0

دارایی ها در ISMS

1831 بازدید
دارایی ها در ISMS

دارایی ها در ISMS

دارایی ها در ISMS: در مقاله درک نیازها و تعیین دامنه در ISMS اشاره شد که حوزه عملیات سیستم مدیریت امنیت اطلاعات بر سه محور سازمانی بنا می شود. که عبارتند از؛ سایت های فیزیکی در سازمان، واحدهای عملیاتی و اجرایی، و سیستم های سازمان به ویژه سیستم های کامپیوتری.  پس از اینکه دو مرحله اول یعنی درک نیازهای یک سازمان و نیز دامنه موردنظر برای پیاده سازی ISMS در یک سازمان مشخص شد، حالا باید دارایی های سازمان در هر یک از سه حوزه عملیاتی مشخص شوند.

دارایی چیست؟

هر چیزی که برای سازمان دارای ارزش باشد، دارایی نام می گیرد. هر اندازه تعیین دارایی محسوس کار آسانی است، تعیین دارایی های نامحسوس دشوار می باشد. دارایی ها در ISMS انواع مختلف دارند که عبارتند از:

دارایی های اطلاعاتی

دارایی ها در ISMS

اطلاعات، داده های پردازش شده ای هستند  که مبنایی برای تصمیم گیری می باشند. اطلاعات یک دارایی است که همانند سایر دارایی های مهم برای فعالیت کاری سازمان، بسیار مهم است. این دسته از دارایی شامل بانک اطلاعاتی، پرونده ها، مستندات سیستمی، قراردادها و … می باشد. در صورت عدم محافظت از این دارایی ممکن است:

  • محرمانگي کاهش يابد.
  • عمدي يا غيرعمدي دستکاري شود.
  • به صورت جبران ناپذيري پاک شده يا از بين برود.
  • غيرقابل دسترس شود.

مستندات کاغذی

این دسته از دارایی ها شامل قراردادهای سازمان، جزوات آموزشی، طرح های مختلفی که در سازمان ارائه می شود و هر نوع سند کاغذی که برای سازمان ارزشمند است، می باشد.

دارایی های نرم افزاری

 

هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد، همچون برنامه کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی اتوماسیون اداری و … در این دستهبندی قرار می گیرند.

دارایی های فیزیکی

همه تجهیزات فیزیکی را شامل می شود. از تجهیزات رایانه ای و تجهیزات ارتباطی گرفته تا میز و صندلی.

دارایی ها در ISMS

منابع انسانی

شامل تمامی کارکنان (پاره وقت و تمام وقت)، مشتریان، تامن کنندگان می شود.

 

وجهه و شهرت سازمان

این دارایی جز دارایی های نامحسوس به شمار می رود.

سرویس ها

شامل سرویس های ارتباطی و همچنین سایر خدمات فنی (گرمایشی، روشنایی، برق، تهویه هوا) می باشد.

طبقه بندی دارایی ها

دارایی ها در ISMS را از چند جهت می توان طبقه بندی کرد و طبقه بندی های مختلفی وجود دارد از جمله:

  • محرمانه، خصوصی و عمومی
  • فوق سری، سری، خصوصی و عمومی
  • سری، محرمانه، خصوصی
  • و …

هر سازمان به دلخواه خود می تواند دارایی های خود را طبقه بندی کند. این روند طبقه بندی دارایی ها باعث کمک در ارزش گذاری آن ها می شود. ناگفته نماند که طبقه بندی دارایی ها باید به صورت دوره ای بازنگری شود.

ارزش گذاری دارایی ها

ارزش گذاری دارایی ها در ISMS بر اساس معیارهای مختلفی همچون زیان مالی، وقفه در کسب و کار، تاثیر بر اعتبار سازمان و … صورت می پذیرد. در واقع می توان گفت ارزش دارایی، منعکس کننده هدف کسب و کار است. پس از انتخاب معیارهای ارزش گذاری، باید ارزش دارایی ها را بر اساس شدت اثری که از بین رفتن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از معیارها بر سازمان خواهد داشت، محاسبه نمود.

در صورتی که محرمانگی، یکپارچگی، دسترس پذیری (CIA) و نیز سایر مشخصه های مهم یک دارایی از بین برود، ارزش تعیین شده نشان دهنده تاثیر کسب و کار سازمان خواهد بود. مثالهایی از ارزشگذاری عبارتند از:

  • خیلی کم، کم، متوسط، بالا، خیلی بالا
  • 0 – 1 – 2 – 3 – 4

ارزش نهایی را می توان با C+I+A و یا MAX (CIA) و … تعیین کرد. برای این که بتوانید ارزش گذاری را به درستی انجام دهید باید تهدیدها و آسیب پذیریهای یک دارایی را بشناسید و سپس بر اساس آن شناخت بتوانید دارایی مورد نظر را ارزش گذاری نمایید. شناخت مخاطرات به شما این امکان را می دهد که در تعیین ارزش دارایی کمترین اشتباه را داشته باشید. در مقاله شناسایی مخاطرات و ارزیابی آن به تفصیل به شناخت آسیب پذیریها و ارزیابی آن ها پرداخته شده است.

شناسایی مالک دارایی ها

در هر سازمان باید مالک هر دارایی مشخص شود. منظور از مالک دارایی، این نیست که حتما و واقعا شخص حقوق مالکیت نسبت به ان دارایی دارد. بلکه فرد یا موجودیتی را معرفی می کند که مسئولیتی مدیریتی برای کنترل، استفاده، نگهداری و امنیت دارایی ها را پذیرفته است. یک مالک دارایی در قبال موارد زیر مسئول است:

  • حفظ و تداوم کنترل هاي امنيتي مناسب
  • تعريف و بازنگري طبقه بندي امنيتي و حقوق دسترسي
  • تعريف استفاده پسنديده از دارايي ها
  • مسئوليت پاسخگويي، بر عهده مالک منصوب شده مي باشد.

تعیین وضعیت دارایی ها بر اساس استاندارد ISO 27002

پس از مشخص شدن دارایی ها و طبقه بندی آن ها بر اساس اهمیت و اولویت شان، بر اساس وضعیت سازمان و دارایی ها از میان کنترل های امنیتی که در استاندارد ISO 27002 برای کنترل حوزه های یازده گانه امنیتی وجود دارد، مواردی را که در سازمان شما وجود دارد، انتخاب می کنید. به فهرستی که پس از انتخاب کنترل ها ایجاد می شود، بیانیه یا آیین نامه کاربردپذیری مربوط به سازمان گفته می شود.

 

اهداف برتر مدیریت پیکربندی و دارایی

 

((SACM  مخفف Service Asset and Configuration Management به معنی مدیریت دارایی و پیکربندی خدمات می باشد. این کار می تواند در راستای مدیریت دارایی ها در ISMS باشد. در جهت دستیابی به اهداف برتر مدیریت پیکربندی و دارایی، SACM به شما کمک می‌ کند. تا اطمینان حاصل کنید که تمام دارایی‌های زیرساخت خود را شناسایی و کنترل می‌ کنید. و از طریق ذخیره‌سازی، گزارش‌دهی و حسابرسی موثر، یکپارچگی بین آن‌ها را مدیریت کنید. به طور خاص، ITIL اهداف مدیریت پیکربندی و دارایی را به شرح زیر عنوان می‌ کند:

– اطمینان از اینکه دارایی‌ها تحت نظر سازمان IT شناسایی، کنترل و به درستی در طول چرخه حیات خود محافظت می‌ شوند.
– شناسایی، کنترل، ذخیره‌ سازی، گزارش‌ دهی، حسابرسی و تایید سرویس‌ ها و سایر آیتم‌ های پیکربندی (CIS) شامل نسخه‌ ها، مولفه‌ های سازنده، ویژگی‌ ها و روابط آن‌ ها.
– مدیریت و حفاظت از یکپارچگی CI‌ها در طول چرخه حیات سرویس با استفاده از مدیریت تغییر برای اطمینان از اینکه تغییرات فقط بر روی اجزای مجاز اعمال شده و تغییرات مجاز صورت گرفته باشند.
– اطمینان از یکپارچگی CI‌ها و پیکربندی‌ های لازم برای کنترل سرویس‌ها از طریق ایجاد و نگهداری یک سامانه مدیریت پیکربندی دقیق و جامع (CMS).
– نگهداری اطلاعات دقیق پیکربندی درباره وضعیت فعلی برنامه‌ ریزی شده و وضعیت گذشته سرویس‌ ها و سایر CI‌ها.
– پشتیبانی موثر و کارآمد از فرآیندهای مدیریت سرویس از طریق ارائه اطلاعات دقیق پیکربندی که به افراد این امکان را می‌ دهد. تا در زمان مناسب تصمیم‌ گیری کنند، مانند صدور مجوز تغییرات، انتشار نسخه‌ ها یا رفع مشکلات و رویدادها.

 

 چند تعریف کلیدی

قبل از ورود به جزئیات عمیق‌تر مدیریت پیکربندی و دارایی، بهتر است که چند تعریف اساسی را مرور کنیم تا بهترین درک از این مفهوم‌ها را داشته باشیم. در واقع، در این فرآیند، بسیاری از تعاریف وجود دارند، اما ما برای بهترین درک و کاربرد مدیریت پیکربندی و دارایی ITIL، به چند تعریف اساسی تمرکز می‌کنیم.

– ابتدا با سیستم مدیریت پیکربندی (CMS) آغاز می‌کنیم. CMS در واقع یک مجموعه از ابزارها است که برای جمع‌آوری، بروزرسانی و تجزیه و تحلیل داده‌های مربوط به تمام آیتم‌های پیکربندی و روابط آن‌ها استفاده می‌شود. این سامانه ممکن است شامل اطلاعات مربوط به رخدادها، مشکلات، تغییرات، نسخه‌ها و حتی اطلاعات مربوط به شرکت‌ها، تامین‌کنندگان، مکان‌ها و واحدهای کاری باشد.

– سپس به پایگاه داده مدیریت پیکربندی (CMDB) می‌پردازیم. CMDB عملاً یک پایگاه داده است که رکوردهای پیکربندی را ذخیره می‌کند و ممکن است یک بخش از CMS باشد.

– رکوردهای پیکربندی، شامل اطلاعات مربوط به ویژگی‌ها (مانند نام، شماره نسخه) و روابط بین آن‌ها هستند و اساساً CI‌های شما را توصیف می‌کنند.

– CI یا آیتم پیکربندی، هر جزئی است که برای ارائه سرویس IT مدیریت شود، مانند یک سرور، یک سرور مجازی یا حتی پیکربندی یک برنامه.

– در مورد انواع CI‌ها، آن‌ها شامل CI‌های سازمانی، CI‌های خارجی و CI‌های واسط هستند که برای ارائه سرویس به کاربران نهایی لازم است.

– همچنین، دارایی‌های سرویس هر منبع یا قابلیت کمک‌کننده‌ای هستند که به ارائه یک سرویس کمک می‌کنند و ممکن است شامل دانش و اطلاعات یک کارمند یا توانایی گروه در پاسخگوئی به رخدادها باشد.

با توجه به این تعاریف، مزایای مدیریت پیکربندی و دارایی سرویس در طول چرخه حیات سرویس بسیار زیاد است. در حقیقت، دارایی‌های سرویس (بجز CI‌ها) که در طول چرخه دارایی‌های سرویس (بجز CI‌ها) که در طول چرخه حیات سرویس مدیریت می‌شوند، بهبود کارایی، کاهش خطاها، افزایش شفافیت و قابلیت اطمینان سرویس را فراهم می‌کنند. به عنوان مثال، با داشتن دسترسی به اطلاعات کامل و دقیق درباره CI‌ها و دارایی‌های سرویس، تصمیم‌گیری‌های بهتری در مورد تغییرات، بهبودها و راهکارهای IT اتخاذ می‌شود و بهبود کارایی و عملکرد سازمان امکان‌پذیر است. به طور کلی، مدیریت پیکربندی و دارایی سرویس ITIL یک روش سازماندهی شده برای مدیریت و کنترل CI‌ها و دارایی‌های سرویس است که به سازمان‌ها کمک می‌کند تا عملکرد خود را بهبود بخشند و خدمات بهتری را ارائه دهند.))

 

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=39452
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد دارایی ها در ISMS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.