Идентификация объектов защиты
В рамках процедуры идентификации объектов защиты компании решаются следующие задачи:
идентификация информационных активов, необходимых и достаточных для выполнения бизнес-подразделениями компании своих бизнес-функций, а также (в случае, если в компании бизнес-процессы не формализованы), идентификация таких бизнес-функций и определение бизнес-процессов, в рамках которых они выполняется;
идентификация взаимосвязей между информационными активами;
идентификация и сбор сведений об ИС компании, используемых для автоматизации выполнения бизнес-функций;
идентификация ПО и оборудования, используемых для хранения, обработки и передачи информационных активов.
Идентификация объектов защиты осуществляется в порядке и в сроки, предусмотренные Планом классификации объектов защиты.
Выделим основные этапы в рамках процедуры идентификации объектов защиты.
Этап 1: опрос сотрудников подразделений. На данном этапе проводится интервьюирование сотрудников бизнес-подразделений компании с использованием опросных листов с целью выявления информационных активов, используемых или формируемых сотрудниками в процессе выполнения своих бизнес функций.
От результатов опроса сотрудников подразделений компании зависит результат классификации объектов защиты в целом, так как принципиально важно на этапе опроса выявить все информационные активы компании. Для того, чтобы сократить возможные ошибки и неточности предоставляемых сотрудниками подразделений сведений, перед проведением опроса для формируются документы:
Перечень ИС подразделения;
Перечень бизнес-функций подразделения.
При формирования перечней ИС подразделений, сведения об ИС запрашиваются от администраторов ИС. Администраторы ИС предоставляются сведения о том, к каким ИС имеют доступ сотрудники того или иного подразделения.
При формировании перечней бизнес-функций подразделения используются формализованные описания бизнес-процессов компании, если таковые в компании были разработаны.
При опросе сотрудников бизнес-подразделения выявляются:
бизнес-функции сотрудников (в случае, если бизнес-процессы компании не формализованы);
коммуникационное и периферийное оборудование, необходимое для выполнения бизнес-функции;
информационные активы в составе ИС компании, поступающие на вход, и формируемые на выходе бизнес-функций (взаимосвязь между информационными активами, а также между информационными активами и ИС, в состав которых они входят);
необходимость использования сервиса электронной почты для получения информационных активов;
дополнительное ПО, не входящее в состав ИС, используемое для обработки информационных активов.
При опросе сотрудников бизнес-подразделений используются опросные листы, шаблон которых показан в Таблице 2.3.
Таблица 2.3. Шаблон опросного листа для идентификации объектов защиты.
Ф.И.О.
Должность
Структурное подразделение
Укажите наименование бизнес-функции (в соответствии с решаемой производственной задачей)
(Бизнес-функцией называется действие или совокупность действий, направлены на создание или модификацию определенных информационных активов. Например: подготовка данных для формирования Отчета о прибылях и убытках)
(в соответствии с Перечнем бизнес-функций или решаемой производственной задачей)
Укажите наименование бизнес-процесса
(данное поле остается пустым в случае, если бизнес-функция определена в соответствии с решаемой производственной задачей)
Используются ли для выполнения бизнес-функции факсы, телефонные аппараты или оборудование для проведения видеоконференций?
□ Да
□ Нет
Какое?
№
Наименование
(производитель, модель)
Серийный номер
Используются ли для выполнения бизнес-функции принтеры, сканеры и другое периферийное оборудование?
□ Да
□ Нет
Какое?
№
Наименование
(производитель, модель)
Сетевое имя
Перечислите информационные активы (ИА), поступающие на вход бизнес-функции (отчеты, справочники, формы и др.)
(Информационными активами являются: документы, предоставленные в автоматизированных системах в виде рабочих форм прикладного программного обеспечения, файлы и папки с файлами на файловых серверах и автоматизированных рабочих местах, а также печатные документы)
Наименование информационного актива
(название рабочей формы или наименование документа)
Тип ИА
Степень конфиденциальности
Укажите наименование АС
и размещение ИА для ИА, являющихся файловыми ресурсами
Используется ли для получения ИА электронная почта?
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ Да
□ Нет
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ Да
□ Нет
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ Да
□ Нет
Перечислите информационные активы, формируемые на выходе бизнес-функции (отчеты, печатные документы и др.)
Наименование ИА (название рабочей формы или наименование документа)
Тип ИА
Степень конфиденциальности
Укажите наименование ИС
и размещение ИА для ИА, являющихся файловыми ресурсами
Укажите дополнительное ПО (наименование, версия), используемое для обработки и передачи ИА
(например, MS Word, MS Outlook)
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
□ рабочая форма
□ файл/директория
□ печатный документ
□ отсутствует
□ персональные данные
□ коммерческая тайна
Заполненные опросные листы используются при формировании Перечней объектов защиты подразделений, формируемыми для каждого бизнес-подразделения компании и утверждаемыми их руководителями.
Этап 2: выявление объектов защиты в составе ИС. На данном этапе администраторами ИС на основе перечней объектов защиты выявляются объекты защиты в составе ИС компании:
определяются БД, сведения из которых используются при формировании рабочих форм ПО;
определяется перечень прикладного ПО и оборудования, входящего в состав ИС;
определяется перечень инфраструктурных служб, поддерживающих функционирование ИС компании;
определяется перечень системного ПО и оборудования, входящего в состав инфраструктурных служб.
Таким образом, на данном этапе выявляются все объекты защиты компании, а также устанавливается взаимосвязь между ИС и инфраструктурными службами, поддерживающими их функционирование.
По результатам выявления объектов защиты в составе ИС компании формируется Перечень объектов защиты.
Таким образом, процедура идентификации объектов защиты состоит из следующих шагов:
на основании формализованных описаний бизнес-процессов в соответствии с областью классификации объектов защиты специалисты по классификации объектов защиты формируют Перечень бизнес-функций, выполняемых работниками каждого из бизнес-подразделений компании, входящих в область классификации объектов защиты;
специалисты по классификации объектов защиты запрашивают от администраторов ИС перечень ИС, используемых каждым из бизнес-подразделений компании;
специалисты по классификации объектов защиты проводят опрос работников бизнес-подразделения компании в порядке и сроки, предусмотренные Планом классификации объектов защиты;
по завершении опроса работников каждого из бизнес-подразделений компании специалисты по классификации объектов защиты на основании заполненных опросных листов формируют Перечень объектов защиты подразделения; при необходимости, специалисты по классификации объектов защиты по электронной почте или по телефону запрашивают от работников структурного подразделения дополнительные сведения об объектах защиты;
по завершению опроса работников каждого из бизнес-подразделений специалисты по классификации объектов защиты согласовывают Перечень объектов защиты подразделения с руководителем подразделения, при этом руководитель подразделения уточняет сведения об объектах защиты и выполняемых работниками бизнес-функций;
специалисты по классификации объектов защиты по результатам идентификации объектов защиты в подразделениях компании запрашивают от администраторов ИС сведения об ИС и поддерживающих их инфраструктурных службах;
специалисты по классификации объектов защиты формируют Перечень объектов защиты компании, а также заносят сведения об идентифицированных объектах защиты в электронную базу данных объектов защиты;
перечень объектов защиты утверждается руководителем процесса классификации объектов защиты.
Блок-схема порядка идентификации объектов защиты (Рисунок 2.14).
Рис. 2.14. Блок-схема порядка идентификации объектов защиты