Information systems are frequently exposed to various types of threats which can cause different types of damages that might lead to significant financial losses. Information security damages can range from small losses to entire information system destruction. The effects of various threats vary considerably: some affect the confidentiality or integrity of data while others affect the availability of a system. Currently, organizations are struggling to understand what the threats to their information assets are and how to obtain the necessary means to combat them which continues to pose a challenge. To improve our understanding of security threats, we propose a security threat classification model which allows us to study the threats class impact instead of a threat impact as a threat varies over time. This paper addresses different criteria of information system security risks classification and gives a review of most threats classification models. We define a hybrid model for information system security threat classification in order to propose a classification architecture that supports all threat classification principles and helps organizations implement their information security strategies

چکیده

سیستم های اطلاعاتی به طور مکرر در معرض انواع تهدیدهایی قرار دارند که می توانند باعث انواع مختلفی از صدمات شوند که ممکن است به خسارت های مالی قابل ملاحظه ای منجر شوند. گستره ی صدمات امنیتی اطلاعات می تواند از خسارت های کوچک تا تخریب کامل سیستم اطلاعاتی باشد. اثرات تهدیدات مختلف، خیلی تغییر می کند: برخی از این تهدیدات، بر روی محرمانگی یا یک پارچگی داده ها اثر می گذارند در حالی که بقیه دردسترس بودن یک سیستم را تحت تاثیر قرار می دهند. اخیراً سازمان ها در حال کشمکش برای درک این هستند که چه چیزهایی تهدیدی برای دارایی های اطلاعاتی آن ها محسوب می شوند و این که چگونه وسایل لازم برای مقابله با آن ها را به دست آورند، که این امر یک چالش باقی می ماند. برای بهبود درک خود از تهدیدات امنیتی، یک مدل طبقه بندی تهدیدات امنیتی را معرفی می کنیم که ما را قادر می سازد به جای اثر یک تهدید، اثر کلاس آن تهدید را مطالعه نماییم زیرا یک تهدید در طول زمان تغییر می کند. این مقاله به معیارهای مختلفی برای طبقه بندی ریسک های امنیتی سیستم های اطلاعاتی می پردازد و یک شِمای کلی از بیشتر مدل های طبقه بندی تهدیدات ارائه می کند. ما یک مدل ترکیبی برای طبقه بندی تهدیدات امنیتی سیستم های اطلاعاتی تعریف می کنیم تا یک معماری طبقه بندی معرفی کنیم که از همه ی اصول طبقه بندی تهدیدات پشتیبانی کرده و به سازمان ها کمک کند که استراتژی های امنیت اطلاعات خود را پیاده سازی نمایند.

1-مقدمه

با توسعه ی فناوری های اطلاعات و ارتباطات و دسترسی روزافزون به اینترنت، سازمان ها نسبت به انواع مختلف تهدیدات آسیب پذیر می شوند. در حقیقت اطلاعات آن ها در معرض حملات سایبری و صدمات حاصل از آن ها قرار می گیرد. تهدیدات از جانب منابع مختلفی مانند فعالیت کارمندان یا حملات هکران هستند. معمولا نمی توان خسارت های مالی حاصل از شکاف های امنیتی [4] [12] [14] [19] [20] [21] را به طور دقیق شناسایی کرد زیرا مقدار قابل ملاحظه ای از خسارات حاصل از وقایع امنیتی مقیاس پایین تر هستند که توسط ناچیز انگاشتن ریسک امنیتی سیستم اطلاعاتی به وجود می آیند [5]. بنابراین مدیریان نیاز دارند تهدیداتی را که بر روی دارایی های آن ها اثر می گذارند، بشناسند و اثر این تهدیدات را شناسایی کنند تا موارد مورد نیاز برای جلوگیری از این تهدیدات را با انتخاب اقدامات متقابل مناسب تعیین نمایند...