دارایی ها در ISMS
دارایی ها در ISMS: در مقاله درک نیازها و تعیین دامنه در ISMS اشاره شد که حوزه عملیات سیستم مدیریت امنیت اطلاعات بر سه محور سازمانی بنا می شود. که عبارتند از؛ سایت های فیزیکی در سازمان، واحدهای عملیاتی و اجرایی، و سیستم های سازمان به ویژه سیستم های کامپیوتری. پس از اینکه دو مرحله اول یعنی درک نیازهای یک سازمان و نیز دامنه موردنظر برای پیاده سازی ISMS در یک سازمان مشخص شد، حالا باید دارایی های سازمان در هر یک از سه حوزه عملیاتی مشخص شوند.
دارایی چیست؟
هر چیزی که برای سازمان دارای ارزش باشد، دارایی نام می گیرد. هر اندازه تعیین دارایی محسوس کار آسانی است، تعیین دارایی های نامحسوس دشوار می باشد. دارایی ها در ISMS انواع مختلف دارند که عبارتند از:
دارایی های اطلاعاتی
اطلاعات، داده های پردازش شده ای هستند که مبنایی برای تصمیم گیری می باشند. اطلاعات یک دارایی است که همانند سایر دارایی های مهم برای فعالیت کاری سازمان، بسیار مهم است. این دسته از دارایی شامل بانک اطلاعاتی، پرونده ها، مستندات سیستمی، قراردادها و … می باشد. در صورت عدم محافظت از این دارایی ممکن است:
- محرمانگي کاهش يابد.
- عمدي يا غيرعمدي دستکاري شود.
- به صورت جبران ناپذيري پاک شده يا از بين برود.
- غيرقابل دسترس شود.
مستندات کاغذی
این دسته از دارایی ها شامل قراردادهای سازمان، جزوات آموزشی، طرح های مختلفی که در سازمان ارائه می شود و هر نوع سند کاغذی که برای سازمان ارزشمند است، می باشد.
دارایی های نرم افزاری
هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد، همچون برنامه کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی اتوماسیون اداری و … در این دستهبندی قرار می گیرند.
دارایی های فیزیکی
همه تجهیزات فیزیکی را شامل می شود. از تجهیزات رایانه ای و تجهیزات ارتباطی گرفته تا میز و صندلی.
منابع انسانی
شامل تمامی کارکنان (پاره وقت و تمام وقت)، مشتریان، تامن کنندگان می شود.
وجهه و شهرت سازمان
این دارایی جز دارایی های نامحسوس به شمار می رود.
سرویس ها
شامل سرویس های ارتباطی و همچنین سایر خدمات فنی (گرمایشی، روشنایی، برق، تهویه هوا) می باشد.
طبقه بندی دارایی ها
دارایی ها در ISMS را از چند جهت می توان طبقه بندی کرد و طبقه بندی های مختلفی وجود دارد از جمله:
- محرمانه، خصوصی و عمومی
- فوق سری، سری، خصوصی و عمومی
- سری، محرمانه، خصوصی
- و …
هر سازمان به دلخواه خود می تواند دارایی های خود را طبقه بندی کند. این روند طبقه بندی دارایی ها باعث کمک در ارزش گذاری آن ها می شود. ناگفته نماند که طبقه بندی دارایی ها باید به صورت دوره ای بازنگری شود.
ارزش گذاری دارایی ها
ارزش گذاری دارایی ها در ISMS بر اساس معیارهای مختلفی همچون زیان مالی، وقفه در کسب و کار، تاثیر بر اعتبار سازمان و … صورت می پذیرد. در واقع می توان گفت ارزش دارایی، منعکس کننده هدف کسب و کار است. پس از انتخاب معیارهای ارزش گذاری، باید ارزش دارایی ها را بر اساس شدت اثری که از بین رفتن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از معیارها بر سازمان خواهد داشت، محاسبه نمود.
در صورتی که محرمانگی، یکپارچگی، دسترس پذیری (CIA) و نیز سایر مشخصه های مهم یک دارایی از بین برود، ارزش تعیین شده نشان دهنده تاثیر کسب و کار سازمان خواهد بود. مثالهایی از ارزشگذاری عبارتند از:
- خیلی کم، کم، متوسط، بالا، خیلی بالا
- 0 – 1 – 2 – 3 – 4
ارزش نهایی را می توان با C+I+A و یا MAX (CIA) و … تعیین کرد. برای این که بتوانید ارزش گذاری را به درستی انجام دهید باید تهدیدها و آسیب پذیریهای یک دارایی را بشناسید و سپس بر اساس آن شناخت بتوانید دارایی مورد نظر را ارزش گذاری نمایید. شناخت مخاطرات به شما این امکان را می دهد که در تعیین ارزش دارایی کمترین اشتباه را داشته باشید. در مقاله شناسایی مخاطرات و ارزیابی آن به تفصیل به شناخت آسیب پذیریها و ارزیابی آن ها پرداخته شده است.
شناسایی مالک دارایی ها
در هر سازمان باید مالک هر دارایی مشخص شود. منظور از مالک دارایی، این نیست که حتما و واقعا شخص حقوق مالکیت نسبت به ان دارایی دارد. بلکه فرد یا موجودیتی را معرفی می کند که مسئولیتی مدیریتی برای کنترل، استفاده، نگهداری و امنیت دارایی ها را پذیرفته است. یک مالک دارایی در قبال موارد زیر مسئول است:
- حفظ و تداوم کنترل هاي امنيتي مناسب
- تعريف و بازنگري طبقه بندي امنيتي و حقوق دسترسي
- تعريف استفاده پسنديده از دارايي ها
- مسئوليت پاسخگويي، بر عهده مالک منصوب شده مي باشد.
تعیین وضعیت دارایی ها بر اساس استاندارد ISO 27002
پس از مشخص شدن دارایی ها و طبقه بندی آن ها بر اساس اهمیت و اولویت شان، بر اساس وضعیت سازمان و دارایی ها از میان کنترل های امنیتی که در استاندارد ISO 27002 برای کنترل حوزه های یازده گانه امنیتی وجود دارد، مواردی را که در سازمان شما وجود دارد، انتخاب می کنید. به فهرستی که پس از انتخاب کنترل ها ایجاد می شود، بیانیه یا آیین نامه کاربردپذیری مربوط به سازمان گفته می شود.
اهداف برتر مدیریت پیکربندی و دارایی
((SACM مخفف Service Asset and Configuration Management به معنی مدیریت دارایی و پیکربندی خدمات می باشد. این کار می تواند در راستای مدیریت دارایی ها در ISMS باشد. در جهت دستیابی به اهداف برتر مدیریت پیکربندی و دارایی، SACM به شما کمک می کند. تا اطمینان حاصل کنید که تمام داراییهای زیرساخت خود را شناسایی و کنترل می کنید. و از طریق ذخیرهسازی، گزارشدهی و حسابرسی موثر، یکپارچگی بین آنها را مدیریت کنید. به طور خاص، ITIL اهداف مدیریت پیکربندی و دارایی را به شرح زیر عنوان می کند:
– اطمینان از اینکه داراییها تحت نظر سازمان IT شناسایی، کنترل و به درستی در طول چرخه حیات خود محافظت می شوند.
– شناسایی، کنترل، ذخیره سازی، گزارش دهی، حسابرسی و تایید سرویس ها و سایر آیتم های پیکربندی (CIS) شامل نسخه ها، مولفه های سازنده، ویژگی ها و روابط آن ها.
– مدیریت و حفاظت از یکپارچگی CIها در طول چرخه حیات سرویس با استفاده از مدیریت تغییر برای اطمینان از اینکه تغییرات فقط بر روی اجزای مجاز اعمال شده و تغییرات مجاز صورت گرفته باشند.
– اطمینان از یکپارچگی CIها و پیکربندی های لازم برای کنترل سرویسها از طریق ایجاد و نگهداری یک سامانه مدیریت پیکربندی دقیق و جامع (CMS).
– نگهداری اطلاعات دقیق پیکربندی درباره وضعیت فعلی برنامه ریزی شده و وضعیت گذشته سرویس ها و سایر CIها.
– پشتیبانی موثر و کارآمد از فرآیندهای مدیریت سرویس از طریق ارائه اطلاعات دقیق پیکربندی که به افراد این امکان را می دهد. تا در زمان مناسب تصمیم گیری کنند، مانند صدور مجوز تغییرات، انتشار نسخه ها یا رفع مشکلات و رویدادها.
چند تعریف کلیدی
قبل از ورود به جزئیات عمیقتر مدیریت پیکربندی و دارایی، بهتر است که چند تعریف اساسی را مرور کنیم تا بهترین درک از این مفهومها را داشته باشیم. در واقع، در این فرآیند، بسیاری از تعاریف وجود دارند، اما ما برای بهترین درک و کاربرد مدیریت پیکربندی و دارایی ITIL، به چند تعریف اساسی تمرکز میکنیم.
– ابتدا با سیستم مدیریت پیکربندی (CMS) آغاز میکنیم. CMS در واقع یک مجموعه از ابزارها است که برای جمعآوری، بروزرسانی و تجزیه و تحلیل دادههای مربوط به تمام آیتمهای پیکربندی و روابط آنها استفاده میشود. این سامانه ممکن است شامل اطلاعات مربوط به رخدادها، مشکلات، تغییرات، نسخهها و حتی اطلاعات مربوط به شرکتها، تامینکنندگان، مکانها و واحدهای کاری باشد.
– سپس به پایگاه داده مدیریت پیکربندی (CMDB) میپردازیم. CMDB عملاً یک پایگاه داده است که رکوردهای پیکربندی را ذخیره میکند و ممکن است یک بخش از CMS باشد.
– رکوردهای پیکربندی، شامل اطلاعات مربوط به ویژگیها (مانند نام، شماره نسخه) و روابط بین آنها هستند و اساساً CIهای شما را توصیف میکنند.
– CI یا آیتم پیکربندی، هر جزئی است که برای ارائه سرویس IT مدیریت شود، مانند یک سرور، یک سرور مجازی یا حتی پیکربندی یک برنامه.
– در مورد انواع CIها، آنها شامل CIهای سازمانی، CIهای خارجی و CIهای واسط هستند که برای ارائه سرویس به کاربران نهایی لازم است.
– همچنین، داراییهای سرویس هر منبع یا قابلیت کمککنندهای هستند که به ارائه یک سرویس کمک میکنند و ممکن است شامل دانش و اطلاعات یک کارمند یا توانایی گروه در پاسخگوئی به رخدادها باشد.
با توجه به این تعاریف، مزایای مدیریت پیکربندی و دارایی سرویس در طول چرخه حیات سرویس بسیار زیاد است. در حقیقت، داراییهای سرویس (بجز CIها) که در طول چرخه داراییهای سرویس (بجز CIها) که در طول چرخه حیات سرویس مدیریت میشوند، بهبود کارایی، کاهش خطاها، افزایش شفافیت و قابلیت اطمینان سرویس را فراهم میکنند. به عنوان مثال، با داشتن دسترسی به اطلاعات کامل و دقیق درباره CIها و داراییهای سرویس، تصمیمگیریهای بهتری در مورد تغییرات، بهبودها و راهکارهای IT اتخاذ میشود و بهبود کارایی و عملکرد سازمان امکانپذیر است. به طور کلی، مدیریت پیکربندی و دارایی سرویس ITIL یک روش سازماندهی شده برای مدیریت و کنترل CIها و داراییهای سرویس است که به سازمانها کمک میکند تا عملکرد خود را بهبود بخشند و خدمات بهتری را ارائه دهند.))
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.