Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Сбор данных о существующем положении дел по обеспечению информационной безопасности

Комплексное обследование корпоративной информационной системы проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих корпоративной информационной системы (КИС) предприятия. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в КИС.

На данном этапе уточняются цели и задачи аудита, формируется рабочая группа. В состав рабочей группы должны входить сотрудники предприятия, которые обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Участники рабочей группы от исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования. Задачи, решаемые при проведении комплексного обследования:

- сбор и анализ документированной информации;
- анализ и изучение существующей организационно-штатной структуры предприятия, а также структуры и порядка функционирования КИС;
- интервьюирование персонала;
- анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.

На этапе комплексного обследования собранная информация анализируется на предмет непротиворечивости, полноты и достаточности. По результатам анализа определяются последующие действия формирование запроса на получение дополнительной информации, проведение дополнительных исследований. Представители исполнителя получают существующую документированную информацию о функционировании КИС. Эта информация выборочно проверяется посредством интервью и в процессе анализа конфигурации сетевого оборудования и серверов - razgovorodele.ru. Существующие недокументированные процессы, существенные с точки зрения информационной безопасности, которые выявляются по результатам интервью и визуального наблюдения, документируются и включаются в отчет об обследовании.

Комплексное обследование корпоративной информационной системы

Сбор и анализ информации с последующей ее оценкой, анализом рисков и выдачей рекомендаций осуществляется по таким основным компонентам КИС, как:

- топология КИС и сетевые соединения;
- архитектура сопряжения с внешними информационными ресурсами и пользователями;
- типы информационных ресурсов, хранимых и обрабатываемых на серверах заказчика;
- сведения о конфиденциальности и критичности данных;
- информационные потоки, циркулирующие в КИС, характеристика передаваемой информации;
- системное программное обеспечение, организация и управление сетевыми сервисами;
- использование штатных средств операционных систем и сетевого оборудования;
- специализированные программно-технические средства защиты информации;
- существующие методы управления информационной безопасностью;
- концептуальные документы по информационной безопасности;
- специализированные средства защиты ресурсов КИС;
- организационно-штатная структура подразделения, отвечающего за информационную безопасность;
- функции и зоны ответственности персонала;
- принципы и способы взаимодействия подразделения, ответственного за обеспечение информационной безопасности, с ИТ-подразделениями;
- другие организационные и технические меры защиты информации.

Отправной точкой при сборе и анализе документированной информации КИС заказчика является существующая на момент обследования документированная информация, которая создавалась при проектировании, эксплуатации и поддержки функционирования КИС. В ходе работ по аудиту исполнителем производится сбор и анализ следующих форм документированной информации:

- проектная и эксплуатационная документация на КИС;
- структурные и функциональные схемы участков КИС;
- организационно-распорядительные и нормативно-технические документы по информационной безопасности;
- организационно-штатная структура подразделения, отвечающего за обеспечение информационной безопасности;
- перечень сведений конфиденциального характера;
- планы восстановления функционирования КИС при возникновении аварийных ситуаций;
- должностные инструкции персонала, ответственного за обеспечение информационной безопасности;
- программы и планы развития и совершенствования организационных и технических мер по обеспечению информационной безопасности.

Интервьюирование персонала проводится с целью получения исходной информации о КИС, отсутствующей в документированном виде, подтверждения актуальности документированной информации и определения уровня осведомленности сотрудников в части требований по обеспечению информационной безопасности - razgovorodele.ru. Помимо проведения интервью, на данном этапе обследования, проводится наблюдение за реальными процессами, связанными с обеспечением информационной безопасности. Наблюдения могут касаться:

- процедуры регистрации/исключения пользователей, генерации и смены паролей;
- процедуры анализа журналов аудита и реагирования на подозрительную активность;
- порядка изменения конфигурации и обновления системного программного обеспечения сетевых устройств и серверов;
- порядка обработки заявок на предоставление дополни тельных прав доступа;
- порядка работы с наложенными средствами защиты (межсетевые экраны, системы обнаружения вторжений, антивирусы и т.д.);
- анализа действий, предпринятых при обработке произошедших инцидентов;
- анализа действий, предпринятых при аварийных ситуациях;
- порядка доступа в серверные помещения;
- других аспектов деятельности по обеспечению информационной безопасности.

Анализ конфигурации типовых рабочих мест

При проведении анализа конфигурации типовых рабочих мест, сетевых устройств и ключевых серверов их перечень определяется по согласованию с заказчиком. Целью такого анализа является оценка соответствия реальной конфигурации тому, что декларируется эксплуатационной документацией, требованиями политики безопасности и персоналом заказчика.

Важные аспекты конфигурации, критичные с точки зрения обеспечения информационной безопасности, документируются и включаются в отчет об обследовании. Анализу подлежат параметры аутентификации и контроля доступа, механизмы авторизации, доступа и управления, параметры аудита, меры защиты маршрутной информации, меры защиты от внешних атак.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.




 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна