بادبان
بادبان، بهعنوان نرمافزار سيستم (ISMS)، با هدف خودمحورسازی سازمان در راستای استقرار و پيادهسازی سيستم مديريت امنيت اطلاعات توسعه يافته است. ويژگیها و امكانات بادبان را میتوان به دو دستهی كلی تقسيمبندی نمود:
- ويژگیهای عمومی
- ويژگیهای تخصصی
منظور از ويژگیهای عمومی، آندسته از قابليتهایی است كه بادبان را در خدمترسانی به سازمان در راستای پيادهسازی و استقرار مطلوب سيستم مديريت امنيت اطلاعات (ISMS) ياری میرساند. در حقيقت، ويژگیهای عمومی بادبان، پشتيبان نرمافزاری ويژگیهای تخصصی آن بهشمار میروند. برخی از مهمترين ويژگیهای عمومی بادبان عبارتند از:
- ارائهی نرمافزار برمبنای وب
- پشتيبانی از كاربران متعدد
- پشتيبانی از جريان كار در تمامی پيمانههای تخصصی
- پشتيبانی از ساختار سلسلهمراتبی
- مجهز به مكانيزمهای پيشرفتهی كنترل دسترسی و احراز هويت كاربران
- سابقهنگاری گستردهی تمامی تراكنشهای كاربران با نرمافزار
- توليد گزارشهای سفارشی و ارائهی گزارشهای ازپيشتعريفشده
- قابليت پيامرسانی به كاربران از طريق رايانامه، پيامك و پيام فوری
- قابليت واردسازی و صدور اطلاعات
- قابليت برقراری ارتباط با ابزارهای استاندارد
- قابليت توليد فرمهای الكترونيكی برمبنای نياز كاربر در پيمانههای تخصصی
ويژگیهای تخصصی:
در كنار ويژگیهای عمومی يادشده، بادبان، دربرگيرندهی امكاناتی تخصصی است كه بر فعاليتهای الزامی مورد نياز جهت پيادهسازی و استقرار سيستم مديريت امنيت اطلاعات (ISMS) نگاشت میشوند. اين امكانات، كه هريك در قالب پيمانهای (ماژولی) از نرمافزار بادبان توسعه يافتهاند، عبارتند از:
- فرآیند انطباقسنجی (Gap Analysis Module)
- فرآیند مديريت ريسك (Risk Management Module)
- فرآیند مديريت اسناد (Document Management Module)
- فرآیند سنجش اثربخشی (Effectiveness Measurement Module)
- فرآیند مميزی (Audit Module)
- فرآیند مديريت حوادث (Incident Management Module)
- فرآیند مديريت سوابق (Records Management Module)
- فرآیند بازنگری مديريت (Management Reviews Module)
- فرآیند استمرار كسبوكار (Business Continuity Module)
- فرآیند مديريت داراییها (Configuration Management Module)
- فرآیند اقدامات اصلاحی و پيشگيرانه (Corrective and Preventive Actions Module)
ویژگیهای عمومی:
بادبان، نرمافزاری مبتنیبر وب است و با استفاده از روزآمدترين فناوریهای ارائهشده در زمينهی ابزارهای نرمافزاری مبتنیبر وب توسعه يافته است. پيروی از مدل سه لايه در معماری نرمافزار يكیاز بارزترين ويژگیهای بادبان بهشمار میرود.
طراحی و اجرای سيستم مديريت امنيت اطلاعات در سازمان، نيازمند مشاركت نيروهای متخصص سازمان در قلمرو تعريفشده برای سيستم مديريت امنيت اطلاعات است. بادبان، با ارائهی زيرساخت لازم جهت پشتيبانی از كاربران، نقشهای كاربری و رويههای كنترل دسترسی متناظر، از اين مهم پشتيبانی میكند.
گامهای مورد نياز جهت اجرای فرآيندی خاص، از سازمانی به سازمان ديگر، متفاوت است. از اين رو، سازمان نيازمند ابزاری است تا بتواند به فراخور فرآيندهای اختصاصی خود، نسبتبه تعريف گامهای اجرایی اقدام كند. بادبان، با دربرگيری موتور جريان كار، سازمان را در اين راستا همراهی میكند.
پشتيبانی از ساختار سلسلهمراتبی
طراحی و اجرای سيستم مديريت امنيت اطلاعات در سازمانهای كلان، نيازمند ملاحظهی ساختار سلسلهمراتبی آنهاست. در چنين ساختارهایی، سازمان مرجع، علاوه بر راهبری فعاليت طراحی و اجرای سيستم مديريت امنيت اطلاعات، وظيفهی پايش وضعيت سيستم در سازمانهای زيرمجموعه را نيز داراست. بادبان، با پشتيبانی از ساختار سلسلهمراتبی، امكانات نظارتی و پايشی يادشده را در اختيار سازمان قرار میدهد.
مجهز به مكانيزمهای پيشرفتهی كنترل دسترسی و احراز هويت كاربران
بادبان، فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات را به مجموعهای از پيمانههای تخصصی افراز میكند و بهطور طبيعی، هريك از پيمانهها، در راستای برونداد نتيجهی مطلوب، نيازمند مشاركت گروههای تخصصی كاربری از سازمان خواهد بود. بادبان، با پشتيبانی از مكانيزمهای پيشرفتهی كنترل دسترسی و نيز احراز هويت كاربران (مانند بهرهگيری از توكن امنيتی)، زيرساخت مناسبی جهت همكاری كارشناسان سازمان در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات ارائه میدهد.
سابقهنگاری گستردهی تمامی تراكنشهای كاربران با نرمافزار
تمامی تراكنشهای كاربران با بادبان، سابقهنگاری میشود. همچنين، تاريخچهی فعاليتها در متن تمامی پيمانههای تخصصی نرمافزار، در پايگاه داده ثبت میشود و در قالب گزارشهای سفارشی در اختيار كاربر قرار میگيرد.
توليد گزارشهای سفارشی و ارائهی گزارشهای ازپيشتعريفشده
گزارشدهی و توليد گزارشهای سفارشیسازیشده، كليدیترين وظيفهمندی بادبان بهشمار میرود. بادبان، دربرگيرندهی بيش از 100 گزارش ازپيشتعريفشده با تكيهبر پيمانههای تخصصی نرمافزار است. بهعلاوه، موتور گزارشساز بادبان، سازمان را در تهيه و تدوين گزارشهای سفارشی از پيمانههای تخصصی مختلف، ياری میرساند.
قابليت پيامرسانی به كاربران از طريق رايانامه، پيامك و پيام فوری
از آنجاییكه در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات، كارشناسان مختلف سازمان از بخشهای سازمانی مختلف درگير میشوند، موضوع پيامرسانی به كاربران در متن پيمانههای تخصصی نرمافزار از اهميت بسزایی برخوردار است. بادبان، با پشتيبانی از رايانامه، پيامك و پيام فوری، كاربران را در مديريت هرچه بهتر طراحی و اجرای سيستم مديريت امنيت اطلاعات ياری میرساند.
قابليت واردسازی و صدور اطلاعات
فهرست داراییهای سازمان، فهرست تهديدات و آسيبپذيریهای استخراجشده برای داراییها و ساير دادههایی از اين دست كه پيشازاين در سازمان گردآوری شدهاند، در بسياری از پيمانههای تخصصی بادبان بهكار گرفته میشوند. بادبان، با ارائهی قابليت واردسازی دادهها، فرآيند ثبت چنين دادههایی را تسهيل میكند. از سوی ديگر، امكان صدور گزارشهای توليدشده در بادبان به قالبهای استاندارد جهت استفاده در ابزارهای بيرونی ديده شده است.
قابليت برقراری ارتباط با ابزارهای استاندارد
بهطور معمول، سازمانها دارای سامانههای نرمافزاری مختلف جهت پوشش نيازمندیهای كليدی خود در حوزههای اداری ـ سازمانی هستند؛ از اين دست میتوان به سامانههای اتوماسيون اداری يا سامانههای مديريت اسناد اشاره داشت. از سوی ديگر، در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات، از ابزارهای فنی امنيت اطلاعات و شبكه در راستای پوشش طيف مشخصی از نيازمندیهای اجرایی سيستم مديريت امنيت اطلاعات، بهرهگيری میشود؛ از اين دست میتوان به ابزارهای آزمون آسيبپذيری اشاره داشت. بادبان، با ارائهی مبدلهای نرمافزاری ويژهی هريك از سامانههای يادشده، امكان استفاده از بستر ارائهشده توسط سامانه و يا بهرهگيری از نتايج آن در متن پيمانههای تخصصی نرمافزار را فراهم میآورد.
قابليت توليد فرمهای الكترونيكی برمبنای نياز كاربر در پيمانههای تخصصی
جريان و گردش الكترونيكی كار، نيازمند فرمهای پويای الكترونيكی است. بادبان، امكان توليد فرمهای الكترونيكی و بهرهگيری از آنها در جريان كاری تعريفی در متن پيمانههای مختلف نرمافزار را فراهم میآورد.
فرآیندهای سامانهی مدیریت امنیت اطلاعات، بادبان
1.فرآیند انطباقسنجی
در ابتدای طراحی و اجرای سيستم مديريت امنيت اطلاعات و نيز در تناوبهای زمانی مشخص پساز استقرار آن، نياز است تا ارزیابی كلی از وضعيت امنيت اطلاعات در سازمان به دست آورده شود. اين امر، سبب میشود تا فعاليتهای طراحی، اجرا و بهبود سيستم مديريت امنيت اطلاعات بهشكلی هدفدار و با تمركز بيشتر روی حوزههایی انجام شود كه فاصلهی بيشتری با وضعيت مطلوب ترسيمشده در استاندارد دارند. فرایند انطباقسنجی بادبان، اين هدف را با ارائهی پرسشنامههایی كه به تفكيك هريك از حوزههای كنترلی استاندارد گردآوری و تدوين شدهاند، محقق میسازد. ميزان انطباق سازمان در هريك از حوزههای كنترلی ارائهشده در استاندارد، با پاسخگویی به پرسشهای ارائهشده در نرمافزار تعيين میشود و نتيجهی فرآيند انطباقسنجی در قالب گزارشهای مديريتی و كارشناسی در اختيار سازمان قرار میگيرد. فرایند انطباقسنجی در بادبان، برمبنای استاندارد ISO/IEC 27002 توسعه يافته است.
2.فرآیند مديريت ريسك
مديريت ريسك، قلب سيستم مديريت امنيت اطلاعات بهشمار میرود و از همين روی، مهمترين فرایند بادبان در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات محسوب میشود. در فرایند مديريت ريسك، از روزآمدترين چارچوب ارائهشده برای مديريت ريسك امنيت اطلاعات برمبنای استاندارد ISO/IEC 27005 استفاده شده است و انتخاب روششناسی (متدولوژی) مورد نظر جهت مديريت ريسك امنيت اطلاعات، در اختيار سازمان قرار داده شده است. استخراج اطلاعات داراییها، استخراج تهديدات و آسيبپذيریها، ارزشگذاری داراییها، آسيبپذيریها و تهديدات، شناسایی حوادث امنيت اطلاعات و ارائهی ريسك حوادث امنيتی در قالب ماتريس سهوجهی از جمله كليدیترين ويژگیهای فرایند مديريت ريسك در بادبان بهشمار میرود.
3.فرآیند مديريت اسناد
سيستم مديريت امنيت اطلاعات، مانند تمامی سيستمهای مديريت، دربرگيرندهی اسنادی شامل خطمشی، طرح، رويه و دستورالعمل است كه بايد در راستای استقرار سيستم، در سازمان جاری گردد. فرایند مديريت اسناد در بادبان، برمبنای استاندارد ISO 10013 تمامی موارد يادشده را در قالب يك سامانهی مديريت مستندات تخصصی برای سيستم مديريت امنيت اطلاعات در اختيار سازمان قرار میدهد.
4.فرآیند سنجش اثربخشی
اثربخشی شیوه اجرای هريك از كنترلهای امنيت اطلاعات در سازمان، بايد بهشكل متناوب سنجيده شود. بادبان، در قالب فرایند سنجش اثربخشی، اين امكان را در اختيار كارشناسان سازمان قرار میدهد تا وضعيت اثربخشی كنترلهای پيادهسازیشده را به تفكيك هريك از حوزههای كنترلی استاندارد مورد اندازهگیری و ارزيابی قرار دهند. پشتیبانی از بازههای مختلف جهت سنجش اثربخشی و نیز بهرهمندی از نمودارهای نمایش دهنده وضعیت اثربخشی از جمله ویژگیهای این فرایند است.
5.فرآیند مميزی
فرایند ممیزی یکی از الزامات اصلی سیستم مدیریت امنیت اطلاعات است. علاوه بر این دستیابی به گواهينامهی بينالمللی ISO/IEC 27001، منوط به اجرای موفق فرآيند مميزی در این سيستم است. فرایند مميزی در نرمافزار بادبان با هدف راهبری فرآيند مميزی داخلی و بیرونی سيستم مديريت امنيت اطلاعات در سازمان، توسعه يافته است. پشتيبانی از دورههای مميزی، برنامههای ممیزی، طرحهای ممیزی، چكليستهای مميزی و ثبت نتايج مميزیهای انجامشده از جمله ويژگیهای اين فرایند بهشمار میرود.
6.فرآیند مديريت حوادث
مدیریت حوادث شامل گزارش، پاسخگویی و ثبت و رخدادها و حوادث امنیت اطلاعات از الزامات سیستم مدیریت امنیت اطلاعات است که در نرمافزار بادبان در قالب فرایند مدیریت حوادث پوشش داده شده است. امکان گزارشدهی و پاسخگویی متمرکز و یکپارچه رخدادها و حوادث منجر به اجرای اثربخشتر و کاراتر این فرایند در سازمان میشود. علاوه بر این ارتباط میان این فرایند و فرایند اقدامات اصلاحی و پیشگیرانه از دیگر ویژگیهای این بخش محسوب میشود.
7.فرآیند مديريت سوابق
تحقق اسناد سیستم مدیریت امنیت اطلاعات و عملیاتیسازی آنها منجر به تولید سوابقی میشود که مدیریت مطلوب این سوابق بر اساس گردش کار تعریف شده برای آنها میتواند نقش بسزایی در اجرای کارا و اثربخش این سیستم در سازمان داشته باشد. از این رو در نرمافزار بادبان بخشی تخصصی جهت تحت پوشش قرار دادن فرایند مدیریت سوابق تعبیه شده است که سازمان را قادر میسازد بصورت متمرکز به اجرای مطلوب این فرایند بپردازد.
8.فرآیند بازنگری مديريت
بازنگری مدیریت از الزامات سیستم مدیریت امنیت اطلاعات است که باید بصورت دورهای و متناوب در سازمان به انجام رسد. با توجه به الزاماتی که استاندارد ISO/IEC 27001 در خصوص ورودیها و خروجیهای بازنگری مدیریت و نیز ثبت مصوبات و نتایج آن دارد از این رو در نرمافزار بخشی تخصصی جهت پوشش این فرایند در نظر گرفته شده است.
9.فرآیند استمرار كسبوكار
استمرار کسبوکار شامل تعریف فرایندهای حیاتی و تعیین وابستگی داراییها با این فرایندها، تدوین طرح استمرار کسبوکار و نیز تعیین شاخصهایی چون ماکزیمم زمان قابلتحمل وقفه (RTO) و نقطه بازیابی هدف (RPO) از مواردی هستند که در این فرایند در نرمافزار بادبان در نظر گرفتهشدهاند.
10.فرآیند مدیریت داراییها
با توجه به اهمیت مفهوم دارایی در سیستم مدیریت امنیت اطلاعات و نقش ویژه آن در فرایند مدیریت ریسک امنیت اطلاعات، بخش ویژهای برای این فرایند در نرمافزار بادبان تعبیه شده است که امکان مدیریت داراییها و ثبت مشخصات و ویژگیهای آنها را بصورت کاملا انعطافپذیر به سازمان میدهد. امکان واردسازی داراییها بصورت یکجا از دیگر ویژگیهای این فرایند محسوب میشود.
11.فرآیند اقدامات اصلاحی و پيشگيرانه
اقدامات اصلاحی و پیشگیرانه از فرایندهای بنیادی و مهم سیستم مدیریت امنیت اطلاعات است که در راستای بهبود و نگهداشت این سیستم بکار گرفته میشود. ورودیهایی فرایند اقدام اصلاحی و پیشگیرانه از فرایندهای سنجش اثربخشی، مدیریت حوادث امنیت اطلاعات و ممیزی گرفته میشود و از اینرو نقش بسزایی در تعامل مؤثر میان فرایندهای سیستم دارد.