- •Организационно-административные методы защиты информации.
- •Структура системы информационной безопасности предприятия.
- •Задачи службы информационной безопасности.
- •Варианты организации работы сиб.
- •Требования к специалистам по защите информации.
- •Методика подбора кадров сиб.
- •Общий характер инвентаризации информационных систем.
- •Принципы и направления инвентаризации информационных систем
- •Объем собираемой информации при инвентаризации информационных систем.
- •Модель классификации по целостности.
- •Модель классификации по конфиденциальности.
- •Модель классификации информационных субъектов.
- •Сопоставление ролей субъектов их функциональным обязанностям.
- •Сопоставление ролей субъектов классам обрабатываемой информации.
- •Модель качественной оценки информационных рисков.
- •Модель обобщенного стоимостного результата Миорры.
- •Количественная модель оценки информационных рисков.
- •Методическая работа с персоналом.
- •Работа с бывшими кадрами.
- •Документы политики информационной безопасности.
- •Концепция информационной безопасности.
- •Стандарты информационной безопасности.
- •Процедуры информационной безопасности.
- •Методы информационной безопасности.
Принципы и направления инвентаризации информационных систем
Принципы инвентаризации:
Единообразного подхода – каждый объект, каждая часть, элемент и каждый субъект рассматривается с точки зрения технологии ЗИ.
Объективности
Многоуровнего подхода – вся система должна рассматриваться максимально подробно с разбиением на элементы.
Сопряжения – параметры системы, говорящие о взаимодействии элементов.
Направления инвентаризации:
Физическое – описывает непосредственное расположение и размещение элементов системы с учетом разграничения доступа к ним.
Технологическое – использование всех ресурсов.
Функциональное – место и роль элементов системы в бизнес-процессе и выполняемые задачи.
Организационное – описание всех субъектов, работающих с объектами, и перечень их функциональных обязанностей.
Нормативные – все документы, регламентирующие работы системы.
Информационное – все данные и информация (описывается весь производственный процесс)
Объем собираемой информации при инвентаризации информационных систем.
Необходимые данные:
По размещению:
- площадка
- здание
- помещение
- номер телефона для связи с ответственным
- ФИО ответственного лица
- механизм контроля доступа в помещения
- механизм защиты помещения
- место расположения на схеме помещений
По аппаратному обеспечению:
- модель и фирма производитель
- серийный номер
- функциональное назначение в системе
- встроенные механизмы защиты
- адрес портов ввода/вывода
- МАС-адрес и IP-адрес
- номер точки доступа к сети
- ответственный за конкретный объект
По программному обеспечению:
- наименование и производитель
- номер версии
- дата установки
- номер сборки
- контрольные суммы исполняемых файлов
- с чьей санкции было установлено
- встроенные механизмы защиты
- статистика сбоев
По функциональному назначению:
- потребители данной системы
- роль системы в бизнес процессе
- кто занимается тех поддержкой
По организационному обеспечению:
- функциональные обязанности субъектов
- профессиональный уровень подготовки субъекта
- существующие процедуры обеспечения безопасности
- временной график работы в системе
- логика бизнес-процесса
Нормативное обеспечение
- инструкция пользователя
- регламенты, правила
- документы по безопасности
- сертификаты на оборудование и ПО, паспорта изделий
- аттестаты помещений
- дата последнего внесения изменения в документацию
По данным
- откуда поступают данные в систему
- какая работа с данными производится
- куда поступают данные из системы
- вид данных
- формат хранения
- логика движения данных внутри системы
Контроль инвентаризации информационных систем.
Инвентаризационными материалами интересуются: ТОР-менеджеры, проверяющие (аудиторы), бухгалтерия. Результаты инвентаризации м/б как положительными, так и отрицательными.
Постановка задачи классификации информационных систем.
Объект классификации – любая информация, обрабатываемая в ИС. Средства обработки информации- всё, что используется для обработки информации (ПО, железо, сетевые средства). Субъект – сущность, занимающаяся обработкой объектов посредством средств.
Основные регламенты классификации информационных систем.
Документы:
Классификация АС и требования по ЗИ
Показатели защищенности от НСД к информации
Положение по аттестации объектов информатизации по требованиям ЗИ (лицензирование, сертификация)
Контроль классификации информационных систем.
Модель классификации по доступности.
Классификация объектов (элементарная):
- открытая
- закрытая
Параметры классификации:
По доступности и наличию
Целостность и модификация
Конфиденциальность
Классификация по доступности и наличию («Д»):
Д0 – критическая информация (если её нет и если она не доступна, бизнес-процесс останавливается)
Д1 – очень важная информация (можно работать, но очень короткое время)
Д2 – важная информация (можно работать, но без неё «в один прекрасный момент» наступит кризис)
Д3 – полезная информация (не влияет на бизнес-процесс, но её использование позволяет сохранить ресурсы)
Д4 – несущественная информация (устаревшая и неиспользуемая информация)
Д5 – вредная информация (спам)