Материалы курса В. И. Королёва / Лекция 8

Инвентаризация и структуризация инф. ресурсов на ОИ

1. Введение в проблему

Информационные ресурсы (ИР) и информационные технологии (ИТ) являются базовыми составляющими в части обеспечения управления информационно-аналитической поддержки функционирования организации любой сферы деятельности (предприятия, банк и т.д.).

В соответствии с значимостью информатизации и ИТ в современном инф. обществе любая организация является ОИ.

Приступая к инвентаризации и структуризации ИР, прежде всего, необходимо:

• Внести определенность и четкость в используемые на объекте понятия, касающиеся назначения, содержания, состава и структуры ИР.

• Обеспечить однозначность представления этих понятий руководством и различными службами ОИ

• Определиться с критериями выделения инф. объектов

• Подготовить основу для постоянного ведения реестра ИР и создания нормативной базы разграничения доступа к ИО

К основным внедрениям в ИР инф. Объектами, в отношении которых целесообразно разрабатывать политику разграничения доступа, целесообразно отнести такие ИО, как:

• Базы данных и массив данных

• Документы и массивы документов

• Сообщения

• Иные виды инф. объектов

Инф. ресурсы, технологии обработки информации, телекоммуникационные и другие транспортные технологии и средства реализации этих технологий, организ. службы и структуры эксплуатации и поддержания инф. систему ОИ (ИИС ОИ).

Автоматизированный контур ИИС ОИ состоит из эксплуатируемых на ОИ АС различного назначения (АИС, АСУ, АСУ ТП и т.д.) вместе с их информационно-техническим комплексом и телекоммуникационной сетью.

Стратегические задачи (основные) политики разглашения доступа на ОИ, решаемые с помощью инвентаризации и структуризации ИР.

1. Разграничение инф. ИР ОИ по уровню конфиденциальности( открытые сведения, сведения для служебного пользования и т.д.), что позволит выделить из общего массива инф. ресурсы, которые нуждаются в ограниченном доступе к ним

2. Разграничение информации по принадлежности к входящим в ОИ функциональным подразделениям, что позволит упорядочить инф. обмен как внутри ОИ, так и с внешними объектами.

3. Определение субъектов, которым предоставляется доступ к защищаемой информации, разработка нормативных регламентированных документов по работе субъектов в АС ОИ с учетом соблюдения требований и условий ИБ

4. Выделение из всей защищаемой информации наиболее критичной для производственной деятельности, вынесение ее на отдельные серверы и обеспечение безопасного регламенты работы с этой инф. в случае чрезвычайных ситуаций

5. Выработка политики безопасности использования внутренних и внешних средств электронного и неэлектронного информационного обмена в интересах ОИ

6. Упорядочивание технологии разграничения доступа к программно-техническим ресурсам автомату контура ИИС, что позволит определить дисциплину доступа к программно-техническим ресурсам, выбрать средства и механизмы реализации разграничения доступа к ним и внести контроль исполнения дисциплины доступа в ИИС в целом.

7. Определение конкретных угроз информации в эксплуатируемых АС, оценка степени их внесения на бизнес-процесс в различных сферах деятельности ОИ и возможного ущерба для организации

Политика разграничения доступа в информации является частью политики ИБ ОИ, позволяет создать систему разграничения доступа для эксплуатации на ОИ АС, которая включает в себя набор настраиваемых моделей разграничения доступа для конкретных РС и ИТ, определяющих в формальном виде права и полномочия пользователей и обслуживающего персонала по доступу к информационным и техническим ресурсам.

В перечень организационных и реализуемых функций целесообразно внести следующие функции:

1. Функции распорядения и утверждения результатов

2. Функция координации работ

3. Функция организационного обеспечения

4. Функция сбора и фиксирования сведений о потребности информации из эксплуатируемых в АС в подразделениях ОИ

5. Функция классификации фактически используемых в АС информационных объектов

6. Функция сбора и фиксирования сведений о фактическом наличии, использовании и характеристиках ИР и мест размещения их в программно-технической среде

7. Функция сбора и фиксировании сведений по использованию информационного обмена через интернет

8. Функция аналитической интеграции сведений для всех АС в целом по результатам других функций

9. Функция аналитической обработки сводных сведений по информационным ресурсам - разработка и представление на утверждение Реестра информационных ресурсов АС ОИ

10. Функция отказа и принятия решений по конфиденциальности информационных объектов - подготовки и представлении на утверждение перечня сведений, относящихся к конфиденциальной информации с внесение отсчета показателя конфиденциальности ИС в Реестр информационных ресурсов АС ОИ

11. Функция анализа существующей системы разграничения доступа к информационным ресурсам АС - подготовка аналитического отчета по состоянию системы разграничения доступа

12. Функция обеспечения конфиденциальности проведенных работ и оформления результатов

Инвентаризацию целесообразно проводить в составе следующих участников с соответствующим поручением им функций:

• Руководство организации - Ф1

• Рабочие группы - Ф2, Ф4, Ф5, Ф6, Ф7, Ф10

• С подразделением пользователей - Ф3, Ф4, Ф5, Ф6, Ф7

• Подразделения пользователей АС - Ф4, Ф5, Ф6

• Управление ИТ -Ф3, Ф8, Ф9 - выполнение Ф11

• Управление безопасностью - Ф3, Ф11, Ф12, функции Ф8 , Ф9

Работа по проведению инвентаризации структуризации и классификации ИР включают:

• Подготовительный этап

• Сбор сведений по информационным ресурсам

• Выполнение анализа и процедур инвентаризации, структуризации и классификации ИР

Общие организационно-технологическая схема проведения инвентаризации ИР