Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
61.doc
Скачиваний:
35
Добавлен:
30.04.2022
Размер:
687.1 Кб
Скачать
►Содержание►

1.5. Сбор информации о защищаемых объектах

При сборе информации о защищаемых объектах необходимо учитывать нижеследующее.

Политика информационной безопасности должна обеспечивать защиту выполнения задач компании или защиту делового процесса. Средствами обеспечения бизнес-процессов являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности. Поэтому важно провести полную инвентаризацию системы, включая карту сети. Существует множество способов проведения инвентаризации или создания карты сети. Независимо от используемых методов необходимо удостовериться, что задокументировано все. Ниже следует примерный перечень аппаратных средств и программного обеспечения, которые необходимо инвентаризовать.

Рис. 4. Примерный инвентаризационный список

Один из способов составления карты сети заключается в определении потоков информации в каждой системе. Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес-процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры по обеспечению живучести системы. В свою очередь, с помощью этой схемы можно определить, где должна храниться информация, включая базы данных, как эта информация должна перемешаться в системе, дублироваться, контролироваться и регистрироваться администратором.

Внекомпьютерные ресурсы

Инвентаризация, как и правила информационной безопасности, должна охватывать не только аппаратные средства и программное обеспечение. Должен еще быть перечень программной документации, документации на аппаратные средства, системы, административную инфраструктуру, а также прочая документация, описывающая все технологические процессы. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показывать области, которые могут быть атакованы. Следует помнить, что бизнес-процессы могут быть объектами, как индустриального шпионажа, так и хакеров и оскорбленных служащих.

Схемы информационных потоков и живучести системы

Живучесть - это способность системы выполнять свои задачи и важные процессы во время атак, повреждений и аварийных ситуаций.

163

Анализ системы на предмет живучести включает в себя определение требований к сети предъявляемых со стороны особенностей ведения бизнеса, архитектуру се и насколько она удовлетворяет этим требованиям, а также поиск компромиссных решений для обеспечения того, чтобы средства, обеспечивающие живучесть системы, не нарушали бизнес-процесс. Частью такого анализа является исследование потоков информации в системе. Исследование этих потоков и анализ критических процессов помогут выявить точки, в которых должны быть усилены меры защиты, а также показать, какие ограничения на архитектуру системы накладываются требованиями технологии.

Подобным образом должна быть проведена инвентаризация всех формуляров, бланков особого учета организации и других материалов с названием организации, используемых в качестве официальных бумаг. Использование бланков счет - фактур и бланков организации может дать кому-то возможность имитировать официальную деятельность компании и ис­пользовать информацию для похищения денег или даже дискредитации организации. Поэтому необходимо учитывать все эти бланки во время инвентаризации, чтобы можно было разработать правила защиты этих активов.

Учет трудовых ресурсов

Наиболее важным и ценным ресурсом компании является персонал, который работает и хранит активы компании, учтенные при инвентаризации. Учет персонала, задействованного в технологическом процессе компании и имеющего доступ к системам, данным и некомпьютерным ресурсам, обеспечит понимание того, какие правила информационной безопасности необходимо разработать.

Определение лиц, от которых необходимо установить защиту

Определение доступа представляет собой процесс выяснения, каким образом осуществляется доступ к каждой системе и компоненту сети. Сеть может иметь систему для обеспечения сетевой аутентификации и другие вспомогательные системы поддержки наподобие intranet. Но необходимо выяснить, все ли системы имеют доступ такого типа, каким образом предоставлять доступ к данным при обмене информацией между системами. Поняв, как распределяется доступ к информационным ресурсам, можно определить, на кого должны распространяться правила информационной безопасности.

Анализ данных защиты

Любые действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности