توسعه استانداردهای سیستم مدیریت امنیت اطلاعات به درون رایانش ابری

شناسنامه: توسعه استانداردهای سیستم مدیریت امنیت اطلاعات به درون رایانش ابری
عنوان: توسعه استانداردهای سیستم مدیریت امنیت اطلاعات به درون رایانش ابری شماره نسخه: ۱
کد: نوع گزارش: پژوهشی تاریخ ارائه گزارش: ۱۳۹۲
نام پروژه: توسعه استانداردهای سیستم مدیریت امنیت اطلاعات به درون رایانش ابری نوع پروژه: پژوهشی
تاریخ شروع: ۰۶/۲۲/۱۳۹۱ تاریخ پایان: ۰۶/۲۲/۱۳۹۱
نام و نشانی:
ملاحظات:
چکیده:
رایانش ابری به سرعت در حال توسعه و پیشرفت بوده و استفاده از سرویس‌های آن هر روزه افزایش می‌یابد. با این وجود مشکلاتی از قبیل از دست دادن کنترل بر روی دارایی‌های قرار گرفته بر روی آن را به دنبال خواهد داشت. این امر به دلیل برون‌سپاری دارایی‌های فناوری اطلاعات سازمان و قرار گرفتن آن‌ها بر روی بسترهای رایانش ابری است. فراهم‌کنندگان سرویس ابر و مصرف‌کنندگان ابر نه تنها در معرض خطرات امنیتی موجود هستند بلکه با توجه به مشخصات و ویژگی‌های ساختار ابر مانند چندمستاجری، مجازی‌سازی و برون‌سپاری داده‌ها، با خطرات جدیدی نیز مواجه هستند. علاوه بر این کمبود محدودیت‌های امنیتی در توافق‌نامه سطح طرویس بین فراهم‌کنندگان ابر و مصرف‌کنندگان باعث از بین رفتن اعتماد نیز می‌شود. تعدادی از استانداردهای صنعتی و بین‌المللی برای امنیت اطلاعات وجود دارد که در آن میان می‌توان به مجموعه استانداردهای ISO 27000 و NIST-FISMA اشاره نمود. محدوده به کار بردن این استانداردها می‌تواند یک سازمان به طور کامل، فرآیندهای کسب‌وکار یا حتی یک برنامه کاربردی فناوری اطلاعات یا زیرساخت فناوری اطلاعات باشد. با توجه به اهمیت امنیت اطلاعات، به بررسی مطابقت این استانداردها با چالش‌های امنیتی ابر و ارزیابی میزان کامل‌بودن آن‌ها برای پوشش دادن تمامی جنبه‌های امنیت ابر خواهیم پرداخت. گرفتن یک گواهی امنیتی مانند ISO 27000 یا NIST-FISMA به فراهم‌کنندگان کمک می‌کند تا اعتماد مصرف‌کنندگان را نسبت به امنیت بسترهای ابر بهبود ببخشند. هر چند که این استانداردها هنوز نمی‌توانند به طور کامل پیچیدگی‌های مدل رایانش ابری را پوشش دهند. البته لازم به ذکر است استانداردهای ISO 27017 به عنوان دستورالعملی برای پیاده‌سازی ISMS در ابر و ISO 27018 به عنوان دستورالعمل حفظ حریم خصوصی در ابر به زودی به صورت نسخه پیش‌نویس در دسترس خواهد بود که امید است بخشی از مسایل امنیتی ابر و نحوه مدیریت امنیت با توجه به این استانداردها حل گردد. این استاندارد یک دستورالعمل فناوری اطلاعات (تکنیک‌های امنیتی) برای کنترل‌های امنیت اطلاعات برای سرویس‌های رایانش ابری مبتنی بر ISO/IEC 27002 است. نسخه پیش‌نویس این استانداردها، اواخر سال ۲۰۱۳ منتشر خواهد گردید. در این تحقیق طرح جدیدی برای گسترش استاندارد ISO 27001:2005 بررسی شده است که شامل یک  هدف کنترلی جدید برای مجازی‌سازی است تا بتوان آن را در ابر به کار برد. همچنین یک معیار کمی جدید تعریف شده و اهمیت اهداف کنترلی ISO 27001:2005 موجود، در صورتی که سرویس‌های مشتری درون سازمان قرار گیرند یا درون ابر ارزیابی می‌گردد. همچنین یک چارچوب جدید برای امنیت ابر بر مبنای هماهنگی استاندارد FISMA جهت ایجاد تناسب با مدل رایانش ابری ارایه خواهد شد که فراهم‌کنندگان و مصرف‌کنندگان را قادر می‌سازد تا گواهی امنیتی را دریافت نمایند. چارچوب ارایه شده بر مبنای همکاری میان فراهم‌کنندگان ابر، فراهم‌کنندگان سرویس و مصرف‌کنندگان سرویس برای مدیریت امنیت ابر و سرویس‌های قرار گرفته بر روی آن عمل می‌کند. این سرویس با استفاده از تعدادی از استانداردهای امنیتی ساخته می‌شود که به خودکارسازی فرآیند مدیریت ابر کمک می‌کند. همچنین فرآیند مدیریت ریسک امنیت اطلاعات را نیز بر مبنای ISO 27005 بررسی خواهیم نمود که استقرار زمینه و شناسایی دارایی‌ها جز مراحل ابتدایی آن هستند. کیفیت نتایج به دست آمده از اجرای این مراحل، تاثیر مهمی بر روی مراحل بعدی از قبیل شناسایی ضررها، آسیب‌پذیری‌ها، حملات ممکن و تعریف اقدامات متقابل دارد. برای این امر از یک الگوی تحلیل ابر و انواع مختلف قالب‌های ذینفعان به منظور درک و توصیف مشکل توسعه ابر استفاده خواهد شد. به کار بردن این استانداردها برای سیستم‌های امنیت اطلاعات مصرف‌کنندگان ابر و فراهم‌کنندگان سرویس ابر کافی نیست، بلکه فقط سیستم‌های مدیریت امنیت آن‌ها را بهبود بخشیده و اعتماد متقابل را در سرویس‌های ابر فراهم می‌آورد اما تمامی مشکلات و مسایل را پوشش نمی‌دهند.
کلمات کلیدی:
وضعیت گزارش: زبان گزارش: فارسي
وضعیت دسترسی: تعداد صفحات: