بخشی از مقاله
چکیده
در یک سازمان که سیستم مدیریت امنیت اطلاعات در آن پیاده شده است، طبقهبندی کنترلهای پیاده شده از نظر شکافهای کارائی حائز اهمیت است. در این مقاله در ادامه مطالعه صورت گرفته در مرجع 8، که در آن با در نظر گرفتن ارتباطات بین حوزههای کنترل امنیت اطلاعات و با استفاده از تکنیکهای تصمیمگیری چند معیاره، به طبقهبندی شکافهای کنترلها پرداخته است، به ارائه روشی دقیقتر جهت طبقهبندی کنترلها از نظر شکافهای امنیت اطلاعات، با ترکیب تکنیکهای تصمیمگیری چند معیاره با مجموعههای فازی، ضمن توجه به فاکتورهای حفاظت اطلاعات، الزامات کسب و کار و هزینه پیادهسازی پرداختهایم.
کلمات کلیدی- امنیت اطلاعات، ، تکنیک ANP ،دیمیتل و ویکور، مجموعههای فازی
- 1 مقدمه
حوزهها، اهداف و کنترلهای امنیت اطلاعات معیاری برای ارزیابی سیستم مدیریت امنیت اطلاعات1 در نظر گرفته میشوند. استاندارد ISO 27001 ، 11 حوزه کنترل، 41 هدف 2کنترل و 133 معیار3 کنترل امنیت اطلاعات را تعریف کرده است، در ISO 27002 نحوه پیادهسازی این کنترلها شرح داده شده است و در ISO 27005 نحوه مدیریت ریسک سیستمهای اطلاعاتی بیان شده است. هر یک از 11 حوزه شامل 1 یا چند هدف کنترل است و هر یک از اهداف نیز شامل 1 یا چند معیار کنترل امنیت اطلاعات هستند.[ 5]برای مثال حفاظتهای فنی بکار برده شده برای کنترل "پیام-رسانی الکترونیکی" درحوزه کنترل "مدیریت ارتباطات و عملیات" بر کنترل "آگاهسازی، تحصیل و آموزش امنیت اطلاعات" در حوزه کنترل "امنیت منابع انسانی"، از جمله برای بکارگیری موثر مکانیسمهای رمزگذاری برای ایمیلهای مهم و فایلهای پیوست و اطمینان از آموزش کافی افراد برای بکارگیری این معیارها در انجام وظایف مرتبط با امنیت اطلاعات واگذاری شده به آنها، تاثیر خواهد گذاشت.
برای مثالی دیگر، اجرای کنترل "امنیت خدمات شبکه" از حوزه "مدیریت ارتباطات و عملیات"بر پیادهسازی کنترل "شناسائی مخاطرات مرتبط با طرفهای بیرونی" از حوزه "سازمان امنیت اطلاعات"تاثیر خواهد گذاشت. امکان دارد هر دو کنترل به یک حوزه و یا به حوزههای مختلف تعلق داشته باشند. لذا جهت بررسی وابستگی بین حوزهها در ارزیابی ریسک یا طبقهبندی حوزهها و اهداف کنترل امنیت اطلاعات، مطابق مرجع7 و 8 ، از تکنیکهای تصمیمگیری چند معیاره، استفاده شده است.7]و[5در مطالعات قبلی در زمینه طبقهبندی حوزهها و اهداف کنترل،-فاکتورهای حفاظت اطلاعات، الزامات کسب و کار و هزینه پیادهسازی در نظر گرفته نشدهاند.
در حالیکه هر یک از کنترلهای امنیت نسبت به الزامات کسب و کار و فاکتورهای حفاظت و نیز هزینه پیادهسازی، در ارزیابی کارائیشان، نقش و اهمیت متفاوتی دارند. در این مطالعه این فاکتورها نیز در ارزیابی کارائی کنترلها لحاظ شده-اند.5]و[4نیز بخاطر آنکه دادههای تحقیق از کارشناسان و خبرگان سیستم مدیریت امنیت اطلاعات و مدیران در جریان ISMS جمعآوری شده-اند و این افراد با زمینههای شغلی و دیدگاههای متفاوتی از جمله فنی ، مالی ، مهندسی و مدیریت، با برداشتها ، رویکردها و انگیزههای شخصیمتفاوت هستند، طبیعت مساله همراه با ابهام و عدم قطعیت است، از این رو استفاده از مجموعههای فازی بجای مجموعههای قطعی در این مساله منجر به نتایج دقیقتر در ارزیابی و طبقهبندی حوزهها و اهداف کنترل امنیت اطلاعات خواهد شد.
در اینجا با ترکیب مجموعههای فازی با تکنیکهای تصمیمگیری چند معیاره، که تصمیمگیری چند معیاره فازی نامیده میشوند به ارزیابی و طبقهبندی حوزههای کنترل پرداخته شده است.7]و3و2و[1از طرف دیگر از آنجانیکه ISMS زمینه جدیدی در تحقیق است، بیشتر مدیران و مسئولان IT و خبرگانی که مورد نظرسنجی قرار میگیرند، تسلط کافی بر ISMS و استاندارد ISO 27000 ندارند و نمیتوانند به صورت قطعی روابط بین حوزهها و اهمیت آنها را تعیین کنند، به همین جهت برای جمعآوری دادهها از تکنیک دلفی استفاده شده است.3]و2و[1بطور خلاصه میتوان نوآوریهای ارائه شده در این مقاله را به این صورت بیان کرد که در مرجع 6، یک مدل MCDM متشکل ازویکور1، دیمیتل2 و 3ANP برای حل مساله مغایرت معیارهایی که نشاندهنده وابستگیها و بازخوردها است، ارائه شده است.
ولی بخاطر وجود ابهام و عدم قطعیت در دادههای مساله، استفاده از اعداد قطعی 4 در این تکنیکها مناسب نیست. لذا در این مقاله جهت اعمال عدم قطعیت ناشی از طبیعت مساله از تکنیکهای ANP فازی،دیمیتل فازی و ویکور فازی برای طبقهبندی کنترلهای پیاده شده از نظر کارائی استفاده شده است.3]و[1از طرف دیگر در کارهای قبلی الزامات کسب وکار وفاکتورهای حفاظت اطلاعاتاز جمله محرمانگی، یکپارچگی، در دسترس پذیری، قابلیت اطمینان، کارایی، اثربخشی و تطابق، و هزینه پیادهسازی کنترلها در نظر گرفته نشده-اند، که در اینجا در ارزیابی کنترلها در نظر گرفته شده است.5]و[4
قالب تحقیق
در ادامه مقاله، در بخش 2 اعضاء خبرگان مشخص میشوند و 2 جدول یکی برای مقیاس ارزیابی و دیگری برای اهمیتالزامات کسب و کار و ... آماده شده است. در بخش 3 با استفاده از تکنیک دیمیتل فازی5 وابستگیهای بین حوزههای کنترلهای امنیت اطلاعات مشخص میشوند، در بخش 4 تکنیک ANP فازی برای بدست آوردن میزان اهمیت هر حوزه و هدف کنترل استفاده میشود.در نهایتدر بخش 5 تکنیک ویکور فازی جهت طبقهبندی حوزهها استفاده می-شود.در ادامه به بررسی مراحل روش پیشنهاد شده میپردازیم.
- 2تعیین مدل ارزیابی
- 2,1 تعیین گروه پانل. دراین مرحله کمیته خبرگان متشکل از E عضو، هدف تصمیمگیری که طبقهبندی حوزههای کنترل امنیت سیستمهای اطلاعاتی است و تعیین معیارهای طبقهبندی، که در این مقاله اشیاء و حوزههای کنترل امنیت اطلاعات و نیز الزامات کسب و کار... است تعیین میگردند9.]و7و[6
- 2,2 طراحی بازه زبانی فازی جهت ارزیابی. در این مرحله جهت ساخت و اندازهگیری ارتباطات داخلی و مابین حوزههای کنترل در دیمیتل و نیز برای اندازهگیری میزان ریسکپذیری ناشی از تهدیدها در ANP، بازه مقایسه را مطابق جدول 1 طراحی میکنیم. درجات مختلف تاثیر با 9 واژه زبانی و اعداد فازی متناظر با آنها، بیان شدهاند.[6]
در این مرحله همچنین الزامات کسب و کار و هزینه پیادهسازی را در جدول 2 لیست کرده به تعریف مختصری از هر کدام میپردازیم. از خبرگان خواسته میشود ابتدا به هر یک از الزامات کسب و کار و...درجهای بر اساس میزان اهمیت برای سازمان مورد بررسی بر اساس جدول 1 مشخص کنند. سپس از نظرات آنها میانگین میگیریم تا اهمیت هر یک از معیارها برای سازمان مشخص شود و بر اساس آن ستون سوم پر میشود.
- 3 ایجاد روابط تاثیر با استفاده از دیمیتل فازی
- 3,1 ایجاد ماتریس میانگین ارتباط مستقیم فازی. در این مرحله از افراد خبره خواسته میشود جهت ایجاد ماتریس ارتباط مستقیم، مقایسات زوجی حوزههای کنترل را از نظر تاثیر و جهت، با
توجه به جدول 1، انجام داده و ماتریس ̃ را تشکیل دهند، کهدر آن - - ̃ بیانگر عدد فازی است که افراد خبره برای تاثیری که حوزه i بر حوزهj میگذارد، تعیین کردهاند. این ماتریس بیانگر این است که هر حوزه بر حوزه دیگر چه مقدار تاثیر میگذارد و یا تاثیر میپذیرد. در این مرحله هر فرد خبره یک ماتریس مستقیم فازی ایجاد میکند و سپس با میانگینگیری از این ماتریسها یک ماتریس مستقیم فازی بدست میآید که مبنای محاسبات مراحل بعدی قرار خواهد گرفت.9]و7و6و[3 در این مرحله برای رسیدن به یک اجماع نظر در مورد ماتریسهای ارتباط مستقیم اولیه، میتوان از روش دلفی استفاده کرد و بعد از تحلیلهای آماری نتایج به خبرگان برگردانده شود تا نظر خود را تصحیح کنند[2] و در نهایت میانگین
