مجوزی رسمی برای برقراری امنیت

 دوره Security+  از جدیدترین دوره‌هایی است که مورد تایید مایکروسافت بوده و با استفاده از کتابSecurity+  از انتشاراتت Microsoft Press دریس می‌شود. آزمون و مدرک این دوره توسط شرکت CompTIA  ارائه شده و از جمله آزمون‌های مایکروسافت جهت یکی از آزمون‌های Elective (انتخابی) مدرک مدیریت شبکه‌های مایکروسافت(MCSE Security)  است. داوطلبان برای کسب این مدرک باید حداقل 2 سال سابقه کاری مفید در یکی از زمینه‌های امنیتی اعلام شده توسط CompTIA  را داشته باشند.

این امتحان با هزینه 225 دلار در پنج بخش مجزا

 1‌  مفاهیم کلی امنیت یاGeneral Security 0)  Concepts3درصد) 

 2  امنیت ارتباطات یاCommunication  0)   Security2درصد)

 3  زیربنای امنیت یاInfrastructure Security (20درصد) 

 4  متدهای رمزنگاری و رمزگشایی یا5) Basics of Cryptography    1درصد)

5‌ امنیت سازمانی و عملکردی یا 5) Operational/Organizational Security1درصد)   ارائه می‌شود و بسیاری از شرکت‌های بزرگ و صاحب تکنولوژی نظیرOlympus Security IBM/Tivoli Software Group،Motorola
Sun، Symantec و  Group  این مدرک را برای کارمندان خود الزامی دانسته‌اند.

طبق آمار مجله certification  بیشتر از 13000 نفر در سرتاسر جهان این مدرک را دارا می‌باشند که میانگین درآمد سالانه 60 هزار دلار را دارند.

 CISSP2ISC

آزمون و مدرک بین‌المللی  CISSP  مخفف Certified Information Systems Security  Professional متعلق به شرکت (2(ISC است. مدرک CISSP  مستقل از هر نوع سخت‌افزار و نرم‌افزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستم‌های Enterprise  شناخته می‌شود. این موسسه ‌(2 (ISC کاملا بی‌طرف بوده و وابستگی به موسسات تجاری ندارد ولی از طرف موسسه دولتی U.S.(NSA) National Security Agency   تایید شده است زیرا براساس استاندارد 2003:17024ISO/IEC Standard ،  عمل می‌کند. همچنین از نظر موسسهU.S.Department  (DoD)    of Defense نیز تایید شده است.

این شرکت  در سال  1989 به عنوان یک کنسرسیوم غیر انتفاعی از پیشروان صنعت و با هدف عرضه مدارک بین‌المللی در زمینه امنیت اطلاعات در هر سطح و گرایشی آغاز به کار نمود.

در نتیجه در مدت کوتاهی این انجمن توانست در بیش از‌60 کشور دنیا خدمات مشاوره، آموزش و سیستم مدرک دهی خود را ارائه نماید. در سال 1992 کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP  نمود که هدف از آن ایجاد یک سطح مهارت حرفه‌ای و عملی در زمینه امنیت اطلاعات برای افراد علاقه‌مند به آن بود.

انجمن مذکور مدرک CISSP  را با پوشش تبلیغات فراوان و برگزاری سمینارهای متعدد بین‌المللی در سراسر جهان به متخصصان IT معرفی کرد.

افرادی که صاحب این مدرک باشند می‌توانند برای پست مدیریت امنیتی شبکه‌های کوچک و بزرگ اطلاعاتی خود را معرفی کنند. این مدرک به دلیل این که برخلاف سایر مدارک امنیتی، وابسته به محصولات هیچ فروشنده سخت افزار یا نرم افزار خاصی نیست قادر است به افراد متخصص امنیت، تبحر لازم را در طرح و پیاده‌سازی سیاست‌های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت، مساله‌ای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهده کارشناسان تازه کار یا حتی آن‌هایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند. بلکه مهم آن است که این قبیل مسوولیت‌ها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و می‌توانند در جهت برقراری امنیت اطلاعاتی در یک سازمان به ارائه خط مشی ویژه و سیاست امنیت خاص کمک کنند، سپرده شود.

برای کسب مدرکCISSP، داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینه‌های امنیتی اعلام شده توسط انجمن (2 (ISC را داشته باشند. البته اخیراً شرط مذکور به پنج سال سابقه کاری یا چهار سال سابقه کار به علاوه یک مدرک دانشگاهی یا بین‌المللی در این زمینه تغییر یافت. زمینه‌های کاری امنیتی که انجمن (2 (ISC داوطلبان را به داشتن تجربه در آن ترغیب می‌کند شامل 10 مورد است که به آن عنوان (CBK) Common Body of Knowledge  یا همان اطلاعات پایه در زمینه امنیت اطلاق می‌شود. این موارد عبارتند از:

1 - ‌ سیستم‌های کنترل دسترسی و متدولوژی یا Access Control Systems and Methodology

2 -  توسعه سیستم‌ها و برنامه‌های کاربردی یا Application and Systems Development Security

3 -  برنامه‌ریزی برای مقابله با بلاهای طبیعی و خطرات کاری‌(BCP) Business Continuity Planning  and Disaster Recovery Planning (DRP)

4 - ‌ رمزنگاری یاCryptography 

5 -  مسائل حقوقی یا Law, Investigation and Ethics

6 - ‌ امنیت عملیاتی یاOperation Security 

7 -  امنیت فیزیکی یاPhysical Security 

8 -  مدل‌ها و معماری امنیتی یا Security  Architecture and Models

9 -  تمرین‌های مدیریت امنیت یا Security  Management Practices

10 - ‌ امنیت شبکه داده‌ای و مخابراتی یا   Telecommunications and Network Security

مفاد آزمون CISSP  به دلیل اصرار زیاد دست‌اندرکاران و طراحان آن بر روزآمد بودن مدرک، به طور مرتب تغییر می‌کند. سوالات این آزمون توسط افراد متخصص عضو انجمن تهیه شده و قبل از برگزاری رسمی ‌هر دوره به صورت آزمایشی توسط خود انجمن و برای افراد دیگری (غیر از طراحان سوال) به مورد آزمون گذاشته می‌شود تا از صحت مفاد آزمون اطمینان لازم حاصل گردد. انجمن‌ (2 (ISC نیز سمینارهای متعددی را برای آگاهی داوطلبان از جدیدترین مفاد CBK  و CISSP  برگزار می‌نماید. آخرین نسخه این اطلاعات در سایت انجمن به آدرس www.ISC2.org  نیز موجود است.

زمانی که داوطلب موفق به دریافت مدرک CISSP  می‌شود، باید برای حفظ این مدرک، همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی‌و عملی در مقوله‌های مورد نظر نگه دارد. هر دارنده این مدرک لازم است که هر سال برای تمدید گواهینامه خود، کارهایی را برای اثبات پشتکار و علاقه خود به مقوله امنیت انجام داده و موفق به کسب سالانه‌120 امتیاز (از لحاظ ارزش کارهای انجام شده از دید انجمن) شود. به این منظور انجمن، فعالیت‌های مختلفی را برای کسب امتیازات لازم به دارندگان مدرک پیشنهاد می‌کند.

تمامی فعالیت‌های مذکور به صورت مستند و مکتوب تحویل نمایندگی‌های انجمن در سراسر دنیا شده تا مورد ارزشیابی و امتیازدهی انجمن قرار گیرد. در صورتی که دارنده مدرک موفق به کسب 120 امتیاز نشود، باید جهت حفظ مدرک خود مجددا آزمون CISSP را بگذراند. هزینه  آزمون 500 دلار است و  شامل‌250 سوال چهارگزینه‌ای است که کلیه مفاهیم امنیتی را در برمی‌گیرد و داوطلب باید حداقل 700 امتیاز برای کسب مدرک تلاش کند.

طبق آمار مجله Certification  میانگین درآمد سالانه دارندگان مدرک CISSP  نزدیک به‌86 هزار دلار بوده است. این میزان درآمد در بین درآمد مدرک‌های مختلف که طبق همین آمارگیری به دست آمده نشان می‌دهد که مدرکCISSP  در جایگاه پنجم در بین ‌90 مدرک بین‌المللی IT  قرار دارد. این در حالی است که از لحاظ رده‌بندی مدارک امنیتی، مدرک CISSP در جایگاه اول قرار دارد. در این مقایسه مدرک Security+  با‌ 60 هزار دلار و مدرک MCSE MCP Security  با‌67 هزار دلار در سال در رده‌های دیگر این لیست قرار دارند که همه نشان از اهمیت و در عین حال دشوارتر بودن مراحل کسب و نگهداری مدرک CISSP  دارد.

مهدی چینی‌چی‌