ارائه مدل بلوغ امنیت سایبری برای زیرساختهای حیاتی
محورهای موضوعی : زيرساختهاي توسعه فناوري و نهادهاي پشتيبان توسعه فناوري
محمد اختری
1
,
محمدعلی کرامتی
2
,
سید عبداله امین موسوی
3
1 - گروه مدیریت فناوری اطلاعات، واحد تهران مرکزی، دانشگاه آزاد اسلامی، تهران، ایران
2 - گروه مدیریت صنعتی، واحد تهران مرکزی، دانشگاه آزاد اسلامی، تهران، ایران
3 - گروه مدیریت فناوری اطلاعات، واحد تهران مرکزی، دانشگاه آزاد اسلامی، تهران، ایران
کلید واژه: امنیت سایبری, زیرساختهای حیاتی, مدل بلوغ امنیت سایبری, مطالعه تطبیقی.,
چکیده مقاله :
با پیشرفت بشر در عصر اطلاعات و ورود به عصر اطلاعات دیجیتال، وابستگی به زیرساختهای ملی بیش از گذشته اهمیت یافته است. عدم وجود امنیت سایبری در زیرساختها، سبب اختلال در کارکرد بخشهای گوناگون نظیر دولت، اقتصاد و خدماترسانی میشود. با ایجاد اختلال در زیرساختهای حیاتی، ممکن است زیانهای جبرانناپذیری در زمینههای مختلف از قبیل تلفات انسانی، خسارتهای اقتصادی و از دستدادن اعتماد عمومی ایجاد شود. بدین ترتیب فناوری اطلاعات و امنیت سایبری جایگاه ویژهای در عرصه دیجیتال یافته است. بر همین اساس یکی از مهمترین چالشهایی که امروزه کشورهای مختلف با آن روبرو هستند که میتواند امنیت ملی را نیز مورد آسیب قرار دهد، حملات سایبری است. این پژوهش به دنبال ارائه مدل بلوغ امنیت سایبری برای زیرساختهای حیاتی میباشد. در این پژوهش پنج مورد از مهمترین مدلهای بلوغ امنیت سایبری مورد واکاوی قرار گرفته است. پژوهش صورتگرفته نشان میدهد که مدلهای بلوغ امنیت سایبری شباهت قابل توجهی به یکدیگر دارند با بررسی تطبیقی و مقایسهای بین مدلهای مورد واکاوی، 48 شاخص احصاء گردید، بررسی این شاخصها نشان میدهد برخی از آنها دارای همپوشانی با سایر شاخصها میباشند. بنابراین شاخصهای دارای همپوشانی براساس فراوانی در 16 گروه دستهبندی شد. سپس این گروهها به روش تجزیه و تحلیل خوشهبندی و با توجه به دادههای بهدست آمده، مورد تحلیل و آنالیز قرار گرفت و در پنج سطح ساماندهی گردید، از اینرو سطوح معرفیشده تمامی ویژگیها و شاخصهای مدلهای واکاوی شده را در بر میگیرد. از سطوح بهدست آمده و با توجه به شاخصهای معین شده در هر سطح، مدل بلوغ امنیت سایبری برای زیرساختهای حیاتی پیشنهاد گردید.
With the advancement of mankind in the information age and the advent of the digital information age, dependence on national infrastructure has become more important than ever. Lack of cyber security in infrastructure, disrupts the functioning of various sectors such as government, economy and services. By disrupting critical infrastructure, irreparable damage may occur in areas such as human casualties, economic damage, and loss of public confidence. Thus, information technology and cyber security have a special place in the digital arena. Accordingly, one of the most important challenges of different countries today, which can also harm national security, is cyber-attacks. This study explores to provide a cyber security maturity model for critical infrastructure. This study examines and analyzes five crucial models of cyber security maturity.The research shows that the cybersecurity maturity models are significantly similar to each other. By comparative study and comparison between the analyzed models, 48 indicators were obtained. Examination of these indicators shows that some of them overlap with other indicators. Therefore overlapping indices were classified into 16 groups based on frequency. Then, these groups by clustering analysis method and according to the obtained data, using SPSS software were organized in five levels, based on which the cyber security maturity model for critical infrastructure was presented.
1- داناییفرد، حسن، تئوری سازمان: مدرن، نمادین- تفسیری و پست مدرن، چاپ دهم، 1389، انتشارات کتاب مهربان نشر.
2- اخوان، فاطمه، رضا، رادفر "ارائه مدلی برای پایش بلوغ امنیت اطلاعات"، فصلنامه رشد فناوری، شماره 64، شماره صفحه 41-51، تهران، 1399.
3- احمدینیک، مهرداد، بیژنی، شهریار "طراحی و پیادهسازی یک برنامهریز برای هوشمندسازی انتخاب کنترلهای امنیتی: قابل استفاده در پلیس هوشمند"، نشریه علمی فناوری اطلاعات و ارتباطات انتظامی، دوره دوم، شماره پنج، صفحات 79-89، تهران، بهار 1400.
4- افشار، احمد و دیگران "بررسی انواع راهکارهای افزایش امنیت در سیستمهای کنترل صنعتی و زیرساختهای حیاتی"، نشریه علمی پدافند غیرعامل، شماره دوم، صفحات 1-9، تهران، بهار 1400.
5- آقایی، محسن و دیگران "ارائه مدل مفهومی منطقی طبقهبندی تهدیدات سایبری زیرساختهای حیاتی"، نشریه علمی امنیت ملی، شماره دوم، صفحات 201-231، تهران، تابستان 1398.
6- فرامرز قراملکی، احد، روششناسی مطالعات دینی، دانشگاه علوم اسلامی رضوی، چاپ دوم، 1385، انتشارات بوستان حمید.
7- B. Poston “Maslow’s hierarchy of needs”. Surgical Technologis 2009, 353-347: (8)41.
8- Nye, J. Wan, J. “The Rise of China’s Soft Power and Its Implications for the United States”, in Richard Rosecrans and Gu Guoliang, Power and Restraint: A Shared Vision for the U.S.–China Relationship (New York: Public Affairs), pp 28-30. 2006.
9- Whitman, M. Mattord, H., "Roadmap to Information Security: For IT and Infosec Managers", Cengage Learning Publishing, 2011.
10- H. R Javaheri and Others, “Improvement in the Ransomwares Detection Method with New API Calls Feature”, Journal of Electronical & Cyber Defense, Vol 8, 2021.
11- ITU Corporate Annual Report 2008, https://www.itu.int/osg/csd/stratplan/AR2008_web.pdf.
12- ISO/IEC 27032: 2012, Information technology – Security techniques – Guidelines for cybersecurity, https://www.iso.org/standard/44375.html.
13- Ozkan, Y. Bilge, Sprut, M., “A Questionnaire Model for Cybersecurity Maturity Assessment of Critical Infrastructures,” Springer Nature Switzerland AG Conference paper, 2019.
14- Marcelo, A. and Others, “Comparative Study of Cybersecurity Capability Maturity Models” journal of Springer International Publishing AG – pp. 110-113, 2017.
15- Bilge, K. and Others,” A vulnerability-driven cyber security maturity model for measuring national critical infrastructure protection preparedness”, international journal of critical infrastructure protection, ScienceDirect, Elsevier, pp 47 – 59, 2019.
16- Aliyu, A. and Others, “A Holistic Cybersecurity Maturity assessment framwork for higher education institution in United Kingdom”. Applied Sciences, 2017.
17- Bridget, J., Information Security Maturity Model for Healthcare Organizations in the United State, Ph.D. Thesis, University of Portland State, 2021.
18- ITU “Guide to developing a national cybersecurity strategy 2end edition”, https://ncsguide.org/wp-content/uploads/2021/11/2021-NCS-Guide.pdf, 2021.
19- Knight, J. and Others, “Summaries of Three Critical Infrastructure Applications”, Computer Science Report, No. Cs-97-17, 1997.
20- US Department of Homeland Security, “Cybersecurity Capability Maturity Model: Version 1.0. White paper, Department of Homeland Security”, 2014.
21- Soldatos, J. and Others, Cyber-Physical Threat Intelligence for Critical Infrastructures Security: A Guide to Integrated Cyber-Physical Protection of Modern Critical Infrastructures, Now Publishers Publishing, 2020.
22- Paulk, M.C and Others, “Capability Maturity Model version 1.1 IEEE Softw”. Los Alamitos Journal, Vol 10, pp. 18–27, 1993.
23- U.S Department of Energy, Office of Cybersecurity, Energy Security and Emergency Response,” Cybersecurity Capability Maturity Model (C2M2)”, 2021.
24- White, G.B, “The community cyber security maturity model”, IEEE International Conference on Technologies for Homeland Security, HST, pp.173–178, 2007.
25- United States Agency for International Development (USAID), “understanding cybersecurity maturity models within the context of energy regulation”, 2020.
26- Ozkan, Y., Bilge, Lingen, S., Sprut, M., “The Cybersecurity Focus Area Maturity (CYSFAM) Model” Journal of Cybersecurity and Privacy, Vol 1, pp. 119-139, 2021.
27- U.S, Department of Defense, “Cybersecurity Maturity Model Certification (CMMC)”, DoD, 2020.
