3. Категорування інформаційних ресурсів

Для проведення категорування інформаційних ресурсів, що підлягають захисту, формується спеціальна робоча група. До неї залучаються окрім співробітників підрозділу ІБ також співробітники ІТ-відділу та інших підрозділів компанії, які можуть надати допомогу при розгляді питань технології обробки інформації у компанії.

Для того, щоб робоча група мала необхідний організаційно-правовий статус, видається відповідне розпорядження керівництва компанії, в якому зазначається, що всі керівники структурних підрозділів компанії повинні сприяти та надавати необхідну допомогу робочій групі.

Для забезпечення допомоги під час роботи групи у структурних підрозділах їх керівники повинні виділяти співробітників, які володіють детальною інформацією з питань автоматизованої обробки інформації у структурних підрозділах.

По закінченню обстеження виявляються усі види інформації (вхідна, вихідна, що підлягає зберіганню і т.ін.) необхідно враховувати не тільки конфіденційну інформацію, але й інформацію, порушення цілісності та доступності якої може нанести суттєву шкоду компанії.

При аналізі оброблюваної у компанії інформації слід оцінювати можливі наслідки, до яких може призвести порушення її властивостей. Для цього рекомендується проводити опитування (тестування, анкетування) спеціалістів, які з нею працюють. При цьому слід вияснити, кому вигідно незаконно використовувати цю інформацію або впливати на неї. Якщо кількісну оцінку можливих збитків дати ускладнено, можна навести їх якісну оцінку (низька, середня, висока).

Для розуміння категорій доступності необхідно при аналізі вирішуваних в компанії задач вияснити максимально припустимий час затримки результатів, періодичність їх вирішення та важкість наслідків при порушенні їх доступності (блокуванні задач).

Під час проведення аналізу кожний з видів інформації повинен бути віднесений до певного ступеню (грифу) конфіденційності (на підставі вимог діючого законодавства та наданих компанії прав). При цьому для оцінки категорії конфіденційності у керівників (провідних спеціалістів) структурного підрозділу з’ясовуються їх особисті оцінки можливих збитків від порушення конфіденційності та цілісності інформації.

По закінченню аналізу складається “Перелік інформаційних ресурсів, що підлягає захисту”, узгоджується з керівниками зацікавлених структурних підрозділів та надається на розгляд керівництву компанії.

Далі необхідно провести категорування функціональних задач. На підставі вимог з доступності, що пред’являються керівниками структурних підрозділів компанії та погоджених з ІТ-відділом, категоруються всі прикладні задачі, які вирішуються у підрозділах. Відомості щодо категорій прикладних задач заносяться у відповідні формуляри. Слід враховувати, що не можна здійснювати категорування системних задач та програмних засобів бех прив’язки до конкретних прикладних задач.

На наступному етапі здійснюється категорування ПЕОМ. Категорія ПЕОМ визначається виходячи з максимальних категорій конфіденційності та цілісності інформації, яка використовується при виконанні цих задач. Інформація про категорію ПЕОМ заноситься у його формуляр.

У поняття інвентаризації ресурсів входить не тільки звіряння мережевих ресурсів зі списком устаткування, закупленого компанією. Сюди ж відноситься також створення карти мережі з описом усіх можливих місць підключення, переліку застосованого ПЗ, фонду еталонів ліцензійного ПЗ, яке використовується у компанії та фонду алгоритмів і програм власної розробки.

Слід враховувати, що ПЗ може бути допущеним до роботи лише після його перевірки відділом захисту інформації на відповідність поставленим задачам та на відсутність можливих програмних закладок або «логічних бомб».

Взагалі, застосовувати вільно розповсюджуване ПЗ можливо лише у випадку, якщо воно буде поставлятися у відкомпільованому вигляді та з цифровим підписом організації, яка гарантує відсутність в ньому «логічних бомб», різного роду закладок та «чорних ходів». Причому організація повинна нести матеріальну відповідальність за свою гарантію.

Після перевірки еталонне ПЗ заноситься фонд алгоритмів та програм (еталонна копія повинна супроводжуватися файлом контрольної суми, а краще – електронним підписом розробника). У подальшому формуляр кожної ПЕОМ заносяться відомості щодо встановленого ПЗ, даті його встановлення, меті, задачах що вирішуються за його допомогою, а також приз віща та підписи осіб, які проводили встановлення та настроювання програм. Після створення подібних формулярів СЗІ повинна забезпечити регулярну перевірку відповідності реального стану справ даним формуляру.

Контрольні запитання

1. Що називають інформаційним ресурсом?

2. Який функціонал у служби підтримки користувачів?

3. Охарактеризуйте програмне забезпечення, яке застосовується для захисту інформаційних ресурсів.

4. Наведіть категорії конфіденційності інформації.

5. Наведіть категорії цілісності інформації.

6. Наведіть категорії доступності інформації.

7. Хто входить до складу робочої групи з проведення категорування інформаційних ресурсів?

8. Ким узгоджується Перелік інформаційних ресурсів, що підлягає захисту?

9. Яка мета створення фонду алгоритмів та програм?