تحقیق درباره ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و مبتنی بر استانداردها

اختصاصی از فی بوو تحقیق درباره ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و مبتنی بر استانداردها دانلود با لینک مستقیم و پر سرعت .

فرمت فایل : word  (لینک دانلود پایین صفحه) تعداد صفحات 27 صفحه

چکیده

سازمان‌ها هر روز نسبت به دارائی‌های اطلاعاتی خود با تهدیدهایی مواجه می‌شوند. این در حالی است که به‌شدت به این دارائی‌ها وابسته و متکی هستند. بشتر سیستم‌های اطلاعاتی ذاتاً ایمن نیستند، و راه‌حل‌های فنی تنها  بخشی از راه‌حل‌های جامع امنیت اطلاعات هستند، لذا تدوین اطلاعات امری ضروری بوده و سازمان‌ها برای اجرای آنها بایستی محیط تهدید منحصر به خود را بشناسند. این محیط‌های تهدید از طریق تحلیل سیستماتیک و ارزیابی ریسک‌های امنیتی تعیین می‌شوند، و از آنجا با توجه به مشخص شدن حوزه‌های ریسک، کنترل‌های مناسب به‌منظور کاهش اثر ریسک‌های شناسایی شده، انتخاب خواهند شد. 

تاکنون روش‌ها و استاندارد‌های جهت ارزیابی امنیت ارائه شده‌اند، اما هیچ یک از آنها چارچوب و روشی سیستماتیک جهت ارزیابی امنیت و کاهش بهینه ریسک‌های امنیتی ارائه نمی‌دهند.

در این مقاله  چارچوبی جهت ارزیابی کاستی‌ها، حفره‌ها  و ریسک‌های امنیتی،به‌همراه الگوریتمی جهت انتخاب بهینه کنترل‌های کاهش ریسک  ارائه شده است.

چارچوب پیشنهادی استانداردها و روش‌های موجود از قبیل استانداردهای امنیتی ISO/IEC 15408، ISO/IEC 17799 ،  ISO/IEC 27002 ،  مدل تهدیدات مایکروسافت و مدل تخمین هزینهUse Case Function Point  مورد استفاده قرار گرفته‌اند.

1- مقدمه

در سال‌های اخیر شاهد وابستگی چشمگیر سازمان‌های زیادی به سیستم‌های اطاعاتی هستیم[1]. مباحث امنیتی مرتبط با تکنولوژی اطلاعات همچنان به‌عنوان نگرانی و چالشی برای تصمیم گیرندگان در جامعه تلقی می‌شوند. نیازمندی‌های امنیتی معمولاً به‌عنوان نیازهای غیرکارکردی در توسعه نرم‌افزارها در نظر گرفته می‌شوند [1-3] و این امر منجر به شکست‌های امنیتی در نرم‌افزارها می‌شود و این مشکل در حال رشد است.

یک شکست امنیتی در واقع یک تخلف یا انحراف از قواعد امنیتی مبتنی بر سیاست‌های امنیتی شامل دسترسی یا‌ عدم‌دسترسی به منابع است. به گزاش سازمان امنیت کلاه سفیدها، در ارزیابی که در تاریخ 2006 Jun تا Feb2008 در بین 2000 وب سایت انجام دادند، از هر 10 وب سایت 9‌تای آنها حداقل شامل یک شکست امنیتی بودند.

بنابرگزارش CERT/CC تعداد شکست‌های نرم‌افزارهای مرتبط با امنیت 5 برابر در طول 7 سال گذشته افزایش یافته است[4].

این در حالی است که شکست‌های نرم‌افزاری منجر به از بین رفتن 2% تا 3% سود سالانه‌ی سازمان‌ها می‌شود[5].

شکست‌های امنیتی در سیستم‌های نرم‌افزاری اتفاقاتی هستند که آرزو داریم جلوی آنها را بگیریم. این در حالی است که معیارهای امن بودن یک سیستم سایر معیارهای سیستم را تحت‌شعاع خود قرار می‌دهد. این امر لزوم پرداختن به مقوله ارزیابی امنیت سیستم‌های نرم‌افزاری را اجتناب‌ناپذیر ساخته است.

 هیچ یک از روش‌ها و استاندارد‌های ارزیابی امنیت ارائه شده تا کنون چارچوب و روشی سیستماتیک جهت ارزیابی امنیت بیان نمی‌کنند.

چهارچوب پیشنهادی در این مقاله با بهره‌گیری از نکات قوت روش‌ها و استاندارهای موجود، چارچوبی روشمند و قابل استفاده با پوشش نواقص روش‌های موجود و تکه بر شناسایی و کنترل ریسک‌ها بطور بهینه جهت ارزیابی امنیت کاربردهای نرم‌افزاری ارائه می‌دهد.

2- انواع روش‌های ارزیابی امنیت 

در سالهای اخیر استانداردها و روش‌های ارزیابی گوناگونی برای بررسی امنیت نرم‌افزارها ارائه شده است. هر یک از آنها با توجه به نگرش، مفاهیم و یا خصوصیات‌نرم‌افزارهای خاصی تهیه گردیده‌اند. برخی از آنها دارای شمولیت بیشتر و قابل استفاده‌ برای طیف وسیع‌تری از سیستم‌های نرم‌افزاری هستند.

2-1- استاندارد ISO/IEC 17799

استاندارد ISO/IEC17799، استانداردی بین‌المللی است که اولین بار در سال 2000 میلادی از BS7999 گرفته شده است و آخرین ویرایش آن در سال 2005 میلادی با عنوان ISO/IEC17799:2005 در دو بخش منتشر شد. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات جهت طراحی، پیاده‌سازی، پشتیبانی مسائل امنیتی، ارزیابی میزان امنیت سازمان و ارائه راهکارهایی جهت بهینه‌سازی امنیت در یک سازمان است. استاندارد مزبور نقطه‌ی شروع توسعه‌ی راهکارهای امنیتی هر سازمان است[6].

1- یکی از معایب این استاندارد این است که فقط سرفصل‌ها و موضوعات کلی را بیان می‌کند.

2- همچنین این استاندارد روشی را جهت تخمین هزینه عملکردهای کنترل ریسک ارائه نمی‌دهد.

3- این استاندارد هیچگونه معیاری را جهت ارزیابی امنیت توصیه نمی‌کند.