ارائه مدلی برای پایش بلوغ امنیت اطلاعات
الموضوعات :
1 - دانشگاه علوم تحقیقات
2 - دانشجوي دكتراي مديريت فناوري اطلاعات- مديريت خدمات و توسعه فناوري, دانشگاه آزاداسلامی واحد تهران مركزي
الکلمات المفتاحية: امنيت اطلاعات سیستم مدیریت امنیت اطلاعات (ISMS) مدل بلوغ مدل بلوغ امنيت اطلاعات استاندارد ISO27001,
ملخص المقالة :
امروزه امنیت اطلاعات یکی از چالشهای اصلی در عصر دانایی و اطلاعات محسوب میشود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتنابناپذیر به شمار میرود. هدف و انگیزه این مقاله به دلیل ارائه مدل بلوغ امنیت اطلاعات برای پایش اجرای امنیت در سازمانها و ارائه بهترین شیوههای پیادهسازی امنیت است. پژوهش حاضر که در یکی از شرکتهای زیرمجموعه صنعت نفت انجام شده است، به صورت روش آميخته كيفي ـ كمي انجام شده است. به منظور جمعآوری دادهها از روش کتابخانهای، مطالعات میدانی، پرسشنامه و مصاحبه استفاده شده است و مقالات، اسناد، دستورالعملها و مبانی مربوط به شناسایی چالشهای امنیت فناوری اطلاعات براساس الزامات استاندارد ISO 27001 در این مجموعه ستادی مورد بررسی قرار گرفته است. براي شناسايي موانع و کاستیهای امنيتي يك سازمان خاص، مدلهاي مختلفي ارائه شده است. هدف، شناسايي يك فاصله بين تئوري و عمل ميباشد كه ميتواند از طريق رويكرد فرايند محور به هم نزديك شوند. مدل بلوغي كه در اين پروژهش معرفي و مورد استفاده قرار ميگيرد، يك نقطه شروع براي پيادهسازي امنيت، يك ديدگاه عمومي از امنيت و يك چارچوب براي اولويتبندي عمليات، فراهم ميسازد. اين مدل بلوغ امنيت اطلاعات داراي 5 فاز ميباشد. مدل بلوغ امنيت اطلاعات بهعنوان ابزاري جهت ارزيابي توانايي سازمانها براي مطابقت با اهداف امنيت، يعني، محرمانگي، يكپارچگي و در دسترسبودن و جلوگيري از حملات و دستيابي به مأموريت سازمان عليرغم حملات و حادثهها ميباشد. نتایج ارزیابی نشان میدهد که سازمانهایی که سرمایهگذاریهای امنیتی را در پیش رو دارند، باید ضرورت بهكارگيري امنيت اطلاعات در سازمان توسط مديران عالي درك شده باشد، و علاوه بر اقداماتي که در زمينه امنيت محيط فيزيكي، شبكه و كامپيوترهاي شخصي و كنترلهاي دسترسي و رمزنگاري صورت گرفته است آموزش و فرهنگسازی لازم پیادهسازی شود.
1- هیأتوزیران, تصویبنامه. "تصویبنامه درخصوص تعیین سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور." مرکز پژوهشهای مجلس شورای اسلامی ایران. 1387.
2- سازمان فناوري اطلاعات ايران، "سامانه مدیریت امنیت اطلاعات دستگاههای اجرایی." درگاه پایش جامعه اطلاعاتی جمهوری اسلامی ایران. 1394.
3- Nader, Sohrabi Safa, Rossouw Von Solms, and Steven Furnell. "Information security policy compliance model in organizations." Elsevier (computers & security 56 (2016)), 2015: 1-13.
4- Werlinger, Rodrigo, and and et al. "Security Practitioners in Context:Their Activities and Interactions withOther Stake holders within Organizations." International Journal of Human-Computer Studies, 2009: 584-606.
5- Arachchilage, Nalin Asanka Gamagedara, and and et al. "Phishing threat avoidance behaviour: An empirical investigation." Elsevier (Computers in Human Behavior 60 (2016)), 2015: 185-197.
6- ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems – Requirements, 2013.
7- bsi. (2017). Available at: https://www.bsigroup.com/en-VN/ISOIEC-27001-Information-Security/
8- Proença, D., & Borbinha, J. (2018, June). Information Security Management Systems - A Maturity Model Based on ISO/IEC 27001. In Business Information Systems (pp. 102-114). doi:10.1007/978-3-319-93931-5_8
9- Rosenzweig, Roy . "Scarcity or Abundance? Preserving the Past in a Digital Era." The American Historical Review, 2003: 735–762.
10- Anderson, Ross, et al. "Measuring the Cost of Cybercrime." The Economics of Information Security and Privacy, October 2013: 265-300.
11- PERLROTH, NICOLE. Hackers in China Attacked The Times for Last 4 Months. TECHNOLOGY, New York: The New York Times Company, JAN. 30, 2013.
12- SANGER, DAVID E. In Cyberspace, New Cold War. New York: The New York Times Company, FEB. 24, 2013.
13- Saleh, Malik F. "Information Security Maturity Model." International Journal of Computer Science and Security (IJCSS), July / August 2011: 316 - 337 .
14- H. van Loon, “Process Assessment and Improvement: A Practical Guide,” Jan. 2015.
15- 16. J. Becker, R. Knackstedt, J. Pöppelbuβ, “Developing maturity models for IT management: A procedure model and its application,” Business and Information Systems Engineering, Vol. 3, pp 213-222, 2009
16- "https://www.commoncriteriaportal.org/ccra/." https://www.commoncriteriaportal.org/. 2005.
17- CMMI Product Team, “CMMI for Development, Version 1.3,” Carnegie Mellon Univ., no. November, p. 482, 2010.
18- https://www.isaca.org/resources/cobit. (2020). Retrieved from ISACA.
19- Xiao-yan, Ge, Yuan Yu-qing, and Lu Li-lei. "An Information Security Maturity Evaluation Model." 2011 International Conference on Advances in Engineering. Procedia Engineering, 2011. 335-339.
20- Hefner, R. and Monroe." System security engineering capability maturity model." Software Process Improvement. 1997.
21- Johnson, L A, Kelley L Dempsey, Ronald S, and Ross S. "https://www.nist.gov/publications/guide-security-focused-configuration-management-information-systems." https://www.nist.gov/. August 12, 2011.
22- Office, Cabinet, and National security and intellige. "https://www.gov.uk/government/publications/hmg-personnel-security-controls." https://www.gov.uk/. April 1, 2013.
23- Wiley, John, and Sons. Capability Maturity Model® Integration (CMMI), Version 1.1--Continuous Representation. Technical, Carnegie Mellon University, 05 February 2002.
24- ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems – Requirements, 2005.
25- Freeman, J.W., Neely, R.B., & Heckard, M.A. “A Validated Security Policy Modeling Approach.” Proceedings of the 10th Annual Computer Security Applications Conference, Orlando, FL, 189-200., (1994).
26- Bruce, Glen, & Dempsey, Rob. “Security in Distributed Computing: Did You Lock the Door?” Upper Saddle, River, NJ: Prentice Hall PTR, Prentice-Hall, Inc., (1997)
