Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Загальний підхід до інвентаризації інформаційних
Систем
Інвентаризація – це складання переліку об’єктів, що підлягатимуть захисту і суб’єктів, які задіяні у даному інформаційному просторі і будуть впливати на інформаційний захист системи. При цьому необхідно не просто скласти перелік, а вказати ряд особливостей об’єктів і суб’єктів, тобто коротко описати їх з погляду інформаційної безпеки. Чим ретельніше зробити це на початковому етапі, тим легше буде далі робити уточнення і будувати остаточну модель захисту.
Дана робота, зазвичай, ініціюється службою інформаційної безпеки, але виконується з залученням фахівців інших служб.
Це відбувається тому, що фахівці з безпеки, швидше за все, не мають повного бачення моделі і способів функціонування конкретного об’єкта чи інформаційної системи такими, як адміністратор системи чи її активні користувачі.
Проведення інвентаризації рекомендується у такий спосіб. На першому етапі уповноважений фахівець служби інформаційної безпеки складає, за необхідності консультуючись з підрозділом інформаційних технологій, загальний перелік об’єктів/систем і пов’язаних з ними суб’єктів. Потім у цей перелік вносяться первинні характеристики об’єктів з метою їх описання саме з погляду інформаційної безпеки. На наступному етапі починається робота з адміністраторами (якщо такі є), користувачами і/чи бізнес-менеджерами об’єктів і систем. У рамках заданих фахівцем з безпеки характеристик вони роблять уточнення і доповнення описів об’єктів для того, щоб описати де-факто сформовані процедури і способи роботи із системою для виявлення надалі можливих уразливостей і загроз.
Проведення такого роду обстеження звичайно здійснюється за такою схемою:
1. Загальне знайомство із системою, візуальний огляд фізичного розміщення окремих компонентів чи складових.
2. Попередня бесіда з адміністратором/менеджером про загальний напрямок функціонування системи.
3. Ознайомлення з документацією про інформаційну систему.
4. Складання опису системи з погляду інформаційної безпеки.
5. Уточнення опису на основі роботи з документацією та із запрошеними фахівцями.
Для якісної подальшої роботи дані характеристики слід добре структурувати, наприклад, за такими параметрами:
- апаратне забезпечення інформаційної системи (комп’ютери, модеми, маршрутизатори, мости, повторювачі, принтери та інші периферійні пристрої);
- мережне забезпечення (мережні кабелі, розетки, конектори тощо);
- системне програмне забезпечення (операційна система, інші засоби створення середовища роботи, наприклад, програми резервного копіювання чи СКБД);
- прикладне програмне забезпечення, тобто програми, що виконують, власне, функції виробничі, допоміжні і супутні виробництву;
- організаційне забезпечення, тобто користувачі чи суб’єкти системи і їхні функціональні обов’язки у системі;
- нормативне забезпечення – правила й інструкції роботи із системою, можливо, окремі витяги з них;
- дані – інформація, що використовується у роботі системи в її виробничому значенні.
Залежно від конкретної організації, опис може бути доповнено іншими розділами. Наприклад, можна включати функціональне призначення окремих об’єктів системи.
Крім того, необхідно визначитися з тим, що вважати окремим об’єктом системи, який підлягає захисту? Можна, наприклад, вважати всю систему єдиним об’єктом, а можна кожну ланку розглядати окремо.
Дата публикования: 2015-01-24; Прочитано: 470 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!