در این رابطه باید همواره از تهدیدات روز دنیا مطلع بود. مثلا در نظر بگیرید با توجه به نیازهای امروز، پروژه ای تعریف شود در راستای برقرای امنیت در ارتباطات شبکه ای( هر شبکه ای مثل تلفن سیار یا …) ولی شاید در حین انجام این پروژه تا رسیدن به محصول، که ممکن است چند ماه یا یک سال یا بیشتر به طول بیانجامد، حمله جدیدی کشف یا ارائه شود که قاعدتا محصول در حال ساخت کارایی مناسبی نداشته باشد.
پس در بحث کیفیت در پروژه های امنیتی، اولا در قسمت نیاز سنجی باید سطح سواد و آشنایی بالایی نسبت به علم روز وجود داشته باشد و علاوه بر آن در صورت رخداد مسئله ای مشابه مسئله مطرح شده، سریعا با مطلع سازی بخش مدیریت ریسک، تصمیم لازم در جهت تغییر روند اجرای پروژه یا حتی تعطیل نمودن ادامه پروژه برای جلوگیری از صرف هزینه بی جا یا آسیبهای جدی تر گرفته شود.
( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
در نهایت نیز باید توانایی تست کارایی با خواسته های اولیه در قسمت کنترل کیفیت وجود داشته باشد. باید تعریف دقیقی از کیفیت یک پروژه داشته باشیم. کیفیت یعنی چیز هایی که با استاندارد های شناخته شده قابل مقایسه اند و مجموعه ای از ویژگی های قابل اندازه گیری است. و حالا تعریف کیفیت یک پروژه ی امنیتی عبارت است از مطابقت با خواسته های عملیاتی و کارایی که به طور واضح بیان شده یعنی عدم مطابقت با خواسته ها یعنی عدم کیفیت، مطابقت با استاندارد های توسعه ای که به طور واضح مستند سازی شده یعنی اگر این استاندارد ها و ملاک ها دنبال نشوند نتیجه عدم کیفیت است و مطابقت با ویژگیهای دیگر مثل خواستن سهولت کاربرد و قابلیت بالا که از همه ی پروژه های حرفه ای انتظار می رود که اگر این خواسته ها در آن نباشد کیفیت پروژه تهدید می شود.
در تأمین کیفیت پروژه های امنیتی میبایست باید بازرسی و بازبینی پروژه جهت اطمینان از انطباق آنها با استانداردها و روش های اجرایی مناسب است. پروژه امنیتی موفق، مستلزم وجود تیم پروژه موفق با همکارانی خبره در جهت رسیدن به کیفیت قابل قبول مطابق با استانداردها میباشد. بدین منظور گروههای تأمین کیفیت شامل سه گروه کنترل کیفیت، تضمین کیفیت و نظارت بر کیفیت میباشد که برای هر یک از آنها، فعالیتهایی در جهت رسیدن به کیفیت قابل قبول برای پروژه تعریف میشود. فعالیتهای تأمین کیفیت، به عنوان یکی از فعالیتها در مدیریت پروژه مطرح است به گونهای که با انجام این فعالیتها، گروههای تأمین کیفیت در برنامهریزی و رعایت استانداردهای پروژه همکاری نموده، به عنوان گروههای مستقل، روش انجام فعالیتها و فرآوردهها را بازرسی و از صحت انجام آنها اطمینان حاصل مینمایند. فعالیتهای تأمین کیفیت، بر اساس متدولوژی مشخصی انجام میپذیرد.
-
- تأمین کیفیت یعنی بازرسی و بازبینی فرآیندها و محصولات پروژه جهت اطمینان از انطباق آنها با استانداردها و روش های اجرایی مناسب. به نظر من در درجه اول باید یک گروه تامین کیفیت پروژه تشکیل گردد (راهکار اول).
-
- یکی از راه های تامین مدیریت کیفیت در پروژه های امنیتی اجرای برنامه کنترل کننده پروژه است برای تمرکز و تسلط بیشتر برنحوه انجام پروژه. به عبارت دیگر بررسی و کنترل پروژه که آیا موافق با فهرست اجرای برنامه پیش میرود یا خیر؟ (راهکاردوم).
-
- مدیریت نرم افزاری پروژه برای نظارت بر نحوه ی تکامل وظایف (راهکار سوم).
-
- چرا که در صورت عدم اجرای پروژه مطابق برنامه، هیچ تغییری صورت نمی گیرد. چون هدف از انجام فعالیتهای تأمین کیفیت، همکاری با تیم پروژه برای رسیدن به کیفیت قابل قبول است، بنظر من بهتر است که گروههای تأمین کیفیت، نتایج بازبینی و بازرسی های انجام شده شان را بصورت گزارشهای دورهای و موردی به مدیران پروژه ارائه نمایند(راهکار چهارم).
-
- گروههای تأمین کیفیت شامل سه دسته است: ۱- کنترل کیفیت ۲- تضمین کیفیت ۳- نظارت بر کیفیت ، باید برای هر کدام از این سه گروه، فعالیتهایی جهت رسیدن به کیفیت قابل قبول برای پروژه تعریف شود (راهکار پنجم( .
-
- فعالیتهای تأمین کیفیت به عنوان یکی از فعالیتها در مدیریت پروژه ها مطرح است. پس با انجام این فعالیتها باید گروههای تأمین کیفیت در برنامهریزی و رعایت استانداردهای پروژه همکاری نموده به عنوان گروههای مستقل روش انجام فعالیتها و فرآوردهها را بازرسی کنند و از صحت انجام آنها اطمینان حاصل نمایند (راهکار ششم).
-
- فعالیتهای تأمین کیفیت بر اساس متدولوژی مشخصی انجام می شوند. در این متدولوژی باید روشها، فرآیندها، محدوده انجام فعالیتها، پروتکلهای تعامل میان ذینفعان پروژه در ارتباط با تأمین کیفیت و روشها و ابزارهای مشخصی جهت انجام فعالیتهای تأمین کیفیت ارائه گردد (راهکارهفتم).
اساسی ترین بخش در پروژهای امنیتی این است که باید استانداردها و راه های تحقق مشخص شود تا بدانیم در بحث کیفیت پروژه چه چیزهایی را باید بدست آوریم. تیم پروژه باید کفایت لازم و کافی را در جهت به ثمر رساندن این پروژه داشته باشند. داشتن تیمی که جهت حرکت پروژه را در یک مسیر مشخص حفظ کند الزامیست.
بررسی استاندار کیفیت و ساختار و محتوای ۹۰۰۱:۲۰۰۰ ISO
در مقدمه این استاندارد به وضوح در مورد مشتری گرایی و اهمیت آن برای تمامی انواع سازمانها با اندازههای مختلف اشاره شده است. بنابراین اجرای سیستم مدیریت کیفیت بر اساس این استاندارد عمدتاً به عنوان توانایی سازمان در برآوردن نیازمندیهای مشتری محسوب میگردد. هدف از استقرار سیستم مدیریت کیفیت ISO 9001:2000 ایجاد یک سیستم مدیریت کیفیت یکسان برای کلیه سازمانها نمیباشد. زیرا سیستم مدیریت کیفیت میبایست بر روی هدف سازمانی، نیازمندیهای مشتری، محصولات، خدمات و فرآیندهای به خصوص هر سازمان متمرکز باشد. سیستم مدیریت کیفیت باید با توجه به نوع و اندازه سازمان انتخاب گردیده و اگر خواستههای مشتری و نیازمندی قانونی یا نوع محصولات و خدمات دربازه نیازمندی خاصی کاربرد ندارد باید آن نیازمندی را حذف نمود. حذف نیازمندیهای خاصی که در سازمان کاربرد ندارند به بند هفتم از استاندارد جدیدی محدود شده است. بند چهارم قوانین مقدماتی این استاندارد را شرح میدهد. نیازمندیهای مربوط به اخذ گواهی نامه برای سازمانها به طور خاص در بندهای ۵ تا ۸ از استاندارد Iso 9001:2000 آمده است. نیازمندیهای عنوان گردیده در بندهای ۵ تا ۸ مشخص میکنند که الزامات استاندارد برای استقرار سیستم مدیریت کیفیت چیست ولی چگونگی تأمین آنها به سازمان واگذار شده است. بنابراین بایستی الزامات مندرج در استاندارد را به خوبی شناخت و آنها را با توجه به فعالیتها و فرآیندهای سازمان مورد تحلیل قرار داده و در نهایت بین آنها هماهنگی و انطباق بوجود آورد. گر چه نیازمندیهای عمومی در بند چهارم مطرح گردیده، اما تعداد زیادی از کارشناسان معتقدند که این نیازمندیها با توجه به محتوی و موضوعات مربوطه در بندهای ۵ تا ۸ نیز توضیح داده شدهاند.
نمودار۱۱ – نمودار مشکلات
جهت ادامه این استاندارد به پیوست ۲ مراجعه فرمایید . انواع مشکلات را در شکل زیر میتوانید مشاهده نمایید :
۳ –
مدیریت پروژه های امنیتی مستقل از مباحثی که پیرامون استاندارد سازی و ساختاردهی دارد، در روش سنتی حاوی اصولی است که تخطی از آنها در مرحله اول مشکلات امنیتی برای آن سازمان به بار می آورد و در مرحله بعدی آن پروژه را از اساس متلاشی می کند. به این موارد باید به دقت عمل کرد، زیرا عمل نکردن به آنها نتیجه اش کاهش کیفیت کار یا تاخیر در زمان تحویل پروژه و یا افزایش هزینه های پیمانکار نیست، بلکه پیامدهای آن مواردی است که در بالا اشاره شد.
در هر پروژه که بصورت تیمی اجرا می شود، کل کار پروژه به تعدادی پروژه های کوچک تر شکسته شده و در نهایت نتیجه پروژه های کوچکتر با یکدیگر ادغام می شوند و خروجی پروژه اصلی تولید می شود. از طرفی اغلب شرکت های بزرگ، در انجام پروژه های کوچک شکسته شده از شرکت های دیگر کمک می گیرند و به این شکل به شرطی که خروجی زیرپروژه ها به یکدیگر وابسته نباشد، با موازی کاری در روند پیشرفت کار زمان انجام کل کار را کاهش می دهند. مطلب دیگری که در این بین اهمیت دارد این است که یک شرکت خودروسازی ممکن است لاستیک خودروی خود را تولید نکند و آن را از یک شرکت لاستیک سازی تهیه نماید اما هیچگاه زیرپروژه طراحی و تولید موتور خودرو را به شرکت دیگری واگذار نمی کند. که در این صورت ماهیت تولید کنندگی خودرو را از دست داده و به یک مونتاژکار خودرو تبدیل می شود. در پروژه های بزرگ نیز باید آن بخش زیرپروژه اصلی کار و اسمبل کردن سایر ماژولها که منجر به تولید خروجی نهایی کار می شود را پیمانکار اصلی انجام دهد. حال در پروژه های امنیتی این پیمانکار اصلی باید خود کارفرما باشد. یعنی کارفرما باید یک تیم حرفه ای به لحاظ فنی را جمع آوری کرده، آنها را در استخدام خود درآورد و کار تقسیم زیرپروژه ها، انجام زیرپروژه اصلی، یکپارچه سازی و تولید خروجی نهایی را به آنها بسپارد. نکته مهم در اینجاست که گروه هایی که کار انجام زیرپروژه های غیر اصلی را به عهده دارند نباید از هدف اصلی پروژه مطلع باشند. هدف نهایی پروژه را فقط و فقط باید آن تیمی اطلاع داشته باشد، که به استخدام کارفرما در آمده است .
داشتن یک مدیر قابل و توانا در یک پروژه بسیار مهم است که قادر به مدیریت تمام قسمتها باشد و همچنین تفویض وظایف اعضای تیم بر اساس توانایی و اعتماد باشد و داشتن یک تیم اصلی و تیم زیرگروهها که کارهای امنیتی و حائز اهمیت با تیم اصلی باشد و کارهایی که بر امنیت پروژه کمتر تاثیر دارد با زیرگروهها باشد که این تعیین افراد و زیرگروهها و وظایف هر کدام برعهده مدیر می باشد. در توضیح این مسئله که وقتی پروژه ای به اتمام رسید . مسلماً بهره برداری می شود آیا در بهره برداری دچار مشکل یا عیب و نواقصی نمی گردد . اگر دچار نقص شد سازمان یا دسته ای وجود دارد تا این عیب را برطرف کند . در مورد به روز کردن پروژه هم در یک فاصله زمانی ممکن است پروژه فوق کار آمد باشد ولی پس از مدتی اگر به روز نگردد آیا باز هم کار آمد خواهد بود ؟
موارد ذیل بنظر می رسد باید در کار لحاظ گردد: وجود تیم نظارتی مسلط بر کار پروژه های شکسته شده که توسط شرکت های پیمانکار انجام می گیرد – تعیین سطح دسترسی کارکنان به داده ها توسط مدیر پروژه – پارامترهای امنیتی توسط مدیر شبکه اعمال گردد. نکاتی که در کارایی پروژه حائز اهمیت است:
۱- داشتن مدیر: ویژگی های یک مدیر با کفایت:
-
- صادق و قابل اعتماد بودن
-
- بیان انتظارات به صورت شفاف
-
- شناخت تیم
-
- استثناء قائل نشدن
-
- نگریستن به جایگاه خود از دو دیدگاه: مربی و رهبر.
۲- انتخاب تیم: توسط مدیر انجام شود. از ویژگی آنها: قابل اعتماد بودن و بالا بودن حس کار گروهی.
۳- انتخاب زیرگروه ها: این افراد با نظارت مدیر و توسط تیم انتخاب شوند. از ویژگی آنها: بالا بودن حس کار گروهی در این بند از اهمیت ویژه ای برخوردار است.
یکی از کارهایی که در بحث مدیریت امنیت پروژه های امنیتی باید رعایت شود استاندارد سازی پروژه که شامل طراحی، پیادهسازی، ارزیابی و اصلاح می باشد و برای اجرا و امنیت پروژه نکات زیر را در نظر بگیریم:
۱- تدوین و تصویب سیاستهای کلی امنیت اطلاعات و ارتباطات
۲- شناسایی و طبقهبندی داراییهای اطلاعاتی
۳- شناسایی و ارزیابی مخاطرات
۴- ارائه طرح مقابله با مخاطرات
۵- طراحی تشکیلات سازمانی مدیریت امنیت اطلاعات
۶- تدوین دستورالعملها و رویه های امنیت اطلاعات
۷- تعیین آموزشهای لازم برای پرسنل
اول : اینکه شخصی را در مجموعه قرار دهیم که مسئول روابط و مشخص کردن افرادی باشد که وارد سیستم می شوند. یعنی هر کس به تناسب رابطه ای که با یکی از اشخاص مجموعه دارد نتواند وارد مجموعه شود و آن شخص تمام افرادی که وارد این سیستم می شوند را کاملا بشناسد. این شخص یا گروه از هر شخصی که عضو مجموعه است یک نشان یا یک چیزی مانند تکه کلام یا یک مشخصه ای که فقط برای همان فرد باشد را بداند که احیانا اگر اتفاقی برای کسی افتاد نتوانند با تغییر چهره وارد شوند. دوم : سیستم طوری طراحی شده باشد که به ازای هر فرد سیستم حتی کوچکترین عضو مجموعه که تاثیر چندانی بر روی مجموعه ندارد، یک عضو جایگزین و متعهد وجود داشته باشد که اگر به هر دلیلی هر یک از اعضا نتوانستند به فعالیت خود ادامه دهند از آن گروه قابل اعتماد، جایگزینش را قرار دهیم.
برای انجام پروژه های امنیتی نیروی انسانی و تعهد شخص به سازمان مربوطه از ارکان مهم انجام کار است و در مراحل بعدی اشخاص مطابق تخصص در باکسهای مختلف پروژه باید مشغول باشند. در ضمن کارکنان باید از طریق سازمانهای ذی صلاح تایید شوند.
فصل ششم : پیاده سازی الگورتم الگوریتم پیشنهاد شده
در یک پروژه امنیت اطلاعات (مطالعه موردی) و نتیجه گیری
در فصل قبل ، الگوریتم پیشنهاد شده را به طور جامع و کامل بررسی نمودیم و معیار های مهم آن را توضیح دایم . در این فصل میخواهیم الگوریتم فوق را در یک پروژه تست نموده و عملکرد آن را طی بخش های زیر بررسی نماییم :
-
- در بخش اول به معرفی پروژه و هدف از انجام آن میپردازیم .
-
- در بخش دوم به بررسی مشکلات به وجود آمده در حین و پایان پروژه (قبل از اجرای الگوریتم ) پرداخته و به شرح آنها میپردازیم .
-
- در بخش سوم پروژه را در قالب الگوریتم پیشنهادی پیش برده و به پایان میرسانیم .
-
- در بخش چهارم طبق فرمول پیشنهاد شده میزان امنیت اطلاعات را به صورت کمی اندازه گیری مینماییم .
-
- در بخش پنجم نیز به نتیجه گیری ، مزایا و معایب این الگوریتم میپردازیم .
بخش اول :
عنوان پروژه عبارت است از : پیاده سازی اتوماسیون کنترل تردد جهت حفظ امنیت و کنترل ورود و خروج پرسنل .