Информационная безопасность » Инвентаризация информационных систем

Место инвентаризации в жизненном цикле предприятия

admin — Thu, 28 Aug 2008 13:24:09 +0000

Для того чтобы поддерживать данные по инвентаризации в актуальном состоянии, необходимо выполнение ряда требований, а именно:
□ служба информационной безопасности в обязательном порядке должна быть вовлечена в процесс проектирования или приобретения новых систем, реконфигурации существующих, перемещений систем в информационном пространстве, как физически, так и логически, и во все другие процессы, которые производят изменения в существующем информационном пространстве, причем на самой ранней стадии;
□ сведения о приеме на работу новых сотрудников, перемещении по службе существующих, а также об отпусках, командировках, болезнях и увольнения сотрудников предприятия должны регулярно поступать в службу информационной безопасности.

Контроль инвентаризации

admin — Thu, 28 Aug 2008 13:23:45 +0000

Данный раздел будет интересен трем категориям специалистов:
□ аудиторам, проводящим проверку качества работы службы информационной безопасности предприятия, например, для вынесения решения об общем уровне надежности организации; □ руководителю предприятия, проверяющему качество работы своей или, особенно, нанятой со стороны команды по созданию или совершенствованию информационной защиты;
□ привлеченной команде по созданию или совершенствованию информационной защиты для того, чтобы понять, какая работа и насколько качественно уже была проделана.
В любом из перечисленных случаев необходимо убедиться, что работа по инвентаризации информационных систем была произведена качественно. Правда, для того чтобы тщательно проверить выполненную работу, специалисту придется ознакомиться с предыдущим разделом “Причины и направления”.
Предложим краткий конспект проведения такой проверки.
1. Для анализа результатов следует получить отчеты по выполненной инвентаризации, структурированные по информационным системам. Отсутствие таких отчетов не обязательно означает, что подобной работы не проводилось. Возможно, она проводилась без соответствующего оформления, что бывает характерно для небольших организаций, где все сотрудники знают друг друга и предпочитают неформальное общение по служебным вопросам. Другой возможный вариант — работа по построению информационной защиты проводилась только силами службы информационной безопасности, без привлечения специалистов других подразделений, и потому документально оформлены только окончательные результаты (стандарты безопасности, процедуры и другие документы), без фиксации промежуточных результатов.
Тем не менее это все же результат скорее отрицательного характера, так как в целом он затрудняет работу службы информационной безопасности. Например, при добавлении новой системы в общее информационное пространство для качественного обеспечения ее безопасности и безопасности информационного пространства в целом, часть работы по инвентаризации придется провести заново. Особенно трудно придется в точках сопряжения новой системы с уже существующими. Если же в распоряжении службы безопасности имеются актуальные данные по инвентаризованным системам, а также соответствующие порядок и методика, интеграция новой системы будет произведена гораздо быстрее и более гладко.
6. Если результаты инвентаризации присутствуют, необходимо ознакомиться с порядком и методикой ее проведения, а также анкетами и опросными листами, если таковые имеются. Эти документы прояснят, насколько можно доверять результатам инвентаризации в том смысле, что они не взяты из головы специалистов службы безопасности, проводивших обследование.
Отсутствие этих документов еще не показатель недобросовестности работы, а вот их наличие — скорее признак качественного проведения инвентаризации. Если же документов нет, то, возможно, способы проведения обследования были согласованы устно. В этом случае тем не менее следует попросить уполномоченного специалиста оформить принципы проведения инвентаризации письменно постфактум. Так будет легче их оценить.
В принципе для профессионала ознакомление с этими двумя видами документов по инвентаризации (по способам проведения и по результатам) будет вполне достаточно для того, чтобы сделать вывод о качестве проведения мероприятия. Однако для окончательной убежденности можно выбрать более коварный, правда, и более трудоемкий способ.
При необходимости, консультируясь с соответствующими специалистами, следует выбрать одну из информационных систем предприятия, не самую главную, а второго-третьего уровня важности. Далее, на выбор — либо ознакомиться с документацией по системе (руководство по установке или конфигурации, руководство администратора или продвинутого пользователя и т. д.), либо провести беседу с администратором и/или подготовленным пользователем системы. Целью исследования является выявление ключевой особенности работы системы, возможно, нестандартной настройки, используемого протокола или пользовательской процедуры.
Теперь следует обратиться к письменным результатам инвентаризации (стандартным или заранее подготовленным по запросу соответствующим специалистом) и оценить, как найденная характеристика или особенность отражена в представленных документах. Примерную категорию оценок можно распределить следующим образом.
• В результирующих документах исследуемая система не упомянута вообще — очень плохо.
• Система описана, однако выявленная характеристика в ней не отражена, уполномоченный специалист ничего не может пояснить по этому поводу — плохо.
• Система описана, выявленная характеристика в ней не отражена, однако уполномоченный специалист без дополнительных усилий рассказывает по поводу особенностей выявленной характеристики — скорее всего формальные результаты инвентаризации просто устарели, либо оформлены не полностью.
• Система и соответствующая характеристика описаны достаточно подробно, чтобы служить основой для дальнейших оценок — инвентаризация проведена качественно.

Примерный объем собираемой информации

admin — Thu, 28 Aug 2008 13:22:27 +0000

Наряду с проведением общей инвентаризации, имеющей целью определить объекты защиты, из подобного обследования можно получить и другие данные, являющиеся для самбй инвентаризации вспомогательными, но имеющие самостоятельную ценность. Это, например, список программного обеспечения (системного и прикладного), используемого на предприятии. Имея подобный список, при условии поддержания его в актуальном состоянии, можно отслеживать автоматизированными или иными способами появление в информационном пространстве предприятия постороннего программного обеспечения, установленного без санкции уполномоченных служб. Ближайший пример — компьютерные игры.
Можно просто составить список программного обеспечения с рядом ключевых характеристик (производитель, номер версии, дата установки, назначение, если есть возможность — контрольная сумма файлов), но лучше сразу произвести его классификацию, например, по следующим параметрам:
□ категория применения (общее, специализированное, индивидуальное);
□ функциональное назначение (производственная или иного рода задача, для которой используется данное программное обеспечение);
□ принадлежность пользователю (кто управляет использованием данного программного обеспечения, т. е. его администратор);
□ размещение компонент программного обеспечения (рабочие станции, серверы);
□ способы доступа (локальный, удаленный). Дополнительно в порядке инвентаризации стоит предусмотреть формы документов, которые будут использованы, а именно:
□ опросные листы или анкеты — источник получения данных для анализа;
□ промежуточные документы — средства обработки данных;
□ отчеты — результат проведенного обследования.
При работе по направлениям инвентаризации информационной системы необходимо будет зафиксировать ряд деталей, которые могут показаться излишними на данном этапе, но в дальнейшем будут весьма полезными.
По физическому размещению:
П здание, помещение;
□ номера телефонов помещений;
□ механизмы контроля доступа в помещение и другие защитные механизмы;
□ номера или адреса сетевых точек;
□ ответственный за помещение, если таковой существует. По аппаратному обеспечению:
□ физическое размещение в помещении;
□ наименование фирмы-производителя;
□ серийный номер;
□ функциональное назначение в системе;
□ встроенные механизмы защиты;
□ адреса портов и прочие сетевые адреса (MAC, IP и др.);
□ ответственный за данную единицу оборудования, если есть. По программному обеспечению (кроме уже указанных параметров):
□ производитель;
□ номер версии;
□ встроенные механизмы защиты;
□ статистика сбоев, если есть.
По функциональному назначению (данный раздел очень зависит от особенностей производства, но скорее всего следующие пункты должны присутствовать):
□ какие подразделения являются потребителем данных системы;
□ кто занимается технической поддержкой системы;
□ роль системы в общем производственном цикле.

По организационному обеспечению:
□ функциональные и/или должностные обязанности персонала;
□ профессиональный уровень подготовки персонала (образование, дополнительное обучение);
□ существующие процедуры по обеспечению безопасности;
□ временной график выполнения работ в системе;
□ логические схемы движения информации между пользователями. По нормативному обеспечению:
□ список имеющихся документов — правил, инструкций и т. п.;
□ отдельно — документы по безопасности;
□ даты последнего внесения изменений в документы;
□ сертификаты на аппаратное и/или программное обеспечение.
По данным (этот раздел также очень зависит от особенностей производства, но следующие пункты обязательны вне зависимости от его специфики):
□ откуда поступают данные для системы;
□ куда поступают данные от системы;
□ какая работа с данными происходит в системе;
□ формат хранения данных в системе;
□ вид данных — первичные таблицы данных, транзакции, отчеты и т. п.;
□ логические схемы движения информации между объектами.
Все собранные данные, кроме того что послужат основой для модели управления рисками, еще и помогут (при поддержании их в актуальном состоянии) в дальнейшей работе, например при предварительной подготовке проведения расследования в случаях нарушения информационной безопасности, о которых будет рассказано в следующих главах.
Последний совет — необходимо продумать всю последовательность действий и необходимых данных от начала до конца, с тем чтобы не пришлось на этапе собственно оценки рисков (которому будет посвящена часть IV) спохватываться и возвращаться к началу — инвентаризации — за пропущенными сведениями.

Принципы и направления

admin — Thu, 28 Aug 2008 13:21:02 +0000

Ниже приведены несколько выдержек из подобного документа, которые могут помочь соответствующему специалисту в создании своего варианта.
Принципы проведения инвентаризации.
□ Принцип единообразного подхода подразумевает рассмотрение любого объекта/системы с точки зрения технологии создания, обработки, хранения, отправки или приема информации.
□ Принцип объективности означает подход с позиций оценки информационной безопасности при критическом анализе системы/объекта.
□ Принцип многоуровневого подхода означает рассмотрение объекта/системы путем разделения его на составные части (аппаратное обеспечение, программное обеспечение и т. п.).
□ Принцип сопряжения означает, что необходимо указать, от каких систем информация поступает в данную, и в какие системы информация направляется от данной.

Направления проведения инвентаризации.
□ Физическое — описывает географическое расположение и размещение системы или отдельных компонент с учетом описания подсистем разграничения доступа.
□ Технологическое — описывает используемые технические средства (аппаратное и программное обеспечение, алгоритмы и схемы и т. п.).
□ Функциональное — описывает место системы в производственном процессе и выполняемые задачи.
□ Организационное — описывает персонал, задействованный в работе системы, и его обязанности.
□ Нормативное — описывает имеющиеся документы, регламентирующие работу системы.
□ Информационное (в смысле данных) — описывает производственный или бизнес-характер информации, с которой работает система.

С чего начать: нормативные документы и круг респондентов

admin — Thu, 28 Aug 2008 13:20:30 +0000

Если вы специалист по информационной безопасности, который серьезно берется за проведение инвентаризации информационных активов предприятия, то и подготовка к данному мероприятию должна быть соответственно серьезной.
При чересчур сильной ориентации только на себя и свое подразделение специалист по безопасности рискует получить качественный и легко используемый в работе отчет, который тем не менее может не содержать очевидных для пользователей систем уязвимостей и угроз и быть, таким образом, неполным. Пример — описана система, защита которой базируется на контроле доступа с распределением ролей и авторизацией по паролю. Система использования паролей, сертифицированная по уровню XYZ — максимально надежному. Общий вывод — система достаточно надежна. И вдруг… Оказывается, пароль пользователь системы выбирает не сам — ему назначает его администратор и при этом еще сообщает этот пароль руководителю подразделения данного пользователя. Достаточно ли надежна такая система? Ответ, конечно, очень зависит от многих факторов, но в общем случае весьма близок к отрицательному. Если просто перечислить список информационных систем и отдать для насыщения его конкретикой конечным менеджерам и пользователям, всегда есть риск быть заваленным какой угодно информацией, только не той, которая нужна. Пример — указана система хранения ключевых отчетов предприятия. В качестве описания можно получить информацию обо всех видах имеющихся отчетов, экранных формах, скорости доступа и пр., но обнаружить во всем этом схему работы подсистемы безопасности очень затруднительно. Причем это в лучшем случае, если респонденты добросовестно отнесутся к своей работе. А ведь можно получить и формальные отписки.
Таким образом, перед началом инвентаризации необходимо разработать, согласовать и утвердить порядок и методику проведения обследования. Этот документ (или документы) должен содержать цели и принципы проведения данного мероприятия, с тем чтобы они были прозрачны для тех, кто будет вовлечен в процесс. Возможно, необходимо утвердить у руководителя предприятия полномочия службы или специалиста, производящего инвентаризацию, а также список участников — привлеченных специалистов, для придания процессу необходимого статуса значимости.
В методической части документа должно быть описано, что нужно сделать привлеченным специалистам, чтобы выполнить свою работу. Целесообразно укомплектовать документ в качестве приложения анкетой, которую структурировать таким образом, чтобы максимально облегчить ее заполнение — выбор из уже имеющихся вариантов, числовые оценки и т. д.

Общий характер инвентаризации информационных систем

admin — Thu, 28 Aug 2008 13:19:46 +0000

Инвентаризация — в данном случае это составление списка систем, т. е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы. При этом необходимо не просто составить список, а указать ряд особенностей той или иной системы, т. е. кратко описать ее с точки зрения информационной безопасности. Чем подробнее сделать это на начальном этапе, тем легче будет дальше производить уточнения и строить окончательную модель защиты.
Данная работа обычно инициируется службой информационной безопасности, но выполняется обычно с привлечением специалистов других служб.

Это происходит потому, что специалисты по безопасности скорее всего не обладают полным видением модели и способов функционирования конкретного объекта или информационной системы, таким, каким обладает администратор системы или ее активные пользователи.
Способы проведения такой инвентаризации могут быть различными, но мы бы рекомендовали следующий. На первом этапе уполномоченный специалист службы информационной безопасности составляет, при необходимости консультируясь с подразделением информационных технологий, общий список объектов/систем и связанных с ними субъектов. Затем в этот список вносятся первичные характеристики объектов с целью описать их именно с точки зрения информационной безопасности. На следующем этапе начинается работа с администраторами (если таковые есть), пользователями и/или бизнес-менеджерами объектов и систем. В рамках заданных специалистом по безопасности характеристик они производят уточнения и дополнения описаний объектов, с тем чтобы описать де-факто сложившиеся процедуры и способы работы с системой для выявления в дальнейшем возможных уяз-вимостей и угроз. Извлечение данных о субъектах специалист по безопасности может производить самостоятельно, опираясь на данные, полученные из описаний работы с объектами/системами, либо он может выделить его в отдельный раздел, ориентированный только на субъектов.
Проведение такого рода обследования обычно осуществляется по следующей схеме:
1. Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих.
2. Предварительная беседа с администратором/менеджером об общем направлении функционирования системы.
3. Ознакомление с документацией по информационной системе.
4. Составление описания системы с точки зрения информационной безопасности.
5. Уточнение описания на основе работы с документацией и с привлеченными специалистами.
Необходимо отметить, что для качественной дальнейшей работы данные характеристики следует хорошо структурировать, например, по следующим параметрам:
□ аппаратное обеспечение информационной системы (компьютеры, модемы, маршрутизаторы, мосты, повторители, принтеры и прочие периферийные устройства);
□ отдельно можно выделить сетевое обеспечение (сетевые кабели, разъемы, розетки, коннекторы и т. п.);
□ системное программное обеспечение (операционная система, другие средства создания среды работы, например, программы резервного копирования или СУБД); □ прикладное программное обеспечение, т. е. программы, выполняющие собственно функции производственные, вспомогательные и сопутствующие производству;
□ организационное обеспечение, т. е. пользователи или субъекты системы и их функциональные обязанности в системе;
□ нормативное обеспечение — правила и инструкции работы с системой, возможно, отдельные выдержки из них;
□ данные — информация, которая используется в работе системы в ее производственном значении.
В зависимости от конкретной организации, описание может быть дополнено другими разделами. Например, можно включать функциональное назначение отдельных объектов системы.
Кроме того, необходимо определиться с тем, что считать отдельным объектом системы, подлежащим защите? Отдельный компьютер? Отдельный логический модуль? Если взять в качестве примера систему с трехзвенной архитектурой (клиент—сервер приложений—сервер данных), то в зависимости от особенностей, классификация может быть различной. Можно посчитать всю систему единым объектом, а можно каждое звено рассматривать отдельно (получив три объекта).