ارائه مدل سنجش بلوغ مهندسی الزامات امنیتی از نگاه فرآیند تبیین الزامات (بررسی موردی چندگانه شرکت‌های مادر تخصصی مخابراتی ایران)

نوع مقاله: مقاله پژوهشی

نویسنده

رئیس پژوهشکده امنیت ارتباطات و فناوری اطلاعات

چکیده

امروزه فناوری‌اطلاعات و ارتباطات بخش جدایی‌ناپذیر از زندگی روزمره افراد و شرط بقای سازمان‌ها است. هر کسب‌وکاری به میزان توانایی و نیاز خود از فناوری اطلاعات در بخش‌های مختلف استفاده می‌کند. این وابستگی به فناوری‌اطلاعات و ارتباطات، مشکلات امنیتی فراوانی را برای سازمان‌ها ایجاد می‌کند. از طرفی باید توجه داشت که تداوم کسب و کار و ارائه خدمت توسط یک سازمان تنها در سایه امنیت تحقق خواهد یافت. از این‌رو، ضرورت توجه به جنبه‌های مختلف امنیتی جهت ساماندهی به فعالیت‌های ایمن‌سازی سازمان‌ها -از جمله در شرکت‌های تابعه وزارت ارتباطات و فناوری اطلاعات- بیش از پیش نمایان می‌شود. مهندسی الزامات امنیتی یک راهکار شناخته‌شده و مؤثر جهت مواجهه سیستماتیک با مسائل امنیتی است. بر این اساس شرکت‌های زیرمجموعه وزارت ارتباطات و فناوری اطلاعات با بهره‌گیری از روش‌های مهندسی الزامات امنیتی می‌توانند به‌شکلی بهینه با چالش‌های امنیتی فناوری‌اطلاعات و ارتباطات روبرو شوند. در این راستا، مدل سنجش بلوغ مهندسی الزامات امنیتی می‌تواند به عنوان یک نقشه‌راه استاندارد باز برای ارزیابی بلوغ این نوع شرکت‌ها‌ محسوب شود. هدف این تحقیق ارائه مدل سنجش بلوغ مهندسی الزامات امنیتی برای شرکت‌های تابعه وزارت ارتباطات و فناوری اطلاعات است و تأکید آن بر ملاحظات رویه‌ای و فرآیندی تبیین الزامات است. برای این‌منظور، چارچوب‌ها و مدل‌های مرجع مهندسی الزامات امنیتی با استفاده از روش فراترکیب مورد ارزیابی قرارگرفته و فرآیندها و روال‌های امنیتی مربوط به تبیین الزامات در قالب یک مدل مفهومی پیشنهادی سنجش بلوغ ساماندهی شده‌اند. این مدل بلوغ از طریق انجام مصاحبه با خبرگان شرکت‌های منتخب مورد اعتبارسنجی و تحلیل قرار گرفته‌ و پیشنهادهایی برای بهبود مهندسی الزامات امنیتی در این شرکت‌ها ارائه‌گردیده‌است.

کلیدواژه‌ها


عنوان مقاله [English]

Providing a maturity assessment model for security requirements engineering from the point of explaining the requirements process (Multiple case study of Communication and Information Technology Ministry subsidiaries)

نویسنده [English]

  • abouzar arabsorkhi
The head of ICT Security faculty
چکیده [English]

Nowadays, information technology and communication are an integral part of everyday life of individuals and the condition of the organizations survival. Every business uses the amount of information technology it needs in different parts. This dependency on IT and communications, creates a lot of security problems for organizations. On the other hand, it should be noted that business continuity and service delivery by an organization will only be realized in the context of security. Therefore, the necessity of attention to various aspects of security to organize the organization's security activities, including in telecommunications companies, is becoming more and more evident. security requirements engineering is a well-known and effective solution to systematically facing security issues. Based on this, telecommunication companies can utilize security requirements engineering techniques to meet the security challenges of information technology and communications in an optimal way. In this regard, the maturity assessment model for security requirements engineering can be considered as an open standard road map to evaluate the maturity of telecommunications companies. The purpose of this research is to provide a maturity assessment model for security requirements engineering for for telecommunications companies, and emphasizing on procedural and process considerations of explaining the requirements. For this purpose, the source frameworks and models of security requirements engineering have been studied and and the security processes and procedures related to the requirements explaining have been organized in the form of a conceptual model of maturity assessment. This maturity model has been validated and analyzed through interviewing the experts of selected specialist of telecommunication companies and suggestions have been made to improve the security requirements engineering in these companies.

کلیدواژه‌ها [English]

  • Security Requirements Engineering
  • ICTs
  • Security Requirements
  • Security Requirements Explanation Processes
  • Ministry of Communication and Information Technology Subsidiaries

مقالات آماده انتشار، پذیرفته شده
انتشار آنلاین از تاریخ 06 مرداد 1399
  • تاریخ دریافت: 06 مرداد 1399
  • تاریخ پذیرش: 06 مرداد 1399