http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/sfera-oxvata-informacionnyx-sistem/ http://www.microfinance.uz/sfera-oxvata-informacionnyx-sistem/#comments Thu, 28 Aug 2008 13:10:05 +0000 admin http://www.microfinance.uz/2008/08/28/sfera-oxvata-informacionnyx-sistem/ Для полного контроля ситуации в информационном пространстве служба информационной безопасности должна иметь необходимые знания обо всех информационных системах, объектах и субъектах. Однако как быть в следующих ситуациях.
□ Данная конкретная информационная система для своего функционирования уже предусматривает разделение административных функций между двумя персонами, контролирующими друг друга.
□ Функции данной информационной системы, с одной стороны, достаточно специфичны и требуют серьезной подготовки для ее администрирования и/или контроля, а, с другой стороны, слишком незначительны в рамках предприятия для того, чтобы содержать (обучать) двух администраторов для ее контроля.
□ Информационная система имеет вид “черного ящика”: все работы по ее администрированию выполняются внешним провайдером, который не может допустить посторонних к этому процессу.
Если в третьей ситуации возможна организация соответствующего распределения ответственности в рамках контракта на поставку услуг, то с первыми двумя случаями дело обстоит сложнее. Возможно, придется назначить отдельного специалиста по безопасности данной информационной системы из имеющихся администраторов и подчинить его (полностью или частично) службе информационной безопасности или комитету, о котором шла речь выше. Возможно, придется выделить понятия “прикладной безопасности”, оставив ее в ведении службы, администрирующей данную систему, и “системной безопасности” (то есть безопасности взаимодействия данной системы с остальными), которую отдать общей службе информационной безопасности. Возможно, будет достаточно предоставить службе информационной безопасности доступ к упомянутым электронным регистрационным журналам, файлам конфигураций, учету пользователей и т. д.
Однако для всех трех ситуаций мы бы рекомендовали разработать процедуру отчета администраторов систем перед службой информационной безопасности. Детализацию и периодичность отчетов можно согласовывать дополнительно, в зависимости от конкретной системы, но службе безопасности следует иметь полную картину работы всех систем информационного пространства.
Другая проблема, приводящая иногда к выпадению отдельных аспектов из сферы деятельности службы информационной безопасности, — это представление о ней только как о компьютерной службе. Это допустимо, но тогда необходимо подумать о следующем.
□ Кто в организации курирует вопросы безопасности телефонной связи (сотовые телефоны, мини-АТС, факсимильную связь)? Безопасно ли уничтожение бумажных отчетов предприятия? Как защитищены источники электроэнергии и т. п.?
Если всем этим занимаются отдельные службы, то следует также продумать вопросы связи их со службой информационной безопасности. Если же есть необходимость передать контроль над ними в службу информационной безопасности, то следует добавить и необходимое число сотрудников, провести их соответствующее обучение.

]]> http://www.microfinance.uz/sfera-oxvata-informacionnyx-sistem/feed/ 0