تفاوت میان نسخه‌های «امنیت اطلاعات»

جز
{{حق تکثیر مشکوک}}
 
همزمان با گسترش استفاده از کامپیوترهای شخصی و مطرح شدن شبکه‌های کامپیوتری و به دنبال آن اینترنت (بزرگترین شبکه جهانی ) ، حیات کامپیوترها و کاربران آنان دستخوش تغییرات اساسی شده‌است . استفاده کنندگاناستفاده‌کنندگان کامپیوتر به منظور استفاده از دستاوردها و مزایای فناوری اطلاعات و ارتباطات ،ارتباطات، ملزم به رعایت اصولی خاص و اهتمام جدی به تمامی مولفه‌های تأثیرگذار در تداوم ارائه خدمات در یک سیستم کامپیوتری می‌باشند .
 
[https://www.pavan.ir/ امنیت اطلاعات و ایمن‌سازی شبکه‌های کامپیوتری] از جمله این مولفه‌ها بوده که نمی تواننمی‌توان آن را مختص یک فرد یا سازمان در نظر گرفت . پرداختن به مقوله '''امنیت اطلاعات''' و ایمن‌سازی شبکه‌های کامپیوتری در هر کشور ،کشور، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطلاعات و ایمن‌سازی شبکه‌های کامپیوتری بوده و می بایستمی‌بایست به این مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنیتی در شبکه‌های کامپیوتری و اطلاعاتی ،اطلاعاتی، عدم آموزش و توجیه صحیح تمامی کاربران صرفنظر از مسئولیت شغلی آنان نسبت به جایگاه و اهمیت امنیت اطلاعات ،اطلاعات، عدم وجود دستورالعمل‌های لازم برای پیشگیری از نقایص امنیتی ،امنیتی، عدم وجود سیاست‌های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات امنیتی ،امنیتی، مسائلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپیوتر در یک کشور شده و عملاً" زیرساخت اطلاعاتی یک کشور را در معرض آسیب و تهدید جدی قرار می دهد می‌دهد.
 
== تعریف امنیت اطلاعات ==
 
== مفاهیم پایه ==
همانگونه که تعریف شد،مواردشد، موارد سه‌گانه حفظ محرمانگی، یکپارچه بودن و دسترس‌پذیری از مفاهیم اصلی امنیت اطلاعات است. در اینجا مفاهیم سه‌گانه «محرمانگی»، «یکپارچه بودن» و «قابل دسترس بودن» توضیح داده می‌شود. در بین متخصصان این رشته بحث مداومی وجود دارد مبنی بر اینکه علاوه بر این ۳ مفهوم موارد دیگری هم را باید در نظر گرفت مثل «قابلیت حسابرسی»، «قابلیت عدم انکار انجام عمل» و «اصل بودن».
 
=== محرمانگی ===
محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجازغیرمجاز. به عنوان مثال، برای خرید با کارت‌های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیفتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری می‌شود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه‌های داده، فایل‌های ثبت وقایع سیستم، پشتیبان گیری،پشتیبان‌گیری، چاپ رسید، و غیره) رمز شده باقی می‌ماند. همچنین دسترسی به اطلاعات و سیستم‌ها نیز محدود می‌شود. اگر فرد غیر مجازیغیرمجازی به هر نحو به شماره کارت دست یابد، نقض محرمانگی رخ داده استداده‌است.
 
نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلاً اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند. یا فروش یا سرقت کامپیوتر لپ‌تاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.
 
=== یکپارچه بودن ===
یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیر مجازغیرمجاز اطلاعات. یکپارچگی وقتی نقض می‌شود که اطلاعات نه فقط در حین انتقال بلکه درحال استفاده یا ذخیره شدن ویا نابودشدن نیز به صورت غیرمجاز تغییر داده شود. سیستم‌های امنیت اطلاعات به‌طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آن را نیز تضمین می‌کنند.
 
=== قابل دسترس بودن ===
 
== کنترل امنیت اطلاعات ==
کنترل امنیت به اقداماتی گفته می‌شود که منجر به حفاظتحفاظت، ، پیشگیری ،پیشگیری، مقابله/واکنش، و به حداقل رساندن دامنه تهدیدات امنیتی در صورت بروز می‌شود. این اقدامات را می‌توان به سه دسته تقسیم کرد.
 
=== مدیریتی ===
 
=== منطقی ===
کنترل منطقی (کنترل فنی) استفاده از نرم‌افزار، سخت‌افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم‌های کامپیوتری. به عنوان مثال: [[گذرواژه]]، فایروال‌ها ی شبکه و ایستگاههایایستگاه‌های کاری، سیستم‌های تشخیص نفوذ به شبکه، لیست‌های کنترل دسترسی و رمزنگاری داده‌ها نمونه‌هایی از کنترل منطقی می‌باشند.
 
=== فیزیکی ===
== حراست فیزیکی ==
حراست فیزیکی دارایی‌ها عنصری است که در هر سیستم حسابداری وجود دارد. رایانه‌ها و اطلاعات و برنامه‌های موجود در این رایانه‌ها در حقیقت دارایی‌های با ارزش سازمان هستند. امنیت فیزیکی می‌تواند با اعمال کنترل‌ها ی زیر به دست آید:
۱-# در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهنده و دوربین مدار بسته
۲-# نگهداری و حفاظت و انبار کردن ابزارهای حاوی اطلاعات مثل دیسک‌ها و نوارها.
 
== به دنبال روشی برای مدیریت امنیت اطلاعات ==
به دنبال جستجوی روشی به‌جز شیوه‌های سنتی امنیت شبکهٔ IT شرکت [[آی‌بی‌ام]] و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کرده‌اند. هدف از این کار ایجاد روش‌هایی برای مقابله با [[هکر]]ها و دیگر راه‌های دسترسی غیرقانونی به اطلاعات است.
مک‌آروین می‌گوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یک‌بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت.
ما با افرادی گفتگو می‌کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه‌رو بودند.
برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی مؤثر در اصلاح و هماهنگی نرم‌افزارهای امنیتی موجود و طراحی نرم‌افزارهای جدید است. ما سعی می‌کنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده‌اند، خود طرح پروژه‌های جدید برای کنترل خروج اطلاعات و مدیریت آن‌راآن را تنظیم کرده‌اند. آن‌ها داوطلب شده‌اند که برای اولین بار این روش‌ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد.
رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت‌ها روش‌های جدیدی را برای کنترل اطلاعات مشتریان خود به‌کار بگیرند او می‌گوید: "من فکر می‌کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده‌است." پیش از این بخش IT
تمام حواس خود را بر حفاظت از شبکه‌ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت‌هایی برای دستیابی و هم‌چنین روش‌های
مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت‌ها هر روز بیش از پیش با سرقت اطلاعات روبه‌رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی‌واسطه است. مسائل مورد توجه این شورا به ترتیب اهمیت عبارت‌اند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامه‌های بخش IT با فعالیت‌های شرکت و بی‌توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند
 
== برنامه جامع امنیت تجارت الکترونیک ==
با وجود اینکه تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنش‌ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می‌کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم‌های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان‌های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه‌برداری‌های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت‌های اعتباری، قرار می‌گیرند. چنین حملات امنیتی موجب میلیون‌ها دلار ضرر و اخلال در فعالیت شرکت‌ها می‌شوند.
بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده‌اند. با اینحال آنچه مهم‌تر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم‌های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.
متأسفانه، از آنجا که بسیاری از شرکت‌ها دوست ندارند نفوذ به سیستمشان را تأیید و اطلاعاتشان در مورد این نفوذها و وسعت آن‌ها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت‌ها از جرائم مرتبط با امنیت متحمل شده‌اند، را نمی‌توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می‌شود که اطلاع عموم از چنین نقایصی باعث بی‌اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی‌های خود می‌شود و شرکت با این کار مشتریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگانمصرف‌کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی‌اعتماد اند، شرکت‌ها با تأیید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده‌اند، چیزی بدست نمی‌آورند. با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت‌های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت‌ها است و برای بقاء و باقی ماندن در رقابت کاملاً ضروری است.
نبود اطلاعات دست اول از موارد واقعی برنامه‌ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده‌است اما با این وجود هم فناوری‌ها و روش‌های امنیت اطلاعات
و فنون کلی مدیریتی در برنامه‌ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته‌اند. اکنون خبرگانی هستند که در حوزه امنیت
سایبر تخصص پیدا کرده‌اند و راهکارهای زیادی برای حفاظت از فناوری‌های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت‌ها دریافته‌اند
که برای موفقیت در تجارت الکترونیک، علاوه بر روش‌های امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده‌اند، نیازمند سرمایه‌گذاری و برنامه‌ریزی برای
ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشانسیستم‌هایشان که موجب خسارت دیدن فعالیت‌های تجارت الکترونیک
آنها می‌شود جلوگیری کنند.
برنامه جامع امنیت تجارت الکترونیک شامل برنامه‌های حفاظتی که از فناوری‌های موجود (نرم‌افزار و سخت‌افزار)، افراد، برنامه‌ریزی راهبردی استفاده می‌کنند و
=== طرح مستمر ===
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی، روش‌های جلوگیری و مقابله با آن‌ها و برنامه‌های محتمل برای ترمیم
نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکت‌ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره‌های آتش، برای حفاظت از سیستم هایشانسیستم‌هایشان
کافی است. داشتن چنین نرم‌افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم‌های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
# آتش‌سوزی و انفجار،
 
=== مراحل کسب مدرک ===
برای کسب مدرک CISSP ،CISSP، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینه‌های امنیتی اعلام شده توسط ۲(ISC) را داشته باشند. از ابتدای سال۲۰۰۳ به بعد شرط مذکور به چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بین‌المللی در این زمینه تغییر یافت. زمینه‌های کاری امنیتی که انجمن ۲(ISC) داوطلبان را به داشتن تجربه در آن ترغیب می‌کند شامل ده مورد است که به آن عنوان '''Common Body of Knowledge''' (CBK) یا همان اطلاعات پایه در زمینهٔ امنیت اطلاق می‌شود که این موارد عبارتند از:
 
# سیستم‌های کنترل دسترسی
# توسعه سیستم‌ها وبرنامه‌های کاربردی
# امنیت شبکهٔ داده‌ای و مخابراتی
 
زمانی که داوطلب موفق به دریافت مدرک CISSP می‌شود ،می‌شود، باید برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی و عملی در مقوله‌های مورد نظر نگه دارد. هر دارنده این مدرک لازم است که هرسال برای تمدید گواهینامهٔ خود، کارهایی را برای اثبات پشتکار و علاقهٔ خود به مقولهٔ امنیت انجام داده و موفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن) شود. به این منظور انجمن، فعالیت‌های مختلفی را برای کسب امتیاز ات لازم به دارندگان مدرک پیشنهاد می‌کند. به عنوان مثال کسب یک مدرک معتبر در زمینهٔ امنیت اطلاعات، فعالیت در زمینه‌های آموزش مفاهیم امنیتی به متخصصان دیگر، استخدام شدن در شرکت‌های معتبر، چاپ مقالات در زمینهٔ امنیت، شرکت در سمینارهای مهم و کنفرانس‌های مربوط به حوزهٔ امنیت، داشتن تحقیقات شخصی و امثال آن می‌توانند دارندگان مدرک را در کسب امتیازات لازم یاری دهند. کلیهٔ فعالیت‌های مذکور به صورت مستند و مکتوب تحویل نمایندگی‌های انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد. در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سؤال چهار گزینه‌ای است که کلیهٔ مفاهیم امنیتی را در بر می‌گیرد .CISSP یکی از محبوبترین مدارک بین‌المللی در سال ۲۰۰۳ شناخته شده به‌طوری‌که با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بوده‌است. همین آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است. به هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات و خطرات ناشی از حملات انواع ویروس‌ها و هکرها به نظر می‌رسد هر روز نیاز به وجود متخصصان امنیتی، خصوصاً دارندگان مدارک معتبر بین‌المللی بیشتر محسوس است. هم اکنونهم‌اکنون دو مدرک امنیتی یعنی SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به انجمن بین‌المللی حرفه‌ای‌های امنیت از شهرت خاصی در این زمینه برخوردارند.
 
=== وضعیت درآمد ===
طبق آمار مجلهٔ certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده‌ استبوده‌است این میزان درآمد در بین درآمد مدرک‌های مختلف که طبق همین آمارگیری بدست آمده نشان می‌دهد که مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک +Security با ۶۰ هزار دلار و مدرک MCSE securityMCP با ۶۷ هزار دلار در سال در رده‌های دیگر این فهرست قرار دارند که همه نشان از اهمیت و در عین حال دشوار بودن مراحل کسب و نگهداری مدرک CISSP دارد.
 
== جستارهای وابسته ==
{{ویکی‌کتاب|عامل‌های انسانی در امنیت اطلاعات}}