Это происходит потому, что специалисты по безопасности скорее всего не обладают полным видением модели и способов функционирования конкретного объекта или информационной системы, таким, каким обладает администратор системы или ее активные пользователи.
Способы проведения такой инвентаризации могут быть различными, но мы бы рекомендовали следующий. На первом этапе уполномоченный специалист службы информационной безопасности составляет, при необходимости консультируясь с подразделением информационных технологий, общий список объектов/систем и связанных с ними субъектов. Затем в этот список вносятся первичные характеристики объектов с целью описать их именно с точки зрения информационной безопасности. На следующем этапе начинается работа с администраторами (если таковые есть), пользователями и/или бизнес-менеджерами объектов и систем. В рамках заданных специалистом по безопасности характеристик они производят уточнения и дополнения описаний объектов, с тем чтобы описать де-факто сложившиеся процедуры и способы работы с системой для выявления в дальнейшем возможных уяз-вимостей и угроз. Извлечение данных о субъектах специалист по безопасности может производить самостоятельно, опираясь на данные, полученные из описаний работы с объектами/системами, либо он может выделить его в отдельный раздел, ориентированный только на субъектов.
Проведение такого рода обследования обычно осуществляется по следующей схеме:
1. Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих.
2. Предварительная беседа с администратором/менеджером об общем направлении функционирования системы.
3. Ознакомление с документацией по информационной системе.
4. Составление описания системы с точки зрения информационной безопасности.
5. Уточнение описания на основе работы с документацией и с привлеченными специалистами.
Необходимо отметить, что для качественной дальнейшей работы данные характеристики следует хорошо структурировать, например, по следующим параметрам:
□ аппаратное обеспечение информационной системы (компьютеры, модемы, маршрутизаторы, мосты, повторители, принтеры и прочие периферийные устройства);
□ отдельно можно выделить сетевое обеспечение (сетевые кабели, разъемы, розетки, коннекторы и т. п.);
□ системное программное обеспечение (операционная система, другие средства создания среды работы, например, программы резервного копирования или СУБД);     □ прикладное программное обеспечение, т. е. программы, выполняющие собственно функции производственные, вспомогательные и сопутствующие производству;
□ организационное обеспечение, т. е. пользователи или субъекты системы и их функциональные обязанности в системе;
□ нормативное обеспечение — правила и инструкции работы с системой, возможно, отдельные выдержки из них;
□ данные — информация, которая используется в работе системы в ее производственном значении.
В зависимости от конкретной организации, описание может быть дополнено другими разделами. Например, можно включать функциональное назначение отдельных объектов системы.
Кроме того, необходимо определиться с тем, что считать отдельным объектом системы, подлежащим защите? Отдельный компьютер? Отдельный логический модуль? Если взять в качестве примера систему с трехзвенной архитектурой (клиент—сервер приложений—сервер данных), то в зависимости от особенностей, классификация может быть различной. Можно посчитать всю систему единым объектом, а можно каждое звено рассматривать отдельно (получив три объекта).