ارزيابی امنيتی برنامه‌های تلفن همراه (بخش اول)- برنامه‌ريزی (قسمت 2)

شماره: IRCAR201506262
تاريخ: 10/04/94

ارزيابي برنامه هاي كاربردي براي مقابله با خطرات امنيتي
برنامه ريزي
سازمان ها بايد اطمينان حاصل نمايند كه برنامه هاي كاربردي از امنيت لازم برخوردار مي باشند. رويه هاي ارزيابي برنامه هاي كاربردي بايد شامل تست برنامه كاربردي باشد كه نتيجه آن پذيرش برنامه يا رد آن مي باشد. برنامه ارزيابي مخاطرات كه به تصميم گيري در خصوص تاثير امنيتي برنامه هاي كاربردي تلفن همراه كمك مي كند بايد بر روي منابع، داده ها، شبكه و دستگاه هاي پردازشي سازمان ها انجام شود.
گام اول:
تعيين مجموعه اي از الزامات امنيتي منحصر به فرد براي سازمان با در نظر گرفتن معيارهاي زير:

• شرايطي كه تحت آن برنامه كاربردي مي تواند استفاده شود يا شرايطي كه تحت آن برنامه كاربردي نبايد به كار برده شود.
• داده هايي كه در دسترس برنامه كاربردي قرار دارد چگونه امن خواهد بود.
• توابع زيرساخت بيسيم چگونه است و چگونه امن مي باشد.
• آيا دارايي هاي حياتي بر روي دستگاه هاي تلفن همراه قرار دارند يا نه.
• سطح قابل قبول ريسك براي برنامه ها.
• تصميم گيري در خصوص الزامات امنيتي كه مورد نياز برنامه ها است. اين مساله به سازمان ها اجازه مي دهد تا پس از انجام تست متوجه شوند كه الزامات برآورده شده است يا نه.
• آيا آسيب پذيري هايي در برنامه كاربردي وجود دارد كه بتوان با در نظر گرفتن كنترل هاي امنيتي ديگر احتمال سوء استفاده از آن را كاهش داد. (اين كنترل هاي امنيتي مي تواند بخشي از معماري دستگاه هاي سيار سازمان يا كنترل هاي امنيتي خود دستگاه تلفن همراه باشد.)
• ارزيابي راه حل موجود در سيستم مديريت دستگاه تلفن همراه براي تاييد اين نكته كه كدام الزام امنيتي توسط اين راه حل پوشش داده مي شود.
• تعيين الزامات امنيتي و جريم خصوصي خاص براي سازمان
• تعيين مجوزهاي كاربران براي استفاده از برنامه كاربردي
• در حال حاضر چه سطحي از تست امنيت برنامه مورد قبول است.
• چه نوع حملاتي باعث نگراني سازمان مي شود ( اطلاعات و عملياتي در نظر گرفته شود كه در صورت به خطر افتادن آن ها، بر روي كارمندان و افراد مرتبط با آن سازمان و كسب و كار سازمان تاثير خواهد گذاشت)

گام دوم:
در اين مرحله بايد محدوديت هاي فرآيند سنجش برنامه كاربردي مشخص شود. رويه به كار برده شده براي ارزيابي برنامه هاي كاربردي بدون شك تاثير مثبتي بر روي وضع امنيتي سازمان دارد با اين وجود هيچ رويه اي وجود ندارد كه بتواند تمامي ضعف هاي بالقوه را ارزيابي كرده و امنيت كامل را تضمين نمايد.

• بايد دانست كه فرآيند ارزيابي با توجه به پيامدهاي امنيتي چه مواردي را تامين مي كند و چه مواردي را تامين نمي كند.
• ارزيابي هايي كه به صورت دستي توسط افراد انجام مي شوند نبايد كمتر از ميزان واقعي تخمين زده شود. اين امر بخش مهمي از فرآيند است.
• تنها به ارزيابي هاي خودكار بسنده نشود، به كارگيري افراد براي ديدن رفتارهاي جامع و كلي برنامه ها مورد نياز است.
• كيفيت ارزيابي متناسب با به كار بردن تركيبي از ابزارهاي تست خودكار و تجارب امنيتي افراد متخصص است.
• از به كار بردن تنها يك ابزار و يك فرآيند تست اجتناب شود زيرا استفاده از فرآيندها و ابزارهاي مختلف بهترين نتيجه را مي دهد.
• بايد به كارمندان درباره محدوديت هاي فرآيند تست برنامه كاربردي آموزش داده شود.

گام سوم:
در اين مرحله بايد تيمي از متخصصين تشكيل داده تا بتوانند مسئوليت اجراي اين فرآيند را برعهده بگيرند و هم چنين بايد بودجه موجود براي فرآيند تست برنامه را در نظر گرفت.

• استخدام افراد مناسب با تخصص هاي مورد نياز (تخصص هاي امنيت تلفن همراه، امنيت نرم افزار و اطلاعات مورد نياز است)
• هزينه ها بايد به طور كامل ارزيابي شده و بودجه مورد نياز تخصيص داده شود.

منابع: http://www.windowsecurity.com/