Принципы и направления инвентаризации информационных систем.
Инвентаризация - составление списка систем и объектов, подлежащих защите, а также перечня субъектов, ответственных за эксплуатацию этих систем и объектов.
Плановая инвентаризация (обычно раз в год, ноябрь-декабрь)
Неплановая (в случаях реорганизации или в случаях серьёзных происшествий, повреждения оборудования)
Основные этапы: (схема инвентаризации)
- Общее знакомство с системой, визуальный осмотр расположения объектов, определение компонентов и составляющих ОС.
- Проведение опросов специалистов об общем направлении функционирования ИС
- Изучение имеющейся документации на ИС.
- Подробное описание системы с точки зрения ИБ.
- Уточнение описания системы на основе данных, соответствующих документаций и опросов специалистов
Модель структурирования объекта: (структура)
· Аппаратное обеспечение. (АРМ, сетевое оборудование (активное и пассивное), кабели, телефоны, факсы, средства визуализации)
· Системное ПО.
· Прикладное ПО.
· Организационное обеспечение (все субъекты-пользователи и их функции).
· Нормативное обеспечение (инструкции, руководящие указания, профиль защиты)
· Данные.
Необходимо подготовить приказ на инвентаризацию с указанием сроков, объектов и т.д.
Полномочия должны быть прописаны в приказе
Топ Менеджер -> управление -> отдел службы -> сектора -> АРМы
Методика проведение инвентаризации:
- Силами одного подразделения
- С привлечением должностных лиц
Принципы:
- Единообразный подход.
- Объективность (критический анализ).
- Многоуровневый подход (разделение на приоритетные уровни).
- Сопряжение (откуда поступает информация, куда она уходит).
Контролируют инвентаризацию - внешний аудитор, специализирующиеся фирмы, руководство.
Направления инвентаризации информационных систем:
- Физическое направление - конкретное местоположение всех элементов ИС, схемы
- Технологическое - описание имеющихся аппаратных средств, ПО, алгоритмов работы оборудования, принципиальных схем сети.
- Функциональное - описание задач каждого из элементов системы (сервер, АРМ).
- Организационное - основные задачи, обязанности, выдержки из инструкций пользователей и администраторов.
- Нормативное - документы, на основе которых функционирует система.
- Информационное - описываются все имеющиеся массивы данных, организация доступа к ним, владельцы.
Дата добавления: 2015-07-24; просмотров: 1581;