فرمت فایل : word (لینک دانلود پایین صفحه) تعداد صفحات 27 صفحه
چکیده
سازمانها هر روز نسبت به دارائیهای اطلاعاتی خود با تهدیدهایی مواجه میشوند. این در حالی است که بهشدت به این دارائیها وابسته و متکی هستند. بشتر سیستمهای اطلاعاتی ذاتاً ایمن نیستند، و راهحلهای فنی تنها بخشی از راهحلهای جامع امنیت اطلاعات هستند، لذا تدوین اطلاعات امری ضروری بوده و سازمانها برای اجرای آنها بایستی محیط تهدید منحصر به خود را بشناسند. این محیطهای تهدید از طریق تحلیل سیستماتیک و ارزیابی ریسکهای امنیتی تعیین میشوند، و از آنجا با توجه به مشخص شدن حوزههای ریسک، کنترلهای مناسب بهمنظور کاهش اثر ریسکهای شناسایی شده، انتخاب خواهند شد.
تاکنون روشها و استانداردهای جهت ارزیابی امنیت ارائه شدهاند، اما هیچ یک از آنها چارچوب و روشی سیستماتیک جهت ارزیابی امنیت و کاهش بهینه ریسکهای امنیتی ارائه نمیدهند.
در این مقاله چارچوبی جهت ارزیابی کاستیها، حفرهها و ریسکهای امنیتی،بههمراه الگوریتمی جهت انتخاب بهینه کنترلهای کاهش ریسک ارائه شده است.
چارچوب پیشنهادی استانداردها و روشهای موجود از قبیل استانداردهای امنیتی ISO/IEC 15408، ISO/IEC 17799 ، ISO/IEC 27002 ، مدل تهدیدات مایکروسافت و مدل تخمین هزینهUse Case Function Point مورد استفاده قرار گرفتهاند.
1- مقدمه
در سالهای اخیر شاهد وابستگی چشمگیر سازمانهای زیادی به سیستمهای اطاعاتی هستیم[1]. مباحث امنیتی مرتبط با تکنولوژی اطلاعات همچنان بهعنوان نگرانی و چالشی برای تصمیم گیرندگان در جامعه تلقی میشوند. نیازمندیهای امنیتی معمولاً بهعنوان نیازهای غیرکارکردی در توسعه نرمافزارها در نظر گرفته میشوند [1-3] و این امر منجر به شکستهای امنیتی در نرمافزارها میشود و این مشکل در حال رشد است.
یک شکست امنیتی در واقع یک تخلف یا انحراف از قواعد امنیتی مبتنی بر سیاستهای امنیتی شامل دسترسی یا عدمدسترسی به منابع است. به گزاش سازمان امنیت کلاه سفیدها، در ارزیابی که در تاریخ 2006 Jun تا Feb2008 در بین 2000 وب سایت انجام دادند، از هر 10 وب سایت 9تای آنها حداقل شامل یک شکست امنیتی بودند.
بنابرگزارش CERT/CC تعداد شکستهای نرمافزارهای مرتبط با امنیت 5 برابر در طول 7 سال گذشته افزایش یافته است[4].
این در حالی است که شکستهای نرمافزاری منجر به از بین رفتن 2% تا 3% سود سالانهی سازمانها میشود[5].
شکستهای امنیتی در سیستمهای نرمافزاری اتفاقاتی هستند که آرزو داریم جلوی آنها را بگیریم. این در حالی است که معیارهای امن بودن یک سیستم سایر معیارهای سیستم را تحتشعاع خود قرار میدهد. این امر لزوم پرداختن به مقوله ارزیابی امنیت سیستمهای نرمافزاری را اجتنابناپذیر ساخته است.
هیچ یک از روشها و استانداردهای ارزیابی امنیت ارائه شده تا کنون چارچوب و روشی سیستماتیک جهت ارزیابی امنیت بیان نمیکنند.
چهارچوب پیشنهادی در این مقاله با بهرهگیری از نکات قوت روشها و استاندارهای موجود، چارچوبی روشمند و قابل استفاده با پوشش نواقص روشهای موجود و تکه بر شناسایی و کنترل ریسکها بطور بهینه جهت ارزیابی امنیت کاربردهای نرمافزاری ارائه میدهد.
2- انواع روشهای ارزیابی امنیت
در سالهای اخیر استانداردها و روشهای ارزیابی گوناگونی برای بررسی امنیت نرمافزارها ارائه شده است. هر یک از آنها با توجه به نگرش، مفاهیم و یا خصوصیاتنرمافزارهای خاصی تهیه گردیدهاند. برخی از آنها دارای شمولیت بیشتر و قابل استفاده برای طیف وسیعتری از سیستمهای نرمافزاری هستند.
2-1- استاندارد ISO/IEC 17799
استاندارد ISO/IEC17799، استانداردی بینالمللی است که اولین بار در سال 2000 میلادی از BS7999 گرفته شده است و آخرین ویرایش آن در سال 2005 میلادی با عنوان ISO/IEC17799:2005 در دو بخش منتشر شد. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات جهت طراحی، پیادهسازی، پشتیبانی مسائل امنیتی، ارزیابی میزان امنیت سازمان و ارائه راهکارهایی جهت بهینهسازی امنیت در یک سازمان است. استاندارد مزبور نقطهی شروع توسعهی راهکارهای امنیتی هر سازمان است[6].
1- یکی از معایب این استاندارد این است که فقط سرفصلها و موضوعات کلی را بیان میکند.
2- همچنین این استاندارد روشی را جهت تخمین هزینه عملکردهای کنترل ریسک ارائه نمیدهد.
3- این استاندارد هیچگونه معیاری را جهت ارزیابی امنیت توصیه نمیکند.
تحقیق درباره ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و مبتنی بر استانداردها