Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Глава6.doc
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
211.46 Кб
Скачать

6.3.2. Принципи і напрямки проведення інвентаризації

Перед початком інвентаризації необхідно розробити, погодити і затвердити порядок і методику проведення обстеження. Цей документ (чи документи) повинен містити цілі та принципи проведення даного заходу для того, щоб вони були прозорі для тих, хто буде цим займатися. Можливо, необхідно затвердити в керівника підприємства повноваження служби чи фахівця, що будуть проводити інвентаризацію, а також перелік учасників –запрошених фахівців для надання процесу необхідного статусу значимості.

У методичній частині документа повинно бути описано що потрібно зробити запрошеним фахівцям, щоб виконати свою роботу. Доцільно укомплектувати документ додатком у вигляді анкети, структурованої таким чином, щоб максимально полегшити її заповнення – вибір із уже наявних варіантів, числові оцінки тощо.

Проводячи інвентаризацію, доцільно дотримуватися таких принципів:

Принцип однакового підходу має на меті розгляд будь-якого об’єкта/системи з погляду технології створення, оброблення, зберігання, відправлення чи приймання інформації.

Принцип об’єктивності означає підхід з позицій оцінки інформаційної безпеки при критичному аналізі системи/об’єкта.

Принцип багаторівневого підходу означає розгляд об’єкта/системи шляхом поділу його на складові частини (апаратне забезпечення, програмне забезпечення тощо).

Принцип сполучення означає, що необхідно вказати, із яких систем інформація надходить у дану систему і в які системи інформація передається із неї.

Напрямки проведення інвентаризації такі:

Фізичний – описує географічне розташування і розміщення системи чи окремих компонентів з урахуванням опису підсистем розмежування доступу.

Технологічний – описує використовувані технічні засоби (апаратне і програмне забезпечення, алгоритми, схеми тощо).

Функціональний – описує місце системи у виробничому процесі і виконувані задачі.

Організаційний – описує персонал, задіяний у роботі системи, і його обов’язки.

Нормативний – описує наявні документи, що регламентують роботу системи.

Інформаційний – описує виробничий чи бізнес-характер інформації (даних), з якою працює система.

6.3.3. Інформація, що збирається

Поряд із проведенням загальної інвентаризації, що має на меті визначення об’єктів захисту, з подібного обстеження можна отримати й інші дані, які є для самої інвентаризації допоміжними, але можуть мати самостійну цінність. Це, наприклад, перелік програмного забезпечення (системного і прикладного), використовуваного на підприємстві. Маючи подібний перелік, за умови підтримки його актуальним, можна відслідковувати автоматизованими чи іншими способами появу в інформаційному просторі підприємства стороннього програмного забезпечення, установленого без санкції уповноважених служб (наприклад, комп’ютерні ігри).

Можна просто скласти перелік програмного забезпечення з переліком ключових характеристик (виробник, номер версії, дата установки, призначення, якщо є можливість – контрольна сума файлів), але краще відразу зробити його класифікацію, наприклад, за такими параметрами:

  • категорія застосування (загальне, спеціалізоване, індивідуальне);

  • функціональне призначення (виробнича чи іншого роду задача, для якої використовується дане програмне забезпечення);

  • належність користувачу (хто керує використанням даного програмного забезпечення, тобто його адміністратор);

  • розміщення компонентів програмного забезпечення (робочі станції, сервери);

  • способи доступу (локальний, віддалений).

Додатково в порядку інвентаризації варто передбачити форми документів, що будуть використані, а саме:

  • опитувальні аркуші чи анкети – джерело одержання даних для аналізу;

  • проміжні документи – засоби оброблення даних;

  • звіти – результат проведеного обстеження.

Працюючи за напрямками інвентаризації інформаційної систем необхідно зафіксувати ряд деталей, що можуть показатися і зайвими на даному етапі, але надалі будуть дуже корисними.

Фізичне розташування:

  • будинок, приміщення;

  • номера телефонів приміщень;

  • механізми контролю доступу в приміщення й інші захисні механізми;

  • номери чи адреси мережних вузлів;

  • відповідальний за приміщення, якщо такий існує.

Апаратне забезпечення:

  • фізичне розташування в приміщенні;

  • найменування фірми-виробника;

  • серійний номер;

  • функціональне призначення в системі;

  • вмонтовані механізми захисту;

  • адреси портів та інші мережні адреси (MAC, ІP тощо);

  • відповідальний за дану одиницю устаткування, якщо є.

Програмне забезпечення (крім уже зазначених параметрів):

  • виробник;

  • номер версії;

  • вмонтовані механізми захисту;

  • статистика збоїв, якщо є.

Функціональне призначення (даний розділ дуже залежить від особливостей виробництва, але такі пункти повинні бути наявними):

  • які підрозділи є споживачами даної системи;

  • хто займається технічною підтримкою системи;

  • роль системи в загальному виробничому циклі.

Організаційне забезпечення:

  • функціональні і/чи посадові обов’язки персоналу;

  • професійний рівень підготовки персоналу (освіта, додаткове навчання);

  • існуючі процедури щодо забезпечення безпеки;

  • часовий графік виконання робіт у системі;

  • логічні схеми руху інформації між користувачами.

Нормативне забезпечення:

  • перелік наявних документів – правил, інструкцій тощо;

  • окремо – документи з безпеки;

  • дати останнього внесення змін у документи;

  • сертифікати на апаратне і/чи програмне забезпечення.

Дані (цей розділ також дуже залежить від особливостей виробництва, але такі пункти обов’язкові незалежно від його специфіки):

  • звідки надходять дані у систему;

  • куди надходять дані із системи;

  • яка робота з даними відбувається в системі;

  • формат зберігання даних у системі;

  • вид даних – первинні таблиці даних, трансакції, звіти тощо;

  • логічні схеми руху інформації між об’єктами.

Усі зібрані дані, крім того що служать основою для моделі керування ризиками, ще і допоможуть у подальшій роботі, наприклад, при попередній підготовці відомостей розслідування у випадках порушення інформаційної безпеки.