دانلود با لینک مستقیم و پر سرعت .
لینک دانلود و خرید پایین توضیحات
فرمت فایل word و قابل ویرایش و پرینت
تعداد صفحات: 26
مدیریت امنیت در سیستمهای اطلاعاتی
چکیده:
در عصر حاضر سازمان ها با ارزش ترین دارایی خود را جهت پردازش وذخیره سازی در اختیار تجهیزات فناوری اطلاعات قرار داده اند. وابستگی به این فناوری باعث شده است تا اگر در ارایه خدمات خللی پیش آید سازمانها نتوانند به کار خود ادامه دهند. بدین ترتیب حیات سازمان ها ارتباط نزدیکی با سیستم های اطلاعاتی آنها دارد. سیستم های اطلاعاتی نیز همواره در خطر سرقت اطلاعات،تغییر اطلاعات وایجاد وقفه در ارائه خدمات می باشند. از این رو سازمان ها برای ایمن ماندن از این آسیب ها باید به فکر امنیت اطلاعات باشند.
دراین مقاله سعی شده است تا با بررسی استانداردها و مندلوژی های مطرح و پر کاربرد در مدیریت وارزیابی امنیت اطلاعات ، برخی ویژگی های مهم آنها را با کمک مستندات موجود مقایسه کنیم. در این راستا ابتدا استانداردهای ISO/IEC 27001, ISO/IEC 17799 و NIST SP 800-30 که بیشتر مورد توجه محققین و سازمان ها بوده اند، مورد مقایسه قرار گرفتند و در ادامه مقاله به بحث و بررسی پیرامون متدلوژی های مطرح در این حوزه از قبیل CRAMM, OCTAV و CORAS پرداخته شده است.
در پایان نیز یک فرآیند پیشنهادی حاصل از پژوهش های انجام شده جهت اجرای سیستم مدیریت امنیت اطلاعات ارائه گردیده
است.
لغات کلیدی :
امنیت اطلاعات، مدیریت امنیت اطلاعات، استانداردهای امنیت اطلاعات ، روش های استقرار امنیت اطلاعات
مقدمه
گسترش ونفوذ روز افزون فناوری اطلاعات در زندگی بشر و وابستگی سازمان ها به زیر ساخت های اطلاعاتی توجه به جنبه های مختلف آن را طلب می کند و امنیت اطلاعات به عنوان پیش نیاز پذیرش توسعه فناوری اطلاعات،یکی از مهم ترین جنبه های آن است. امروزه یکی از مهم ترین سرمایه های سازمانی،سرمایه های اطلاعاتی آن است و با گسترش استفاده از کسب وکار الکترونیک، نقش این سرمایه روز به روز پررنگ تر می شود. متاسفانه با گسترش جنبه های مختلف استفاده از فناوری اطلاعات، تهدیدات امنیتی آن نیز روز به روز افزایش می یابد و مدیریت وارزیابی خطرات ناشی از این گونه تهدیدات،همواره یکی از دغدغه های اصلی ومدیران سازمان بوده است زیرا این فناوری همانند سایر فناوری ها همچون سکه دو رو دارد: «فرصت» و«تهدید». اگر به همان اندازه که به توسعه و فراگیری آن توجه می کنیم بر امنیت آن توجه نکنیم می تواند به یک تهدید و مصیبت بزرگ تبدیل شود.
در این راستا و با هدف کمک به انجام این نیاز خطیر، برخی سازمانها ، کشورها و موسسات بین المللی ، استانداردها و متدلوژی هایی را در زمینه مدیریت و ارزیابی خطرات امنیت اطلاعات ارائه کرده اند که آشنایی و بکارگیری آنها برای مدیران فناوری اطلاعات سازمان مفید خواهد بود.مشکلی که در این ارتباط وجود دارد، پراکندگی این روشها است که موجب سردرگمی مدیران سیستمهای اطلاعاتی شده و انتخاب روش مناسب را دشوار می کند.
سابقه مطالعات وتحقیقات انجام شده
مدیریت وارزیابی اطلاعات سابقه زیادی نداشته وعمر آن به دو دهه گذشته می رسد. روش های اولیه با دیدگاه بازرسی ایجاد شده ومبتنی بر چک لیست بوده اند. بدین معنی چک لیست هایی در حوزه های مختلف امنیت اطلاعات تهیه شده و وضعیت موجود را با آن مطابقت می دادند.Baskerville اولین فردی بود که در سال 1981 چک لیست هایی در این زمینه ابداع کرد. مشکل استفاده از چک لیست آن بود که متناوباً نیازمند به روزآوری بود.
سپس Backhouse وDhillon مدلی منطقی را در سال 1996 ارائه کردند که به جای استفاده از چک لیست، ساختاری بر مبنای مسئولیت ها و وظایف داشت.nderson،Longley وKwok در سال 1994 نیز مدلی بر مبنای شناسایی وارزیابی منشأ تهدیدات را پیشنهاد کردند. Suh و Han نیز در سال 2003 رویکردی را در ارزیابی ریسک معرفی کردند که استمرار فعالیت های کسب وکار را هدف قرار داده بود..[12]
همچنین برخی کشورها وسازمان های دولتی و موسسات استاندارد نیز متدلوژی ها واستانداردهایی را در طی این دودهه ارائه کرده وبهبود داده اند.Dutch A&K analysis از اولین متدهایی بود که درسال 1980 توسط دولت هلند ارائه گردید که آخرین نسخه آن مربوط به سال 1996می باشد.پس ازآن موسسه ارتباطات ومخابرات انگلستان اولین نسخه متدلوژی مطرح CRAMM را در سال 1985 ارائه کرد که بسیار مورد توجه واقع شد و آخرین نسخه آن در سال 2005 ارائه گردید.
از ابتدای دهه 90 تاکنون، جهش قابل ملاحظه ای در تهیه و ارائه متدلوژی ها و استانداردهای مدیریت و ارزیابی امنیت اطلاعات ایجاد شده است و استانداردها و متدلوژی های Marion محصول 1990 فرانسه،7799 BS محصول انگلستان در سال 1993، IT-Grundschutz محصول آلمان در سال 1994، Ebios محصول فرانسه در سال 1995،Mehari محصول فرانسه درسال 1996، 13335ISO TR محصول موسسه ISO در سال 1998،octave محصول آمریکا در سال 1999 و30- 800nist sp محصول آمریکا درسال 2002 از جمله روش هایی بودند که به ترتیب در طی سال ها به وجود آمده، وبه روزآوری می شوند.[2]
طی سالهای اخیر موسسه ISO سری استاندارد 27000ISO را تدوین نموده است که مجموعه استانداردهای 27001ISO تا 27007ISO به جنبه های مختلف موضوع مدیریت و ارزیابی امنیت اطلاعات می پردازد که از این مجموعه، تنها 27001 ISO با عنوان سیستم مدیریت امنیت اطلاعات ارائه شده است. [14]
مبانی نظری پژوهش
رویکردهای مختلف مدیریت ریسک در امنیت اطلاعات
سازمان ها و به طور خاص مدیران اجرایی با رویکردهای مختلفی جهت اعمال مدیریت ریسک در امنیت اطلاعات مواجهند که می توان آن ها را به دو دسته کلی تقسیم کرد که عبارتند از استانداردها و متدولوژی ها. هر یک از این رویکردها دارای مستندات، فرایندها ومحصولات ویژه ای هستند و همچنین برخی خصوصیات مشترک وجود دارند که در همه آن ها مشترک هستند. [1]
استانداردها معمولاً قالب و چهارچوب کار و فرایندهای کلی مدیریت و ارزیابی ریسک را نشان می دهند که جهت درست و اصولی انجام کار را مشخص کرده و از انحراف جلوگیری می کند. استانداردها به چگونگی پیاده سازی نمی پردازند و فقط اصول معیارهای روش درست پیاده سازی را تعیین می کنند.
حال آنکه متدلوژی ها بیشتر از بعد فنی و چگونگی پیاده سازی به مسئله نگاه کرده و در سطوح عملیاتی و فنی جای می گیرند. انتخاب ترکیبی مناسبی از استاندارد و متدولوژی می تواند بهترین راهکار برای مدیریت و ارزیابی موفق امنیت اطلاعات باشد.[1]
استانداردها و متدولوژی های زیادی در حوزه مدیریت و ارزیابی امنیت اطلاعات ارائه شده است. با توجه به تعداد زیاد آنها، بررسی همه آنها ممکن نیست و در این مقاله سعی خواهد شد تا برخی از مهمترین نمونه ها را که بیشتر مورد توجه محققین و سازمان ها بوده اند، مرور نمائیم.
استانداردها
در این قسمت استانداردهای NIST SP 800-30 , ISO/IEC 27001, ISO/IEC 17799 معرفی می شوند:
ISO/IEC 17799:2005(BS 7799-1)
استاندارد 17799ISO/IEC از استاندارد 1- 7799BS نشأت گرفته است. موسسه استاندارد انگلستان (BSI) در سال 2000 استاندارد 1-7799BS را دقیقاً با همان عنوان Code of practice for information security" "management به موسسه بین المللی ISO ارائه کرد که با تصویب این موسسه بدون هیچگونه تغییری به عنوان استاندارد ISO/IEC 17799:2000 معرفی شد که البته این اقدام به جهت برخی ضعف های موجود در این استاندارد، مورد اعتراض کشورهای مهمی چون امریکا، آلمان، فرانسه، کانادا و ژاپن که خود دارای استانداردهای امنیتی مشابه بودند قرار گرفت که پس از اعمال تغییرات لازم، نسخه اصلاح شده آن به عنوان ISO/IEC 17799:2005 ارائه شد و در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO /IEC 27002 بر اساس آن در جولای 2007 عرضه شد.[11]
این استاندارد یک استانداردی بین المللی است که اصولی کلی و راهنمایی هایی عمومی را جهت راه اندازی، پیاده سازی، مدیریت و بهبود مدیریت امنیت اطلاعات در سازمان ارائه کرده است[7]. این استاندارد مجموعه ای از خط مشی ها و کنترل های عمومی را بدون پرداختن به جزئیات پیاده سازی در حوزه های مختلف ارائه کرده است و تأکید دارد که استفاده از همه این کنترل ها اجباری نیست و همچنین تمام کنترل هایی که ممکن است برای یک سازمان مفید باشد را نمی پوشاند.
استاندارد ISO/IEC 17799:2005 دارای بخش های مختلفی مانند خط مشی امنیتی، امنیت اطلاعات سازمانی، مدیریت سرمایه، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات و ارتباطات، کنترل دسترسی، اکتساب، توسعه و نگهداری سیستم های اطلاعاتی، مدیریت حوادث امنیتی اطلاعات و مدیریت استمرار کسب و کار می باشد. اما قبل از پرداختن به این بخش ها، بحث ارزیابی و تدبیر ریسک را به عنوان یکی از بخش های اصلی خود مطرح ساخته است. در این بخش، هیچ متدولوژی و یا روش خاص برای ارزیابی ریسک معرفی نشده و صرفاً شرایط لازم برای انجام ارزیابی ریسک را به این ترتیب مطرح کرده است:
ارزیابی ریسک باید بتواند فرایندهای شناسایی، ارزش گذاری و اولویت بندی ریسک ها را مطابق ضوابط پذیرش ریسک و اهداف سازمانی به اجرا درآورد. همچنین نتایج ارزیابی باید بتواند اقدامات
پرداخت آنلاین 
