![]() |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
|
Поряд із проведенням загальної інвентаризації, що має на меті визначення об’єктів захисту, з подібного обстеження можна отримати й інші дані, які є для самої інвентаризації допоміжними, але можуть мати самостійну цінність. Це, наприклад, перелік програмного забезпечення (системного і прикладного), використовуваного на підприємстві. Маючи подібний перелік, за умови підтримки його актуальним, можна відслідковувати автоматизованими чи іншими способами появу в інформаційному просторі підприємства стороннього програмного забезпечення, установленого без санкції уповноважених служб (наприклад, комп’ютерні ігри).
Можна просто скласти перелік програмного забезпечення з переліком ключових характеристик (виробник, номер версії, дата установки, призначення, якщо є можливість – контрольна сума файлів), але краще відразу зробити його класифікацію, наприклад, за такими параметрами:
- категорія застосування (загальне, спеціалізоване, індивідуальне);
- функціональне призначення (виробнича чи іншого роду задача, для якої використовується дане програмне забезпечення);
- належність користувачу (хто керує використанням даного програмного забезпечення, тобто його адміністратор);
- розміщення компонентів програмного забезпечення (робочі станції, сервери);
- способи доступу (локальний, віддалений).
Додатково в порядку інвентаризації варто передбачити форми документів, що будуть використані, а саме:
- опитувальні аркуші чи анкети – джерело одержання даних для аналізу;
- проміжні документи – засоби оброблення даних;
- звіти – результат проведеного обстеження.
Працюючи за напрямками інвентаризації інформаційної систем необхідно зафіксувати ряд деталей, що можуть показатися і зайвими на даному етапі, але надалі будуть дуже корисними.
Фізичне розташування:
- будинок, приміщення;
- номера телефонів приміщень;
- механізми контролю доступу в приміщення й інші захисні механізми;
- номери чи адреси мережних вузлів;
- відповідальний за приміщення, якщо такий існує.
Апаратне забезпечення:
- фізичне розташування в приміщенні;
- найменування фірми-виробника;
- серійний номер;
- функціональне призначення в системі;
- вмонтовані механізми захисту;
- адреси портів та інші мережні адреси (MAC, ІP тощо);
- відповідальний за дану одиницю устаткування, якщо є.
Програмне забезпечення (крім уже зазначених параметрів):
- виробник;
- номер версії;
- вмонтовані механізми захисту;
- статистика збоїв, якщо є.
Функціональне призначення (даний розділ дуже залежить від особливостей виробництва, але такі пункти повинні бути наявними):
- які підрозділи є споживачами даної системи;
- хто займається технічною підтримкою системи;
- роль системи в загальному виробничому циклі.
Організаційне забезпечення:
- функціональні і/чи посадові обов’язки персоналу;
- професійний рівень підготовки персоналу (освіта, додаткове навчання);
- існуючі процедури щодо забезпечення безпеки;
- часовий графік виконання робіт у системі;
- логічні схеми руху інформації між користувачами.
Нормативне забезпечення:
- перелік наявних документів – правил, інструкцій тощо;
- окремо – документи з безпеки;
- дати останнього внесення змін у документи;
- сертифікати на апаратне і/чи програмне забезпечення.
Дані (цей розділ також дуже залежить від особливостей виробництва, але такі пункти обов’язкові незалежно від його специфіки):
- звідки надходять дані у систему;
- куди надходять дані із системи;
- яка робота з даними відбувається в системі;
- формат зберігання даних у системі;
- вид даних – первинні таблиці даних, трансакції, звіти тощо;
- логічні схеми руху інформації між об’єктами.
Усі зібрані дані, крім того що служать основою для моделі керування ризиками, ще і допоможуть у подальшій роботі, наприклад, при попередній підготовці відомостей розслідування у випадках порушення інформаційної безпеки.
Дата публикования: 2015-01-24; Прочитано: 276 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!