بادبان

Baadbaan

بادبان، به‌عنوان نرم‌افزار سيستم (ISMS)، با هدف خودمحورسازی سازمان در راستای استقرار و پياده‌سازی سيستم مديريت امنيت اطلاعات توسعه يافته است. ويژگی‌ها و امكانات بادبان را می‌توان به دو دسته‌ی كلی تقسيم‌بندی نمود:

  • ويژگی‌های عمومی
  • ويژگی‌های تخصصی

منظور از ويژگی‌های عمومی، آن‌دسته از قابليت‌هایی است كه بادبان را در خدمت‌رسانی به سازمان در راستای پياده‌سازی و استقرار مطلوب سيستم مديريت امنيت اطلاعات (ISMS) ياری می‌رساند. در حقيقت، ويژگی‌های عمومی بادبان، پشتيبان نرم‌افزاری ويژگی‌های تخصصی آن به‌شمار می‌روند. برخی از مهم‌ترين ويژگی‌های عمومی بادبان عبارتند از:

  • ارائه‌ی نرم‌افزار برمبنای وب
  • پشتيبانی از كاربران متعدد
  • پشتيبانی از جريان كار در تمامی پيمانه‌های تخصصی
  • پشتيبانی از ساختار سلسله‌مراتبی
  • مجهز به مكانيزم‌های پيشرفته‌ی كنترل دسترسی و احراز هويت كاربران
  • سابقه‌نگاری گسترده‌ی تمامی تراكنش‌های كاربران با نرم‌افزار
  • توليد گزارش‌های سفارشی و ارائه‌ی گزارش‌های ازپيش‌تعريف‌شده
  • قابليت پيام‌رسانی به كاربران از طريق رايانامه، پيامك و پيام فوری
  • قابليت واردسازی و صدور اطلاعات
  • قابليت برقراری ارتباط با ابزارهای استاندارد
  • قابليت توليد فرم‌های الكترونيكی برمبنای نياز كاربر در پيمانه‌های تخصصی

ويژگی‌های تخصصی:

در كنار ويژگی‌های عمومی يادشده، بادبان، دربرگيرنده‌ی امكاناتی تخصصی است كه بر فعاليت‌های الزامی مورد نياز جهت پياده‌سازی و استقرار سيستم مديريت امنيت اطلاعات (ISMS) نگاشت می‌شوند. اين امكانات، كه هريك در قالب پيمانه‌ای (ماژولی) از نرم‌افزار بادبان توسعه يافته‌اند، عبارتند از:

  • فرآیند انطباق‌سنجی  (Gap Analysis Module)
  • فرآیند مديريت ريسك  (Risk Management Module)
  • فرآیند مديريت اسناد  (Document Management Module)
  • فرآیند سنجش اثربخشی  (Effectiveness Measurement Module)
  • فرآیند مميزی  (Audit Module)
  • فرآیند مديريت حوادث  (Incident Management Module)
  • فرآیند مديريت سوابق  (Records Management Module)
  • فرآیند بازنگری مديريت  (Management Reviews Module)
  • فرآیند استمرار كسب‌وكار  (Business Continuity Module)
  • فرآیند مديريت دارایی‌ها  (Configuration Management Module)
  • فرآیند اقدامات اصلاحی و پيشگيرانه  (Corrective and Preventive Actions Module)

ویژگی‌های عمومی:

ارائه‌ی نرم‌افزار برمبنای وب

بادبان، نرم‌افزاری مبتنی‌بر وب است و با استفاده از روزآمدترين فناوری‌های ارائه‌شده در زمينه‌ی ابزارهای نرم‌افزاری مبتنی‌بر وب توسعه يافته است. پيروی از مدل سه لايه در معماری نرم‌افزار يكی‌از بارزترين ويژگی‌های بادبان به‌شمار می‌رود.

پشتيبانی از كاربران متعدد

طراحی و اجرای سيستم مديريت امنيت اطلاعات در سازمان، نيازمند مشاركت نيروهای متخصص سازمان در قلمرو تعريف‌شده برای سيستم مديريت امنيت اطلاعات است. بادبان، با ارائه‌ی زيرساخت لازم جهت پشتيبانی از كاربران، نقش‌های كاربری و رويه‌های كنترل دسترسی متناظر، از اين مهم پشتيبانی می‌كند.

پشتيبانی از جريان كار

گام‌های مورد نياز جهت اجرای فرآيندی خاص، از سازمانی به سازمان ديگر، متفاوت است. از اين رو، سازمان نيازمند ابزاری است تا بتواند به فراخور فرآيندهای اختصاصی خود، نسبت‌به تعريف گام‌های اجرایی اقدام كند. بادبان، با دربرگيری موتور جريان كار، سازمان را در اين راستا همراهی می‌كند.

پشتيبانی از ساختار سلسله‌مراتبی

طراحی و اجرای سيستم مديريت امنيت اطلاعات در سازمان‌های كلان، نيازمند ملاحظه‌ی ساختار سلسله‌مراتبی آن‌هاست. در چنين ساختارهایی، سازمان مرجع، علاوه بر راهبری فعاليت طراحی و اجرای سيستم مديريت امنيت اطلاعات، وظيفه‌ی پايش وضعيت سيستم در سازمان‌های زيرمجموعه را نيز داراست. بادبان، با پشتيبانی از ساختار سلسله‌مراتبی، امكانات نظارتی و پايشی يادشده را در اختيار سازمان قرار می‌دهد.

مجهز به مكانيزم‌های پيشرفته‌ی كنترل دسترسی و احراز هويت كاربران

بادبان، فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات را به مجموعه‌ای از پيمانه‌های تخصصی افراز می‌كند و به‌طور طبيعی، هريك از پيمانه‌ها، در راستای برون‌داد نتيجه‌ی مطلوب، نيازمند مشاركت گروه‌های تخصصی كاربری از سازمان خواهد بود. بادبان، با پشتيبانی از مكانيزم‌های پيشرفته‌ی كنترل دسترسی و نيز احراز هويت كاربران (مانند بهره‌گيری از توكن امنيتی)، زيرساخت مناسبی جهت همكاری كارشناسان سازمان در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات ارائه می‌دهد.

سابقه‌نگاری گسترده‌ی تمامی تراكنش‌های كاربران با نرم‌افزار

تمامی تراكنش‌های كاربران با بادبان، سابقه‌نگاری می‌شود. همچنين، تاريخچه‌ی فعاليت‌ها در متن تمامی پيمانه‌های تخصصی نرم‌افزار، در پايگاه داده ثبت می‌شود و در قالب گزارش‌های سفارشی در اختيار كاربر قرار می‌گيرد.

توليد گزارش‌های سفارشی و ارائه‌ی گزارش‌های ازپيش‌تعريف‌شده

گزارش‌دهی و توليد گزارش‌های سفارشی‌سازی‌شده، كليدی‌ترين وظيفه‌مندی بادبان به‌شمار می‌رود. بادبان، دربرگيرنده‌ی  بيش از 100 گزارش ازپيش‌تعريف‌شده با تكيه‌بر پيمانه‌های تخصصی نرم‌افزار است. به‌علاوه، موتور گزارش‌ساز بادبان، سازمان را در تهيه و تدوين گزارش‌های سفارشی از پيمانه‌های تخصصی مختلف، ياری می‌رساند.

قابليت پيام‌رسانی به كاربران از طريق رايانامه، پيامك و پيام فوری

از آن‌جایی‌كه در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات، كارشناسان مختلف سازمان از بخش‌های سازمانی مختلف درگير می‌شوند، موضوع پيام‌رسانی به كاربران در متن پيمانه‌های تخصصی نرم‌افزار از اهميت بسزایی برخوردار است. بادبان، با پشتيبانی از رايانامه، پيامك و پيام فوری، كاربران را در مديريت هرچه بهتر طراحی و اجرای سيستم مديريت امنيت اطلاعات ياری می‌رساند.

قابليت واردسازی و صدور اطلاعات

فهرست دارایی‌های سازمان، فهرست تهديدات و آسيب‌پذيری‌های استخراج‌شده برای دارایی‌ها و ساير داده‌هایی از اين دست كه پيش‌ازاين در سازمان گردآوری شده‌اند، در بسياری از پيمانه‌های تخصصی بادبان به‌كار گرفته می‌شوند. بادبان، با ارائه‌ی قابليت واردسازی داده‌ها، فرآيند ثبت چنين داده‌هایی را تسهيل می‌كند. از سوی ديگر، امكان صدور گزارش‌های توليدشده در بادبان به قالب‌های استاندارد جهت استفاده در ابزارهای بيرونی ديده شده است.

قابليت برقراری ارتباط با ابزارهای استاندارد

به‌طور معمول، سازمان‌ها دارای سامانه‌های نرم‌افزاری مختلف جهت پوشش نيازمندی‌های كليدی خود در حوزه‌های اداری ـ سازمانی هستند؛ از اين دست می‌توان به سامانه‌های اتوماسيون اداری يا سامانه‌های مديريت اسناد اشاره داشت. از سوی ديگر، در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات، از ابزارهای فنی امنيت اطلاعات و شبكه در راستای پوشش طيف مشخصی از نيازمندی‌های اجرایی سيستم مديريت امنيت اطلاعات، بهره‌گيری می‌شود؛ از اين دست می‌توان به ابزارهای آزمون آسيب‌پذيری اشاره داشت. بادبان، با ارائه‌ی مبدل‌های نرم‌افزاری ويژه‌ی هريك از سامانه‌های يادشده، امكان استفاده از بستر ارائه‌شده توسط سامانه و يا بهره‌گيری از نتايج آن در متن پيمانه‌های تخصصی نرم‌افزار را فراهم می‌آورد.

قابليت توليد فرم‌های الكترونيكی برمبنای نياز كاربر در پيمانه‌های تخصصی

جريان و گردش الكترونيكی كار، نيازمند فرم‌های پويای الكترونيكی است. بادبان، امكان توليد فرم‌های الكترونيكی و بهره‌گيری از آن‌ها در جريان كاری تعريفی در متن پيمانه‌های مختلف نرم‌افزار را فراهم می‌آورد.

فرآیندهای سامانه‌ی مدیریت امنیت اطلاعات، بادبان

1.فرآیند انطباق‌سنجی

در ابتدای طراحی و اجرای سيستم مديريت امنيت اطلاعات و نيز در تناوب‌های زمانی مشخص پس‌از استقرار آن، نياز است تا ارزیابی كلی از وضعيت امنيت اطلاعات در سازمان به دست آورده شود. اين امر، سبب می‌شود تا فعاليت‌های طراحی، اجرا و بهبود سيستم مديريت امنيت اطلاعات به‌شكلی هدف‌دار و با تمركز بيشتر روی حوزه‌هایی انجام شود كه فاصله‌ی بيشتری با وضعيت مطلوب ترسيم‌شده در استاندارد دارند. فرایند انطباق‌سنجی بادبان، اين هدف را با ارائه‌ی پرسش‌نامه‌هایی كه به تفكيك هريك از حوزه‌های كنترلی استاندارد گردآوری و تدوين شده‌اند، محقق می‌سازد. ميزان انطباق سازمان در هريك از حوزه‌های كنترلی ارائه‌شده در استاندارد، با پاسخ‌گویی به پرسش‌های ارائه‌شده در نرم‌افزار تعيين می‌شود و نتيجه‌ی فرآيند انطباق‌سنجی در قالب گزارش‌های مديريتی و كارشناسی در اختيار سازمان قرار می‌گيرد. فرایند انطباق‌سنجی در بادبان، برمبنای استاندارد ISO/IEC 27002 توسعه يافته است.

2.فرآیند مديريت ريسك

مديريت ريسك، قلب سيستم مديريت امنيت اطلاعات به‌شمار می‌رود و از همين روی، مهم‌ترين فرایند بادبان در فرآيند طراحی و اجرای سيستم مديريت امنيت اطلاعات محسوب می‌شود. در فرایند مديريت ريسك، از روزآمدترين چارچوب ارائه‌شده برای مديريت ريسك امنيت اطلاعات برمبنای استاندارد ISO/IEC 27005 استفاده شده است و انتخاب روش‌شناسی (متدولوژی) مورد نظر جهت مديريت ريسك امنيت اطلاعات، در اختيار سازمان قرار داده شده است. استخراج اطلاعات دارایی‌ها، استخراج تهديدات و آسيب‌پذيری‌ها، ارزش‌گذاری دارایی‌ها، آسيب‌پذيری‌ها و تهديدات، شناسایی حوادث امنيت اطلاعات و ارائه‌ی ريسك حوادث امنيتی در قالب ماتريس سه‌وجهی از جمله كليدی‌ترين ويژگی‌های فرایند مديريت ريسك در بادبان به‌شمار می‌رود.

3.فرآیند مديريت اسناد

سيستم مديريت امنيت اطلاعات، مانند تمامی سيستم‌های مديريت، دربرگيرنده‌ی اسنادی شامل خط‌مشی‌، طرح‌، رويه‌ و دستورالعمل‌ است كه بايد در راستای استقرار سيستم، در سازمان جاری گردد. فرایند مديريت اسناد در بادبان، برمبنای استاندارد ISO 10013 تمامی موارد يادشده را در قالب يك سامانه‌ی مديريت مستندات تخصصی برای سيستم مديريت امنيت اطلاعات در اختيار سازمان قرار می‌دهد.

4.فرآیند سنجش اثربخشی

اثربخشی شیوه اجرای هريك از كنترل‌های امنيت اطلاعات در سازمان، بايد به‌شكل متناوب سنجيده شود. بادبان، در قالب فرایند سنجش اثربخشی، اين امكان را در اختيار كارشناسان سازمان قرار می‌دهد تا وضعيت اثربخشی كنترل‌های پياده‌سازی‌شده را به تفكيك هريك از حوزه‌های كنترلی استاندارد مورد اندازه‌گیری و ارزيابی قرار دهند. پشتیبانی از بازه‌های مختلف جهت سنجش اثربخشی و نیز بهره‌مندی از نمودارهای نمایش دهنده وضعیت اثربخشی از جمله ویژگی‌های این فرایند است.

5.فرآیند مميزی

فرایند ممیزی یکی از الزامات اصلی سیستم مدیریت امنیت اطلاعات است. علاوه بر این دستیابی به گواهينامه‌ی بين‌المللی ISO/IEC 27001، منوط به اجرای موفق فرآيند مميزی در این سيستم است. فرایند مميزی در نرم‌افزار بادبان با هدف راهبری فرآيند مميزی داخلی و بیرونی سيستم مديريت امنيت اطلاعات در سازمان، توسعه يافته است. پشتيبانی از دوره‌های مميزی، برنامه‌های ممیزی، طرح‌های ممیزی، چك‌ليست‌های مميزی و ثبت نتايج مميزی‌های انجام‌شده از جمله ويژگی‌های اين فرایند به‌شمار می‌رود.

6.فرآیند مديريت حوادث

مدیریت حوادث شامل گزارش، پاسخگویی و ثبت و رخدادها و حوادث امنیت اطلاعات از الزامات سیستم مدیریت امنیت اطلاعات است که در نرم‌افزار بادبان در قالب فرایند مدیریت حوادث پوشش داده شده است. امکان گزارش‌دهی و پاسخگویی متمرکز و یکپارچه رخدادها و حوادث منجر به اجرای اثربخش‌تر و کاراتر این فرایند در سازمان می‌شود. علاوه بر این ارتباط میان این فرایند و فرایند اقدامات اصلاحی و پیشگیرانه از دیگر ویژگی‌های این بخش محسوب می‌شود.

7.فرآیند مديريت سوابق

تحقق اسناد سیستم مدیریت امنیت اطلاعات و عملیاتی‌سازی آنها منجر به تولید سوابقی می‌شود که مدیریت مطلوب این سوابق بر اساس گردش کار تعریف شده برای آنها می‌تواند نقش بسزایی در اجرای کارا و اثربخش این سیستم در سازمان داشته باشد. از این رو در نرم‌افزار بادبان بخشی تخصصی جهت تحت پوشش قرار دادن فرایند مدیریت سوابق تعبیه شده است که سازمان را قادر می‌سازد بصورت متمرکز به اجرای مطلوب این فرایند بپردازد.

8.فرآیند بازنگری مديريت

بازنگری مدیریت از الزامات سیستم مدیریت امنیت اطلاعات است که باید بصورت دوره‌ای و متناوب در سازمان به انجام رسد. با توجه به الزاماتی که استاندارد ISO/IEC 27001 در خصوص ورودی‌ها و خروجی‌های بازنگری مدیریت و نیز ثبت مصوبات و نتایج آن دارد از این رو در نرم‌افزار بخشی تخصصی جهت پوشش این فرایند در نظر گرفته شده است.

9.فرآیند استمرار كسب‌وكار

استمرار کسب‌وکار شامل تعریف فرایندهای حیاتی و تعیین وابستگی‌ دارایی‌ها با این فرایندها، تدوین طرح استمرار کسب‌وکار و نیز تعیین شاخص‌هایی چون ماکزیمم زمان قابل‌تحمل وقفه (RTO) و نقطه بازیابی هدف (RPO) از مواردی هستند که در این فرایند در نرم‌افزار بادبان در نظر گرفته‌شده‌اند.

10.فرآیند مدیریت دارایی‌ها

با توجه به اهمیت مفهوم دارایی در سیستم مدیریت امنیت اطلاعات و نقش ویژه آن در فرایند مدیریت ریسک امنیت اطلاعات، بخش ویژه‌ای برای این فرایند در نرم‌افزار بادبان تعبیه شده است که امکان مدیریت دارایی‌ها و ثبت مشخصات و ویژگی‌های آنها را بصورت کاملا انعطاف‌پذیر به سازمان می‌دهد. امکان واردسازی دارایی‌ها بصورت یکجا از دیگر ویژگی‌های این فرایند محسوب می‌شود.

11.فرآیند اقدامات اصلاحی و پيشگيرانه

اقدامات اصلاحی و پیشگیرانه از فرایندهای بنیادی و مهم سیستم مدیریت امنیت اطلاعات است که در راستای بهبود و نگهداشت این سیستم بکار گرفته می‌شود. ورودی‌هایی فرایند اقدام اصلاحی و پیشگیرانه از فرایندهای سنجش اثربخشی، مدیریت حوادث امنیت اطلاعات و ممیزی گرفته می‌شود و از این‌رو نقش بسزایی در تعامل مؤثر میان فرایندهای سیستم دارد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code