پژوهش های انجام شده در مورد ارائه مدلی جهت ... |
مرحله سوم
خروجی ها
گزارش مدیریت ریسک و ارتباطلات و منابع انسانی پروژه امنیتی
محاسبه درجه اطمینان امنیت اطلاعات و تایید آن
ورودی ها
ابزار ها و تکنیک ها
مرحله چهارم
خروجی ها
گزارش مدیریت یکپارچگی و کیفیت و امنیت پروژه امنیتی
محاسبه درجه اطمینان امنیت اطلاعات و تایید آن
نمودار۵- امنیت اطلاعات از سال ۲۰۰۴ تا ۲۰۱۳ در انگلستان
۱ -
مدیریت تدارکات در هر پروژه ای، کالا و خدمات مورد نیاز جهت انجام آن پروژه را از خارج از آن سازمان تامین می کند. در خصوص پروژه های امنیتی نکته در این است که این موضوع دلیلی برای ارتباط نفرات دخیل در پروژه امنیتی با خارج از سازمان است. لذا شناخت و اعتماد سازمان مجری، به افراد تدارکات بسیار ضروری است. چرا که از همین ارتباطات ساده، اطلاعات یک پروژه امنیتی می تواند فاش شود و بر سرنوشت آن پروژه تاثیر بگذارد.
( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
در گام اول باید نیازهایی از پروژه که می توان آنها را از خارج سازمان پروژه تامین کرد شناسائی شده و تعیین شود که آیا این تدارک انجام شود یا خیر؟، در صورت پاسخ مثبت چگونگی انجام باید مشخص شود، مقدار تدارک و زمان آن نیز باید معین شود. پس از آن باید برای پشتیبانی از این درخواست تدارکات، اسناد آن آماده سازی شوند.
در گام بعدی باید از فروشندگان آتی تدارکات پیشنهادهای بهاء و طرحهای پیشنهادی در مورد چگونگی تحقق نیازهای پروژه اخذ شود. پس از این کار باید برای انجام امور تدارکات یک منبع تدارکات در خارج از سازمان را انتخاب نمود، که برای این انتخاب باید بر اساس معیارهای مهم برای سازمان پروژه ارزیابی از منبع انجام شده و انتخاب آن صورت پذیرد. در پروژه های امنیتی یا پروژه های غیر امنیتی که کاربرد امنیتی دارند اینکه سازمان پروژه از منبع تدارکات در خارج از سازمان چه میزان شناخت دارد و چه میزان به آن اعتماد دارد یکی از اصلی ترین ملاکهای ارزیابی منابع تدارکات در پروژه های امنیتی است.
در گام نهائی باید طی روشی، اطمینان حاصل نمود که عملکرد فروشنده(منبع تدارکات) الزامات پیمان را محقق می سازد. و با صحت سنجی محصول و ثبت و بروز آوری سوابق به منظور انعکاس بهتر نتایج نهائی، فرایند اجرای تدارکات را خاتمه داد.
۲ -
مدیریت ارتباطات در پروژه ها تنظیم کننده روابط بین افراد، نظرات و اطلاعاتی است که برای موفقیت پروژه لازم هستند. حال در پروژه های امنیتی آنچه از این موضوع اهمیت دارد این است که اگر پازل اطلاعات ذهنی افراد پروژه در کنار یکدیگر قابلیت تکمیل شدن داشته باشد، آنگاه احتمال فاش شدن ماهیت پروژه وجود دارد که باید از وقوع آن جلوگیری کرد.
در گام اول باید برای این ارتباطات برنامه ریزی کنیم. یعنی تعیین کنیم چه کسی به چه اطلاعاتی نیاز دارد، چه موقع به آن اطلاعات نیاز دارد و چگونه و توسط چه کسی این اطلاعات باید به او داده شود. حال با تنظیم این موارد می توان به سمتی حرکت کرد که از در کنار هم قرار گرفتن اطلاعاتی که افراد دارند، خطر فاش شدن اسرار، پروژه امنیتی را تهدید نکند. پس از آن وقتی مشخص شد که اطلاعات باید به دست چه کسانی برسد این نکته مهم است که آن اطلاعات باید به موقع به دست افراد مدنظر برسد. یعنی نه زودتر از زمانبندی پروژه و نه دیرتر از آن.
در گام بعدی برای آگاهی از نحوه مصرف منابع در راستای اهداف پروژه باید اطلاعات عملکردی پروژه به منظور گزارش دهی، گردآوری شود. و در نهایت باید نتایج پروژه مستندسازی شده تا محصول پروژه توسط سرمایه گذار پذیرش رسمی گردد. برای این کار باید سوابق پروژه جمع آوری شده، از انعکاس مشخصه های نهائی پروژه مطمئن شویم و موفقیتها، اثربخشی و آموخته های پروژه را تحلیل و بایگانی کنیم.
۳ -
در پروژه ها معمولا مدیریت منابع انسانی دربرگیرنده فرآیندهایی است که برای دست یابی به اثربخش ترین کاربری از افراد درگیر در پروژه لازم می باشد. آنچه که در مورد پروژه های امنیتی در این بخش اهمیت دارد این است که تمام تیم نیروی انسانی پروژه باید کارمندان رسمی آن سازمانی باشند که قصد اجرای یک پروژه امنیتی را دارد و در صورت ضعف در دانش فنی برای این تیم کلاس آموزشی درنظر گرفته شود. زیرا دانش فنی کار را می توان با کلاس آموزشی به یک نفر انتقال داد لیکن اعتماد و اطمینان به یک نیروی سازمانی، با برگزاری کلاس آموزشی تامین نمی شود.
برای انجام این مهم در گام اول باید اقدام به شناسائی، مستندسازی و واگذاری نقش ها و مسئولیتها در پروژه کرد که هر کدام از آنها می تواند به افراد یا گروه های کاری واگذار گردد. نکته مهمی که برای پروژه های امنیتی باید به آن دقت کرد این است که چون تیم نیروی انسانی، کارمندان سازمان مطبوع ما می باشند پس به روحیات تک تک افراد این تیم شناخت وجود دارد و برای تفویض مسئولیتهای پروژه این نکته باید در نظر گرفته شود.
در گام بعدی باید برای کار در پروژه، نیروی انسانی مناسب جذب کرد. با توجه به توضیحاتی که در بالا گفته شد برای انتخاب نیرو از بین کارمندان سازمان مجری پروژه باید نکته ای را مورد توجه قرار داد و آن اینکه اولویت انتخاب نیرو از بین کارمندان با افرادی است که سازمان مجری، اعتماد و اطمینان بیشتری به آنها دارد که در صورت داشتن ضعف در دانش فنی، لازم است کلاس آموزشی برای آنها برگزار گردد. در نهایت برای توسعه تیم باید اقدام به افزایش توانائی افراد تیم بصورت انفرادی و تیمی نمود تا بدین صورت نتیجه بهتری حاصل گردد.
۴ -
مدیریت هزینه پروژه ها در بر گیرنده فرآیندهای مورد نیاز برای حصول اطمینان از تکمیل پروژه با بودجه مصوب است. حال با توجه به اینکه در تمام سازمانها علاقه زیادی به کاهش هزینه های تمام شده هر پروژه وجود دارد، ممکن است دشمنان به روش های مختلف حاضر باشند حتی بخش از یک پروژه امنیتی را رایگان انجام دهند، فقط برای اینکه درون تیم نفوذ کرده و اطلاعات کسب کنند. در مدیریت هزینه پروژه های امنیتی توجه به این نکته بسیار ضروری است.
در این راستا باید برنامه ریزی کرد که چه منابعی و از هر منبع چه میزان و در چه زمانی برای انجام فعالیت های پروژه مورد نیاز است. در خصوص پروژه های امنیتی باید دقت کرد منابعی که از لحاظ زمان مورد نیاز برای انجام فعالیت های پروژه با هم همپوشانی دارند، تا حد ممکن به اطلاعات مهمی از پروژه دسترسی نداشته باشند و اطلاعاتی که در اختیارشان قرار می گیرد حتی در صورتیکه کنار هم قرار بگیرند به اطلاعات با ارزشی تبدیل نشود.
در گام بعدی برای منابع مورد نیاز باید یک برآورد هزینه انجام داد تا بتوان یک تخمین از هزینه کل پروژه را بدست آورد. سپس باید این هزنیه را به تک تک فعالیت ها یا بسته های کاری جهت تشکیل مبنای هزینه برای اندازه گیری عملکرد پروژه شکست و به هر یک تخصیص داد و پس از آن در صورت وقوع هر نوع تغییر احتمالی، باید این تغییر توسط ذی نفعان پروژه مورد توافق قرار گیرد و هزینه مبنای تغییر یافته تشخیص داده شود. و این تغییرات واقعا در لحظه وقوع مدیریت و کنترل شوند.
۵ -
همان طور که می دانید هر کاری که در عمل به طولانی شدن زمان اجرا برخورد کرد، در حاشیه قرار خواهد گرفت و کارهای مهم تر از آن برای آن سازمان به وجود خواهد آمد. در این بین احتمال فاش شدن اطلاعات و اسناد پروژه به علت طولانی شدن زمان اجرا بسیار زیاد می شود. پس در مدیریت زمان پروژه های امنیتی باید از به وقوع پیوستن تعلل در کار جلوگیری کرد. مدیریت زمان در هر پروژه ای دربرگیرنده فرآیندهای مورد نیاز جهت حصول اطمینان از تکمیل به موقع پروژه است.
برای انجام این مدیریت باید بدانیم کل پروژه شامل چه کارهائی است و هر کار نیز شامل چه بخش هائی است. تمام این موارد باید شناسائی شوند و مستندات آنها تولید گردد که بهترین منبع برای این کار ساختار شکست کار (WBS) است. در این شناسائی و مستندسازی ارتباطات منطقی بین فعالیتها و توالی آنها را هم باید استخراج کرد. حال به علت اینکه این کار یک پروژه امنیتی است عدم تدبیر درست در تعیین توالی کارها ممکن است به فاش شدن اسرار و اطلاعات پروژه منجر شود.
برای انجام هر یک از کارها و بخش های هر کار باید با توجه به منابع و محدوده پروژه یک برآورد زمانی استخراج شود تا با لحاظ کردن وابستگی و عدم وابستگی منطقی بین کارها بتوان یک نمودار زمانی برای انجام پروژه تهیه کرد و برآورد زمانی کل پروژه را استخراج نمود. البته در این محاسبه باید زمان سپری شده برای برخی کارهای انجام شده را نیز درنظر گرفت. حال با توجه به شناسائی جوانب کار می توان برای هر یک از فعالیتهای پروژه تاریخ های شروع و پایان تعیین کرد.
نحوه مدیریت و کنترل این زمان بندی به این شکل است که اگر تغییراتی بخواهد در برنامه زمان بندی ایجاد گردد ابتدا همه تصمیم گیرندگان باید بر روی آن اتفاق نظر داشته باشند. سپس برای چگونگی وقوع آن و مواردش تصمیم بگیرند و در نهایت به محض رخ دادن تغییرات در زمان خودش آن را مدیریت کنند.
۶ -
مدیریت محدوده پروژه های امنیتی در واقع یعنی تعیین مرز اینکه چه کاری را می توان به شرکت های اقماری داد و چه کاری باید حتما در انحصار تیم خود مجموعه امنیتی باشد. پس از اینکه با کار کارشناسی دقیق و گسترده محدوده امور مربوط به تیم خود مجموعه و شرکت های اقماری مشخص شد گام بعدی تصویب رسمی پروژه است که شروع کار در اینجاست. در گام بعدی، این پروژه تصویب شده باید مستند سازی شود و هر یک از بخش های آن به تفصیل شرح داده شود. نکته اینکه هر بخش از این مستند فقط باید در اختیار کسی قرار گیرد که باید آن کار را انجام دهد و کل آن فقط باید در اختیار تیم مدیریت پروژه باشد. در تدوین بخش ها باید تا حد ممکن هر بخش مستقل از دیگری باشد لیکن بخش ها از محدوده اصلی کار خارج نشوند تا قابل کنترل و مدیریت باشند. پس از شفاف شدن حد و مرزهای اصل پروژه و بخش های آن، گام بعدی پذیرفتن رسمی این محدوده ها توسط سازمانها یا اشخاص حقوقی ذینفع در پروژه است.
نتیجه این گام آن است که هر یک از بخش های این کار امنیتی از نگاه مسئولیتهای مختلف مورد بازبینی امنیتی قرار می گیرد و در صورت عدم مشکل تایید می شود. در گام پایانی نوبت به اتفاقاتی می رسد که محدوده پروژه امنیتی را تغییر می دهند و آنهایی که این محدوده را تغییر نمی دهند. اگر یک اتفاق رخ دهد که تیم مدیریت پروژه امنیتی تایید کند که در محدوده پروژه اثر گذار است، آنچه که تا کنون بیان شد باید از ابتدا مورد بازبینی قرار گیرد. در گام پایانی باید افرادی در جلسه تصمیم گیری حضور داشته باشند که در آن سازمان از مقام بالایی برخوردار باشند تا بتوانند مسئولیت و تبعات تصمیمات متخذه را بر عهده بگیرند.
۷ -
در این بخش فرآیندهایی از استاندارد PMBOK مطرح است که اطمینان می دهد هماهنگی مناسبی بین عناصر مختلف پروژه امنیتی اتفاق می افتد. برای کنترل این هماهنگی کار را در سه بخش انجام می دهیم:
۷-۱- تدوین برنامه ای برای این کنترل: برنامه ای که بتواند عناصر مختلف پروژه امنیتی را کنترل و هماهنگ کند باید از خروجی سایر فرآیندها و همچنین سند برنامه راهبردی کل پروژه امنیتی به عنوان ورودی استفاده کند. سرانجام این تلاش تولید یک سند برنامه با ثبات و جامع است که هدایت اجرای یک پروژه امنیتی و کنترل آن را به عهده می گیرد.
۷-۲- اجرای این برنامه: در اجرای برنامه های تدوین شده، دقت در اجرا ضامن کیفیت خروجی کار است. حال در پروژه های امنیتی این موضوع دوچندان نمود پیدا می کند. چرا که رعایت نکات امنیتی مجریان برنامه تدوین شده است که تامین کننده خروجی پروژه های امنیتی است. زیرا در پروژه های امنیتی کاهش دقت در انجام کار پروژه یعنی افزایش احتمال ریسک و فاش شدن(لو رفتن) اصل کار پروژه. پس در این پروژه ها کاهش دقت در انجام کارها به معنای لغو شدن اصل پروژه و حذف شدن خروجی آن است.
۷-۳- کنترل تغییرات احتمالی: در کنترل تغییرات قدم نخست تشخیص و تعیین این مطلب است که یک تغییر رخ داده است. پس از آن کنترل و مدیریت آن تغییر دارای اهمیت است و در نهایت حصول اطمینان از اینکه آن تغییر پذیرفته شده است یا خیر. چرا که پذیرش یک تغییر در پروژه به معنای تغییر در برنامه پروژه و تغییر در اجرای برنامه و سایر مراحل بعدی است. پس اینجا کنترل یکپارچگی در زمان پذیرش یک تغییر مهم است.
نمودار ۶ - بررسی مدیریت پروژه امنیت اطلاعات در سال ۲۰۱۲
نمودار ۷ - بررسی مدیریت پروژه امنیت اطلاعات در سال ۲۰۱۲ طبق استاندار PMP
بندی عوامل مدیریت پروژه های امنیتی
پس از بررسی عوامل مدیریت پروژه های امنیتی و همچنین بررسی جامع و کامل سه عامل کیفیت ، ریسک و امنیت پروژه های امنیتی نوبت به اولویت بندی هر یک از این عوامل رسیده است . اولویت بندی بدین معناست که میخواهیم بدانیم کدام یم از این عوامل از درجه بالاتری برخوردار است . پس هر چه اولویت کمتر باشد از اهمیت بالاتری برخوردار است .
پس از بررسی و گفتگو با چندین استاد مهندسی نرم افزار و امنیت اطلاعات نتیجه زیر جهت اولویت بندی هر یک از این عوامل بدست آمد :
شایان به ذکر است هر چه مقدار عدد اولویت کمتر باشد از درجه بالاتری برخوردار است .
عامل مدیریت پروژه های امنیتی |
فرم در حال بارگذاری ...
[دوشنبه 1400-09-29] [ 02:37:00 ق.ظ ]
|