|
|
|
|
ارائه چهارچوبی مفهومی جهت ایمنسازی سیستمهای اطلاعاتی در سازمانهای مبتنی بر رویکرد فراترکیب
|
|
|
|
|
|
|
|
نویسنده
|
صدیقی گاریز سیما ,زارع حمید ,عربسرخی ابوذر ,محمودی محمد
|
|
منبع
|
امنيت ملي - 1399 - دوره : 10 - شماره : 36 - صفحه:149 -182
|
|
چکیده
|
امنیت سیستمهای اطلاعاتی معرف یک مسئله حیاتی است که امروزه بسیاری از سازمانها با آن روبهرو هستند. این مقوله دربرگیرنده سه بعد انسانی، فنی و فرآیندی است. البته در اکثر تحقیقات صورتگرفته در این زمینه نوعی نگرش و رویکرد فنی وجود دارد. هدف پژوهش حاضر ارائه الگوی جدیدی است که الزامات امنیتی مناسب جهت مواجهه با تهدیدها و رفع آسیبپذیریهای سیستمهای اطلاعاتی را در هر سه بعد مذکور آدرسدهی مینماید. ازاینرو با استفاده از رویکرد فراترکیب 255 مقاله بررسی گردید که پس از ارزیابی، 76 مقاله جهت بررسی نهایی و استخراج کُدها تایید گردیدند. از این مقالات تعداد 47 تهدید (در هشت طبقه)؛ 31 آسیبپذیری (در هشت طبقه)؛ 15 الزام انسانی؛ 34 الزام فنی (در هفت طبقه کلی) و 17 الزام فرآیندی استخراج شده است. در پایان نیز الزامات امنیتی مناسب جهت مواجهه با هر تهدید و رفع آسیبپذیریهای مربوطه بر اساس استناد به بهترین تجربههای منتشرشده انتخاب و در قالب یک چهارچوب جامع (سهبعدی) ارائه شده است. بیشترین فراوانی در بین تهدیدات مربوط به فعالیتهای مجرمانه/ سوءاستفاده و کمترین فراوانی مربوط به چالشهای انسانی است. در بین آسیبپذیریها نیز بیشترین فراوانی مربوط به بروز فعالیت مجرمانه/ سوءاستفاده و کمترین فراوانی مربوط به ضعف در کنترل شکست/ خرابی است. بیشترین الزام انسانی مربوط به تدوین و اجرای برنامههای آموزشی در زمینه امنیت اطلاعات است و بیشترین الزام فنی مربوط به سازوکارهای امنیت اطلاعات و سامانهها میباشد. این در حالی است که بیشترین الزام فرآیندی مربوط به تدوین قوانین، خطمشیها، دستورالعملها و الزامات امنیت سیستمهای اطلاعاتی در سازمان است.
|
|
کلیدواژه
|
تهدید، آسیبپذیری، الزام امنیتی، امنیت سیستم اطلاعاتی، فراترکیب
|
|
آدرس
|
دانشگاه تهران، پردیس فارابی, ایران, دانشگاه تهران، پردیس فارابی, دانشکده مدیریت, ایران, پژوهشگاه ارتباطات و فناوری اطلاعات, ایران, دانشگاه تهران، پردیس فارابی, دانشکده مدیریت, ایران
|
|
پست الکترونیکی
|
mahmoudi@ut.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
A Conceptual Framework for Securing Information Systems in Organizations Based on Methasynthesis Approach
|
|
|
|
|
Authors
|
Sedighi Gariz Sima ,Zare Hamid ,Arabsorkhi Aboozar ,Mahmoudi Seyyed Mohammad
|
|
Abstract
|
Security of information systems is a critical issue that many organizations facing today, and includes three dimensions of human, technical and process. There are also some technical attitudes and approaches in most studies in this area. The purpose of this study is to provide a new model that addresses the security requirements for dealing with threats and fixing vulnerabilities in all three dimensions. Therefore, 255 articles were reviewed using the abovementioned approach. After evaluation, 76 articles were approved for final examination and extraction of codes. Of these articles, 47 threats in 8 categories; 31 vulnerabilities in 8 floors; 15 human requirements; 34 technical requirements in 7 general categories and 17 process requirements. Finally, security requirements for dealing with each threat and fixing the vulnerabilities were selected and presented as a comprehensive framework. The greatest number of threats related to criminal activities / abuses and the lowest frequency is for human challenges. Among vulnerabilities, the highest frequency is related to the occurrence of criminal activity / abuse and the lowest frequency is related to weakness in failure / failure control. The most important human requirement is the development and implementation of training programs in the field of information security, the most technical requirements related to Information security mechanisms and systems, and the most important requirement is for the process of drafting laws, guidelines, instructions and Security requirements of information systems in the organization.
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|