال 1989 ، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ISC بنا نهادند که هدف ان ارایهٔ استاندارد های حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.

در سال 1992 کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفه‌ای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقمند به آن بود.

اعتبار
این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی ، وابسته به محصولات هیچ فروشنده سخت افزار یا نرم افزار خاصی نیست ، قادر است به افراد متخصص امنیت ، تبحر لازم را در طرح و پیاده سازی سیاست های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت ، مساله‌ای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است که این قبیل مسئولیت ها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و می‌توانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود .

مراحل کسب مدرک
برای کسب مدرک CISSP ، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینه‌های امنیتی اعلام شده توسط ISC راداشته باشند . از ابتدای سال۲۰۰۳ به بعد شرط مذکور به چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بین المللی در این زمینه تغیر یافت .زمینه‌های کاری امنیتی که انجمن ISC داوطلبان را به داشتن تجربه در آن ترغیب می‌کند شامل ده مورد است کهبه آن عنوان (Common Body Of Knowlege) CBKیا همان اطلاعات پایه در زمینهٔ امنبیت اطلاق می‌شود این موارد عبارتنداز:

1. سیستم‌های کنترل دسترسی ومدولژی
2. توسعه سیستم‌ها وبرنامه‌های کاربردی
3. برنامه ریزی برای مقابله با بلاهای طبیعی وخطرات کاری
4. رمزنگاری
5. مسا ئل حقوقی
6. امنیت عملیاتی
7. امنیت فیزیکی
8. مدلهاومعماری امنیتی
9. تمرین‌های مدیریت امنیت
10. امنیت شبکهٔ داده‌ای و مخابراتی

زمانی که داوطلب موفق به دریافت مدرک CISSP می‌شود باید برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی وعملی در مقوله‌های مورد نظر نگه دارد .هر دارندهی این مدرک لازم است که هرسال برای تمدید گواهینامهٔ خود ، کارهایی را برای اثبات پشتکار وعلاقهٔ خود به مقولهٔ امنیت انجام داده وموفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن ) شود. به این منظور انجمن ، فعالیت‌های مختلفی را برای کسب امتیاز ات لازم به دارندگان مدرک پیشنهاد می‌کند. به عنوان مثال کسب یک مدرک معتبعر در زمینهٔ امنیت اطلاعات ،فعالیت در زمینه‌های آموزش مفاهیم امنیتی به متخصصان دیگر ، استخدام شدن درشرکت‌های معتبر ، چاپ مقالات در زمینهٔ امنیت ،شرکت در سمینار‌های مهم وکنفرانس‌های مربوط به حوزهٔ امنیت ، داشتن تحقیقا ت شخصی وامثال آن می‌توانند دارندگان مدرک را در کسب امتیازات لازم یاری دهند . کلیهٔ فعالیت‌های مذکور به صورت مستند و مکتوب تحویل نمایندگی‌های انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد . در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سئوال چهار گزینه‌ای است که کلیهٔ مفاهیم امنیتی را در بر می‌گیرد .CISSP یکی از محبوبترین مدارک بین المللی در سال ۲۰۰۳ شناخته شده به طوری که با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بوده‌است .همین آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است . به هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات وخطرات ناشی از حملات انواع ویروس‌ها و هکرها به نظر می‌رسد هر روز نیاز به وجود متخصصان امنیتی ، خصوصا دارندگان مدارک معتبر بین المللی بیشتر محسوس است. هم اکنون دو مدرک امنیتی یعنی SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به انجمن بین المللی حرفه‌ای‌های امنیت از شهرت خاصی در این زمینه برخوردارند.

وضعیت درآمد
طبق آمار مجلهٔ certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده است این میزان درآمد در بین درآمد مدرک‌های مختلف که طبق همین آمارگیری بدست آمده نشان می‌دهد که مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک security+ با ۶۰ هزار دلار و مدرک MCSE securityMCP با ۶۷ هزار دلار در سال در رده‌های دیگر این لیست قرار دارند که همه نشان از اهمیت ودر عین حال دشوار بودن مراحل کسب و نگهداری مدرک CISSP دارد.

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 10:54  توسط سمانه بشیری  | 

ارزیابی عملیات تجارت الکترونیک

 

 

اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک ، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیری های خارجی است.با این وجود تمام تلاش ها باید در راستای شناخت حوزه‌هایی باشد که سیستم از داخل مورد سوءاستفاده قرار می‌گیرد.این کار را می‌توان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بسته‌های نرم افزاری بسیاری هم وجود دارند که می‌توانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و می‌توانند تحلیل کاملی از فعالیت های مشکوک احتمالی کاربران داخلی ارائه دهند.
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامه‌های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است.بسیاری از شرکت ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره‌های آتش ، برای حفاظت از سیستم هایشان کافی است.داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:

1. آتش سوزی و انفجار،
2. خرابکاری عمدی در سخت افزار ، نرم افزار و یا داده‌ها و اطلاعات،
3. دزدیده شدن نرم افزار و سخت افزار،
4. فقدان پرسنل کلیدی امنیت تجارت الکترونیک
5. فقدان برنامه‌های کاربردی
6. فقدان فناوری
7. فقدان ارتباطات
8. فقدان فروشندگان.

تهدیدها در هر یک از این حوزه‌ها باید به دقت ارزیابی و طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. فناوری های تجارت الکترونیک :سپس ، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را ، ارزیابی کند.درک اینکه فناوری های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.

حوزه‌های بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت داده‌ها و اطلاعات در دسترس ، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایه‌های مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت ، یکپارچگی ، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکت ها ،
در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری تخصص دارند ، استفاده می کنند.

افراد
مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت می‌کنند.نقائص امنیتی بیش از آنگه ناشی از سیستم باشند ، به وسیلهٔ افرادی که مدیریت سیستم را برعهده دارند و کاربران سیستم رخ می‌دهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می‌گیرند ، اطلاع دارند.شرکت ، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال می‌تواند تا حد زیادی مانع آنها گردد.

راهبرد
ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک ، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد می‌تواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی ، اجرای برنامه‌های امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان

مدیریت
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامه‌ای است.پشتیبانی مدیریت ، از مدیران رده بالا شروع و در تمام سطوح ادامه می‌یابد.چنین برنامه‌ای در شرکت های بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه ، اجرای برنامه‌های آن و ارزیابی مجدد برنامه‌های موجود است.
بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که می‌تواند آنرا با مطالعه مقالات ، کتب و مطالعات موردی منتشر شده بدست آورد.

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 10:40  توسط سمانه بشیری  | 

برنامه جامع امنیت تجارت الکترونیک

با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می‌کند.این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری ، قرار می‌گیرند.چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می‌شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند.با اینحال آنچه مهمتر از صحت میزان این خسارات است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه ، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند ، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند ، را نمی‌توان بدست آورد.بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی ، از این ترس معمول ناشی می می‌شود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود می‌شود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد.از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند ، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند ، چیزی بدست نمی‌آورند.با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد ، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان ، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان ، در یک دهه گذشته پیشرفت قابل توجهی داشته اند.اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند.بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیم ، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند ، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها می‌شود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامه‌های حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار) ، افراد ، برنامه ریزی راهبردی استفاده می‌کنند و برنامه‌های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می‌شوند ، است.چنین برنامه‌ای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفه‌ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامه‌هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت ، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 10:33  توسط سمانه بشیری  | 

به دنبال روشی برای مدیریت امنیت اطلاعات

 

به دنبال جست‌وجوی روشی به‌جز شیوه‌های سنتی امنیت شبکهٔ IT شرکت آی‌بی‌ام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کرده‌اند. هدف از این کار ایجاد روش‌هایی برای مقابله با هکرها و دیگر راه‌های دست‌رسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت . استوارت مک‌ایروین، مدیر بخش امنیت اطلاعات مشتری IBM می‌گوید: "بیش‌تر شرکت‌ها و همین‌طور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مساله‌ای فرعی در نظر می‌گیرند و در کنار دیگر فعالیت‌های خود به آن می‌پردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چه‌گونه یک شرکت در کنار ایجاد امکان بهره‌برداری از اطلاعات مجاز، محدودیت‌هایی را برای دست‌رسی و محافظت از بخش‌های مخفی تدارک می‌بیند. اعضای این شورا برآن‌اند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاست‌های مربوط به آن ارایه دهند. هم‌چنین پیش‌بینی شده است که این راهکار‌ها بخش مهمی را در زیربنای سیاست‌های IT داشته باشد. مک‌آروین می‌گوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه‌ ماه یک‌بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفت‌وگو می‌کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه‌رو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرم‌افزارهای امنیتی موجود و طراحی نرم‌افزارهای جدید است. ما سعی می‌کنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده‌اند، خود طرح پروژه‌های جدید برای کنترل خروج اطلاعات و مدیریت آن‌را تنظیم کرده‌اند. آن‌ها داوطلب شده‌اند که برای اولین بار این روش‌ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت‌ها روش‌های جدیدی را برای کنترل اطلاعات مشتریان خود به‌کار بگیرند او می‌گوید: "من فکر می‌کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است.." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکه‌ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت‌هایی برای دستیابی و هم‌چنین روش‌های مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت‌ها هر روز بیش از پیش با سرقت اطلاعات روبه‌رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی‌واسطه است . مسایل مورد توجه این شورا به ترتیب اهمیت عبارت‌اند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامه‌های بخش IT با فعالیت‌های شرکت و بی‌توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند.

+ نوشته شده در  شنبه هجدهم آذر 1391ساعت 10:29  توسط سمانه بشیری  |