فروشگاه

توضیحات

ارائه چارچوبی جهت استقرار امنیت اطلاعات

سازمان‌ ها هر روز نسبت به دارائی‌های اطلاعاتی خود با تهدیدهایی مواجه می‌شوند.

این در حالی است که به‌شدت به این دارائی‌ها وابسته و متکی

هستند. بشتر سیستمهای اطلاعاتی ذاتاً ایمن نیستند، و راه‌حل‌های فنی تنها بخشی از راه‌حل‌های جامع امنیت اطلاعات هستند، لذا تدوین اطلاعات

امری ضروری بوده و سازمان‌ها برای اجرای آنها بایستی محیط تهدید منحصر به خود را بشناسند.

این محیط‌های تهدید از طریق تحلیل سیستماتیک و

ارزیابی ریسک‌های امنیتی تعیین می‌شوند، و از آنجا با توجه به مشخص شدن حوزههای ریسک،

کنترل‌های مناسب به‌منظور کاهش اثر ریسک‌های شناسایی شده، انتخاب خواهند شد.

ارائه چارچوبی جهت استقرار امنیت اطلاعات

تاکنون روش‌ها و استاندارد‌های جهت ارزیابی امنیت ارائه شده‌اند،

اما هیچ یک از آنها چارچوب و روشی سیستماتیک جهت ارزیابی امنیت و کاهش بهینه ریسک‌های امنیتی ارائه نمی‌دهند.

در این مقاله چارچوبی جهت ارزیابی کاستی‌ها، حفره‌ها و ریسک‌های امنیتی،

به‌همراه الگوریتمی جهت انتخاب بهینه کنترل‌های کاهش ریسک ارائه شده است.

چارچوب پیشنهادی استانداردها و روش‌های موجود از قبیل استانداردهای امنیتی ISO/IEC 15408، ISO/IEC 17799 ، ISO/IEC 27002 ، مدل تهدیدات مایکروسافت و مدل تخمین هزینهUse Case Function Point مورد استفاده قرار گرفته‌اند.

۱۲صفحه فایل ورد (Word) فونت ۱۴ منابع دارد +شکل و تصاویر

 

پس از پرداخت آنلاین میتوانید فایل کامل این پروژه را دانلود کنید 

انجام پروپوزال،شبیه سازی مقاله و پایان نامه کامپیوتر در کوتاهترین زمان با موضوعات خاص شما. منتظر تماس شما هستیم

ارائه چارچوبی جهت استقرار امنیت اطلاعات
ارائه چارچوبی جهت استقرار امنیت اطلاعات

 

واژگان کلیدی
استانداردISO/ICE 15408، استانداردISO/IEC 17799، استانداردISO/IEC 27002،

پروژه آزاد امنیت نرم‌افزار تحت ‌وب۱ ، مدل تهدید مایکروسافت۲ و مدل تخمین هزینهUse Case Function Point

۱ مقدمه

در سال‌های اخیر شاهد وابستگی چشمگیر سازمان‌های زیادی به سیستم‌های اطاعاتی هستیم[۱]. مباحث امنیتی مرتبط با تکنولوژی اطلاعات

همچنان به‌عنوان نگرانی و چالشی برای تصمیم گیرندگان در جامعه تلقی می‌شوند. نیازمندی‌های امنیتی معمولاً به‌عنوان نیازهای غیرکارکردی در

توسعه نرم‌افزارها در نظر گرفته می‌شوند [۱-۳] و این امر منجر به شکست‌های امنیتی در نرم‌افزارها می‌شود و این مشکل در حال رشد است.

یک شکست امنیتی در واقع یک تخلف یا انحراف از قواعد امنیتی مبتنی بر سیاست‌های امنیتی

شامل دسترسی یا عدم‌دسترسی به منابع است. به گزاش سازمان امنیت کلاه سفیدها، در ارزیابی که در تاریخ ۲۰۰۶ Jun تا Feb2008 در بین ۲۰۰۰ وب سایت انجام دادند، از هر ۱۰ وب سایت ۹‌تای آنها حداقل شامل یک شکست امنیتی بودند.

ارائه چارچوبی جهت استقرار امنیت اطلاعات

بنابرگزارش CERT/CC تعداد شکست‌های نرم‌افزارهای مرتبط با امنیت ۵ برابر در طول ۷ سال گذشته افزایش یافته است[۴].
این در حالی است که شکست‌های نرم‌افزاری منجر به از بین رفتن ۲% تا ۳% سود سالانه‌ی سازمان‌ها می‌شود[۵].

شکست‌های امنیتی در سیستم‌های نرم‌افزاری اتفاقاتی هستند که آرزو داریم جلوی آنها را بگیریم. این در حالی است که معیارهای امن بودن یک

سیستم سایر معیارهای سیستم را تحت‌شعاع خود قرار می‌دهد. این امر لزوم پرداختن به مقوله ارزیابی امنیت سیستم‌های نرم‌افزاری را اجتناب‌ناپذیر ساخته است.

هیچ یک از روش‌ها و استاندارد‌های ارزیابی امنیت ارائه شده تا کنون چارچوب و روشی سیستماتیک جهت ارزیابی امنیت بیان نمی‌کنند.
چهارچوب پیشنهادی در این مقاله با بهره‌گیری از نکات قوت روش‌ها و استاندارهای موجود، چارچوبی روشمند و قابل استفاده با پوشش نواقص روش‌های موجود و تکه بر شناسایی و کنترل ریسک‌ها بطور بهینه جهت ارزیابی امنیت کاربردهای نرم‌افزاری ارائه می‌دهد.

۲- انواع روش‌های ارزیابی امنیت

در سالهای اخیر استانداردها و روش‌های ارزیابی گوناگونی برای بررسی امنیت نرم‌افزارها ارائه شده است. هر یک از آنها با توجه به نگرش، مفاهیم و یا خصوصیاتنرم‌افزارهای خاصی تهیه گردیده‌اند. برخی از آنها دارای شمولیت بیشتر و قابل استفاده‌ برای طیف وسیع‌تری از سیستم‌های نرم‌افزاری هستند.
۲-۱- استاندارد ISO/IEC 17799

استاندارد ISO/IEC17799، استانداردی بین‌المللی است که اولین بار در سال ۲۰۰۰ میلادی از BS7999 گرفته شده است و آخرین ویرایش آن در سال ۲۰۰۵ میلادی با عنوان ISO/IEC17799:2005 در دو بخش منتشر شد. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات

جهت طراحی، پیاده‌سازی، پشتیبانی مسائل امنیتی، ارزیابی میزان امنیت سازمان و ارائه راهکارهایی جهت بهینه‌سازی امنیت در یک سازمان است. استاندارد مزبور نقطه‌ی شروع توسعه‌ی راهکارهای امنیتی هر سازمان است[۶].

۱- یکی از معایب این استاندارد این است که فقط سرفصل‌ها و موضوعات کلی را بیان می‌کند.
۲- همچنین این استاندارد روشی را جهت تخمین هزینه عملکردهای کنترل ریسک ارائه نمی‌دهد.

۳- این استاندارد هیچگونه معیاری را جهت ارزیابی امنیت توصیه نمی‌کند.

ارائه چارچوبی جهت استقرار امنیت اطلاعات

۲-۲- استاندارد ISO/IEC 27002
در سال ۲۰۰۷ میلادی آخرین نسخه استاندارد ISO/IEC 27002 به‌عنوان کامل‌ترین و جامع‌ترین استاندارد سیستم مدیریت امنیت اطلاعات توسط کمیته فنی مشترکISO , IEC تدوین گردید. این استاندارد مدل مقاومی را جهت به تحقق رساندن اهدافی از قبیل کنترل ارزیابی و برآورد ریسک، طرح و اجرای

امنیت و مدیریت و بازنگری امنیت ارائه می‌دهد[۷]. در دو استاندارد یاد شده جهت تحقق اهداف از مدل PDCA3 استفاده شده است. در واقع فرایند

مدیریتی موجود در دو استاندارد قبل مبتی بر استاندارد مدیریتی ISO/IEC15939 است[۸]، مواد زیرا را می‌توان

به‌عنوان کاستی‌های این مدل بیان نمود:
۱-در این مدل، در مرحله آخر(Act)، در صورت نیاز به تطبیق‌ به مرحله Do باز می‌گردد؛ حال آنکه ممکن است اهداف اولیه تغییر کرده باشند. در نتیجه این مدل در بازخورد با مشکل مواجه است.

۲-استفاده از چرخه PDCA به لحاظ سادگی گسترش یافته است، در حالی که سادگی در پروژه‌های پیچیده ناکارآمد[۹].
۳-انباره، حاوی اطلاعات بدست آمده از هر مرحله اجرای فرایند PDCA است. در مدل ISO/IEC 15939، کلیه‌ی اطلاعات و نتایج حاصل از مرحله‌ی ارزیابی، بدون به‌روزرسانی اطلاعات درون انباره ذخیره می‌گردد. به این ترتیب، انباره حجیم شده و در هنگام بازیابی اطلاعات از آن با اتلاف هزینه روبه‌رو می‌شویم.

۴-همچنین در این مدل فرض بر این است که همه چیز با برنامه‌ریزی آغاز می‌شود که این امر باعث ایجاد محدودیت می‌شود. ۵-چرخه PDCA بعلت فقدان اندازه‌گیری در مرحله آخر درسالهای اخیر کمتر مورد استفاده قرار گرفته است.

ارائه چارچوبی جهت استقرار امنیت اطلاعات

۲-۳- استاندارد ISO/IEC 15408
آخرین نسخه‌ی استاندارد معیارهای مشترکISO/IEC 15408 در سال ۲۰۰۹ میلادی

در سه بخش منتشر شد. این استاندارد معیارهایی را ارائه می‌دهد که توسط آن کاربران می‌توانند نیازمندی‌های امنیتی را در محصولات خود پیاده‌سازی کنند و ارزیاب‌ها می‌توانند

ادعاهایی که از جانب تولیدکنندگان پیرامون ‌محصولات ارائه شده است را مورد ارزیابی قرار دهند. این استاندارد معیارهایی را جهت ارزیابی در هفت سطح ارائه می‌دهد. این استاندارد شامل مفاهیمی به شرح زیر ‌است:

• TOE4 یک مجموعه‌ی سخت‌افزاری، نرم‌افزاری یا میان‌افزاری همراه با مستندات راهنمای مربوطه‌اش است که موضوع یک ارزیابی است.

• PP5 مجموعه‌ای از نیازمندی‌های عملیاتی برای دسته‌ای از محصولات TOE، که مستقل از پیاده‌سازی هستند و نیازهای خاصی از مصرف‌کنندگان را برآورده می‌کنند.

• ST6 مجموعه‌ای از نیازمندی‌ها و ویژگی‌های امنیتی است که به‌عنوان مبنایی جهت ارزیابی TOE استفاده می‌شوند[۱۰]:.

برای ارزیابی یک محصول، هر شرکت امنیتی باید خواص امنیتی محصول(TOE) خود را براساس PP,ST ارائه دهد[۱۱].

به‌عنوان معایب این استاندارد می‌توان به موارد زیر اشاره کرد:
۱-این استاندارد ارتباط معیارهای ارزیابی را با فازهای چرخه‌حیات نرم‌افزار بیان نمی‌کند.

۲-نحوه‌ی استخراج تهدیدات امنیتی را بیان نمی‌کند.
۳-نحوه‌ی استخراج معیارهای بیشتر برای ارزیابی سطوح بالاتر را بیان نمی‌کند.

۲-۴- پروژه‌آزاد امنیتی نرم‌افزا تحت‌وب

پروژه‌آزاد امنیتی نرم افزار تحت‌وب یک انجمن گسترده است، که به‌وسیله شرکت‌هایی نظیر VISA, Deloitte, Foumdostone حمایت می‌شود. که هدف آن فراهم کردن زمینه‌ای برای سازمان‌ها است، تا بتوانند نرم‌افزارهای قابل اطمینان توسعه‌دهند و یا خریداری و نگهداری کنند. این پروژه اطلاعات و

آموزش‌های لازم در ارتباط با پراهمیت‌ترین آسیب‌پذیری‌های نرم‌افزارهای تحت‌وب را در اختیار سازمان‌ها، معماران‌، طراحان و توسعه‌دهندگان نرم‌افزار قرار می‌دهد و همچنین یکسری روش‌ها برای مقابله با آسیب‌پذیری‌ها ارائه می‌دهد.

 

۳- کلیات چارچوب پیشنهادی ارزیابی امنیت

امنیت یک ویژگی پیچیده است و فاکتورهای متضاد زیادی نیاز است جهت ارزیابی امنیت سیستم‌ها در نظر گرفته شوند[۱۲]. بسیاری از کاربردهای نرم‌افزاری بدون در نظر گرفتن سرویس‌های امنیتی مانند جامعیت، محرمانگی و کنترل دسترسی توسعه داده شده‌اند.

چارچوب پیشنهادی با استفاده از نقاط قوت روش‌های موجود روشی قابل بهره‌برداری و عملیاتی

را جهت ارزیابی کاربردهای نرم‌افزاری ارائه می‌دهد، به‌گونه‌ای که تا حد زیادی فاقد معایب و کاستی‌های روش‌های قبلی است. چارچوب پیشنهادی فرایند ارزیابی را در هشت گام شامل مراحل زیر بیان می‌کند:
۱- بیان مفاهیم امنیتی جهت ارزیابی

۲- بیان رابطه میان دارائی‌ها و آسیب‌پذیری‌ها

۳-تعریف شاخص‌های امنیتی
۴-ایجاد سیستم مدیریت امنیت اطلاعات
۵-تعیین مستندات لازم جهت ارزیابی هر فاز از چرخه حیات نرم‌افزار

۶-مشخص نمودن مراحل ارزیابی وارسی و اعتبارسنجی به‌همراه آزمون‌های مورد نیاز در هر فاز از چرخه حیات محصول
۷-انجام ارزیابی ریسک
۸-انتخاب و اجرای کنترل ها
۴- مفاهیم امنیتی
بسیاری از کاربردهای نرم‌افزاری بدون در نظر گرفتن سرویس‌های امنیتی مانند

جامعیت، محرمانگی و کنترل دسترسی توسعه داده شده‌اند. زیرا این نیازمندی‌های امنیتی جزء نیازهای غیرکارکردی در مرحله توسعه تلقی می‌شود.
در چارچوب پیشنهادی برای استخراج نیازهای امنیتی جهت تکمیلPP,ST باید مفاهیم امنیتی ذکر شده در شکل (۱)را مد نظر قرار داد.

شکل (۱):نیازمندی‌های امنیتی در کاربردهای نرم‌افزاری و ارتباط آنها با روش‌های ارزیابی

شکل بالا سطوح دسترسی به امنیت در کاربردهای امنیتی را نمایش می‌دهد

. بدیهی است که کاربردهای نرم‌افزاری گوناگون، با‌ توجه به محیط و نوع کاربرد نیازمند سطوح متفاوتی از امنیت هستند. همچنین در لایه سوم شکل بالا تمامیت، محرمانگی و قابلیت دسترسی به‌عنوان سه معیار اصلی فاکتور

امنیت درسیستم‌های کاربردی در نظر گرفته شده‌اند. امنیت با بهره‌گیری از روش‌های متفاوت با توجه به نیاز حوضه عملیاتی تأمین می‌شود.
۵- رابطه میان دارائی‌ها و آسیب‌پذیری‌ها

امنیت به محافظت دارایی‌ها در مقابل تهدید‌‌‌ها مربوط می‌شود، لذا جهت ارزیابی امنیت ابتدا باید دارایی‌‌ها و تهدیدات مربوط به هر دارایی شناسایی شوند. در شکل(۲) رابطه میان دارایی‌ها و آسی……………………………

 

بلافاصله بعد از پرداخت موفق میتوانید فایل کامل این پروژه را با سرعت و امنیت دانلود کنید

 

 

 

 

1 نقد وبررسی برای ارائه چارچوبی جهت استقرار امنیت اطلاعات

  1. سینا جمیلی

    ارائه چارچوبی جهت استقرار امنیت اطلاعات

افزودن نقد و بررسی

ارائه چارچوبی جهت استقرار امنیت اطلاعات

1 نقد و بررسی

ارائه چارچوبی جهت استقرار امنیت اطلاعات

قیمت : تومان150,000