رهبری عمومی امنیت اطلاعاتدر بانک بر اساس وظایف ارائه شده در مفهوم، اصول سازماندهی و عملکرد سیستم امنیت اطلاعات و تهدیدات اصلی توسط رئیس هیئت مدیره بانک انجام می شود.

حوزه های زیر از فعالیت های بانک در مدیریت امنیت اطلاعات تعیین می شود:

• - سازمان مدیریت امنیت اطلاعات در سیستم های خودکارو شبکه ها؛
• - سازمان حفاظت اطلاعات گفتار;
• - تدارک حفاظت فیزیکیتسهیلات بانکی که در آن اطلاعات تشکیل دهنده یک راز تجاری پردازش و ذخیره می شود.
• - مشارکت در سازماندهی جریان اسناد تجاری عمومی؛
• - سازماندهی و حفاظت از گردش مالی اسناد محرمانه.

مدیریت اقدامات امنیتی، ایجاد حقوق کاربر و کنترل باید به صورت متمرکز و با در نظر گرفتن ویژگی های پردازش و انتقال اطلاعات در سیستم ها و بخش های خاص شبکه انجام شود. کار برای اطمینان از امنیت اطلاعات در سیستم ها و شبکه ها مستقیماً توسط:

• - اداره امنیت اطلاعات؛
• - مدیران سیستم و شبکه؛
• - افراد مسئول امنیت اطلاعات در بخش های بانک؛
• - ریاست رژیم اداره امنیت اقتصادی.

بخش امنیت اطلاعات اساس است مدیریت متمرکزو کنترل امنیت اطلاعات در سیستم ها و شبکه های بانک. وظیفه اصلی اداره امنیت اطلاعات سازماندهی کار مستمر، برنامه ریزی شده و هدفمند برای تضمین امنیت اطلاعات و نظارت بر اجرای اسناد نظارتی بانک در مورد امنیت اطلاعات است.

کارکنان بخش فناوری اطلاعات بانک به عنوان مدیران سیستم و شبکه منصوب می شوند که مسئولیت اطمینان از عملکرد سیستم ها و شبکه ها، اجرای طرح عملیات و بازیابی بدون خطا برای سیستم ها و شبکه ها را بر عهده دارند. وظایف اصلی مدیران:

• 1. مدیریت مستقیم سیستم ها و شبکه ها، نظارت بر یکپارچگی سیستم ها و شبکه ها.
• 2. اطمینان از عملکرد بدون مشکل و بازیابی عملکرد سیستم ها در صورت خرابی و خرابی.

کارکنان بخش های ساختاری بانک مسئول امنیت اطلاعات در بخش ها هستند. وظیفه اصلی آنها نظارت بر اجرای کارمندان بخش قوانین کار در سیستم ها و شبکه های خودکار بانک است.

وظیفه اصلی ادارات رژیم شعبه از نظر تضمین امنیت اطلاعات، سازماندهی و انجام طیف وسیعی از اقدامات برای حفاظت از اطلاعات در شعبه است.

سازماندهی، برنامه ریزی و اجرای اقدامات حفاظت از اطلاعات گفتاری توسط اداره امنیت اقتصادی انجام می شود. اهداف اصلی حفاظت از اطلاعات گفتار عبارتند از:

• 1. نظارت بر انطباق کارکنان بانک با رویه و قوانین رسیدگی به اطلاعات محرمانه و جلوگیری از افشای آن.
• 2. تشخیص و سرکوب کانال های ممکننشت اطلاعات گفتاری؛
• 3. راهنمایی روش شناختی در مورد حفاظت از اطلاعات گفتاری در بخش های بانک.

کنترل کلی بر حفاظت از اطلاعات گفتار توسط اداره امنیت اقتصادی انجام می شود.

سازماندهی و ارائه حفاظت فیزیکی از تأسیسات بانک (شامل دفاتر و شعب اضافی) که اطلاعات محرمانه در آنها پردازش و ذخیره می شود، توسط اداره امنیت اقتصادی بانک انجام می شود. اهداف اصلی حفاظت فیزیکی عبارتند از:

• 1. سازمان حفاظت از ساختمان ها، اماکن اداری و مناطق مجاور از نفوذ و تجاوز احتمالی از خارج. غریبه هاو مستثنی کردن سرقت، تحریف و تخریب اطلاعات محرمانه احتمالی توسط آنها.
• 2. حصول اطمینان از اینکه کارکنان و بازدیدکنندگان بانک از نظم و قوانین عبور و مرور و رفتار در قلمرو بانک پیروی می کنند.
• 3. ایمنی فیزیکی رسانه های ذخیره سازی مواد در هنگام نگهداری و حمل و نقل آنها.

سازمان حفاظت از اسناد محرمانه در شعب بانک به موارد زیر واگذار می شود:

• - نایب رئیس هیئت مدیره بانک - در بخش ها و بخش های تحت نظارت؛
• - روسای ادارات (روسای ادارات) - در بخش ها (بخش ها)؛
• - روسای ادارات - در بخش ها؛
• - مدیران شعب (مدیران دفاتر اضافی) - در شعب (دفاتر اضافی).

سازماندهی حسابداری رسانه های مادی حاوی اطلاعات تشکیل دهنده یک اسرار تجاری (کار دفتری محرمانه) به اداره اداری و پرسنلی بانک و اداره امنیت اقتصادی در شعب (شعبه ها) - به کارمندانی که مخصوص این اهداف اختصاص داده شده اند، واگذار شده است. به سفارش شعبه (شعبه).

برای ضبط و ذخیره مواد رمز عبور و رمزنگاری ابزارهای رمزگذاری مورد استفاده در بانک، بخش مستقلی از کارهای اداری محرمانه در بخش امنیت اطلاعات سازماندهی شده است. اهداف اصلی سازماندهی یک سیستم مدیریت سوابق محرمانه عبارتند از:

• - انتخاب و استقرار پرسنل در محل کار اداری محرمانه؛
• - سازماندهی جریان اسناد محرمانه در بانک؛
• - اجرای مکاتبات بسته؛
• - سازمان حسابداری و کنترل اسناد محرمانه؛
• - سازماندهی و اجرای یک سیستم مجوز برای اجازه دادن به مجریان برای کار با اسناد محرمانه.

کنترل فعلی بر رعایت الزامات حفاظت از اطلاعات در رسانه های محسوس به بخش امنیت اقتصادی بانک واگذار شده است.

مسئوليت

مسئولیت افشای اطلاعات محرمانه تجاری بانک و مفقود شدن اسناد، محصولات و رسانه مغناطیسیحاوی چنین اطلاعاتی مطابق با قانون فعلیفدراسیون روسیه.

مسئولیت افشای و از دست دادن اطلاعات حاوی اسرار تجاری شخصاً بر عهده هر یک از کارمندان بانک است که به آن دسترسی دارند.

آگاهی کارکنان را ارتقا دهید

یک عامل اساسی در اجرای موثر این اصول، چرخه ارتباطی فعالیت است، که تضمین می کند مدیریت امنیت اطلاعات به طور مداوم بر خطرات فعلی متمرکز است. مهم است که مدیریت ارشد سازمان وجود خطرات ناشی از اختلال در فرآیندهای تجاری مرتبط با امنیت سیستم های اطلاعاتی را تشخیص دهد. مبنای توسعه و اجرای سیاست‌ها و انتخاب کنترل‌های لازم، ارزیابی ریسک‌های برنامه‌های تجاری فردی است. اقدامات انجام شده باعث افزایش آگاهی کاربر از خطرات و سیاست های مرتبط می شود. اثربخشی کنترل ها از طریق مطالعات و ممیزی های مختلف قابل ارزیابی است. نتایج یک رویکرد برای ارزیابی ریسک بعدی و شناسایی تغییرات لازم در سیاست‌ها و کنترل‌ها ارائه می‌کند. همه این اقدامات به طور متمرکز توسط سرویس امنیتی یا کارکنان متخصص متشکل از مشاوران، نمایندگان واحدهای تجاری و مدیریت سازمان هماهنگ می شود. چرخه مدیریت ریسک در شکل نشان داده شده است.

روش های اجرای برنامه امنیت اطلاعات

شانزده تکنیک زیر که برای اجرای پنج اصل مدیریت ریسک استفاده می شوند در تصویر زیر برجسته شده اند. این تکنیک ها کلید اجرای موثر برنامه امنیت اطلاعات یک سازمان هستند.

ارزیابی ریسک و شناسایی نیازها

ارزیابی ریسک اولین گام در اجرای برنامه امنیت اطلاعات است. امنیت به خودی خود تلقی نمی‌شود، بلکه به عنوان مجموعه‌ای از سیاست‌ها و کنترل‌های مرتبط طراحی شده برای حمایت از فرآیندهای تجاری و کاهش ریسک‌های مرتبط است. بنابراین، شناسایی ریسک های تجاری مرتبط با امنیت اطلاعات، نقطه شروع چرخه مدیریت ریسک (امنیت اطلاعات) است.

منابع اطلاعاتی را به عنوان دارایی های مهم (یکپارچه) سازمان بشناسید

شناخت ریسک های امنیت اطلاعات توسط مدیریت یک سازمان و همچنین مجموعه ای از اقدامات با هدف شناسایی و مدیریت این خطرات است. عامل مهمتوسعه یک برنامه امنیت اطلاعات این رویکرد مدیریتی تضمین می‌کند که امنیت اطلاعات در سطوح پایین‌تر سازمانی جدی گرفته می‌شود و به متخصصان امنیت اطلاعات منابع لازم برای اجرای مؤثر برنامه ارائه می‌شود.

رویه های ارزیابی ریسک عملی را ایجاد کنید که امنیت و الزامات تجاری را به هم مرتبط می کند

روش‌های ارزیابی ریسک مختلفی وجود دارد، از بحث غیررسمی ریسک تا عادلانه روش های پیچیده، شامل استفاده از تخصصی است نرم افزار. با این حال، تجربه جهانی رویه‌های مدیریت ریسک موفق، فرآیند نسبتاً ساده‌ای را توصیف می‌کند که شامل مشارکت بخش‌های مختلف سازمان‌های مالی با مشارکت متخصصان با دانش فرآیندهای تجاری است. متخصصان فنیو متخصصان در زمینه امنیت اطلاعات.

شایان ذکر است که درک ریسک ها شامل کمی کردن دقیق آنها از جمله احتمال وقوع یک حادثه یا هزینه خسارت نمی شود. چنین داده‌هایی در دسترس نیستند زیرا ممکن است تلفات شناسایی نشود و مدیریت ممکن است اطلاع داده نشود. علاوه بر این، داده‌های مربوط به هزینه‌های کامل تعمیر آسیب‌های ناشی از کنترل‌های امنیتی ضعیف، و همچنین هزینه‌های عملیاتی این کنترل‌ها، محدود است. با توجه به تغییرات مداوم در تکنولوژی و نرم افزارها و ابزارهای موجود در اختیار مهاجمان، استفاده از آمارهای جمع آوری شده در سال های گذشته جای سوال دارد. در نتیجه، مقایسه دقیق هزینه کنترل ها با خطر از دست دادن برای تعیین اینکه کدام کنترل مقرون به صرفه تر است، اگر نگوییم غیرممکن، دشوار است. در هر صورت، مدیران واحدهای تجاری و متخصصان امنیت اطلاعات هنگام تصمیم گیری در مورد کنترل های مناسب باید بر بهترین اطلاعات موجود در دسترس خود تکیه کنند.

ایجاد مسئولیت برای مدیران واحد تجاری و مدیران درگیر در برنامه امنیتی

مدیران واحدهای تجاری باید مسئولیت اصلی تعیین سطح امنیت (محرمانه بودن) منابع اطلاعاتی حامی فرآیندهای تجاری را بر عهده بگیرند. این مدیران واحدهای تجاری در به بیشترین میزانمی توانند تعیین کنند که کدام یک از منابع اطلاعاتی مهم ترین است و همچنین تأثیر احتمالی آن بر تجارت در صورت نقض یکپارچگی، محرمانه بودن یا در دسترس بودن آن. علاوه بر این، مدیران واحدهای تجاری می توانند به کنترل ها (مکانیسم هایی) اشاره کنند که می تواند به فرآیندهای تجاری آسیب برساند. بنابراین، با مشارکت آنها در انتخاب کنترل ها، می توان اطمینان حاصل کرد که کنترل ها با الزامات مطابقت دارند و با موفقیت اجرا می شوند.

به طور مستمر ریسک ها را مدیریت کنید

امنیت اطلاعات مستلزم توجه مداوم است تا اطمینان حاصل شود که کنترل ها کافی و مؤثر هستند. همانطور که قبلا ذکر شد، اطلاعات مدرن و فن آوری های مرتبط، و همچنین عوامل مرتبط با امنیت اطلاعات، دائما در حال تغییر هستند. چنین عواملی عبارتند از تهدیدها، فناوری‌ها و پیکربندی‌های سیستم، آسیب‌پذیری‌های نرم‌افزاری شناخته شده، سطح قابلیت اطمینان سیستم‌های خودکار و داده‌های الکترونیکی و بحرانی بودن داده‌ها و عملیات.

راه اندازی مدیریت متمرکز

تیم مدیریت در درجه اول به عنوان مشاور یا مشاور واحدهای تجاری عمل می کند و نمی تواند روش ها (ابزار) امنیت اطلاعات را تحمیل کند.

تیم رهبری را برای اقدامات کلیدی تعیین کنید

به طور کلی، تیم رهبری باید (1) یک کاتالیزور (شتاب دهنده) فرآیند باشد و اطمینان حاصل کند که خطرات امنیت اطلاعات به طور مداوم مورد توجه قرار می گیرند. (2) یک منبع مشاوره مرکزی برای واحدهای سازمانی. (3) ابزاری برای برقراری ارتباط با مدیریت سازمان در مورد وضعیت امنیت اطلاعات و اقدامات انجام شده. علاوه بر این، تیم رهبری امکان مدیریت متمرکز وظایف محوله را فراهم می کند، در غیر این صورت ممکن است این وظایف توسط بخش های مختلف سازمان تکرار شود.

امکان دسترسی آسان و مستقل به مدیریت ارشد سازمان را برای تیم رهبری فراهم کنید

ضرورت بحث و بررسی مشکلات امنیت اطلاعات توسط مدیران گروه مدیریت با مدیریت عالی سازمان را متذکر می شویم. چنین گفت وگویی به ما امکان می دهد تا به طور مؤثر عمل کنیم و از اختلاف نظر جلوگیری کنیم. در غیر این صورت ممکن است موقعیت های درگیریبا مدیران واحد تجاری و توسعه دهندگان سیستم که می خواهند به سرعت جدید را پیاده سازی کنند محصولات نرم افزاری، و بنابراین استفاده از کنترل هایی را که ممکن است با اثربخشی و سهولت استفاده از نرم افزار تداخل داشته باشد را به چالش بکشید. بنابراین، فرصت بحث در مورد مسائل امنیت اطلاعات در بالاترین سطح می تواند اطمینان حاصل کند که خطرات قبل از تصمیم گیری نهایی کاملاً درک و قابل تحمل هستند.

تعیین و تخصیص بودجه و پرسنل

بودجه به شما این امکان را می دهد که برای برنامه امنیت اطلاعات خود برنامه ریزی و اهداف تعیین کنید. حداقل بودجه شامل دستمزدکارکنان و هزینه های آموزشی سطح کارکنان تیم رهبری (واحد امنیتی) ممکن است متفاوت باشد و هم به اهداف تعیین شده و هم به پروژه های مورد بررسی بستگی دارد. همانطور که قبلا ذکر شد، هم متخصصان فنی و هم کارکنان واحدهای تجاری می توانند در کار گروهی مشارکت داشته باشند.

افزایش مهارت و دانش فنی کارکنان

افراد درون سازمان باید در جنبه های مختلف برنامه امنیت اطلاعات درگیر باشند و از مهارت ها و دانش مناسب برخوردار باشند. سطح مورد نیاز از حرفه ای بودن کارکنان را می توان از طریق آموزش به دست آورد که هم توسط متخصصان سازمان و هم توسط مشاوران خارجی انجام می شود.

اجرای سیاست های لازم و کنترل های مناسب

سیاست های امنیت اطلاعات مبنای اتخاذ رویه های خاص و انتخاب ابزارهای کنترلی (مدیریت) (مکانیسم ها) است. خط مشی مکانیزم اولیه ای است که از طریق آن مدیریت دیدگاه ها و خواسته های خود را به کارکنان، مشتریان و شرکای تجاری منتقل می کند. برای امنیت اطلاعات، مانند سایر حوزه های کنترل داخلی، الزامات خط مشی مستقیماً به نتایج ارزیابی ریسک بستگی دارد.

ارتباط بین سیاست ها و ریسک های تجاری را ایجاد کنید

مجموعه ای جامع از خط مشی های کافی که برای کاربران قابل دسترس و قابل درک باشد، یکی از اولین گام ها در ایجاد یک برنامه امنیت اطلاعات است. شایان ذکر است که بر اهمیت حمایت (تعدیل) مستمر سیاست ها برای پاسخگویی به موقع به خطرات شناسایی شده و اختلاف نظرهای احتمالی تاکید می شود.

تفاوت بین سیاست ها و دستورالعمل ها

یک رویکرد کلی برای ایجاد سیاست های امنیت اطلاعات باید شامل (1) خط مشی های مختصر و سطح بالا و (2) موارد دیگر باشد. اطلاعات دقیقدر دستورالعمل ها و استانداردهای عملی ارائه شده است. خط مشی ها الزامات اساسی و اجباری پذیرفته شده توسط مدیریت ارشد را فراهم می کنند. در حالی که دستورالعمل های عملی برای همه واحدهای تجاری اجباری نیست. این رویکرد به مدیریت ارشد اجازه می دهد تا بیشترین تمرکز را روی آن داشته باشد عناصر مهمامنیت اطلاعات و همچنین ایجاد انعطاف پذیری برای مدیران واحدهای تجاری و درک خط مشی ها برای کارکنان آسان می شود.

اطمینان حاصل کنید که سیاست ها توسط تیم رهبری پشتیبانی می شود

تیم مدیریت باید مسئولیت توسعه سیاست های امنیت اطلاعات سازمان را با همکاری مدیران واحدهای تجاری، حسابرسان داخلی و مشاور حقوقی بر عهده داشته باشد. علاوه بر این، گروه راهبری باید توضیحات و پاسخ های لازم را به سوالات کاربران ارائه دهد. این به حل و فصل و جلوگیری از سوء تفاهم و همچنین پذیرش کمک می کند اقدامات لازم، تحت پوشش خط مشی ها (راهنماها) قرار نمی گیرد.

خط‌مشی‌ها باید در دسترس باشند تا در صورت لزوم کاربران بتوانند به آخرین نسخه‌ها دسترسی داشته باشند. کاربران قبل از اینکه به آنها اجازه دسترسی به منابع اطلاعاتی سازمان داده شود باید امضا کنند که با خط مشی ها آشنایی دارند. اگر کاربر درگیر یک حادثه امنیتی شده باشد، این توافقنامه به عنوان مدرکی مبنی بر اطلاع وی از سیاست‌های سازمان و همچنین تحریم‌های احتمالی در صورت نقض آن‌ها عمل می‌کند.

ارتقاء آگاهی

شایستگی کاربر پیش نیازی برای امنیت اطلاعات موفق است و همچنین کمک می کند تا اطمینان حاصل شود که کنترل ها به درستی کار می کنند. کاربران نمی توانند از خط مشی ای پیروی کنند که نمی دانند یا نمی دانند. بی اطلاع از خطرات مرتبط با منابع اطلاعاتسازمان، ممکن است نیازی به اجرای سیاست های طراحی شده برای کاهش خطرات نداشته باشند.

آموزش مستمر کاربران و سایر کارکنان در مورد ریسک ها و سیاست های مرتبط

تیم مدیریت باید یک استراتژی برای آموزش مستمر کارکنانی که به نوعی بر امنیت اطلاعات سازمان تأثیر می گذارند ارائه دهد. تیم باید بر درک مشترک ریسک های مرتبط با اطلاعات پردازش شده در سازمان و سیاست ها و کنترل ها برای کاهش این خطرات تمرکز کند.

از یک رویکرد دوستانه استفاده کنید

تیم مدیریت باید از انواع روش های آموزشی و تشویقی برای در دسترس قرار دادن خط مشی های سازمان و آموزش کاربران استفاده کند. از جلساتی که سالی یک بار با همه کارکنان سازمان برگزار می شود باید خودداری شود، برعکس، آموزش بهتر است در گروه های کوچکی از کارکنان انجام شود.

نظارت و ارزیابی اثربخشی سیاست ها و کنترل ها

مانند هر نوع فعالیت، امنیت اطلاعات برای اطمینان از کفایت (انطباق) خط‌مشی‌ها و ابزار (روش‌های) کنترل با اهداف تعیین‌شده، تحت کنترل و ارزیابی مجدد دوره‌ای است.

نظارت بر عوامل مؤثر بر خطرات و نشان دهنده اثربخشی امنیت اطلاعات

کنترل باید در درجه اول بر روی (1) در دسترس بودن کنترل ها و استفاده از آنها برای کاهش خطر و (2) ارزیابی اثربخشی برنامه امنیت اطلاعات و سیاست ها برای بهبود درک کاربر و کاهش حوادث تمرکز کند. این گونه ممیزی ها شامل آزمایش ابزارهای کنترلی (روش ها)، ارزیابی انطباق آنها با سیاست های سازمان، تجزیه و تحلیل حوادث امنیتی و همچنین سایر شاخص های اثربخشی برنامه امنیت اطلاعات است. اثربخشی تیم رهبری را می توان بر اساس، به عنوان مثال، ارزیابی کرد، اما به موارد زیر محدود نمی شود:

• تعداد آموزش ها و جلسات برگزار شده؛
• تعداد ارزیابی خطر (های) تکمیل شده؛
• تعداد متخصصان تایید شده؛
• عدم وجود حوادثی که کار کارکنان سازمان را پیچیده می کند.
• کاهش تعداد پروژه های جدید اجرا شده با تاخیر به دلیل مشکلات امنیت اطلاعات.
• انطباق کامل یا انحرافات توافق شده و ثبت شده از حداقل الزاماتامنیت اطلاعات؛
• کاهش تعداد حوادث منجر به دسترسی غیرمجاز، از دست دادن یا تحریف اطلاعات.

از یافته ها برای هماهنگ کردن تلاش های آینده و افزایش مسئولیت پذیری مدیریت استفاده کنید

مطمئناً کنترل‌ها به تطابق سازمان با سیاست‌های امنیت اطلاعات کمک می‌کنند، اما مزایای کامل کنترل‌ها حاصل نمی‌شود مگر اینکه از نتایج برای بهبود برنامه امنیت اطلاعات استفاده شود. بررسی کنترل به متخصصان امنیت اطلاعات و مدیران کسب و کار ابزاری را برای (1) ارزیابی مجدد خطرات شناسایی شده قبلی، (2) شناسایی زمینه های جدید نگرانی، (3) ارزیابی مجدد کفایت و مناسب بودن کنترل ها و اقدامات اجرایی موجود ارائه می دهد. امنیت اطلاعات، (4) ) شناسایی نیاز به وسایل جدید و مکانیسم های کنترلی، (5) هدایت مجدد تلاش های کنترلی (اقدامات کنترلی). علاوه بر این، نتایج را می توان برای ارزیابی عملکرد مدیران تجاری مسئول درک و کاهش ریسک در واحدهای تجاری مورد استفاده قرار داد.

نظارت بر روش ها و کنترل های جدید

مهم است که اطمینان حاصل شود که (1) متخصصان امنیت اطلاعات از روش‌ها و ابزارها (برنامه‌ها) در حال توسعه هستند و بیشترین میزان را دارند. آخرین اطلاعاتدر مورد آسیب پذیری سیستم های اطلاعاتی و برنامه های کاربردی، (2) مدیریت ارشد تضمین می کند که منابع لازم برای این کار را در اختیار دارد.

دوستان! شما را به بحث دعوت می کنیم. اگر نظر خود را دارید در نظرات برای ما بنویسید.

روز بخیر، عزیزان!
خیلی وقت بود که روی هابر ننوشتم، وقت نداشتم، کار زیادی داشتم. اما اکنون بارگیری کرده ام و افکاری را برای یک پست جدید شکل داده ام.

با یکی از رفقایم که در یک سازمان مسئول امنیت اطلاعات بود صحبت کردم (رفیق مدیر سیستم) و او خواست به من بگوید از کجا شروع کنم و کجا بروم. اندکی به افکار و دانسته هایم نظم دادم و نقشه ای خشن به او دادم.
متأسفانه، این وضعیت به دور از انزوا است و اغلب رخ می دهد. کارفرمایان قاعدتاً یک سوئیسی و یک درو و یک بازیکن روی لوله می خواهند و همه اینها به یک قیمت. من بعداً به این سؤال باز خواهم گشت که چرا امنیت اطلاعات نباید به عنوان فناوری اطلاعات طبقه بندی شود، اما اکنون بیایید در نظر بگیریم که اگر این اتفاق افتاد و برای چنین ماجراجویی ثبت نام کردید، یعنی ایجاد یک سیستم مدیریت امنیت اطلاعات، از کجا باید شروع کنید. ISMS).

تحلیل ریسک

تقریباً همه چیز در امنیت اطلاعات با تجزیه و تحلیل ریسک آغاز می شود؛ این اساس و آغاز تمام فرآیندهای امنیتی است. من یک برنامه آموزشی مختصر در این زمینه انجام خواهم داد، زیرا بسیاری از مفاهیم واضح نیستند و اغلب اشتباه می شوند.
بنابراین 3 مفهوم اصلی وجود دارد:

• احتمال اجرا
• آسیب پذیری

ریسک احتمال وارد شدن به هرگونه ضرر (پولی، اعتباری و ...) به دلیل اجرای یک آسیب پذیری است.
احتمال وقوع این است که چقدر احتمال دارد از یک آسیب پذیری معین برای تحقق خطر سوء استفاده شود.
آسیب پذیری یک شکاف مستقیم در سیستم امنیتی شما است که به احتمال زیاد می تواند باعث آسیب شود، یعنی متوجه خطر شود.

روش‌های زیادی، رویکردهای متفاوتی برای مدیریت ریسک وجود دارد، من در مورد اصول اولیه به شما می‌گویم، بقیه را در ابتدا در توسعه ISMS نیاز نخواهید داشت.
بنابراین، تمام کارهای مربوط به مدیریت ریسک به کاهش احتمال اجرا و یا به حداقل رساندن ضررهای ناشی از اجرا خلاصه می شود. بر این اساس، خطرات ممکن است برای سازمان قابل قبول باشد یا نباشد. قابل قبول بودن یک ریسک به بهترین وجه در مقادیر خاصی از زیان ناشی از اجرای آن بیان می شود (در هر صورت، حتی زیان های نامشهود ظاهراً شهرت در نهایت منجر به سود از دست رفته می شود). باید با مدیریت تصمیم گرفت که آستانه پذیرش برای آنها چه میزان خواهد بود و درجه بندی (ترجیحاً 3-5 سطح برای ضررها) انجام شود. در مرحله بعد، مانند زیان، یک درجه بندی بر اساس احتمال انجام دهید و سپس بر اساس مجموع این شاخص ها، ریسک ها را ارزیابی کنید.
بعد از کار مقدماتی، آسیب پذیری های واقعی سازمان خود را برجسته کنید و خطرات اجرا و زیان آنها را ارزیابی کنید. در نتیجه، 2 مجموعه ریسک دریافت خواهید کرد - قابل قبول و غیر قابل قبول. با ریسک‌های قابل قبول، شما به سادگی آن‌ها را می‌پذیرید و برای به حداقل رساندن آن‌ها اقدام فعالی انجام نمی‌دهید (یعنی می‌پذیریم که به حداقل رساندن این ریسک‌ها بیشتر از ضرر آن‌ها برای ما هزینه خواهد داشت) و در موارد غیرقابل قبول، ۲ گزینه برای توسعه وجود دارد. از رویدادها

به حداقل رساندن - کاهش احتمال وقوع، کاهش تلفات احتمالی، یا به طور کلی اقداماتی برای حذف خطر (بستن یک آسیب پذیری).
انتقال - به سادگی نگرانی های مربوط به ریسک را به شخص دیگری منتقل کنید، برای مثال، سازمان را در برابر وقوع خطر بیمه کنید یا دارایی در معرض خطر را منتقل کنید (به عنوان مثال، سرورها را به یک مرکز داده منتقل کنید، بنابراین منبع تغذیه اضطراریو ایمنی فیزیکی سرورها بر عهده مرکز داده خواهد بود).

مقیاس

البته قبل از هر چیز باید مقیاس فاجعه را ارزیابی کرد. من به مسائل مربوط به محافظت از داده های شخصی دست نمی زنم؛ در حال حاضر مقالات زیادی در مورد این موضوع وجود دارد؛ توصیه های عملی و الگوریتم های عمل بیش از یک بار شرح داده شده است.
اجازه دهید همچنین به شما یادآوری کنم که امنیت اطلاعات در درجه اول مربوط به افراد است، بنابراین اسناد نظارتی مورد نیاز است. برای نوشتن آن، ابتدا باید بدانید که در آنجا چه چیزی بنویسید.
3 سند اصلی برای امنیت اطلاعات در این زمینه وجود دارد:

سیاست امنیت اطلاعات

سند اصلی، کتاب مرجع، کتاب مقدس و سایر عناوین بزرگ شما. تمام رویه های امنیت اطلاعات را تشریح می کند و سطح امنیتی که شما در سازمان خود دنبال می کنید را توصیف می کند. بنابراین می توان گفت - یک نمایه امنیتی ایده آل، مستند شده و مطابق با تمام قوانین پذیرفته شده است.
سیاست نباید وزن مرده باشد، سند باید زنده بماند، باید تحت تأثیر تهدیدات جدید، روندها در امنیت اطلاعات یا آرزوها تغییر کند. در این راستا، خط مشی (در اصل، هر سند رویه ای) باید به طور منظم برای مرتبط بودن بررسی شود. بهتر است این کار را حداقل یک بار در سال انجام دهید.

مفهوم امنیت اطلاعات

گزیده ای کوچک از خط مشی، که امنیت اولیه سازمان شما را توصیف می کند؛ هیچ فرآیند خاصی وجود ندارد، اما اصولی برای ساخت یک ISMS و اصولی برای ایجاد امنیت وجود دارد.
این سند بیشتر یک سند تصویری است؛ نباید حاوی اطلاعات "حساس" باشد و باید برای همه باز و قابل دسترسی باشد. آن را در وب سایت خود قرار دهید، آن را در یک سینی روی یک پایه اطلاعات قرار دهید تا مشتریان و بازدیدکنندگان شما بتوانند با آن آشنا شوند یا به سادگی ببینند که شما به ایمنی اهمیت می دهید و آماده نشان دادن آن هستید.

مقررات مربوط به اسرار تجاری ( اطلاعات محرمانه)

نام جایگزین برای چنین سندی در داخل پرانتز مشخص شده است. به طور کلی، com. راز این است مورد خاصمحرمانه است، اما تفاوت های بسیار کمی وجود دارد.
این سند باید موارد زیر را نشان دهد: اسنادی که کام را تشکیل می دهند چگونه و کجا ذخیره می شوند. مخفی، چه کسی مسئول نگهداری این اسناد است، الگوی سند حاوی چنین اطلاعاتی چگونه باید باشد، مجازات افشای اطلاعات محرمانه (طبق قانون و طبق توافقات داخلی با مدیریت) چگونه خواهد بود. و البته، فهرستی از اطلاعاتی که یک راز تجاری محسوب می شود یا برای سازمان شما محرمانه است.
طبق قانون، بدون اقداماتی که برای حفاظت از اطلاعات محرمانه انجام شده باشد، مثل این است که شما آن را ندارید :-) یعنی به نظر می رسد که خود اطلاعات وجود دارد، اما نمی تواند محرمانه باشد. و یک نکته جالب این است که در 90 درصد سازمان ها با کارکنان جدید قرارداد عدم افشاء منعقد می شود، اما تعداد کمی از آنها اقدامات لازم در قانون را انجام داده اند. حداکثر لیست اطلاعات

حسابرسی

برای نوشتن این اسناد، یا به طور دقیق تر، برای درک آنچه باید در آنها باشد، باید حسابرسی انجام دهید وضعیت فعلی IB واضح است که بسته به فعالیت های سازمان، توزیع سرزمینی و غیره، تفاوت های ظریف و عوامل زیادی برای هر سازمان خاص وجود دارد، اما چندین نکته اصلی وجود دارد که برای همه مشترک است.

خط مشی دسترسی

در اینجا 2 شعبه وجود دارد - اینها هستند دسترسی فیزیکیبه محل و دسترسی به سیستم های اطلاعاتی.

دسترسی فیزیکی

سیستم کنترل دسترسی خود را شرح دهید. نحوه و زمان صدور کارت های دسترسی، چه کسی تعیین می کند که چه کسی به کدام محل دسترسی دارد (به شرطی که محل مجهز به سیستم کنترل دسترسی باشد). همچنین در اینجا لازم به ذکر است که سیستم نظارت تصویری، اصول ساخت آن (عدم نقاط کور در اتاق های تحت نظارت، کنترل اجباری ورودی و خروجی از ساختمان، کنترل ورود به اتاق سرور و ...). همچنین، بازدیدکنندگان را فراموش نکنید، اگر یک منطقه پذیرش عمومی ندارید (و حتی اگر دارید)، ارزش دارد که نحوه ورود بازدیدکنندگان به منطقه کنترل شده (گذرنامه موقت، شخص همراه) را نشان دهید.
برای اتاق سرور نیز باید یک لیست دسترسی جداگانه با گزارش بازدید وجود داشته باشد (اگر اتاق سرور یک سیستم کنترل دسترسی نصب شده باشد و همه چیز به طور خودکار نگهداری شود، راحت تر است).

دسترسی به سیستم های اطلاعاتی

در صورت استفاده، روش اعطای دسترسی را شرح دهید احراز هویت چند عاملی، سپس صدور شناسه های اضافی. خط مشی رمز عبور (تاریخ انقضای رمز عبور، پیچیدگی، تعداد تلاش برای ورود به سیستم، زمان مسدود کردن حساب پس از بیش از تعداد تلاش ها) برای همه سیستم هایی که دسترسی به آنها اعطا شده است، اگر در همه جا Single Log On ندارید.

شبکه سازی

سرورهایی که دسترسی خارجی دارند (DMZ) در کجا قرار دارند، چگونه از داخل و خارج به آنها دسترسی پیدا می شود. تقسیم بندی شبکه و نحوه دستیابی به آن فایروال ها، که از کدام بخش ها محافظت می کنند (اگر در شبکه بین بخش ها وجود داشته باشد).

دسترسی از راه دور

چگونه سازماندهی شده است و چه کسی دسترسی دارد. در حالت ایده آل، باید اینگونه باشد: فقط VPN، دسترسی فقط با توافق با مدیریت ارشد و با توجیه نیاز. اگر اشخاص ثالث نیاز به دسترسی داشته باشند (فروشندگان، پرسنل خدمات و غیره)، دسترسی از نظر زمانی محدود می شود، یعنی حساب برای مدت معینی صادر می شود و پس از آن به طور خودکار مسدود می شود. به طور طبیعی، زمانی که دسترسی از راه دوردر هر صورت، حقوق باید به حداقل محدود شود.

حوادث

چگونه پردازش می شوند، چه کسی مسئول است و فرآیند مدیریت حادثه و مشکلات مدیریت چگونه ساختار می یابد (البته در صورت وجود). من قبلاً یک پست در مورد کار با حوادث داشتم: می توانید بیشتر بخوانید.
همچنین تعیین روندها در سازمان شما ضروری است. به این معنا که کدام حوادث بیشتر رخ می دهد که آسیب بیشتری را به همراه دارد (وقفه، از دست دادن مستقیم دارایی یا پول، آسیب به شهرت). این به کنترل ریسک و تجزیه و تحلیل ریسک کمک می کند.

دارایی های

که در در این مورددارایی به معنای هر چیزی است که نیاز به حفاظت دارد. یعنی سرورها، اطلاعات روی کاغذ یا رسانه های قابل جابجایی، دیسک های سختکامپیوتر و غیره اگر هر دارایی حاوی اطلاعات "حساس" باشد، باید بر اساس آن علامت گذاری شود و باید فهرستی از اعمال مجاز و ممنوع با این دارایی، مانند انتقال به اشخاص ثالث، انتقال توسط پست الکترونیکدر سازمان، پست کردن در دسترسی عمومیدرون سازمان و غیره

تحصیلات

لحظه ای که خیلی ها فراموشش می کنند. باید به کارکنان در مورد اقدامات ایمنی گفته شود. کافی نیست با دستورالعمل ها و خط مشی ها آشنا شوید و آنها را امضا کنید، 90 درصد آنها را نمی خوانند، بلکه برای خلاص شدن از شر آنها به سادگی امضا می کنند. من همچنین یک نشریه در مورد آموزش تهیه کردم: حاوی نکات اصلی است که در طول آموزش مهم است و نباید فراموش شود. علاوه بر خود آموزش، چنین رویدادهایی از نظر ارتباط بین کارکنان و افسر امنیتی مفید است ( اسم زیبا، من واقعا دوستش دارم :-). شما می توانید در مورد برخی از حوادث جزئی، آرزوها و حتی مشکلاتی که به سختی در کار عادی از آنها مطلع هستید، مطلع شوید.

نتیجه

این احتمالاً تمام چیزی است که می خواستم به مبتدیان در زمینه امنیت اطلاعات بگویم. من درک می کنم که با چنین پستی ممکن است برخی از همکارانم را از مشاغل خود محروم کنم، زیرا یک کارفرمای بالقوه به سادگی این مسئولیت ها را به ادمین محول می کند، اما همچنین از بسیاری از سازمان ها در برابر یکپارچه سازان و کلاهبردارانی محافظت خواهم کرد که دوست دارند برای حسابرسی پول جمع کنند. و نوشتن جزوه های چند صفحه ای در مورد چیست، ارائه آنها به عنوان استاندارد (http://site/post/153581/).
دفعه بعد سعی خواهم کرد در مورد سازماندهی سرویس امنیت اطلاعات به این صورت صحبت کنم.

P.S. اگر شما رای منفی دادید، لطفا نظر دهید تا در آینده اشتباهات مشابهی مرتکب نشوم.

برچسب ها:

• امنیت اطلاعات
• مستندات
• تحصیلات

افزودن برچسب

مدیریت امنیت اطلاعات (ISM) -فرآیندی که فراهم می کند محرمانه بودنیکپارچگی و در دسترس بودن دارایی ها، اطلاعات، داده ها و خدمات سازمان. مدیریت امنیت اطلاعاتمعمولاً بخشی از رویکرد مدیریت امنیت سازمانی است که دامنه وسیع تری نسبت به ارائه دهنده خدمات دارد و شامل پردازش می شود اسناد کاغذیدسترسی به ساختمان ها تماس های تلفنیو غیره، برای کل سازمان.

هدف اصلی ISM اطمینان از مدیریت مؤثر امنیت اطلاعات کلیه خدمات و فعالیت‌های درون سازمان خدمات است. امنیت اطلاعاتبرای محافظت در برابر نقض محرمانه بودن، در دسترس بودن و یکپارچگی اطلاعات، سیستم های اطلاعاتی و ارتباطات طراحی شده است.

1. محرمانه بودن- وضعیت اطلاعاتی که در آن دسترسی به آن فقط توسط افراد دارای حق برخورداری از آن انجام می شود.
2. تمامیت- وضعیتی از اطلاعات که در آن هیچ تغییری ایجاد نشده است یا تغییر فقط به عمد توسط افراد دارای حق انجام می شود.
3. دسترسی- حالتی از اطلاعات که در آن افراد دارای حق دسترسی می توانند بدون مانع از آن استفاده کنند.

هدف تضمین امنیت اطلاعات در صورتی محقق می شود که:

1. اطلاعات در صورت نیاز در دسترس است و سیستم های اطلاعاتی در برابر حملات مقاوم هستند و می توانند از آنها اجتناب کنند یا به سرعت بازیابی شوند.
2. اطلاعات فقط در دسترس کسانی است که از حقوق مناسب برخوردارند.
3. اطلاعات صحیح، کامل و از تغییرات غیرمجاز محفوظ است.
4. تبادل اطلاعات با شرکا و سایر سازمان ها به صورت ایمن محافظت می شود.

کسب و کار تعیین می کند که چه چیزی و چگونه باید محافظت شود. در عین حال، برای اثربخشی و یکپارچگی امنیت اطلاعات، لازم است فرآیندهای تجاری از ابتدا تا انتها در نظر گرفته شود، زیرا یک نقطه ضعف می تواند کل سیستم را آسیب پذیر کند.

فرآیند ISM باید شامل موارد زیر باشد:

• تشکیل، مدیریت، انتشار و انطباق با خط مشی امنیت اطلاعات و سایر سیاست های حمایتی مرتبط با امنیت اطلاعات. سیاست امنیت اطلاعات- سیاستی که رویکرد سازمان را به مدیریت امنیت اطلاعات تعریف می کند.
• درک الزامات مورد توافق فعلی و آینده امنیت کسب و کار؛
• استفاده کنترل های امنیتیپیروی از خط مشی امنیت اطلاعات و مدیریت خطرات مرتبط با دسترسی به اطلاعات، سیستم ها و خدمات. عبارت " کنترل امنیتی"از انگلیسی وام گرفته شده است و در این زمینه به معنای مجموعه ای از اقدامات متقابل و اقدامات احتیاطی اعمال شده برای لغو، کاهش و مقابله با خطرات است. کنترل امنیتیشامل اقدامات پیشگیرانه و واکنشی است.
• مستندسازی لیست کنترل های امنیتیاقدامات مربوط به عملیات و مدیریت آنها و همچنین کلیه خطرات مرتبط با آنها.
• مدیریت فروشندگان و قراردادهایی که نیاز به دسترسی به سیستم ها و خدمات دارند. در تعامل با فرآیند مدیریت تامین کننده انجام می شود.
• کنترل کلیه موارد نقض امنیتی و حوادث مربوط به سیستم ها و خدمات؛
• بهبود فعال کنترل های امنیتیو کاهش خطرات نقض امنیت اطلاعات؛
• ادغام جنبه های امنیت اطلاعات در تمام فرآیندهای اداره خدمات.

خط مشی امنیت اطلاعات باید شامل موارد زیر باشد:

• اجرای جنبه های سیاست امنیت اطلاعات؛
• سوء استفاده احتمالی از جنبه های سیاست امنیت اطلاعات؛
• سیاست کنترل دسترسی؛
• سیاست استفادهرمزهای عبور؛
• خط مشی ایمیل؛
• خط مشی اینترنت؛
• سیاست حفاظت از آنتی ویروس؛
• سیاست طبقه بندی اطلاعات؛
• سیاست طبقه بندی اسناد؛
• سیاست دسترسی از راه دور؛
• خط مشی های دسترسی تامین کننده به خدمات، اطلاعات و اجزاء؛
• سیاست تخصیص دارایی

خط‌مشی‌های ذکر شده باید در دسترس کاربران و مشتریان باشد، که به نوبه خود موظفند موافقت خود را با آنها به صورت کتبی تأیید کنند.

خط‌مشی‌ها توسط مدیریت بازرگانی و فناوری اطلاعات تأیید می‌شوند و بسته به شرایط بازنگری می‌شوند.

برای تضمین و مدیریت امنیت اطلاعات، حفظ یک سیستم مدیریت امنیت اطلاعات ضروری است. سیستم مدیریت امنیت اطلاعات سیستم مدیریتیا ISMS)- سیستمی از خط مشی ها، فرآیندها، استانداردها، اسناد راهنمایی و ابزارهایی که تضمین می کند سازمان به اهداف مدیریت امنیت اطلاعات دست می یابد. در شکل شکل 6.3 ساختار ISMS را که بیشتر توسط سازمان ها استفاده می شود نشان می دهد.

برنج. 6.3. ISMS

برای اطمینان و پشتیبانی از سیاست امنیت اطلاعات، ایجاد و استفاده از یک مجموعه ضروری است کنترل های امنیتی. برای جلوگیری از حوادث و واکنش صحیح در صورت وقوع، از اقدامات امنیتی ارائه شده در شکل 1 استفاده کنید. 6.5.

برنج. 6.5.

در شکل 6.5 چهار مرحله وجود دارد. مرحله اول ظهور یک تهدید است. تهدید به هر چیزی گفته می‌شود که می‌تواند بر فرآیند کسب‌وکار تأثیر منفی بگذارد یا آن را مختل کند. یک حادثه یک تهدید است. حادثه نقطه شروع درخواست است کنترل های امنیتی. این حادثه منجر به خسارت می شود. کنترل های امنیتی نیز برای مدیریت یا حذف خطرات اعمال می شود. برای هر مرحله، لازم است اقدامات امنیت اطلاعات مناسب انتخاب شود:

1. پیشگیرانه - اقدامات امنیتی که از وقوع یک حادثه امنیت اطلاعات جلوگیری می کند. به عنوان مثال، توزیع حقوق دسترسی.
2. ترمیمی - اقدامات ایمنی با هدف کاهش آسیب احتمالی در صورت وقوع حادثه. به عنوان مثال، پشتیبان گیری.
3. شناسایی - اقدامات امنیتی با هدف شناسایی حوادث. مثلا، محافظت از آنتی ویروسیا یک سیستم تشخیص نفوذ
4. سرکوبگر - اقدامات امنیتی که با تلاش برای اجرای یک تهدید، یعنی حوادث مقابله می کند. به عنوان مثال، یک دستگاه خودپرداز کارت مشتری را پس از تعداد معینی از وارد کردن پین نادرست از او می گیرد.
5. اصلاحی - اقدامات امنیتی با هدف بازیابی پس از یک حادثه. مثلا ریکاوری نسخه های پشتیبان، بازگشت به قبلی شرایط کارو غیره

ورودی های فرآیند ISM عبارتند از:

1. اطلاعات کسب و کار - استراتژی ها، برنامه ها، بودجه کسب و کار، و همچنین نیازهای فعلی و آینده آن؛
2. سیاست های امنیتی کسب و کار، طرح های امنیتی، تجزیه و تحلیل ریسک؛
3. اطلاعات از IT - استراتژی فناوری اطلاعات، برنامه ها و بودجه؛
4. اطلاعات در مورد خدمات - اطلاعات از SLM، به ویژه مجموعه خدمات و کاتالوگ خدمات، SLA/SLR؛
5. گزارش های تجزیه و تحلیل فرآیند و ریسک از ISM، مدیریت در دسترس بودن و مدیریت تداوم خدمات؛
6. اطلاعات دقیق در مورد تمام حوادث امنیت اطلاعات و "شکاف" در آن؛
7. تغییر اطلاعات - اطلاعات حاصل از فرآیند مدیریت تغییر، به ویژه برنامه زمان بندی تغییرات و تأثیر آنها بر برنامه ها، سیاست ها و کنترل های امنیت اطلاعات.
8. اطلاعات در مورد روابط تجاری با خدمات، خدمات پشتیبانی و فناوری؛
9. اطلاعات در مورد دسترسی شریک و تامین کننده به خدمات و سیستم های ارائه شده توسط فرآیندهای مدیریت تامین کننده و مدیریت در دسترس بودن.

خروجی های ISM عبارتند از:

1. یک خط مشی جامع امنیت اطلاعات و سایر سیاست های حمایتی مرتبط با امنیت اطلاعات؛
2. سیستم مدیریت امنیت اطلاعات (ISMS)، که شامل تمام اطلاعات مورد نیاز برای پشتیبانی از ISM است.
3. نتایج ارزیابی مجدد ریسک و حسابرسی گزارش ها؛
4. کیت کنترل های امنیتی، شرح عملکرد و مدیریت آنها و همچنین تمام خطرات مرتبط با آنها.
5. ممیزی ها و گزارش های امنیت اطلاعات؛
6. برنامه تست امنیت اطلاعات؛
7. طبقه بندی دارایی های اطلاعاتی؛
8. گزارش در مورد "شکاف" موجود در امنیت اطلاعات و حوادث.
9. خط‌مشی‌ها، فرآیندها و رویه‌ها برای مدیریت دسترسی تامین‌کننده و شریک به خدمات و سیستم‌ها.

بسیاری از معیارها را می توان به عنوان شاخص های کلیدی عملکرد برای فرآیند مدیریت امنیت اطلاعات استفاده کرد، به عنوان مثال:

1. حفاظت از کسب و کار در برابر نقض امنیت اطلاعات
   • درصد کاهش در پیام‌های مربوط به "شکاف" در میز خدمات؛
   • درصد کاهش تأثیر منفی «نقض‌ها» و حوادث بر تجارت؛
   • درصد افزایش در موارد امنیت اطلاعات در SLA.
2. ایجاد یک خط مشی امنیت اطلاعات واضح و منسجم که نیازهای تجاری را در نظر می گیرد، یعنی کاهش تعداد اختلافات بین فرآیندهای ISM و فرآیندها و سیاست های امنیت اطلاعات کسب و کار.
3. رویه‌های امنیتی که توسط مدیریت سازمان توجیه، توافق و تأیید می‌شوند:
   • افزایش سازگاری و تناسب رویه های امنیتی؛
   • افزایش پشتیبانی مدیریت
4. مکانیسم های بهبود:
   • تعداد بهبودهای پیشنهادی برای کنترل ها و رویه ها؛
   • کاهش تعداد ناهماهنگی های کشف شده در طول آزمایش و ممیزی.
5. امنیت اطلاعات بخشی جدایی ناپذیر از خدمات و فرآیندهای ITSM است، یعنی افزایش تعداد سرویس‌ها و فرآیندهایی که دارای تدابیر امنیتی هستند.

ISM در تضمین امنیت اطلاعات با مشکلات و خطرات زیادی مواجه است. متأسفانه، در عمل، اغلب کسب‌وکارها معتقدند که مسائل مربوط به امنیت اطلاعات فقط باید توسط IT رسیدگی شود. وقتی یک کسب‌وکار نمی‌داند چرا باید به امنیت اطلاعات توجه کند، بدتر است. ایجاد یک سیستم کارآمد امنیت اطلاعات مستلزم هزینه های زیادی است که باید برای مدیریت روشن باشد، زیرا آنها هستند که در مورد تامین مالی تصمیم می گیرند. در عین حال، حفظ تعادل مهم است - تضمین امنیت اطلاعات نباید بیش از اطلاعات محافظت شده هزینه داشته باشد.

وجود بسیاری از فرآیندهای تجاری بدون پشتیبانی اطلاعاتی غیرممکن است. در واقع، بیشتر و بیشتر فرآیندهای تجاری صرفاً از یک یا چند سیستم اطلاعاتی تشکیل شده است. مدیریت امنیت اطلاعات – دیدگاه مهمفعالیت هایی که هدف آن کنترل فرآیندهای ارائه اطلاعات و جلوگیری از استفاده غیرمجاز از آن است.

برای سال های متمادی، چالش های مدیریت امنیت اطلاعات تا حد زیادی نادیده گرفته شده است. وضعیت در حال تغییر است. امنیت در حال حاضر یکی از اصلی ترین مسائل مدیریتی برای سال های آینده محسوب می شود. علاقه به این موضوع با توجه به استفاده روزافزون از اینترنت و به ویژه در حال افزایش است تجارت الکترونیک. انواع بیشتری از کسب و کارها دروازه های الکترونیکی را به روی فعالیت های خود باز می کنند. این امر خطر دخالت خارجی را افزایش می دهد و برخی از مسائل مهم تجاری را ایجاد می کند. چه ریسک هایی را می خواهیم کنترل کنیم و چه اقداماتی را در حال حاضر و در چرخه بودجه بعدی باید انجام دهیم؟ مدیریت سطح بالاباید تصمیم بگیرد و این فقط با تحلیل عمیقخطرات این تجزیه و تحلیل باید ورودی به فرآیند مدیریت امنیت اطلاعات لازم برای تعیین الزامات امنیتی ارائه دهد.

الزامات امنیت اطلاعات تجاری بر ارائه دهندگان خدمات فناوری اطلاعات تأثیر می گذارد و باید در قراردادهای سطح خدمات گنجانده شود. هدف از فرآیند مدیریت امنیت اطلاعات، تضمین مداوم امنیت خدمات در سطح توافق شده با مشتری است. امنیت اکنون است مهمترین شاخصکیفیت مدیریت

فرآیند مدیریت امنیت اطلاعات، ادغام جنبه های امنیتی را در سازمان فناوری اطلاعات از دیدگاه ارائه دهنده خدمات ارتقا می دهد. آیین نامه عمل برای مدیریت امنیت اطلاعات (BS 7799) راهنمایی هایی را برای توسعه، اجرا و ارزیابی کنترل های امنیتی ارائه می دهد.

15.1.1. مفاهیم اساسی

فرآیند مدیریت امنیت اطلاعات در محدوده امنیت اطلاعات عمومی قرار می گیرد که وظیفه آن تضمین ایمنی اطلاعات است. امنیت به معنای محافظت از خطرات شناخته شده و در صورت امکان اجتناب از خطرات ناشناخته است. ابزار اطمینان از این امنیت است. هدف محافظت است اطلاعات ارزشمند. ارزش اطلاعات تاثیر می گذارد سطح مورد نیازمحرمانه بودن، یکپارچگی و در دسترس بودن.

محرمانه بودن- حفاظت از اطلاعات در برابر دسترسی و استفاده غیرمجاز.

تمامیت- صحت، کامل بودن و به موقع بودن اطلاعات.

دسترسی- اطلاعات باید در هر زمان در یک بازه زمانی از پیش توافق شده در دسترس باشد. این بستگی به تداوم سیستم های پردازش اطلاعات دارد.

جنبه های ثانویه شامل حریم خصوصی (محرمانه بودن و یکپارچگی اطلاعات خصوصی)، ناشناس بودن و قابل تأیید بودن (قابلیت تأیید استفاده صحیح از اطلاعات و اثربخشی اقدامات امنیتی) است.

15.2. اهداف فرآیند

در دهه‌های اخیر، تقریباً همه انواع کسب‌وکارها بیشتر به سیستم‌های اطلاعاتی وابسته شده‌اند. استفاده از شبکه های کامپیوتری نیز افزایش یافته است، آنها محدود به یک سازمان نیستند، شرکای تجاری را به هم متصل می کنند و ارتباط با دنیای خارج را فراهم می کنند. افزایش پیچیدگی زیرساخت های فناوری اطلاعات به این معنی است که کسب و کارها در برابر نقص های فنی، خطاهای انسانی، اعمال مخرب، هکرها و مزاحمان آسیب پذیرتر می شوند. ویروس های کامپیوتریاین پیچیدگی رو به رشد نیازمند یک رویکرد مدیریتی واحد است. فرآیند مدیریت امنیت اطلاعات ارتباطات مهمی با سایر فرآیندها دارد. برخی از فعالیت های امنیتی توسط سایر فرآیندهای کتابخانه ITIL، تحت کنترل فرآیند مدیریت امنیت اطلاعات انجام می شود.

فرآیند مدیریت امنیت اطلاعات دو هدف دارد:

انطباق با الزامات امنیتی تعیین شده در SLA و سایر الزامات توافق نامه های خارجی، قوانین و قوانین تعیین شده؛

تضمین سطح پایه امنیت، مستقل از الزامات خارجی.

فرآیند مدیریت امنیت اطلاعات برای حمایت از ادامه عملکرد سازمان فناوری اطلاعات ضروری است. همچنین به ساده‌سازی مدیریت امنیت اطلاعات در مدیریت سطح سرویس کمک می‌کند، زیرا میزان پیچیدگی مدیریت SLA نیز به تعداد آنها بستگی دارد.

ورودی این فرآیند، توافق نامه های SLA است که الزامات امنیتی را تعریف می کند، که در صورت امکان با اسنادی که خط مشی شرکت در این زمینه را تعریف می کنند، و همچنین سایر الزامات خارجی تکمیل می شود. این فرآیند همچنین اطلاعات مهم مرتبط با مسائل امنیتی را از سایر فرآیندها مانند حوادث امنیتی دریافت می کند. خروجی شامل اطلاعاتی در مورد اجرای به دست آمده از SLA ها به همراه گزارش هایی در مورد آن است موقعیت های اضطراریاز نقطه نظر ایمنی و برنامه های ایمنی منظم. در حال حاضر، بسیاری از سازمان ها با امنیت اطلاعات در سطح استراتژیک - در سیاست اطلاعاتیو برنامه ریزی اطلاعاتو در سطح عملیاتی، هنگام خرید ابزار و سایر محصولات امنیتی. توجه کافی به مدیریت امنیت اطلاعات واقعی، تجزیه و تحلیل مستمر و تبدیل قوانین عملیاتی به راه حل های فنی، حفظ اثربخشی اقدامات امنیتی با تغییر نیازمندی ها و محیط ها. پیامد شکاف بین سطوح عملیاتی و استراتژیک این است که در سطح تاکتیکی، منابع قابل توجهی در اقدامات امنیتی سرمایه گذاری می شود که دیگر مرتبط نیستند، در حالی که باید اقدامات جدید و موثرتری اتخاذ شود. هدف از فرآیند مدیریت امنیت اطلاعات اطمینان از اتخاذ تدابیر مؤثر امنیت اطلاعات در سطوح استراتژیک، تاکتیکی و عملیاتی است.

15.2.1. مزایای استفاده از فرآیند

امنیت اطلاعات به خودی خود یک هدف نیست. باید در خدمت منافع کسب و کار و سازمان باشد. برخی از انواع اطلاعات و خدمات اطلاعاتی برای یک سازمان مهمتر از سایرین هستند. امنیت اطلاعات باید با سطح اهمیت اطلاعات مطابقت داشته باشد. امنیت با ایجاد تعادل بین کنترل های امنیتی، ارزش اطلاعات و تهدیدات موجود در محیط پردازش برنامه ریزی می شود. پشتیبانی موثر اطلاعات با امنیت اطلاعات کافی برای یک سازمان به دو دلیل مهم است:

دلایل داخلی: عملکرد مؤثر یک سازمان تنها در صورتی امکان پذیر است که به اطلاعات دقیق و کامل دسترسی داشته باشد. سطح امنیت اطلاعات باید با این اصل مطابقت داشته باشد.

دلایل بیرونی : در نتیجه اجرای برخی فرآیندها در یک سازمان، محصولات و خدماتی ایجاد می شود که در اختیار بازار یا جامعه قرار می گیرد تا انجام شود. وظایف خاص. پشتیبانی ناکافی اطلاعات منجر به تولید محصولات و خدمات بی کیفیت می شود که نمی توان از آنها برای انجام وظایف مربوطه استفاده کرد و موجودیت سازمان را تهدید می کند. حفاظت کافی از اطلاعات است یک شرط مهمبرای پشتیبانی اطلاعاتی کافی بنابراین، اهمیت خارجی امنیت اطلاعات تا حدی توسط اهمیت داخلی آن تعیین می شود.

امنیت می تواند ارزش افزوده قابل توجهی برای سیستم های اطلاعاتی ایجاد کند. امنیت مؤثر به تداوم عملیات سازمان و دستیابی به اهداف آن کمک می کند.

15.3. روند

سازمان ها و سیستم های اطلاعاتی آنها در حال تغییر هستند. الگوهای استاندارد مانند آیین نامه عمل برای اطلاعاتمدیریت امنیت) ثابت هستند و به اندازه کافی به تغییرات سریع در فناوری اطلاعات پاسخ نمی دهند. به همین دلیل، فعالیت های انجام شده در فرآیند مدیریت امنیت اطلاعات باید به طور مستمر مورد بازبینی قرار گیرد تا از اثربخشی فرآیند اطمینان حاصل شود. مدیریت امنیت اطلاعات به یک چرخه بی پایان از برنامه ها، اقدامات، بررسی ها و اقدامات خلاصه می شود. فعالیت های انجام شده در فرآیند مدیریت امنیت اطلاعات یا سایر فرآیندهای تحت کنترل مدیریت امنیت اطلاعات در زیر شرح داده شده است.

برنج. 15.1. فرآیند مدیریت امنیت اطلاعات (منبع: OGC)

الزامات مشتری در سمت راست نشان داده شده است گوشه بالا، به عنوان داده های ورودی به فرآیند. این الزامات در بخش امنیتی توافقنامه سطح سرویس امنیتی و سطح امنیتی ارائه شده تعریف شده است. ارائه‌دهنده خدمات این توافق‌نامه‌ها را در قالب یک برنامه امنیتی که معیارهای امنیتی یا توافق‌نامه‌های سطح خدمات عملیاتی را تعریف می‌کند، به سازمان فناوری اطلاعات ابلاغ می‌کند. این طرح اجرا شده و نتایج آن مورد ارزیابی قرار می گیرد. سپس طرح و روش های اجرای آن تنظیم می شود که مدیریت سطح خدمات به مشتری اطلاع می دهد. به این ترتیب مشتری و ارائه دهنده خدمات با هم در شکل دادن به کل چرخه فرآیند مشارکت می کنند. مشتری ممکن است الزامات را بر اساس گزارش‌های دریافتی تغییر دهد، و ارائه‌دهنده خدمات ممکن است طرح یا اجرا را بر اساس مشاهدات تنظیم کند یا توافق‌نامه‌های تعریف‌شده در SLA را به چالش بکشد. تابع کنترل در مرکز شکل 15.1 نشان داده شده است. این نمودار در ادامه برای تشریح فعالیت های فرآیند مدیریت امنیت اطلاعات استفاده خواهد شد.

15.3.1. روابط با سایر فرآیندها

فرآیند مدیریت امنیت اطلاعات دارای پیوندهایی به سایر فرآیندهای ITIL است (شکل 15.2 را ببینید) زیرا سایر فرآیندها فعالیت های مرتبط با امنیت را انجام می دهند. این فعالیت ها به طور معمول تحت مسئولیت یک فرآیند خاص و رهبر آن انجام می شود. در انجام این کار، فرآیند مدیریت امنیت اطلاعات، سایر فرآیندها را با دستورالعمل هایی در مورد ساختار فعالیت های مرتبط با امنیت ارائه می دهد. به طور معمول، توافقات در این مورد پس از مشورت بین مدیر فرآیند مدیریت امنیت اطلاعات و سایر مدیران فرآیند تعیین می شود.

برنج. 15.2. روابط بین فرآیند مدیریت امنیت اطلاعات و سایر فرآیندها (منبع: OGC)

مدیریت پیکربندی

در زمینه امنیت اطلاعات، فرآیند مدیریت پیکربندی دارد بالاترین ارزش، زیرا به شما امکان می دهد موارد پیکربندی (CI) را طبقه بندی کنید. این طبقه بندی روابط بین آیتم های پیکربندی و اقدامات یا رویه های امنیتی موجود را تعریف می کند.

طبقه بندی اقلام پیکربندی محرمانه بودن، یکپارچگی و در دسترس بودن آنها را تعیین می کند. این طبقه بندی بر اساس الزامات امنیتی SLA ها است. مشتری سازمان فناوری اطلاعات طبقه بندی را تعیین می کند، زیرا فقط مشتری می تواند تصمیم بگیرد که اطلاعات یا سیستم های اطلاعاتی چقدر برای فرآیندهای تجاری مهم هستند. هنگام ایجاد یک طبقه بندی از واحدهای پیکربندی، مشتری درجه وابستگی فرآیندهای تجاری به سیستم های اطلاعاتی و اطلاعات را در نظر می گیرد. سپس سازمان فناوری اطلاعات طبقه بندی را با آیتم های پیکربندی مناسب مرتبط می کند. سازمان فناوری اطلاعات همچنین باید مجموعه ای از کنترل های امنیتی را برای هر سطح طبقه بندی اجرا کند. این مجموعه اقدامات را می توان به عنوان رویه ها توصیف کرد، به عنوان مثال "رویه مدیریت رسانه داده حاوی اطلاعات شخصی". SLA ممکن است مجموعه ای از اقدامات امنیتی را برای هر سطح طبقه بندی تعریف کند. سیستم طبقه بندی باید همیشه با ساختار سازمان مشتری سازگار باشد. با این حال، برای ساده سازی مدیریت، استفاده از یکی توصیه می شود سیستم مشترکطبقه بندی، حتی اگر سازمان فناوری اطلاعات مشتریان متعددی داشته باشد.

از مطالب فوق می توان نتیجه گرفت که طبقه بندی نکته کلیدی است. هر آیتم پیکربندی در پایگاه داده پیکربندی (CMDB) باید طبقه بندی شود. این طبقه بندی یک آیتم پیکربندی را با مجموعه یا رویه کنترل امنیتی مربوطه مرتبط می کند.

مدیریت حوادث

مدیریت حوادث یک فرآیند مهم برای گزارش حضور حوادث امنیتی است. با ماهیت آنها، حوادث امنیتی ممکن است با استفاده از فرآیند متفاوتی نسبت به سایر حوادث مدیریت شوند. بنابراین مهم است که فرآیند مدیریت حادثه، حوادث امنیتی را به عنوان چنین تشخیص دهد. هر حادثه ای که بتواند در برآوردن الزامات امنیتی SLA اختلال ایجاد کند، به عنوان یک حادثه امنیتی طبقه بندی می شود. مفید خواهد بود که در SLA ها تعریفی از انواع حوادثی که حوادث امنیتی در نظر گرفته می شوند درج شود. هر حادثه ای که از دستیابی به سطح امنیت داخلی اولیه جلوگیری کند نیز همیشه به عنوان یک حادثه امنیتی طبقه بندی می شود.

حوادث نه تنها از سوی کاربران، بلکه از فرآیندهای مدیریتی مختلف نیز گزارش می‌شوند که احتمالاً براساس هشدارها یا داده‌های حسابرسی سیستم است. ضروری است که فرآیند مدیریت حادثه تمام حوادث امنیتی را به رسمیت بشناسد. این امر برای آغاز رویه های مناسب برای رسیدگی به چنین حوادثی ضروری است. توصیه می شود که برنامه ها شامل رویه هایی برای انواع مختلف حوادث امنیتی و آزمایش آنها در عمل باشد. همچنین توصیه می شود روی یک روش برای گزارش حوادث امنیتی توافق شود. اغلب هراس به دلیل شایعات بیش از حد متورم ایجاد می شود. به همین ترتیب، عدم گزارش فوری حوادث امنیتی اغلب منجر به آسیب می شود. توصیه می شود که تمام ارتباطات خارجی مرتبط با حوادث امنیتی از طریق مدیر فرآیند مدیریت امنیت اطلاعات هدایت شوند.

مدیریت مشکل

فرآیند مدیریت مشکل، مسئول شناسایی و رفع خرابی های امنیتی ساختاری است. این مشکل همچنین ممکن است یک خطر امنیتی ایجاد کند. در این مورد، مدیریت مشکل باید فرآیند مدیریت امنیت اطلاعات را برای کمک به کار بیاورد. برای اطمینان از اینکه هیچ مشکل امنیتی جدیدی ایجاد نمی شود، راه حل نهایی یا راه حل اتخاذ شده باید تأیید شود. این راستی‌آزمایی باید براساس انطباق راه‌حل‌های پیشنهادی با الزامات موافقت‌نامه‌های SLA و الزامات امنیت داخلی باشد.

مدیریت تغییر

انواع کارهایی که به عنوان بخشی از فرآیند مدیریت تغییر انجام می شود، اغلب با امنیت مرتبط هستند، زیرا مدیریت تغییر و مدیریت امنیت اطلاعات به یکدیگر وابسته هستند. اگر سطح قابل قبولی از امنیت به دست آمده باشد و تحت کنترل فرآیند مدیریت تغییر باشد، می توان اطمینان داشت که این سطح امنیتی پس از انجام تغییر همچنان حفظ خواهد شد. برای پشتیبانی از این سطح امنیتی تعدادی از وجود دارد عملیات استاندارد. هر درخواست تغییر (RFC) با تعدادی پارامتر مرتبط است که روند پذیرش را تعریف می کند. پارامترهای فوریت و ضربه را می توان با یک پارامتر مرتبط با ایمنی تکمیل کرد. اگر درخواست تغییر (RFC) احتمالاً تأثیر مهمی بر امنیت اطلاعات داشته باشد، آزمایش‌ها و مراحل پذیرش گسترده مورد نیاز است.

درخواست تغییر (RFC) همچنین باید شامل پیشنهادهایی برای رسیدگی به مسائل امنیتی باشد. اینها دوباره باید بر اساس الزامات SLA و سطح امنیت ذاتی پایه مورد نیاز سازمان فناوری اطلاعات باشد. در نتیجه، این پیشنهادات شامل مجموعه ای از اقدامات امنیتی بر اساس استانداردهای عملکرد مدیریت امنیت اطلاعات خواهد بود.

توصیه می شود که مدیر فرآیند مدیریت امنیت اطلاعات (و احتمالاً افسر امنیتی مشتری) یکی از اعضای هیئت مشورتی تغییر (CAB) باشد.

با این حال، این بدان معنا نیست که همه تغییرات باید با مدیر فرآیند مدیریت امنیت اطلاعات مشورت شود. در یک وضعیت عادی، ایمنی باید در حالت عملکرد عادی یکپارچه شود. رهبر فرآیند مدیریت تغییر باید بتواند تصمیم بگیرد که آیا او یا CAB به ورودی مدیر فرآیند مدیریت امنیت اطلاعات نیاز دارد یا خیر. به طور مشابه، مدیر فرآیند مدیریت امنیت اطلاعات لزوماً نیازی به انتخاب کنترل‌ها برای آیتم‌های پیکربندی خاص تحت تأثیر درخواست تغییر (RFC) ندارد، زیرا یک رویکرد ساختاریافته باید از قبل برای کنترل‌های مناسب وجود داشته باشد. تنها با روش اجرای این اقدامات ممکن است سؤالاتی ایجاد شود.

هرگونه تدابیر امنیتی مرتبط با تغییرات باید همزمان با خود تغییرات اجرا شود و آنها باید با هم آزمایش شوند. تست های امنیتی با تست های عملکردی معمولی متفاوت هستند. هدف از تست های مرسوم تعیین در دسترس بودن عملکردهای خاص است. تست امنیتی نه تنها در دسترس بودن ویژگی های امنیتی را بررسی می کند، بلکه عدم وجود سایر ویژگی های نامطلوب را که می تواند امنیت سیستم را کاهش دهد، بررسی می کند.

از منظر امنیتی، مدیریت تغییر یکی از بهترین ها است فرآیندهای مهم. این به این دلیل است که مدیریت تغییر اقدامات امنیتی جدیدی را همراه با تغییراتی در آن زیرساخت به زیرساخت فناوری اطلاعات وارد می کند.

مدیریت انتشار

فرآیند مدیریت انتشار تمامی نسخه‌های جدید نرم‌افزار، سخت‌افزار، تجهیزات ارتباطات داده و غیره را کنترل و اجرا می‌کند. این فرآیند تضمین می‌کند که:

سخت افزار و نرم افزار مناسب استفاده می شود.

سخت افزار و نرم افزار قبل از استفاده تست می شوند.

اجرا به درستی از طریق رویه تغییر مجاز است.

نرم افزارقانونی است؛

نرم افزار حاوی ویروس نیست و ویروس ها با توزیع نرم افزار معرفی نمی شوند.

شماره نسخه ها توسط فرآیند مدیریت پیکربندی در CMDB شناخته شده و ثبت می شود.

مدیریت استقرار موثر خواهد بود.

این فرآیند همچنین از یک روش پذیرش معمولی استفاده می کند که باید جنبه های امنیت اطلاعات را پوشش دهد. در نظر گرفتن جنبه های امنیتی در هنگام تست و پذیرش از اهمیت ویژه ای برخوردار است. این بدان معنی است که الزامات و اقدامات امنیتی تعریف شده در SLA باید همیشه رعایت شود.

مدیریت سطح خدمات

فرآیند مدیریت سطح خدمات تضمین می کند که توافقات مربوط به خدمات ارائه شده به مشتریان تعریف و اجرا می شود. قراردادهای سطح سرویس نیز باید اقدامات امنیتی را در نظر بگیرند. هدف از این امر بهینه سازی سطح خدمات ارائه شده است. مدیریت سطح خدمات شامل تعدادی از فعالیت های مرتبط با امنیت است که مدیریت امنیت اطلاعات نقش مهمی در آنها ایفا می کند:

1. تعیین نیازهای امنیتی مشتری. طبیعتاً این وظیفه مشتری است که نیازهای امنیتی را تعیین کند، زیرا این نیازها بر اساس علایق آنها است.

2. بررسی امکان سنجی الزامات ایمنی مشتری.

3. پیشنهاد، بحث و تعیین سطح امنیتی خدمات فناوری اطلاعات در SLA.

4. شناسایی، توسعه و تدوین الزامات امنیت داخلی برای خدمات فناوری اطلاعات (Operational Service Level Agreements - OLA).

5. نظارت بر استانداردهای امنیتی (OLA).

6. تهیه گزارش از خدمات ارائه شده.

مدیریت امنیت اطلاعات مدیریت سطح خدمات را با ورودی و پشتیبانی از فعالیت های 1 تا 3 ارائه می دهد. فعالیت های 4 و 5 توسط مدیریت امنیت اطلاعات انجام می شود. برای فعالیت 6، مدیریت امنیت اطلاعات و سایر فرآیندها اطلاعات ورودی لازم را ارائه می دهند. رؤسای فرآیندهای مدیریت سطح خدمات و مدیریت امنیت اطلاعات پس از مشورت متقابل تصمیم می گیرند که چه کسی واقعاً در انجام این عملیات نقش دارد. هنگام نوشتن SLA، معمولاً فرض می شود که یک سطح امنیتی پایه مشترک وجود دارد. الزامات امنیتی اضافی مشتری باید به وضوح در SLA تعریف شود

مدیریت دسترسی

فرآیند مدیریت در دسترس بودن، در دسترس بودن فنی اجزای IT را در ارتباط با در دسترس بودن خدمات در نظر می گیرد. کیفیت در دسترس بودن با تداوم، قابلیت نگهداری و پایداری تعیین می شود. از آنجایی که بسیاری از کنترل‌های امنیتی تأثیر مثبتی بر جنبه‌های در دسترس بودن و محرمانه بودن و یکپارچگی امنیت دارند، هماهنگی کنترل‌ها بین مدیریت دسترسی، مدیریت تداوم خدمات فناوری اطلاعات و فرآیندهای مدیریت امنیت اطلاعات ضروری است.

مدیریت ظرفیت

فرآیند مدیریت ظرفیت مسئول است بهترین استفادهمنابع IT مطابق با توافق با مشتری. الزامات عملکرد بر اساس استانداردهای کمی و کیفی تعریف شده توسط مدیریت سطح خدمات است. تقریباً تمام فعالیت‌های فرآیند مدیریت ظرفیت بر در دسترس بودن و بنابراین بر فرآیند مدیریت امنیت اطلاعات تأثیر می‌گذارد.

مدیریت تداوم خدمات فناوری اطلاعات

فرآیند مدیریت تداوم خدمات فناوری اطلاعات تضمین می کند که تأثیر هر شرایط پیش بینی نشده به سطح توافق شده با مشتری محدود می شود. شرایط اضطراری لازم نیست به فاجعه تبدیل شود. فعالیت های اصلی تعریف، نگهداری، اجرا و آزمایش طرح پشتیبانی می باشد عملکرد متوالیو بازیابی عملکرد، و همچنین پذیرش اقدامات پیشگیرانه. به دلیل وجود جنبه های امنیتی در این نوع کارها، ارتباطی با فرآیند مدیریت امنیت اطلاعات وجود دارد. از سوی دیگر، عدم رعایت الزامات ایمنی اولیه ممکن است خود یک وضعیت اضطراری در نظر گرفته شود.

15.3.2. بخش امنیت قرارداد سطح خدمات

یک قرارداد سطح خدمات (SLA) قرارداد با مشتری را تعریف می کند. فرآیند مدیریت سطح خدمات مسئول SLA ها است (همچنین به فصل 10 مراجعه کنید). SLA نیروی محرکه اصلی تمام فرآیندهای ITIL است.

سازمان فناوری اطلاعات میزان برآورده شدن الزامات SLA از جمله الزامات امنیتی را تعیین می کند. عناصر امنیتی تعریف شده در SLA باید نیازهای مشتری مربوطه را برآورده کنند. مشتری باید اهمیت تمام فرآیندهای تجاری را تعیین کند (شکل 15.3 را ببینید).

برنج. 15.3. روابط بین فرآیندها (منبع: OGC)

این فرآیندهای تجاری به خدمات فناوری اطلاعات بستگی دارد. و در نتیجه از سازمان فناوری اطلاعات. مشتری الزامات امنیتی را تعیین می کند (هیچ الزامات امنیتی اطلاعات SLA در شکل 15.3 وجود ندارد) بر اساس تجزیه و تحلیل ریسک. در شکل 15.4. نشان می دهد که چگونه عناصر امنیتی یک SLA تعریف می شوند.

برنج. 15.4. نوشتن بخش امنیتی در SLA (منبع: OGC)

عناصر امنیتی بین نمایندگان مشتری و ارائه دهنده خدمات مورد بحث قرار می گیرد. ارائه‌دهنده خدمات، الزامات سطح خدمات مشتری را با کاتالوگ خدمات خود، که کنترل‌های امنیتی استاندارد (سطح امنیت خط پایه) را توصیف می‌کند، مقایسه می‌کند. مشتری ممکن است الزامات اضافی را مطرح کند.

مشتری و تامین کننده الزامات سطح خدمات را با کاتالوگ خدمات مقایسه می کنند. بخش امنیتی SLA ممکن است به مسائلی مانند سیاست کلی امنیت اطلاعات، لیست پرسنل مجاز، رویه‌های حفاظت از منابع، محدودیت‌های کپی داده‌ها و غیره بپردازد.

15.3.3. بخش امنیتی توافقنامه سطح خدمات عملیاتی (OLA)

یکی بیشتر اسناد مهمتوافقنامه سطح خدمات عملیاتی است. خدمات ارائه شده توسط ارائه دهنده خدمات داخلی را تشریح می کند. تامین کننده باید این ترتیبات را به مسئولیت هایی که در درون سازمان وجود دارد پیوند دهد. کاتالوگ خدمات شرح کلی آنها را ارائه می دهد. توافقنامه سطح خدمات عملیاتی این توصیفات کلی را به تعاریف خاص از همه خدمات و اجزای آنها و نحوه اجرای قراردادهای سطح خدمات در سازمان ترجمه می کند.

مثال. کاتالوگ خدمات "مدیریت مجوز برای کاربران و افراد" را فهرست می کند. توافقنامه سطح خدمات عملیاتی این را برای تمام خدمات خاص ارائه شده توسط سازمان فناوری اطلاعات مشخص می کند. بنابراین اجرای فعالیت برای واحدهای ارائه دهنده خدمات UNIX، VMS، NT، Oracle و ... تعیین می شود.

در صورت امکان، الزامات سطح خدمات مشتری با ارجاع به کاتالوگ خدمات تعیین می شود و در صورت لزوم توافقات اضافی منعقد می شود. چنین اقدامات اضافی سطح امنیت را در مقایسه با استاندارد افزایش می دهد.

هنگام تنظیم یک توافق نامه SLA، لازم است با مدیریت امنیت اطلاعات در مورد شاخص های عملکرد کلیدی اندازه گیری شده (KPI) و معیارها به توافق برسند. شاخص های عملکرد باید پارامترهای قابل اندازه گیری (متریک) باشند و معیارهای عملکرد باید در سطح قابل دستیابی تنظیم شوند. در برخی موارد، ممکن است رسیدن به توافق در مورد پارامترهای ایمنی قابل اندازه گیری دشوار باشد. تعریف آنها برای در دسترس بودن سرویس آسان تر است، که می تواند به صورت عددی بیان شود. با این حال، انجام این کار برای یکپارچگی و محرمانه بودن بسیار دشوارتر است. بنابراین، بخش امنیتی یک SLA معمولاً کنترل‌های مورد نیاز را به زبان انتزاعی توصیف می‌کند. شیوه های مدیریت امنیت اطلاعات به عنوان مجموعه ای اساسی از اقدامات امنیتی استفاده می شود. SLA همچنین روشی را برای تعیین عملکرد توصیف می کند. سازمان فناوری اطلاعات (ارائه دهنده خدمات) باید گزارش های منظمی را به سازمان کاربر (مشتری) ارائه دهد.

15.4. فعالیت ها

15.4.1. کنترل - سیاست و سازماندهی امنیت اطلاعات

کنترل امنیت اطلاعات، که در مرکز شکل 15.1 ارائه شده است، اولین فرآیند فرعی مدیریت امنیت اطلاعات است و به سازماندهی و کنترل فرآیند مربوط می شود. این فعالیت شامل یک رویکرد مدیریت امنیت اطلاعات ساختاریافته است که فرآیندهای فرعی زیر را توصیف می کند: تدوین برنامه های امنیتی، اجرای آنها، ارزیابی اجرا و گنجاندن ارزیابی در برنامه های امنیتی سالانه (برنامه های اقدام). همچنین گزارش هایی را که از طریق فرآیند مدیریت سطح خدمات به مشتری ارائه می شود، تشریح می کند.

این فعالیت فرآیندهای فرعی، عملکردهای امنیتی، نقش ها و مسئولیت ها را تعریف می کند. همچنین ساختار سازمانی، سیستم گزارش دهی و جریان های کنترل (چه کسی به چه کسی دستور می دهد، چه کسی چه کاری انجام می دهد، عملکرد چگونه گزارش می شود) را توصیف می کند. اقدامات زیر از مجموعه توصیه های کاربردی برای مدیریت امنیت اطلاعات در چارچوب این نوع فعالیت اجرا می شود.

قوانین داخلیآثار (سیاست) :

توسعه و اجرای قوانین داخلی کاری (سیاست ها)، ارتباط با سایر قوانین.

اهداف، اصول کلی و اهمیت؛

شرح فرآیندهای فرعی؛

توزیع کارکردها و مسئولیت ها بین فرآیندهای فرعی؛

پیوند به سایر فرآیندهای ITIL و مدیریت آنها؛

مسئولیت ستاد کل؛

رسیدگی به حوادث امنیتی

سازمان امنیت اطلاعات:

بلوک دیاگرام مدیریت؛

ساختار مدیریت (ساختار سازمانی)؛

توزیع دقیق‌تر مسئولیت‌ها؛

ایجاد کمیته راهبری امنیت اطلاعات؛

هماهنگی امنیت اطلاعات؛

هماهنگی ابزار(به عنوان مثال برای تجزیه و تحلیل ریسک و افزایش آگاهی)؛

مشاوره با متخصصان؛

همکاری بین سازمان ها، تعامل داخلی و خارجی؛

حسابرسی مستقل سیستم های اطلاعاتی؛

اصول امنیتی برای دسترسی به اطلاعات شخص ثالث؛

امنیت اطلاعات در قرارداد با اشخاص ثالث

15.4.2. برنامه ریزی

فرآیند فرعی برنامه ریزی به تعریف محتوای بخش امنیتی SLA ها با مشارکت فرآیند مدیریت سطح خدمات و تشریح فعالیت های مرتبط با امنیت انجام شده در چارچوب توافق نامه های خارجی خلاصه می شود. وظایفی که در قرارداد SLA تعریف شده است به طور کلی، در قالب یک توافقنامه سطح خدمات عملیاتی (OLA) به تفصیل و مشخص شده اند. OLA را می توان یک برنامه امنیتی در نظر گرفت ساختار سازمانیارائه دهنده خدمات و به عنوان یک برنامه امنیتی خاص، به عنوان مثال، برای هر پلت فرم، برنامه و شبکه فناوری اطلاعات.

ورودی به فرآیند فرعی برنامه ریزی نه تنها مفاد توافقنامه SLA، بلکه اصول سیاست امنیتی ارائه دهنده خدمات (از فرآیند فرعی کنترل) است. نمونه هایی از این اصول عبارتند از: "هر کاربر باید به طور منحصر به فرد شناسایی شود". "سطح پایه امنیت همیشه برای همه مشتریان ارائه می شود."

موافقت نامه های سطح خدمات عملیاتی (OLA) برای امنیت اطلاعات (طرح های امنیتی خاص) از طریق رویه های عادی توسعه و اجرا می شوند. به این معنی که اگر این فعالیت ها در فرآیندهای دیگر ضروری شود، هماهنگی با این فرآیندها ضروری است. تمام تغییرات لازم در زیرساخت فناوری اطلاعات توسط فرآیند مدیریت تغییر با استفاده از اطلاعات ورودی ارائه شده توسط فرآیند مدیریت امنیت اطلاعات انجام می شود. مسئول فرآیند مدیریت تغییر، مدیر این فرآیند است.

فرآیند فرعی برنامه ریزی برای تعیین بخش امنیتی SLA، به روز رسانی آن و اطمینان از انطباق با مفاد آن، با فرآیند مدیریت سطح خدمات هماهنگ می شود. مدیر فرآیند مدیریت سطح خدمات مسئول این هماهنگی است.

الزامات امنیتی باید در SLA، در صورت امکان، با عبارات قابل اندازه گیری تعریف شود. بخش امنیتی SLA باید اطمینان حاصل کند که دستیابی به تمام الزامات و استانداردهای امنیتی مشتری قابل تأیید است.

15.4.3. پیاده سازی

وظیفه زیرفرایند اجرا (پیاده سازی) انجام کلیه فعالیت های تعریف شده در طرح ها می باشد. این فرآیند فرعی را می توان با موارد زیر پشتیبانی کرد چک لیستاقدامات.

طبقه بندی و مدیریت منابع IT:

ارائه داده های ورودی برای پشتیبانی از موارد پیکربندی (CI) در CMDB.

طبقه بندی منابع IT بر اساس اصول توافق شده.

ایمنی پرسنل:

وظایف و مسئولیت ها در شرح شغل؛

انتخاب پرسنل؛

قراردادهای محرمانه برای پرسنل؛

آموزش؛

راهنمای پرسنل در حل و فصل حوادث امنیتی و از بین بردن نقص های امنیتی شناسایی شده؛

اقدام انضباطی؛

آگاهی امنیتی بهبود یافته است.

مدیریت امنیت:

معرفی انواع مسئولیت ها و توزیع مسئولیت ها;

دستورالعمل های کاری کتبی؛

قوانین داخلی؛

اقدامات امنیتی باید کل را پوشش دهد چرخه زندگیسیستم های؛ باید دستورالعمل های ایمنی برای توسعه سیستم، آزمایش، پذیرش، استفاده عملیاتی، نگهداری و از کار انداختن سیستم وجود داشته باشد. محیط عملیاتی;

جداسازی محیط توسعه و آزمایش از محیط عملیاتی (کار)؛

رویه های رسیدگی به حادثه (اجرا شده توسط فرآیند مدیریت حادثه)؛

استفاده از ابزارهای بازیابی؛

ارائه ورودی به فرآیند مدیریت تغییر؛

اجرای اقدامات حفاظت از ویروس؛

پیاده سازی تکنیک های مدیریت برای کامپیوترها، برنامه های کاربردی، شبکه ها و خدمات شبکه؛

مدیریت صحیح و حفاظت از رسانه های داده.

کنترل دسترسی:

اجرای سیاست دسترسی و کنترل دسترسی.

پشتیبانی از امتیازات دسترسی کاربر و برنامه به شبکه ها، خدمات شبکه، رایانه ها و برنامه ها؛

پشتیبانی مانع حفاظت از شبکه(دیوار آتش، دسترسی به خدمات از طریق خط تلفن، پل ها و روترها)؛

15.4.4. مقطع تحصیلی

ارزیابی مستقل از اجرای فعالیت های برنامه ریزی شده ضروری است. این ارزیابی برای تعیین اثربخشی ضروری است و توسط مشتریان و اشخاص ثالث نیز مورد نیاز است. از نتایج فرآیند فرعی ارزیابی می توان برای تنظیم اقدامات توافق شده با مشتری و همچنین برای اجرای آنها استفاده کرد. بر اساس نتایج ارزیابی، ممکن است تغییراتی پیشنهاد شود، در این صورت یک درخواست تغییر (RFC) فرموله شده و به فرآیند مدیریت تغییر ارسال می‌شود.

سه نوع ارزیابی وجود دارد:

خود ارزیابی: عمدتاً توسط بخش های خطی سازمان انجام می شود.

حسابرسی داخلی: توسط حسابرسان داخلی فناوری اطلاعات انجام می شود.

حسابرسی خارجی: توسط حسابرسان خارجی IT انجام می شود.

بر خلاف خودارزیابی، حسابرسی توسط همان پرسنلی که در فرآیندهای فرعی دیگر درگیر هستند، انجام نمی شود. این برای اطمینان از تفکیک مسئولیت ها ضروری است. حسابرسی ممکن است توسط واحد حسابرسی داخلی انجام شود.

ارزیابی نیز به عنوان پاسخ به حوادث انجام می شود.

فعالیت های اصلی هستند:

بررسی انطباق با سیاست های امنیتی و اجرای طرح های امنیتی؛

انجام ممیزی امنیتی سیستم های فناوری اطلاعات؛

شناسایی و اقدام در برابر استفاده نامناسب از منابع فناوری اطلاعات؛

بررسی جنبه های امنیتی در انواع دیگر ممیزی های فناوری اطلاعات.

15.4.5. حمایت کردن

با توجه به تغییر خطرات ناشی از تغییرات در زیرساخت فناوری اطلاعات، در شرکت و در فرآیندهای تجاری، لازم است از پشتیبانی مناسب برای اقدامات امنیتی اطمینان حاصل شود. پشتیبانی امنیتی شامل پشتیبانی از بخش های امنیتی مربوطه SLA ها و پشتیبانی از طرح های دقیقدر مورد امنیت (در سطح قراردادهای سطح خدمات عملیاتی).

حفظ عملکرد موثر سیستم امنیتی بر اساس نتایج زیر فرآیند ارزیابی و تحلیل تغییرات ریسک انجام می شود. پیشنهادها می توانند به عنوان بخشی از فرآیند فرعی برنامه ریزی یا به عنوان بخشی از حفظ کل SLA اجرا شوند. در هر صورت، پیشنهادات ارائه شده ممکن است منجر به گنجاندن ابتکارات اضافی در برنامه امنیتی سالانه شود. هر گونه تغییر تابع فرآیند عادی مدیریت تغییر است.

15.4.6. تهیه گزارش

گزارش دهی فعالیتی است که اطلاعاتی را از سایر فرآیندهای فرعی ارائه می دهد. گزارش ها برای ارائه اطلاعات در مورد عملکرد ایمنی به دست آمده و اطلاع رسانی به مشتریان از مسائل ایمنی تولید می شوند. مسائل مربوط به ارائه گزارش معمولاً با مشتری توافق می شود.

گزارش دهی هم برای مشتری و هم برای ارائه دهنده خدمات مهم است. مشتریان باید داشته باشند اطلاعات دقیقدر مورد اثربخشی کار (مثلاً در اجرای اقدامات امنیتی) و در مورد اقدامات امنیتی انجام شده. همچنین مشتری از هرگونه حادثه امنیتی مطلع می شود. پیشنهادات برای گزارش در زیر آورده شده است.

نمونه هایی از گزارش ها و رویدادهای منظم موجود در آنها:

فرآیند فرعی برنامه ریزی:

گزارش‌هایی در مورد میزان انطباق با توافقنامه SLA و شاخص‌های کیفیت کلیدی مورد توافق در مورد مسائل امنیتی؛

گزارش در مورد قراردادهای خارجی و مسائل مرتبط؛

گزارش‌های مربوط به توافق‌نامه‌های سطح خدمات عملیاتی (طرح‌های امنیتی داخلی) و سیاست‌های امنیتی خود تأمین‌کننده (به عنوان مثال سطح امنیت پایه).

گزارش برنامه های ایمنی سالانه و برنامه های عملیاتی.

فرآیند فرعی پیاده سازی:

گزارشی از وضعیت امنیت اطلاعات این شامل گزارشی در مورد اجرای طرح ایمنی سالانه، فهرستی از اقدامات اجرا شده یا برنامه ریزی شده، اطلاعات مربوط به آموزش، نتایج تجزیه و تحلیل خطر اضافی و غیره است.

فهرستی از حوادث امنیتی و پاسخ ها، احتمالاً در مقایسه با دوره گزارش قبلی؛

شناسایی روند حادثه؛

وضعیت برنامه اعلان

فرآیند فرعی ارزیابی:

گزارش در مورد اثربخشی فرآیندهای فرعی؛

نتایج ممیزی ها، تحلیل ها و ارزیابی های داخلی؛

هشدارها، شناسایی تهدیدات جدید.

گزارش های ویژه:

برای گزارش حوادث امنیتی تعریف شده در SLA، ارائه‌دهنده خدمات باید یک کانال ارتباطی مستقیم با نماینده مشتری (احتمالاً یک افسر امنیت اطلاعات سازمانی) از طریق مدیریت سطح خدمات، مدیریت رویداد یا مدیران فرآیند مدیریت امنیت اطلاعات داشته باشد. رویه ای برای برقراری ارتباط با موارد خاص. به جز در شرایط خاص، گزارش ها از طریق فرآیند مدیریت سطح خدمات ارسال می شود.

15.5. کنترل فرایند

15.5.1. عوامل حیاتی موفقیت و شاخص های کلیدیبهره وری

عوامل حیاتی موفقیت عبارتند از:

درک کامل نیاز به فرآیند از سوی مدیریت و مشارکت آن در فرآیند؛

مشارکت دادن کاربران در توسعه فرآیند؛

تعریف دقیق و تقسیم مسئولیت ها.

شاخص‌های عملکرد فرآیند مدیریت امنیت اطلاعات با همان شاخص‌های فرآیند مدیریت سطح سرویس مطابقت دارد تا جایی که مورد آخر با مسائل امنیتی مطرح شده در SLA مرتبط است.

15.5.2. توابع و نقش ها

در سازمان های کوچک فناوری اطلاعات، یک فرد ممکن است چندین فرآیند را مدیریت کند. در سازمان های بزرگ، چندین نفر روی یک فرآیند کار می کنند، مانند مدیریت امنیت اطلاعات. در چنین مواردی معمولاً یک مدیر فرآیند مدیریت امنیت اطلاعات منصوب می شود. این مدیر مسئول عملکرد مؤثر فرآیند است. همکار او در سازمان مشتری، بازرس امنیت اطلاعات است.

15.6. مشکلات و هزینه ها

15.6.1. چالش ها و مسائل

جنبه های زیر برای اجرای موفقیت آمیز فرآیند مدیریت امنیت اطلاعات ضروری است:

درک نیاز به فرآیند (درک از سوی شرکت کنندگان): اقدامات ایمنی به ندرت با درک مثبت سریع کارکنان مواجه می شود. مقاومت رایج تر از تایید است. کاربران از از دست دادن برخی از امتیازات به دلیل معرفی اقدامات امنیتی ناراحت هستند، حتی اگر این ویژگی ها برای کار آنها ضروری نباشد. این به این دلیل است که امتیازات به آنها وضعیت خاصی می دهد. بنابراین کار ویژه ای برای ایجاد انگیزه در کاربران و کسب رضایت مدیریت برای معرفی اقدامات امنیتی لازم است. به‌ویژه در حوزه مدیریت امنیت اطلاعات، مدیریت باید با مثال ("روشن کردن دوره" و "رهبری") رهبری کند. در غیاب حوادث امنیتی، مدیریت ممکن است وسوسه شود که هزینه های مدیریت امنیت را کاهش دهد.

نگرش: سیستم های اطلاعاتی نه به دلیل نقص فنی، بلکه به دلیل اشتباهات در استفاده از فناوری ناامن هستند. معمولاً به نگرش و رفتار انسان مربوط می شود. این به این معنی است که رویه های امنیتی باید با هم ادغام شوند عملیات روتین.

اطلاع: آگاهی یا بهتر بگوییم ارتباط مفهوم کلیدی است. گاهی اوقات تضاد منافع بین ارتباطات و امنیت وجود دارد: ارتباطات راه را هموار می کند، اما امنیت موانعی ایجاد می کند. این بدان معناست که اجرای اقدامات امنیتی مستلزم استفاده از تمام وسایل ارتباطی برای اطمینان از اتخاذ رفتار مورد نیاز کاربران است.

تایید: امنیت باید قابل بازرسی و تایید باشد. این هم در مورد اقدامات معرفی شده و هم برای دلایل معرفی آنها صدق می کند. لازم است بتوانیم اطمینان حاصل کنیم که در شرایط مناسب تصمیمات درست گرفته می شود. به عنوان مثال، باید امکان تأیید اعتبار افرادی که تصمیم گرفتند وجود داشته باشد.

مدیریت تغییر: اغلب هنگام ایجاد تغییرات، کیفیت ارزیابی انطباق با سطح امنیتی پایه تضعیف می شود.

هدف - آرزو: وقتی سازمانی می خواهد همه کارها را یکجا انجام دهد، اغلب اشتباهاتی رخ می دهد. اگر یک فرآیند مدیریت امنیت اطلاعات معرفی شود، پیاده سازی اقدامات فنیدر مقایسه با اقدامات سازمانی اهمیت بسیار کمتری دارد. تغییر یک سازمان مستلزم یک رویکرد و اقدامات گام به گام است مدت زمان طولانی.

عدم وجود سیستم های تشخیص: سیستم های جدید مانند اینترنت برای امنیت و نیاز به تشخیص هک طراحی نشده اند. دلیل آن این است که توسعه یک سیستم ایمن بیشتر از یک سیستم ناامن طول می کشد و با تقاضاهای تجاری برای هزینه های توسعه کم و زمان عرضه به بازار در تضاد است.

امیدهای بیش از حد به فناوری "قلعه تسخیرناپذیر".: تهدیدات برای امنیت سیستم به طور فزاینده ای در مکان های غیرقابل پیش بینی ظاهر می شوند. اولین حملات ویروس های ILOVEYOU و Nimda را با اولین نمونه از حملات Denial of Service (DoS) مقایسه کنید. در حالی که حفاظت از اطلاعات با استفاده از رویکرد سنتی "قلعه غیرقابل تسخیر" همچنان مهم است، رویکرد "ضد حمله" نیز هنگامی که نقض امنیتی رخ می دهد اهمیت بیشتری پیدا می کند. سازمان باید بتواند به سرعت منابع را به محل یک نقص هدایت کند تا بتواند از کنترل خارج شود.

15.6.2. مخارج

حفاظت از زیرساخت‌های فناوری اطلاعات به نیروی انسانی و در نتیجه پول برای پیاده‌سازی، نگهداری و بررسی اقدامات امنیتی نیاز دارد. با این حال، ناتوانی در حفاظت از زیرساخت فناوری اطلاعات هزینه نیز دارد (هزینه کالاهای تولید نشده، هزینه جایگزینی، آسیب به داده‌ها، نرم‌افزار یا سخت‌افزار، از دست دادن شهرت، جریمه یا غرامت برای عدم انجام تعهدات قراردادی). مثل همیشه، باید تعادل وجود داشته باشد.

یادداشت:

عبارت «مدیریت خدمات فناوری اطلاعات» از یک سو به عنوان مترادف عبارت «مدیریت خدمات فناوری اطلاعات» به کار می رود، اما از سوی دیگر آن را تقویت می کند، یعنی رویکردی متمرکز به مدیریت کل سازمان فناوری اطلاعات. یک واحد خدمات مدرن با هدف ارائه خدمات واحد تجاری که بخشی جدایی ناپذیر از فرآیند تولید است.

درخواست تغییر - RFC.

چارچوب مدیریت.

کمیته راهبری امنیت اطلاعات