• سیستم های مدیریت امنیت اطلاعات تداوم خدمات و مدیریت امنیت اطلاعات در مرحله طراحی. مدیریت تامین کننده

    حاشیه نویسی

    امروزه امنیت فضای دیجیتال مسیر جدیدی را برای امنیت ملی هر کشور نشان می دهد. با توجه به نقش اطلاعات به عنوان یک کالای ارزشمند در تجارت، حفاظت از آن قطعا ضروری است. برای دستیابی به این هدف، هر سازمان بسته به سطح اطلاعات (از نظر ارزش اقتصادی) نیازمند توسعه یک سیستم مدیریتی است. امنیت اطلاعاتتا حد امکان از دارایی های اطلاعاتی خود محافظت کنند.

    در سازمان هایی که وجود آنها به طور قابل توجهی به فناوری اطلاعات وابسته است، می توان از تمامی ابزارهای حفاظت از داده ها استفاده کرد. با این حال، امنیت اطلاعات برای مصرف کنندگان، شرکای همکار، سایر سازمان ها و دولت ضروری است. در این راستا، برای حفاظت از اطلاعات ارزشمند، لازم است هر سازمانی برای استراتژی خاصی تلاش کند و یک سیستم امنیتی مبتنی بر آن را پیاده سازی کند. سیستم مدیریت امنیت اطلاعات بخشی از یک سیستم مدیریت جامع مبتنی بر ارزیابی و تحلیل ریسک، برای توسعه، اجرا، اداره، نظارت، تجزیه و تحلیل، نگهداری و ارتقای امنیت اطلاعات و اجرای آن برگرفته از اهداف و الزامات سازمان، امنیت است. الزامات، رویه های مورد استفاده و اندازه و ساختار سازمان آن.

    کلید واژه ها: سیستم های اطلاعاتیامنیت، سیستم های اطلاعات مدیریت، فناوری

    معرفی

    عصر حاضر را فراصنعتی یا اطلاعاتی می نامند. که در دنیای مدرنزیرساخت های اطلاعاتی به عنوان عامل اصلی توسعه اقتصادی و اجتماعی کشورها ایفای نقش می کند نقش مهمدر فعالیت های انسانی فناوری های اصلی این عصر فناوری اطلاعات و در آخرین تعبیر فناوری اطلاعات و ارتباطات (ICT) نامیده می شود. تغییرات در حوزه ارتباطات و فناوری اطلاعات شتاب بیشتری گرفته است، بنابراین متخصصان و متخصصان این حوزه و همچنین تصمیم گیرندگان فناوری اطلاعات و ارتباطات نیازمند تلاشی برای حفظ و به روز رسانی اطلاعات خود هستند. فناوری‌های جدید برای ساده‌سازی کارها و مهارت‌ها طراحی شده‌اند، اما در درجه اول بر انتخاب استراتژی و برنامه‌ریزی فعالیت‌ها متمرکز هستند. شتاب پیشرفت علمی و فناوری بالاست. آلوین تافلر پیشنهاد می کند که در آینده، «اگر 65 تا 70 سال به عنوان دوره یک نسل (یعنی 800 دوره گذشته) در نظر گرفته شود، مشخص می شود که تغییرات با سرعت بیشتری در نسل گذشتهنسبت به 799 قبلی" (آلوین تافلر، 1993). افزایش پشتیبانی سازمانی برای پیاده سازی سیستم های پایگاه داده، که در آن فناوری کلیدی برای فعالیت های روزانه خواهد بود و در تصمیم گیری، امنیت داده های مدیریت شده توسط این سیستم ها بسیار مهم می شود. داده‌های استفاده غیرمجاز نه تنها بر یک کاربر یا برنامه کاربردی تأثیر می‌گذارد، بلکه می‌تواند برای کل سازمان فاجعه‌بار باشد (برتینو و همکاران، 2005). چندین عامل سازمانی دیگر که مانع پذیرش فناوری می‌شوند نیز پس از انجام یک جستجوی ادبیات گسترده شناسایی شده‌اند. از جمله آنها هزینه تکنولوژی، فقدان مهارت های مدیریتی و فناوری، عدم یکپارچگی سیستم و کمبود منابع مالی است.

    اطمینان از منطق فیزیکی و اطلاعاتی برای جلوگیری از نفوذ هکرها و قطع کننده شبکه های کامپیوتری همواره یکی از مشکلات پیشرو مدیران سازمان بوده است.

    خرابکاری خارجی ها در سیستم های کامپیوتری و دسترسی آنها به اطلاعات و پایگاه های اطلاعاتی یکی از تهدیداتی است که با توجه به اطلاعات ارسالی باید اولویت جدی امنیت اطلاعات را در بین عوامل حفاظتی داشته باشد. از سوی دیگر ارائه خدمات و خدمات متنوع دولت الکترونیک, تجارت الکترونیک، آموزش الکترونیکی و ... در حوزه اینترنت تلاش برای امنیت اطلاعات دوچندان می شود. مهمترین مزیت ماموریت شبکه های کامپیوتری منبع است اشتراک گذاریسخت افزار و نرم افزار و دسترسی سریع و آسان به اطلاعات. کنترل دسترسی و استفاده از منابع مشترک که مهمترین اهداف یک سیستم امنیت شبکه است. با گسترش شبکه های کامپیوتری (به ویژه اینترنت)، نگرش نسبت به امنیت اطلاعات و غیره منابع مشترکوارد فاز جدیدی شده است. در این راستا، هر سازمانی برای حفاظت از اطلاعات ارزشمند، باید به استراتژی متفاوتی پایبند باشد و سیستم امنیتی متناسب با آن را پیاده سازی کند. فقدان یک سیستم امنیتی مناسب پیامدهای غیرمنتظره و منفی را به دنبال دارد. موفقیت در ایمن سازی اطلاعات به محافظت از داده ها و سیستم های اطلاعاتی در برابر حمله بستگی دارد و به همین دلیل توسط بسیاری از سازمان های اطلاعاتی مورد استفاده قرار می گیرد. سرویس انتخاب شده باید دارای ظرفیت لازم، سیستم حفاظتی مستقر، تشخیص به موقع حملات و واکنش سریع باشد. بنابراین، اساس استراتژی انتخاب شده می تواند بر سه مولفه حفاظت، تشخیص، واکنش استوار باشد.

    سیستم های مدیریت امنیت اطلاعات

    مدیریت امنیت اطلاعات نقش کلیدی در مدیریت، سازماندهی و صدور گواهینامه یک سیستم اطلاعاتی (IS) دارد. در سال 1995، با ظهور استاندارد مدیریت امنیت اطلاعات، پدید آمد رویکرد سیستم هابرای تضمین امنیت فضای تبادل اطلاعات. بر اساس این مفهوم، امنیت تبادل اطلاعات فضایی باید به تدریج، متوالی و بر اساس یک چرخه شامل طراحی، اجرا، ارزیابی و اصلاح صورت گیرد. بر این اساس، هر سازمان ملزم به اجرای فضای تبادل اطلاعات امن در اقدامات زیر است:

    الف - اطمینان از سازماندهی امنیت، طرح ها و برنامه های لازم.

    ب - ایجاد سازمانهای لازم برای ایجاد و حمایت در زمینه امنیت، سازماندهی تبادل اطلاعات.

    ج - اجرای امنیت در طرح ها و برنامه ها

    استانداردهای امنیتی به دو دسته اصلی تقسیم می شوند: دسته اول در زمینه امنیت مرتبط با مشخصات فنی در زمینه هایی مانند امضای دیجیتال، رمزگذاری با کلید عمومی, رمزگذاری متقارنتوابع حافظه نهان، توابع رمزگذاری و احراز هویت پیام و غیره و گروه دوم در خصوص امنیت در مدیریت از جمله بخش های مختلف سازمان مدیریت، استاندارد مدیریت BS7799. (نسخه جدید ISO/IEC 27001).

    نامسالهدفشرح
    27000 2009 مبنای استانداردهای دیگراین یک فرهنگ لغت برای سایر استانداردها در نظر گرفته می شود
    27001 2005 تضمین امنیت اطلاعات از طریق مدیریتمعمولاً در نزدیکی استاندارد ISO\IEC 27002 استفاده می شود
    27002 2007 ارائه مشاوره عملی برای مدیریت امنیت اطلاعات 2007 27002معمولاً در نزدیکی استاندارد مشترک ISO\IEC 27001 استفاده می شود
    27003 2010 ارائه راهنمایی خط و کمک به پیاده سازی مدیریت امنیت اطلاعاتشامل 9 قسمت اصلی، برای رسیدن به هدف
    27004 2009 اندازه گیری، گزارش و فعال کردن سیستم های امنیت اطلاعاتارزیابی کار مدیریت امنیت اطلاعات شامل قسمت اصلی 6
    27005 2008 راهنمایی مستقیم برای اطلاعات مدیریت ریسک امنیتی ارائه دهیداین استاندارد از مفاهیم ISO \ IEC 27001 پشتیبانی می کند. این استاندارد برای تحلیل ریسک موردی توصیه نمی شود و بنابراین ساختارمند و سیستماتیک است
    15408 بعد از سال 1994چارچوبی برای عملیات فرآیند شناسایی، پیاده سازی و ارزیابی سیستم های کامپیوتری فراهم می کندشامل 5 رتبه بندی ایمنی اصلی است

    بیان یک سیستم مدیریت امنیت اطلاعات، برگرفته از مفاد ISO / IEC 27002 برای مدیریت امنیت اطلاعات و منتشر شده توسط سازمان بین المللی استاندارد در سال 2000، مطابق با استاندارد ISO 27001 در کنار سایر استانداردهای این حوزه قرار گرفته است. سیستم های مدیریت تنها با استاندارد ISO 9001 و تحت نظارت و راهنمایی مستقیم مدیر ارشد سازمان. این سیستم تامین کننده امنیت اطلاعات سازمان است و مبتنی بر رویکرد فرآیندی است. همچنین بیش از استفاده از سیستم، استانداردها و متدولوژی های بسیاری مانند BS 7799 و ISO/IEC و ISO 15408 (معیارهای عمومی) را پیاده سازی می کند. برای نصب و نگهداری سیستم مدیریت امنیت اطلاعات، باید موارد زیر را انجام دهید:

    1. ایجاد سیستم مدیریت امنیت اطلاعات
    2. پیاده سازی و بکارگیری سیستم مدیریت امنیت اطلاعات.
    3. نظارت و کنترل سیستم مدیریت امنیت اطلاعات.
    4. حفظ و بهبود سیستم مدیریت اطلاعات.

    هدف نهایی "ISUB" سیستمی برای دستیابی به محرمانه بودن، قابلیت اطمینان و دسترسی است.

    برنج. 1 فرآیند مدیریت امنیت

    به منظور دستیابی به گواهینامه و انجام مدیریت مستمر NIS، تصمیم گرفته شد تا یک انجمن امنیتی ایجاد شود. اهداف اصلی انجمن امنیتی بهبود مستمر انطباق با ISMS است. این مسئولیت ها عبارتند از:

    • تعریف محدوده ISMS؛
    • بررسی و تایید کلیه اسناد مربوط به ISMS؛
    • انجام ارزیابی ریسک و ثبت کلیه تغییرات؛
    • اتخاذ کنترل‌های امنیتی که خطرات امنیتی را کاهش می‌دهد، مطابق با الزامات تجاری در تیم؛
    • انتصاب یک مدیر امنیتی؛
    • انجام بررسی های انطباق با ISMS؛
    • اجرا و نظارت بر اقدامات اصلاحی ناشی از تأیید انطباق با الزامات؛
    • بررسی موارد نقض ایمنی و تولید؛

    مزایای سرمایه گذاری در امنیت اطلاعات:

    • کاهش احتمال غیرفعال شدن سیستم ها و برنامه ها
    • استفاده بهینه از منابع انسانی و مواد در سازمان
    • کاهش هزینه از دست دادن اطلاعات
    • افزایش حمایت از مالکیت معنوی

    بر اساس یک مرحله زمانی معین: به این معنی است که در هنگام تعامل با فناوری اطلاعات، می تواند ابتکار (فعالیت) یا واکنش هایی را در پاسخ به مشکلات امنیتی به دست گیرد. هدف از "ابتکارات" اقدامات پیشگیرانه قبل از وقوع یک مورد خاص است. مشکلات در چنین مواقعی تعدادی سوال برای جلوگیری از بروز مشکل مطرح می شود (چکار باید بکنیم...؟). "واکنش پذیری" یک پاسخ ضروری پس از یک مسئله امنیتی خاص است (حالا که ... چه کار کنیم؟). بر اساس پیاده سازی در سطوح سیستم امنیتی در محیط کامپیوتر: فناوری امنیت اطلاعات، از فعال یا واکنشی، می تواند در سه سطح پیاده سازی شود: سطح شبکه، سطح میزبان، سطح برنامه.

    بنابراین، سیستم امنیتی در سطح شبکه و خدمات آن در برنامه های کاربردی خاص یا در محیطی که شرایط لازم برای اجرای برنامه را فراهم می کند، انجام می شود.


    برنج. 2 فناوری طرح ریزی امنیت اطلاعات


    برنج. 2 فناوری امنیت اطلاعات واکنشی

    خطرات تهدید سیستم اطلاعاتی سازمان

    بسیاری از شرکت ها در تلاش هستند تا در مدل های مدیریتی خود تجدید نظر کنند. تهدیدات شناخته شده برای امنیت سیستم های اطلاعاتی را می توان به سه دسته اصلی تقسیم کرد: افشای محرمانه بودن، آسیب رساندن به یکپارچگی اطلاعات (دستکاری) و کمبود اطلاعات (انطباق سرویس). مهم ترین تهدید امنیت اطلاعات، افشای حریم خصوصی بود. سایر خطرات تهدید کننده به شرح زیر است:

    • خطای انسانی: بیشترین آسیب ناشی از این روش ورودی به سیستم اطلاعاتی است. عدم ارائه آموزش و دانش کافی؛ اطلاعات به روز شده گاه از سوی کاربران و تولیدکنندگان نادیده گرفته می شود و گاه اطلاعات موجود در کار آنها هزینه های زیادی را به سازمان تحمیل می کند که با آموزش صحیح این مشکل از نظر کاربران مهم مرتبط با داده ها حل می شود.
    • بلایای طبیعی مانند سیل، زلزله، طوفان و رعد و برق.
    • خطاهای سیستماتیک: مشکلات سخت افزاری و نرم افزاری سیستم، مشکلات سخت افزاری، مشکلات مربوط به شبکه ارتباطی تجهیزات (کابل، روتر)، توقف و اتصال برق و غیره.
    • حفره های نرم افزار
    • براندازی: فعالیتی است که توسط انسان یا ماشین در طول حمله اطلاعاتی به سیستم ها و ابزارها و شرایط تهدید به منظور تخریب، تغییر یا افشای اطلاعات یک سیستم انجام می شود.
    • فعالیت‌های غیرقانونی، از جمله سرقت سخت‌افزار و فعالیت‌هایی که از آن به عنوان جرایم سایبری یاد می‌شود.

    پذیرش سیاست امنیتی

    طبق استاندارد BS 7799، در موارد خطر، امنیت به این صورت اجرا می شود:

    1. تعریف خط مشی امنیت اطلاعات
    2. سیاست های مربوطه را اجرا کنید
    3. بررسی فوری وضعیت امنیتی فعلی اطلاعات پس از اجرای یک سیاست امنیتی
    4. بازرسی و تست امنیت اطلاعات شبکه
    5. بهبود روش های سازماندهی امنیت اطلاعات

    نیاز به سازماندهی یک سیستم امنیتی

    مدیران باید تمام سیستم‌های اطلاعاتی را بررسی کنند تا مشخص کنند که آیا سیستم نیاز به مدیریت دارد یا خیر. (در روزهای اولیه رایانه‌ها، سیستم‌های مشترک فقط از نام کاربری برای شناسایی افراد استفاده می‌کردند و نیازی به وارد کردن رمز عبور نبود، اما در صورت سوء استفاده از سیستم‌ها، رمز عبور اضافه می‌شد. امروزه مدیریت امنیت شبکه را قوی‌تر از هر زمان دیگری می‌داند. مهمترین دلایل این امر موارد زیر است:

    هزینه سرمایه گذاری در سخت افزار و نرم افزار، تجهیزات، کامپیوتر و نرم افزار بسیار گران و سخت و گران است. حتی اگر مسائل امنیتی به طور کامل در یک حادثه امنیتی نرم افزاری و سخت افزاری از بین نرود، ممکن است نیاز به نصب مجدد همه نرم افزارها باشد و سپس تعیین الزامات اساسی ضروری می شود. این کار زمان زیادی می برد، به خصوص اگر مسئول کافی نداشته باشد اطلاعات فنیدر این منطقه.

    هزینه داده های سازمانی - این داده ها ممکن است شامل لیست مشتریان، بودجه پروژه یا برنامه های تجاری نوشته شده توسط کاربر باشد.

    هزینه داده های شخصی - شاید داده های فردی ارزش مادی نداشته باشد، اما از دست دادن آنها بسیار مضر است و ایجاد اطلاعات جدید زمان زیادی را می طلبد.

    تهدید مجرمان رایانه ای، همراه با پیشرفت فناوری، گروهی از خرابکاران که از سرقت داده های رایانه ای سود می برند. این افراد باعث آسیب، گسترش بی اعتمادی و ایجاد مسائل بحرانی در مقیاس گسترده تر می شوند.

    علل ضعف در سیستم امنیتی برنامه اغلب بدون توجه به مسائل امنیتی بیان می شود. این مشکل دلایل مختلفی دارد:

    بی دقتی - برنامه نویسان و طراحان اهمیت امنیت را در نظر نمی گیرند

    اولویت پایین - خیلی وقت پیش، حتی کسانی که نکات ایمنی را می دانستند، آنها را رعایت نمی کردند، و بنابراین، مسائل امنیتی در حال حاضر مورد توجه نیستند.

    محدودیت‌های زمان و هزینه - برخی افراد متوجه می‌شوند که فعالیت‌های امنیتی برای طراحی، کدگذاری و آزمایش در فرآیند تولید گران است و زمان زیادی را می‌گیرد.

    بی نظمی در کار برنامه نویس - در کار مرتبط با برنامه، اشتباهات یکسان چندین بار تکرار می شود و این می تواند منجر به نقص امنیتی شود.

    مجرمان خلاق - یک فرد خلاق و هدفمند همیشه برای غلبه بر موانع امنیتی تلاش می کند و کشف اشتباهاتی که منجر به مشکلات شده است راهی برای غلبه بر آنها پیدا می کند.

    سطح آگاهی پایین - کاربران عادی(قربانیان نقض امنیتی) معمولاً تهدیدی را در اطراف خود نمی بینند و بنابراین به دنبال راه های مناسب برای ایمن سازی داده ها نیستند.

    نتیجه گیری و پیشنهادات

    امنیت کامپیوتر اساسا مجموعه ای از راه حل های تکنولوژیکی برای مشکلات غیر فنی است. زمان، پول و تلاش را می توان صرف حفظ امنیت رایانه کرد، اما به دلیل ترس از داده های سرگردان یا از بین رفتن عمدی اطلاعات، هرگز نمی تواند ایمن باشد. با توجه به شرایط - مشکلات نرم افزاری، خرابی ها، اشکالات، بدبختی ها، آب و هوای بد یا سخت افزار تهاجمی و با انگیزه - می توانید ببینید که هر رایانه ای می تواند هک شود، فعالیت کاهش یابد یا حتی به طور کامل از بین برود. وظیفه کارشناسان امنیتی کمک به سازمان ها در تصمیم گیری در مورد زمان و هزینه اختصاص به مسائل امنیتی است. در سایر بخش‌ها، اطمینان از سیاست‌ها و رویه‌های مناسب در سازمان در اولویت است زیرا بودجه امنیتی به درستی منحل شده است. در نهایت، متخصصان باید سیستم را مطالعه کنند، زیرا اجرای صحیح قوانین مربوطه تضمین کننده دستیابی به هدف است. بنابراین ایمنی یک امر مدیریتی است.

    بنابراین ایمنی باید یکی از اولویت های مدیریت سازمانی باشد. مدیریت باید مسائل امنیتی اساسی را درک کند و اجرای اصول امنیتی اولیه را برای محافظت از دارایی ها ترویج دهد. طرح امنیتی را می توان به پنج مرحله مختلف تقسیم کرد:

    1. برنامه ریزی نیازهای امنیتی
    2. ارزیابی ریسک و انتخاب بهترین تمرین
    3. یک خط مشی ایجاد کنید تا نیاز را منعکس کند
    4. پیاده سازی امنیت
    5. بررسی و پاسخ به رویدادها

    دو اصل اصلی وجود دارد که بر برنامه ریزی و سیاست های امنیتی مؤثر تأثیر می گذارد: در سازمان ها، دانش شیوه های امنیتی و سیاست های امنیتی باید از بالا به پایین گسترش یابد. آگاهی کاربر از مسائل امنیتی بسیار مهم است. مدیران باید ایمنی را موضوعی مهم بدانند و قوانین و مقررات آن را بپذیرند و اجرا کنند.

    در حالی که بیشتر سازمان ها تمایل دارند شبکه ها را ایمن کنند تا یک تعریف واحد از امنیت ارائه دهند، ممکن است همه الزامات شبکه را ارائه نکنند. در عوض، هر سازمان باید ارزش داده های خود را ارزیابی کند و سپس یک خط مشی امنیتی برای مواردی که نیاز به محافظت دارند تعریف کند. سیستم های امنیتی ممکن است گران و زمان بر به نظر برسند، اما اهمیت اطلاعات در چنین سیستمی برای بقای یک سازمان بسیار مهم است. به طور کلی می توان نتیجه گرفت که سازمان ها در طراحی یک سیستم امنیت اطلاعات باید سه شرط زیر را در نظر بگیرند:

    1. تضمین خلوص اطلاعات در ذخیره سازی و بازیابی اطلاعات و ایجاد فرصت برای افرادی که حق استفاده از اطلاعات را دارند.
    2. دقت: اطلاعات باید دقیق باشد.
    3. دسترسی: اطلاعات افرادی که مجاز به استفاده از آن هستند باید در دسترس باشد و آنها می توانند از اطلاعات به روش صحیح استفاده کنند.

    وجود بسیاری از فرآیندهای تجاری بدون پشتیبانی اطلاعاتی غیرممکن است. در واقع، بیشتر و بیشتر فرآیندهای تجاری صرفاً از یک یا چند سیستم اطلاعاتی تشکیل شده است. مدیریت امنیت اطلاعات یک فعالیت مهم است که هدف آن کنترل فرآیندهای ارائه اطلاعات و جلوگیری از استفاده غیرمجاز از آن است.

    برای سال ها، مسائل مدیریت امنیت اطلاعات تا حد زیادی نادیده گرفته شده است. وضعیت در حال تغییر است. امنیت در حال حاضر یکی از دغدغه های مدیریت ارشد برای سال های آینده محسوب می شود. علاقه به این موضوع با توجه به رشد روزافزون استفاده از اینترنت و به ویژه تجارت الکترونیک در حال افزایش است. انواع بیشتری از کسب و کارها دروازه های الکترونیکی را به روی فعالیت های خود باز می کنند. این خطر دستکاری را افزایش می دهد و برخی از سوالات مهم تجاری را مطرح می کند. چه ریسک هایی را می خواهیم کنترل کنیم و در حال حاضر و در طول چرخه بودجه بعدی چه اقداماتی را باید انجام دهیم؟ مدیریت سطح بالا باید تصمیم بگیرد و این تنها با تحلیل عمیق ریسک امکان پذیر است. این بررسی باید ورودی به فرآیند مدیریت امنیت اطلاعات مورد نیاز برای تعیین الزامات امنیتی را ارائه دهد.

    الزامات تجاری برای امنیت اطلاعات بر ارائه دهندگان خدمات فناوری اطلاعات تأثیر دارد و باید در قراردادهای سطح خدمات گنجانده شود. هدف از فرآیند مدیریت امنیت اطلاعات، تضمین مداوم امنیت خدمات در سطح توافق شده با مشتری است. امنیت در حال حاضر است مهمترین شاخصکیفیت مدیریت

    فرآیند مدیریت امنیت اطلاعات، ادغام جنبه های امنیتی را در سازمان فناوری اطلاعات از دیدگاه ارائه دهنده خدمات تسهیل می کند. آئین نامه عمل برای مدیریت امنیت اطلاعات (BS 7799) راهنمایی هایی را برای توسعه، پیاده سازی و ارزیابی کنترل های امنیتی ارائه می دهد.

    15.1.1. مفاهیم اساسی

    فرآیند مدیریت امنیت اطلاعات در محدوده امنیت اطلاعات عمومی قرار می گیرد که وظیفه آن تضمین ایمنی اطلاعات است. حفظ به معنای محافظت از خطرات شناخته شده و در صورت امکان اجتناب از خطرات ناشناخته است. امنیت ابزاری برای تضمین این امر است. هدف حفاظت از اطلاعات ارزشمند است. ارزش اطلاعات بر سطح مورد نیاز محرمانه بودن، یکپارچگی و در دسترس بودن تأثیر می گذارد.

    محرمانه بودن- حفاظت از اطلاعات در برابر دسترسی و استفاده غیرمجاز.

    تمامیت- صحت، کامل بودن و به موقع بودن اطلاعات.

    دسترسی- اطلاعات باید در هر نقطه از بازه زمانی از پیش توافق شده در دسترس باشد. بستگی به تداوم سیستم های پردازش اطلاعات دارد.

    جنبه‌های ثانویه شامل حریم خصوصی (محرمانه بودن و یکپارچگی اطلاعات خصوصی)، ناشناس بودن، و قابلیت تأیید (قابلیت تأیید) است. استفاده صحیحاطلاعات و اثربخشی اقدامات امنیتی).

    15.2. اهداف فرآیند

    در دهه‌های اخیر، تقریباً همه انواع کسب‌وکارها بیشتر به سیستم‌های اطلاعاتی وابسته شده‌اند. استفاده از شبکه های کامپیوتری نیز افزایش یافته است، آنها محدود به یک سازمان نیستند، شرکای تجاری را به هم متصل می کنند و ارتباط با دنیای خارج را فراهم می کنند. پیچیدگی روزافزون زیرساخت فناوری اطلاعات به این معنی است که کسب و کار در برابر نقص فنی، خطای انسانی، فعالیت های مخرب، هکرها و کرکرها آسیب پذیرتر می شود. ویروس های کامپیوتریو غیره. این پیچیدگی فزاینده نیازمند یک رویکرد مدیریت واحد است. فرآیند مدیریت امنیت اطلاعات پیوندهای مهمی با سایر فرآیندها دارد. برخی از فعالیت های امنیتی توسط سایر فرآیندهای کتابخانه ITIL، تحت کنترل فرآیند مدیریت امنیت اطلاعات انجام می شود.

    فرآیند مدیریت امنیت اطلاعات دو هدف دارد:

    تحقق الزامات امنیتی مندرج در SLA و سایر الزامات قراردادهای خارجی، قوانین قانونی و قوانین تعیین شده؛

    تضمین سطح پایه امنیت، مستقل از الزامات خارجی.

    فرآیند مدیریت امنیت اطلاعات برای پشتیبانی از عملیات مستمر یک سازمان فناوری اطلاعات ضروری است. همچنین به ساده‌سازی مدیریت امنیت اطلاعات در مدیریت سطح سرویس کمک می‌کند، زیرا پیچیدگی مدیریت SLA به تعداد SLAها نیز بستگی دارد.

    ورودی این فرآیند، SLA هایی است که الزامات امنیتی را تعریف می کند، که در صورت امکان با اسنادی تکمیل می شود که خط مشی شرکت در این زمینه و همچنین سایر الزامات خارجی را تعریف می کند. فرآیند نیز دریافت می کند اطلاعات مهممربوط به مسائل امنیتی از فرآیندهای دیگر، مانند حوادث امنیتی. خروجی شامل اطلاعاتی در مورد اجرای SLA به دست آمده همراه با گزارش های احتمالی ایمنی و برنامه های ایمنی منظم است. در حال حاضر، بسیاری از سازمان ها با امنیت اطلاعات در یک سطح استراتژیک - در سیاست اطلاعاتیو برنامه ریزی اطلاعات، و در سطح عملیاتی، در تهیه ابزار و سایر محصولات امنیتی. توجه کافی به مدیریت واقعی امنیت اطلاعات، تحلیل مستمر و تبدیل قوانین کار به آن نمی شود راه حل های فنیحفظ اثربخشی اقدامات امنیتی با تغییر نیازمندی ها و محیط ها. پیامد شکاف بین سطوح عملیاتی و استراتژیک این است که، در سطح تاکتیکی، سرمایه‌گذاری قابل توجهی در اقدامات امنیتی انجام می‌شود که دیگر مرتبط نیستند، در حالی که باید اقدامات جدید و مؤثرتری انجام شود. هدف فرآیند مدیریت امنیت اطلاعات اطمینان از آن است اقدامات موثرامنیت اطلاعات در سطوح استراتژیک، تاکتیکی و عملیاتی.

    15.2.1. مزایای استفاده از فرآیند

    امنیت اطلاعات به خودی خود یک هدف نیست. باید در خدمت منافع کسب و کار و سازمان باشد. انواع خاصی از اطلاعات و خدمات اطلاعاتیبرای سازمان مهمتر از سایرین هستند. امنیت اطلاعات باید با سطح اهمیت اطلاعات مطابقت داشته باشد. امنیت با ایجاد تعادل بین اقدامات امنیتی، ارزش اطلاعات و تهدیدات موجود در محیط پردازش برنامه ریزی می شود. مدیریت اطلاعات موثر با امنیت اطلاعات کافی به دو دلیل برای یک سازمان مهم است:

    علل داخلی: عملکرد مؤثر سازمان تنها در صورت دسترسی به اطلاعات دقیق و کامل امکان پذیر است. سطح امنیت اطلاعات باید با این اصل مطابقت داشته باشد.

    علل خارجی : در نتیجه اجرای برخی فرآیندها در یک سازمان، محصولات و خدماتی ایجاد می شود که برای انجام وظایف خاصی در دسترس بازار یا جامعه قرار می گیرد. پشتیبانی اطلاعاتی ناکافی منجر به تولید محصولات و خدمات بی کیفیت می شود که نمی توان از آنها برای انجام وظایف مربوطه استفاده کرد و موجودیت سازمان را به خطر انداخت. حفاظت اطلاعات کافی است شرط مهمبرای پشتیبانی اطلاعاتی کافی بنابراین، معنای خارجی امنیت اطلاعات تا حدی توسط معنای داخلی آن تعیین می شود.

    امنیت می تواند ارزش افزوده قابل توجهی برای سیستم های اطلاعاتی ایجاد کند. امنیت موثربه تداوم عملکرد سازمان و تحقق اهداف آن کمک می کند.

    15.3. روند

    سازمان ها و سیستم های اطلاعاتی آنها در حال تغییر هستند. الگوهای استانداردمانند آیین نامه مدیریت امنیت اطلاعات برای اطلاعاتمدیریت امنیت) ایستا هستند و به اندازه کافی با تغییرات سریع در فناوری اطلاعات هماهنگ نیستند. به همین دلیل، فعالیت های انجام شده در فرآیند مدیریت امنیت اطلاعات باید به طور مداوم مورد بازبینی قرار گیرد تا از اثربخشی فرآیند اطمینان حاصل شود. مدیریت امنیت اطلاعات به یک چرخه بی پایان از برنامه ها، اقدامات، بررسی ها و اقدامات کاهش می یابد. فعالیت های انجام شده در فرآیند مدیریت امنیت اطلاعات یا در سایر فرآیندهای تحت کنترل مدیریت امنیت اطلاعات در زیر شرح داده شده است.

    برنج. 15.1. فرآیند مدیریت امنیت اطلاعات (منبع: OGC)


    الزامات مشتری در گوشه سمت راست بالا به عنوان ورودی فرآیند به تصویر کشیده شده است. این الزامات در بخش امنیتی توافقنامه سطح خدمات به عنوان خدمات امنیتی و سطح امنیتی ارائه شده تعریف شده است. ارائه‌دهنده خدمات این توافق‌نامه‌ها را در قالب یک برنامه امنیتی که معیارهای امنیتی یا SLAهای عملیاتی را تعریف می‌کند، به سازمان فناوری اطلاعات ابلاغ می‌کند. این طرح در حال اجراست و نتایج آن در حال ارزیابی است. سپس طرح و نحوه اجرای آن تنظیم می شود و SLM با مشتری ارتباط برقرار می کند. بنابراین، مشتری و ارائه دهنده خدمات با هم در شکل دادن به کل چرخه فرآیند مشارکت دارند. مشتری ممکن است الزامات را بر اساس گزارش های دریافتی تغییر دهد و ارائه دهنده خدمات ممکن است طرح یا اجرا را بر اساس نتایج مشاهده تنظیم کند یا ترتیبات تعریف شده در SLA را به چالش بکشد. تابع کنترل در مرکز شکل 15.1 نشان داده شده است. علاوه بر این، از این نمودار در تشریح فعالیت های فرآیند مدیریت امنیت اطلاعات استفاده خواهد شد.

    15.3.1. روابط با سایر فرآیندها

    فرآیند مدیریت امنیت اطلاعات دارای پیوندهایی به سایر فرآیندهای ITIL است (شکل 15.2 را ببینید) زیرا سایر فرآیندها فعالیت های مرتبط با امنیت را انجام می دهند. این فعالیت به روش معمول و با مسئولیت یک فرآیند خاص و رهبر آن انجام می شود. در انجام این کار، فرآیند مدیریت امنیت اطلاعات فرآیندهای دیگری را با راهنمایی در مورد ساختار فعالیت های مرتبط با امنیت ارائه می دهد. معمولاً توافقات در این مورد پس از مشاوره بین رئیس فرآیند مدیریت امنیت اطلاعات و روسای سایر فرآیندها تعیین می شود.

    برنج. 15.2. رابطه بین فرآیند مدیریت امنیت اطلاعات و سایر فرآیندها (منبع: OGC)


    مدیریت پیکربندی

    در زمینه امنیت اطلاعات، فرآیند مدیریت پیکربندی دارد بالاترین ارزش، زیرا به شما امکان می دهد موارد پیکربندی (CI) را طبقه بندی کنید. این طبقه بندی رابطه بین CI و اقدامات یا رویه های امنیتی اجرا شده را تعریف می کند.

    طبقه بندی اقلام پیکربندی محرمانه بودن، یکپارچگی و در دسترس بودن آنها را تعیین می کند. این طبقه بندی بر اساس الزامات امنیتی SLA ها است. مشتری سازمان فناوری اطلاعات طبقه بندی را تعیین می کند، زیرا فقط مشتری می تواند تصمیم بگیرد که اطلاعات یا سیستم های اطلاعاتی چقدر برای فرآیندهای تجاری مهم هستند. هنگام ایجاد یک طبقه بندی از آیتم های پیکربندی، مشتری درجه وابستگی فرآیندهای تجاری به سیستم های اطلاعاتی و اطلاعات را در نظر می گیرد. سپس سازمان فناوری اطلاعات طبقه بندی را به CI های مناسب پیوند می دهد. سازمان فناوری اطلاعات همچنین باید مجموعه ای از کنترل های امنیتی را برای هر سطح طبقه بندی اجرا کند. این مجموعه اقدامات را می توان به عنوان رویه ها توصیف کرد، به عنوان مثال "رویه رسیدگی به حامل های داده با اطلاعات شخصی". SLA ممکن است مجموعه ای از کنترل های امنیتی را برای هر سطح طبقه بندی تعریف کند. سیستم طبقه بندی باید همیشه با ساختار سازمان مشتری سازگار باشد. با این حال، برای ساده سازی مدیریت، توصیه می شود از یک سیستم طبقه بندی مشترک استفاده کنید، حتی اگر سازمان فناوری اطلاعات شما مشتریان متعددی داشته باشد.

    با توجه به مطالب فوق می توان نتیجه گرفت که طبقه بندی نکته کلیدی است. هر آیتم پیکربندی در پایگاه داده پیکربندی (CMDB) باید طبقه بندی شود. این طبقه بندی یک CI را با مجموعه ای از کنترل ها یا رویه های امنیتی مناسب مرتبط می کند.

    مدیریت حوادث

    مدیریت حوادث یک فرآیند مهم برای گزارش حوادث امنیتی است. با ماهیت آنها، حوادث امنیتی ممکن است با روشی متفاوت نسبت به سایر حوادث رسیدگی شود. بنابراین، مهم است که فرآیند مدیریت حادثه، حوادث امنیتی را به عنوان چنین تشخیص دهد. هر حادثه ای که بتواند در برآوردن الزامات امنیتی SLA اختلال ایجاد کند، به عنوان یک حادثه امنیتی طبقه بندی می شود. مفید خواهد بود که در SLAها تعریفی از انواع حوادثی که حوادث امنیتی در نظر گرفته می شوند درج شود. هر حادثه ای که مانع از دستیابی به خط پایه شود سطح داخلییک حادثه امنیتی نیز همیشه به عنوان یک حادثه امنیتی طبقه بندی می شود.

    حوادث نه تنها از سوی کاربران، بلکه از فرآیندهای کنترلی مختلف نیز گزارش می‌شوند، شاید براساس هشدارها یا داده‌های حسابرسی سیستم. ضروری است که فرآیند مدیریت حادثه همه حوادث امنیتی را شناسایی کند. این امر برای آغاز رویه های مناسب برای رسیدگی به چنین حوادثی ضروری است. توصیه می شود شامل روش هایی برای انواع مختلفحوادث امنیتی و آزمایش آنها در عمل. همچنین توصیه می شود روی یک روش برای گزارش حوادث امنیتی توافق شود. اغلب هراس به دلیل شایعات بیش از حد ایجاد می شود. به همین ترتیب، گزارش نکردن به موقع حوادث امنیتی که باعث آسیب می شود، غیر معمول نیست. مطلوب است که کلیه ارتباطات خارجی مربوط به حوادث امنیتی از طریق سرپرست فرآیند مدیریت امنیت اطلاعات انجام شود.

    مدیریت مشکل

    فرآیند مدیریت مشکل مسئول شناسایی و تصحیح خرابی های امنیتی ساختاری است. این مشکل همچنین می تواند به یک خطر امنیتی منجر شود. در این مورد، مدیریت مشکل باید از فرآیند مدیریت امنیت اطلاعات برای کمک بخواهد. برای جلوگیری از مسائل امنیتی جدید، راه حل نهایی یا راه حل پذیرفته شده باید تأیید شود. این بررسی باید بر اساس انطباق راه حل های پیشنهادی با الزامات SLA و الزامات امنیت داخلی باشد.

    مدیریت تغییر

    انواع کارهای انجام شده در فرآیند مدیریت تغییر اغلب با امنیت مرتبط هستند، زیرا مدیریت تغییر و مدیریت امنیت اطلاعات به یکدیگر وابسته هستند. اگر سطح امنیتی قابل قبولی که تحت کنترل فرآیند مدیریت تغییر است به دست آید، می توان تضمین کرد که این سطح امنیتی پس از اجرای تغییر حفظ خواهد شد. تعدادی عملیات استاندارد برای پشتیبانی از این سطح امنیتی وجود دارد. هر درخواست تغییر (RFC) با مجموعه ای از پارامترها مرتبط است که روند پذیرش را تعریف می کند. پارامترهای فوریت و تاثیر را می توان با یک پارامتر مرتبط با امنیت تکمیل کرد. اگر درخواست تغییر (RFC) می‌تواند تأثیر قابل‌توجهی بر امنیت اطلاعات داشته باشد، آزمایش‌ها و مراحل پذیرش طولانی‌مدت مورد نیاز خواهد بود.

    درخواست تغییرات (RFC) همچنین باید شامل پیشنهادهایی برای رسیدگی به مسائل امنیتی باشد. باز هم، اینها باید بر اساس الزامات SLA و سطح امنیت داخلی اولیه مورد نیاز سازمان فناوری اطلاعات باشد. بنابراین، این پیشنهادات شامل مجموعه ای از اقدامات امنیتی بر اساس آیین نامه عملکرد مدیریت امنیت اطلاعات خواهد بود.

    مطلوب است که رئیس فرآیند مدیریت امنیت اطلاعات (و احتمالاً بازرس امنیتی مشتری) یکی از اعضای هیئت مشورتی تغییر (CAB) باشد.

    با این حال، این بدان معنا نیست که همه تغییرات باید با رئیس فرآیند مدیریت امنیت اطلاعات مشورت شود. در یک وضعیت عادی، ایمنی باید در حالت عملکرد عادی یکپارچه شود. مدیر فرآیند مدیریت تغییر باید بتواند تصمیم بگیرد که آیا او یا کمیته CAB به ورودی مدیر فرآیند مدیریت امنیت اطلاعات نیاز دارند یا خیر. به طور مشابه، مدیر فرآیند مدیریت امنیت اطلاعات نیازی به درگیر شدن در انتخاب اقدامات برای CIهای خاص تحت تأثیر درخواست تغییر (RFC) ندارد، زیرا از قبل باید یک رویکرد ساختاریافته برای اقدامات مناسب وجود داشته باشد. تنها با روش اجرای این اقدامات ممکن است سؤالاتی ایجاد شود.

    هرگونه تدابیر امنیتی مرتبط با ایجاد تغییرات باید همزمان با خود تغییرات اجرا شود و آنها باید با هم آزمایش شوند. تست های امنیتی با تست های عملکردی معمولی متفاوت هستند. وظیفه تست های مرسوم تعیین در دسترس بودن عملکردهای خاص است. تست امنیتی نه تنها در دسترس بودن ویژگی های امنیتی را بررسی می کند، بلکه عدم وجود سایر ویژگی های نامطلوب را که می تواند امنیت سیستم را کاهش دهد، بررسی می کند.

    از نقطه نظر امنیتی، مدیریت تغییر یکی از مهمترین فرآیندها است. این به این دلیل است که مدیریت تغییر اقدامات امنیتی جدیدی را به زیرساخت فناوری اطلاعات همراه با تغییراتی در آن زیرساخت ارائه می دهد.

    مدیریت انتشار

    فرآیند مدیریت انتشار تمامی نسخه‌های جدید نرم‌افزار، سخت‌افزار، تجهیزات ارتباطات داده و غیره را کنترل و اجرا می‌کند. این فرآیند تضمین می‌کند که:

    از سخت افزار و نرم افزار مناسب استفاده می شود.

    سخت افزار و نرم افزار قبل از استفاده تست می شوند.

    اجرا به درستی توسط روش تغییر مجاز است.

    نرم افزارقانونی است؛

    نرم افزار حاوی ویروس نیست و ویروس ها هنگام توزیع ظاهر نمی شوند.

    شماره‌های نسخه توسط فرآیند مدیریت پیکربندی در CMDB شناخته و ثبت می‌شوند.

    مدیریت استقرار کارآمد خواهد بود.

    این فرآیند همچنین از رویه پذیرش عادی استفاده می کند که باید جنبه های امنیت اطلاعات را پوشش دهد. در نظر گرفتن جنبه های ایمنی در طول آزمایش و پذیرش از اهمیت ویژه ای برخوردار است. این بدان معنی است که الزامات و اقدامات امنیتی تعریف شده در SLA باید همیشه رعایت شود.

    مدیریت سطح خدمات

    فرآیند مدیریت سطح خدمات تضمین می کند که قراردادهای خدمات مشتری تعریف و اجرا می شوند. قراردادهای سطح سرویس نیز باید اقدامات امنیتی را در نظر بگیرند. هدف از این امر بهینه سازی سطح خدمات ارائه شده است. مدیریت سطح خدمات شامل تعدادی از فعالیت های مرتبط با امنیت است که مدیریت امنیت اطلاعات نقش مهمی در آنها ایفا می کند:

    1. تعیین نیازهای مشتری در زمینه امنیت. طبیعتاً تعیین نیاز به امنیت بر عهده مشتری است زیرا این نیازها بر اساس علایق وی است.

    2. بررسی امکان سنجی الزامات ایمنی مشتری.

    3. پیشنهاد، بحث و تعیین سطح امنیتی خدمات فناوری اطلاعات در SLA.

    4. تعریف، توسعه و تدوین الزامات امنیت داخلی برای خدمات فناوری اطلاعات (Operating Service Level Agreements - OLA).

    5. نظارت بر استانداردهای ایمنی (OLA).

    6. تدوین گزارش خدمات ارائه شده.

    مدیریت امنیت اطلاعات ورودی و پشتیبانی را برای مدیریت سطح خدمات برای فعالیت های 1 تا 3 فراهم می کند. فعالیت های 4 و 5 توسط مدیریت امنیت اطلاعات انجام می شود. برای فعالیت 6، مدیریت امنیت اطلاعات و سایر فرآیندها ورودی لازم را ارائه می دهند. رهبران فرآیندهای مدیریت سطح خدمات و مدیریت امنیت اطلاعات، پس از مشورت متقابل، تصمیم می‌گیرند چه کسی واقعاً در این عملیات دخیل است. هنگام تهیه پیش نویس SLA، معمولاً فرض می شود که یک سطح امنیتی پایه (پایه) مشترک وجود دارد. الزامات امنیتی اضافی مشتری باید به وضوح در SLA تعریف شود

    مدیریت در دسترس بودن

    فرآیند مدیریت در دسترس بودن، در دسترس بودن فنی اجزای فناوری اطلاعات مرتبط با در دسترس بودن خدمات را در نظر می گیرد. کیفیت در دسترس بودن با تداوم، قابلیت نگهداری و انعطاف پذیری تعیین می شود. از آنجایی که بسیاری از اقدامات امنیتی تأثیر مثبتی بر روی در دسترس بودن و جنبه های امنیتی محرمانه بودن و یکپارچگی دارند، هماهنگ کردن اقدامات بین مدیریت در دسترس بودن، مدیریت تداوم خدمات فناوری اطلاعات و مدیریت امنیت اطلاعات ضروری است.

    مدیریت ظرفیت

    فرآیند مدیریت ظرفیت مسئول است بهترین استفادهمنابع IT مطابق با توافق با مشتری. الزامات عملکرد بر اساس استانداردهای کمی و کیفی تعریف شده توسط مدیریت سطح خدمات است. تقریباً تمام فعالیت‌های فرآیند مدیریت ظرفیت بر در دسترس بودن و بنابراین بر فرآیند مدیریت امنیت اطلاعات تأثیر می‌گذارد.

    مدیریت تداوم خدمات فناوری اطلاعات

    فرآیند مدیریت تداوم خدمات فناوری اطلاعات تضمین می کند که تأثیر هر گونه احتمالی به سطح توافق شده با مشتری محدود می شود. شرایط خارق العاده نباید به فاجعه تبدیل شود. فعالیت های اصلی عبارتند از تعریف، نگهداری، اجرا و آزمایش طرح تامین کار مداومو احیای عملکرد و همچنین اتخاذ تدابیر پیشگیرانه. به دلیل وجود جنبه های امنیتی در این نوع کارها، ارتباطی با فرآیند مدیریت امنیت اطلاعات وجود دارد. از سوی دیگر، عدم امکان تحقق الزامات اولیه ایمنی را می‌توان به عنوان یک اورژانس در نظر گرفت.

    15.3.2. بخش امنیتی توافقنامه سطح خدمات

    یک قرارداد سطح خدمات (SLA) یک توافق نامه با مشتری را تعریف می کند. فرآیند مدیریت سطح خدمات مسئول SLA ها است (همچنین به فصل 10 مراجعه کنید). SLA اصلی است نیروی پیشرانتمام فرآیندهای ITIL

    سازمان فناوری اطلاعات میزان برآورده شدن الزامات SLA از جمله الزامات امنیتی را تعیین می کند. عناصر امنیتی تعریف شده در SLA باید نیازهای مربوط به مشتری را برآورده کنند. مشتری باید اهمیت تمام فرآیندهای تجاری را تعیین کند (شکل 15.3 را ببینید).

    برنج. 15.3. روابط بین فرآیندها (منبع: OGC)


    این فرآیندهای تجاری به خدمات فناوری اطلاعات بستگی دارد. و در نتیجه از سازمان فناوری اطلاعات. مشتری الزامات امنیتی را تعیین می کند (هیچ الزامات امنیتی اطلاعات SLA در شکل 15.3 وجود ندارد) بر اساس تجزیه و تحلیل ریسک. روی انجیر 15.4. نحوه تعریف عناصر امنیتی SLA را نشان می دهد.

    برنج. 15.4. پیش نویس بخش امنیتی SLA (منبع: OGC)


    عناصر امنیتی بین مشتریان و نمایندگان ارائه دهنده خدمات مورد بحث قرار می گیرد. ارائه‌دهنده خدمات، الزامات سطح خدمات مشتری را با کاتالوگ خدمات خود، که معیارهای امنیتی استاندارد (سطح امنیت پایه) را تشریح می‌کند، مقایسه می‌کند. مشتری ممکن است الزامات اضافی را مطرح کند.

    مشتری و تامین کننده الزامات سطح خدمات را با کاتالوگ خدمات مقایسه می کنند. بخش امنیتی SLA ممکن است به مسائلی مانند سیاست کلی امنیت اطلاعات، لیست پرسنل مجاز، رویه‌های حفاظت از منابع، محدودیت‌های کپی داده‌ها و غیره بپردازد.

    15.3.3. بخش امنیتی توافقنامه سطح خدمات عملیاتی (OLA)

    سند مهم دیگر توافقنامه سطح خدمات عملیاتی است. خدمات ارائه شده توسط ارائه دهنده خدمات داخلی را تشریح می کند. تامین کننده باید این ترتیبات را با مسئولیت هایی که در سازمان وجود دارد مرتبط کند. کاتالوگ خدمات شرح کلی آنها را ارائه می دهد. توافقنامه سطح خدمات عملیاتی این توصیفات کلی را به تعاریف خاص از همه خدمات و اجزای آنها و همچنین نحوه تحقق توافقات سطح خدمات در سازمان ترجمه می کند.

    مثال. کاتالوگ خدمات "مدیریت مجوز کاربران و افراد" را فهرست می کند. توافقنامه سطح خدمات عملیاتی این را برای تمام خدمات خاص ارائه شده توسط سازمان فناوری اطلاعات مشخص می کند. بنابراین اجرای رویداد برای واحدهای ارائه دهنده خدمات UNIX، VMS، NT، Oracle و ... تعیین می شود.

    در صورت امکان، الزامات سطح خدمات مشتری توسط کاتالوگ خدمات تعیین می شود و در صورت لزوم، قراردادهای اضافی منعقد می شود. چنین اقدامات اضافی سطح امنیت را در مقایسه با استاندارد افزایش می دهد.

    هنگام تهیه پیش‌نویس SLA، شاخص‌های عملکرد کلیدی قابل اندازه‌گیری (KPI) و معیارها باید با بخش امنیت اطلاعات توافق شود. شاخص های عملکرد باید پارامترهای قابل اندازه گیری (متریک) باشند و معیارهای عملکرد باید در سطح قابل دستیابی تنظیم شوند. در برخی موارد، دستیابی به توافق در مورد پارامترهای ایمنی قابل اندازه گیری دشوار است. تعریف آنها برای در دسترس بودن سرویس آسانتر است، که می تواند عددی باشد. با این حال، برای صداقت و محرمانه بودن، انجام این کار بسیار دشوارتر است. بنابراین در قسمت امنیتی SLA معمولاً اقدامات لازم به زبان انتزاعی شرح داده می شود. کد عملکرد مدیریت امنیت اطلاعات به عنوان مجموعه ای اساسی از کنترل های امنیتی استفاده می شود. SLA همچنین روشی را برای تعیین اثربخشی توصیف می کند. سازمان فناوری اطلاعات (ارائه دهنده خدمات) باید به طور منظم گزارش هایی را به سازمان کاربر (مشتری) ارائه دهد.

    15.4. فعالیت ها

    15.4.1. کنترل - سیاست و سازماندهی امنیت اطلاعات

    کنترل امنیت اطلاعات، که در مرکز شکل 15.1 نشان داده شده است، اولین فرآیند فرعی مدیریت امنیت اطلاعات است و به سازماندهی و کنترل فرآیند مربوط می شود. این فعالیت شامل یک رویکرد ساختاریافته برای مدیریت امنیت اطلاعات است که فرآیندهای فرعی زیر را توصیف می کند: تدوین برنامه های امنیتی، اجرای آنها، ارزیابی اجرا، و گنجاندن ارزیابی در برنامه های امنیتی سالانه (برنامه های اقدام). همچنین گزارش هایی را که از طریق فرآیند مدیریت سطح خدمات به مشتری ارائه می شود، تشریح می کند.

    این فعالیت فرآیندهای فرعی، عملکردهای امنیتی، نقش ها و مسئولیت ها را تعریف می کند. همچنین ساختار سازمانی، سیستم گزارش‌دهی و جریان‌های مدیریتی را توصیف می‌کند (چه کسی به چه کسی دستور می‌دهد، چه کسی چه کاری انجام می‌دهد، عملکرد چگونه گزارش می‌شود). اقدامات زیر از آیین نامه عملکرد مدیریت امنیت اطلاعات به عنوان بخشی از این فعالیت اجرا می شود.

    قوانین داخلی کار (سیاست) :

    توسعه و اجرای قوانین داخلی کار (سیاست)، پیوند با قوانین دیگر؛

    اهداف، اصول کلی و اهمیت؛

    شرح فرآیندهای فرعی؛

    توزیع کارکردها و مسئولیت ها بر اساس فرآیندهای فرعی؛

    پیوند با سایر فرآیندهای ITIL و مدیریت آنها؛

    مسئولیت عمومی پرسنل؛

    رسیدگی به حوادث امنیتی

    سازمان امنیت اطلاعات:

    طرح ساختاریمدیریت؛

    ساختار مدیریت (ساختار سازمانی)؛

    توزیع دقیق‌تر مسئولیت‌ها؛

    ایجاد کمیته راهبری امنیت اطلاعات؛

    هماهنگی امنیت اطلاعات؛

    هماهنگ سازی ابزارها (به عنوان مثال برای تجزیه و تحلیل ریسک و افزایش آگاهی).

    مشاوره تخصصی؛

    همکاری بین سازمان ها، تعامل داخلی و خارجی؛

    حسابرسی مستقل سیستم های اطلاعاتی؛

    اصول امنیتی هنگام دسترسی به اطلاعات اشخاص ثالث؛

    امنیت اطلاعات در قرارداد با اشخاص ثالث

    15.4.2. برنامه ریزی

    فرآیند فرعی برنامه ریزی عبارت است از تعریف محتوای بخش امنیت SLA از فرآیند مدیریت سطح خدمات و تشریح فعالیت های مرتبط با امنیت که تحت قراردادهای خارجی انجام می شود. وظایفی که به طور کلی در یک SLA تعریف شده اند، در قالب یک توافق نامه سطح خدمات عملیاتی (OLA) به تفصیل و مشخص شده اند. OLA را می توان به عنوان یک برنامه امنیتی برای ساختار سازمانی ارائه دهنده خدمات و به عنوان یک برنامه امنیتی خاص برای مثال، برای هر پلت فرم، برنامه و شبکه فناوری اطلاعات مشاهده کرد.

    ورودی به فرآیند فرعی برنامه ریزی نه تنها مفاد SLA، بلکه اصول سیاست امنیتی ارائه دهنده خدمات (از فرآیند فرعی کنترل) است. نمونه هایی از این اصول عبارتند از: "هر کاربر باید به طور منحصر به فرد شناسایی شود"; امنیت سطح پایه همیشه و برای همه مشتریان ارائه می شود.

    موافقت نامه های سطح خدمات عملیاتی (OLA) برای امنیت اطلاعات (طرح های امنیتی خاص) با استفاده از رویه های عادی توسعه و اجرا می شوند. به این معنی که اگر این فعالیت ها در فرآیندهای دیگر ضروری شده باشد، هماهنگی با این فرآیندها لازم است. تمام تغییرات لازم در زیرساخت فناوری اطلاعات توسط فرآیند مدیریت تغییر با استفاده از اطلاعات ورودی ارائه شده توسط فرآیند مدیریت امنیت اطلاعات انجام می شود. مدیر تغییر مسئولیت فرآیند مدیریت تغییر را بر عهده دارد.

    فرآیند فرعی برنامه ریزی برای تعیین محتوای بخش امنیتی SLA، به روز رسانی آن و اطمینان از انطباق با مفاد آن، با فرآیند مدیریت سطح خدمات هماهنگ می شود. مسئولیت این هماهنگی بر عهده مدیر فرآیند مدیریت سطح خدمات است.

    الزامات امنیتی باید در SLA، در صورت امکان، با عبارات قابل اندازه گیری تعریف شود. بخش امنیتی SLA باید اطمینان حاصل کند که تمام الزامات و استانداردهای امنیتی مشتری قابل تأیید است.

    15.4.3. پیاده سازی

    وظیفه زیرفرایند اجرا (اجرا) اجرای کلیه فعالیت های تعریف شده در طرح ها می باشد. این فرآیند فرعی را می توان با چک لیست اقدامات زیر پشتیبانی کرد.

    طبقه بندی و مدیریت منابع فناوری اطلاعات:

    ارائه داده های ورودی برای پشتیبانی از موارد پیکربندی (CI) در CMDB.

    طبقه بندی منابع IT بر اساس اصول توافق شده.

    ایمنی پرسنل:

    وظایف و مسئولیت ها در شرح شغل؛

    انتخاب پرسنل؛

    قراردادهای محرمانه بودن کارکنان؛

    آموزش؛

    راهنمایی برای پرسنل برای حل و فصل حوادث امنیتی و اصلاح نقص های امنیتی شناسایی شده؛

    اقدامات انضباطی؛

    آگاهی امنیتی بهبود یافته است.

    مدیریت امنیت:

    معرفی انواع مسئولیت و توزیع وظایف.

    دستورالعمل های کاری کتبی؛

    قوانین داخلی؛

    اقدامات امنیتی باید کل چرخه عمر سیستم ها را پوشش دهد. باید دستورالعمل های ایمنی برای توسعه سیستم، آزمایش، پذیرش، استفاده عملیاتی، تعمیر و نگهداری و از کار انداختن سیستم وجود داشته باشد.

    جداسازی محیط توسعه و آزمایش از محیط عملیاتی (کار)؛

    رویه های رسیدگی به حادثه (که توسط فرآیند مدیریت حادثه انجام می شود)؛

    استفاده از ابزارهای بازیابی؛

    ارائه ورودی به فرآیند مدیریت تغییر؛

    اجرای اقدامات برای محافظت در برابر ویروس ها؛

    اجرای شیوه های مدیریت برای رایانه ها، برنامه های کاربردی، شبکه ها و خدمات شبکه؛

    مدیریت صحیح و حفاظت از حامل های داده.

    کنترل دسترسی:

    اجرای سیاست دسترسی و کنترل دسترسی.

    پشتیبانی از امتیازات دسترسی کاربر و برنامه به شبکه ها، خدمات شبکه، رایانه ها و برنامه ها؛

    پشتیبانی مانع حفاظت از شبکه(دیوار آتش، خدمات شماره گیری، پل ها و روترها)؛

    15.4.4. مقطع تحصیلی

    ارزیابی مستقل از اجرای فعالیت های برنامه ریزی شده ضروری است. این ارزیابی برای تعیین اثربخشی ضروری است و همچنین مورد نیاز مشتریان و اشخاص ثالث است. از نتایج فرآیند فرعی ارزیابی می توان برای تنظیم اقدامات توافق شده با مشتری و همچنین برای اجرای آنها استفاده کرد. در نتیجه ارزیابی می توان تغییراتی را پیشنهاد کرد که در این صورت درخواست تغییرات (RFC) فرموله شده و به فرآیند مدیریت تغییر ارسال می شود.

    سه نوع ارزیابی وجود دارد:

    خود ارزیابی: عمدتاً توسط واحدهای خطی سازمان انجام می شود.

    حسابرسی داخلی: توسط حسابرسان داخلی فناوری اطلاعات انجام می شود.

    حسابرسی خارجی: توسط حسابرسان خارجی IT انجام می شود.

    بر خلاف خودارزیابی، حسابرسی توسط همان پرسنلی که در سایر فرآیندهای فرعی شرکت می کنند، انجام نمی شود. این برای اطمینان از تفکیک مسئولیت ها ضروری است. حسابرسی ممکن است توسط واحد حسابرسی داخلی انجام شود.

    ارزیابی نیز به عنوان پاسخ به حوادث انجام می شود.

    فعالیت های اصلی هستند:

    بررسی انطباق با خط مشی امنیتی و اجرای طرح های امنیتی؛

    انجام ممیزی امنیتی سیستم های فناوری اطلاعات؛

    شناسایی و اقدام در مورد استفاده نامناسب از منابع فناوری اطلاعات.

    بررسی جنبه های امنیتی در انواع دیگر ممیزی های فناوری اطلاعات.

    15.4.5. حمایت کردن

    از آنجایی که خطرات با تغییرات در زیرساخت فناوری اطلاعات، در شرکت و در فرآیندهای تجاری تغییر می کند، لازم است اطمینان حاصل شود که اقدامات امنیتی به درستی پشتیبانی می شوند. پشتیبانی کنترل‌های امنیتی شامل پشتیبانی از بخش‌های امنیتی مربوطه SLA و پشتیبانی از طرح‌های امنیتی دقیق (در توافق‌نامه‌های سطح خدمات عملیاتی) است.

    حفظ عملکرد مؤثر سیستم امنیتی بر اساس نتایج فرآیند فرعی ارزیابی و تحلیل تغییر ریسک انجام می شود. پیشنهادات می تواند به عنوان بخشی از فرآیند فرعی برنامه ریزی یا به عنوان بخشی از حفظ کل SLA اجرا شود. در هر صورت، پیشنهادات ارائه شده ممکن است منجر به گنجاندن ابتکارات اضافی در برنامه سالانه ایمنی شود. هر گونه تغییر تابع فرآیند عادی مدیریت تغییر است.

    15.4.6. تهیه گزارش

    گزارش دهی فعالیتی برای ارائه اطلاعات از سایر فرآیندهای فرعی است. گزارش ها برای ارائه اطلاعات در مورد عملکرد ایمنی به دست آمده و اطلاع رسانی به مشتریان در مورد مسائل ایمنی تولید می شوند. مشکلات گزارش معمولاً با مشتری توافق می شود.

    گزارش دهی هم برای مشتری و هم برای ارائه دهنده خدمات مهم است. مشتریان باید اطلاعات دقیقی در مورد عملکرد (مثلاً در مورد اجرای اقدامات امنیتی) و اقدامات امنیتی انجام شده داشته باشند. همچنین مشتری از هرگونه حادثه امنیتی مطلع می شود. در زیر پیشنهاداتی برای گزارش ارائه شده است.

    نمونه هایی از گزارش ها و رویدادهای منظم موجود در آنها:

    فرآیند فرعی برنامه ریزی:

    گزارش هایی در مورد میزان انطباق با SLA و شاخص های عملکرد کلیدی امنیتی توافق شده؛

    گزارش در مورد قراردادهای خارجی و مسائل مرتبط؛

    گزارش‌های مربوط به توافق‌نامه‌های سطح خدمات عملیاتی (طرح‌های امنیتی داخلی) و سیاست‌های امنیتی خود ارائه‌دهنده (مانند سطح امنیت پایه).

    گزارش در مورد برنامه های ایمنی سالانه و برنامه های اقدام.

    فرآیند فرعی پیاده سازی:

    گزارشی از وضعیت امنیت اطلاعات این شامل گزارشی در مورد اجرای برنامه ایمنی سالانه، فهرستی از اقدامات اجرا شده یا برنامه ریزی شده، اطلاعات آموزشی، نتایج تجزیه و تحلیل خطر اضافی و غیره است.

    فهرستی از حوادث امنیتی و پاسخ ها، احتمالاً در مقایسه با دوره گزارش قبلی؛

    شناسایی روند حادثه؛

    وضعیت برنامه اطلاع رسانی

    فرآیند فرعی ارزیابی:

    گزارش در مورد اثربخشی فرآیندهای فرعی؛

    نتایج ممیزی ها، تحلیل ها و ارزیابی های داخلی؛

    هشدارها، شناسایی تهدیدات جدید.

    گزارش های ویژه:

    برای گزارش حوادث امنیتی تعریف شده در SLA، ارائه‌دهنده خدمات باید یک خط ارتباط مستقیم با نماینده مشتری (احتمالاً مسئول امنیت اطلاعات سازمانی) از طریق مدیریت سطح خدمات، مدیریت رویداد یا مدیران فرآیند مدیریت امنیت اطلاعات داشته باشد. روشی برای ارتباط در موارد خاص نیز باید تعریف شود. به جز در شرایط خاص، گزارش ها از طریق فرآیند مدیریت سطح سرویس مخابره می شوند.

    15.5. کنترل فرایند

    15.5.1. عوامل حیاتی موفقیت و شاخص های کلیدی عملکرد

    عوامل حیاتی موفقیت عبارتند از:

    درک کامل نیاز به فرآیند توسط مدیریت و مشارکت آن در فرآیند؛

    مشارکت دادن کاربران در توسعه فرآیند؛

    تعریف دقیقو تقسیم مسئولیت ها

    معیارهای عملکرد فرآیند مدیریت امنیت اطلاعات با معیارهای فرآیند مدیریت سطح سرویس سازگار است، تا جایی که مورد دوم به مسائل امنیتی پرداخته شده در SLA مربوط می شود.

    15.5.2. توابع و نقش ها

    در سازمان های کوچک فناوری اطلاعات، یک فرد می تواند چندین فرآیند را مدیریت کند. از سوی دیگر، در سازمان های بزرگ، چندین نفر روی یک فرآیند کار می کنند، مانند مدیریت امنیت اطلاعات. در چنین مواردی معمولاً یک رئیس فرآیند مدیریت امنیت اطلاعات منصوب می شود. این مدیر مسئول عملکرد کارآمد فرآیند است. همتای او در سازمان مشتری، بازرس امنیت اطلاعات است.

    15.6. مشکلات و هزینه ها

    15.6.1. چالش ها و مسائل

    جنبه های زیر برای اجرای موفقیت آمیز فرآیند مدیریت امنیت اطلاعات ضروری است:

    درک نیاز به فرآیند (درک توسط شرکت کنندگان): اقدامات امنیتی به ندرت با درک مثبت سریع کارکنان مواجه می شود. مقاومت رایج تر از تایید است. کاربران از از دست دادن برخی از امتیازات به دلیل معرفی اقدامات امنیتی ناراحت هستند، حتی اگر این ویژگی ها برای کار آنها ضروری نباشد. این به این دلیل است که امتیازات به آنها وضعیت خاصی می دهد. بنابراین برای ایجاد انگیزه در کاربران و کسب رضایت مدیریت برای معرفی تدابیر امنیتی کار ویژه ای لازم است. به خصوص در حوزه مدیریت امنیت اطلاعات، مدیریت باید با مثال ("روشن کردن دوره" و "رهبری") رهبری کند. در غیاب حوادث امنیتی، مدیریت ممکن است وسوسه شود که هزینه های مدیریت امنیت را کاهش دهد.

    نگرش: سیستم های اطلاعاتی نه به دلیل نقص فنی، بلکه به دلیل خطا در استفاده از فناوری ناامن هستند. معمولاً به نگرش و رفتار انسان مربوط می شود. این به این معنی است که رویه های امنیتی باید در عملیات معمول ادغام شوند.

    اطلاعپاسخ: آگاهی یا بهتر بگوییم ارتباط مفهوم کلیدی است. گاهی اوقات تضاد منافع بین ارتباطات و امنیت وجود دارد: ارتباطات راه را هموار می کند، در حالی که امنیت موانعی ایجاد می کند. این بدان معناست که اجرای تدابیر امنیتی مستلزم استفاده از تمامی وسایل ارتباطی است تا کاربران رفتار لازم را اتخاذ کنند.

    تایید: باید امکان بررسی و تایید امنیت وجود داشته باشد. این هم در مورد اقدامات معرفی شده و هم در مورد دلایل معرفی آنها صدق می کند. شما باید بتوانید مطمئن شوید که تصمیمات درست در شرایط مناسب گرفته می شود. به عنوان مثال، باید امکان بررسی صلاحیت افرادی که تصمیم گرفتند، وجود داشته باشد.

    مدیریت تغییر: اغلب هنگام ایجاد تغییرات، کیفیت ارزیابی انطباق با سطح امنیتی پایه تضعیف می شود.

    هدف - آرزو: وقتی سازمانی می خواهد همه کارها را یکجا انجام دهد، اغلب خطاهایی رخ می دهد. در صورت معرفی فرآیند مدیریت امنیت اطلاعات، پیاده سازی اقدامات فنیاهمیت بسیار کمتری نسبت به اقدامات سازمانی دارد. تغییر یک سازمان نیازمند یک رویکرد گام به گام است و زمان زیادی می برد.

    عدم وجود سیستم های تشخیص: سیستم های جدید مانند اینترنت برای امنیت و نیاز به تشخیص دستکاری طراحی نشده اند. دلیل آن این است که یک سیستم ایمن برای توسعه بیشتر از یک سیستم ناامن زمان می برد و با تقاضاهای تجاری برای هزینه های توسعه کم و زمان سریعتر برای بازار در تضاد است.

    امیدهای بیش از حد به فناوری "قلعه تسخیرناپذیر".: تهدیدهای امنیتی برای سیستم ها به طور فزاینده ای از مکان های غیرقابل پیش بینی ظاهر می شوند. اولین حملات ویروس های ILOVEYOU و Nimda را با اولین نمونه از حملات Denial of Service (DoS) مقایسه کنید. در حالی که حفاظت از اطلاعات با استفاده از رویکرد سنتی "ضد قلعه" همچنان مهم است، رویکرد "ضدحمله" نیز در هنگام رخ دادن رخنه های امنیتی اهمیت بیشتری پیدا می کند. سازمان باید بتواند به سرعت منابع را به محل یک نقص هدایت کند تا اینکه از کنترل خارج شود.

    15.6.2. مخارج

    ایمن سازی یک زیرساخت فناوری اطلاعات به افراد و در نتیجه پول نیاز دارد تا اقدامات امنیتی را انجام دهند، حفظ کنند و اعتبار سنجی کنند. با این حال، عدم محافظت از زیرساخت فناوری اطلاعات هزینه نیز دارد (هزینه محصولات تولید نشده، هزینه جایگزینی، آسیب به داده ها، نرم افزار یا سخت افزار، از دست دادن شهرت، جریمه یا غرامت به دلیل عدم انجام تعهدات قراردادی). مثل همیشه باید تعادل برقرار شود.

    یادداشت:

    اصطلاح «مدیریت خدمات فناوری اطلاعات» از یک سو به عنوان مترادف عبارت «مدیریت خدمات فناوری اطلاعات» استفاده می‌شود، اما از سوی دیگر آن را تقویت می‌کند، یعنی رویکردی متمرکز به مدیریت کل سازمان فناوری اطلاعات. یک واحد خدماتی مدرن با هدف ارائه خدمات به واحد تجاری و بخشی جدایی ناپذیر از فرآیند تولید.

    درخواست تغییر - RFC.

    چارچوب مدیریت

    کمیته راهبری امنیت اطلاعات

    روز بخیر عزیزان
    مدت زیادی است که برای هابر ننوشته ام، وقت نبود، کار زیاد بود. اما اکنون بارگیری کرده ام و افکاری را برای یک پست جدید شکل داده ام.

    با یکی از رفقا که وظیفه امنیت اطلاعات در سازمان را بر عهده داشت (رفیق مدیر سیستم) صحبت کردم و از من خواست که بگویم از کجا شروع کنم و کجا حرکت کنم. اندیشه و دانش خود را اندکی به نظم درآورد و نقشه ای زمخت به او داد.
    متأسفانه، این وضعیت به دور از انزوا است و اغلب رخ می دهد. کارفرمایان قاعدتاً می خواهند هم سوئیسی داشته باشند و هم درو و هم یک بازیکن روی لوله و همه اینها با یک قیمت. بعداً به این سؤال باز خواهم گشت که چرا امنیت اطلاعات نیازی به نسبت دادن به فناوری اطلاعات نیست، اما اکنون ما همچنان در نظر خواهیم گرفت که اگر این اتفاق افتاد و شما برای چنین ماجراجویی، یعنی ایجاد امنیت اطلاعات ثبت نام کردید، از کجا شروع کنیم. سیستم مدیریت (ISMS).

    تحلیل ریسک

    تقریباً همه چیز در امنیت اطلاعات با تجزیه و تحلیل ریسک شروع می شود، این اساس و آغاز تمام فرآیندهای امنیتی است. من یک برنامه آموزشی مختصر در این زمینه انجام خواهم داد، زیرا بسیاری از مفاهیم واضح نیستند و اغلب اشتباه می شوند.
    بنابراین 3 مفهوم اصلی وجود دارد:
    • احتمال اجرا
    • آسیب پذیری

    ریسک احتمال وارد شدن به هرگونه ضرر (پولی، اعتباری و ...) به دلیل اجرای یک آسیب پذیری است.
    احتمال پیاده سازی این است که چقدر احتمال دارد که یک آسیب پذیری معین برای تحقق یک ریسک مورد سوء استفاده قرار گیرد.
    آسیب پذیری مستقیماً یک شکاف در سیستم امنیتی شما است که با درجه ای از احتمال می تواند باعث آسیب شود، یعنی متوجه خطر شود.

    روش های زیادی وجود دارد رویکردهای مختلفبرای مدیریت ریسک، من در مورد اصول اولیه به شما خواهم گفت، بقیه در ابتدا در توسعه یک ISMS نیاز نخواهید داشت.
    بنابراین، تمام کارهای مربوط به مدیریت ریسک یا به کاهش احتمال اجرا یا به حداقل رساندن ضررهای ناشی از اجرا منجر می شود. بر این اساس، ریسک ها می توانند برای سازمان قابل قبول و غیرقابل قبول باشند. قابل قبول بودن ریسک به بهترین وجه در مقادیر مشخصی از زیان ناشی از اجرای آن بیان می شود (در هر صورت، حتی زیان های نامشهود ظاهراً نامشهود در نهایت منجر به سود از دست رفته می شود). لازم است با مدیریت تصمیم بگیرید که چه مقدار برای آنها آستانه پذیرش خواهد بود و یک درجه بندی (ترجیحاً 3-5 سطح برای ضرر). در مرحله بعد، یک درجه بندی از نظر احتمال و همچنین با ضرر انجام دهید و سپس ریسک ها را با مجموع این شاخص ها ارزیابی کنید.
    پس از انجام کارهای مقدماتی، آسیب پذیری های واقعی سازمان خود را برجسته کنید و خطرات اجرا و زیان آنها را ارزیابی کنید. در نتیجه، 2 مجموعه ریسک دریافت خواهید کرد - قابل قبول و غیر قابل قبول. با ریسک های قابل قبول، شما به سادگی آن را تحمل می کنید و برای به حداقل رساندن آن ها گام های فعالی بر نمی دارید (یعنی قبول می کنیم که به حداقل رساندن این ریسک ها بیشتر از ضرر و زیان ناشی از آن ها برای ما هزینه دارد) و در مورد غیرقابل قبول، 2 سناریو وجود دارد.

    به حداقل رساندن - کاهش احتمال وقوع، کاهش تلفات احتمالی، یا حتی اتخاذ تدابیری برای از بین بردن خطر (بستن آسیب پذیری).
    انتقال - صرفاً انتقال نگرانی های مربوط به ریسک به شخص دیگری، به عنوان مثال، بیمه سازمان در برابر رویدادهای خطر یا انتقال دارایی در معرض خطر (به عنوان مثال، انتقال سرورها به یک مرکز داده، بنابراین برای منبع تغذیه اضطراریو ایمنی فیزیکی سرورها بر عهده مرکز داده خواهد بود).

    ترازو

    البته قبل از هر چیز باید مقیاس فاجعه را ارزیابی کرد. من به مسائل مربوط به حفاظت از داده های شخصی دست نمی زنم، در حال حاضر مقالات زیادی در مورد این موضوع وجود دارد، بیش از یک بار شرح داده شده است. توصیه عملیو الگوریتم های عمل
    اجازه دهید همچنین به شما یادآوری کنم که امنیت اطلاعات در درجه اول مربوط به افراد است، بنابراین ما به اسناد نظارتی نیاز داریم. برای نوشتن آن، ابتدا باید بدانید چه چیزی را در آنجا وارد کنید.
    3 سند اصلی برای امنیت اطلاعات در این زمینه وجود دارد:
    سیاست امنیت اطلاعات
    سند اصلی، کتاب راهنما، کتاب مقدس و سایر عناوین برجسته شما. در آن است که تمام رویه های امنیت اطلاعات توضیح داده شده است، سطح امنیتی که شما در سازمان خود دنبال می کنید توضیح داده شده است. بنابراین می توان گفت - یک برش ایده آل از امنیت، مستند و پذیرفته شده مطابق با تمام قوانین.
    خط مشی نباید سنگین باشد، سند باید زنده بماند، باید تحت تأثیر تهدیدات جدید، روندها در امنیت اطلاعات یا خواسته ها تغییر کند. در این راستا، خط مشی (در اصل، هر سند فرآیندی) باید به طور منظم برای مرتبط بودن بررسی شود. بهتر است این کار را حداقل یک بار در سال انجام دهید.
    مفهوم امنیت اطلاعات
    گزیده ای کوچک از این خط مشی، که مبانی امنیت سازمان شما را تشریح می کند، هیچ فرآیند خاصی وجود ندارد، اما اصولی برای ساخت ISMS و اصولی برای ایجاد امنیت وجود دارد.
    این سند بیشتر یک سند تصویری است، نباید حاوی اطلاعات "حساس" باشد و باید برای همه باز و قابل دسترسی باشد. آن را در وب سایت خود قرار دهید، آن را در یک سینی در جایگاه اطلاعات قرار دهید تا مشتریان و بازدیدکنندگان شما بتوانند با آن آشنا شوند یا به سادگی ببینند که شما به ایمنی اهمیت می دهید و آماده نشان دادن آن هستید.
    مقررات مربوط به اسرار تجاری (اطلاعات محرمانه)
    در پرانتز یک نام جایگزین برای چنین سندی مشخص کنید. به طور کلی، com. راز این است مورد خاصمحرمانه است، اما تفاوت های بسیار کمی وجود دارد.
    این سند باید موارد زیر را نشان دهد: چگونه و کجا اسنادی که کام را تشکیل می دهند. راز اینکه چه کسی مسئول نگهداری این اسناد است، الگوی سند حاوی چنین اطلاعاتی چگونه باید باشد، برای افشای اطلاعات محرمانه (طبق قانون و مطابق با توافقات داخلی با مدیریت) چگونه خواهد بود. و البته، فهرستی از اطلاعاتی که برای سازمان شما یک راز تجاری یا محرمانه است.
    طبق قانون، بدون اقدامات انجام شده برای محافظت از اطلاعات محرمانه، شما آن را ندارید، همانطور که بود :-) یعنی به نظر می رسد خود اطلاعات وجود دارد، اما نمی تواند محرمانه باشد. و در اینجا یک نکته جالب وجود دارد که قرارداد عدم افشا توسط 90 درصد از سازمان با کارکنان جدید امضا می شود، اما تعداد کمی از آنها اقدامات لازم در قانون را انجام داده اند. حداکثر لیست اطلاعات

    حسابرسی

    برای نوشتن این اسناد، به طور دقیق تر، برای درک آنچه باید در آنها باشد، باید وضعیت فعلی امنیت اطلاعات را بررسی کنید. واضح است که بسته به فعالیت های سازمان، توزیع سرزمینی و غیره، تفاوت های ظریف و عوامل زیادی برای هر سازمان خاص وجود دارد، اما چندین نکته اصلی وجود دارد که برای همه مشترک است.
    خط مشی دسترسی
    اینجا 2 شعبه داره دسترسی فیزیکیبه محل و دسترسی به سیستم های اطلاعاتی.
    دسترسی فیزیکی
    سیستم کنترل دسترسی خود را شرح دهید. نحوه و زمان صدور کارت های دسترسی، چه کسی تعیین می کند که چه کسی به کدام محل دسترسی دارد (به شرطی که محل مجهز به ACS باشد). همچنین در اینجا لازم به ذکر است که سیستم نظارت تصویری، اصول ساخت آن (عدم وجود نقاط کور در مکان های تحت نظارت، کنترل اجباری ورودی ها و خروجی ها به / از ساختمان، کنترل ورودی اتاق سرور و غیره .). همچنین، بازدیدکنندگان را فراموش نکنید، اگر پذیرایی مشترک ندارید (و حتی اگر دارید)، باید نحوه ورود بازدیدکنندگان به منطقه کنترل شده (گذرنامه موقت، شخص همراه) را مشخص کنید.
    برای اتاق سرور نیز باید یک لیست دسترسی جداگانه با گزارش بازدید وجود داشته باشد (اگر ACS در اتاق سرور نصب شده باشد و همه چیز به طور خودکار انجام شود آسان تر است).
    دسترسی به سیستم های اطلاعاتی
    در صورت وجود، روش صدور دسترسی را شرح دهید. احراز هویت چند عاملی، سپس صدور شناسه های اضافی. خط مشی رمز عبور (انقضای رمز عبور، پیچیدگی، تعداد تلاش برای ورود به سیستم، زمان مسدود کردن KM پس از بیش از تعداد تلاش ها) برای همه سیستم هایی که در صورت عدم دسترسی به سیستم Single Log On در همه جا، به آنها اجازه دسترسی داده شده است.
    ساخت شبکه
    سرورهای دسترسی خارجی (DMZ) در کجا قرار دارند، چگونه از داخل و خارج به آنها دسترسی پیدا می شود. تقسیم بندی شبکه، نحوه ارائه آن فایروال ها، از کدام بخش ها محافظت می کنند (در صورت وجود در شبکه بین بخش ها).
    دسترسی از راه دور
    چگونه سازماندهی شده است و چه کسی دسترسی دارد. در حالت ایده آل، باید اینگونه باشد: فقط VPN، دسترسی فقط با توافق با مدیریت ارشد و با دلیل نیاز. اگر نیاز به دسترسی به اشخاص ثالث (فروشندگان، پرسنل خدمات و غیره) دارید، دسترسی از نظر زمانی محدود می شود، یعنی یک حساب برای مدت معینی صادر می شود و پس از آن به طور خودکار مسدود می شود. به طور طبیعی، زمانی که دسترسی از راه دور، هر کسی، حقوق باید به حداقل محدود شود.
    حوادث
    نحوه پردازش آنها، چه کسی مسئول است و روند مدیریت حوادث و مشکلات مدیریتی (البته در صورت وجود) چگونه ساخته می شود. من قبلاً یک پست در مورد کار با حوادث داشتم: habrahabr.ru/post/154405 می توانید بیشتر بخوانید.
    همچنین تعیین روندها در سازمان شما ضروری است. به این معنا که کدام حوادث بیشتر رخ می دهد، کدام یک مضرتر هستند (از دست دادن مستقیم مال یا پول، آسیب به شهرت). این به کنترل ریسک و تجزیه و تحلیل ریسک کمک می کند.
    دارایی های
    که در این مورددارایی ها هر چیزی هستند که باید محافظت شوند. یعنی سرورها، اطلاعات روی کاغذ یا رسانه های قابل جابجایی، هارد دیسک کامپیوتر و غیره. اگر هر دارایی حاوی اطلاعات "حساس" باشد، باید بر اساس آن علامت گذاری شود و باید فهرستی از اعمال مجاز و ممنوع با این دارایی، مانند انتقال به اشخاص ثالث، انتقال توسط پست الکترونیکدر داخل سازمان، آپلود در دسترسی عمومیدرون سازمان و غیره

    تحصیلات

    لحظه ای که خیلی ها فراموشش می کنند. کارکنان باید در مورد اقدامات ایمنی آموزش ببینند. آشنایی با دستورالعمل ها و سیاست های ضد امضا کافی نیست، 90 درصد آنها را نمی خوانند، بلکه برای خلاص شدن از شر آن ها فقط امضا می کنند. من همچنین یک نشریه در مورد آموزش ایجاد کردم: habrahabr.ru/post/154031 نکات اصلی وجود دارد که در آموزش مهم است و نباید فراموش کنید. علاوه بر خود آموزش، چنین رویدادهایی از نظر ارتباط بین کارکنان و افسر امنیتی مفید است ( اسم زیبامن واقعا دوستش دارم :-). شما می توانید در مورد برخی از حوادث جزئی، آرزوها و حتی مشکلاتی که به سختی می دانستید در یک ریتم کاری معمولی اطلاعاتی کسب کنید.

    نتیجه

    این، احتمالاً تمام چیزی است که می خواستم به مبتدیان در زمینه امنیت اطلاعات بگویم. من درک می کنم که با چنین پستی ممکن است برخی از همکارانم را از کار محروم کنم، زیرا یک کارفرمای بالقوه به سادگی این وظایف را به ادمین محول می کند، اما من همچنین از بسیاری از سازمان ها در برابر یکپارچه سازها - شرورهایی که دوست دارند برای حسابرسی و نوشتن پول اخاذی کنند محافظت خواهم کرد. جزوه های چند صفحه ای در مورد چه چیزی، آنها را به عنوان هنجاری (http://habrahabr.ru/post/153581/).
    دفعه بعد سعی خواهم کرد در مورد سازماندهی سرویس امنیت اطلاعات به این صورت صحبت کنم.

    P.S. اگر منهای گذاشتید لطفا نظر بدهید تا در آینده چنین اشتباهاتی نکنم.

    برچسب ها: اضافه کردن برچسب

    مدیریت امنیت اطلاعات (ISM) -فرآیندی که فراهم می کند محرمانه بودنیکپارچگی و در دسترس بودن دارایی ها، اطلاعات، داده ها و خدمات سازمان. مدیریت امنیت اطلاعاتمعمولاً بخشی از رویکرد مدیریت امنیت سازمانی است که از نظر دامنه گسترده‌تر از ارائه‌دهنده خدمات است و شامل رسیدگی به کاغذ، دسترسی به ساختمان، تماس های تلفنیو غیره، برای کل سازمان.

    هدف اصلی ISM اطمینان از مدیریت مؤثر امنیت اطلاعات کلیه خدمات و فعالیت‌های درون مدیریت خدمات است. امنیت اطلاعاتبرای محافظت در برابر نقض محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات، سیستم های اطلاعاتی و ارتباطات طراحی شده است.

    1. محرمانه بودن- وضعیت اطلاعات، که در آن دسترسی به آن تنها توسط افراد دارای حق برخورداری از آن انجام می شود.
    2. تمامیت- وضعیت اطلاعاتی که هیچ تغییری در آن ایجاد نشده است یا تغییر فقط به عمد توسط افراد دارای حق انجام می شود.
    3. دسترسی- وضعیت اطلاعاتی که در آن افراد دارای حق دسترسی می توانند بدون مانع از آن استفاده کنند.

    هدف تضمین امنیت اطلاعات در صورتی محقق می شود که:

    1. اطلاعات در صورت نیاز در دسترس است و سیستم های اطلاعاتی در برابر حملات مقاوم هستند، می توانند از آنها اجتناب کنند یا به سرعت بازیابی شوند.
    2. اطلاعات فقط در دسترس کسانی است که از حقوق مناسب برخوردارند.
    3. اطلاعات صحیح، کامل و از تغییرات غیرمجاز محفوظ است.
    4. تبادل اطلاعات با شرکا و سایر سازمان ها به صورت ایمن محافظت می شود.

    کسب و کار تعیین می کند که چه چیزی و چگونه باید محافظت شود. در عین حال، برای اثربخشی و یکپارچگی امنیت اطلاعات، لازم است فرآیندهای تجاری از ابتدا تا انتها در نظر گرفته شود، زیرا یک نقطه ضعیف می تواند کل سیستم را آسیب پذیر کند.

    فرآیند ISM باید شامل موارد زیر باشد:

    • تشکیل، مدیریت، توزیع و انطباق با خط مشی امنیت اطلاعات و سایر سیاست های حمایتی مرتبط با امنیت اطلاعات. سیاست امنیت اطلاعات- سیاستی که رویکرد سازمان به مدیریت امنیت اطلاعات را تعریف می کند.
    • درک الزامات امنیتی تجاری فعلی و آینده توافق شده؛
    • استفاده کنترل های امنیتیبرای پیاده سازی خط مشی امنیت اطلاعات و مدیریت ریسک های مرتبط با دسترسی به اطلاعات، سیستم ها و خدمات. عبارت " کنترل امنیتی"از انگلیسی وام گرفته شده است و در این زمینه به معنای مجموعه ای از اقدامات متقابل و اقدامات احتیاطی اعمال شده برای لغو، کاهش و مقابله با خطرات است. کنترل امنیتیشامل اقدامات پیشگیرانه و واکنشی است.
    • مستندسازی لیست کنترل های امنیتیفعالیت های مربوط به عملیات و مدیریت آنها و همچنین کلیه خطرات مرتبط با آنها.
    • مدیریت تامین کنندگان و قراردادهایی که نیاز به دسترسی به سیستم ها و خدمات دارند. این در تعامل با فرآیند مدیریت تامین کننده انجام می شود.
    • کنترل تمام "شکاف" های امنیتی و حوادث مربوط به سیستم ها و خدمات.
    • بهبود فعال کنترل های امنیتیو کاهش خطرات نقض امنیت اطلاعات؛
    • ادغام جنبه های امنیت اطلاعات در تمام فرآیندهای مدیریت خدمات.

    خط مشی امنیت اطلاعات باید شامل موارد زیر باشد:

    • اجرای جنبه های سیاست امنیت اطلاعات؛
    • سوء استفاده احتمالی از جنبه های سیاست امنیت اطلاعات؛
    • سیاست کنترل دسترسی؛
    • سیاست استفادهرمزهای عبور
    • خط مشی ایمیل؛
    • خط مشی اینترنت؛
    • سیاست حفاظت ضد ویروس؛
    • سیاست طبقه بندی اطلاعات؛
    • سیاست طبقه بندی اسناد؛
    • سیاست دسترسی از راه دور؛
    • خط مشی دسترسی ارائه دهنده به خدمات، اطلاعات و مؤلفه ها؛
    • سیاست تخصیص دارایی

    خط‌مشی‌های ذکر شده باید در دسترس کاربران و مشتریان باشد، که به نوبه خود باید موافقت خود را با آنها به صورت کتبی تأیید کنند.

    خط‌مشی‌ها توسط مدیریت کسب‌وکار و فناوری اطلاعات تأیید شده و در صورت لزوم بررسی می‌شوند.

    برای تضمین و مدیریت امنیت اطلاعات، حفظ یک سیستم مدیریت امنیت اطلاعات ضروری است. سیستم مدیریت امنیت اطلاعات (ISMS)- سیستمی از خط مشی ها، فرآیندها، استانداردها، اسناد راهنمایی و ابزارهایی که دستیابی به اهداف مدیریت امنیت اطلاعات را برای سازمان فراهم می کند. روی انجیر شکل 6.3 چارچوب ISMS را که بیشتر توسط سازمان ها استفاده می شود نشان می دهد.


    برنج. 6.3. ISMS

    برای اطمینان و پشتیبانی از سیاست امنیت اطلاعات، لازم است مجموعه ای از کنترل های امنیتی. برای جلوگیری از حوادث و واکنش مناسب در صورت وقوع آنها، تدابیر امنیتی ارائه شده در شکل. 6.5.


    برنج. 6.5.

    روی انجیر 6.5 چهار مرحله وجود دارد. مرحله اول ظهور یک تهدید است. تهدید به هر چیزی گفته می شود که می تواند تأثیر نامطلوبی بر فرآیند کسب و کار بگذارد یا آن را مختل کند. یک حادثه یک تهدید تحقق یافته است. حادثه نقطه شروع درخواست است کنترل های امنیتی. خسارت در نتیجه حادثه رخ می دهد. کنترل های امنیتی نیز برای مدیریت یا حذف خطرات اعمال می شود. برای هر مرحله، لازم است اقدامات امنیت اطلاعات مناسب انتخاب شود:

    1. پیشگیرانه - اقدامات امنیتی که از وقوع یک حادثه امنیت اطلاعات جلوگیری می کند. به عنوان مثال، توزیع حقوق دسترسی.
    2. ترمیمی - اقدامات امنیتی با هدف کاهش آسیب احتمالی در صورت وقوع حادثه. به عنوان مثال، پشتیبان گیری.
    3. کارآگاه - اقدامات امنیتی با هدف شناسایی حوادث. به عنوان مثال، محافظت از آنتی ویروس یا سیستم تشخیص نفوذ.
    4. سرکوبگر - اقدامات امنیتی که با تلاش برای اجرای یک تهدید، یعنی حوادث مقابله می کند. به عنوان مثال، یک دستگاه خودپرداز پس از تعداد معینی از وارد کردن پین نادرست، یک کارت از مشتری می گیرد.
    5. اصلاحی - اقدامات امنیتی با هدف بازیابی پس از یک حادثه. به عنوان مثال، بازیابی نسخه های پشتیبان، بازگشت به حالت کار قبلی و غیره.

    ورودی های فرآیند ISM عبارتند از:

    1. اطلاعات کسب و کار - استراتژی ها، برنامه ها، بودجه کسب و کار و همچنین الزامات فعلی و آتی آن؛
    2. سیاست های امنیتی کسب و کار، طرح های امنیتی، تجزیه و تحلیل ریسک؛
    3. اطلاعات از IT - استراتژی فناوری اطلاعات، برنامه ها و بودجه؛
    4. اطلاعات خدمات - اطلاعات از SLM، به ویژه مجموعه خدمات و کاتالوگ خدمات، SLA/SLR.
    5. گزارش های تجزیه و تحلیل فرآیند و ریسک از ISM، مدیریت در دسترس بودن و مدیریت تداوم خدمات؛
    6. اطلاعات دقیق در مورد تمام حوادث امنیت اطلاعات و "شکاف" در آن؛
    7. تغییر اطلاعات - اطلاعات حاصل از فرآیند مدیریت تغییر، به ویژه برنامه زمان بندی تغییرات و تأثیر آنها بر برنامه ها، سیاست ها و کنترل های امنیت اطلاعات.
    8. اطلاعات در مورد روابط تجاری با خدمات، خدمات جانبی و فن آوری؛
    9. اطلاعات مربوط به دسترسی شرکا و تامین کنندگان به خدمات و سیستم های ارائه شده توسط فرآیندهای مدیریت تامین کننده و مدیریت در دسترس بودن.

    خروجی های ISM عبارتند از:

    1. یک خط مشی جامع امنیت اطلاعات و سایر سیاست های حمایتی مرتبط با امنیت اطلاعات؛
    2. سیستم مدیریت امنیت اطلاعات (ISMS)، که شامل تمام اطلاعات مورد نیاز برای ارائه ISM است.
    3. نتایج ارزیابی مجدد ریسک و گزارش های حسابرسی؛
    4. کیت کنترل های امنیتی، شرح عملکرد و مدیریت آنها و همچنین هرگونه خطرات مرتبط با آنها.
    5. ممیزی ها و گزارش های امنیت اطلاعات؛
    6. برنامه آزمایشی برنامه های امنیت اطلاعات؛
    7. طبقه بندی دارایی های اطلاعاتی؛
    8. گزارش در مورد "شکاف" موجود در امنیت اطلاعات و حوادث.
    9. خط‌مشی‌ها، فرآیندها و رویه‌ها برای مدیریت دسترسی ارائه‌دهنده و شریک به خدمات و سیستم‌ها.

    بسیاری از معیارها را می توان به عنوان KPI برای فرآیند مدیریت امنیت اطلاعات استفاده کرد، مانند:

    1. حفاظت از کسب و کار در برابر نقض امنیت اطلاعات
      • درصد کاهش گزارش‌های مربوط به "شکاف" در میز خدمات؛
      • درصد کاهش تأثیر منفی «شکاف‌ها» و حوادث بر تجارت؛
      • درصد افزایش در موارد امنیت اطلاعات در SLA.
    2. شکل‌گیری یک خط‌مشی امنیت اطلاعات شفاف و منسجم که نیازهای کسب‌وکار را در نظر می‌گیرد، یعنی کاهش تعداد ناهماهنگی‌های بین فرآیندهای ISM و فرآیندها و سیاست‌های امنیت اطلاعات کسب‌وکار.
    3. رویه های امنیتی که توسط مدیریت سازمان توجیه، توافق و تایید می شود:
      • افزایش سازگاری و تناسب رویه های امنیتی؛
      • افزایش حمایت مدیریت
    4. مکانیسم های بهبود:
      • تعداد بهبودهای پیشنهادی برای کنترل‌ها و رویه‌ها؛
      • کاهش تعداد مغایرت های یافت شده در طول آزمایش و حسابرسی.
    5. امنیت اطلاعات بخشی جدایی ناپذیر از خدمات و فرآیندهای ITSM است، یعنی افزایش تعداد خدمات و فرآیندهایی که در آن اقدامات امنیتی ارائه می شود.

    ISM با چالش ها و مخاطرات زیادی در مسیر امنیت اطلاعات مواجه است. متأسفانه، در عمل، اغلب کسب و کارها بر این باورند که فقط فناوری اطلاعات باید با مسائل امنیت اطلاعات سروکار داشته باشد. حتی بدتر از این است که کسب و کار متوجه نشود که چرا اصلاً باید به امنیت اطلاعات توجه کرد. ایجاد یک سیستم امنیت اطلاعات کارآمد مستلزم هزینه های بالایی است که باید برای مدیریت روشن باشد، زیرا آنها هستند که در مورد تامین مالی تصمیم می گیرند. در عین حال، حفظ تعادل مهم است - تضمین امنیت اطلاعات نباید بیش از خود اطلاعات محافظت شده هزینه داشته باشد.

    اطلاعات یکی از مهم ترین منابع تجاری است که ارزش افزوده ای برای سازمان فراهم می کند و بنابراین باید از آن محافظت شود. ضعف در امنیت اطلاعات می تواند منجر به زیان مالی و آسیب به عملیات تجاری شود. بنابراین در زمان ما، موضوع توسعه سیستم مدیریت امنیت اطلاعات و پیاده سازی آن در یک سازمان مفهومی است.

    استاندارد ISO 27001 امنیت اطلاعات را چنین تعریف می کند: «حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات. علاوه بر این، ممکن است ویژگی های دیگری مانند اصالت، عدم انکار، اعتبار را نیز شامل شود.

    محرمانه بودن - اطمینان از اینکه اطلاعات فقط در دسترس کسانی است که دارای اختیارات مناسب هستند (کاربران مجاز).

    صداقت - اطمینان از صحت و کامل بودن اطلاعات و همچنین روش های پردازش آن؛

    در دسترس بودن - ارائه دسترسی به اطلاعات برای کاربران مجاز در صورت لزوم (در صورت تقاضا).

    برای سوالات: klubok@site
    بیشتر بخوانید: