توضیحات
ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها
سازمان ها هر روز نسبت به دارائیهای اطلاعاتی خود با تهدیدهایی مواجه میشوند.
این در حالی است که بهشدت به این دارائیها وابسته و متکی
هستند. بشتر سیستمهای اطلاعاتی ذاتاً ایمن نیستند، و راهحلهای فنی تنها بخشی از راهحلهای جامع امنیت اطلاعات هستند، لذا تدوین اطلاعات
امری ضروری بوده و سازمانها برای اجرای آنها بایستی محیط تهدید منحصر به خود را بشناسند.
این محیطهای تهدید از طریق تحلیل سیستماتیک و
ارزیابی ریسکهای امنیتی تعیین میشوند، و از آنجا با توجه به مشخص شدن حوزههای ریسک،
کنترلهای مناسب بهمنظور کاهش اثر ریسکهای شناسایی شده، انتخاب خواهند شد.
ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها
تاکنون روشها و استانداردهای جهت ارزیابی امنیت ارائه شدهاند،
اما هیچ یک از آنها چارچوب و روشی سیستماتیک جهت ارزیابی امنیت و کاهش بهینه ریسکهای امنیتی ارائه نمیدهند.
در این مقاله چارچوبی جهت ارزیابی کاستیها، حفرهها و ریسکهای امنیتی،
بههمراه الگوریتمی جهت انتخاب بهینه کنترلهای کاهش ریسک ارائه شده است.
چارچوب پیشنهادی استانداردها و روشهای موجود از قبیل استانداردهای امنیتی ISO/IEC 15408، ISO/IEC 17799 ، ISO/IEC 27002 ، مدل تهدیدات مایکروسافت و مدل تخمین هزینهUse Case Function Point مورد استفاده قرار گرفتهاند.
۱۲صفحه فایل ورد (Word) فونت ۱۴ منابع دارد +شکل و تصاویر
پس از پرداخت آنلاین میتوانید فایل کامل این پروژه را دانلود کنید
انجام پروپوزال،شبیه سازی مقاله و پایان نامه کامپیوتر در کوتاهترین زمان با موضوعات خاص شما. منتظر تماس شما هستیم
واژگان کلیدی
استانداردISO/ICE 15408، استانداردISO/IEC 17799، استانداردISO/IEC 27002،
پروژه آزاد امنیت نرمافزار تحت وب۱ ، مدل تهدید مایکروسافت۲ و مدل تخمین هزینهUse Case Function Point
۱– مقدمه
در سالهای اخیر شاهد وابستگی چشمگیر سازمانهای زیادی به سیستمهای اطاعاتی هستیم[۱]. مباحث امنیتی مرتبط با تکنولوژی اطلاعات
همچنان بهعنوان نگرانی و چالشی برای تصمیم گیرندگان در جامعه تلقی میشوند. نیازمندیهای امنیتی معمولاً بهعنوان نیازهای غیرکارکردی در
توسعه نرمافزارها در نظر گرفته میشوند [۱-۳] و این امر منجر به شکستهای امنیتی در نرمافزارها میشود و این مشکل در حال رشد است.
یک شکست امنیتی در واقع یک تخلف یا انحراف از قواعد امنیتی مبتنی بر سیاستهای امنیتی
شامل دسترسی یا عدمدسترسی به منابع است. به گزاش سازمان امنیت کلاه سفیدها، در ارزیابی که در تاریخ ۲۰۰۶ Jun تا Feb2008 در بین ۲۰۰۰ وب سایت انجام دادند، از هر ۱۰ وب سایت ۹تای آنها حداقل شامل یک شکست امنیتی بودند.
ارائه چارچوبی جهت استقرار امنیت اطلاعات
بنابرگزارش CERT/CC تعداد شکستهای نرمافزارهای مرتبط با امنیت ۵ برابر در طول ۷ سال گذشته افزایش یافته است[۴].
این در حالی است که شکستهای نرمافزاری منجر به از بین رفتن ۲% تا ۳% سود سالانهی سازمانها میشود[۵].
شکستهای امنیتی در سیستمهای نرمافزاری اتفاقاتی هستند که آرزو داریم جلوی آنها را بگیریم. این در حالی است که معیارهای امن بودن یک
سیستم سایر معیارهای سیستم را تحتشعاع خود قرار میدهد. این امر لزوم پرداختن به مقوله ارزیابی امنیت سیستمهای نرمافزاری را اجتنابناپذیر ساخته است.
هیچ یک از روشها و استانداردهای ارزیابی امنیت ارائه شده تا کنون چارچوب و روشی سیستماتیک جهت ارزیابی امنیت بیان نمیکنند.
چهارچوب پیشنهادی در این مقاله با بهرهگیری از نکات قوت روشها و استاندارهای موجود، چارچوبی روشمند و قابل استفاده با پوشش نواقص روشهای موجود و تکه بر شناسایی و کنترل ریسکها بطور بهینه جهت ارزیابی امنیت کاربردهای نرمافزاری ارائه میدهد.
۲- انواع روشهای ارزیابی امنیت
در سالهای اخیر استانداردها و روشهای ارزیابی گوناگونی برای بررسی امنیت نرمافزارها ارائه شده است. هر یک از آنها با توجه به نگرش، مفاهیم و یا خصوصیاتنرمافزارهای خاصی تهیه گردیدهاند. برخی از آنها دارای شمولیت بیشتر و قابل استفاده برای طیف وسیعتری از سیستمهای نرمافزاری هستند.
۲-۱- استاندارد ISO/IEC 17799
استاندارد ISO/IEC17799، استانداردی بینالمللی است که اولین بار در سال ۲۰۰۰ میلادی از BS7999 گرفته شده است و آخرین ویرایش آن در سال ۲۰۰۵ میلادی با عنوان ISO/IEC17799:2005 در دو بخش منتشر شد. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات
جهت طراحی، پیادهسازی، پشتیبانی مسائل امنیتی، ارزیابی میزان امنیت سازمان و ارائه راهکارهایی جهت بهینهسازی امنیت در یک سازمان است. استاندارد مزبور نقطهی شروع توسعهی راهکارهای امنیتی هر سازمان است[۶].
۱- یکی از معایب این استاندارد این است که فقط سرفصلها و موضوعات کلی را بیان میکند.
۲- همچنین این استاندارد روشی را جهت تخمین هزینه عملکردهای کنترل ریسک ارائه نمیدهد.
۳- این استاندارد هیچگونه معیاری را جهت ارزیابی امنیت توصیه نمیکند.
ارائه چارچوبی جهت استقرار امنیت اطلاعات
۲-۲- استاندارد ISO/IEC 27002
در سال ۲۰۰۷ میلادی آخرین نسخه استاندارد ISO/IEC 27002 بهعنوان کاملترین و جامعترین استاندارد سیستم مدیریت امنیت اطلاعات توسط کمیته فنی مشترکISO , IEC تدوین گردید. این استاندارد مدل مقاومی را جهت به تحقق رساندن اهدافی از قبیل کنترل ارزیابی و برآورد ریسک، طرح و اجرای
امنیت و مدیریت و بازنگری امنیت ارائه میدهد[۷]. در دو استاندارد یاد شده جهت تحقق اهداف از مدل PDCA3 استفاده شده است. در واقع فرایند
مدیریتی موجود در دو استاندارد قبل مبتی بر استاندارد مدیریتی ISO/IEC15939 است[۸]، مواد زیرا را میتوان
بهعنوان کاستیهای این مدل بیان نمود:
۱-در این مدل، در مرحله آخر(Act)، در صورت نیاز به تطبیق به مرحله Do باز میگردد؛ حال آنکه ممکن است اهداف اولیه تغییر کرده باشند. در نتیجه این مدل در بازخورد با مشکل مواجه است.
۲-استفاده از چرخه PDCA به لحاظ سادگی گسترش یافته است، در حالی که سادگی در پروژههای پیچیده ناکارآمد[۹].
۳-انباره، حاوی اطلاعات بدست آمده از هر مرحله اجرای فرایند PDCA است. در مدل ISO/IEC 15939، کلیهی اطلاعات و نتایج حاصل از مرحلهی ارزیابی، بدون بهروزرسانی اطلاعات درون انباره ذخیره میگردد. به این ترتیب، انباره حجیم شده و در هنگام بازیابی اطلاعات از آن با اتلاف هزینه روبهرو میشویم.
۴-همچنین در این مدل فرض بر این است که همه چیز با برنامهریزی آغاز میشود که این امر باعث ایجاد محدودیت میشود. ۵-چرخه PDCA بعلت فقدان اندازهگیری در مرحله آخر درسالهای اخیر کمتر مورد استفاده قرار گرفته است.
ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها
۲-۳- استاندارد ISO/IEC 15408
آخرین نسخهی استاندارد معیارهای مشترکISO/IEC 15408 در سال ۲۰۰۹ میلادی
در سه بخش منتشر شد. این استاندارد معیارهایی را ارائه میدهد که توسط آن کاربران میتوانند نیازمندیهای امنیتی را در محصولات خود پیادهسازی کنند و ارزیابها میتوانند
ادعاهایی که از جانب تولیدکنندگان پیرامون محصولات ارائه شده است را مورد ارزیابی قرار دهند. این استاندارد معیارهایی را جهت ارزیابی در هفت سطح ارائه میدهد. این استاندارد شامل مفاهیمی به شرح زیر است:
• TOE4 یک مجموعهی سختافزاری، نرمافزاری یا میانافزاری همراه با مستندات راهنمای مربوطهاش است که موضوع یک ارزیابی است.
• PP5 مجموعهای از نیازمندیهای عملیاتی برای دستهای از محصولات TOE، که مستقل از پیادهسازی هستند و نیازهای خاصی از مصرفکنندگان را برآورده میکنند.
• ST6 مجموعهای از نیازمندیها و ویژگیهای امنیتی است که بهعنوان مبنایی جهت ارزیابی TOE استفاده میشوند[۱۰]:.
برای ارزیابی یک محصول، هر شرکت امنیتی باید خواص امنیتی محصول(TOE) خود را براساس PP,ST ارائه دهد[۱۱].
بهعنوان معایب این استاندارد میتوان به موارد زیر اشاره کرد:
۱-این استاندارد ارتباط معیارهای ارزیابی را با فازهای چرخهحیات نرمافزار بیان نمیکند.
۲-نحوهی استخراج تهدیدات امنیتی را بیان نمیکند.
۳-نحوهی استخراج معیارهای بیشتر برای ارزیابی سطوح بالاتر را بیان نمیکند.
۲-۴- پروژهآزاد امنیتی نرمافزا تحتوب
پروژهآزاد امنیتی نرم افزار تحتوب یک انجمن گسترده است، که بهوسیله شرکتهایی نظیر VISA, Deloitte, Foumdostone حمایت میشود. که هدف آن فراهم کردن زمینهای برای سازمانها است، تا بتوانند نرمافزارهای قابل اطمینان توسعهدهند و یا خریداری و نگهداری کنند. این پروژه اطلاعات و
آموزشهای لازم در ارتباط با پراهمیتترین آسیبپذیریهای نرمافزارهای تحتوب را در اختیار سازمانها، معماران، طراحان و توسعهدهندگان نرمافزار قرار میدهد و همچنین یکسری روشها برای مقابله با آسیبپذیریها ارائه میدهد.
۳- کلیات چارچوب پیشنهادی ارزیابی امنیت
امنیت یک ویژگی پیچیده است و فاکتورهای متضاد زیادی نیاز است جهت ارزیابی امنیت سیستمها در نظر گرفته شوند[۱۲]. بسیاری از کاربردهای نرمافزاری بدون در نظر گرفتن سرویسهای امنیتی مانند جامعیت، محرمانگی و کنترل دسترسی توسعه داده شدهاند.
چارچوب پیشنهادی با استفاده از نقاط قوت روشهای موجود روشی قابل بهرهبرداری و عملیاتی
را جهت ارزیابی کاربردهای نرمافزاری ارائه میدهد، بهگونهای که تا حد زیادی فاقد معایب و کاستیهای روشهای قبلی است. چارچوب پیشنهادی فرایند ارزیابی را در هشت گام شامل مراحل زیر بیان میکند:
۱- بیان مفاهیم امنیتی جهت ارزیابی
۲- بیان رابطه میان دارائیها و آسیبپذیریها
۳-تعریف شاخصهای امنیتی
۴-ایجاد سیستم مدیریت امنیت اطلاعات
۵-تعیین مستندات لازم جهت ارزیابی هر فاز از چرخه حیات نرمافزار
۶-مشخص نمودن مراحل ارزیابی وارسی و اعتبارسنجی بههمراه آزمونهای مورد نیاز در هر فاز از چرخه حیات محصول
۷-انجام ارزیابی ریسک
۸-انتخاب و اجرای کنترل ها
۴- مفاهیم امنیتی
بسیاری از کاربردهای نرمافزاری بدون در نظر گرفتن سرویسهای امنیتی مانند
جامعیت، محرمانگی و کنترل دسترسی توسعه داده شدهاند. زیرا این نیازمندیهای امنیتی جزء نیازهای غیرکارکردی در مرحله توسعه تلقی میشود.
در چارچوب پیشنهادی برای استخراج نیازهای امنیتی جهت تکمیلPP,ST باید مفاهیم امنیتی ذکر شده در شکل (۱)را مد نظر قرار داد.
شکل (۱):نیازمندیهای امنیتی در کاربردهای نرمافزاری و ارتباط آنها با روشهای ارزیابی
شکل بالا سطوح دسترسی به امنیت در کاربردهای امنیتی را نمایش میدهد
. بدیهی است که کاربردهای نرمافزاری گوناگون، با توجه به محیط و نوع کاربرد نیازمند سطوح متفاوتی از امنیت هستند. همچنین در لایه سوم شکل بالا تمامیت، محرمانگی و قابلیت دسترسی بهعنوان سه معیار اصلی فاکتور
امنیت درسیستمهای کاربردی در نظر گرفته شدهاند. امنیت با بهرهگیری از روشهای متفاوت با توجه به نیاز حوضه عملیاتی تأمین میشود.
۵- رابطه میان دارائیها و آسیبپذیریها
امنیت به محافظت داراییها در مقابل تهدیدها مربوط میشود، لذا جهت ارزیابی امنیت ابتدا باید داراییها و تهدیدات مربوط به هر دارایی شناسایی شوند. در شکل(۲) رابطه میان داراییها و آسی……………………………
بلافاصله بعد از پرداخت موفق میتوانید فایل کامل این پروژه را با سرعت و امنیت دانلود کنید
اولین نفر باشید که نقد و بررسی ارسال میکنید... “ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها”
ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها
ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و کاهش بهینه آن مبتنی بر استانداردها
قیمت : تومان120,000
نقد وبررسی
نقد بررسی یافت نشد...