دارایی ها در ISMS
در مقاله درک نیازها و تعیین دامنه در ISMS اشاره شد که حوزه عملیات سیستم مدیریت امنیت اطلاعات بر سه محور سازمانی بنا می شود. که عبارتند از: سایت های فیزیکی در سازمان، واحدهای عملیاتی و اجرایی، و سیستم های سازمان به ویژه سیستم های کامپیوتری. پس از اینکه دو مرحله اول یعنی درک نیازهای یک سازمان و نیز دامنه موردنظر برای پیاده سازی ISMS در یک سازمان مشخص شد، حالا باید دارایی های سازمان در هر یک از سه حوزه عملیاتی مشخص شوند.
دارایی چیست؟
هر چیزی که برای سازمان دارای ارزش باشد، دارایی نام می گیرد. هر اندازه تعیین دارایی محسوس کار آسانی است، تعیین دارایی های نامحسوس دشوار می باشد. دارایی ها در ISMS انواع مختلف دارند که عبارتند از:
دارایی های اطلاعاتی
اطلاعات، داده های پردازش شده ای هستند که مبنایی برای تصمیم گیری می باشند. اطلاعات یک دارایی است که همانند سایر دارایی های مهم برای فعالیت کاری سازمان، بسیار مهم است. این دسته از دارایی شامل بانک اطلاعاتی، پرونده ها، مستندات سیستمی، قراردادها و … می باشد. در صورت عدم محافظت از این دارایی ها ممکن است:
- محرمانگی کاهش يابد.
- عمدی يا غيرعمدی دستکاری شود.
- به صورت جبران ناپذيری پاک شده يا از بين برود.
- غيرقابل دسترس شود.
مستندات کاغذی:
این دسته از دارایی ها شامل قراردادهای سازمان، جزوات آموزشی، طرح های مختلفی که در سازمان ارائه می شود و هر نوع سند کاغذی که برای سازمان ارزشمند است، می باشد.
دارایی های نرم افزاری
هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد، همچون برنامه کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی اتوماسیون اداری و … در این دستهبندی قرار می گیرند.
دارایی های فیزیکی
همه تجهیزات فیزیکی را شامل می شود. از تجهیزات رایانه ای و تجهیزات ارتباطی گرفته تا میز و صندلی.
منابع انسانی
شامل تمامی کارکنان (پاره وقت و تمام وقت)، مشتریان، تامین کنندگان می شود.
وجهه و شهرت سازمان
این دارایی جز دارایی های نامحسوس به شمار می رود.
سرویس ها
شامل سرویس های ارتباطی و همچنین سایر خدمات فنی (گرمایشی، روشنایی، برق، تهویه هوا) می باشد.
طبقه بندی دارایی ها
دارایی ها در ISMS را از چند جهت می توان طبقه بندی کرد و طبقه بندی های مختلفی وجود دارد از جمله:
- محرمانه، خصوصی و عمومی
- فوق سری، سری، خصوصی و عمومی
- سری، محرمانه، خصوصی
- و …
هر سازمان به دلخواه خود می تواند دارایی های خود را طبقه بندی کند. این روند طبقه بندی دارایی ها باعث کمک در ارزش گذاری آن ها می شود. ناگفته نماند که طبقه بندی دارایی ها باید به صورت دوره ای بازنگری شود.
ارزش گذاری دارایی ها
ارزش گذاری دارایی ها در ISMS بر اساس معیارهای مختلفی همچون زیان مالی، وقفه در کسب و کار، تاثیر بر اعتبار سازمان و … صورت می پذیرد. در واقع می توان گفت ارزش دارایی، منعکس کننده هدف کسب و کار است. پس از انتخاب معیارهای ارزش گذاری، باید ارزش دارایی ها را بر اساس شدت اثری که از بین رفتن محرمانگی، یکپارچگی و دسترس پذیری در هر یک از معیارها بر سازمان خواهد داشت، محاسبه نمود.
در صورتی که محرمانگی، یکپارچگی، دسترس پذیری (CIA) و نیز سایر مشخصه های مهم یک دارایی از بین برود، ارزش تعیین شده نشان دهنده تاثیر کسب و کار سازمان خواهد بود. مثال هایی از ارزش گذاری عبارتند از:
- خیلی کم، کم، متوسط، بالا، خیلی بالا
- 0 – 1 – 2 – 3 – 4
ارزش نهایی را می توان با C+I+A و یا MAX (CIA) و … تعیین کرد. برای این که بتوانید ارزش گذاری را به درستی انجام دهید باید تهدیدها و آسیب پذیری های یک دارایی را بشناسید و سپس بر اساس آن شناخت بتوانید دارایی مورد نظر را ارزش گذاری نمایید. شناخت مخاطرات به شما این امکان را می دهد که در تعیین ارزش دارایی کمترین اشتباه را داشته باشید. در مقاله شناسایی مخاطرات و ارزیابی آن به تفصیل به شناخت آسیب پذیریها و ارزیابی آن ها پرداخته شده است.
شناسایی مالک دارایی ها
در هر سازمان باید مالک هر دارایی مشخص شود. منظور از مالک دارایی، این نیست که حتما و واقعا شخص حقوق مالکیت نسبت به آن دارایی را دارد. بلکه فرد یا موجودیتی را معرفی می کند که مسئولیت مدیریتی برای کنترل، استفاده، نگهداری و امنیت دارایی ها را پذیرفته است. یک مالک دارایی در قبال موارد زیر مسئول است:
- حفظ و تداوم کنترل هاي امنيتی مناسب
- تعريف و بازنگری طبقه بندی امنيتی و حقوق دسترسی
- تعريف استفاده پسنديده از دارايی ها
- مسئوليت پاسخگويی، بر عهده مالک منصوب شده می باشد.
تعیین وضعیت دارایی ها بر اساس استاندارد ISO 27002
پس از مشخص شدن دارایی ها و طبقه بندی آن ها بر اساس اهمیت و اولویتشان، بر اساس وضعیت سازمان و دارایی ها از میان کنترل های امنیتی که در استاندارد ISO 27002 برای کنترل حوزه های یازده گانه امنیتی وجود دارد، مواردی را که در سازمان شما وجود دارد، انتخاب می کنید. به فهرستی که پس از انتخاب کنترل ها ایجاد می شود، بیانیه یا آیین نامه کاربردپذیری مربوط به سازمان گفته می شود.
اهداف برتر مدیریت پیکربندی و دارایی
SACM (Service Asset and Configuration Management) به معنی مدیریت دارایی و پیکربندی خدمات می باشد. این کار می تواند در راستای مدیریت دارایی ها در ISMS باشد. در جهت دستیابی به اهداف برتر مدیریت پیکربندی و دارایی، SACM به شما کمک می کند. تا اطمینان حاصل کنید که تمام داراییهای زیرساخت خود را شناسایی و کنترل می کنید. و از طریق ذخیرهسازی، گزارشدهی و حسابرسی موثر، یکپارچگی بین آنها را مدیریت کنید. به طور خاص، ITIL اهداف مدیریت پیکربندی و دارایی را به شرح زیر عنوان می کند:
- اطمینان از اینکه داراییها تحت نظر سازمان IT شناسایی، کنترل و به درستی در طول چرخه حیات خود محافظت می شوند.
- شناسایی، کنترل، ذخیره سازی، گزارش دهی، حسابرسی و تایید سرویس ها و سایر آیتم های پیکربندی (CIS) شامل نسخه ها، مولفه های سازنده، ویژگی ها و روابط آن ها.
- مدیریت و حفاظت از یکپارچگی CIها در طول چرخه حیات سرویس با استفاده از مدیریت تغییر برای اطمینان از اینکه تغییرات فقط بر روی اجزای مجاز اعمال شده و تغییرات مجاز صورت گرفته باشند.
- اطمینان از یکپارچگی CIها و پیکربندی های لازم برای کنترل سرویسها از طریق ایجاد و نگهداری یک سامانه مدیریت پیکربندی دقیق و جامع (CMS).
- نگهداری اطلاعات دقیق پیکربندی درباره وضعیت فعلی برنامه ریزی شده و وضعیت گذشته سرویس ها و سایر CIها.
- پشتیبانی موثر و کارآمد از فرآیندهای مدیریت سرویس از طریق ارائه اطلاعات دقیق پیکربندی که به افراد این امکان را می دهد. تا در زمان مناسب تصمیم گیری کنند، مانند صدور مجوز تغییرات، انتشار نسخه ها یا رفع مشکلات و رویدادها.
چند تعریف کلیدی
قبل از ورود به جزئیات عمیقتر مدیریت پیکربندی و دارایی، بهتر است که چند تعریف اساسی را مرور کنیم تا بهترین درک از این مفهومها را داشته باشیم. در واقع، در این فرآیند، بسیاری از تعاریف وجود دارند، اما ما برای بهترین درک و کاربرد مدیریت پیکربندی و دارایی ITIL، به چند تعریف اساسی تمرکز میکنیم.
- ابتدا با سیستم مدیریت پیکربندی (CMS) آغاز میکنیم. CMS در واقع یک مجموعه از ابزارها است که برای جمعآوری، بروزرسانی و تجزیه و تحلیل دادههای مربوط به تمام آیتمهای پیکربندی و روابط آنها استفاده میشود. این سامانه ممکن است شامل اطلاعات مربوط به رخدادها، مشکلات، تغییرات، نسخهها و حتی اطلاعات مربوط به شرکتها، تامینکنندگان، مکانها و واحدهای کاری باشد.
- سپس به پایگاه داده مدیریت پیکربندی (CMDB) میپردازیم. CMDB عملاً یک پایگاه داده است که رکوردهای پیکربندی را ذخیره میکند و ممکن است یک بخش از CMS باشد.
- رکوردهای پیکربندی، شامل اطلاعات مربوط به ویژگیها (مانند نام، شماره نسخه) و روابط بین آنها هستند و اساساً CIهای شما را توصیف میکنند.
- CI یا آیتم پیکربندی، هر جزئی است که برای ارائه سرویس IT مدیریت شود، مانند یک سرور، یک سرور مجازی یا حتی پیکربندی یک برنامه.
- در مورد انواع CIها، آنها شامل CIهای سازمانی، CIهای خارجی و CIهای واسط هستند که برای ارائه سرویس به کاربران نهایی لازم است.
- همچنین، داراییهای سرویس هر منبع یا قابلیت کمککنندهای هستند که به ارائه یک سرویس کمک میکنند و ممکن است شامل دانش و اطلاعات یک کارمند یا توانایی گروه در پاسخگویی به رخدادها باشد.
با توجه به این تعاریف، مزایای مدیریت پیکربندی و دارایی سرویس در طول چرخه حیات سرویس بسیار زیاد است. در حقیقت، داراییهای سرویس (بجز CIها) که در طول چرخه داراییهای سرویس (بجز CIها) که در طول چرخه حیات سرویس مدیریت میشوند، بهبود کارایی، کاهش خطاها، افزایش شفافیت و قابلیت اطمینان سرویس را فراهم میکنند.
به عنوان مثال، با داشتن دسترسی به اطلاعات کامل و دقیق درباره CIها و داراییهای سرویس، تصمیمگیریهای بهتری در مورد تغییرات، بهبودها و راهکارهای IT اتخاذ میشود و بهبود کارایی و عملکرد سازمان امکانپذیر است. به طور کلی، مدیریت پیکربندی و دارایی سرویس ITIL یک روش سازماندهی شده برای مدیریت و کنترل CIها و داراییهای سرویس است که به سازمانها کمک میکند تا عملکرد خود را بهبود بخشند و خدمات بهتری را ارائه دهند.
هیواشبکه
ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
نظرات