Інформація, що збирається

Поряд із проведенням загальної інвентаризації, що має на меті визначення об’єктів захисту, з подібного обстеження можна отримати й інші дані, які є для самої інвентаризації допоміжними, але можуть мати самостійну цінність. Це, наприклад, перелік програмного забезпечення (системного і прикладного), використовуваного на підприємстві. Маючи подібний перелік, за умови підтримки його актуальним, можна відслідковувати автоматизованими чи іншими способами появу в інформаційному просторі підприємства стороннього програмного забезпечення, установленого без санкції уповноважених служб (наприклад, комп’ютерні ігри).

Можна просто скласти перелік програмного забезпечення з переліком ключових характеристик (виробник, номер версії, дата установки, призначення, якщо є можливість – контрольна сума файлів), але краще відразу зробити його класифікацію, наприклад, за такими параметрами:

- категорія застосування (загальне, спеціалізоване, індивідуальне);

- функціональне призначення (виробнича чи іншого роду задача, для якої використовується дане програмне забезпечення);

- належність користувачу (хто керує використанням даного програмного забезпечення, тобто його адміністратор);

- розміщення компонентів програмного забезпечення (робочі станції, сервери);

- способи доступу (локальний, віддалений).

Додатково в порядку інвентаризації варто передбачити форми документів, що будуть використані, а саме:

- опитувальні аркуші чи анкети – джерело одержання даних для аналізу;

- проміжні документи – засоби оброблення даних;

- звіти – результат проведеного обстеження.

Працюючи за напрямками інвентаризації інформаційної систем необхідно зафіксувати ряд деталей, що можуть показатися і зайвими на даному етапі, але надалі будуть дуже корисними.

Фізичне розташування:

- будинок, приміщення;

- номера телефонів приміщень;

- механізми контролю доступу в приміщення й інші захисні механізми;

- номери чи адреси мережних вузлів;

- відповідальний за приміщення, якщо такий існує.

Апаратне забезпечення:

- фізичне розташування в приміщенні;

- найменування фірми-виробника;

- серійний номер;

- функціональне призначення в системі;

- вмонтовані механізми захисту;

- адреси портів та інші мережні адреси (MAC, ІP тощо);

- відповідальний за дану одиницю устаткування, якщо є.

Програмне забезпечення (крім уже зазначених параметрів):

- виробник;

- номер версії;

- вмонтовані механізми захисту;

- статистика збоїв, якщо є.

Функціональне призначення (даний розділ дуже залежить від особливостей виробництва, але такі пункти повинні бути наявними):

- які підрозділи є споживачами даної системи;

- хто займається технічною підтримкою системи;

- роль системи в загальному виробничому циклі.

Організаційне забезпечення:

- функціональні і/чи посадові обов’язки персоналу;

- професійний рівень підготовки персоналу (освіта, додаткове навчання);

- існуючі процедури щодо забезпечення безпеки;

- часовий графік виконання робіт у системі;

- логічні схеми руху інформації між користувачами.

Нормативне забезпечення:

- перелік наявних документів – правил, інструкцій тощо;

- окремо – документи з безпеки;

- дати останнього внесення змін у документи;

- сертифікати на апаратне і/чи програмне забезпечення.

Дані (цей розділ також дуже залежить від особливостей виробництва, але такі пункти обов’язкові незалежно від його специфіки):

- звідки надходять дані у систему;

- куди надходять дані із системи;

- яка робота з даними відбувається в системі;

- формат зберігання даних у системі;

- вид даних – первинні таблиці даних, трансакції, звіти тощо;

- логічні схеми руху інформації між об’єктами.

Усі зібрані дані, крім того що служать основою для моделі керування ризиками, ще і допоможуть у подальшій роботі, наприклад, при попередній підготовці відомостей розслідування у випадках порушення інформаційної безпеки.