طراحی مدل نظری ارزیابی امنیت اطلاعات دولت الکترونیک، راهبردی برای تحقق جامعه مطلوب اطلاعاتی

رامندی, مصطفی; پور ابراهیمی, علیرضا; البرزی, محمود

طراحی مدل نظری ارزیابی امنیت اطلاعات دولت الکترونیک، راهبردی برای تحقق جامعه مطلوب اطلاعاتی

نوع مقاله : مقاله پژوهشی

نویسندگان

مصطفی رامندی

علیرضا پور ابراهیمی ¹

محمود البرزی ²

¹ استادیار، عضو هیات علمی دانشگاه آزاد اسلامی واحد البرز

² استاد؛ عضو هیات علمی دانشگاه آزاد اسلامی واحد علوم و تحقیقات

چکیده

برای تحقق اهداف و ماموریت‏های دولت الکترونیک، حصول اطمینان از امنیت فضای تبادل اطلاعات آن از درجه اهمیت بالایی برخوردار است و این مهم میسر نمی‏گردد مگر با ارزیابی امنیت اطلاعات با اتکاء به مدلی قابل اطمینان. هدف این تحقیق ارایه یک مدل نظری برای ارزیابی امنیت اطلاعات دولت الکترونیک در رسیدن به یک جامعه مطلوب اطلاعاتی و بسترساز توسعه پایدار است. در این پژوهش با مطالعه دستاوردها و تجربه‌های موفق جهانی در این حوزه و تحقیق در زمینه اسناد راهبردی با لحاظ مقتضیات، پیشران‏ها، موانع و چالش‌های هرکدام، مدل اولیه ارزیابی شامل ساختار، مولفه‏ها و معیارها، به بوته نظرات تجربی خبرگان سپرده شد. مولفه‏های حائز بالاترین میانگین هندسی در جدول امتیازات، در گراف روابط متقابل درج شدند. در خصوص سلسله مراتب نفوذ، اهمیت و رتبه‌بندی مولفه‏های مدل، باروش دیماتل١ دتصمیم‌گیری شد. یافته‏ها نیز شامل ده مولفه برتر مدل با ساختار لایه‏ای می‏شود که به ترتیب عبارتند از: معیار اثربخشی تدابیر حفاظتی موجود، لایه مدیریت و عملیات، مشخصه استقلال از زمینه، لایه صلاحیت امنیتی با رویکرد فرهنگ‏سازی امنیت جامع، لایه بنیادین تصمیم‏گیری (امنیت فناوری)، معیار احتمال اثربخشی برنامه حفاظتی پیشنهادی، مشخصه کاربرد برای اهداف مختلف، معیار تاثیر رویداد امنیتی بر روی دارایی یا عملیات در صورت وقوع، لایه سیاست‏های امنیتی و لایه قشری فناوری امنیت. با استنتاح از دانش و تجربیات خبرگان، مدلی بدست آمد که خروجی آن، صرفا اعلام آمار وضعیت فعلی امنیت نیست بلکه با لحاظ معیار اثربخشی برنامه حفاظتی موجود و پیشنهادی، با رویکرد فرهنگ‏سازی و حفظ استقلال از زمینه، با معیار ضریب حساسیت پیامد، دارایی‏ها و عملیات دولت الکترونیک را ارزیابی و نسخه مناسب برای لایه فناوری امنیتی را تجویز می‏کند. یک ارزیابی جامع امنیتی با این مدل، می‏تواند به عنوان راهبرد اساسی حفاظت از امنیت اطلاعات دولت الکترونیک بشمار آید چراکه همزمان با ارزیابی امنیت اطلاعات، اقدامات لازم برای اتخاذ تدابیر حفاظتی مناسب و مسیر اولویت‏بندی اقدامات مدیریتی و تخصیص منابع را مشخص می‏کند.

تازه های تحقیق

کلیدواژه‌ها

ارزیابی امنیت اطلاعات

دولت الکترونیک

جامعه اطلاعاتی

20.1001.1.10283102.1398.28.3.8.3

عنوان مقاله English

A Theoretical Model for Iran E-Government Information Security Assessment, A Strategy for the Realization of A Desirable Information Society

نویسندگان English

Alireza Poor Ebrahimi ¹

Mahmood Alborzi ²

¹ Assistant Professor, Islamic Azad University, Alborz Branch

² Professor, Faculty Member, Islamic Azad University, Science and Research Branch,

چکیده English

Embedding the direction of all matters, processes and activities with the information society in the context of Information and Communication Technology (ICT) is a kind of movement towards safe IT Governance. If this process to be executed permanently and sustainable in the framework of vision, it can be a competitive advantage for achieving the ultimate goals of the document of vision, especially in science and technology section the Infrastructure of e-government includes the basic requirements of information society and IT Governance.
The purpose of this research is to present a valid theoretical model for Iran e-government information security assessment. model for assessment e-government security to achieve a safe information society and sustainable development with participating of public and private sectors in order to accomplish the goals of national vision and remaining in the first place of science and technology and also constructive interactions in the global information society.
In this work, by addressing newest best practice and successful experiences in this field and reviewing outputs, outcomes and challenges of laws, regulations, programs, projects, strategic documents and comprehensive plans, the appropriate framework in different dimensions, requirements, drivers and barriers will be presented. Then the parameters and criteria of model are deposited to experts in the public and private sectors to test their validity, reliability and validation.
For assessing validity, accuracy and reliability of model, First, we should collect the rate of parameters and elements which assigned by selected experts via questionnaire in the form of a table. Second, calculating total score of each parameter by using geometric mean, then based on experts view, the parameters relations with the higher degree of importance, accuracy are collected and the result is inserted in the interaction table. Using DEMATEL method, decision about hierarchy of influence, importance and priority ranking of the basic elements and parameters of the proposed model will be made. The result of this process will be a valid theoretical model for Iran e-government information security assessment as a Strategy for the realization of a desirable information society which is approved by IT and information security experts.

کلیدواژه‌ها English

Information Society

Information security

Assessment model

e-government

اصغرپور، محمدجواد. 1377. تصمیم‌گیری چند معیاره (روش دیماتل). انتشارات دانشگاه تهران

آصفی، رحیم و باهو محسن. 1386. طرح اتصال مدارس کشور به شبکه ملی اینترنت و شبکه رشد. طرح تدوین برنامه جامع فناوری اطلاعات ایران . شورای عالی فناوری اطلاعات کشور

باتیس، آکادمی آموزش و آگاهی رسانی. 1393. http://www.batisertebat.com/wp-content/uploads/2015/11/ISO-IEC-27001-2013-Fa.pdf

پایگاه اطلاع رسانی سازمان فناوری اطلاعات کشور. 1395.

https://iran.gov.ir/index/chart

پرورش داده‌ها، شرکت، سامانه‌های مهندسی اطلاعات. 1387. گزارش وضعیت موجود دولت الکترونیکی در ایران. تدوین برنامه جامع فناوری اطلاعات ایران. دبیرخانه شورای عالی اطلاع رسانی

تقوی محسن، 1391. توسعه امنیت فضای سایبر در 1404. ایران آینده. سال اول شماره 1

توربان افرایم، لیدنر دروتی، مک لین افرایم. مترجم: دکتر حمیدرضا ریاحی. 1387. دگرگونی سازمان ها در اقتصاد دیجیتالی . انتشارات دانشگاه پیام نور. ویرایش پنجم

جورج سادوسکای، جیمزاکس. دمپزی، آلن گرینبرگ، باربارا جی مک، آلن شوارتز). ترجمه: دامادی، زهرا شجاعی، محمدجواد صمدی. ۱۳۸۴ . راهنمای امنیت فناوری اطلاعات. دبیرخانه شورای عالی اطلاع رسانی.

حسن بیگی، ابراهیم. 1393. توسعه شبکه ملی و چالش های فرارو و تهدیدات متوجه امنیت ملی. فصلنامه مطالعات مدیدیت

خاکی، غلامرضا. 1391 . روش تحقیق (با رویکرد پایان‌نامه‌نویسی).نشر فوژان. تهران

دبیرخانه شوراى عالى اطلاع رسانی .‌1384. مجموعه مقالات همایش نقش مراکز داده در توسعه فناوری اطلاعات و ارتباطات

دبیرخانه شوراى عالى اطلاع رسانی گروه آشنا،.‌1384. دولت الکترونیک .

دبیرخانه مجمع تشخیص مصلحت نظام. 1386. مجموعه مصوبات مجمع تشخیص مصلحت نظام. ناشر، اداره کل روابط عمومی مجمع. تهران

دیهیم، داود و عباس زاده، حمیده. 1386. از جامعه اطلاعاتی تا دولت الکترونیکی. دومین کنفرانش بین‌المللی شهرداری الکترونیک. تهران

رامندی، مصطفی. (1389). ارایه چارچوب توسعه زیرساخت‌های دولت الکترونیک در ایران، (چشم انداز ایران 1404). پایان نامه کارشناسی ارشد مدیریت فناوری اطلاعات. دانشگاه آزاد اسلامی واحد علوم و تحقیقات.

رضایی میرقائد محسن، مبینی دهکردی علی. 1386 .ایران آینده در افق چشم انداز. ناشر: وزارت فرهنگ و ارشاد اسلامی

ریاضی، عبدالمجید. 1386. نظام جامع فناوری اطلاعات کشور( سند راهبردی )، طرح تدوین طرح جامع فناوری اطلاعات کشور . دبیرخانه شوراى عالى فناورى اطلاعات کشور

سالیوانت، جان. 1389. مترجم: ابراهیم نژاد، محمد. راهبردهای حفاظت از زیرساخت های حیاتی. انتشارات بوستان حمید.

شرکت ارتباطات زیرساخت. آبان 1388، کتابچه همایش زیرساخت‌های دولت الکترونیک( مراکز داده ملی ). وزارت ارتباطات و فناوری اطلاعات

عالی‌زاده، عبدالرضا . 1386. اجرای تحقیق به روش دلفی . نشر یوسف

کاستلز، مانوئل. 2009. قدرت ارتباطات. ترجمه حسین بصیریان جهرمی.انتشارات دانشگاه آکسفورد. پژوهشگاه فرهنگ، هنر و ارتباطات . تهران

مانولوف، جی. 2007. فرهنگ لغت امنیت اطلاعات. الزویر

مقامی، علی. 1397. مدیریت حفاظت امنیت اطلاعات.http://vista.ir/article/214040

مقدسی علیرضا، 1384، مدل‌های پیاده سازی دولت الکترونیک، تدبیر160

مهرآرا، اسدالله و زارع پور، ابراهیم. 1386.‌ دولت الکترونیک گامی در جهت پیاده سازی سیاست های اصل44

نوبخت، محمد باقر و بختیاری، حمید. 1387. دولت الکتر.ونیک و امکان سنجی استقرار آن در ایران. مرکزتحقیقات استراتژیک مجمع تشخیص مصلحت نظام . معاونت پژوهشی دانشگاه آزاد اسلامی

وبستر، فرانک مترجم، اسماعیل قدیمی. 1390. نظریه‏های جامعه اطلاعات. انتشارات امیر کبیر

ورزدار، محسن و صفائی، شاهین و شاه علیزاده، محمد. 1387. شناخت اولویت عوامل موثر بر پویایی مطالعات مهندسی ارزش با رویکرد دیماتل. دانشکده تحصیلات تکمیلی دانشگاه آزاد اسلامی تهران جنوب. سومین کنفرانس ملی مهندسی ارزش

وزارت ارتباطات و فناوری اطلاعات. معاونت فناوری اطلاعات. 1386 . سند راهبردی امنیت فضای تبادل اطلاعات کشور، افتا. Doc_Afta_860714_MN-V05

یانچوسکی لخ ، اندروام. کلاریک. ترجمه محمد ابراهیم نژاد. 1389. مقدمه‌ای بر جنگ سایبر و تروریسم سایبر (جلد 1). انتشارات بوستان حمید.

یوسف زاده، محمدرضا. 1392. مدیریت جنگ نرم(رویکردها و چالشها). فصلنامه توسعه تربیت منابع انسانی و پشتیبانی. تهران

Balon Nathan, Thabet Ishraq. 2004. The Biba Security Model, https:// pdfs. semanticscholar.org/7360/c680906617622f27ef2596c7efcc902795db.pdf

Daniel Tse. 2004. Security in Modern Business: Security Assessment Model for Information Security Practices. City University of Hong Kong

Gilles Polin, 2003, E-Government Challenges around the World And Translating these challenges into a technology picture. The Transactional portal, Microsoft Europe, Middle-East & Africa , Public Sector Conference ,Moscow April2003

Governancehttp://www.worldbank.org , Finger, Matthias, “from E-government to E-governance?toward a Model of E-governance ”http://www. ejeg. com.

https://pcicompliance.stanford.edu/sites/g/files/sbiybj7706/f/pci_dss_v3-2.pdf

https://rightweb.irc-online.org/profile/committee_on_the_present_danger

https://www.diva-portal.org/smash/get/diva2:889387/FULLTEXT01.pdf

ISACA, https:// www. isaca. org/ Knowledge- Center/ Academia/ Documents/ Model- Curriculum-InfoSecMgmt-2ndEd.pdf

John Rushby. 1986. The Bell and La Padula Security Model. Computer Science Laboratory SRI International Menlo Park .USA, https://pdfs. semanticscholar. org/ffe2/b8473a61050102f6ec7ffc6dceba98bef00f.pdf

Johnson ,Isable ,“Redefining the concept of Governance/http://www.acdi-cida.gc.ca/

Kiely Laree and Benzel Terry .1998 . an introduction to the business model for information security. ISACA.ORG : ، at the USC Marshall School of Business Institute for Critical Information Infrastructure Protection

McGladrey. 2011. IT Governance & The COBIT 5.0 Framework , https://www.isaca.org/chapters3/Atlanta/AboutOurChapter/Documents/ISACA_ATL-032114-ITGovandCOBIT5.pdf

Muhammad Imran Assad. 2015. Guidelines for ITIL Implementation A Framework for IT Service Management.

NIST SP800-26(FITSAF) .2013. Security self-assessment guide for information technology systems. Department of Commerce. USA

Palmer,Mark. 2012. POLITICS-US: Hawks Plan ‘Peaceful’ Regime Change in Iran.

Robin Cover. 2002 e-Government Interoperability Framework (e-GIF) http:// xml. coverpages.org/egif-UK.html Editor: robin@oasis-open.org

SSC, Security Standards Council. April 2016. Payment Card Industry (PCI) Data Security Standard(DSS) v3.2,

www.gartner.com

Barakat Mohamed. 2018. An Introduction to Cryptography, Christian Eder, Timo Hanke. First Edition. https://www.mathematik.uni-kl.de/~ ederc/ download/Cryptography.pdf

Cisco. 2016. How Virtual Private Networks Work . Document ID: 14106. https:// www. cisco. com/ c/ en/ us/ support/ docs/ security- vpn/ipsec-negotiation- ike-protocols/14106-how-vpn-works.pdf

Gutmann, Peter2015. University of Auckland. https://www.cs.auckland.ac.nz/~ pgut001/pubs/pkitutorial.pdf

Drahansky Martin , Filip orsag. 2014.. Biometric Security Systems: Fingerprint and Speech Technology research based, http://www.fit.vutbr.cz/~orsag/ IICAI-03.pdf