Інвентаризації

Перед початком інвентаризації необхідно розробити, погодити і затвердити порядок і методику проведення обстеження. Цей документ (чи документи) повинен містити цілі та принципи проведення даного заходу для того, щоб вони були прозорі для тих, хто буде цим займатися. Можливо, необхідно затвердити в керівника підприємства повноваження служби чи фахівця, що будуть проводити інвентаризацію, а також перелік учасників –запрошених фахівців для надання процесу необхідного статусу значимості.

У методичній частині документа повинно бути описано що потрібно зробити запрошеним фахівцям, щоб виконати свою роботу. Доцільно укомплектувати документ додатком у вигляді анкети, структурованої таким чином, щоб максимально полегшити її заповнення – вибір із уже наявних варіантів, числові оцінки тощо.

Проводячи інвентаризацію, доцільно дотримуватися таких принципів:

Принцип однакового підходу має на меті розгляд будь-якого об’єкта/системи з погляду технології створення, оброблення, зберігання, відправлення чи приймання інформації.

Принцип об’єктивності означає підхід з позицій оцінки інформаційної безпеки при критичному аналізі системи/об’єкта.

Принцип багаторівневого підходу означає розгляд об’єкта/системи шляхом поділу його на складові частини (апаратне забезпечення, програмне забезпечення тощо).

Принцип сполучення означає, що необхідно вказати, із яких систем інформація надходить у дану систему і в які системи інформація передається із неї.

Напрямки проведення інвентаризації такі:

Фізичний – описує географічне розташування і розміщення системи чи окремих компонентів з урахуванням опису підсистем розмежування доступу.

Технологічний – описує використовувані технічні засоби (апаратне і програмне забезпечення, алгоритми, схеми тощо).

Функціональний – описує місце системи у виробничому процесі і виконувані задачі.

Організаційний – описує персонал, задіяний у роботі системи, і його обов’язки.

Нормативний – описує наявні документи, що регламентують роботу системи.

Інформаційний – описує виробничий чи бізнес-характер інформації (даних), з якою працює система.