
- •Глава 6. Організаційний захист інформаційних систем
- •6.1. Політика інформаційної безпеки
- •6.1.1. Принципи політики безпеки
- •6.1.2. Види політики безпеки
- •6.1.3. Політика безпеки для Internet
- •6.2. Основні напрямки захисту інформаційних систем
- •Напрямки захисту іс
- •Шляхи збереження інформації
- •6.3. Інвентаризація інформаційних систем
- •6.3.1. Загальний підхід до інвентаризації інформаційних систем
- •6.3.2. Принципи і напрямки проведення інвентаризації
- •6.3.3. Інформація, що збирається
- •6.4. Принципи організації управління і контролю систем захисту
- •6.5. Управління доступом до робочих місць в інформаційній системі
- •6.6. Управління доступом до сервісів
- •6.7. Захист цілісності даних і програм від шкідливого програмного забезпечення
- •6.8. Контроль за станом безпеки інформаційних систем
- •6.9. Сканери безпеки інформаційної системи
- •Контрольні питання
6.3.2. Принципи і напрямки проведення інвентаризації
Перед початком інвентаризації необхідно розробити, погодити і затвердити порядок і методику проведення обстеження. Цей документ (чи документи) повинен містити цілі та принципи проведення даного заходу для того, щоб вони були прозорі для тих, хто буде цим займатися. Можливо, необхідно затвердити в керівника підприємства повноваження служби чи фахівця, що будуть проводити інвентаризацію, а також перелік учасників –запрошених фахівців для надання процесу необхідного статусу значимості.
У методичній частині документа повинно бути описано що потрібно зробити запрошеним фахівцям, щоб виконати свою роботу. Доцільно укомплектувати документ додатком у вигляді анкети, структурованої таким чином, щоб максимально полегшити її заповнення – вибір із уже наявних варіантів, числові оцінки тощо.
Проводячи інвентаризацію, доцільно дотримуватися таких принципів:
Принцип однакового підходу має на меті розгляд будь-якого об’єкта/системи з погляду технології створення, оброблення, зберігання, відправлення чи приймання інформації.
Принцип об’єктивності означає підхід з позицій оцінки інформаційної безпеки при критичному аналізі системи/об’єкта.
Принцип багаторівневого підходу означає розгляд об’єкта/системи шляхом поділу його на складові частини (апаратне забезпечення, програмне забезпечення тощо).
Принцип сполучення означає, що необхідно вказати, із яких систем інформація надходить у дану систему і в які системи інформація передається із неї.
Напрямки проведення інвентаризації такі:
Фізичний – описує географічне розташування і розміщення системи чи окремих компонентів з урахуванням опису підсистем розмежування доступу.
Технологічний – описує використовувані технічні засоби (апаратне і програмне забезпечення, алгоритми, схеми тощо).
Функціональний – описує місце системи у виробничому процесі і виконувані задачі.
Організаційний – описує персонал, задіяний у роботі системи, і його обов’язки.
Нормативний – описує наявні документи, що регламентують роботу системи.
Інформаційний – описує виробничий чи бізнес-характер інформації (даних), з якою працює система.
6.3.3. Інформація, що збирається
Поряд із проведенням загальної інвентаризації, що має на меті визначення об’єктів захисту, з подібного обстеження можна отримати й інші дані, які є для самої інвентаризації допоміжними, але можуть мати самостійну цінність. Це, наприклад, перелік програмного забезпечення (системного і прикладного), використовуваного на підприємстві. Маючи подібний перелік, за умови підтримки його актуальним, можна відслідковувати автоматизованими чи іншими способами появу в інформаційному просторі підприємства стороннього програмного забезпечення, установленого без санкції уповноважених служб (наприклад, комп’ютерні ігри).
Можна просто скласти перелік програмного забезпечення з переліком ключових характеристик (виробник, номер версії, дата установки, призначення, якщо є можливість – контрольна сума файлів), але краще відразу зробити його класифікацію, наприклад, за такими параметрами:
категорія застосування (загальне, спеціалізоване, індивідуальне);
функціональне призначення (виробнича чи іншого роду задача, для якої використовується дане програмне забезпечення);
належність користувачу (хто керує використанням даного програмного забезпечення, тобто його адміністратор);
розміщення компонентів програмного забезпечення (робочі станції, сервери);
способи доступу (локальний, віддалений).
Додатково в порядку інвентаризації варто передбачити форми документів, що будуть використані, а саме:
опитувальні аркуші чи анкети – джерело одержання даних для аналізу;
проміжні документи – засоби оброблення даних;
звіти – результат проведеного обстеження.
Працюючи за напрямками інвентаризації інформаційної систем необхідно зафіксувати ряд деталей, що можуть показатися і зайвими на даному етапі, але надалі будуть дуже корисними.
Фізичне розташування:
будинок, приміщення;
номера телефонів приміщень;
механізми контролю доступу в приміщення й інші захисні механізми;
номери чи адреси мережних вузлів;
відповідальний за приміщення, якщо такий існує.
Апаратне забезпечення:
фізичне розташування в приміщенні;
найменування фірми-виробника;
серійний номер;
функціональне призначення в системі;
вмонтовані механізми захисту;
адреси портів та інші мережні адреси (MAC, ІP тощо);
відповідальний за дану одиницю устаткування, якщо є.
Програмне забезпечення (крім уже зазначених параметрів):
виробник;
номер версії;
вмонтовані механізми захисту;
статистика збоїв, якщо є.
Функціональне призначення (даний розділ дуже залежить від особливостей виробництва, але такі пункти повинні бути наявними):
які підрозділи є споживачами даної системи;
хто займається технічною підтримкою системи;
роль системи в загальному виробничому циклі.
Організаційне забезпечення:
функціональні і/чи посадові обов’язки персоналу;
професійний рівень підготовки персоналу (освіта, додаткове навчання);
існуючі процедури щодо забезпечення безпеки;
часовий графік виконання робіт у системі;
логічні схеми руху інформації між користувачами.
Нормативне забезпечення:
перелік наявних документів – правил, інструкцій тощо;
окремо – документи з безпеки;
дати останнього внесення змін у документи;
сертифікати на апаратне і/чи програмне забезпечення.
Дані (цей розділ також дуже залежить від особливостей виробництва, але такі пункти обов’язкові незалежно від його специфіки):
звідки надходять дані у систему;
куди надходять дані із системи;
яка робота з даними відбувається в системі;
формат зберігання даних у системі;
вид даних – первинні таблиці даних, трансакції, звіти тощо;
логічні схеми руху інформації між об’єктами.
Усі зібрані дані, крім того що служать основою для моделі керування ризиками, ще і допоможуть у подальшій роботі, наприклад, при попередній підготовці відомостей розслідування у випадках порушення інформаційної безпеки.