امنیت اطلاعات چیست ؟

امنیت اطلاعات چیست ؟ در پنجاه سال گذشته بروز تحولات گسترده در زمینه ی کامپیوتر و ارتباطات تغییرات عمده ای را در عرصه های متفاوت حیات بشری به دنبال داشته است . انسان همواره از فناوری استفاده نموده و کارنامه حیات بشری مملو از ابداع فناوری های ارتباطات و اطلاعات که از انان به عنوان فناوری های جدید یا عالی یاد می شود بیشترین تاثیر را در حیات بشری داشته اند . جديد از مديرت كنترل اطلاعات و سياست‌هاي مربوط به آن ارايه دهند. هم‌چنين پيش‌بيني شده است كه اين راهكار‌ها بخش مهمي را در زيربناي سياست‌هاي IT داشته باشد. مك‌آروين مي‌گويد: “ايده‌ي اوليه‌ي تشكيل اين شورا در جلسات سه‌ ماه يك‌بار و غيررسمي شركت IBM با مشتريان و برخي شركا شكل گرفت. ما با افرادي گفت‌وگو مي‌كرديم كه با مشكلات ناامني اطلاعات به شكل عيني روبه‌رو بودند. براي شركت IBM و شركاي تجاري آن مشاركت مشتريان عاملي موثر در اصلاح و هماهنگي نرم‌افزارهاي امنيتي موجود و طراحي نرم‌افزارهاي جديد است. ما سعي مي‌كنيم ابزارهاي امنيتي IBM را با نيازهاي مشتري آشتي دهيم. بسياري از مشتريان شركت كه اكنون اعضاي فعال اين شورا را تشكيل داده‌اند، خود طرح پروژه‌هاي جديد براي كنترل خروج اطلاعات و مديريت آن‌را تنظيم كرده‌اند. آن‌ها داوطلب شده‌اند كه براي اولين بار اين روش‌ها را در مورد اطلاعات شخصي خود به كار گيرند. بديهي است شرايط واقعي در مقايسه با وضعيت آزمايشي نتيجه‌ي بهتري دارد. رابرت گاريگ، مدير ارشد بخش امنيتي بانك مونترآل و يكي از اعضاي شورا، معتقد است اكنون زمان آن رسيده كه شركت‌ها روش‌هاي جديدي را براي كنترل اطلاعات مشتريان خود به‌كار بگيرند او مي‌گويد: “من فكر مي‌كنم اكنون زمان مديريت كنترل اطلاعات فرارسيده است..” پيش از اين بخش IT تمام حواس خود را بر حفاظت از شبكه‌ها متمركز كرده بود، اما اكنون اطلاعات به عنوان بخشي مستقل به محدوديت‌هايي براي دستيابي و هم‌چنين روش‌هاي مديريتي نوين نيازمند است. اين حوزه به كوششي چشمگير نيازمند است. شركت‌ها هر روز بيش از پيش با سرقت اطلاعات روبه‌رو هستند. هدف اصلي شورا ايجاد مديريتي هوشمند و بي‌واسطه است . مسايل مورد توجه اين شورا به ترتيب اهميت عبارت‌اند از: “امنيت، حريم خصوصي افراد، پذيرش قوانين و برطرف كردن سوء تعبيرهايي كه در مورد IT و وظايف آن وجود دارد.” به نظر اين شورا مشكل اصلي ناهماهنگي برنامه‌هاي بخش IT با فعاليت‌هاي شركت و بي‌توجهي به ادغام اين راهكارهاست. شركت آمريكن اكسپرس و بانك جهاني، دانشگاه ايالتي كاروليناي شمالي و … از اعضاي اين شورا هستند برنامه جامع امنیت تجارت الکترونیک با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند.این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری ، قرار می گیرند.چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند.با اینحال آنچه مهمتر از صحت میزان این خسارات است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه ، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند ، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند ، را نمی توان بدست آورد.بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی ، از این ترس معمول ناشی می می شود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود می شود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد.از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند ، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند ، چیزی بدست نمی آورند.با هیجانات رسانه ای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد ، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان ، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان ، در یک دهه گذشته پیشرفت قابل توجهی داشته اند.اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند.بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیم ، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند ، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها می شود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامه های حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار) ، افراد ، برنامه ریزی راهبردی استفاده می کنند و برنامه های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می شوند ، است.چنین برنامه ای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفه ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامه هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت ، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد. ارزیابی عملیات تجارت الکترونیک اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک ، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبه ی تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیری های خارجی است.با این وجود تمام تلاش ها باید در راستای شناخت حوزه هایی باشد که سیستم از داخل مورد سوءاستفاده قرار می گیرد.این کار را می توان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بسته های نرم افزاری بسیاری هم وجود دارند که می توانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و می توانند تحلیل کاملی از فعالیت های مشکوک احتمالی کاربران داخلی ارائه دهند. طرح مستمر گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامه های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است.بسیاری از شرکت ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره های آتش ، برای حفاظت از سیستم هایشان کافی است.داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند: 1. آتش سوزی و انفجار، 2. خرابکاری عمدی در سخت افزار ، نرم افزار و یا داده ها و اطلاعات، 3. دزدیده شدن نرم افزار و سخت افزار، 4. فقدان پرسنل کلیدی امنیت تجارت الکترونیک 5. فقدان برنامه های کاربردی 6. فقدان فناوری 7. فقدان ارتباطات 8. فقدان فروشندگان. تهدیدها در هر یک از این حوزهها باید به دقت ارزیابی و طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. فناوری های تجارت الکترونیک :سپس ، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را ، ارزیابی کند.درک اینکه فناوری های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است. حوزه های بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت داده ها و اطلاعات در دسترس ، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایه های مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت ، یکپارچگی ، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکت ها ، در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری تخصص دارند ، استفاده می کنند. افراد مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت می کنند.نقائص امنیتی بیش از آنگه ناشی از سیستم باشند ، به وسیله ی افرادی که مدیریت سیستم را برعهده دارند و کاربران سیستم رخ می دهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می گیرند ، اطلاع دارند.شرکت ، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال می تواند تا حد زیادی مانع آنها گردد. راهبرد ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک ، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد می تواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی ، اجرای برنامه های امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان مدیریت موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامه ای است.پشتیبانی مدیریت ، از مدیران رده بالا شروع و در تمام سطوح ادامه می یابد.چنین برنامه ای در شرکت های بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه ، اجرای برنامه های آن و ارزیابی مجدد برنامه های موجود است. بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که می تواند آنرا با مطالعه مقالات ، کتب و مطالعات موردی منتشر شده بدست آورد. مدیریت امنیت و مدرک CISSP مدرک CISSP مانند مدرک RSA مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این مدرک مستقل از هر نوع سخت افزار ونرم افزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ وسیستم های Enterprise شناخته میشود .افرادی که صاحب این مدرک باشند میتوانند برای پست مدیریت شبکه های کوچک و بزرگ اطلاعاتی خود را معرفی کنند. در سال 1989 ، چند سازمان فعال در زمینه ی امنیت اطلاعات کنسرسیومی را تحت نام ISC بنا نهادند که هدف ان ارایه ی استاندارد های حفاظت از اطلاعات و آموزش همراه با ارایه ی مدرک مربوط به افراد آموزش دیده بود. در سال 1992 کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفه ای و عملی در زمینه ی امنیت اطلاعات برای افراد علاقمند به آن بود. اعتبار این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی ، وابسته به محصولات هیچ فروشنده سخت افزار یا نرم افزار خاصی نیست ، قادر است به افراد متخصص امنیت ، تبحر لازم را در طرح و پیاده سازی سیاست های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت ، مساله ای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهده ی کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است که این قبیل مسئولیت ها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و میتوانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود . مراحل کسب مدرک برای کسب مدرک CISSP ، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینه‌های امنیتی اعلام شده توسط ISC راداشته باشند . از ابتدای سال۲۰۰۳ به بعد شرط مذکور به چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بین المللی در این زمینه تغیر یافت .زمینه‌های کاری امنیتی که انجمن ISC داوطلبان را به داشتن تجربه در آن ترغیب می‌کند شامل ده مورد است کهبه آن عنوان (Common Body Of Knowlege) CBKیا همان اطلاعات پایه در زمینهٔ امنبیت اطلاق می‌شود این موارد عبارتنداز:
1. سیستم‌های کنترل دسترسی ومدولژی 2. توسعه سیستم‌ها وبرنامه‌های کاربردی 3. برنامه ریزی برای مقابله با بلاهای طبیعی وخطرات کاری 4. رمزنگاری 5. مسا ئل حقوقی 6. امنیت عملیاتی 7. امنیت فیزیکی 8. مدلهاومعماری امنیتی 9. تمرین‌های مدیریت امنیت 10. امنیت شبکهٔ داده‌ای و مخابراتی زمانی که داوطلب موفق به دریافت مدرک CISSP می‌شود باید برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی وعملی در مقوله‌های مورد نظر نگه دارد .هر دارندهی این مدرک لازم است که هرسال برای تمدید گواهینامهٔ خود ، کارهایی را برای اثبات پشتکار وعلاقهٔ خود به مقولهٔ امنیت انجام داده وموفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن ) شود. به این منظور انجمن ، فعالیت‌های مختلفی را برای کسب امتیاز ات لازم به دارندگان مدرک پیشنهاد می‌کند. به عنوان مثال کسب یک مدرک معتبعر در زمینهٔ امنیت اطلاعات ،فعالیت در زمینه‌های آموزش مفاهیم امنیتی به متخصصان دیگر ، استخدام شدن درشرکت‌های معتبر ، چاپ مقالات در زمینهٔ امنیت ،شرکت در سمینار‌های مهم وکنفرانس‌های مربوط به حوزهٔ امنیت ، داشتن تحقیقا ت شخصی وامثال آن می‌توانند دارندگان مدرک را در کسب امتیازات لازم یاری دهند . کلیهٔ فعالیت‌های مذکور به صورت مستند و مکتوب تحویل نمایندگی‌های انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد . در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سئوال چهار گزینه‌ای است که کلیهٔ مفاهیم امنیتی را در بر میگیرد .CISSP یکی از محبوبترین مدارک بین المللی در سال ۲۰۰۳ شناخته شده به طوری که با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بوده‌است .همین آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است . به هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات وخطرات ناشی از حملات انواع ویروس‌ها و هکرها به نظر میرسد هر روز نیاز به وجود متخصصان امنیتی ، خصوصا دارندگان مدارک معتبر بین المللی بیشتر محسوس است. هم اکنون دو مدرک امنیتی یعنی SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به انجمن بین المللی حرفه‌ای‌های امنیت از شهرت خاصی در این زمینه برخوردارند. وضعیت درآمد طبق آمار مجلهٔ certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده است این میزان درآمد در بین درآمد مدرک‌های مختلف که طبق همین آمارگیری بدست آمده نشان میدهد که مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک security+ با ۶۰ هزار دلار و مدرک MCSE securityMCP با ۶۷ هزار دلار در سال در رده‌های دیگر این لیست قرار دارند که همه نشان از اهمیت ودر عین حال دشوار بودن مراحل کسب و نگهداری مدرک CISSP دارد