Принципы и направления инвентаризации информационных систем.

Инвентаризация - составление списка систем и объектов, подлежащих защите, а также перечня субъектов, ответственных за эксплуатацию этих систем и объектов.

Плановая инвентаризация (обычно раз в год, ноябрь-декабрь)

Неплановая (в случаях реорганизации или в случаях серьёзных происшествий, повреждения оборудования)

Основные этапы: (схема инвентаризации)

1. Общее знакомство с системой, визуальный осмотр расположения объектов, определение компонентов и составляющих ОС.
2. Проведение опросов специалистов об общем направлении функционирования ИС
3. Изучение имеющейся документации на ИС.
4. Подробное описание системы с точки зрения ИБ.
5. Уточнение описания системы на основе данных, соответствующих документаций и опросов специалистов

Модель структурирования объекта: (структура)

· Аппаратное обеспечение. (АРМ, сетевое оборудование (активное и пассивное), кабели, телефоны, факсы, средства визуализации)

· Системное ПО.

· Прикладное ПО.

· Организационное обеспечение (все субъекты-пользователи и их функции).

· Нормативное обеспечение (инструкции, руководящие указания, профиль защиты)

· Данные.

Необходимо подготовить приказ на инвентаризацию с указанием сроков, объектов и т.д.

Полномочия должны быть прописаны в приказе

Топ Менеджер -> управление -> отдел службы -> сектора -> АРМы

Методика проведение инвентаризации:

- Силами одного подразделения

- С привлечением должностных лиц

Принципы:

• Единообразный подход.
• Объективность (критический анализ).
• Многоуровневый подход (разделение на приоритетные уровни).
• Сопряжение (откуда поступает информация, куда она уходит).

Контролируют инвентаризацию - внешний аудитор, специализирующиеся фирмы, руководство.

Направления инвентаризации информационных систем:

• Физическое направление - конкретное местоположение всех элементов ИС, схемы
• Технологическое - описание имеющихся аппаратных средств, ПО, алгоритмов работы оборудования, принципиальных схем сети.
• Функциональное - описание задач каждого из элементов системы (сервер, АРМ).
• Организационное - основные задачи, обязанности, выдержки из инструкций пользователей и администраторов.
• Нормативное - документы, на основе которых функционирует система.
• Информационное - описываются все имеющиеся массивы данных, организация доступа к ним, владельцы.