Інвентаризація інформаційних систем

Загальний підхід до інвентаризації інформаційних

Систем

Інвентаризація – це складання переліку об’єктів, що підлягатимуть захисту і суб’єктів, які задіяні у даному інформаційному просторі і будуть впливати на інформаційний захист системи. При цьому необхідно не просто скласти перелік, а вказати ряд особливостей об’єктів і суб’єктів, тобто коротко описати їх з погляду інформаційної безпеки. Чим ретельніше зробити це на початковому етапі, тим легше буде далі робити уточнення і будувати остаточну модель захисту.

Дана робота, зазвичай, ініціюється службою інформаційної безпеки, але виконується з залученням фахівців інших служб.

Це відбувається тому, що фахівці з безпеки, швидше за все, не мають повного бачення моделі і способів функціонування конкретного об’єкта чи інформаційної системи такими, як адміністратор системи чи її активні користувачі.

Проведення інвентаризації рекомендується у такий спосіб. На першому етапі уповноважений фахівець служби інформаційної безпеки складає, за необхідності консультуючись з підрозділом інформаційних технологій, загальний перелік об’єктів/систем і пов’язаних з ними суб’єктів. Потім у цей перелік вносяться первинні характеристики об’єктів з метою їх описання саме з погляду інформаційної безпеки. На наступному етапі починається робота з адміністраторами (якщо такі є), користувачами і/чи бізнес-менеджерами об’єктів і систем. У рамках заданих фахівцем з безпеки характеристик вони роблять уточнення і доповнення описів об’єктів для того, щоб описати де-факто сформовані процедури і способи роботи із системою для виявлення надалі можливих уразливостей і загроз.

Проведення такого роду обстеження звичайно здійснюється за такою схемою:

1. Загальне знайомство із системою, візуальний огляд фізичного розміщення окремих компонентів чи складових.

2. Попередня бесіда з адміністратором/менеджером про загальний напрямок функціонування системи.

3. Ознайомлення з документацією про інформаційну систему.

4. Складання опису системи з погляду інформаційної безпеки.

5. Уточнення опису на основі роботи з документацією та із запрошеними фахівцями.

Для якісної подальшої роботи дані характеристики слід добре структурувати, наприклад, за такими параметрами:

- апаратне забезпечення інформаційної системи (комп’ютери, модеми, маршрутизатори, мости, повторювачі, принтери та інші периферійні пристрої);

- мережне забезпечення (мережні кабелі, розетки, конектори тощо);

- системне програмне забезпечення (операційна система, інші засоби створення середовища роботи, наприклад, програми резервного копіювання чи СКБД);

- прикладне програмне забезпечення, тобто програми, що виконують, власне, функції виробничі, допоміжні і супутні виробництву;

- організаційне забезпечення, тобто користувачі чи суб’єкти системи і їхні функціональні обов’язки у системі;

- нормативне забезпечення – правила й інструкції роботи із системою, можливо, окремі витяги з них;

- дані – інформація, що використовується у роботі системи в її виробничому значенні.

Залежно від конкретної організації, опис може бути доповнено іншими розділами. Наприклад, можна включати функціональне призначення окремих об’єктів системи.

Крім того, необхідно визначитися з тим, що вважати окремим об’єктом системи, який підлягає захисту? Можна, наприклад, вважати всю систему єдиним об’єктом, а можна кожну ланку розглядати окремо.