فایل پایان نامه کارشناسی ارشد : منابع پایان نامه در مورد بررسي سيستم مديريت امنيت اطلاعات … – منابع مورد نیاز برای مقاله و پایان نامه : دانلود پژوهش های پیشین |
 |
2-2-6-12- سرویسها بی حالتند.
سرویسها باید میزان اطلاعات حالتی را که مدیریت می کنند و بازه زمانی را که آن اطلاعات را نگاه میدارند به حداقل برسانند . اطلاعات حالت مختص داده های فعالیتی است که در حال حاضر انجام میشود. وقتی سرویس پیامی را پردازش می کند، موقتاً دارای حالت است. اگر سرویسی مسئول حفظ حالتی برای زمان های طولانی تری باشد، دسترسی به آن برای سایر درخواست کنندگان به تاخیر خواهد افتاد. برای آن که سرویس کمترین اطلاعات حالت ممکن را نگهداری کند، نیاز است عملیات منفرد آن طوری طراحی شوند که در پردازش نیاز به نگهداری حالت نداشته باشد. یک ویژگی پایه برای SOA که بی حالتی را پشتیبانی می کند، استفاده از پیامهای سبک مستند است. هرچه به پیام هوشمندی بیشتری افزوده شود، سرویس مستقل تر و خود کفاتر باقی می ماند.
( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
2-3- سیستم مدیریت امنیت اطلاعات
2-3-1- امنیت اطلاعات چیست؟
اطلاعات، همانند سایر دارائی [40]های مهم هر موسسه، دارائی است که برای موسسه صاحب آن دارای ارزش بوده و لازم است به صورت مناسبی حفاظت شود. امنیت اطلاعاتی فرآیندی است که بر اساس آن از اطلاعات در مقابل تجاوزات مختلف حفاظت خواهد شد. به نحوی که از ادامه فعالیت با حداقل خسارت و حداکثر کارآیی و بهره برداری از فرصت های عملیاتی، اطمینان حاصل شود.اطلاعات را می توان به شکلهای مختلف نگهداری کرد. می توان آن را روی کاغذ نوشت، چاپ کرد، بصورت الکترونیکی ذخیره نمود، به وسیله روش های مرسوم و یا الکترونیکی ارسال یا مخابره کرد، به وسیله فیلم به نمایش درآورد و یا آن را در قالب نوارهای صوتی ارائه نمود.بدون در نظر گرفتن قالب دریافت اطلاعات و روش به اشتراک گذاشتن و ذخیره نمودن آن، لازم است همیشه به نحو قابل قبول و متناسبی حفاظت شود.
امنیت اطلاعاتی در این متن با در نظر گرفتن شرایط زیر تعریف می گردد:
الف) محرمانه بودن: اطمینان از اینکه اطلاعات فقط برای افراد مجاز قابل دسترسی خواهد بود.
ب) جامعیت و درستی: تامین دقت و کامل بودن اطلاعات و روش های پردازش آن.
پ) در دسترس بودن: اطمینان از اینکه افراد مجاز بتوانند در مواقع مورد نیاز به اطلاعات و سایر منابع مرتبط با آن دسترسی داشته باشند.
امنیت اطلاعاتی از طریق بکارگیری مجموعه ای از فرآیندهای کنترلی بدست می آید که در سیاست ها ، روش های عملیاتی ، رویه ها، ساختار سازمانی و نرم افزارهای عملیاتی تعبیه می شوند. جهت دسترسی به اهداف امنیتی مورد نظر سازمان، برقراری رویه های کنترلی الزامی است.
2-3-2- چرا امنیت اطلاعات مورد نیاز است؟
اطلاعات، سیستم ها، شبکه ها و رویه های پشتیبانی تصمیم، از دارائی های مهم سازمان می باشند. محرمانه بودن ، جامعیت و دقت و در دسترس بودن اطلاعات می توانند تاثیر فراوانی بر سودآوری، کارآیی، قانون پذیری و افق عملیاتی سازمان داشته باشد.
سازمان ها ، سیستم های اطلاعاتی و شبکه های ارتباطی شان بصورت روز افزون هدف تجاوزات امنیتی قرار گرفته اند. این تجاوزات دارای گستردگی فراوانی می باشد به صورتی که از طریق سواستفاده افراد از سیستم های رایانه ای، جاسوسی، خرابکاری، وندالیسم و حتی سیل و آتش سوزی اثرات خود را به سیستم وارد می آورند. خرابی حاصل از حوادث مختلف از قبیل ویروس های کامپیوتری ، هک کردن اطلاعات و حملات مبتنی بر DOS[41] بصورت روزمره بوجود می آیند و بیشتر و بیشتر می شوند و حتی روز به روز پیچیده تر می گردند.
هرچه وابستگی سازمان به سیستم های اطلاعاتی و سرویس های مبتنی بر آن بیشتر باشد، آسیب پذیری بیشتری در مقابل تجاوزات خواهد داشت. اتصال شبکه های عمومی و اختصاصی و به اشتراک گذاشتن منابع اطلاعاتی ، باعث افزایش دشواری و پیچیدگی در کنترل دسترسی ها گردیده است.
افزایش روند پردازش غیر متمرکز (توزیع شده) باعث می شود که رویه های کنترل متمرکز قبلی به تدریج کارائی خود را از دست بدهند. در طراحی بسیاری از سیستم های اطلاعاتی، امنیت اطلاعات در نظر گرفته نشده است. امنیتی که از طریق روش های فنی به دست می آید، غالباً محدود است و لازم است برد آن توسط مدیریت مناسب و رویه های از پیش تعریف شده، افزایش یابد.
جهت انتخاب مناسب ترین روش کنترلی، نیاز به دقت فراوان در شناسائی مشخصه های سیستم مورد نظر می باشد.لازم است تمامی افراد سازمان به حداقل استانداردها در مورد رعایت نکات امنیتی واقف باشند و به آن عمل کنند همچنین ممکن است لازم باشد این آگاهی و همکاری به کلیه افراد و سازمان هایی که به نحوی در جریان همکاری با سازمان قرار دارند (مانند پیمانکارن، تهیه کنندگان،……) سرایت داده شود.
به علاوه ممکن است نیاز به دریافت مشاوره امنیتی از مشاوران خارج از سازمان نیز احساس شود. در صورتیکه رویه های امنیتی در هنگام طراحی سیستم اطلاعاتی در نظر گرفته شود، هزینه آن به مراتب کمتر از زمانی خواهد بود که امن کردن یک سیستم موجود، مورد نظر باشد.
2-3-3- مدل سیستم مدیریت امنیت اطلاعات
این استاندارد بین المللی ، از مدل فرایند دمینگ(CAPD[42]) اقتباس می شود که در ساختار پیاده سازی تمام مراحل سیستم مدیریت امنیت اطلاعات (ISMS) کاربرد دارد. (شکل2-6)
شکل2-6- مدل فرایند دمینگ
2-3-3-1- مدل PDCA به کار برده مطابق فرآیندهای ISMS
در زیر (جدول 2-1 ) چگونگی گرفتن اطلاعات امنیتی مورد نیاز به صورت ورودی توسط یک مدل ISMS و انتظارات اشخاص ذینفع نشان داده می شود و از طریق اقدامات لازم و فرآیندهای تولید امنیت اطلاعات خروجی، انتظارات و نیاز ما را برآورده می سازد.
جدول 2-1- مدل PDCA
ایجاد خط مشی ISMS ، اهداف، فرآیندها و رویه های مناسب برای مدیریت ریسک و بهبود اطلاعات به منظور به دست آوردن نتایج بر طبق تمامی خط مشی ها و اهداف یک سازمان
طرح(ایجاد ISMS )
انجام و اداره خط مشی، کنترلها، فرایندها و رویه های ISMS
انجام دادن (انجام و اداره کردن ISMS )
ارزیابی و ملاک قابل قبول ، میزان کارایی فرایند در برابر خط مشی ISMS ، اهداف و تجربیات عملی و گزارش نتایج به مدیریت برای بازدید
بررسی (نظارت و بازدید ISMS)
اصلاح کردن و اعمال پیشگیری مبتنی بر نتایج ممیزی ISMS داخلی و مدیریت نظارت یا اطلاعات وابسته دیگر، برای دستیابی به بهبود و پیشرفت داخلی ISMS
عمل (نگهداری و بهبود ISMS)
2-3-4- قلمرو
این سند استاندارد، دستورالعمل هایی را برای مدیریت امنیت اطلاعات ارائه می دهد. این دستور العمل ها قابل بکارگیری توسط افرادی است که مسئولیت تعریف، ایجاد و یا نگهداری سطوح امنیتی اطلاعات را برعهده دارند. هدف تهیه این سند تدوین استانداردهای پایه ای بوده است که ایجاد مدیریت امنیت موثر را امکان پذیر ساخته و اطمینان از امنیت روابط درون سازمانی را تضمین نماید.
دستور العمل های ارائه شده در ضمن این استانداردها، در رابطه با قوانین موضوعه و مقررات سازمانی قابل پیاده سازی می باشند.
فرم در حال بارگذاری ...
|
[سه شنبه 1401-04-14] [ 03:26:00 ب.ظ ]
|
