چکیده

امروزه با تکامل و استفاده گسترده از اینترنت، سازمان ها در معرض حمله به سیستم های فناوری اطلاعات قرار دارند. این حملات منجر به تلفات داده ها و تغییرات در فرآیند خدمات و عملیات کسب و کار می شود. افزایش خطرات بالقوه سرمایه گذاری در سرویس های امنیتی برای سازمان ها موضوع بسیار مهمی است و نیز منجر به توسعه مدیریت ریسک امنیت اطلاعات شده است . برای به حداقل رساندن این ریسک این مقاله به ارزیابی خطرات یک سازمان با توجه به ابعاد چند گانه امنیت اطلاعات پرداخته است. در این مقاله رویکرد مدیریت ریسک امنیت اطلاعات توسعه داده شده و مدلی برای مدیریت ریسک امنیت اطلاعات با استفاده از FMEA و نظریه فازی ارائه شده است ، در این مدل امنیت اطلاعات از پنج بعد تشکیل شده است: دسترسی به اطلاعات و سیستم ها، امنیت ارتباطات، زیر ساخت ها، مدیریت امنیت و توسعه سیستم های اطلاعاتی، که نتایج نشان می دهد که از بین جنبه های ریسک امنیت اطلاعات، زیر ساخت ها و امنیت ارتباطات از اهمیت بیشتری برخودار هستند.

واژگان کلیدی:امنیت اطلاعات، امنیت ارتباطات، مدیریت ریسک، FMEA، تئوری فازی.

Providing a multi -dimensional approach to information security risk management using FMEA and fuzzy theory

Abstract

Because of the evolution and widespread use of the Internet, organisations are becoming more suscep-tible to attacks on Information Technology Systems. These attacks result in data losses and alterations, and impact services and business operations. Therefore, to minimise these potential failures, this paper presents an approach to information security risk management, encompassing Failure Mode and Effects Analysis (FMEA) and fuzzy theory. This approach analyses five dimensions of information security: access to information and systems, communication security, infrastructure, security management and secure information systems development. To

۱

illustrate the proposed model, it was applied to a University Research Group project. The results show that the

most important aspects of information security risk are communication security, followed by infrastructure.

Information security, security, risk management, FMEA, fuzzy theory.:Keywords

-۱ مقدمه

در یک جامعه اطلاعاتی ، اطلاعات به عنوان دارایی اصلی سازمان است . سازمان با تکیه بر خدمات اینترنت و همچنین سیستم های اطلاعاتی به منظور افزایش عملیات کسب و کار ، تسهیل مدیریت تصمیم گیری و استراتژی های کسب و کار استقرار یافته است. (۱) همان طور که حمله به سیستم های اطلاعاتی خطرناک شده است ، این وابستگی به سیستم های اطلاعاتی منجر به افزایش نقض امنیتی است. نقض امنیتی مربوط به شکست فنی ، آسیب پذیری سیستم ، خطای انسانی ، تقلب و حوادث خارجی هستند. بنابراین ، امنیت اطلاعات به بقای نهادهای مهم ، برای به حداقل رساندن خطرات که عملیات سازمان را به خطر می اندازد تبدیل شده است و برای حفظ محرمانه بودن ، یکپارچگی و در دسترس بودن اطلاعات است. سیاست های امنیت اطلاعات ، قوانین ، دستور العمل ها و اقداماتی می باشند که در تامین امنیت اطلاعات به شرکت ها و موسسات و انجمن ها تعریف می شود. بنابراین ، ضروری است که سازمان یک روشی برای امنیت اطلاعات تعریف کند. این روش شامل شناسایی و ارزیابی دارایی های کسب و کار و پیامدهای حوادث امنیتی می باشد. (۲) این مقاله یک رویکرد مدیریت ریسک به اطلاعات امنیتی براساس FMEA و نظریه فازی ارائه می دهد. این روش تجزیه و تحلیل از پنج بعد امنیت اطلاعات : دسترسی به اطلاعات و سیستم ، امنیت ارتباطات ، زیر ساخت ، مدیریت امنیت ، و توسعه سیستم های اطلاعات تشکیل شده است . در ابتدا ما به طور خلاصه به برخی از طرح های مدیریت ریسک امنیت و اطلاعات می پردازیم و سپس متدلوژی این روش را بیان کرده و در نهایت ، نتیجه گیری و پیشنهادات لازم را ارائه می دهیم.

-۲ سابقه و هدف:
۲-۱ مروری بر کارهای گذشتگان

امنیت اطلاعات به بقای نهادها تبدیل شده است، همانطور که پارک(۲۰۱۱)۱ اظهار داشتند که دستورالعمل ها و مقررات در سطوح امنیتی شرکت ها تعریف شده است، بنا به گفته پارک برای پیشگیری از خسارت ناشی از حملات و خرابی سیستم های اطلاعاتی در یک سازمان تجزیه و تحلیل مستمر و مدیریت امنیت اطلاعات لازم است. با این حال پارک نشان داد که نگرانی در امنیت مدیریت سطح پایین وجود دارد، به عنوان مثال نداشتن دانش فنی برخی از مدیران در امنیت اطلاعات، بنابراین پارک یک روش امنیتی با استفاده از تئوری های فازی برای امنیت سازمان اطلاعات ارائه دادند. بلازیک و بوژانس(۲۰۰۸)۲ چندین روش را برای معرفی و شناسایی و ارزیابی سرمایه گذاری در فن آوری های امنیتی به کار گرفتند که یکی از آن ها استفاده از تئوری مجموعه های فازی بوده اسن که باعث بهینه کردن در فن آوری های امنیتی می شود. داف و بوچانان(۲۰۱۳)۳ با استفاده از روش مخلوط و تجزیه و تحلیل کمی از طریق مطالعات دلفی برای نظارت بر اساس خطرات امنیتی در خدمات مراقبت های بهداشتی استفاده کردند. هوگان و آون(۲۰۰۷)۴ پس از طبقه بندی FMEA به عنوان یک ارزیابی ریسک کیفی، با استفاده از مجموعه های فازی در مهندسی دریا از آن نیز استفاده کردند.

-۲-۲ متدلوژی مدیریت ریسک امنیت اطلاعات

به گفته اوزکان۵ و کاراباک۶ ، گام های اولیه مدیریت ریسک به عنوان سیستماتیک تعریف شده است ، استفاده از اطلاعات برای شناسایی منابع هویت و برآورد ریسک . چند متدلوژی امنیت اطلاعات برای ارزیابی ریسک وجود دارد . به طور کلی ، دو نوع روش تجزیه و تحلیل وجود دارد . نوع اول یک

۱ . Park.
2 . Blazic and Bojanc.
3 . Duff and Buchanan.
4 . Haugen and Aven.
5 . Ozkan.

۶ . Karabacak.

۲

روش کیفی است که در بسیاری از مسائل غیر فنی می توان آن را در نظر گرفت . (۳ ) نوع دوم یک روش کمی است که شامل ابزار ریاضی مانند منطق فازی است. بنابراین این مقاله یک رویکرد چند بعدی با استفاده از FMEA و منطق فازی برای مدیریت ریسک امنیت اطلاعات ارائه می دهد.

-۲-۳ مروری بر متدلوژی FMEA

FMEA ، یک سیستم برای تجزیه و تحلیل اثرات مهندسی است ، در این حالت سیستم به بررسی علت شکست و اثرات شکست و مشکلات موثر می پردازد و اقدامات اصلاحی را انجام می دهد .(۴) جدول (۱) عناصر این سیستم را نشان می دهد . روش FMEA در بسیاری از مناطق مهندسی مانند سازه های دریائی جزء برنامه های کاربردی محبوب محسوب می شود. (۵) به طور مثال FMEA برای ذخیره سازی و تخلیه و تولید شناورها به کار می رود. (۶)