چکیده:
امروزه، فناوری اطلاعات و ارتباطات، بخش جداییناپذیری از زندگی روزمره افراد و شرط بقای سازمانها است. هر کسبوکاری بهمیزان توانایی و نیاز خود، از فناوری اطلاعات در بخشهای مختلف استفاده میکند. این وابستگی به فناوری اطلاعات و ارتباطات، برای سازمانها، مشکلات امنیتی فراوانی را ایجاد میکند. از طرفی باید توجه داشت که تداوم کسبوکار و ارائه خدمت توسط یک سازمان فقط، در سایه امنیت تحقق خواهد یافت. از این رو، ضرورت توجه به جنبههای مختلف امنیتی برای ساماندهی به فعالیتهای ایمنسازی سازمانها، از جمله در شرکتهای تابعه وزارت ارتباطات و فناوری اطلاعات، بیش از پیش نمایان میشود. مهندسی الزامات امنیتی، برای مواجهه سیستماتیک با مسائل امنیتی، راهکاری شناختهشده و مؤثر است. بر این اساس، شرکتهای زیرمجموعه وزارت ارتباطات و فناوری اطلاعات با بهرهگیری از روشهای مهندسی الزامات امنیتی میتوانند بهصورت بهینه با مشکلات امنیتی فناوری اطلاعات و ارتباطات روبهرو شوند. در این راستا، مدل سنجش بلوغ مهندسی الزامات امنیتی میتواند بهعنوان یک نقشه راه استاندارد باز، برای ارزیابی بلوغ این نوع شرکتها محسوب شود. هدف این پژوهش، ارائه مدل سنجش بلوغ مهندسی الزامات امنیتی برای شرکتهای تابعه وزارت ارتباطات و فناوری اطلاعات بوده و تأکید آن بر ملاحظات رویهای و فرایندی تبیین الزامات است. برای این منظور، چارچوبها و مدلهای مرجع مهندسی الزامات امنیتی با استفاده از روش فراترکیب ارزیابی شده و فرایندها و روالهای امنیتی مربوط به تبیین الزامات در قالب مدل مفهومی پیشنهادی سنجش بلوغ، ساماندهی شدهاند. این مدل بلوغ از طریق انجام مصاحبه با خبرگان شرکتهای منتخب اعتبارسنجی و تحلیل شده و برای بهبود مهندسی الزامات امنیتی در این شرکتها، پیشنهادهایی ارائه شده است.
Nowadays, information technology and communication are an integral part of everyday life of individuals and the condition of the organizations survival. Every business uses the amount of information technology it needs in different parts. This dependency on IT and communications, creates a lot of security problems for organizations. On the other hand, it should be noted that business continuity and service delivery by an organization will only be realized in the context of security. Therefore, the necessity of attention to various aspects of security to organize the organization's security activities, including in telecommunications companies, is becoming more and more evident.security requirements engineering is a well-known and effective solution to systematically facing security issues. Based on this, telecommunication companies can utilize security requirements engineering techniques to meet the security challenges of information technology and communications in an optimal way. In this regard, the maturity assessment model for security requirements engineering can be considered as an open standard road map to evaluate the maturity of telecommunications companies. The purpose of this research is to provide a maturity assessment model for security requirements engineering for for telecommunications companies, and emphasizing on procedural and process considerations of explaining the requirements. For this purpose, the source frameworks and models of security requirements engineering have been studied and and the security processes and procedures related to the requirements explaining have been organized in the form of a conceptual model of maturity assessment. This maturity model has been validated and analyzed through interviewing the experts of selected specialist of telecommunication companies and suggestions have been made to improve the security requirements engineering in these companies.