آخرین حوزه آزمون (۲۰٪) مربوط به مدیریت کلان امنیت، انطباق با مقررات، ارزیابی ریسک و حاکمیت (Governance) است. در این فصل به استانداردهای معروف، مدیریت ریسک، ممیزیها و برنامههای آگاهیرسانی امنیتی میپردازیم.
چارچوبها و استانداردهای امنیتی (Security Frameworks & Standards)
برای مدیریت یک برنامه امنیتی موفق، استفاده از چارچوبهای پذیرفتهشده صنعت و استانداردهای بینالمللی راهگشا است. چند نمونهی بسیار مهم عبارتاند از:
چارچوب امنیت سایبری NIST (CSF):
یک چارچوب منعطف که توسط موسسه استاندارد آمریکا (NIST) تدوین شده و خصوصاً برای صنایع زیرساخت حیاتی طراحی گردیده است. CSF پنج تابع اصلی دارد: شناسایی (Identify) داراییها و ریسکها، محافظت (Protect) از داراییها با کنترلهای مناسب، کشف (Detect) حوادث به محض وقوع، پاسخ (Respond) به حوادث برای کاهش اثر، و بازیابی (Recover) برای بازگشت به حالت عادی. این پنج فاز در بسیاری راهنماها نقل میشوند و دانستنشان برای آزمون لازم است. CSF شامل لایههای عمیقتر Category و Subcategory نیز هست که اقدامات و نتایج مورد انتظار را شرح میدهند. مزیت CSF، زبان مشترکی است که بین مدیران و کارشناسان برقرار میکند و میتوانند وضعیت فعلی و هدف امنیتی سازمان را بر اساس پروفایل CSF تعیین کنند.
استاندارد ISO/IEC 27001:
استاندارد بینالمللی سیستم مدیریت امنیت اطلاعات (ISMS). این استاندارد الزامات ایجاد، پیادهسازی، نگهداری و بهبود مستمر یک ISMS را مشخص میکند. سازمانها میتوانند بر اساس این استاندارد گواهی دریافت کنند که نشان میدهد فرآیندهای مدیریتی امنیت آنها با بهترین رویهها منطبق است. ISO 27001 دارای پیوست A است که فهرستی از ۱۴ دسته کنترل امنیتی (مثل امنیت کارکنان، امنیت فیزیکی، رمزنگاری، پاسخ به حادثه، تداوم کسبوکار و…) را ارائه میدهد. ISO 27002 راهنمای انتخاب این کنترلهاست. برای آزمون، دانستن اینکه ISO 27001 چارچوبی گواهیشدنی است که بر چرخه PDCA (طرحریزی، اجرا، ارزیابی، اقدام) در مدیریت امنیت تأکید دارد، کافی خواهد بود.
کنترلهای بحرانی امنیتی CIS (قبلاً SANS Top 20):
فهرستی از ۲۰ کنترل فنی مهم که اجرای آنها باید در اولویت قرار گیرد. این کنترلها توسط مرکز امنیت اینترنت (CIS) تدوین شده و بر اساس تجربیات دنیای واقعی مرتب شدهاند – برای مثال اولین کنترل «فهرست برداری و کنترل سختافزار»، دوم «فهرست برداری و کنترل نرمافزار»، سپس «مدیریت مداوم آسیبپذیریها»، «استفاده از آنتیویروس» و … . ایده این است که اگر این بیست مورد را پیاده کنید بخش اعظم حملات خودبهخود خنثی میشوند. این کنترلها از منظر آزمون به عنوان یک چارچوب غیررسمی اما محبوب مطرحاند. همچنین پیادهسازی آنها میتواند بخشی از پاسخ سوالات سناریویی باشد (مثلاً شرکتی در مدیریت دارایی مشکل دارد – کنترل اول CIS: داشتن CMDB و موجودی گرفتن از داراییها).
چارچوب مدیریت ریسک NIST (RMF):
مجموعه استاندارد NIST SP 800-37 و خانواده آن که یک فرآیند ۶ مرحلهای برای شناسایی، آنالیز، کاهش و نظارت مستمر ریسکهای سیستمهای اطلاعاتی دولتی آمریکا ارائه میکند. این مراحل شامل: 1) دستهبندی سیستم اطلاعات، 2) انتخاب کنترلهای امنیتی، 3) پیادهسازی کنترلها، 4) ارزیابی میزان اثربخشی کنترلها، 5) صدور مجوز بهرهبرداری (Authorization) توسط مقام مسئول، 6) پایش مستمر. RMF بیشتر در حوزه دولتی آمریکا استفاده میشود ولی اصول آن عام است.
چارچوب COBIT:
یک چارچوب برای حاکمیت فناوری اطلاعات (نه صرفاً امنیت) از ISACA است. COBIT 2019 آخرین نسخه، ۵ حوزه کلیدی (Evaluate, Direct, Monitor, Plan, Build, Run) را پوشش میدهد. COBIT بیشتر مورد اشاره در آزمون +Security نیست مگر گذرا در حد اینکه میدانیم وجود دارد.
قوانین و مقررات:
یک مدیر امنیت باید با مقررات مرتبط با صنعت خود آشنا باشد. مثالها: در حوزه مالی استاندارد PCI DSS (استاندارد امنیت اطلاعات کارتهای پرداخت) که ۱۲ الزام امنیتی را برای هر نهادی که کارت اعتباری پذیرش میکند تعیین کرده؛ در حوزه بهداشت قانون HIPAA (برای حریم خصوصی و امنیت اطلاعات سلامت در آمریکا)؛ GDPR در اتحادیه اروپا (حفاظت از دادههای شخصی شهروندان اتحادیه)؛ قانون SOX برای الزام کنترلهای داخلی شرکتهای سهامی عام آمریکا؛ و … . احتمالاً آزمون به جز PCI DSS و GDPR خیلی عمیق وارد مقررات نمیشود، اما باید تشخیص دهید مثلاً یک سوال درباره حفاظت دادههای پزشکی احتمالاً به HIPAA اشاره دارد یا سوالی درباره دادههای اروپایی باید شما را یاد GDPR بیندازد (GDPR شامل مفاهیمی چون حق فراموش شدن، رضایت صریح برای پردازش داده و جریمههای سنگین عدم انطباق است).
مدیریت ریسک امنیتی (Risk Management)
ریسک در امنیت یعنی احتمال وقوع یک تهدید و میزان تاثیر مخرب آن روی داراییهای ما. فرآیند مدیریت ریسک شامل مراحل زیر است:
1. شناسایی ریسکها:
لیستی از داراییهای اطلاعاتی (سرورها، دیتابیسها، شبکهها، دادهها) تهیه میشود و برای هر کدام تهدیدات ممکن و آسیبپذیریهای موجود شناسایی میگردد. خروجی میتواند یک Register ریسک باشد که هر ریسک را توصیف میکند (مثلاً «احتمال خرابی سرور ایمیل به دلیل نقص برق» یا «نفوذ بدافزار به شبکه از طریق کاربر») و دارایی مرتبط و مالک آن را ذکر میکند.
2. تحلیل و ارزیابی ریسک:
به هر ریسک دو مقدار نسبت میدهیم: احتمال وقوع (Likelihood) و شدت اثر (Impact). این میتواند کیفی (پایین، متوسط، بالا) یا کمی (درصد احتمال و هزینه مالی) باشد. با ترکیب این دو، سطح ریسک به دست میآید. برای مثال اگر احتمال وقوع «باجافزار در شبکه» بالا و اثرش هم بالا باشد، ریسک آن بحرانی محسوب میشود. ابزارهایی مانند نقشهی حرارتی ریسک (Risk Heat Map) در این مرحله کاربرد دارند تا ریسکهای پر اولویت مشخص شوند.
3. اولویتبندی و برنامهریزی پاسخ:
بر اساس اشتهای ریسک سازمان (Risk Appetite) و منابع موجود، تصمیم گرفته میشود با هر ریسک چه کنیم. استراتژیهای اصلی: کاهش (Mitigate) از طریق اجرای کنترلهای امنیتی (مثلاً نصب سیستم اطفاء حریق برای کاهش ریسک آتشسوزی دیتاسنتر)؛ پذیرش (Accept) یعنی آگاهانه ریسک را میپذیریم (اگر احتمال/اثر کم است یا هزینه کاهش بیش از منافع آن باشد)؛ انتقال (Transfer) مثل بیمه کردن یا برونسپاری که ریسک مالی/عملیاتی را منتقل میکند؛ اجتناب (Avoid) به معنی کلاً عدم انجام کار پرریسک (مثلاً قطع سرویسدهی به منطقهای که قوانین سختگیرانه دارد برای اجتناب از ریسک عدم انطباق). هر ریسک باید یکی از این استراتژیها را داشته باشد و سپس اقدامات متناظر انجام شود.
4. اجرا و پایش مداوم:
کنترلهای کاهشدهنده را پیاده میکنیم و سپس ریسک باقیمانده (Residual Risk) را مجدداً میسنجیم. ریسک هیچوقت صفر نمیشود، بلکه به سطح قابل قبول کاهش مییابد. همچنین با تغییر شرایط (پدیدار شدن تهدیدات جدید، اضافه شدن داراییهای تازه) پایش مستمر لازم است تا Registry ریسک بهروز شود.
در آزمون احتمالاً از شما خواسته میشود که در یک سناریو تشخیص دهید مدیریت ریسک چگونه اعمال میشود یا کدام گزینه مثال استراتژی انتقال/اجتناب/… است. به خاطر داشته باشید بیمه کردن یا قرارداد سطحخدمت (SLA) با یک ثالث، نمونه انتقال ریسک است؛ خرید UPS یا استفاده از MFA نمونه کاهش ریسک؛ عدم پذیرش اتصال دستگاه شخصی به شبکه یک اجتناب از ریسک (BYOD) است؛ پذیرش هم اغلب مستند میشود که فلان ریسک را آگاهانه پذیرفتیم.
ممیزیها، ارزیابیها و انطباق (Audits, Assessments & Compliance)
نظارت بر اجرای صحیح برنامه امنیتی اغلب از طریق ممیزیها و ارزیابیها انجام میشود:
ممیزی داخلی و خارجی:
ممیزی یعنی بررسی سیستماتیک اینکه آیا فرآیندها و کنترلهای امنیتی مطابق سیاستها و استانداردهای مدنظر عمل میکنند یا خیر. ممیزی داخلی توسط واحد بازرسی/امنیت سازمان انجام میشود و نتایج به مدیریت ارائه میگردد. ممیزی خارجی توسط یک نهاد بیرونی مستقل (مثلاً شرکت حسابرسی) صورت میگیرد – گاهی برای کسب گواهی (مثلاً ISO 27001) یا ارزیابی انطباق با قوانین (مثلاً حسابرسان SOX). نتایج ممیزی معمولاً در قالب عدم انطباقها (Non-conformities) یا یافتهها گزارش میشود و سازمان باید برای رفع آنها اقدام اصلاحی تعریف کند. آزمون شاید مستقیماً نگوید «ممیزی خارجی چیست»، بلکه در سناریوها از شما میخواهد میان ممیزی (audit) و ارزیابی (assessment) تفاوت قائل شوید.
ارزیابیهای امنیتی:
ارزیابی میتواند شامل تست نفوذ، ارزیابی آسیبپذیری، بررسی انطباق تنظیمات با بنچمارکها و غیره باشد. این فعالیتها معمولاً جزئیتر و فنیتر از ممیزی هستند و نتایجشان درونی است تا سازمان نقاط ضعف را برطرف کند. یک تست نفوذ (Penetration Test) شبیهسازی حمله توسط تیم داخل یا پیمانکار بیرونی است تا حفرههای نفوذ را بیابد – آزمون تاکید دارد که فرقش با اسکن آسیبپذیری در تعامل و بهرهبرداری فعال است. همچنین مفاهیم جعبه سیاه/خاکستری/سفید (Black/Grey/White box) در تست نفوذ یعنی بدون دانش قبلی، با دانش محدود، یا با اطلاع کامل از اهداف تست انجام شود.
گواهینامهها و انطباقها:
سازمان ممکن است نیاز به انطباق با استاندارد یا قانون خاص داشته باشد. برای مثال، یک ارائهدهنده سرویس ابری ممکن است بخواهد گزارش ممیزی SOC 2 Type II داشته باشد تا به مشتریانش اطمینان بدهد کنترلهای امنیتی، تداوم کسبوکار، تمامیت پردازش و محرمانگی/حریم خصوصی را رعایت میکند. یا یک پردازشگر پرداخت حتماً باید PCI DSS را comply کند. مدیر برنامه امنیتی وظیفه دارد این انطباقها را پیگیری کرده و برنامه بهبود مستمر برایش داشته باشد. یک نکته، تفاوت قانونی بین Privacy و Security است: Privacy (حریم خصوصی) ناظر به چگونگی جمعآوری، استفاده و اشتراک دادههای شخصی است – قوانینی مثل GDPR ناظر بر Privacy هستند؛ Security (امنیت) بر حفاظت از دادهها در برابر دسترسی غیرمجاز تمرکز دارد. یک مدیر باید هر دو جنبه را پوشش دهد.
آموزش و آگاهیرسانی امنیتی (Security Awareness & Training)
هیچ برنامه امنیتی بدون در نظر گرفتن عامل انسانی کامل نیست. آموزش و فرهنگسازی امنیتی از وظایف مدیریت برنامه امنیتی است:
برنامه آگاهی امنیتی (Awareness Program):
این برنامه با هدف درگیر کردن تمام پرسنل در پاسداری از امنیت تهیه میشود. اقداماتی مانند: دورههای آموزشی سالانه برای همهی کارکنان درباره مبانی امنیت (فیشینگ چیست، چگونه گزارش دهیم، سیاست رمزعبور چیست و …)، ارسال خبرنامهها یا پوسترهای نکات امنیتی، اجرای آزمونهای دورهای (مثلاً حمله فیشینگ ساختگی برای سنجش هوشیاری و سپس آموزش مجدد). حتی میتوان بازیوارسازی (Gamification) کرد – مثلاً کارمندانی که ایمیل مشکوک را گزارش میکنند امتیاز بگیرند. این اقدامات سطح دانش و حساسیت کارمندان را بالا میبرد و آنها را از یک نقطه ضعف به یکی از اولین خطوط دفاع تبدیل میکند.
آموزشهای نقش–محور:
برخی نقشها نیاز به آموزشهای تخصصیتر دارند. برای مثال، توسعهدهندگان باید در زمینه کدنویسی امن دوره ببینند، تیم Help Desk باید درباره تأیید هویت کاربران هنگام درخواست پشتیبانی آموزش ببیند (تا فریب مهندسی اجتماعی نخورند)، مدیران ارشد باید با مفاهیم مدیریت ریسک و الزامات قانونی مرتبط آشنا شوند.
شبیهسازی و مانور:
برگزاری مانورهای واکنش به حادثه (مثلاً یک tabletop exercise که در آن سناریوی حمله سایبری روی زیرساخت حیاتی را تمرین میکنند)، نه تنها تیم فنی بلکه مدیران و روابطعمومی را هم آماده میکند. همچنین مانورهایی نظیر تخلیهی اضطراری (برای آمادگی در حوادث فیزیکی) و تست بازیابی سایت پشتیبان به طور سالیانه انجام میشود تا اطمینان حاصل گردد طرحهای BCP/DR عملی هستند.
هدف کلی برنامه آگاهی، ایجاد یک فرهنگ امنیت (Security Culture) است که در آن هر فرد سازمان ارزش اطلاعات را میداند و نقش خود را در محافظت از آن جدی میگیرد. آزمون Security+ احتمالاً چند سوال سناریویی در این زمینه دارد؛ مثلاً کارمندی فلش ناشناس را به سیستم وصل کرده – چه چیزی را باید تقویت کنیم؟ پاسخ: آموزش آگاهی امنیتی درباره خطرات ابزارهای ناشناس. یا پرسیده شود کدام گزینه نشاندهنده یک برنامه موفق آگاهی است (مثلاً افزایش تعداد گزارش داوطلبانه وقایع مشکوک توسط کارمندان).
نکات مهم فصل ۵ (High-Yield Points)
نام استانداردها و حوزه پوشششان:
مراقب باشید استاندارد/چارچوب را با قانون اشتباه نگیرید. NIST CSF یک چارچوب داوطلبانه است نه قانون؛ ISO 27001 قابل گواهی است ولی الزام قانونی نیست مگر قراردادی. GDPR قانون است؛ PCI یک استاندارد صنعتی است اما پشتوانه قراردادی با شرکتهای کارت اعتباری دارد. برای آزمون: NIST = توصیهها و چارچوبهای آمریکا، ISO = استاندارد بینالمللی، PCI DSS = استاندارد صنعتی مالی، GDPR/HIPAA/SOX = قوانین.
مدیریت ریسک کاربردی:
ممکن است سناریویی بدهند که یک شرکت با ریسک X مواجه است، بهترین اقدام چیست؟ شما باید تشخیص دهید که آن اقدام مثلاً کاهش ریسک است یا انتقال. همچنین ترتیب فرآیند را بدانید: تا ریسک را ارزیابی نکردید، نمیتوانید اقدام مناسب را انتخاب کنید. مفهوم Risk Appetite و Risk Tolerance هم مطرح است: اشتهای ریسک یعنی میزان کلی ریسکی که سازمان مایل است در راستای اهدافش بپذیرد؛ تحمل ریسک یعنی میزان تغییرپذیری مجاز حول اشتهای تعیینشده.
محاسبه ریسک کمی:
اگرچه آزمون Security+ عموماً محاسبات عمقی نمیدهد، اما ممکن است فرمول ساده ریسک = احتمال × تاثیر یا مفاهیم ALE (انتظار زیان سالیانه)، ARO (نرخ وقوع سالانه)، SLE (زیان تکواقعه) را بپرسد. برای یادآوری: ALE = SLE * ARO. مثلاً اگر هر رخداد نفوذ 10000 دلار خسارت دارد و انتظار میرود سالی دو بار رخ دهد، ALE = 20000 دلار. اگر با یک کنترل 50% احتمال کم شود (ARO نصف شود)، ALE کاهش مییابد – این میتواند برای توجیه هزینه کنترل استفاده شود.
ممیزی و ارزیابی:
بین Compliance Audit (ممیزی انطباق) و Security Assessment تفکیک کنید. یکی روی چکلیست استاندارد/قانون تمرکز دارد (مثلاً ممیزی نشان میدهد آیا تمام بندهای PCI رعایت شده یا نه)، دیگری بر کشف مشکلات امنیتی هرچند که ممکن است نقض قانون نباشد. همچنین مفهوم Continuous Monitoring یا Continuous Control Assessment که در RMF/NIST آمده یعنی پس از پیادهسازی کنترلها، باید به طور مستمر اثربخشیشان پایش و ممیزی شود.
تیم قرمز و تیم آبی:
در برخی منابع آزمون، نقشهای تیم قرمز (مهاجمین شبیهسازی شده که توسط خود سازمان یا پیمانکار برای تست امنیت گماشته میشوند) و تیم آبی (مدافعین سازمان) ذکر شده. تستهای نفوذ میتواند به صورت Red Team Exercise باشد که بدون اطلاع تیم آبی انجام میشود تا واقعگرایانهتر میزان آمادگی دفاعی سنجیده شود. ذکر این اصطلاحات ممکن است در سوالات پیش بیاید.
سند سیاست و رویهها:
به عنوان مدیر برنامه امنیتی، اسناد راهبری مهمی را تدوین میکنید: سیاستهای امنیتی (Security Policies) سطح بالا که الزامات کلی را میگوید (مثلاً “کاربران نباید نرمافزارهای تأییدنشده نصب کنند”)؛ استانداردها (Standards) که جزئیات فنی الزامات را مشخص میکند (مثلاً “همه کلماتعبور حداقل 12 کاراکتر و شامل عدد و حرف باشند”)؛ رویهها (Procedures) که دستورالعمل گام به گام انجام کارها هستند (مثل روال افزودن کاربر جدید)؛ و راهنمودها (Guidelines) که اختیاریاند (مثل بهترین رویه برای امنسازی کامپیوتر شخصی در منزل). دانستن تفاوت این اصطلاحات و اینکه Policy بالاترین سطح و سختگیرانهترین (جهتدار) است، در آزمون کمک میکند.
جمعبندی نهایی:
برای موفقیت در آزمون Security+ SY0-701، ترکیبی از دانش مفهومی (مثلاً فهم CIA Triad، مفاهیم احراز هویت، رمزنگاری، شبکه)، مهارت عملیاتی (آشنایی با ابزارها و سناریوهای دنیای واقعی) و توانایی پاسخ به تست (شناسایی نکته کلیدی سوال و حذف گزینههای انحرافی) لازم است. سعی کنید ضمن یادگیری تعاریف، حتماً مثالهای عملی در ذهن داشته باشید تا بتوانید سوالات سناریویی را تحلیل کنید. به ویژه روی حوزههای دارای درصد بالاتر (عملیات امنیت و تهدیدات) تمرکز بیشتری بگذارید، هرچند همهی پنج دامنه مهماند.
در نهایت، با مطالعهی این جزوه، تمرین سوالات چهارگزینهای و عملکردی، و مرور منابع معرفیشده مانند استانداردهای NIST/OWASP و تستهای عملی، شما در مسیر کسب این مدرک بینالمللی ارزشمند قرار گرفتهاید. موفق باشید!
