Информационная безопасность » Примерный объем собираемой информации http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Примерный объем собираемой информации http://www.microfinance.uz/primernyj-obem-sobiraemoj-informacii/ http://www.microfinance.uz/primernyj-obem-sobiraemoj-informacii/#comments Thu, 28 Aug 2008 13:22:27 +0000 admin http://www.microfinance.uz/2008/08/28/primernyj-obem-sobiraemoj-informacii/ Наряду с проведением общей инвентаризации, имеющей целью определить объекты защиты, из подобного обследования можно получить и другие данные, являющиеся для самбй инвентаризации вспомогательными, но имеющие самостоятельную ценность. Это, например, список программного обеспечения (системного и прикладного), используемого на предприятии. Имея подобный список, при условии поддержания его в актуальном состоянии, можно отслеживать автоматизированными или иными способами появление в информационном пространстве предприятия постороннего программного обеспечения, установленного без санкции уполномоченных служб. Ближайший пример — компьютерные игры.
Можно просто составить список программного обеспечения с рядом ключевых характеристик (производитель, номер версии, дата установки, назначение, если есть возможность — контрольная сумма файлов), но лучше сразу произвести его классификацию, например, по следующим параметрам:
□ категория применения (общее, специализированное, индивидуальное);
□ функциональное назначение (производственная или иного рода задача, для которой используется данное программное обеспечение);
□ принадлежность пользователю (кто управляет использованием данного программного обеспечения, т. е. его администратор);
□ размещение компонент программного обеспечения (рабочие станции, серверы);
□ способы доступа (локальный, удаленный).                                                  Дополнительно в порядке инвентаризации стоит предусмотреть формы документов, которые будут использованы, а именно:
□ опросные листы или анкеты — источник получения данных для анализа;
□ промежуточные документы — средства обработки данных;
□ отчеты — результат проведенного обследования.
При работе по направлениям инвентаризации информационной системы необходимо будет зафиксировать ряд деталей, которые могут показаться излишними на данном этапе, но в дальнейшем будут весьма полезными.
По физическому размещению:
П здание, помещение;
□ номера телефонов помещений;
□ механизмы контроля доступа в помещение и другие защитные механизмы;
□ номера или адреса сетевых точек;
□ ответственный за помещение, если таковой существует. По аппаратному обеспечению:
□ физическое размещение в помещении;
□ наименование фирмы-производителя;
□ серийный номер;
□ функциональное назначение в системе;
□ встроенные механизмы защиты;
□ адреса портов и прочие сетевые адреса (MAC, IP и др.);
□ ответственный за данную единицу оборудования, если есть. По программному обеспечению (кроме уже указанных параметров):
□ производитель;
□ номер версии;
□ встроенные механизмы защиты;
□ статистика сбоев, если есть.
По функциональному назначению (данный раздел очень зависит от особенностей производства, но скорее всего следующие пункты должны присутствовать):
□ какие подразделения являются потребителем данных системы;
□ кто занимается технической поддержкой системы;
□ роль системы в общем производственном цикле.

По организационному обеспечению:
□ функциональные и/или должностные обязанности персонала;
□ профессиональный уровень подготовки персонала (образование, дополнительное обучение);
□ существующие процедуры по обеспечению безопасности;
□ временной график выполнения работ в системе;
□ логические схемы движения информации между пользователями. По нормативному обеспечению:
□ список имеющихся документов — правил, инструкций и т. п.;
□ отдельно — документы по безопасности;
□ даты последнего внесения изменений в документы;
□ сертификаты на аппаратное и/или программное обеспечение.
По данным (этот раздел также очень зависит от особенностей производства, но следующие пункты обязательны вне зависимости от его специфики):
□ откуда поступают данные для системы;
□ куда поступают данные от системы;
□ какая работа с данными происходит в системе;
□ формат хранения данных в системе;
□ вид данных — первичные таблицы данных, транзакции, отчеты и т. п.;
□ логические схемы движения информации между объектами.
Все собранные данные, кроме того что послужат основой для модели управления рисками, еще и помогут (при поддержании их в актуальном состоянии) в дальнейшей работе, например при предварительной подготовке проведения расследования в случаях нарушения информационной безопасности, о которых будет рассказано в следующих главах.
Последний совет — необходимо продумать всю последовательность действий и необходимых данных от начала до конца, с тем чтобы не пришлось на этапе собственно оценки рисков (которому будет посвящена часть IV) спохватываться и возвращаться к началу — инвентаризации — за пропущенными сведениями.

]]> http://www.microfinance.uz/primernyj-obem-sobiraemoj-informacii/feed/ 0